Geschäftsgeheimnisse – kein Schutzanspruch ohne angemessene Geheimhaltungsmaßnahmen

Wer sich auf den Schutz von Geschäftsgeheimnissen beruft, muss einem Beschluss des Österreichischen Obersten Gerichtshofes (OGH) zur Folge für diese auch ausreichende Geheimhaltungsmaßnahmen ergreifen. Wir verlassen in diesem Beitrag das reine Datenschutzrecht und widmen uns den Maßnahmen, die sowohl personenbezogene Daten, aber auch – wie im nachfolgenden Fall dargelegt – Geschäftsgeheimnisse schützen sollen.

Der gesetzliche Hintergrund

Die Richtlinie (EU) 2016/943 des Europäischen Parlamentes und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (sog. Know-how-Richtlinie) zielt ausweislich ihrer Erwägungsgründe (EG 1) auf intellektuelles Kapital ab, was die Währung wissensbasierter Wirtschaft darstelle, Wettbewerbsvorteile schaffe und in das Unternehmen und nicht kommerzielle Forschungseinrichtungen viel investieren würden (Geschäftsgeheimnisse). Darüber hinaus seien innovative Unternehmen zunehmend unlauteren Praktiken, nämlich der rechtswidrigen Aneignung eben dieser Geschäftsgeheimnisse, ausgesetzt, was sich letztlich negativ auf Investitionen, das Wirtschaftswachstum und die Beschäftigung auswirke (EG 4). Die Richtlinie (EU) 2016/943 verfolgt für den Binnenmarkt einen ausreichenden und kohärenten zivilrechtlichen Schutz für den Fall des rechtswidrigen Erwerbs oder der rechtswidrigen Nutzung oder Offenlegung eines Geschäftsgeheimnisses (EG 10).

Die Umsetzung der Know-how-Richtlinie erfolgte in Deutschland mit dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG). In Österreich wurde z. B. die Definition des Geschäftsgeheimnisses aus der Richtlinie in § 26b des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) inhaltlich übernommen.

Was war nun in Österreich geschehen?

Dem Beschluss des OGH vom 19. November 2024 (Geschäftszahl 4Ob195/24s) lag folgender Sachverhalt zugrunde:

Die Antragstellerin, eine Anbieterin von Fonds und Finanzdaten sowie Unterstützungsleistungen bei der Erfüllung von Reportingvorgaben, beschäftigte zwischen 2008 und 2021 eine Angestellte als der Geschäftsführung direkt unterstellte Standortleiterin. Am 5. Juli 2018 unterzeichnete die Standortleiterin eine Verpflichtungserklärung auf den vertraulichen Umgang mit den Geschäftsgeheimnissen der Antragstellerin. Letztere kündigte das Arbeitsverhältnis am 22. März 2021 ordentlich zum 31. Juli 2021.

Dennoch konnte sich die gekündigte Beschäftigte noch mehrere Monate nach dem Ausscheiden aus dem Betrieb der Antragstellerin am 16. und 17. November 2021 für mindestens 20 Minuten in deren Plattform einloggen, wobei kein Zusammenhang mit oder eine Notwendigkeit für den Zugriff aufgrund des vorangegangenen Arbeitsverhältnisses festgestellt wurde.

Seit dem 29. November 2021 ist die ehemalige Beschäftigte bei der nunmehr adressierten Antragsgegnerin tätig, welcher die Antragstellerin vorwirft, diese würde mit Unterstützung der ehemaligen Beschäftigten Kunden der Antragstellerin (u. a. Banken, Versicherungen, Kaptialverwaltungsgesellschaften) abwerben. Hierzu hätte die ehemalige Beschäftigte u. a. Kundendaten, Ansprechpartner*innen und Fondsdaten von der Plattform der Antragstellerin kopiert und somit deren Geschäftsgeheimnisse verletzt.

Die Antragstellerin beantragte daher Maßnahmen im Rahmen einer einstweiligen Verfügung zur Beweissicherung nach § 26i UWG (Einstweilige Verfügung zur Sicherung vor Eingriffen in Geschäftsgeheimnisse) und § 87c UrhG (Einstweilige Verfügungen).

Entscheidung des OGH

Die Vorinstanz hatte bereits den unsubstantiierten Vortrag der Antragstellerin zu den behaupteten Geschäftsgeheimnissen sowie den Eingriffshandlungen bemängelt. Für die Annahme der Geschäftsgeheimnisse müssten die Voraussetzungen des § 26b Abs. 1 Z. 1 bis 3 UWG kumulativ vorliegen. In dem Beschluss des OGH heißt es dazu:

„Selbst wenn man die Konkretisierung noch als ausreichend betrachten wollte, habe die Antragstellerin keine angemessenen Geheimhaltungsmaßnahmen iSd § 26b Abs 1 Z 3 UWG getroffen, die aber für das Vorliegen eines Geschäftsgeheimnisses unumgänglich seien. Der freie Zugriff auf die Datenbank durch die ehemalige Mitarbeiterin nach deren Kündigung dokumentiere vielmehr die unterbliebenen Maßnahmen. Es sei keine angemessene Geheimhaltung, wenn die Antragstellerin trotz der Kündigung der Mitarbeiterin deren Zugangsdaten nicht unverzüglich sperre, sondern diese noch mehrere Monate nach ihrem Ausscheiden aus dem Unternehmen der Antragstellerin auf deren Datenbank zugreifen könne.“ (Hervorhebungen durch die Autorin).

Der OGH bestärkte diese Annahme und verwies auf § 26b UWG, wonach ein Geschäftsgeheimnis eine Information definiert, die geheim, von kommerziellem Wert und Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person ist, welche die rechtmäßige Verfügungsgewalt über diese Informationen ausübt. Ein bloßer Geheimhaltungswille reiche nicht (mehr) aus, es müssten vielmehr durch den Berechtigten angemessene Geheimhaltungsmaßnahmen getroffen werden, wofür er die Behauptungs- und Beweislast tragen würde.

Als Beispiele für angemessene Geheimhaltungsmaßnahmen verweist der OGH auf Maßnahmen aus der IT-Sicherheit, allen voran der passwortgeschützte Zugriff auf vertrauliche Datenbanken. Folgerichtig müsse dieser Zugang ausscheidenden Mitarbeiter*innen auch unverzüglich wieder entzogen werden. Eben dies hätte die Antragstellerin unterlassen und auch nichts zu einem eigentlich erforderlichen Off-Boarding-Konzept vorgetragen. Der OGH stellt fest:

„Die Antragstellerin hat damit selbst verabsäumt, sicherzustellen, dass die (nunmehr) unberechtigte Mitarbeiterin nach dem Ende des Dienstverhältnisses (also per 31. 7. 2021) kein Zugang zu Geschäftsgeheimnissen hat.“ (Hervorhebungen durch die Autorin).

Auch der Hinweis der Antragstellerin auf die zur Zeit der Beschäftigung unterzeichnete Vertraulichkeitserklärung würde nach Ansicht des OGH ausblenden, dass der behauptete Vertrauensbruch nach Ende des Beschäftigungsverhältnisses geschah und durch entsprechende technische Maßnahmen leicht hätte verhindert werden können:

„Durch den Umstand, dass die ehemalige Mitarbeiterin noch unbeschränkt Zugang zu allen vertraulichen Daten hatte, hat die Antragstellerin gegen die sie treffende Obliegenheit verstoßen, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen […]. Die Antragstellerin kann sich daher im konkreten Fall gegenüber der Antragsgegnerin im Beweissicherungsverfahren nicht auf den gesetzlichen Geheimhaltungsschutz berufen. […] Bereits mangels ausreichender angemessener Geheimhaltungsmaßnahmen durch die Antragstellerin als Person iSd § 26b Abs 1 Z 3 UWG hat das Rekursgericht der Antragstellerin den gesetzlichen Geheimhaltungsschutz zutreffend verweigert und den Verfügungsantrag im Ergebnis damit zu Recht abgewiesen.“ (Hervorhebungen durch die Autorin).

Fazit

Die zentrale Norm in dieser Rechtssache (§ 26b UWG) und die Definition des Geschäftsgeheimnisses lassen sich fast wortgleich in § 2 des deutschen Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) finden. Auch dort werden in Ziffer 1b von den Umständen nach angemessene Geheimhaltungsmaßnahmen verlangt. Die Rechtsprechung aus unserem Nachbarland sollte daher auch von in Deutschland ansässigen Unternehmen, Institutionen und sonstigen Inhabern von Geschäftsgeheimnissen zum Anlass genommen werden, diese durch angemessene Maßnahmen zu schützen. Dieser Schutz betrifft sowohl aktive Beschäftigungsverhältnisse (Vorhaltung und regelmäßige Evaluierung eines Zugriffs- und Rollenkonzept, turnusmäßige Überprüfung der vergebenen Rechte und Zugriffe) als auch beendete Arbeitsverhältnisse. Für letztere muss ein strenges Off-Boarding-Konzept, einschließlich des unverzüglichen Entzugs von Zugriffsrechten zu internen Datenbanken und Systemen, implementiert und umgesetzt werden.

Und wie kommen wir nun wieder zum Datenschutz?

Die gleichen Maßnahmen, die im Hinblick auf Geschäftsgeheimnisse gefordert werden, schützen i. d. R. auch personenbezogene Daten, weshalb diese Maßnahmen gleich zwei Zielrichtungen haben können. Auch könnte man im Falle eines unberechtigten Zugriffs auf personenbezogene Daten durch ehemalige Beschäftigte und aufgrund nicht entzogener Zugriffsrechte diskutieren, inwieweit hier das Verschulden bei der verantwortlichen Stelle liegt, wenn diese eben keinen entsprechenden Off-Boarding-Prozess durchgeführt hat oder im schlimmsten Falle gar nicht vorhält. Daran anschließen können sich entsprechende Haftungsfragen.

Sofern Sie Unterstützung bei der Erarbeitung entsprechender Prozesse benötigen, sprechen Sie uns gerne an.

Anmerkung der Redaktion: Im ersten Satz des Fazits hatte sich ein Fehler eingeschlichen. Wir haben den Fehler korrigiert.

Elisabeth Thomssen | 28. März 2025 | Allgemein, Compliance | Arbeitgeber, Arbeitnehmer, Compliance, Geheimhaltungsmaßnahmen, Geheimnisschutz, Geschäftsgeheimnis, Know-how-Richtlinie, Off-Boarding-Konzept, OGH, Österreich, Richtlinie (EU) 2016/943, UWG, Verpflichtungserklärung, Vertraulichkeit, Zugriffsrechte | 2 Kommentare

2 Comments

Dominik
31. März 2025 @ 10:43

„Die zentrale Norm in dieser Rechtssache (§ 26b UWG) und die Definition des Geschäftsgeheimnisses lassen sich fast wortgleich in § 2 des deutschen Gesetzes gegen den unlauteren Wettbewerb (UWG) finden. Auch dort werden in Ziffer 1b von den Umständen nach angemessene Geheimhaltungsmaßnahmen verlangt.“

-> Hier ist wohl das GeschGehG gemeint und nicht das UWG.

- Blogredaktion
  31. März 2025 @ 16:03
  
  Haben Sie vielen Dank für Ihren Hinweis! Wir haben die Stelle korrigiert.
  
  Viele Grüße
  Ihre Blogredaktion