Zum Inhalt

Berufsgeheimnis & IT

IT-Sicherheit für Berufsgeheimnisträger – Besondere Pflichten nach § 203 StGB

Dieses Kapitel richtet sich an Selbständige und Freiberufler, die einer gesetzlichen Schweigepflicht unterliegen: Ärzte, Psychotherapeuten, Rechtsanwälte, Steuerberater, Notare und Wirtschaftsprüfer sowie alle anderen in § 203 Abs. 1 StGB genannten Berufsgruppen. Für diese Personen gehen die Anforderungen an die IT-Sicherheit über die allgemeinen Pflichten aus DSGVO und Art. 32 DSGVO hinaus – sie sind strafbewehrt.

§ 203 StGB – Was er schützt und wen er betrifft

§ 203 Abs. 1 StGB stellt das unbefugte Offenbaren von fremden Geheimnissen unter Strafe. Er schützt das Vertrauen, das Patienten, Mandanten und Klienten denjenigen Berufsgruppen entgegenbringen müssen, die sie zwingend in vertrauliche Lebensbereiche einweihen müssen – um Hilfe zu erhalten, um rechtliche Interessen wahrzunehmen, oder um wirtschaftliche Entscheidungen zu treffen.

Die in § 203 Abs. 1 StGB genannten Berufsgruppen umfassen unter anderem: Ärzte, Zahnärzte, Tierärzte, Apotheker und Angehörige anderer staatlich geregelter Heilberufe; Rechtsanwälte, Notare, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater und Steuerbevollmächtigte; Beratungsberufe im Familien- und Jugendbereich; sowie Angehörige der Sozialarbeit in anerkannten Beratungsstellen.

Ein Verstoß gegen § 203 StGB ist keine Ordnungswidrigkeit – er ist eine Straftat, die mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe geahndet wird. Hinzu kommen berufsrechtliche Konsequenzen durch die jeweilige Kammer sowie zivilrechtliche Schadensersatzansprüche des Betroffenen.

Was gilt als „Geheimnis" im Sinne des § 203 StGB?

Nicht nur der Name eines Patienten oder Mandanten ist geschützt – der Begriff ist weit zu verstehen. Geschützt ist alles, was dem Berufsgeheimnisträger im Rahmen seiner beruflichen Tätigkeit anvertraut oder bekannt geworden ist und woran der Betroffene ein schutzwürdiges Interesse an der Geheimhaltung hat. Dazu gehören Diagnosen, Behandlungsverläufe, Rechtsprobleme, Vermögensverhältnisse, Geschäftsgeheimnisse, familiäre Verhältnisse und vieles mehr – auch wenn diese Informationen keinen unmittelbaren Bezug zum eigentlichen Auftrag haben.

Die Schweigepflicht gilt zeitlich unbegrenzt – auch nach Beendigung des Behandlungs- oder Mandatsverhältnisses.

Schlechte IT-Sicherheit als Schweigepflichtverletzung – warum Untätigkeit haften kann

Berufsgeheimnisträger tragen eine besondere Verantwortung für die ihnen anvertrauten Geheimnisse. Diese Verantwortung erschöpft sich nicht darin, selbst keine Geheimnisse zu offenbaren – sie verpflichtet auch dazu, aktiv dafür zu sorgen, dass Geheimnisse nicht durch Untätigkeit oder Fahrlässigkeit offenbart werden.

Rechtlich argumentieren Gerichte und Berufsverbände hier mit dem Konzept der Garantenpflicht: Wer eine besondere Obhutspflicht für ein Rechtsgut übernimmt, kann unter Umständen auch für das Unterlassen geeigneter Schutzmaßnahmen haftbar gemacht werden. Für die Praxis bedeutet das: Wer als Arzt oder Anwalt seine Praxissoftware nicht verschlüsselt, kein sicheres Backup anlegt, schwache Passwörter verwendet oder Sicherheitsupdates unterlässt und dadurch ein Datenleck ermöglicht, hat die Geheimnisse seiner Patienten oder Mandanten möglicherweise nicht durch aktives Handeln offenbart – aber durch pflichtwidrige Untätigkeit die Offenbarung begünstigt oder ermöglicht.

Als praxisorientierte Vorsichtsregel gilt: Unzureichende IT-Sicherheit kann als Verletzung der Schweigepflicht gewertet werden, wenn sie kausal dazu beiträgt, dass Dritte unbefugt Kenntnis von geschützten Geheimnissen erlangen. Das Bundeszahnärztekammer-Merkblatt zur IT-Sicherheit formuliert es klar: Der Praxisinhaber ist persönlich verantwortlich – nicht sein IT-Dienstleister.

Merksatz: Schlechte IT-Sicherheit ist kein technisches Versehen – sie ist eine Verletzung der Schweigepflicht durch Unterlassen.

Die Reform des § 203 StGB 2017: Externe Dienstleister werden möglich

Bis 2017 war die Rechtslage für Berufsgeheimnisträger unbefriedigend: Schon die Beauftragung externer IT-Dienstleister konnte als „Offenbaren" eines Geheimnisses gewertet werden – auch dann, wenn der Techniker nur den Server wartete und gar keine Kenntnis von konkreten Patientendaten nahm. IT-Outsourcing und Cloud-Nutzung waren für Berufsgeheimnisträger damit rechtlich heikel.

Mit dem Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen (in Kraft getreten am 9. November 2017) hat der Gesetzgeber das geändert. Der neue § 203 Abs. 3 Satz 2 StGB stellt klar, dass das Offenbaren gegenüber „sonstigen mitwirkenden Personen" – also externen Dienstleistern – kein strafbares Offenbaren ist, sofern dies für die ordnungsgemäße Erbringung der Dienstleistung erforderlich ist.

Diese Erlaubnis ist aber an eine zentrale Bedingung geknüpft: Der Berufsgeheimnisträger muss dafür sorgen, dass die mitwirkenden Personen zur Geheimhaltung verpflichtet werden.

AVV reicht nicht – zusätzliche Verschwiegenheitsverpflichtung nach § 203 Abs. 4 StGB

Hinweis vorab: Das Folgende ist eine praxisorientierte Handlungsempfehlung, keine abschließende Rechtsprüfung. Wer Berufsgeheimnisträger ist, sollte seine IT-Dienstleisterverträge einmalig anwaltlich prüfen lassen.

Ein häufiger Fehler: Viele Berufsgeheimnisträger glauben, mit dem Abschluss eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO ihre Pflichten vollständig erfüllt zu haben. Das greift zu kurz.

Der AVV ist eine datenschutzrechtliche Pflicht. Er regelt die Verarbeitung personenbezogener Daten im Auftrag und schützt das Datenschutzrecht. § 203 StGB ist aber Strafrecht – und Strafrecht und Datenschutzrecht stehen nebeneinander. Wer nur einen AVV abschließt, hat das Strafrecht nicht erfüllt.

§ 203 Abs. 4 Satz 2 StGB macht den Berufsgeheimnisträger selbst strafbar, wenn eine mitwirkende Person ein ihr bekanntes Geheimnis unbefugt offenbart und er nicht bereits zuvor dafür gesorgt hatte, dass diese Person zur Geheimhaltung verpflichtet ist. Die Verpflichtung muss also erfolgen, bevor der Dienstleister überhaupt Zugang zu geschützten Informationen erlangt – nachträglich nützt sie nichts mehr. Das Gesetz schafft damit ein vorgelagertes Organisationsgebot: Wer externe Dienstleister einsetzt, muss die Verpflichtungskette lückenlos aufbauen, bevor die erste Berührung mit geschützten Daten möglich ist.

Für IT-Dienstleister, Cloud-Anbieter, Softwarewartungsunternehmen und alle anderen externen Personen, die bei ihrer Tätigkeit möglicherweise Kenntnis von geschützten Geheimnissen erlangen können, ist daher neben dem AVV eine eigenständige Verschwiegenheitsverpflichtung im Sinne des § 203 Abs. 4 StGB (häufig als „Hilfspersonenvereinbarung" bezeichnet) abzuschließen.

Diese Verpflichtung muss mindestens enthalten: - Die ausdrückliche Verpflichtung zur Geheimhaltung aller geschützten Geheimnisse - Die Belehrung über die strafrechtlichen Folgen einer Verletzung nach § 203 Abs. 4 StGB - Das Need-to-know-Prinzip: Der Dienstleister darf sich nur insoweit Kenntnis verschaffen, als es für seine Leistung erforderlich ist - Die Regelung, ob und unter welchen Bedingungen Subunternehmer eingesetzt werden dürfen – und die Pflicht des Dienstleisters, diese seinerseits entsprechend zu verpflichten

Die Vertragskette ist lückenlos zu gestalten: Wenn ein IT-Dienstleister Subunternehmer einsetzt, muss er diese ebenfalls verpflichten. Der Berufsgeheimnisträger ist mittelbar verantwortlich, dass diese Kette funktioniert – und macht sich nach § 203 Abs. 4 StGB strafbar, wenn sie reißt und er nicht dafür gesorgt hat, dass Subunternehmer verpflichtet wurden.

Merksatz: AVV + Hilfspersonenvereinbarung = Mindestanforderung. Wer nur den AVV hat, hat das Strafrecht noch nicht erfüllt.

Bitkom-Musterdokumente: Der Bitkom e.V. hat in Zusammenarbeit mit Berufsverbänden Musterdokumente für die Umsetzung des § 203 StGB erstellt – mit Vertragsklauseln für AVV-Ergänzungen, Verpflichtungserklärungen für Mitarbeiter des Auftragnehmers und Einzelverpflichtungen. Diese Muster stehen auf der Bitkom-Website zur Verfügung und sind ein guter Ausgangspunkt für eigene Vertragsgestaltungen: bitkom.org → Suche: „Muster § 203 StGB".

Das Verhältnis zu DSGVO und berufsrechtlichen Vorschriften

Für Berufsgeheimnisträger gelten drei Pflichtebenen gleichzeitig – und sie ergänzen sich, ohne sich gegenseitig zu ersetzen:

Strafrecht (§ 203 StGB): Verbietet das unbefugte Offenbaren von Geheimnissen. Gilt unabhängig von Datenbezug.

Datenschutzrecht (DSGVO, BDSG): Regelt den Umgang mit personenbezogenen Daten. Gilt zusätzlich zu § 203 StGB. Wo das Berufsrecht strengere Anforderungen stellt, hat es Vorrang – aber DSGVO-Pflichten entfallen dadurch nicht.

Berufsrecht (BRAO, BNotO, StBerG, WPO, Heilberufsgesetze der Länder): Konkretisiert die berufsständischen Pflichten und schafft die berufsrechtlichen Befugnisnormen für die Einschaltung externer Dienstleister.

Alle drei Ebenen verlangen IT-Sicherheitsmaßnahmen. Art. 32 DSGVO fordert technische und organisatorische Maßnahmen. § 203 StGB fordert, dass Geheimnisse nicht durch Unterlassen offenbart werden. Das Berufsrecht fordert, Mandantengeheimnisse aktiv zu schützen. Das Ergebnis ist in der Sache dasselbe: Wer gute IT-Sicherheit betreibt, erfüllt alle drei Ebenen gleichzeitig.

Besondere Berufsgruppen

Ärzte, Zahnärzte und Psychotherapeuten

Rechtsgrundlagen: § 203 Abs. 1 Nr. 1 StGB (ärztliche Schweigepflicht), Berufsordnungen der Landesärztekammern (auf Basis der Musterberufsordnung der Bundesärztekammer), für Kassenärzte und Psychotherapeuten in der vertragsärztlichen Versorgung zusätzlich: § 390 SGB V.

Besonderheit: KBV IT-Sicherheitsrichtlinie

Für alle niedergelassenen Vertragsärzte, Vertragszahnärzte und Psychotherapeuten in der gesetzlichen Krankenversicherung gilt zusätzlich die IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) und der Kassenzahnärztlichen Bundesvereinigung (KZBV) nach § 390 SGB V. Diese Richtlinie ist kein unverbindlicher Leitfaden – sie ist geltendes Recht mit Sanktionsfolgen.

Die Richtlinie wurde 2021 erstmals verbindlich eingeführt und zum 1. April 2025 umfassend überarbeitet. Die neuen Anforderungen sind seit dem 1. Oktober 2025 vollständig umzusetzen.

Die Anforderungen sind nach Praxisgröße gestaffelt: - Kleine Praxis: bis zu 5 ständig mit der Datenverarbeitung betraute Personen - Mittlere Praxis: 6 bis 20 Personen - Große Praxis: mehr als 20 Personen oder Praxen mit medizinischen Großgeräten (CT, MRT, PET, Linearbeschleuniger)

Wichtig: Bei der Ermittlung der Praxisgröße zählen alle Personen, die regelmäßig mit Patientendaten arbeiten – unabhängig davon, ob sie Voll- oder Teilzeit beschäftigt sind.

Zu den Anforderungen für alle Praxen (Anlage 1 der Richtlinie) gehören unter anderem: - Geregelte Einarbeitung neuer Mitarbeiter mit Verpflichtung auf Datenschutz und Verschwiegenheit - Geregelte Austrittsverfahren: Rückgabe aller Geräte, Schlüssel und Zugangsdaten; Passwortänderungen; Hinweis auf fortbestehende Verschwiegenheit - Regeln für Fremdpersonal (z. B. IT-Dienstleister): Verpflichtung auf dieselben Pflichten wie interne Mitarbeiter - Regelmäßige IT-Sicherheitsschulungen des Praxispersonals (neu ab 1. Oktober 2025) - Datensicherung (Backup) für alle patientenbezogenen Systeme - Virenschutz und Firewall auf allen Systemen - Zugriffsschutz (Passwörter, Gerätesperren) - Regelungen für mobile Geräte und deren Verwendung im Praxisbetrieb

Bei Nichteinhaltung drohen nach Angaben der KBV Bußgelder bis zu 100.000 Euro sowie Honorarkürzungen durch die Kassenärztliche Vereinigung.

Die KBV stellt auf ihrer Website Musterdokumente, Checklisten und Umsetzungshilfen kostenlos zur Verfügung: kbv.de/html/it-sicherheit.php

Für Privatärzte und Heilpraktiker gilt die KBV-Richtlinie nicht unmittelbar – aber § 203 StGB und DSGVO gelten uneingeschränkt, und die KBV-Richtlinie bietet einen guten Referenzrahmen für das, was an IT-Sicherheit erwartet wird.

Rechtsanwälte

Rechtsgrundlagen: § 203 Abs. 1 Nr. 3 StGB, § 43a Abs. 2 BRAO (Verschwiegenheitspflicht als Kernbestand des Berufsrechts), § 2 BORA (Berufsordnung), § 43e BRAO (Einschaltung von Dienstleistern).

§ 43e BRAO ist die berufsrechtliche Umsetzung der § 203 StGB-Reform für Rechtsanwälte. Er konkretisiert die Voraussetzungen, unter denen IT-Dienstleister und andere externe Personen eingeschaltet werden dürfen:

  • Der Dienstleister muss in Textform unter Belehrung über die strafrechtlichen Folgen zur Verschwiegenheit verpflichtet werden (§ 43e Abs. 3 BRAO).
  • Es gilt das Need-to-know-Prinzip: Der Dienstleister darf sich nur insoweit Kenntnis von Mandantsgeheimnissen verschaffen, als es zur Erbringung seiner Leistung erforderlich ist.
  • Die Zulässigkeit des Einsatzes von Subunternehmern muss im Vertrag geregelt sein. Sind Subunternehmer zulässig, sind diese ebenfalls mindestens in Textform zu verpflichten.
  • Bei Dienstleistern im Ausland gelten verschärfte Anforderungen (§ 43e Abs. 4 BRAO): Es muss sichergestellt sein, dass der Schutz der Geheimnisse mit dem inländischen Standard vergleichbar ist. Für EU-Mitgliedstaaten wird dies in der Regel angenommen; bei Drittstaaten ist eine sorgfältige Einzelfallprüfung erforderlich.
  • Die Zusammenarbeit ist unverzüglich zu beenden, wenn der Dienstleister die Vorgaben nicht einhält.
  • Ausnahme für mandatsbezogene Einzeldienstleistungen (§ 43e Abs. 5 BRAO): Wird ein Dienstleister für ein konkretes Einzelmandat beauftragt – etwa ein Übersetzer für einen spezifischen Mandanten – ist die ausdrückliche Einwilligung des Mandanten erforderlich. Das gilt nicht für allgemeine IT-Infrastruktur, die kanzleiweit eingesetzt wird.

Praktische Konsequenz für die IT: Jeder Cloud-Anbieter, jeder IT-Wartungsdienstleister, jede Softwarelösung, bei der personenbezogene Mandantendaten verarbeitet werden oder werden könnten, braucht sowohl einen AVV nach Art. 28 DSGVO als auch eine Verschwiegenheitsverpflichtung nach § 43e BRAO. Viele Kanzleisoftware-Anbieter und größere IT-Dienstleister haben inzwischen entsprechende Standardverträge. Bei US-amerikanischen Cloud-Diensten ist besondere Vorsicht geboten – die Anforderungen des § 43e Abs. 4 BRAO sind dort oft schwer zu erfüllen, da US-Dienstleister sich nicht ohne Weiteres einer deutschen Strafbewehrtheit unterwerfen.

Die BRAK (Bundesrechtsanwaltskammer) hat Hinweise und Orientierungshilfen zur IT-Sicherheit und zur Einschaltung von Dienstleistern veröffentlicht: brak.de → Thema Datenschutz/IT-Sicherheit.

Steuerberater

Rechtsgrundlagen: § 203 Abs. 1 Nr. 3 StGB, § 57 Abs. 1 StBerG (Verschwiegenheit als allgemeine Berufspflicht), § 62 StBerG (Verpflichtung der Mitarbeiter), § 62a StBerG (Inanspruchnahme von Dienstleistungen), § 5 BOStB (Berufsordnung der Steuerberater).

§ 62a StBerG ist das Pendant zu § 43e BRAO für Steuerberater – ebenfalls eingeführt durch die Reform von 2017. Er regelt unter denselben Grundvoraussetzungen wie bei Rechtsanwälten, unter welchen Bedingungen externe Dienstleister eingeschaltet werden dürfen:

  • Verpflichtung in Textform, Belehrung über strafrechtliche Folgen
  • Need-to-know-Prinzip
  • Regelung zur Subunternehmerbeauftragung
  • Verschärfte Anforderungen bei Dienstleistern im Ausland (§ 62a Abs. 4 StBerG)

§ 62 StBerG verpflichtet den Steuerberater zudem, alle Mitarbeiter – nicht nur Fachpersonal, sondern auch Aushilfen, Auszubildende und gelegentlich helfende Personen – schriftlich zur Verschwiegenheit zu verpflichten und sie über die einschlägigen Vorschriften zu belehren. Diese Verpflichtung ist älter als die Reform von 2017 und gilt unverändert.

Hinweis zu DATEV: DATEV hat als genossenschaftlich organisiertes Rechenzentrum schon vor der Reform von 2017 den Status eines Berufshelfers genossen, weshalb die Auslagerung steuerberaterischer Daten an DATEV rechtlich unproblematisch war. Auch nach der Reform stellt DATEV entsprechende Vertragsergänzungen für die Verschwiegenheitsverpflichtung zur Verfügung, die für eine rechtskonforme Zusammenarbeit abgeschlossen werden müssen.

Die BStBK (Bundessteuerberaterkammer) hat Empfehlungen und Musterdokumente zur IT-Sicherheit veröffentlicht: bstbk.de

Notare

Rechtsgrundlagen: § 203 Abs. 1 Nr. 3 StGB, § 18 BNotO (amtliche Verschwiegenheitspflicht), § 26 BNotO (förmliche Verpflichtung beschäftigter Personen), § 26a BNotO (Inanspruchnahme von Dienstleistungen).

Die notarielle Verschwiegenheitspflicht nach § 18 BNotO ist amtsrechtlicher Natur – sie gilt für alles, was dem Notar bei Ausübung seines Amtes bekannt geworden ist, und zwar gegenüber jedermann, auch gegenüber Gerichten und Behörden. Sie besteht über das Erlöschen des Amtes hinaus fort (§ 18 Abs. 4 BNotO).

§ 26 BNotO verpflichtet den Notar, alle bei ihm beschäftigten Personen förmlich zur Verschwiegenheit zu verpflichten – mit ausdrücklichem Hinweis auf § 18 BNotO. Für externe Dienstleister gilt seit der Reform § 26a BNotO mit weitgehend denselben Anforderungen wie bei Rechtsanwälten und Steuerberatern – allerdings mit der Besonderheit, dass bei Notaren die Textform für die Verpflichtungserklärung gefordert wird, was im Ergebnis Schriftform bedeutet (eigenhändige Unterschrift empfohlen).

Die Bundesnotarkammer hat in einem Rundschreiben zur IT-Sicherheit darauf hingewiesen, dass der Notar persönlich haftet, wenn er keine ausreichenden Vorkehrungen trifft – und dass bereits die Möglichkeit des Zugriffs durch Dritte (etwa bei Fernwartung) eine Rechtspflicht zur Absicherung begründet. Die Einrichtung eines Organisationsverschuldens-Vorwurfs ist auch dann möglich, wenn der Notar selbst keine Daten offenbart hat, aber durch unzureichende Organisation die Offenbarung durch andere ermöglicht hat.

Die Bundesnotarkammer stellt Orientierungshilfen und Informationen zur Verfügung: bnotk.de

Wirtschaftsprüfer und vereidigte Buchprüfer

Rechtsgrundlagen: § 203 Abs. 1 Nr. 3 StGB, § 43 Abs. 1 WPO (Verschwiegenheit als allgemeine Berufspflicht), § 50 WPO (Verpflichtung beschäftigter Personen), § 50a WPO (Inanspruchnahme von Dienstleistungen), § 10 der Berufssatzung WP/vBP.

§ 50a WPO regelt analog zu § 43e BRAO und § 62a StBerG die Einschaltung externer Dienstleister durch Wirtschaftsprüfer. Die Grundvoraussetzungen sind identisch: Verpflichtung in Textform, Need-to-know-Prinzip, Regelung der Subunternehmerbeauftragung, verschärfte Anforderungen bei Auslandsdienstleistern.

§ 50 WPO verpflichtet den Wirtschaftsprüfer, alle beschäftigten Personen zur Verschwiegenheit zu verpflichten.

Eine Besonderheit bei Wirtschaftsprüfern ergibt sich aus der Natur ihrer Tätigkeit: Sie prüfen Jahresabschlüsse und haben dadurch Einblick in umfassende Geschäftsgeheimnisse ihrer Mandanten – Finanzlage, strategische Planungen, Rückstellungen, laufende Verfahren. Die Vertraulichkeit dieser Daten ist für die Mandanten wirtschaftlich existenziell. Entsprechend hoch sind die Anforderungen an den Schutz der IT-Systeme.

Das IDW (Institut der Wirtschaftsprüfer) hat die Reform des § 203 StGB ausdrücklich begrüßt und betont, dass die Möglichkeit, externe Dienstleister einzusetzen, für die moderne Berufspraxis des Wirtschaftsprüfers unverzichtbar ist – unter der Bedingung, dass die Verpflichtungskette lückenlos ist. Orientierungshilfen des IDW sind unter idw.de abrufbar.

Checkliste

Grundlegende IT-Sicherheitspflichten:

  • Ich betreibe IT-Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen und der Sensibilität der von mir verarbeiteten Daten angemessen sind (§ 203 StGB, Art. 32 DSGVO).
  • Alle Endgeräte, auf denen geschützte Daten gespeichert oder verarbeitet werden, sind verschlüsselt.
  • Ich führe regelmäßige Datensicherungen durch und bewahre Backups getrennt vom Primärsystem auf.
  • Sicherheitsupdates werden zeitnah eingespielt – auf allen Systemen.
  • Zugangsdaten zu IT-Systemen sind sicher – starke, einzigartige Passwörter, 2FA wo möglich.

Mitarbeiterverpflichtungen:

  • Alle Mitarbeiter sind schriftlich (bei Notaren förmlich) zur Verschwiegenheit verpflichtet und über die einschlägigen Vorschriften belehrt worden.
  • Bei Ausscheiden von Mitarbeitern werden alle Zugangsdaten geändert, Geräte zurückgegeben und die fortbestehende Verschwiegenheitspflicht nochmals ausdrücklich erinnert.

Externe Dienstleister (IT, Cloud, Software, Wartung):

  • Mit jedem externen Dienstleister, der möglicherweise Kenntnis von geschützten Geheimnissen erlangt, habe ich sowohl einen AVV nach Art. 28 DSGVO als auch eine Verschwiegenheitsverpflichtung nach § 203 Abs. 4 StGB i.V.m. dem einschlägigen Berufsrecht (§ 43e BRAO / § 62a StBerG / § 26a BNotO / § 50a WPO) abgeschlossen.
  • Die Verträge enthalten das Need-to-know-Prinzip und eine Regelung zur Subunternehmerbeauftragung.
  • Der Dienstleister ist verpflichtet, etwaige Subunternehmer seinerseits zur Verschwiegenheit zu verpflichten.
  • Bei Dienstleistern mit Sitz im Ausland habe ich geprüft, ob ein vergleichbares Schutzniveau gewährleistet ist.
  • Ich beende die Zusammenarbeit unverzüglich, wenn ein Dienstleister die Vorgaben nicht einhält.

Berufsgruppen-spezifische Pflichten:

  • Ärzte/Zahnärzte/Psychotherapeuten (Vertragsbereich): Ich habe die Anforderungen der KBV/KZBV IT-Sicherheitsrichtlinie nach § 390 SGB V in der Fassung vom 1. April 2025 überprüft und umgesetzt.
  • Rechtsanwälte: Dienstleisterverträge berücksichtigen § 43e BRAO; bei mandatsbezogenen Einzeldienstleistern liegt Mandanteneinwilligung vor.
  • Steuerberater: Dienstleisterverträge berücksichtigen § 62a StBerG; Mitarbeiterverpflichtungen nach § 62 StBerG sind schriftlich dokumentiert.
  • Notare: Dienstleisterverträge berücksichtigen § 26a BNotO; beschäftigte Personen sind förmlich nach § 26 BNotO verpflichtet.
  • Wirtschaftsprüfer: Dienstleisterverträge berücksichtigen § 50a WPO; Mitarbeiterverpflichtungen nach § 50 WPO sind dokumentiert.