§ 203 StGB: Mandantendaten an Dienstleister — was erlaubt ist
Bis zur StGB-Reform 2017 war die Einbindung externer Dienstleister in mandantenbezogene Datenverarbeitung für Berufsgeheimnisträger ein strafrechtlich heikles Thema — der bloße Akt der Übermittlung an einen IT-Dienstleister konnte § 203 StGB erfüllen. Mit der Neufassung von § 203 Abs. 3 und 4 StGB ist die Einbindung jetzt rechtssicher möglich — aber nur unter ganz bestimmten Voraussetzungen. Dieser Beitrag zeigt, wie der gesetzliche Rahmen heute aussieht und worauf Kanzleien, Steuerberater, Ärzt:innen und andere Schweigepflichtige praktisch achten müssen.
Was § 203 StGB schützt
§ 203 Abs. 1 StGB stellt die Offenbarung eines fremden Geheimnisses unter Strafe — und zwar für eine abschließend aufgezählte Liste von Berufsgeheimnisträgern: Ärzt:innen, Zahnärzt:innen, Apotheker:innen, Berufspsycholog:innen, Rechtsanwält:innen, Notar:innen, Steuerberater:innen, Wirtschaftsprüfer:innen und weitere. Geschützt sind Privatgeheimnisse, Betriebs- und Geschäftsgeheimnisse — alles also, was der/dem Schweigepflichtigen in der Berufsausübung anvertraut wird. Strafrahmen: bis zu einem Jahr Freiheitsstrafe oder Geldstrafe. Wer das Geheimnis gegen Entgelt offenbart, riskiert nach Abs. 5 bis zu zwei Jahre Freiheitsstrafe.
Die Reform 2017 — Einbindung von Dienstleistern
Mit dem „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" (BGBl. I 2017, S. 3618) wurde § 203 Abs. 3 und Abs. 4 StGB neu gefasst. Seither dürfen Berufsgeheimnisträger ausdrücklich mitwirkende Personen einbeziehen — also IT-Dienstleister, Cloud-Anbieter, Transkriptionsdienste, Schreibbüros, Reinigungspersonal usw. Die Mitwirkenden machen sich nach § 203 Abs. 4 Satz 1 StGB zwar grundsätzlich strafbar, wenn sie offenbaren — nicht aber, wenn sie nach Abs. 4 Satz 2 schriftlich zur Verschwiegenheit verpflichtet wurden und über die Strafbarkeit belehrt wurden.
Sieben Voraussetzungen für die rechtmäßige Einbindung
1. Erforderlichkeit der Einbindung
Der Dienstleister darf nur eingebunden werden, soweit das für die Berufsausübung erforderlich ist. Bei Transkription typischerweise unproblematisch — bei Datenübermittlung an Sub-Dienstleister kritischer prüfen.
2. Schriftliche Verschwiegenheitsverpflichtung
Nach § 203 Abs. 4 Satz 2 Nr. 1 StGB zwingend: schriftliche Verpflichtung der mitwirkenden Personen zur Verschwiegenheit. Der reine DSGVO-AVV reicht nicht — er deckt nur die datenschutzrechtliche Seite ab, nicht die strafrechtliche.
3. Belehrung über die Strafbarkeit
Die Mitwirkenden müssen über die Strafbarkeit nach § 203 Abs. 4 Satz 1 StGB belehrt werden. In der Praxis: Klausel in der schriftlichen Verpflichtung mit Verweis auf den Strafrahmen.
4. Auswahl und Überwachung
Die Auswahl der Mitwirkenden und die Überwachung der Einhaltung der Verschwiegenheit liegt beim/bei der Berufsgeheimnisträger:in. Fahrlässige Auswahl oder fehlende Überwachung kann nach § 203 Abs. 4 Satz 2 Nr. 2 StGB selbst strafbar machen.
5. AVV nach DSGVO Art. 28 parallel
Datenschutzrechtlich braucht es zusätzlich einen AVV nach Art. 28 DSGVO mit dem Dienstleister. Strafrecht (§ 203) und Datenschutzrecht (DSGVO) laufen parallel — beides erfüllen.
6. Subprozessoren mitdenken
Wenn der Dienstleister selbst Mitwirkende einbindet (Cloud-Hoster, Zahlungsanbieter etc.), muss die Verpflichtungs-Kette weiterreichen. Im AVV oder im § 203-Anhang regeln, dass auch Subprozessoren entsprechend verpflichtet werden.
7. Dokumentation
Im Streitfall ist die Berufsgeheimnisträger:in beweisbelastet, dass die Verpflichtungen wirksam erfolgt sind. Unterlagen mindestens 5 Jahre vorhalten — sinnvoll ist eine Anbindung an die Mandanten-Akte.
Konkret bei Transkriptionsdiensten
Was der Anbieter liefern muss
Ein für Berufsgeheimnisträger geeigneter Transkriptionsdienst stellt eine § 203-Verpflichtungserklärung zur Verfügung — entweder als Bestandteil des AVV oder als separates Dokument. Mitwirkende Personen (alle Angestellten und externe Dienstleister des Anbieters mit Zugriff auf Inhalte) müssen schriftlich verpflichtet sein.
Was die Kanzlei dokumentieren muss
Zur eigenen Akte: ausgefüllte Verpflichtungserklärung, AVV, ggf. TOM-Anhang, Auswahl-Begründung („warum gerade dieser Anbieter"), Schulungsnachweis interner Mitarbeitenden, die das Tool nutzen.
Was bei Sub-Dienstleistern zu beachten ist
Wenn der Transkriptionsanbieter selbst Cloud-Hoster, KI-Subprovider oder Zahlungsabwickler nutzt, müssen auch diese Mitwirkenden verpflichtet sein. Ein seriöser Anbieter dokumentiert das transparent in der Subprozessor-Liste.
Konsequenzen bei lückenhafter Einbindung
Fehlt die schriftliche Verpflichtung, ist der Mitwirkende strafbar — und die einbindende Berufsgeheimnisträger:in kann nach § 203 Abs. 4 Satz 2 Nr. 2 StGB selbst strafbar sein, wenn sie/er die Verpflichtung pflichtwidrig nicht eingeholt hat.
Weiterführend
Quellen & Hinweise
StGB §§ 203 Abs. 1, 3, 4, 5 (Berufsgeheimnis und Mitwirkende) · Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter (BGBl. I 2017, S. 3618) · DSGVO Art. 28 · BRAO § 43a · BRAK-Hinweise zur § 203-Reform · DSK-Hinweise zur Anwaltschaft. **Wichtiger Hinweis:** Dieser Beitrag ist allgemeine Information zum strafrechtlichen Rahmen und ersetzt keine Rechtsberatung. Strafrechtliche Bewertungen sind einzelfallabhängig — bei konkreten Mandatslagen wenden Sie sich an die zuständige Rechtsanwaltskammer oder eine spezialisierte strafrechtliche Beratung.
Transkribr für Berufsgeheimnisträger
Verpflichtungserklärung nach § 203 Abs. 4 Satz 2 Nr. 1 StGB für alle mitwirkenden Personen auf Anfrage, AVV nach Art. 28 DSGVO, Verarbeitung auf eigener GPU-Infrastruktur in Deutschland, sofortige Audio-Löschung nach Transkription, kein KI-Training mit Ihren Daten. Anfrage: contact@transkribr.eu. Zahlungsabwicklung über Stripe (EU-Niederlassung Irland, US-Mutterkonzern; Mandanten-Inhalte fließen nicht über Stripe). 15 Minuten kostenlos testen.
Kostenlos testen