Geschäfts-Geheimnis-Schutz- und Datenschutzrecht – eine “glückliche Beziehung”?
Die am 29.01.2019 in Kraft getretenen zivil- und zivilverfahrensrechtlichen Sonderbestimmungen für den Schutz von Geschäftsgeheimnissen in den §§ 26a ff UWG sollen den Geschäftsgeheimnisschutz und die Durchsetzung bei Missbrauch von geheimem Know-How stärken. Gemäß der Legaldefinition ist ein Geschäftsgeheimnis „eine Information, die (i) geheim ist, weil sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen zu tun haben, allgemein bekannt noch ohne weiteres zugänglich ist, (ii) von kommerziellem Wert ist, weil sie geheim ist, und (iii) Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person ist, welche die rechtmäßige Verfügungsgewalt über diese Informationen ausübt.“
Wer sich mit dem „DSGVO-Wahnsinn“ in den letzten Jahren beschäftigen musste, stellt sich umgehend die Frage, in welcher „Beziehung“ sich das Geschäftsgeheimnis mit den datenschutzrechtlichen Transparenz- und insbesondere mit den datenschutzrechtlichen Auskunftspflichten befindet. In der Folge eine kurze „Beziehungsanalyse“:
Ähnlich Schutzziele – oder doch nicht?
Das Begriffspaar „zu schützende Geschäftsgeheimnisse“ und „zu schützende personenbezogene Daten“ scheinen auf den ersten Blick eine hochgradige Ähnlichkeit hinsichtlich der Schutzziele aufzuweisen. Tatsächlich ist das Geschäftsgeheimnisschutz- und das Datenschutzrecht aber schon vom „Schutzgegenstand“ gänzlich anders konzeptioniert: Der Geschäftsgeheimnisschutz schützt die geheime, kommerziell wertvolle Information. Datenschutz strebt hingegen den Schutz VOR Information an. Damit wird auch klar, dass unterschiedliche „Grundrechtsbereiche“ angesprochen werden, nämlich einerseits das Eigentumsrecht und andererseits das Datenschutzrecht des Betroffenen (im Sinne eines Persönlichkeitsrechts im weiteren Sinn).
Auch die Schutzvoraussetzungen sind anders – was sich auch an der Frage der Verkörperung zeigt: Während es beim Schutz von geheimer Information – soweit sie obige Defintion erfüllt – nicht auf eine Verkörperung odgl ankommt, sodass auch bloß in den Köpfen befindliche bzw gesprochene Geschäftsgeheimnisse geschützt sind, schützt das Datenschutzrecht ausschließlich vor automationsunterstützter oder strukturierter manueller Verarbeitung – also einer insoweit „verkörperten“ Verarbeitung.
Das Geschäftsgeheimnisschutzrecht umfasst auch ausschließlich „business information“ – also insbesondere nicht Staats- oder Privatgeheimnisse –, während das Datenschutzsrecht ausschließlich den Personenbezug fordert, wobei nach § 1 DSG ja in Österreich (weiterhin) auch juristische Personen umfasst sind.
Und nicht zuletzt sind die dogmatischen Rechtsbereiche und Verbotszugänge unterschiedlich: Das angesprochene Geheimnisschutzrecht ist ausschließlich zivilrechtlicher Natur, wohingegen das Datenschutzrecht dem (Verwaltungs)Strafrecht zuzuordnen ist. Auch die Verbotszugänge sind unterschiedlich: Während das Geschäftsgeheimnisschutzrecht – dem aufgeklärten Rechtsverständnis folgend – Verbote unter konkreten Voraussetzungen normiert, basiert das Datenschutzrecht auf dem Grundsatz des „Verbots mit Erlaubnisvorbehalt“, sodass alle Datenverarbeitung verboten ist, soweit sie nicht im Sinne der Artt 5 f DSGVO erlaubt ist. Mit anderen Worten: Datenschutz ist mehr oder weniger voraussetzungslos mit Verboten und im Erlaubnisraum mit Geboten für jedermann verpflichtend. Geheimnisschutz ist dagegen konzeptionell ein – gemäß der Definition „zu erschaffender“ – Sonderrechtsschutz, der nur unter ganz besonderen Voraussetzungen gewährt wird.
Konzeptionelle Überordnung des Datenschutzrechts?
Die scheinbare Ähnlichkeit und tatsächlichen Divergenzen der Rechte schreien nach einer formellen Abgrenzung – noch dazu im Lichte der zeitlichen Nähe zwischen Wirksamkeit der DSGVO und Umsetzung der GeheimnisschutzRL. Dabei ist auf der Zeitachse zu beachten, dass die GeheimnisschutzRL schon vor der DSGVO beschlossen wurde und ihrerseits daher in den Erwägungsgründen (34 und 35) noch allein auf Charta und die Datenschutzrichtlinie 1995 verweist: „Wichtig ist, dass der Schutz der personenbezogenen Daten aller Personen gewahrt bleibt, deren personenbezogenen Daten vom Inhaber des Geschäftsgeheimnisses bei Maßnahmen zum Schutz eines Geschäftsgeheimnisses eventuell verarbeitet werden […].“ Daher sollte die Geschäftsgeheimnis-Richtlinie nach den Erwägungsgründen explizit die Rechte und Pflichten der Datenschutzrichtlinie nicht berühren. Mit anderen Worten: Datenschutzrecht schlägt Geheimnisschutzrecht?!
In den erläuternden Bemerkungen zur – ja lang nach der Wirksamkeit der DSGVO erfolgten – Umsetzung des Geheimnisschutzrechts ins UWG findet sich kein Hinweis auf bzw. die Abgrenzung zum Datenschutzrecht. Das obschon die DSGVO neben den drakonischen Strafen ja insbesondere neue bzw. verschärfte Transparenzpflichten – insbesondere im Zusammenhang mit der Überlassung von Datenkopien im Rahmen der Auskunftspflicht – gebracht hat.
Wie schon oben angedeutet, bedarf es zur Auflösung des Konflikts zwischen dem Eigentumsrecht und dem Datenschutzrecht einer umfassenden Interessensabwägung. Es stellt sich dabei die Frage, ob die Abwägung – analog der Rechtsprechung zu den Auskunftspflichten der Provider zur Durchsetzung von Urheberrechten als Eigentumsrecht im Verhältnis zum Datenschutzrecht – tendenziell zum Vorteil des Datenschutzrechts ausschlägt, also datenschutzrechtliche Transparenzpflicht den Geheimnisschutz „schlägt“?
Datenschutzrechtliches Auskunftsrecht als Ende des Geschäftsgeheimnisses?
Das wäre wohl das faktische Ende vieler Geschäftsgeheimnisse: Bonitätsbewertungen, automatisierte Angebotsberechnungen, Zielgruppen-Marketing, Geo-Loction per Chips/ per Mobiltelefon … überall stecken viel Aufwand und wohl Geschäftgeheimnisse dahinter, welche durch das datenschutzrechtliche Auskunftsrecht „unterlaufen“ werden könnten. Um das zu verhindern, werden des Öfteren Grundsatzfragen, nämlich was „personenbezogene Daten“ sind, so aufgelöst, dass die Auskunftspflicht, die ja auch eine vollständige Kopie des Datenbestandes umfasst, umgangen wird: Man qualifiziert einfach gewisse Datenbestände – nämlich die geheimen Algorithmen – als „nicht mehr (!) personenbezogen“, sodass sie auch keiner Auskunftspflicht unterliegen würden. Dieser Zugang erscheint uns aber zu vereinfachend und verfehlt, weil dann andere Datenschutzrechtsfragen, wie insbesondere die Frage der Zulässigkeit des Profilings und die Information darüber, unauflösbar werden.
Andererseit ist verständlich, dass Geheimnisträger nicht über alle Algorithmen, welche personenbezogene Daten durchlaufen haben oder mit diesen verknüpft sind, Auskunft erteilen wollen: Es kommt ja kaum mehr vor, dass nicht in irgendeiner Form ein businessrelevantes Datenmodelling erfolgt: seien es ausgeklügelte Verfahren zur Verbesserung von Netzabdeckungen im Mobilfunkbereich, oder der Optimierungen im öffentlichen oder Straßenverkehr, als auch zur Abfederung von Arbeits- bzw Infrastrukturbelastungsspitzen udgl. Entgegen einigen Meinungen in der Literatur ist daher der Konflikt zwischen Auskunft und Geschäftsgeheimnis kein Ausnahmefall, sondern fast die Regel. Die Bonitätsprüfung ist dabei zweifellos nur die Spitze des Eisbergs.
Schutz des Geschäftsgeheimnisses vor der Auskunft!
Anders als das UWG hat die DSGVO (Art. 23 Abs. 1 lit. i, wenn auch nicht ganz ausdrücklich) und das DSG obigen „Dauerkonflikt“ mehr oder weniger konkret angesprochen und normiert das DSG (§ 4 Abs 6): Das Recht auf Auskunft besteht „in der Regel“ (?!) dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des datenschutzrechtlich Verantwortlichen bzw. eines Dritten gefährdet würde.
Wie so oft ist die Auflösung der Krise wohl nur im Einzelfall möglich und gibt es kein Patentrezept. Klar ist aber, dass Pauschalverweise auf Geschäfts- und Betriebsgeheimnisse nicht von der grundsätzlichen Auskunftspflicht „befreien“ können. Es bedarf daher im Rahmen der Auskunft einer fundierten – und nachprüfbaren – Begründung, dass die Auskunft aufgrund von Geschäftsgeheimnisschutz nicht erteilt wird.
Datenschutzrechtliche TOMs und Geheimhaltungsmaßnahmen
Neu brachte die DSGVO auch, dass die Pflicht zur Daten- bzw Informationssicherheit in das „Herz des Datenschutzrechts“ gekommen ist: unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Datenschutzrechte sind geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Verpflichtende Maßnahme ist auch die Vertraulichkeitsverpflichtung der Mitarbeiter nach Art. 28 DSGVO bzw § 6 DSG (sog „Datengeheimnis“).
Die TOMs erinnern zwanglos an die Begriffsbestimmung zum Geschäftsgeheimnis, nämlich an das Erfordernis der „angemessenen Geheimhaltungsmaßnahmen“ – der Synergieeffekt ist offensichtlich.
Und auch die Datenschutz-Folgenabschätzung (DSFA) und die Business Impact Analyse (BIA) können ähnliche Synergieeffekte mit sich bringen. Ebenso sind die Krisenpläne, die für Szenarien des Data Breach, wie auch des Trade Secret Breach, zu erstellen sind, wohl Hand-in-Hand zu erstellen.
In diesem Zusammenhang sei darauf hingewiesen, dass nach der österr Spruchpraxis (VwGH und DSB) die TOMs von Betroffenen weder in bestimmter Ausgestaltung gefordert werden können, noch, dass Betroffene auf diese verzichten können.
Um den „Synergieschatz“ heben zu können, bedarf es entsprechend durchdachter Projekte und in der Folge Prozesse, um die Saat entsprechend auszubringen und die Früchte iSd Compliance iwS zu ernten.