Die Einbringung einer Einzelpraxis oder einer Gesellschaft in eine Andere ist mit zahlreichen steuerlichen und rechtlichen Besonderheiten verbunden. Was aus dem Auge des Steuerberaters und Gesellschaftsrechtlers jedoch möglich erscheint, kann sich aus Sicht des Datenschutzes durchaus als problematisch erweisen. Die Betrachtung darf daher nicht isoliert erfolgen.
Die Frage ist einfach: Können personenbezogene Daten der Mandanten einer Einzelkanzlei bzw. der Patienten einer Einzelpraxis bzw. solche einer Berufsausübungsgemeinschaft in eine neue Gesellschaft eingebracht werden? Davon zu unterscheiden ist die anschließende Frage: Dürfen neu aufgenommene Gesellschafter auf die personenbezogenen Daten der bisherigen Mandanten bzw. Patienten zugreifen?
Ärzte, Zahnärzte, Tierärzte, Apotheker, Berufspsychologen, Rechtsanwälte, Patentanwälte, Notare, Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater haben eines gemein: Sie sind der Schweigepflicht unterworfen; ein Bruch mit dieser kann nach § 203 StGB strafbar sein. Auch die Datenschutzgrundverordnung und die Berufsordnungen bieten einige zu beachtende Vorgaben. Wer sich dabei auf die bereits etwas betagte – vor Inkrafttreten der DSGVO ergangene – Rechtsprechung berufen will, sollte diese nicht nur genau lesen, sondern im Lichte des Datenschutzrechts auch neu bewerten. Die sich aus den verschiedenen Rechtsnormen ergebenden Verpflichtungen gelten nicht nur gegenüber Außenstehenden, sondern können sich zugleich auf Berufskollegen – selbst solche der eigenen Gesellschaft – erstrecken.
Der Bundesgerichtshof ging bislang davon aus, dass die Erteilung eines Mandats an die Gesellschaft regelmäßig eine stillschweigende Befreiung aller Berufsträger von der Verschwiegenheitspflicht umfasst, soweit es um die Kommunikation untereinander geht; der Wissenstransfer werde nicht nur gebilligt, sondern möglicherweise vom Patienten/Mandanten auch erwartet. Erwähnenswert sind demgegenüber die Anforderungen der Landesdatenschutzbeauftragten an Rollen- und Berechtigungskonzepte, vergleiche beispielhaft die Erwägungen des 44. Tätigkeitsbereicht des Hessische Landesdatenschutzbeauftragten zum Umgang mit Patientenakten in einem Klinikum: Nicht erforderliche Zugriffe nicht beteiligter Mitarbeiter auf Patientenakten sind zu unterbinden. Zwar üben Gesellschafter eine andere Stellung aus als Mitarbeiter: Muss aber ein ehemaliger Mandant oder Patient davon ausgehen, dass neue Gesellschafter auch uneingeschränkten Zugriff auf seine Altakten haben? Die Frage sollte nicht schwer zu beantworten sein. Bei genauer Betrachtung der Rechtsprechung des Bundesgerichtshofs widerspricht sich dies nicht: Der Zugriff eines neuen Gesellschafters auf Altakten dürfte selbst unter Beachtung der bisherigen Rechtsprechung zur Verschwiegenheitspflicht zu verneinen sein; der Wissenstransfer erweist sich für den Mandanten/Patienten nur während der laufenden Mandats-/Patientenbeziehung als sinnvoll. Entsprechendes dürfte gelten, wenn in einer Angelegenheit zwei nicht zusammenhängende Fachrichtungen oder Referate betroffen sind.
Bestand bislang keine Gesellschaft und schließen sich zwei Berufsträger zu einer solchen zusammen, dürfte ebenfalls keine Berechtigung zur Einsicht in die gegenseitigen Akten bestehen. Schließen sich berufsfremde Berufsträger – wie Arzt, Patentanwalt, Rechtsanwalt und Steuerberater – zusammen, bleibt der Zugriff auf die gegenseitigen Bestandsdaten ebenfalls nicht unproblematisch, vergleiche BVerfG, Beschluss vom 12.01.2016 – 1 BvL 6/13. Der Zusammenschluss kann möglich sein; dennoch sind zum Schutze der individuellen Mandanten-/Patienteninteressen Regelung zu den Zugriffsrechten zu fordern. Soweit das Bundesverfassungsgericht auf die Gehilfenregelung verweist, dürfte dies nur gemeinsam bearbeitete Akten umfassen.
Bei dem Verkauf einer Einzelpraxis an einen anderen Berufsträger zur Fortführung muss grundsätzlich die Einwilligung der Mandanten bzw. Patienten in die Fortführung der Akten eingeholt werden. Mehr dazu in Staufer, Kauf und Verkauf einer Arztpraxis, in Ratzel/Luxenburger, Handbuch Medizinrecht, 4., neu bearbeitete Auflage, 2020, C.F. Müller.
Zusammenfassend
Das Datenschutzrecht spielt auch bei Unternehmenszusammenschlüssen eine nicht zu vernachlässigende Rolle. Rollen- und Nutzungskonzepte sollten sowohl bei Kauf und Verkauf von Einzelpraxen, aber auch bei Eintreten neuer Gesellschafter in eine Gesellschaft, bei Gesellschaftsgründung, Einbringung einer Kanzlei in eine Andere und letztlich bei Fusion bedacht und erarbeitet werden. Abzustellen ist – wie so oft – auf den jeweiligen Einzelfall. Selbst wenn strafrechtliche Verfolgung bereits aufgrund des Antragserfordernisses und der Verjährung weniger zu befürchten sind, könnte das Verfolgungsinteresse der datenschutzrechtlich Betroffenen durchaus höher sein.
Das pragmatische Problem ist, dass viele Softwarehersteller dieses Problem nicht auf dem Schirm haben oder ignorieren. Derweil würden die datenschutzrechtlichen Grundsätze Privacy by Default und Privacy by Design eine datenschutzkonforme Umsetzung mit Rollen- und Nutzungskonzepten gebieten. Oft scheitert es bereits daran, Akten generell per default auf Sachbearbeiter und Assistenz oder jedenfalls Benutzergruppen zu beschränken?
Bildquellen
- imprint-868979: Bild von Foundry Co auf Pixabay | Pixabay Lizenz