Im Juni 2017 verabschiedete der Bundestag das Gesetz zur Neufassung des § 203 StGB, welcher es Angehörigen von Versicherungsunternehmen der privaten Kranken-, Unfall- oder Lebensversicherung untersagt, unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, das ihnen aufgrund ihrer Funktion anvertraut wurde oder von dem sie Kenntnis erlangt haben, zu offenbaren.
Amendments to Article 203 StGB – act of liberation for IT-Outsourcing in the insurance sector?
In June 2017, the German Federal Parliament passed a law amending Article 203 StGB (German Criminal Code), which prohibits members of private health, accident or life insurance companies from disclosing a foreign secret, namely a secret concerning their personal sphere or a trade or business secret, without authorisation. The previous version of Article 203 StGB (German Penal Code) resulted in insurance companies operating their own IT systems and other business processes instead of using IT outsourcing (ITO) or Business Process Outsourcing (BPO) measures that could potentially increase efficiency and promote innovation. This was largely due to the risk of criminal liability. In order to enable insurance companies to benefit from digitization and technological progress, the new Article 203 StGB extends the circle of persons to whom a private secret may be lawfully disclosed to include those persons who merely participate in the activities of the professional secrecy institution, including external service providers. This legislative amendment can be seen as a step in the right direction for private health, accident or life insurance companies.
Die bisherige Fassung des § 203 StGB hatte zur Folge, dass Versicherungsunternehmen aufgrund des Strafbarkeitsrisikos ihre IT-Systeme und andere Geschäftsprozesse weitgehend selbst betreiben, anstatt von potenziell effizienzsteigernden und innovationsfördernden Maßnahmen des IT-Outsourcing (ITO) oder Business Process Outsourcing (BPO) Gebrauch zu machen. Es war ausdrückliche Intention des Gesetzgebers, mit der Novellierung des § 203 StGB die in Ermangelung höchstrichterlicher Rechtsprechung bestehende Rechtsunsicherheit zu beseitigen und betroffenen Versicherungsunternehmen die wirtschaftliche Nutzung von Digitalisierung und technologischem Fortschritt zu ermöglichen. Zu diesem Zweck wurde der Kreis von denjenigen Personen, denen gegenüber ein privates Geheimnis rechtmäßig offenbart werden darf – über den Kreis der „berufsmäßig tätigen Gehilfen“ (idR Angestellten) des Berufsgeheimnisträgers hinaus – auf solche Personen ausgeweitet, die an der Tätigkeit des Berufsgeheimnisträgers lediglich mitwirken, also auch externe Dienstleister. Als Beispiele für mitwirkende Tätigkeiten nennt die Gesetzesbegründung sowohl typische IT-Dienstleistungen als auch Tätigkeiten, die dem BPO zugeordnet werden können. Die Grundlage für das Tätigwerden von „mitwirkenden Personen“ kann ein Vertrag oder ein sonstiger Rechtsgrund sein. Bei mehrstufigen Mitwirkungsverhältnissen bedarf es einer lückenlosen Vertragskette zwischen dem Berufsgeheimnisträger und der tatsächlich mitwirkenden Person; nicht erforderlich ist jedoch eine direkte Vertragsbeziehung zwischen dem Versicherungsunternehmen und dem Unterauftragnehmer. Aufwendige Konstruktionen wie der Abschluss von Doppelarbeitsverhältnissen oder die Einräumung von direkten Weisungsrechten gegenüber Angestellten von externen Dienstleistern, die bisher praktiziert wurden, um eine Gehilfeneigenschaft des Auftragnehmers zu konstruieren, sind nunmehr nicht mehr erforderlich. Allerdings unterliegt die befugte Weitergabe an mitwirkende Personen einer wesentlichen Einschränkung: Der Berufsgeheimnisträger darf nicht mehr geschützte Geheimnisse preisgeben, als notwendig ist, damit er die Tätigkeit der mitwirkenden Person übertragen kann. Betroffene Versicherungsunternehmen müssen somit für jeden Einzelfall eine umfassende und genaue Prüfung vornehmen, ob und in welchem Umfang die Voraussetzungen des „need to know“ tatsächlich vorliegen. Hinsichtlich der mitwirkenden Personen trifft den Berufsgeheimnisträger darüber hinaus die Pflicht, dafür Sorge zu tragen, dass diese „zur Geheimhaltung verpflichtet“ werden. Zugleich trifft diese mitwirkenden Personen nun kraft des neuen § 203 StGB ebenfalls ein Strafbarkeitsrisiko, was dem Schutz des Inhabers des Geheimnisses dienen soll. Die Neufassung des § 203 StGB kann für Versicherungsunternehmen der privaten Kranken-, Unfall- oder Lebensversicherung insgesamt als Schritt in die richtige Richtung gewertet werden.