§ 203 StGB und Adressdaten: Berufsgeheimnis bei der Verarbeitung

In den meisten Diskussionen rund um Datenschutz wird die DSGVO als oberste Hürde angesehen. Für Anwälte, Steuerberater, Ärzte und ein gutes Dutzend weiterer Berufsgruppen ist das nur die halbe Wahrheit. Über der DSGVO steht in diesen Berufen § 203 StGB, das strafrechtliche Berufsgeheimnis. Eine fahrlässige Weitergabe einer Mandanten- oder Patientenadresse ist hier keine Ordnungswidrigkeit mit Bußgeld, sondern eine Straftat, die mit bis zu einem Jahr Freiheitsstrafe geahndet werden kann.

Was viele unterschätzen: Schon die schlichte Tatsache, dass eine bestimmte Person Mandant oder Patient bei Ihnen ist, fällt unter den Schutz. Eine Adressliste, die Sie an einen externen Dienstleister zur Dublettenbereinigung schicken, kann den Tatbestand erfüllen. Nicht erst die medizinische Diagnose oder die Steuerakte – allein die Tatsache des Mandatsverhältnisses reicht.

Adressbereinigung ohne § 203 StGB-Risiko? ListenFix verarbeitet Mandanten- und Patientendaten komplett offline auf Ihrem eigenen Rechner. Kein Cloud-Upload, keine Datenübertragung an Dritte. Jetzt kostenlos testen

Wer ist Berufsgeheimnisträger nach § 203 StGB?

Der Kreis der erfassten Berufsgruppen ist deutlich größer als oft angenommen. § 203 Abs. 1 StGB nennt:

• Ärzte, Zahnärzte, Tierärzte, Apotheker und Angehörige eines anderen Heilberufs
• Berufspsychologen mit staatlich anerkannter Abschlussprüfung
• Rechtsanwälte, Patentanwälte, Notare
• Verteidiger in einem gesetzlich geordneten Verfahren
• Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater, Steuerbevollmächtigte
• Mitglieder einer staatlich anerkannten Beratungsstelle für Schwangerschafts- oder Suchtfragen
• Staatlich anerkannte Sozialarbeiter und Sozialpädagogen
• Angehörige eines privaten Kranken-, Unfall- oder Lebensversicherungsunternehmens

Hinzu kommen nach Abs. 2 Amtsträger und für den öffentlichen Dienst besonders Verpflichtete. Erweitert wurde die Norm 2017 um Abs. 3: Auch berufsmäßig tätige Gehilfen und Personen, die im Rahmen ihrer Berufsausübung Kenntnis erlangen – Sekretariate, IT-Dienstleister, externe Buchhalter – sind erfasst. Genau dieser Absatz ist für die Adressdaten-Verarbeitung entscheidend.

Adressdaten als geschütztes Geheimnis – das wird oft übersehen

Ein "Geheimnis" im Sinne von § 203 ist jede Tatsache, die nur einem begrenzten Personenkreis bekannt ist und an deren Geheimhaltung der Betroffene ein berechtigtes Interesse hat. Der Bundesgerichtshof hat in mehreren Entscheidungen klargestellt: Auch die bloße Tatsache, dass jemand Mandant einer Anwaltskanzlei oder Patient einer bestimmten Praxis ist, fällt darunter (BGH NStZ 1995, 76).

Daraus folgt: Sobald eine Adressliste eindeutig einer bestimmten Praxis, Kanzlei oder Beratungsstelle zugeordnet werden kann, ist die gesamte Liste schutzbedürftig. Das gilt unabhängig davon, ob Diagnosen, Steuerunterlagen oder andere inhaltliche Informationen mit übertragen werden.

Beispiele für unterschätzte Konstellationen

Datei: kanzlei_meier_mandanten_2026.xlsx
Inhalt: 1.247 Datensätze mit Name, Adresse, E-Mail

Diese Datei ist bereits durch § 203 StGB geschützt – der Dateiname ordnet die Personen einer bestimmten Kanzlei zu. Das Hochladen in ein Cloud-Tool ohne ausreichende vertragliche Absicherung kann den Straftatbestand erfüllen, selbst wenn keine inhaltlichen Mandatsinformationen mitübertragen werden.

Datei: psychotherapie_praxis_versand.csv
Inhalt: Adressen für jährlichen Newsletter

Auch hier reicht die Zuordnung zur psychotherapeutischen Praxis, um den Schutzbereich zu eröffnen. Patienten wollen typischerweise nicht, dass Dritte erfahren, dass sie überhaupt in psychotherapeutischer Behandlung sind.

Welche Sanktionen bei Verstoß drohen

Im Vergleich zur DSGVO ist § 203 StGB strafrechtlich – mit allen Konsequenzen für die persönliche Verantwortung der handelnden Person.

Aspekt	DSGVO	§ 203 StGB
Rechtsfolge	Bußgeld gegen Unternehmen	Freiheits- oder Geldstrafe gegen Person
Strafrahmen	Bis 20 Mio. EUR oder 4 % Jahresumsatz	Bis 1 Jahr Freiheitsstrafe, gewerblich bis 2 Jahre
Verfolgung	Aufsichtsbehörde nach Beschwerde	Strafanzeige, Antragsdelikt nach § 205 StGB
Berufsrechtliche Folge	Indirekt	Approbations-, Zulassungs- oder Bestallungsentzug möglich
Zivilrechtliche Folge	Schadensersatz nach Art. 82 DSGVO	Schadensersatz nach § 823 BGB
Versicherbarkeit	Eingeschränkt	Vorsatz nicht versicherbar

Die strafrechtliche Verantwortung trifft die natürliche Person – also den Anwalt, Arzt oder Steuerberater selbst. Eine GmbH oder Kanzleisozietät kann diese Verantwortung nicht abnehmen. Auch Compliance-Strukturen schützen nicht vor strafrechtlicher Verfolgung, wenn die Offenbarung dem konkreten Berufsgeheimnisträger zurechenbar ist.

Die Reform 2017: Outsourcing wurde möglich – aber mit Auflagen

Bis 2017 war praktisch jede Auslagerung von Datenverarbeitung an externe Dienstleister bei Berufsgeheimnisträgern juristisch problematisch. Mit dem "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" wurde § 203 Abs. 3 StGB neu gefasst.

Seitdem ist die Einbeziehung externer Dienstleister grundsätzlich erlaubt, wenn drei Bedingungen erfüllt sind:

1. Erforderlichkeit: Die Mitwirkung des Dritten muss für die ordnungsgemäße Berufsausübung erforderlich sein. Reine Bequemlichkeit reicht nicht.
2. Schriftliche Verpflichtung: Der Dienstleister und alle seine Mitarbeiter, die Zugang zu den Daten haben, müssen schriftlich zur Geheimhaltung verpflichtet werden – mit Hinweis auf die Strafbarkeit nach § 203 StGB.
3. Sorgfältige Auswahl und Kontrolle: Der Berufsgeheimnisträger bleibt für die Auswahl und laufende Kontrolle des Dienstleisters verantwortlich. Eine Verletzung dieser Pflicht kann selbstständig strafbar sein.

In der Praxis bedeutet das: Bei einem typischen US-Cloud-Anbieter, der weltweit verteilte Rechenzentren betreibt und dessen Mitarbeiter über mehrere Subunternehmer hinweg auf Daten zugreifen können, lässt sich diese Verpflichtungs- und Kontrollkette praktisch nicht lückenlos abbilden. Das ist nicht eine Frage des "guten Willens", sondern der strukturellen Realisierbarkeit.

Die drei realistischen Optionen für die Adressbereinigung

Wer als Berufsgeheimnisträger seine Adressliste sauber bekommen will – Dubletten entfernen, Umzüge erkennen, Anreden vereinheitlichen – hat drei tragfähige Wege.

Option 1: Inhouse mit Excel oder selbstgeschriebenen Skripten

Vorteil: Kein Dritter ist beteiligt, § 203 StGB ist von vornherein kein Problem.

Nachteil: Excel scheitert an typischen Adressdubletten. "Müller, Hans, Hauptstr. 12" und "Mueller, H., Hauptstrasse 12" sind für Excel zwei verschiedene Personen, obwohl es offensichtlich derselbe Mandant ist. Die manuelle Nachbearbeitung kostet bei einer Liste mit 5.000 Datensätzen typischerweise zwei bis drei Arbeitstage.

Option 2: Externer Dienstleister mit AVV und § 203-Verpflichtung

Vorteil: Professionelle Bereinigungsalgorithmen, geringer interner Aufwand.

Nachteil: Aufwendige rechtliche Vorbereitung. Sie brauchen einen AVV nach Art. 28 DSGVO plus eine schriftliche Geheimhaltungsverpflichtung nach § 203 Abs. 4 StGB für den Dienstleister und nachweisbar für jeden Mitarbeiter, der mit den Daten in Berührung kommt. Bei jedem Personalwechsel beim Dienstleister muss neu verpflichtet werden. Verstöße führen zur eigenen Mitverantwortung des Berufsgeheimnisträgers.

Für eine einmalige Bereinigung steht der juristische Aufwand selten im Verhältnis zum Nutzen. Für regelmäßige Auslagerungen kann es sich rechnen, sofern der Dienstleister die Strukturen nachweisbar abbildet.

Option 3: Lokale Software auf dem eigenen Rechner

Vorteil: Daten verlassen nie das Kanzlei- oder Praxisnetzwerk. Es gibt keinen Dritten, der zu verpflichten wäre, weil keine Offenbarung stattfindet. § 203 StGB greift gar nicht erst.

Nachteil: Sie sind auf eine Software angewiesen, die wirklich offline arbeitet – also weder Datenuploads noch Telemetrie an Server des Herstellers sendet.

Diese dritte Option ist der pragmatische Mittelweg: professionelle Algorithmen ohne den juristischen Aufwand der externen Beauftragung. Für Berufsgeheimnisträger ist sie meist die wirtschaftlich und rechtlich klar überlegene Lösung.

Was Sie bei der Software-Auswahl prüfen sollten

Bei Software, die mit "DSGVO-konform" oder "lokal" wirbt, lohnt eine genaue Prüfung. Drei Punkte sind entscheidend:

1. Lizenzaktivierung ohne Datenupload: Manche Tools laden zur Aktivierung die zu verarbeitende Datei oder Auszüge davon hoch. Prüfen Sie das mit einem Netzwerk-Mitschnitt oder lassen Sie es vom Hersteller schriftlich bestätigen.
2. Telemetrie und Analytics: Auch ohne den eigentlichen Datenupload können Programme Metadaten senden – Dateinamen, Datensatzanzahl, Zeitstempel. Bei einer Datei kanzlei_xy_mandanten.csv kann selbst der Dateiname ein Geheimnis offenbaren.
3. Updates ohne Datenversand: Software-Updates sollten nur Programmcode laden, keine Daten zurücksenden.

Eine ausführliche Diskussion zur DSGVO-Konformität finden Sie in unserem Artikel zur DSGVO-konformen Adressbereinigung. Wenn Sie sich allgemeiner mit Adressdaten und Datenschutz auseinandersetzen wollen, hilft auch der Beitrag DSGVO und Adressdaten.

Kosten-Realität: Was kostet ein § 203-konformer Bereinigungsprozess?

Eine mittelgroße Steuerkanzlei mit etwa 1.500 aktiven Mandanten und 3.500 Altdaten verschickt typischerweise zweimal jährlich ein Mandanteninformationsschreiben. Jährliche Kosten ohne Bereinigung:

• 5.000 Briefe pro Jahr × 1,10 EUR (Druck, Kuvert, Porto Lettre) = 5.500 EUR
• Geschätzte Dublettenquote 8 % = 400 unnötige Sendungen jährlich
• Verschwendung durch Dubletten: 440 EUR jährlich
• Zusätzliche Rückläufer durch veraltete Adressen (ca. 3 %): 165 EUR Bearbeitungs- und Portoaufwand

Verschwendung gesamt: rund 600 EUR pro Jahr.

Demgegenüber stehen die Bereinigungskosten:

Variante	Einmalkosten	Laufende Kosten	§ 203-Aufwand
Manuell in Excel	0 EUR	16 Stunden ≈ 800 EUR Personalaufwand	Keiner
Externer Dienstleister	200–600 EUR pro Lauf	Pro Lauf	AVV + § 203-Verpflichtung pro Mitarbeiter, fortlaufende Kontrolle
Lokale Software	70–150 EUR Lizenz	0–99 EUR/Jahr	Keiner, da kein Dritter beteiligt

Bei diesen Größenordnungen ist die lokale Software-Lösung in der Regel ab dem ersten Jahr günstiger als externe Beauftragung – und vollständig frei vom rechtlichen Risiko nach § 203 StGB.

Praxisleitfaden: So gehen Sie konkret vor

Wenn Sie als Berufsgeheimnisträger Ihre Adressdaten bereinigen wollen, ergibt folgende Reihenfolge Sinn:

1. Bestand sichten. Welche Listen existieren wo? Häufig liegen Adressen verteilt in Kanzleisoftware, Outlook-Kontakten, alten Excel-Dateien und Versandlisten.
2. Schutzbedürftigkeit klären. Listen mit eindeutiger Zuordnung zu Mandantenverhältnissen sind durch § 203 geschützt. Auch ein reiner Newsletter-Verteiler einer Anwaltskanzlei fällt darunter.
3. Verarbeitungsweg festlegen. Inhouse mit Office-Bordmitteln, lokale Spezialsoftware oder externer Dienstleister mit voller § 203-Verpflichtung. Letztere Option lohnt sich nur bei wiederkehrenden, hochvolumigen Aufträgen.
4. Bereinigung durchführen. Dubletten erkennen (auch über Tippfehler hinweg), Adressen normalisieren, ungültige Datensätze markieren statt löschen.
5. Ergebnis dokumentieren. Welche Datensätze wurden zusammengeführt, welche entfernt? Diese Dokumentation hilft bei späteren DSGVO-Auskunftsanfragen.

Wer sich speziell für die Situation in Arztpraxen interessiert, findet in unserem Beitrag Patientendaten in der Arztpraxis bereinigen eine detaillierte Anleitung mit branchenspezifischen Beispielen.

Was bleibt zu tun

§ 203 StGB ist kein Bürokratie-Hindernis, sondern Ausdruck eines berechtigten Vertrauensschutzes. Mandanten gehen davon aus, dass die Tatsache des Mandats und ihre Kontaktdaten nicht in fremde Hände geraten – und der Gesetzgeber stellt das strafbewehrt sicher.

Für die alltägliche Adressdatenpflege bedeutet das: Cloud-Tools sind selten der einfachste Weg, sondern oft der juristisch aufwändigste. Eine offline arbeitende lokale Software vermeidet das Problem an der Wurzel, weil gar keine Offenbarung an Dritte stattfindet. Wer regelmäßig Mandanten- oder Patientenadressen bereinigt, fährt damit fast immer besser – sowohl rechtlich als auch wirtschaftlich.