Verarbeitung von durch § 203 StGB geschützte Daten im Ausland durch Dienstleister - Rahmenbedingungen
Die europäische Datenschutz-Grundverordnung verlangt, dass jegliche Verarbeitung personenbezogener Daten insbesondere auch auf rechtmäßige Weise erfolgen muss, dies gehört zu den sogenannten „Grundsätze für die Verarbeitung personenbezogener Daten“. Daher ist eine Verarbeitung immer auch auf die Einhaltung der Rechtmäßigkeit zu prüfen, damit kein Verstoß gegen Art. 5 Abs. 1 lit. a DS-GVO erfolgt. Die Verarbeitung von Gesundheitsdaten wird in Deutschland in den verschiedensten Gesetzen und Verordnungen geregelt, die teilweise auch die Verarbeitung im Ausland betreffen. § 80 Abs. 2 SGB X beschränkt beispielsweise die Verarbeitung von Sozialdaten, wie sie beispielsweise bei Krankenkassen vorliegen, im Ausland. Auch einige für Krankenhäuser geltenden Landesgesetze enthalten Regelungen hinsichtlich des Ortes, wo Patientendaten verarbeitet werden dürfen. In letzter Zeit stellte sich vermehrt die Frage, ob auch das in § 203 StGB enthaltene Verbot zur unbefugten Offenbarung eine Verarbeitung im Ausland einschränken könnte.
Eine Verarbeitung von durch § 203 StGB geschützte Daten durch im Ausland tätige Dienstleister ist nur möglich, wenn der Schutz der Geheimnisse hierbei auch im Ausland gewahrt bleibt; Schutzlücken dürfen nicht entstehen. Daher muss im Ausland ein dem Inland vergleichbarer (strafrechtlicher) Schutz der Geheimnisse gewährleistet sein, der auch von Deutschland heraus verfolgt werden kann.
Vor einer Beauftragung der Verarbeitung von durch § 203 StGB geschützten Daten muss daher geprüft werden, ob das ausländische Recht einen mit dem Inland vergleichbaren Standard des Geheimnisschutzes gewährleistet. Prüfpflichtig ist dabei entweder der Berufsgeheimnisträger selbst oder auch ein Auftragnehmer, der einen im Ausland arbeitenden Unter-Auftragnehmer beschäftigen will. Der Auftragnehmer hat aber nur die Pflicht zur Prüfung, wenn diesem diese aus § 203 StGB erwachsende Pflicht zur vorherigen Prüfung vom Berufsgeheimnisträger übertragen wurden.
Zur Prüfung muss zunächst die Berufsgruppe (ggf. natürlich auch die Berufsgruppen) identifiziert werden, deren Daten im Ausland verarbeitet und die von § 203 Abs. 1,2 StGB adressiert werden. Dies ist erforderlich, damit anschließend überprüft werden kann, ob das ausländische Recht ebenfalls diese Berufsgruppen adressiert, inklusive den Dienstleister selbst: Auch wenn für das Strafmaß deutsches Recht gilt, muss die Tat selbst im Ausland strafbar sein.
Die Betrachtung der Strafbarkeit einer Handlung durch ausländisches Recht setzt zwingend auch die Betrachtung von Strafausschließungsgründen des ausländischen Rechts voraus, insbesondere Rechtfertigungs- und Entschuldigungsgründe müssen berücksichtigt werden. D. h. insbesondere ist zu prüfen, ob im Ausland Strafausschließungsgründe existieren, die nicht mit dem deutschen Recht in Einklang stehen und die einer Verfolgung der aus Sicht des deutschen Rechts erfolgten Straftat entgegenstehen.
Die Praxishilfe wurde von den Verbänden
