Das neue Geheim­nis­schutz­gesetz: Was steht drin, was ist zu tun?

Warum eigentlich ein neues Gesetz zum Schutz vor Geschäfts­ge­heim­nissen (GeschGehG)? Gibt es denn immer noch nicht genug Gesetze? Schließlich sind viele Geschäfts­ge­heim­nisse bereits über das Patent- oder das Urheber­rechts­gesetz geschützt. Auch das Gesetz gegen den Unlau­teren Wettbewerb (UWG) und die §§ 823 und 826 BGB gewähren einen gewissen Schutz, jedoch geht die Richt­linie 2016/943 vom 15.6.2016) über diesen bereits bestehenden zivil­recht­lichen Schutz hinaus, so das der deutsche Gesetz­geber ein neues Gesetz erlassen musste, um technische, aber auch kaufmän­nische Geheim­nisse von Unter­nehmen besser zu schützen.

Bemer­kenswert immerhin: Der Gesetz­geber stellt klar, dass die Entde­ckung eines Geschäfts­ge­heim­nisses durch Testen eines Produkts oder Gegen­stands, dass jemand beispiels­weise gekauft oder auf anderen legalen Wegen erlangt hat, nicht verboten ist. Verboten sind aller­dings eine ganze Reihe anderer Verhal­tens­weisen. Die meisten liegen auf der Hand, wie etwa das unbefugte Kopieren von Dokumenten oder Gegen­ständen. Eine General­klausel verbietet alle sonstigen Verhalten, die nicht dem Grundsatz von Treu und Glauben und anstän­digen Markt­ge­pflo­gen­heiten entsprechen. Diese recht umwenig formu­lierte General­klausel dürfte vor Gericht noch zu einigen Inter­pre­ta­ti­ons­schlachten einladen.

Geheim­nisse, die man so oder auf andere nach dem Gesetz verbotene Weise erworben hat, darf man wieder nutzen noch offen­legen. Verboten ist es auch, das Geschäfts­ge­heimnis über eine andere Person zu erlangen, also sich etwa an einen Mitar­beiter heran­zu­machen und ihm die Geheim­nisse in einem scheinbar privaten Rahmen zu entlocken. Zum Schutz von Journa­listen, Arbeit­nehmern und Whist­le­b­lowern wurden noch im Gesetz­ge­bungs­prozess Ausnah­me­re­ge­lungen ergänzt, die die Krimi­na­li­sierung von Verhal­tens­weisen verhindert, an denen ein auch grund­rechtlich geschütztes öffent­liches Interesse besteht. Insbe­sondere betrifft dies den Quellen­schutz bei Journalisten.

Das Gesetz beschränkt sich nicht nur darauf, dass Verbotene zu definieren. Es gewährt dem Verletzten auch Besei­tigung-und Unter­las­sungs­an­sprüche. Der Verletzte kann zudem auch präventiv vor Gericht ziehen. Er kann verlangen, dass der Verletzer das Geheimnis wieder heraus­geben muss und alles, was auf dem Geheimnis beispiels­weise an Produkten basiert, zurück­ge­rufen bzw. vernichtet werden muss. Diese Rechte werden durch weitge­hende Auskunfts­ver­pflich­tungen flankiert. Die Unver­hält­nis­mä­ßig­keits­schwelle, die in Extrem­fällen die Geltend­ma­chung der Rechte der Geheim­nis­in­haber sperrt, dürfte recht hoch zu veran­schlagen sein. Überdies schuldet der Rechts­ver­letzer Schadens­ersatz inklusive des durch die Rechts­ver­letzung erzielten Gewinns und auch immate­ri­eller Schäden. 

Das Gesetz bestimmt, dass durchweg die Landge­richte zuständig sind, auch wenn der Streitwert das an sich nicht hergibt. Wichtig ebenfalls: Im Prozess um Ansprüche nach dem Geschäfts­ge­heim­nis­gesetz gelten besondere Geheim­hal­tungs­ver­pflich­tungen für alle Prozess­be­tei­ligten, und eine Geheim­hal­tungs­ver­pflichtung auch nach Abschluss des Verfahrens. Dies bedingt auch einge­schränkte Akten­ein­sichts­rechte Dritter; einige weitere prozes­suale Beson­der­heiten werden für die gericht­liche Praxis sicherlich inter­essant. Auch wichtig: die Verletzung von Geschäfts­ge­heim­nissen ist mit bis zu drei Jahren Freiheits­strafe oder Geldstrafe belegt, in besonders schweren Fällen sogar bis zu fünf Jahren.

Was bedeutet das nun für die Praxis: Klar ist, dass Unter­nehmen, die Geschäfts­ge­heim­nisse haben, nicht abwarten können, ob und wann jemand diese verrät. Denn das Gesetz ordnet an, dass Geschäfts­ge­heim­nisse nur dann geschützt sind, wenn sie Gegen­stand von angemes­senen Geheim­hal­tungs­maß­nahmen durch ihren recht­mä­ßigen Inhaber sind. Unter­nehmen müssen deswegen in einem ersten Schritt ihre Geheim­nisse identi­fi­zieren. Sodann müssen sie angemessene Geheim­hal­tungs­maß­nahmen treffen. Unter­nehmen brauchen also in einem ersten Schritt ein Geheim­nis­ver­zeichnis, sodann ein Geheim­hal­tungs­konzept, das das Maß des Angemes­senen keines­falls unter­schreitet, und darauf basie­rende Geheim­hal­tungs­richt­linien, die bei den mit dem Geheimnis befassten Mitar­beitern entspre­chend kommu­ni­ziert und regel­mäßig aktua­li­siert werden müssen. 

2019-03-25T09:08:28+01:0025. März 2019|Datenschutz, Industrie, Wettbewerbsrecht|

Schreck­ge­spenst Daten­schutz: Bußgeld­be­scheid nach Behördenanfrage

Eine auf den ersten Blick etwas erschre­ckende Nachricht wabert durch das Internet: Ein kleiner Online-Versand­handel soll sich im Mai 2018 an den hessi­schen Beauf­tragten für Daten­schutz gewandt haben und um Rat hinsichtlich eines Dienst­leisters gebeten haben, der im Auftrag des Unter­nehmens Kunden­daten verar­beitet, aber trotz Nachfragen keinen Vertrag zur Auftrags­da­ten­ver­ar­beitung geschickt hatte. Offenbar hoffte man auf ein klärendes Wort der Behörde. Diese enttäuschte diese Hoffnung jedoch. Nach Ansicht der Daten­schutz­be­hörde musste sich nämlich das anfra­gende Unter­nehmen selbst um eine solche Verein­barung kümmern und einen Entwurf dem Auftrags­ver­ar­beiter vorlegen.

Das Unter­nehmen sah das anders und verlieh dieser Ansicht auch Ausdruck. Ein Anwalt trat auf den Plan und unter­strich im Auftrag des Unter­nehmens gegenüber der Behörde noch einmal, dass man den Dienst­leister in der Pflicht sah. Die Daten­schutz­be­hörde sah das aber immer noch anders und gab die Angele­genheit nach Hamburg ab. Die Daten­schutz­be­hörde in Hamburg erließ daraufhin gegen das Unter­nehmen, das nachge­fragt hatte, einen Bußgeld­be­scheid über 5000 €.

Was lernen wir nun aus diesem Verfahren? Besser Abstand halten zu den Daten­schutz­be­hörden? Vielleicht hilft eher ein Blick auf die recht­lichen Grund­lagen. Die Auftrags­ver­ar­beitung ist in Art. 28 DSGVO geregelt. Hiernach muss – die Verordnung beschreibt das recht detail­liert – derjenige, der sich als Verant­wort­licher eines Dienst­leisters bedient, dafür Sorge tragen, dass der einen ordent­lichen Daten­schutz einhält. Nach Art. 28 Abs. 3 DSGVO ist Grundlage ein zusätz­licher Vertrag, in dem ein recht engma­schig umschrie­bener Standard verpflichtend vereinbart wird. In Dienst­leis­tungs­ketten muss eine lückenlose Verpflich­tungs­kette diesen Standard sichern, Art. 28 Abs. 4 DSGVO.

In der Regelung steht nicht, wer den Entwurf dieser Verein­barung vorzu­legen hat. Es entspricht der gängigen Praxis, dass der Auftrags­ver­ar­beiter einen Vertrag vorliegt, denn schließlich weiß er am besten, durch welche konkreten Maßnahmen er den rechts­kon­formen Umgang mit den zu verar­bei­tenden Daten gewähr­leisten will. Und was er überhaupt ganz genau mit Daten macht. Juris­tisch zwingend ist das aber nicht. Entspre­chend hat die Behörde nicht ganz unrecht, wenn sie sich darauf beruft, dass dann, wenn dem Auftrag­geber schlicht nicht bekannt ist, was der Auftrags­ver­ar­beiter mit den Daten macht, und auch keine Verein­barung vom Verar­beiter vorgelegt wird, auf die Zusam­men­arbeit verzichtet werden sollte. Denn in einer solchen Lage ist ja kaum vorstellbar, wie die darge­stellte Pflicht zum Abschluss des Vertrages überhaupt sachgemäß einge­halten werden soll.

Aller­dings: Dies bedeutet nicht, dass nun panisch jedem Dienst­leister, der keinen Auftrags­ver­ar­bei­tungs­vertrag vorgelegt hat, die Zusam­men­arbeit aufzu­kün­digen wäre. Nicht alles, was auf den ersten Blick nach Auftrags­ver­ar­beitung aussieht, ist auch eine solche. Dies ist im ersten Schritt sorgfältig zu prüfen. Mögli­cher­weise braucht man ja gar keine solche Verein­barung. Und dies immerhin lehrt dieser Fall: Bevor sich ein Unter­nehmen aus einer ungeklärten Situation heraus an eine Behörde wendet, sollte sie für sich Klarheit gewonnen haben, ansonsten besteht stets die Gefahr, einen Sachverhalt lückenhaft, ungenau oder gar unrichtig zu kommu­ni­zieren, so dass die Behörde sich genötigt sieht, aktiv zu werden. Denn wenn erst einmal Bescheide in der Welt sind, ist es deutlich aufwen­diger, gegen diese anzugehen, als von vornherein abgesi­chert und klar zu kommunizieren.

2019-01-21T23:37:05+01:0021. Januar 2019|Datenschutz|

Neues von der facebook-Fanpage

Erinnern Sie sich noch an die EuGH-Entscheidung zu facebook-Fanpages und an den Ärger, den Herr Valk von den Stadt­werken Oberal­theim damit hatte?

Um es kurz zu rekapi­tu­lieren: Am 5. Juni 2018 hatte der Europäische Gerichtshof (EuGH) in einer viel beach­teten Entscheidung sich mit sogenannten facebook-Fanpages befasst. Es geht also um diese Seiten bei facebook, mit denen sich Unter­nehmen oder öffent­liche Organi­sa­tionen kostenlos präsen­tieren und in Kontakt mit ihren Kunden treten können. Eine schöne Sache eigentlich, wenn nur nicht das Geschäfts­modell von facebook darin bestehen würde, möglichst viele Daten zu sammeln – und das mit Hilfe von Cookies nicht nur von facebook-Nutzern, sondern auch von Kunden, die mit facebook ansonsten gar nichts am Hut haben. In seinem Urteil hat der EuGH festge­stellt, dass nicht nur facebook für das Sammeln und Verar­beiten der Daten verant­wortlich ist, sondern auch die Betreiber der Fanpage eine Mitver­ant­wortung haben. Das hat die deutschen Daten­schützer natürlich gefreut, denn an facebook, dessen europäi­scher Sitz in Irland ist, kommen sie schlicht nicht ran.

Herr Valk war dagegen weniger begeistert. Schließlich war es ihm ein Anliegen, dass die Stadt­werke Oberal­theim mithalten können und bei einem jungen Kunden­stamm wahrge­nommen werden, der sich auf den sozialen Netzwerken bewegt. Facebook zu verlassen kam daher nicht in Frage. Anderer­seits profi­tierte er zwar von der statis­ti­schen Auswertung seiner Kunden­daten durch facebook, den sogenannten insights, hatte ansonsten nichts mit der Daten­ver­ar­beitung durch facebook zu tun. Er konnte insofern auch keinerlei Einfluss darauf nehmen, dass dabei alles mit rechten Dingen zugeht. Herrn Valk blieb insofern nichts übrig, als auf eine weitere Klärung der Rechtslage zu warten; ein unbefrie­di­gender Zustand für einen Vertriebs­leiter, der die Dinge ansonsten gern etwas offen­siver angeht. Inzwi­schen hat sich zwar einiges getan, ob es aber reicht, um den Stadt­werken Oberal­theim und anderen Unter­nehmen Sicherheit zu bieten?

Zunächst hatte die Daten­schutz­kon­ferenz, in der sich die Daten­schutz­be­hörden des Bundes und der Ländern abstimmen, unmit­telbar nach seinem Erscheinen auf die Konse­quenzen des Urteils aufmerksam gemacht: Die Daten­schutz­grund­ver­ordnung (DSGVO) fordert bei gemein­samer Verant­wort­lichkeit eine Verein­barung nach Artikel 26 DSGVO zwischen den Betei­ligten über die Verteilung der Pflichten. Als die Daten­schutz­kon­ferenz drei Monate später erneut zusam­mentrat, war facebook, von kosme­ti­schen Details abgesehen, aller­dings noch untätig geblieben. Daher wurden die Fanpages für illegal erklärt und die Verein­barung erneut angemahnt.

Auf die Mahnung hin legte Facebook ein paar Tage später eine Verein­barung vor, das sogenannte „Page Controller Addendum“. Mit dieser Zusatz­ver­ein­barung erkennt facebook zum einen die geltende Rechtslage an und übernimmt die Haupt­ver­ant­wortung für den Daten­schutz, dazu zählt insbe­sondere die Erfüllung von Infor­ma­ti­ons­pflichten, Betrof­fe­nen­rechten, Melde­pflichten und Daten­si­cherheit. Die Fanpage-Betreiber müssen klären, dass eine Rechts­grundlage für die Verar­beitung der Insights-Daten besteht. In dem Zusam­menhang stellt sich die Frage, ob und auf welche Weise Kunden oder Besucher der Fanpage über die Daten­ver­ar­beitung im Zusam­menhang mit ihrem Besuch infor­miert werden müssen. Weiterhin müssen die Betreiber den Verant­wort­lichen für die Daten­ver­ar­beitung der Seite benennen und sonstige geltende recht­liche Pflichten erfüllen. Schließlich müssen die Betreiber alle Nutzer­an­fragen oder Anfragen der Aufsichts­be­hörden per Formular an Facebook weiter­leiten und bei der Klärung der Anfragen kooperieren.

Herrn Valk hat die insights-Verein­barung mit Facebook zwar schon mal abgeschlossen, richtig befriedigt hat ihn die Lösung jedoch noch nicht. Sorge bereitet ihm unter anderem die Ankün­digung seiner zustän­digen Daten­schutz­be­hörde, die Daten­schutz­kon­for­mität von Fanpages in der Verwaltung und bei ausge­wählten Unter­nehmen zu prüfen. Erste Städte sollen die Konse­quenz gezogen und sich aus Facebook verab­schiedet haben. Soweit will Herr Valk nicht gehen. Er wartet lieber noch auf die Entscheidung des Bundes­ver­wal­tungs­ge­richts (BVerwG). Der EuGH hatte nämlich noch nicht das letzte Wort gesprochen, sondern nur im Vorla­ge­ver­fahren Fragen beant­wortet, die für ein Urteil des BVerwG streit­ent­scheidend sind.

2019-01-21T15:27:02+01:0021. Januar 2019|Datenschutz, Digitales|