Ergänzende Hinweise für österreichische Berufsgeheimnisträger
1. Gegenstand und Geltungsbereich
Dieses Dokument („Ergänzende Hinweise“) erläutert die Anwendbarkeit der zwischen der BRYTER GmbH („BRYTER“) und dem Kunden geschlossenen Vertragsdokumente – bestehend aus Rahmenvertrag, Auftragsverarbeitungsvertrag (AVV) und Datenschutzerklärung, jeweils in der aktuellen Version – auf Kunden, die österreichischem Berufsrecht unterliegen.
Die genannten Vertragsdokumente unterliegen deutschem Recht (Rahmenvertrag Ziff. 16.5) und referenzieren deutsche berufs- und strafrechtliche Normen. Die in diesem Dokument enthaltenen Hinweise stellen klar, dass die im Vertragswerk geregelten Schutzmaßnahmen die materiellen Anforderungen des österreichischen Berufsrechts erfüllen.
Dieses Dokument begründet keine eigenständigen vertraglichen Verpflichtungen und verändert die bestehenden Vertragsdokumente nicht. Es dient ausschließlich der Erläuterung und Zuordnung und ist als Auslegungshilfe für österreichische Berufsgeheimnisträger konzipiert.
2. Normzuordnung
Die folgende Tabelle ordnet die im Vertragswerk referenzierten deutschen Normen den korrespondierenden österreichischen Vorschriften zu. Soweit der AVV oder der Rahmenvertrag auf die nachstehend genannten deutschen Vorschriften Bezug nehmen, gelten die dort geregelten Verpflichtungen materiell auch für die entsprechenden österreichischen Sachverhalte.
| Regelungsgegenstand | Im Vertragswerk referenzierte deutsche Norm | Korrespondierende österreichische Norm |
| Anwaltliche Verschwiegenheit | § 43a Abs. 2 BRAO | § 9 Abs. 1 RAO |
| Verpflichtung von Mitarbeitern und Hilfspersonal | § 43a Abs. 2 S. 4–8 BRAO | § 9 Abs. 2 RAO |
| Einbindung externer Dienstleister (Rechtsanwälte) | § 43e BRAO | § 9 Abs. 2 RAO i.V.m. § 40 Abs. 3 RL-BA 2015 |
| Notarielle Verschwiegenheit | § 18 BNotO | § 37 NO |
| Einbindung externer Dienstleister (Notare) | § 26a BNotO | § 37 NO (analoge Anwendung) |
| Strafrechtlicher Schutz von Berufsgeheimnissen | § 203 StGB | § 121 öStGB |
| Zeugnisverweigerungsrecht (Zivilverfahren) | § 383 Abs. 1 Nr. 6 ZPO | § 321 Abs. 1 Z 4 öZPO |
| Beschlagnahmeschutz (Strafverfahren) | § 97 Abs. 2 StPO, § 53a StPO (AVV Ziff. 6.7) | § 157a öStPO |
| Nationales Datenschutzrecht (ergänzend zur DSGVO) | BDSG | DSG 2018 |
| Berufsgeheimnisschutz im Datenschutzverfahren (Öffnungsklausel Art. 90 DSGVO) | § 29 Abs. 3 BDSG | § 9 DSG 2018 |
3. Wahrung von Berufsgeheimnissen (AVV Abschnitt 6)
Abschnitt 6 des AVV („Wahrung von Berufsgeheimnissen und berufsrechtlicher Verschwiegenheit“, Ziff. 6.1–6.7) regelt den Schutz von Berufsgeheimnissen und referenziert dabei die deutschen Normen §§ 43a, 43e BRAO, §§ 18, 26a BNotO sowie § 203 StGB. Die dort geregelten Verpflichtungen erfüllen die materiellen Anforderungen des österreichischen Berufsrechts wie folgt:
3.1 Verschwiegenheitsverpflichtung (§ 9 Abs. 1 und 2 RAO)
AVV Ziff. 6.3 und 6.4 verpflichten BRYTER und sämtliche mit der Verarbeitung von Berufsgeheimnissen befassten Personen zur strikten Verschwiegenheit. Die Verpflichtung erstreckt sich auf jede technische oder organisatorische Zugriffsmöglichkeit, unabhängig davon, ob eine tatsächliche inhaltliche Einsichtnahme erfolgt (AVV Ziff. 6.3). Dies entspricht den Anforderungen des § 9 Abs. 2 RAO an die Verpflichtung von Hilfspersonal und externen Dienstleistern.
3.2 Unterauftragsverarbeiter (§ 40 Abs. 3 Z 1–5 RL-BA 2015)
AVV Ziff. 6.5 stellt sicher, dass sämtliche Unterauftragsverarbeiter sowie deren Personal vorab in Textform zur Wahrung der berufsrechtlichen Verschwiegenheit verpflichtet werden und über die einschlägigen strafrechtlichen Konsequenzen informiert sind. Diese Verpflichtung wirkt für etwaige weitere Unterauftragsverhältnisse fort. Die kumulativen Voraussetzungen des § 40 Abs. 3 RL-BA 2015 werden wie folgt erfüllt:
| Anforderung RL-BA 2015 | Umsetzung im Vertragswerk | Vertragliche Grundlage |
| § 40 Abs. 3 Z 1 Wahrung der Klienteninteressen | Weisungsgebundene, zweckgebundene Verarbeitung ausschließlich zur Erfüllung der vertraglichen Leistung; keine eigenständige Nutzung der Kundendaten | AVV Ziff. 4.1; Rahmenvertrag Ziff. 12.2 |
| § 40 Abs. 3 Z 2 Sorgfältige Auswahl | Einsatz etablierter Enterprise-Cloud-Anbieter (AWS, Microsoft Azure) mit anerkannten Sicherheitszertifizierungen; dokumentierte TOMs; regelmäßige Überprüfung | AVV Anlage 2; AVV Ziff. 9.1–9.5 |
| § 40 Abs. 3 Z 3 Informationspflicht bei Hausdurchsuchung | Vertragliche Verpflichtung zur unverzüglichen Information und zum Widerspruch bei behördlichen Maßnahmen (nicht auf deutsche Verfahren beschränkt; umfasst auch Hausdurchsuchungen nach §§ 117 ff. öStPO). Für kurzfristige, nicht dauerhafte Verarbeitung durch automatisierte Systeme (KI-Inferenz) greift die Ausnahme gemäß Novelle vom 15.09.2025 | AVV Ziff. 6.7 |
| § 40 Abs. 3 Z 4 Technische und organisatorische Maßnahmen | Umfassende TOMs: Verschlüsselung (AES-256/TLS 1.2), rollenbasierte Zugriffskontrolle, logische Mandantentrennung, Backup-/Disaster-Recovery-Konzepte, regelmäßige Überprüfung | AVV Anlage 2, Ziff. 1–11 |
| § 40 Abs. 3 Z 5 Information des Klienten | Vollständige und transparente Auflistung aller Unterauftragsverarbeiter mit Service, Unternehmensstandort und Serverstandort; vorherige Information bei Änderungen mit 15-Werktage-Widerspruchsfrist | AVV Anlage 1; AVV Ziff. 7.2–7.3 |
3.3 Zeitlich unbegrenzte Fortgeltung
Die Verschwiegenheitsverpflichtungen nach AVV Abschnitt 6 bestehen zeitlich unbegrenzt fort, auch über die Beendigung des Rahmenvertrags hinaus (AVV Ziff. 6.6). Dies entspricht der in § 9 Abs. 1 RAO geregelten zeitlich unbegrenzten anwaltlichen Verschwiegenheitspflicht.
4. Besondere Hinweise zur Informationspflicht bei Hausdurchsuchungen
AVV Ziff. 6.7 referenziert die deutschen Verfahrensnormen § 53a StPO und § 97 Abs. 2 StPO. Die dort geregelte Verpflichtung von BRYTER ist jedoch nicht auf deutsche Verfahren beschränkt. Sie erfasst nach ihrem Wortlaut jede „behördliche Vernehmung oder Maßnahme, die auf die Herausgabe solcher Informationen gerichtet ist“ und gilt damit auch für Hausdurchsuchungen nach österreichischem Verfahrensrecht, insbesondere nach §§ 117 ff. öStPO.
Die Anforderung des § 40 Abs. 3 Z 3 RL-BA 2015 – nachweisliche vertragliche Verpflichtung zur unverzüglichen Information bei Hausdurchsuchung – ist damit erfüllt.
Ergänzend wird darauf hingewiesen, dass anwaltliche Daten in Österreich dem besonderen Beschlagnahmeschutz nach § 157a öStPO unterliegen können.
4.1 Ausnahme für KI-gestützte Verarbeitung (Novelle vom 15.09.2025)
Seit dem Beschluss der Vertreterversammlung des ÖRAK vom 11.09.2025 (kundgemacht am 15.09.2025) enthält § 40 Abs. 3 Z 3 RL-BA 2015 eine Ausnahme: Werden Mandantendaten kurzfristig, nicht dauerhaft und ausschließlich für die zwingend erforderliche Dauer und das zwingend erforderliche Ausmaß durch ein automatisiertes System verarbeitet, entfällt die vertragliche Hausdurchsuchungs-Informationspflicht für diesen Verarbeitungsschritt.
Diese Ausnahme ist auf die KI-gestützte Verarbeitung (Inferenz beim Sprachmodell) anwendbar: Bei BEAMON AI werden Inhalte ausschließlich für die Dauer der jeweiligen Inferenz an das in Microsoft Azure betriebene Sprachmodell übermittelt. Eine dauerhafte Speicherung beim Modellanbieter findet nicht statt.
Achtung: Für Funktionen mit dauerhafter Datenspeicherung beim Dienstleister (z. B. Cloud-Speicherung von Chatverläufen, hochgeladenen Dokumenten) bleibt die Hausdurchsuchungs-Informationspflicht uneingeschränkt bestehen und wird durch AVV Ziff. 6.7 erfüllt.
5. Datenschutzrecht (DSG 2018)
Die DSGVO gilt als unmittelbar anwendbare EU-Verordnung in Deutschland und Österreich gleichermaßen. Der AVV und die Datenschutzerklärung erfüllen die Anforderungen der DSGVO unabhängig von der nationalen Ergänzungsgesetzgebung.
Ergänzend wird für österreichische Berufsgeheimnissträger auf § 9 DSG 2018 hingewiesen: Diese Bestimmung setzt die Öffnungsklausel des Art. 90 DSGVO um und schränkt die Befugnisse der österreichischen Datenschutzböehrde gegenüber Berufsgeheimnissträgern ein. Rechtsanwälte und Notare können sich auf diese Einschränkung berufen, soweit ein Auskunftsbegehren der Datenschutzbéhörde mandatsbezogene, der Verschwiegenheitspflicht unterliegende Informationen beträfe.
6. Keine Nutzung zu Trainings- oder eigenen Zwecken
BRYTER verwendet den Content des Kunden nicht zum Training maschineller Lernmodelle. Die Nutzung der KI-Dienste begründet keinerlei Rechte von BRYTER zur Nutzung des Contents für Trainings-, Analyse- oder sonstige eigene Zwecke (Rahmenvertrag Ziff. 12.2.1 und 12.2.2). Dies ist auch vertraglich mit den Unterauftragsverarbeitern (insbesondere Microsoft Azure) sichergestellt. In diesem Zusammenhang verarbeitete personenbezogene Daten werden nicht zum Training oder zur Verbesserung allgemeiner KI- oder maschineller Lernmodelle verwendet (Datenschutzerklärung Ziff. 12).
7. ÖRAK-Checkliste für KI-Anbieter
BRYTER hat die vom Österreichischen Rechtsanwaltskammertag (ÖRAK) herausgegebene „Checkliste für KI-Anbieter“ vollständig ausgefüllt und firmenmäßig gezeichnet. Die unterzeichnete Checkliste bestätigt die Einhaltung sämtlicher berufsrechtlicher und datenschutzrechtlicher Mindestanforderungen und kann österreichischen Kunden als Nachweis der sorgfältigen Auswahl im Sinne des § 40 Abs. 3 Z 2 RL-BA 2015 dienen.
Die unterzeichnete Checkliste ist unter bryter.com/legal-terms abrufbar und wird auf Anfrage auch direkt zur Verfügung gestellt.
8. Maßgebliche Rechtsprechung
Der OGH hat mit Entscheidung vom 27.6.2023 (4 Ob 77/23m) bestätigt, dass das Outsourcing von Kanzleidienstleistungen grundsätzlich zulässig ist. Externe Dienstleister, die vertraglich zur Erbringung von Diensten herangezogen werden, sind als Hilfskräfte im Sinne des § 9 Abs. 2 RAO anzusehen, sofern sie entsprechend zur Verschwiegenheit verpflichtet werden. BRYTER und sämtliche Unterauftragsverarbeiter sind gemäß AVV Abschnitt 6 in diesem Sinne verpflichtet.