§ 203 StGB & Legal-Tech: Monitoring-Anforderungen für Software mit Berufsgeheimnisträger-Kunden
Kanzleien reichen ihre § 203-StGB-Pflichten an Legal-Tech-Anbieter weiter — und du an deine Sub-Dienstleister. § 43e BRAO, CLOUD Act und die Nachweiskette.
Seit der Reform von 2017 dürfen Berufsgeheimnisträger — Rechtsanwälte, Notare, Steuerberater, Wirtschaftsprüfer, ebenso Ärzte — externe IT-Dienstleister einbeziehen: § 203 Abs. 3 S. 2 StGB stellt das Offenbaren gegenüber mitwirkenden Personen straffrei, soweit es für deren Tätigkeit erforderlich ist. Der Preis dafür: Der Dienstleister wird selbst strafbewehrt in die Pflicht genommen (§ 203 Abs. 4 S. 1 StGB), und die Kanzlei muss ihn nach § 43e BRAO in Textform zur Verschwiegenheit verpflichten.
Wenn du Legal-Tech- oder SaaS-Software für Kanzleien, Steuerberater oder Wirtschaftsprüfer anbietest, heißt das konkret: Deine Kunden reichen diese Pflichten vertraglich an dich weiter — und du reichst sie an jeden deiner Sub-Dienstleister weiter, vom Hoster bis zum Monitoring-Tool. Dieser Artikel zeigt, wie diese Kette rechtlich funktioniert und mit welchen Vertrags- und Nachweisartefakten du sie sauber abbildest. Er ersetzt keine Rechtsberatung.
Warum betrifft § 203 StGB dich als Software-Anbieter — und nicht nur deine Kanzlei-Kunden?
§ 203 Abs. 1 StGB stellt das unbefugte Offenbaren fremder Geheimnisse unter Strafe: Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Zu den Berufsgeheimnisträgern zählen unter anderem Ärzte und Angehörige der Heilberufe (Nr. 1) sowie Rechtsanwälte, Notare, Wirtschaftsprüfer und Steuerberater (Nr. 3). In den Qualifikationsfällen des Abs. 6 — Handeln gegen Entgelt oder mit Bereicherungs- bzw. Schädigungsabsicht — steigt die Strafandrohung auf bis zu zwei Jahre.
Lange betraf das nur die Berufsträger selbst. Seit 2017 ist das anders: § 203 Abs. 4 S. 1 StGB stellt die mitwirkende Person selbst unter Strafandrohung, wenn sie ein fremdes Geheimnis unbefugt offenbart, das ihr bei der Tätigkeit bekannt geworden ist — und „mitwirkende Person” ist ausdrücklich auch der externe IT-Dienstleister. Also du.
Die Kette endet auch nicht bei dir: Nach § 203 Abs. 4 S. 2 Nr. 2 StGB trifft mitwirkende Personen, die sich ihrerseits weiterer Personen bedienen — also Sub-Dienstleister einsetzen —, dieselbe Verpflichtungspflicht. Dein Hoster, dein E-Mail-Versand, dein Monitoring-Anbieter: alles Glieder derselben strafrechtlich abgesicherten Kette.
Was hat die Reform von 2017 konkret geändert?
Vor 2017 bewegten sich Kanzleien beim IT-Outsourcing in einer Grauzone: Schon die Möglichkeit der Kenntnisnahme durch einen externen Administrator konnte als unbefugtes Offenbaren gewertet werden. Das Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung vom 30. Oktober 2017 (BGBl. I S. 3618) hat das aufgelöst — mit einem klaren Tauschgeschäft:
- Erlaubnis: § 203 Abs. 3 S. 2 StGB gestattet das Offenbaren gegenüber „sonstigen Personen …, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist” — ausdrücklich auch entlang der Sub-Dienstleister-Kette.
- Gegenleistung: Die mitwirkende Person wird selbst strafbewehrt (Abs. 4 S. 1), und der Berufsgeheimnisträger muss sie zur Geheimhaltung verpflichten. Unterlässt er das, macht er sich nach Abs. 4 S. 2 Nr. 1 strafbar — allerdings nur, wenn die nicht verpflichtete Person das Geheimnis dann tatsächlich unbefugt offenbart. Kein abstraktes Organisationsdelikt also, aber ein reales Strafbarkeitsrisiko, das keine Kanzlei eingehen will.
Die praktische Folge: Kanzleien dürfen dich beauftragen — aber nur mit förmlicher Verpflichtung. Genau diese Klausel wirst du in jedem Vertragsentwurf deiner Kanzlei-Kunden wiederfinden.
Welche Pflichten reicht § 43e BRAO an dich weiter?
Das Berufsrecht konkretisiert, was das Strafrecht rahmt. § 43e BRAO regelt für Rechtsanwälte die Inanspruchnahme von Dienstleistungen:
- Abs. 1: Der Anwalt darf Dienstleistern Zugang zu Geheimnissen gewähren, „soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist”.
- Abs. 2: Er muss den Dienstleister sorgfältig auswählen und die Zusammenarbeit unverzüglich beenden, wenn die Geheimhaltung nicht gewährleistet ist.
- Abs. 3: Der Vertrag muss in Textform geschlossen werden (nicht Schriftform — eine E-Mail-taugliche Form genügt) und drei Punkte enthalten: die Verschwiegenheitsverpflichtung mit Belehrung über die strafrechtlichen Folgen (Nr. 1), die Beschränkung der Kenntnisnahme auf das Erforderliche (Nr. 2) und die Pflicht, weitere Personen nur bei entsprechender Verpflichtung einzusetzen (Nr. 3).
- Abs. 4: Dienstleister im Ausland nur, wenn der dortige Geheimnisschutz dem deutschen vergleichbar ist.
- Abs. 5: Mandatsbezogene Dienstleistungen im Einzelfall nur mit Einwilligung des Mandanten.
Für Steuerberater und Wirtschaftsprüfer existieren mit § 62a StBerG und § 50a WPO strukturgleiche Parallelvorschriften — Textform, Auslandsregel, Einwilligungsvorbehalt. Dazu kommt § 2 Abs. 2 BORA (Stand 01.12.2025): Anwälte müssen die „erforderlichen organisatorischen und technischen Maßnahmen” zum Schutz des Mandatsgeheimnisses treffen — „risikoadäquat” und nach dem „Stand der Technik”. Diese Anforderung landet in Ausschreibungen regelmäßig als Frage nach Verfügbarkeit, Härtung und Incident-Prozessen bei dir.
Der entscheidende Punkt: § 43e Abs. 3 Nr. 3 BRAO und § 203 Abs. 4 S. 2 Nr. 2 StGB machen dich zum Weiterreicher. Was die Kanzlei dir vertraglich auferlegt, musst du spiegelbildlich jedem deiner Sub-Dienstleister auferlegen — sonst kannst du deine eigene Vertragspflicht gegenüber der Kanzlei nicht erfüllen.
Wie übersetzt du die Normen in Vertrags- und Nachweisartefakte?
Das ist die Tabelle, die du für Vendor-Fragebögen und deine eigene Sub-Dienstleister-Steuerung brauchst:
| Anforderung an die Dienstleisterkette | Norm | Dein Nachweis-/Vertragsartefakt |
|---|---|---|
| Verschwiegenheitsverpflichtung in Textform mit Belehrung über strafrechtliche Folgen | § 43e Abs. 3 Nr. 1 BRAO | Verschwiegenheits-Vertragsbaustein mit jedem Sub-Dienstleister (Textform genügt, z. B. als Anlage zum AVV) |
| Kenntnisnahme nur, soweit erforderlich | § 43e Abs. 3 Nr. 2 BRAO | Tool-Auswahl nach Datensparsamkeit — z. B. Monitoring, das nur Endpunkte, Antwortzeiten und Statuscodes sieht, nie Mandatsinhalte |
| Weitere Personen nur bei entsprechender Verpflichtung | § 43e Abs. 3 Nr. 3 BRAO, § 203 Abs. 4 S. 2 Nr. 2 StGB | Gepflegte, veröffentlichte Sub-Processor-Liste plus Verpflichtungsnachweise je Glied der Kette |
| Sorgfältige Auswahl, Beendigung bei Nichteinhaltung | § 43e Abs. 2 BRAO | Dokumentierte Vendor-Due-Diligence mit Prüfdatum und Exit-Kriterien |
| Auslandsdienstleister nur bei vergleichbarem Geheimnisschutz | § 43e Abs. 4 BRAO | Dokumentierte Jurisdiktion jedes Anbieters; EU-/DE-Hosting vermeidet die offene Vergleichbarkeitsfrage |
| Auftragsverarbeitung | Art. 28 DSGVO | AVV mit jedem Sub-Dienstleister, inklusive TOMs — idealerweise sofort abrufbar statt per Sales-Anfrage |
| Risikoadäquate technische Maßnahmen, Stand der Technik | § 2 Abs. 2 BORA | Verfügbarkeits- und Incident-Nachweise: Monitoring-Historie, Status-Seite, dokumentierte Reaktionszeiten |
Wie du die AVV-Zeile in der Praxis in fünf Minuten prüfst — für dich selbst und für jeden Anbieter auf deiner Liste — zeigt der AVV-Check für SaaS-Anbieter.
Was bedeutet der US CLOUD Act für deine Sub-Dienstleister-Auswahl?
Die Auslandsregel des § 43e Abs. 4 BRAO trifft auf eine unbequeme Realität: Der US CLOUD Act (18 U.S.C. § 2713, eingefügt durch Pub. L. 115-141 vom 23.03.2018) verpflichtet US-Provider zur Herausgabe von Daten „regardless of whether such communication, record, or other information is located within or outside of the United States”. Ein US-Anbieter mit Frankfurter Rechenzentrum bleibt also herausgabepflichtig — der Serverstandort ändert daran nichts. Die Details haben wir im Beitrag zum US CLOUD Act & Monitoring aufgeschlüsselt.
Wichtig ist die präzise Einordnung: Daraus folgt kein Verbot von US-Diensten für Kanzleisoftware. Ob ein US-Dienstleister den „vergleichbaren” Geheimnisschutz nach § 43e Abs. 4 BRAO bieten kann, ist eine offene Rechtsfrage. Die BRAK formuliert in ihrem Leitfaden zum KI-Einsatz (Stand 12/2024, Abschnitt IT-Outsourcing): Bei US-Anbietern ist „nicht abschließend geklärt”, ob auf das Datenschutzniveau abgestellt werden kann, „so dass – soweit möglich – zumindest KI-Anbieter mit Serverstandorten in Deutschland oder Europa bevorzugt werden sollten.”
Auf DSGVO-Ebene kommt Schrems II dazu (EuGH, 16.07.2020, C-311/18): Das Privacy Shield ist ungültig, Drittlandtransfers brauchen dokumentierte Garantien. Für dich als Vendor heißt das pragmatisch: Jeder Sub-Dienstleister mit EU-Jurisdiktion und EU-Hosting ist ein Diskussionspunkt weniger — im Kanzlei-Fragebogen, im AVV und in der Vergleichbarkeitsprüfung. Welche Tools das erfüllen, kannst du in der EU Jurisdiction Database nachschlagen, die über 60 SaaS-Tools nach Jurisdiktion und CLOUD-Act-Exposition aufschlüsselt.
Ist ein Monitoring-Tool wirklich Teil deiner § 203-Kette?
Ja — und zugleich das harmloseste Glied, wenn du es richtig auswählst. Ein Uptime-Monitoring-Dienst ist ein Sub-Dienstleister: Er verarbeitet deine Monitor-URLs, Antwortzeiten, Statuscodes und die E-Mail-Adressen deiner Alert-Empfänger. Er gehört damit auf deine Sub-Processor-Liste, bekommt einen AVV und den Verschwiegenheitsbaustein in Textform. Was er nicht bekommt: Zugriff auf Mandats-, Fall- oder Dokumentendaten. Monitoring prüft von außen, ob ein Endpunkt antwortet — es liest keine Inhalte. Das ist „Kenntnisnahme nur soweit erforderlich” (§ 43e Abs. 3 Nr. 2 BRAO) in der einfachsten Form: Die erforderliche Kenntnisnahme liegt bei null Mandatsinhalten.
Gleichzeitig liefert Monitoring genau die Nachweise, die deine Kanzlei-Kunden von dir verlangen: belegte Verfügbarkeit, automatische Vorfall-Erkennung mit Zeitstempeln, eine öffentliche Status-Seite als transparenter Verfügbarkeitsnachweis — Bausteine für die „risikoadäquaten technischen Maßnahmen” nach § 2 Abs. 2 BORA. Zur Einordnung: Ein Monitoring-Tool macht weder dich noch deine Kunden § 203-konform. Die Auswahl-, Verpflichtungs- und Beendigungspflichten bleiben bei der Kanzlei beziehungsweise bei dir. Ein datensparsam gewähltes Tool macht die Kette aber kürzer und die Vergleichbarkeitsprüfung überflüssig.
Dieselbe Logik gilt übrigens für eine zweite Berufsgruppe aus § 203 Abs. 1 Nr. 1 StGB: Ärzte und Heilberufe. Wenn deine Software auch Praxen oder Gesundheitsdienstleister bedient, findest du die Gesundheits-Perspektive auf unserer Gesundheitswesen-Seite.
Welche Rolle spielt FoundersDeck — und welche nicht?
FoundersDeck ist ein deutsches Einzelunternehmen mit Infrastruktur ausschließlich bei Netcup in Nürnberg — keine US-Muttergesellschaft, keine CLOUD-Act-Exposition, keine Drittlandtransfers für Monitoring-Daten. Der AVV steht sofort zum Download bereit, ohne Sales-Gespräch. Und architektonisch bedingt: Uptime-Checks, Heartbeat-Monitoring und cookie-freie Status-Seiten beobachten nur Endpunkte, Antwortzeiten und Statuscodes — ein Zugriff auf Mandats- oder Falldaten deiner Anwendung findet nicht statt und ist technisch nicht vorgesehen.
Was FoundersDeck nicht leistet: deine § 43e-Verpflichtungen erfüllen. Die Textform-Verpflichtung deiner Sub-Dienstleister, die Sub-Processor-Liste, die Due-Diligence-Dokumentation — das bleibt deine Aufgabe als Vendor. FoundersDeck ist ein Glied deiner Kette, das diese Prüfungen kurz und unkompliziert macht: deutsche Jurisdiktion, deutsches Hosting, sofortiger AVV, keine Mandatsdaten im Spiel.
Häufige Fragen
Darf eine Kanzlei Cloud-Software und externe IT-Dienstleister überhaupt einsetzen?
Ja. Seit der Reform vom 30. Oktober 2017 (BGBl. I S. 3618) erlaubt § 203 Abs. 3 S. 2 StGB das Offenbaren gegenüber mitwirkenden Personen — also auch IT- und Cloud-Dienstleistern —, soweit dies für die Inanspruchnahme ihrer Tätigkeit erforderlich ist. Die Kanzlei muss den Dienstleister dafür nach § 43e BRAO sorgfältig auswählen und in Textform zur Verschwiegenheit verpflichten, einschließlich Belehrung über die strafrechtlichen Folgen. Für Steuerberater und Wirtschaftsprüfer gelten mit § 62a StBerG und § 50a WPO strukturgleiche Parallelvorschriften.
Macht sich ein Legal-Tech-Anbieter nach § 203 StGB selbst strafbar?
Ja, das ist der Kern der 2017er-Reform: Nach § 203 Abs. 4 S. 1 StGB macht sich die mitwirkende Person — also auch ein Software- oder IT-Dienstleister — selbst strafbar, wenn sie ein fremdes Geheimnis unbefugt offenbart. Zusätzlich trifft dich als Anbieter mit eigenen Sub-Dienstleistern nach § 203 Abs. 4 S. 2 Nr. 2 StGB dieselbe Verpflichtungspflicht wie den Berufsgeheimnisträger. Dieser ist nach Abs. 4 S. 2 Nr. 1 nur strafbar, wenn er die Verpflichtung unterlassen hat und die nicht verpflichtete Person das Geheimnis tatsächlich unbefugt offenbart.
Ist US-Cloud für Kanzleisoftware verboten?
Nein — ein Verbot lässt sich aus den Normen nicht ableiten, aber es gibt eine offene Rechtsfrage. § 43e Abs. 4 BRAO erlaubt Auslandsdienstleister nur bei vergleichbarem Geheimnisschutz, während der US CLOUD Act (18 U.S.C. § 2713) US-Anbieter unabhängig vom Speicherort zur Datenherausgabe verpflichtet. Die BRAK hält für „nicht abschließend geklärt”, ob US-Anbieter die Vergleichbarkeit erfüllen können, und empfiehlt, soweit möglich Anbieter mit Serverstandorten in Deutschland oder Europa zu bevorzugen.
Braucht ein Uptime-Monitoring-Tool Zugriff auf Mandatsdaten?
Nein. Uptime-Monitoring beobachtet von außen, ob Endpunkte erreichbar sind — es sieht URLs, Antwortzeiten und HTTP-Statuscodes, aber keine Mandats- oder Fallinhalte. Genau das macht Monitoring zum einfachsten Fall der Anforderung „Kenntnisnahme nur soweit erforderlich” aus § 43e Abs. 3 Nr. 2 BRAO. Trotzdem bleibt der Monitoring-Anbieter Teil deiner Dienstleisterkette und gehört auf die Sub-Processor-Liste — mit AVV, Verschwiegenheitsbaustein in Textform und dokumentierter Jurisdiktion.
Dieser Artikel dient der Orientierung und ersetzt keine Rechtsberatung — die Ausgestaltung deiner Verträge und die Prüfung des Einzelfalls gehören in anwaltliche Hände. Quellen: § 203 StGB, § 43e BRAO, § 62a StBerG, § 50a WPO, BORA Stand 01.12.2025, Gesetzesmaterialien zur Reform 2017, 18 U.S.C. § 2713, BRAK-Leitfaden KI-Einsatz 12/2024, EuGH C-311/18 (Schrems II). Stand: Juli 2026.
Engin Yildirim
Gründer von FoundersDeck. 13+ Jahre Erfahrung in der Softwareentwicklung. Entwickelt EU-First-Tools für Gründer und Indie-Hacker.
Mehr über mich →