Zum Inhalt

§ 203 StGB – Schweigepflicht & IT

§ 203 StGB: Strafrechtliche Schweigepflicht und IT-Sicherheit

Dieses Kapitel erklärt eine einzelne Vorschrift – aber sie ist existenziell für Ihren Praxisalltag.

Was § 203 StGB schützt

§ 203 Abs. 1 Nr. 1 StGB stellt das unbefugte Offenbaren von fremden Geheimnissen unter Strafe. Konkret heißt das für Ärzte:

"Ärzte, Zahnärzte und andere Heilpersonen, die zur Berufsausübung berechtigt sind, dürfen Geheimnisse, insbesondere Patientengeheimnisse, die ihnen in dieser Eigenschaft bekannt geworden sind, nicht verraten."

Das ist eine personale Schweigepflicht. Ein Arzt in der Praxis, in der Klinik, in einer Beratung unterliegt der Schweigepflicht.

Die Strafe: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 360 Tagessätze. Eine einjährige Haftstrafe bedeutet: Ihre Approbation ist weg. Ihre Praxis ist zu. Ihr ganzes berufliches Leben ist damit beschädigt.

Was als „Geheimnis" gilt – eine weite Definition

Das Zentrale ist die Definition von "Geheimnis". Der Gesetzgeber hat das weit definiert – es ist nicht nur eine bestimmte Datenkategorie, sondern alles, das eine Person dem Arzt im Vertrauen offenbaren würde.

Das gilt: Diagnose und Prognose, Behandlung und Medikation, Befunde und Untersuchungsergebnisse, Therapieverlauf, Anamnese. Selbst die bloße Tatsache, dass jemand Patient bei Ihnen ist, kann ein Geheimnis sein.

Zeitlich gilt die Schweigepflicht unbegrenzt. Auch wenn ein Patient lange verstorben ist oder die Behandlung Jahre zurückliegt – die Schweigepflicht bleibt bestehen.

Garantenpflicht und Tun durch Unterlassen

Hier kommt der zentrale Punkt für IT-Sicherheit: Die Schweigepflicht ist nicht nur eine Verpflichtung, selbst kein Geheimnis zu verraten. Sie ist auch eine Garantenpflicht.

Das heißt konkret: Wenn Sie fahrlässig dafür sorgen, dass ein Patientengeheimnis nach außen dringt – nicht, weil Sie es selbst verraten, sondern weil Sie es zulassen –, dann haben Sie eine Straftat begangen.

Beispiele: Sie lassen Ihren Server unverschlüsselt. Ransomware bricht ein. Sie verwenden ein einfaches Passwort. Ein Hacker bricht ein. Sie haben keinen Notfallplan. Der IT-Dienstleister fällt weg. Sie haben das Geheimnis nicht selbst "verraten" – aber durch Unterlassen die Offenbarung ermöglicht.

Merksatz: Unzureichende IT-Sicherheit kann selbst dann eine Verletzung der Schweigepflicht darstellen, wenn Sie persönlich kein Patientengeheimnis weitergegeben haben.

Bis 2017 war die Lage problematisch: Die Beauftragung eines externen IT-Dienstleisters konnte als "Offenbaren" eines Geheimnisses gewertet werden.

Mit der Reform 2017 hat der Gesetzgeber das geändert. Der neue § 203 Abs. 3 Satz 2 StGB sagt: "Das Offenbaren eines Geheimnisses ist nicht strafbar, wenn...die Offenbarung für die ordnungsgemäße Erbringung der Leistung erforderlich ist."

Das heißt: Es ist legal, einen IT-Dienstleister zu beauftragen.

Aber: Es gibt eine zentrale Bedingung – der Berufsgeheimnisträger muss dafür sorgen, dass dieser Dienstleister "zur Geheimhaltung verpflichtet werden".

Die Hilfspersonenvereinbarung nach § 203 Abs. 4 StGB

Das ist das zentrale Dokument: die Hilfspersonenvereinbarung.

Viele Praxisinhaber meinen, ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO reiche aus. Das ist falsch. Der AVV ist eine datenschutzrechtliche Anforderung. Aber § 203 StGB ist Strafrecht – und Strafrecht und Datenschutzrecht sind zwei separate Regelungssysteme.

§ 203 Abs. 4 Satz 2 StGB macht es explizit: Der Berufsgeheimnisträger wird strafbar, "wenn eine mitwirkende Person ein ihr bekanntes Geheimnis unbefugt offenbart und der Berufsgeheimnisträger nicht bereits zuvor dafür gesorgt hatte, dass diese Person zur Geheimhaltung verpflichtet [wurde]."

Das Wort "bereits zuvor" ist entscheidend. Die Verpflichtung muss erfolgen, bevor der Dienstleister überhaupt Zugriff auf Patientendaten bekommt – nicht nachträglich.

Eine Hilfspersonenvereinbarung nach § 203 StGB muss mindestens folgendes enthalten:

  • Die ausdrückliche Verpflichtung zur Geheimhaltung aller Patientengeheimnisse
  • Die Belehrung über die strafrechtlichen Folgen einer Verletzung
  • Das Need-to-know-Prinzip: Der Dienstleister hat nur Zugriff, der notwendig ist
  • Eine Regelung, wie Subunternehmer eingesetzt werden dürfen – und müssen verpflichtet sein

Merksatz: AVV (Datenschutz) + Hilfspersonenvereinbarung (Strafrecht) = Mindestanforderung für externe Dienstleister.

Praktische Konsequenz: Der IT-Dienstleister-Check

Das heißt für Ihre Praxis konkret: Für jeden externen Dienstleister, der möglicherweise Zugriff auf Patientendaten bekommt, brauchen Sie:

  1. Einen gültigen AVV nach Art. 28 DSGVO
  2. Eine Verschwiegenheitsverpflichtung nach § 203 Abs. 4 StGB

Das gilt für: Den lokalen IT-Dienstleister vor Ort, den Cloud-Anbieter der Praxissoftware, den Anbieter der Backup-Lösung, den Softwarewartungsdienst, jeden Anbieter mit Fernwartungs-Zugriff.

Praktisches Vorgehen:

  • Erstellen Sie eine Liste aller Dienstleister
  • Prüfen Sie für jeden: Liegt ein AVV vor? Liegt eine Verschwiegenheitsverpflichtung vor?
  • Fehlende Dokumente: Fordern Sie sie an
  • Dokumentieren Sie, dass die Verpflichtung vor dem Zugriff erfolgt ist
  • Überprüfen Sie regelmäßig, dass die Verträge noch aktuell sind

Checkliste: § 203 StGB und IT-Sicherheit

  • Ich verstehe, dass § 203 StGB eine persönliche strafrechtliche Verpflichtung ist.
  • Ich habe eine Liste aller Dienstleister mit Zugriff auf Patientendaten.
  • Für jeden Dienstleister prüfe ich: Liegt ein AVV vor? Liegt eine Verschwiegenheitsverpflichtung nach § 203 vor?
  • Die Verpflichtungen liegen VOR dem ersten Zugriff vor.
  • Meine Dienstleisterverträge enthalten das Need-to-know-Prinzip.
  • Wenn ein Dienstleister Subunternehmer einsetzt, sind diese ebenfalls vertraglich verpflichtet.
  • Bei externen Dienstleistern mit Sitz außerhalb der EU habe ich überprüft, ob ein vergleichbares Schutzniveau besteht.
  • Ich habe einen Plan, wie ich die Zusammenarbeit beende, wenn ein Dienstleister die Anforderungen nicht erfüllt.
  • Die Verträge werden mindestens jährlich überprüft.