Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.

Pflicht zur Herausgabe einer Kopie

Die Verantwortlichen müssen neben der Erteilung einer „einfachen“ Auskunft in einigen Fällen den Betroffenen auch eine Kopie der personenbezogenen Daten zur Verfügung stellen. Das gilt etwa dann, wenn die Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Rechte zu ermöglichen  (vgl. EuGH-Urteile C-307/22 und C-487/21 sowie ein aktuelles Urteil des VG Münster v. 28.04.2025, Az. 1 K 3701/21).

Dabei ist nicht ausgeschlossen, dass diese Kopie auch Informationen enthält, die als Geschäftsgeheimnisse zu charakterisieren sind.

Einschränkungen der Herausgabepflicht gem. Art. 15 Abs. 4 DSGVO

Nach Art. 15 Abs. 4 DSGVO dürfen Verantwortliche die Herausgabe von Kopien verweigern, wenn dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt würden. Da die Überlassung einer Kopie nur eine Modalität der Erfüllung des Auskunftsanspruchs darstellt, ist die Ausnahme in Art. 15 Abs. 4 DSGVO als ein allgemeines Prinzip anzusehen. Dementsprechend ist die Regelung auch dann anwendbar, wenn nachvollziehbare Informationen zu automatisierten Entscheidungsprozessen nach Art. 15 Abs. 1 lit. h DSGVO beauskunftet werden müssen.

Laut Erwägungsgrund 63 Satz 5 DSGVO umfasst die Ausnahme nach Art. 15 Abs. 4 DSGVO ausdrücklich auch Geschäftsgeheimnisse und Rechte des geistigen Eigentums. Verantwortliche müssen jedoch im Einzelfall abwägen, ob tatsächlich ein schützenswertes Geschäftsgeheimnis vorliegt und ob eine (Teil-)Offenlegung ohne Gefährdung des Geheimnisses möglich ist.

In der Vergangenheit wurde in mehreren Gerichtsentscheidungen bestätigt, dass Geschäftsgeheimnisse dem Auskunftsanspruch entgegenstehen können. So hat z. B. das OLG Karlsruhe entschieden, dass die Identität und Aufgaben der Dienstanbieter als Geschäftsgeheimnisse nicht beauskunftet werden müssen. Auch die Aufsichtsbehörden behandeln das Thema in ihren Tätigkeitsberichten regelmäßig. So stellte das BayLDA im Tätigkeitsbericht 2019 fest, dass die Berechnungsgrundlage für Risikozuschlag der Versicherung als Geschäftsgeheimnis gilt.

Wann liegt ein Geschäftsgeheimnis vor?

Die unionsrechtliche Definition von Geschäftsgeheimnissen ergibt sich aus Art. 2 Nr. 1 der Richtlinie (EU) 2016/943. Danach müssen die Informationen kumulativ drei Kriterien erfüllen:

1. Sie sind weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich;
2. Sie sind von kommerziellem Wert, weil sie geheim sind;
3. Sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt.

In Deutschland wurde diese unionsrechtliche Norm in § 2 Nr. 1 GeschGehG umgesetzt. Dort wurde sie auch um ein weiteres Merkmal, nämlich das „berechtigte Interesse“ an der Geheimhaltung, ergänzt. Dieses Merkmal wurde von der Rechtsprechung entwickelt, findet sich aber auch im Erwägungsgrund 14 der Richtlinie (EU) 2016/943 wieder.

Das berechtigte Interesse an der Geheimhaltung fehlt nur in äußerst seltenen Fällen, z. B. wenn die Information überhaupt keinen Bezug zum gegenwärtigen Geschäftsbetrieb aufweist. Da die Definition in § 2 Nr. 1 GeschGehG aber dadurch strenger wird, empfiehlt es sich, der Beurteilung, ob ein Geschäftsgeheimnis vorliegt, das nationale GeschGehG zugrunde zu legen.

Anwendbarkeit des GeschGehG bei Auskunftsanfragen

Das GeschGehG kann bei der Bewertung, ob ein Fall von Art. 15 Abs. 4 DSGVO vorliegt, herangezogen werden. Insbesondere steht § 1 Abs. 2 GeschGehG der Anwendbarkeit auf die Auskunftspflicht wohl nicht entgegen. Zwar legt die Formulierung der Vorschrift nahe, dass Art. 15 DSGVO vorrangig anzuwenden sei. Unter „öffentlich-rechtlichen Vorschriften“ sind jedoch nicht sämtliche Rechtsakte des öffentlichen Rechts zu verstehen, sondern nur solche, die die Träger der öffentlichen Gewalt einseitig berechtigen oder verpflichten. Laut Gesetzesbegründung setzt die Regelung Art. 1 Abs. 2 lit. c der Richtlinie (EU) 2016/943 um, die eine Ausnahme für behördliche Informationspflichten vorsieht. Gemeint ist damit also, dass für Behörden nicht das GeschGehG, sondern insbesondere das IFG oder vergleichbare landesrechtliche Regelungen vorrangig gelten.

Unternehmensinterne vs. behördliche Prüfung

Ob ein Geschäftsgeheimnis vorliegt, muss zunächst der Verantwortliche selbst überprüfen. Sind alle in § 2 Nr. 1 GeschGehG genannten Kriterien erfüllt und rechtfertigt das Vorliegen eines Geschäftsgeheimnisses die Auskunftsverweigerung, informiert das Unternehmen darüber die betroffene Person.

Wird die Auskunft nach Art. 15 DSGVO verweigert, führt dies aber häufig zu Beschwerden bei zuständigen Aufsichtsbehörden. In solchen Fällen muss das Unternehmen regelmäßig die Ergebnisse der durchgeführten Interessenabwägung sowie die entsprechenden Unterlagen der Behörde vorlegen. Dabei ist insbesondere darzulegen, ob die Kriterien des § 2 Nr. 1 GeschGehG erfüllt sind. Wenn die Auskunft vollständig verweigert wurde, ist auch darzulegen, aus welchen Gründen keine eingeschränkte Auskunft erteilt werden konnte.

Der Europäische Gerichtshof (EuGH) hat mehrfach entschieden, dass nationale Gerichte eigenständig prüfen dürfen, ob die Daten ein Geschäftsgeheimnis darstellen und gegebenenfalls eine vollständige Offenlegung gegenüber der Gegenpartei anordnen können (vgl. Urteil C-268/21, Rn. 58). Dies gilt auch für behördliche Verfahren (vgl. Urteil C-203/22, Rn. 74).

Die Unternehmen können nicht argumentieren, dass der Vorlage der Unterlagen das GeschGehG entgegensteht. Nach der Gesetzesbegründung gilt das Gesetz nur im Verhältnis zwischen Privaten, nicht jedoch im Verhältnis zwischen Privaten und Behörden. Einer Übermittlung der Dokumente an die Aufsichtsbehörde zu Überprüfungszwecken steht somit nichts entgegen.

Umfang der behördlichen Prüfung

Der Umfang der behördlichen Prüfung ist gesetzlich nicht vorgegeben. Der EuGH bezieht sich in seinen Entscheidungen auf Fälle, in denen das Vorliegen eines Geschäftsgeheimnisses gemäß Art. 2 Nr. 1 RL 2016/943 (in Deutschland durch § 2 Nr. 1 GeschGehG umgesetzt) zu prüfen ist.

Nach Ansicht des Unabhängigen Datenschutzzentrums Saarland (s. Tätigkeitsbericht 2022) sind jedoch nicht nur die Voraussetzungen des § 2 Nr. 1 GeschGehG zu berücksichtigen, sondern auch die von der Rechtsprechung entwickelten „klassischen“ Merkmale von Geschäftsgeheimnissen. Damit ist anscheinend die Berücksichtigung des subjektiven Geheimhaltungswillens gemeint. Nach § 2 Nr. 1 GeschGehG kommt es darauf an, ob das Unternehmen aktiv Maßnahmen ergriffen hat, um bestimmte Informationen zu schützen. Bisher ließen die Gerichte aber einen erkennbaren subjektiven Geheimhaltungswillen an bestimmten Informationen ausreichen, ohne dass objektive Geheimhaltungsmaßnahmen nachgewiesen werden mussten. Folgt man der Auffassung des UDZ Saarland, kommt man zum Schluss, dass auch beim Fehlen von Voraussetzungen des § 2 Nr. 1 GeschGehG ein berechtigtes Geheimhaltungsinteresse bestehen kann, wenn Rechte des Unternehmens verletzt werden. Da Art. 15 Abs. 4 DSGVO keinen direkten Bezug auf Geschäftsgeheimnisse nimmt, sondern abstrakt von Rechten und Freiheiten anderer Personen spricht, erscheint diese Auffassung nicht falsch. Das subjektive Geheimhaltungsinteresse kann also als ein zusätzlicher Aspekt herangezogen werden.

Keineswegs dürfen sich die Unternehmen im Behördenverfahren pauschal auf § 2 Nr. 1 GeschGehG berufen. Der EuGH (C-203/22, Rn. 75) betont, dass stets eine Einzelfallabwägung erforderlich ist. Ein genereller Ausschluss der Auskunft auf Grundlage nationaler Vorschriften ist unzulässig, da das Recht der Mitgliedstaaten das Ergebnis einer durch Unionsrecht vorgegebenen, auf Einzelfallbasis durchzuführenden Abwägung nicht abschließend vorschreiben kann. In einer anderen Entscheidung stellt der EuGH (C-487/21, Rn. 43) klar, dass nach Möglichkeit solche Modalitäten der Datenübermittlung zu wählen sind, die die Rechte und Freiheiten Dritter nicht verletzen. Diese Erwägungen dürfen jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

Erforderlich ist daher eine umfassende Abwägung der widerstreitenden Interessen, wobei sowohl die Wertungen des § 2 Nr. 1 GeschGehG als auch die von der Rechtsprechung entwickelten Kriterien und sonstige einschlägige Vorschriften (z. B. § 9 Abs. 1 UIG oder § 5 Abs. 1 VgV) zu berücksichtigen sind. Ob diese Abwägung ordnungsgemäß durchgeführt wurde und das Ergebnis nachvollziehbar ist, ist auch der Gegenstand der behördlichen Prüfung.

Abwehr nachteiliger Behördenentscheidungen?

Kommt die Behörde nach Abschluss der Prüfung zu dem Ergebnis, dass die Unterlagen kein Geschäftsgeheimnis darstellen, wird sie den Verantwortlichen gemäß Art. 58 Abs. 2 lit. c DSGVO anweisen, dem Auskunftsantrag zu entsprechen. Eine solche Entscheidung ist ein Verwaltungsakt und kann im „normalen“ Verwaltungsprozess angefochten werden. Gegen vorherige behördliche Feststellungen, dass es sich bei bestimmten Daten um Geschäftsgeheimnisse handelt oder eben nicht, können Unternehmen nicht isoliert vorgehen. Insoweit handelt es sich um eine behördliche Verfahrenshandlung. Nach § 44a S. 1 VwGO kann sie nur gleichzeitig mit der verfahrensabschließenden Sachentscheidung angegriffen werden.

Unternehmen sollten also bereits im Rahmen des Prüfungsverfahrens aktiv auf die Behörde zugehen und nachvollziehbar darlegen, dass es sich bei den betroffenen Informationen um Geschäftsgeheimnisse handelt. Besteht die Behörde dennoch auf einer Offenlegung, sollte das Unternehmen sich bewusst per Verwaltungsakt anweisen lassen, die Informationen im Rahmen der Auskunft herauszugeben. Dies macht weitere rechtliche Schritte möglich. Da gem. § 20 Abs. 6 BDSG in datenschutzrechtlichen Sachverhalten kein Vorverfahren vorgesehen ist, kann direkt Klage erhoben werden. Im Rahmen des Klageverfahrens kann dann gerichtlich geprüft werden, ob tatsächlich Geschäftsgeheimnisse vorliegen.