Immer wieder wird die Frage gestellt, ob Berufsgeheimnisträger wie Ärzte die Kundendaten einem informationstechnologischen Cloudanbieter anvertrauen dürfen, ohne sich strafbar zu machen. Was sagt das Gesetz dazu?
Cloudmitarbeitende werden zu Hilfspersonen
Das sagt Artikel 321 des Strafgesetzbuchs über die Berufsgeheimnisträger: «Geistliche, Rechtsanwälte, Verteidiger, Notare, Patentanwälte, nach Obligationenrecht 309 zur Verschwiegenheit verpflichtete Revisoren, Ärzte, Zahnärzte, Chiropraktoren, Apotheker, Hebammen, Psychologen sowie ihre Hilfspersonen, die ein Geheimnis offenbaren, das ihnen infolge ihres Berufes anvertraut worden ist oder das sie in dessen Ausübung wahrgenommen haben, werden, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.»
Somit anerkennt der Gesetzgeber, dass all diese Berufsgeheimnisträger unmöglich alle Arbeiten selbst erledigen können und Hilfspersonen brauchen. Da diese Hilfspersonen zwangsläufig mit strafrechtlich relevanten berufsgeheimnisgeschützten Daten in Berührung kommen, sind sie desgleichen dem Berufsgeheimnis unterstellt. Wer einem Berufsgeheimnisträger gemäss Artikel 321 des Strafgesetzbuches in der Cloud die informationstechnologische Infrastruktur zur Verfügung stellt, gilt dann auch als Hilfsperson, die desgleichen dem Berufsgeheimnis unterstellt ist.
Damit ergibt sich folgende rechtliche Schlussfolgerung: Die Mitarbeitenden des informationstechnologischen Cloudanbieters, die mit strafrechtlich relevanten berufsgeheimnisgeschützten Daten des Berufsgeheimnisträgers in Berührung kommen, gelten als dessen Hilfspersonen gemäss Artikel 321 des Strafgesetzbuchs. Der Berufsgeheimnisträger wie ein Arzt darf deshalb dem Cloudanbieter und dessen Mitarbeitenden berufsgeheimnisgeschützte Daten anvertrauen, ohne sich strafbar zu machen. Denn diese Mitarbeitenden des Cloudanbieters sind als Hilfspersonen desgleichen dem Berufsgeheimnis mit Strafandrohung unterstellt.
Einschränkung
In der Rechtsliteratur wird dazu folgende Einschränkung gemacht: «Als Ausfluss der datenschutzrechtlichen Prinzipien gilt es aber zu beachten, dass nur ‘soviele’ und ‘solche’ berufsgeheimnisgeschützten Daten in die Cloud übertragen werden dürfen, wie dies für den spezifischen Auslagerungszweck notwendig ist und dass nur diejenigen Mitarbeitenden des Cloudanbieters auf die berufsgeheimnisgeschützten Daten zugreifen können dürfen, welche einen solchen Zugriff zur Aufgabenerfüllung unmittelbar benötigen. Ein Berufsgeheimnisträger wie der Arzt wird daher vor einem Outsourcing von berufsgeheimnisgeschützten Daten in die Cloud vertraglich sicherstellen wollen, dass der Cloudanbieter sich an diese Grundsätze hält» (sinngemäss aus David Schwaninger / Stephanie S. Lattmann, Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke, in: Newsletter 11. März 2013).