News
OLG Schleswig-Holstein: keine Pflicht zur Ende-zu-Ende Verschlüsselung bei Geschäftsgeheimnissen
In seinem Urteil vom 28. April 2022 (Az. 6 U 39/21) entschied das Schleswig-Holsteinische Oberlandesgericht, welche Geheimhaltungsmaßnahmen angemessen i. S. v. § 2 Abs. 1 Nr. 1 lit. b GeschGehG sind. Außerdem hat sich das Gericht mit der Frage auseinandergesetzt, ob ein Individualinteresse ein berechtigtes Interesse zur Nutzung des Geschäftsgeheimnisses i. S. v. § 5 GeschGehG begründen kann.
Hintergrund
Während eines anderen Verfahrens erstellte die Klägerin eine Teil-Kostenrechnung in Form einer Excel-Tabelle. Dem Beklagten wird vorgeworfen, sich die Excel-Tabelle verschafft zu haben und diese gegenüber Dritten bei der Preiskalkulation verwendet zu haben. Die Parteien streiten sich im Wesentlichen darum, ob die Klägerin ausreichende Maßnahmen zur Geheimhaltung der Excel-Tabelle getroffen hatte. Die Beklagte verweist auf die Unwirksamkeit der Vertraulichkeitsvereinbarungen bzw. darauf, dass diese keine tauglichen Geheimhaltungsmaßnahmen begründen können.
Die Entscheidung
I. Angemessene Geheimhaltungsmaßnahmen
1. Schutz vor Zugriff durch Dritte
Das Gericht hat sich mit der Frage befasst, ob die Excel-Tabelle mit angemessenen Geheimhaltungsmaßnahmen i. S. d. § 2 Abs. 1 Nr. 1 lit. b GeschGehG geschützt ist und somit ein Geschäftsgeheimnis darstellt. Der Geheimhaltungswille des Inhabers eines Geschäftsgeheimnisses reicht nicht aus. Die Information muss von ihm aktiv geschützt werden. Dabei müssen je nach Geheimhaltungsgrad angemessene (aber nicht zwingend bestmögliche) Maßnahmen getroffen werden. Bei Informationen, die den üblichen Geschäftsbetrieb betreffen, ist eine durchdachte, auf langjährige Sicherheit angelegte und organisatorisch geordnete Geheimhaltung zu erwarten. Für die außerhalb des üblichen Geschäftsbetriebs liegenden Informationen ist aufgrund der Gefährdungslage im Einzelfall zu entscheiden, welche Maßnahmen angemessen sind.
2. Verschwiegenheitsklauseln
Das Gericht stellt fest, dass der klein gehaltene Personenkreis mit nach dem „Need to know“-Prinzip ausgewählten Beteiligten für die Geheimhaltung angemessen ist. Eine Pflicht, die Beteiligten ausschließlich nach dem „Need to know“-Prinzip auszuwählen, besteht nach dem GeschGehG nicht. Es reicht aus, dass man mit gutem Grund die Personen bei der Erstellung oder Bearbeitung der geheimhaltungsbedürftigen Dokumente für hilfreich halten kann. Auch wenn Verschwiegenheitsklauseln in Arbeits- und Anstellungsverträgen unwirksam sind, bleiben die Klauseln als Geheimhaltungsmaßnahmen angemessen. Denn unwirksame Klauseln haben psychologische Auswirkungen und erinnern den Arbeitnehmer an seine arbeitsrechtliche Treuepflicht. Unwirksame Klauseln zeugen nicht von einem nachlässigen Umgang mit den zu schützenden Daten. Auch das Fehlen ausdrücklicher einzelfallbezogener Absprachen zur Geheimhaltung schadet nicht. In diesem Fall kann das Bewusstsein der Geheimhaltungsbedürftigkeit von Bedeutung sein. Soweit das Geheimhaltungsbewusstsein vorliegt, muss die Pflicht zur Geheimhaltung nicht mehr ausdrücklich geklärt werden. Die Vertraulichkeit kann den Beteiligten sogar aus den Umständen bewusst werden. Wenn also die Verschwiegenheitsklauseln unwirksam sind, aber das Geheimhaltungsbewusstsein vorliegt, sind die angemessenen Geheimhaltungsmaßnahmen als getroffen anzusehen.
3. Technische Maßnahmen
Das Gericht hat sich auch mit technischen Schutzmaßnahmen auseinandergesetzt. Übliche Schutzmaßnahmen wie Passwörter und Firewalls, ein Berechtigungskonzept sowie eingeschränkter Zugriff sind für die Geheimhaltung ausreichend. Die TLS-Verschlüsselung einer E-Mail (Informationen werden nur während des Transports verschlüsselt und nicht auf den Servern) genügt regelmäßig. Die Ende-zu-Ende-Verschlüsselung (Informationen werden auch auf den Servern verschlüsselt und sind nur auf Endgeräten lesbar) wird hingegen nur empfohlen, sofern es sich um Daten mit einem sehr hohen Schutzwert zwingend. Diese Einschätzung entspricht den Anforderungen an die technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 Abs. 1 DSGVO, wo ebenfalls die Eintrittswahrscheinlichkeit und Schwere des Risikos bei der Entscheidung über die angemessenen TOM berücksichtigt werden müssen. Die Ansicht des Gerichts folgt auch im Wesentlichen der Entscheidung vom VG Mainz (vom 17. Dezember 2020, Az. 1 K 778/19.MZ), welches die Ende-zu-Ende Verschlüsselung nur bei hohen Datenschutzrisiken für erforderlich hielt. Für eine über den Standard hinausgehende Sicherung muss ein Anlass bestehen. Wenn regelmäßig nach Schwachstellen gesucht wird, das Vorliegen von Cyberangriffen regelmäßig überprüft wird und es keine Auffälligkeiten gibt, können die Beteiligten die TLS-Verschlüsselung also für die Datenübertragung nutzen.
II. Individualinteresse als berechtigtes Interesse i.S.v. § 5 GeschGehG
Geschäftsgeheimnisse dürfen von Dritten grundsätzlich nicht erlangt, genutzt oder offengelegt werden (§ 4 Abs. 1 und 2 GeschGehG). Hiervon sieht das GeschGehG aber auch Ausnahmen vor, u. a. wenn Geschäftsgeheimnisse von Whistleblowern aufgedeckt erlangt, genutzt oder offengelegt werden (§ 5 GeschGehG). Diese Ausnahmevorschrift setzt aber voraus, dass die Aufdeckung in der Absicht geschieht, das allgemeine öffentliche Interesse zu schützen. Wenn kein überindividuelles Interesse besteht, reicht es nach Ansicht des Gerichts nicht aus, dass die Angaben zur effektiven Durchsetzung eines (individuellen) Schadenersatzanspruches benötigt werden.
Fazit
Aus der Entscheidung des Schleswig-Holsteinischen OLG lassen sich folgende Empfehlungen für angemessene Geheimhaltungsmaßnahmen ableiten:
- Geheimzuhaltende, aber nicht herausragend schützenswerte oder existenziell wichtige Informationen können regelmäßig ohne Ende-zu-Ende-Verschlüsselung per E-Mail übermittelt werden, wenn sonstige IT-Sicherheitsmaßnahmen getroffen sind und kein Anlass zur Annahme einer erhöhten Gefahr besteht.
- Für die Geheimhaltung ist ein nachvollziehbar ausgewählter und möglichst kleiner Kreis der Beteiligten angemessen. Die Personen sollten nach dem „Need to know“-Prinzip ausgewählt werden.
- Die (arbeits-)vertraglichen Geheimhaltungsklauseln sind auch dann als angemessene Sicherungsmaßnahmen anzusehen, wenn diese unwirksam sind.
Mit der Entscheidung erhalten Unternehmen praktischere Empfehlungen, welche Maßnahmen zur Geheimhaltung angemessen sind. Die unternehmensfreundliche Auslegung des Merkmals „angemessene Maßnahmen“ durch das Gericht spricht dafür, dass diese beinahe universellen Maßnahmen als Mindeststandards zu verstehen sind. Unternehmen sollten aber in jedem Fall ein Schutzkonzept hinsichtlich zu ergreifender Schutzmaßnahmen aufstellen.
News
Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)
Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.
Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs
Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig
EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?
Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.
LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.
Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).
Neuer Associate: Piltz Legal erweitert das Datenschutzteam
Piltz Legal heißt Daniel Kühl herzlich Willkommen im Team.
Daniel Kühl ist seit 2014 zugelassener Rechtsanwalt und hat sich mit dem Inkrafttreten der DSGVO den beruflichen Schwerpunkt auf den Datenschutz gelegt. Mittlerweile ist er zertifizierter Datenschutzbeauftragter (GDDcert EU) und FOM-zertifizierter „Data Protection Risk Manager“.
In den letzten Jahren hat er als externer Datenschutzberater verschiedenste Klienten, insbesondere aus dem Bereich der Energiewirtschaft, Wohnungswirtschaft und Wohlfahrtsverbände, aber auch Museen im Datenschutz beraten.
Wir freuen uns, dass wir mit Daniel Kühl einen weiteren erfahrenen Datenschutzrechtler für die Kanzlei gewinnen konnten und freuen uns sehr auf die Zusammenarbeit.
EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023
Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.