Ein Fall aus der Praxis, der ungeahnte Fragen aufwirft: Verwirklicht das passive Erlangen eines USB-Sticks mit Geschäftsgeheimnissen ein Tatbestandsmerkmal des GeschGehG? Und wenn ja, welches? Die rechtliche Einordnung des „gefundenen“ Geschäftsgeheimnisses bildet den Gegenstand dieses Beitrags.
Ausgangsfall
Zwei Geschäftsführer von konkurrierenden Unternehmen treffen sich zum Mittagessen. Die Unterhaltung dreht sich jedoch nicht um Preisabsprachen. Vielmehr berichtet der eine Geschäftsführer über dauernden Ärger mit den Gesellschaftern und allgemein schlechte Stimmung im Unternehmen. Er deutet auch an, dass er seine berufliche Zukunft eher nicht in seinem aktuellen Unternehmen sehe. Zum Schluss des Gesprächs legt dieser Geschäftsführer wortlos einen USB-Stick auf den Tisch. Weder erfolgt ein Hinweis auf den Inhalt des USB-Sticks noch ergeben sich hierfür sonstige Anhaltspunkte.
Der andere Geschäftsführer steckt den USB-Stick ein, ohne sich nähere Gedanken zu machen. Bei Aufruf des Inhalts (natürlich nach einem Check durch die IT) findet er mehrere Dateien, die sich nach einem kurzen und groben Blick als aktuelle Kundenlisten für unterschiedliche Produktreihen entpuppen.
Der Geschäftsführer ist zwar sehr interessiert an diesen Informationen, hat aber den guten Reflex, den IP-Anwalt seines Vertrauens anzurufen, der sich zufälligerweise auch mit Geschäftsgeheimnissen auskennt. Er stellt sich nun die Frage, ob und ab welchem Zeitpunkt er sich schon strafbar macht/gemacht haben könnte oder ob der die Daten irgendwie vielleicht nutzen könnte.
I. Normative Anknüpfung
§ 4 GeschGehG legt fest, unter welchen Voraussetzungen ein Geschäftsgeheimnis nicht erlangt, genutzt oder offengelegt werden darf.
Fraglich ist, ob einer der folgenden Abschnitte ein Handlungsverbot der Norm verwirklicht: Zunächst die bloße Entgegennahme des USB-Sticks, dann das Anschließen des USB-Sticks an einen PC und das anschließende Lesen seines Inhalts. Schließlich käme das Nutzen oder Offenlegen der Geschäftsgeheimnisse in Betracht (welches in unserem Fall noch nicht erfolgt ist).
1. Voraussetzungen des § 4 GeschGehG
Ein Geschäftsgeheimnis wird i.S.d. § 4 Abs. 1 Nr. 1 GeschGehG unzulässig erlangt, durch unbefugten Zugang zu, unbefugte Aneignung oder unbefugtes Kopieren von Dokumenten, Gegenständen, Materialien, Stoffen oder elektronischen Dateien, die der rechtmäßigen Kontrolle des Inhabers des Geschäftsgeheimnisses unterliegen und die das Geschäftsgeheimnis enthalten oder aus denen sich das Geschäftsgeheimnis ableiten lässt.
Einen Zugang verschafft sich nach herrschender Ansicht, wer sich in eine Lage versetzt oder versetzen lässt, aus der sich die Möglichkeit ergibt, auf das Geschäftsgeheimnis oder einen Geheimnisträger zuzugreifen. Bereits die Möglichkeit der Kenntnisnahme genügt; auf eine tatsächliche Kenntnisnahme kommt es für das Vorliegen eines Zugangs nicht an. Der Zugang kann sowohl körperlich als auch digital erfolgen.
Umstritten ist, ob das Überwinden von Schutzvorkehrungen erforderlich ist, wie dies in der Literatur gefordert wird. Die überwiegende Auffassung lehnt ein solches Erfordernis ab – zu Recht. Weder aus dem Wortlaut des § 4 GeschGehG noch aus der EU-Richtlinie 2016/943 lässt sich entnehmen, dass ein Überwinden von Schutzvorkehrungen als Element der Tathandlung vorausgesetzt wird. Der EU-Gesetzgeber hat bewusst darauf verzichtet, ein solches Erfordernis aufzunehmen. Dies bestätigt insbesondere der Vergleich mit § 202a StGB, der das Ausspähen von Daten unter Strafe stellt. Dort verlangt der Tatbestand ausdrücklich, dass „Zugangssicherungen überwunden“ werden müssen; § 4 GeschGehG enthält eine entsprechende Voraussetzung gerade nicht. Lassen sich im konkreten Einzelfall keine Schutzvorkehrungen überwinden, stellt sich vielmehr die Frage, ob überhaupt „angemessene Geheimhaltungsmaßnahmen“ i.S.v. § 2 Nr. 1 b) GeschGehG vorgelegen haben. Dies betrifft jedoch allein den Geheimnisbegriff und nicht die Handlungsverbote des § 4 GeschGehG.
Die Definition des Zugangs wird aber nach herrschender Auffassung durch das Erfordernis einer „aktiven Tätigkeit“ eingeschränkt. So entschied das Oberlandesgericht Frankfurt a.M. hat in seiner Entscheidung vom 27.11.2020 (AZ: 6 W 113/20), dass der bloße Empfang einer E-Mail keinen Zugang i.S.d. Vorschrift darstellt, weil der Empfänger zum Erhalt der E-Mail keinen eigenen Beitrag leistet. Das Gericht verlangt vielmehr ein aktives Element; der Empfänger muss zur Verwirklichung des Tatbestands (irgend-)eine Form von Aktivität entfaltet haben.
Fraglich ist außerdem, ob ein Erlangen eine subjektive Komponente voraussetzt, wie dies nach früherem Recht der Fall war. Nach der früheren Rechtslage musste die Tat – in Anlehnung an das Strafrecht – vorsätzlich begangen werden; zusätzlich musste ein den Unrechtsgehalt steigernder Beweggrund vorliegen. Ein solcher Beweggrund lag insbesondere vor, wenn die Tat zu Zwecken des Wettbewerbs, aus Eigennutz, zu Gunsten eines Dritten oder mit Schädigungsabsicht erfüllt begangen wurde. Zivilrechtliche Ansprüche, wie § 823 BGB, wurden darüber erreicht, dass § 17 UWG a.F. als Schutzgesetz i.S.v. § 823 Abs. 2 BGB eingestuft wurde. Diese Bewertung kann jedoch heute keinen Bestand mehr haben. § 4 GeschGehG, durch dessen Einführung der § 17 UWG aufgehoben wurde, richtet sich nunmehr nach dem Zivilrecht und fordert keinen Vorsatz mehr. Die Tatbestandsmerkmale des § 4 GeschGehG sind daher grundsätzlich objektiv zu beurteilen.
Allerdings vertreten sowohl der überwiegende Teil der Literatur als auch die Rechtsprechung die Auffassung, dass die Begriffe des Zugangs, des Aneignens und des Kopierens ein „zielgerichtetes Handeln“ voraussetzen und daher ein subjektives Element in den Tatbestand hineinzulesen ist. Teilweise differenziert die Literatur jedoch danach, dass Abwehransprüche aus rein objektiver Sicht zu beurteilen sind während Schadenersatzansprüche ein Verschulden und damit eine subjektive Komponente voraussetzen. Auch das OLG Frankfurt a.M. hat in seiner Entscheidung (s.o.) das Erfordernis eines subjektiven Elements bejaht.
Das Erfordernis einer subjektiven Komponente erscheint sachgerecht. Bereits die Definition des Zugangs verlangt, dass sich jemand „in eine Lage versetzt“ oder „versetzen lässt“. Diese Formulierung setzt ein aktives Handlungselement voraus. Andernfalls müsste die Definition davon sprechen, dass jemand „in eine Lage gerät“, was sie gerade nicht tut.
2. Anwendung auf den Ausgangsfall
a) Das Entgegennehmen der Geheimnisse
Zunächst stellt sich die Frage, ob schon das passive Entgegennehmen des Sticks ein verbotenes „Erlangen“, insbesondere einen „unbefugten Zugang“ i.S.d. § 4 Abs. 1 Nr. 1 GeschGehG darstellt.
Durch das Entgegennehmen des Sticks erhält der Empfänger die Möglichkeit zur tatsächlichen Kenntnisnahme, sodass grundsätzlich ein Zugang vorliegt. Auf eine tatsächliche Kenntnisnahme kommt es dabei im Ausgangspunkt nicht an, wie wir oben festgestellt haben. Fraglich ist jedoch, ob der Empfänger den USB-Stick auch durch eine aktive Tätigkeit beziehungsweise durch zielgerichtetes Handeln erlangt hat. Fehlt es an einem solchen aktiven Element, läge kein Zugang im Sinne des § 4 GeschGehG vor.
Der Fall weist erhebliche Parallelen zum bloßen Empfang einer E-Mail auf, bei dem die Rechtsprechung mangels eines aktiven Beitrags einen Zugang abgelehnt hat. Dafür spricht insbesondere, dass der Empfänger keinen bewussten Beitrag zur Übermittlung der geheimen Informationen geleistet hat. Zwar stellt das Einstecken des USB-Sticks formal eine aktive Handlung dar. Dem Empfänger fehlt jedoch gerade das Bewusstsein darüber, dass sich auf dem Datenträger Geschäftsgeheimnisse befinden. Damit fehlt zugleich die subjektive Komponente des zielgerichteten Handelns. Der Empfänger nimmt lediglich einen ihm überreichten Gegenstand entgegen, ohne zuvor den Willen gebildet zu haben durch diesen mit zielgerichtetem Handeln Geschäftsgeheimnisse zu erlangen. Sein Verhalten richtet sich gerade nicht auf die Kenntnisnahme vertraulicher Informationen. Das Erfordernis einer aktiven Tätigkeit impliziert aber das Vorliegen von mindestens einem Minimum an Wollen.
Der Sachverhalt ähnelt deshalb auch dem Zufallsfund eines nicht gekennzeichneten Geschäftsgeheimnisses. Aus der kommentarlosen Übergabe des USB-Sticks ergibt sich für den Empfänger nicht, welche Inhalte sich darauf befinden. Auch die Übergabe selbst erfolgt letztlich zufällig aus Sicht des Empfängers, da allein der frühere Geschäftsführer über die Weitergabe entscheidet. Der Empfänger erhält den Stick daher ohne eigenes zielgerichtetes Zutun und lediglich aufgrund des Willens des Übergebenden. Richtigerweise ist dieser Vorgang nicht als Verstoß gegen § 4 Abs. 1 Nr. 1 GeschGehG zu bewerten. Es scheint auch unverhältnismäßig, den Empfänger in dieser konkreten Situation als Rechtsverletzer in Anspruch zu nehmen, obwohl er keinen eigenen Beitrag zur Erlangung des Zugangs leistet. Sobald der Stick eingesteckt wurde, kann der Empfänger die Erlangung des Geschäftsgeheimnisses faktisch nicht mehr rückgängig machen, obwohl er noch gar nicht weiß, dass er sich im Besitz eines solchen Geheimnisses befindet.
Zu beachten ist hier, dass die Bewertung von feinen Nuancen abhängt. Der wirklich arglose Empfänger sollte den Tatbestand nicht verwirklichen, zumal ein zu weit gefasster Begriff des „Erlangens“ auch dass missbräuchliche „Aufdrängen“ von Geheimnissen ermöglichen würde. Anders wäre der Fall aber zu bewerten, wenn der Empfänger ahnt oder gar weiß, welche Daten sich auf dem USB-Stick befinden.
b) Die Benutzung des Sticks
Des Weiteren ist fraglich, ob das Einstecken des USB-Sticks an einen PC und das anschließende Lesen seines Inhalts einen unbefugten Zugang darstellt.
In diesem Fall liegt jedenfalls die erforderliche aktive Handlung vor, da der Empfänger den Stick eigenständig anschließt und die Dateien bewusst öffnet. Allerdings weiß er auch im Zeitpunkt des Einsteckens noch nicht, dass sich auf dem Stick Geschäftsgeheimnisse befinden. Mangels Kennzeichnung oder entsprechender Mitteilung durch den ehemaligen Geschäftsführer kann er hiervon zunächst auch keine Kenntnis haben. Erst durch das Öffnen der Dateien erhält er die Möglichkeit, den Geheimnischarakter der Informationen zu erkennen.
Nach einer strengen Ansicht setzt ein unbefugter Zugang nicht voraus, dass dem Empfänger der Geheimnischarakter bewusst ist. Zur Begründung wird angeführt, dass bereits in solchen Fällen die Gefahr einer Offenlegung des Geheimnisses besteht. Dieses Argument überzeugt zwar insoweit, als auch ein unwissender Empfänger den Schutz des Geschäftsgeheimnisses faktisch gefährden kann. Die Ansicht führt jedoch in der praktischen Anwendung zu erheblichen Schwierigkeiten.
So soll der bloße Fund eines Geschäftsgeheimnisses nach überwiegender Auffassung gerade noch keinen unbefugten Zugang darstellen, solange das Geheimnis nicht als solches erkennbar ist. Weiß der Finder dagegen aufgrund einer Kennzeichnung oder sonstiger Umstände positiv, dass ein Geschäftsgeheimnis vorliegt, und liest er die Dokumente dennoch, handelt er zielgerichtet und bewusst hinsichtlich der Kenntnisnahme des Geheimnisses. Bereits beim typischen Fundfall differenziert die Literatur daher danach, ob der Empfänger den Geheimnischarakter erkennt oder nicht.
Die strenge Ansicht verzichtet dagegen vollständig auf dieses Wissenselement. Das überzeugt nicht. Die Fälle sind vergleichbar, weil sich der Empfänger sowohl beim Zufallsfund als auch im vorliegenden Fall zunächst nicht darüber bewusst ist, dass Geschäftsgeheimnisse betroffen sind. Da die vorliegende Konstellation dem typischen Fundfall stark ähnelt, sollte dem Empfänger zugestanden werden, sich zunächst Klarheit über den Inhalt des USB-Sticks zu verschaffen.
Dafür spricht auch, dass Teile der Literatur eine Pflicht zum Abbruch der weiteren Kenntnisnahme erst ab dem Zeitpunkt annehmen, in dem der Empfänger den Geheimnischarakter erkennt. Erst ab dieser Kenntnis darf er die Dokumente nicht weiterlesen, verwenden oder offenlegen.
Die zugrundeliegende Konstellation war bislang so wohl noch nicht Gegenstand gerichtlicher Entscheidungen. Auch die Literatur vertritt hierzu keine einheitliche Auffassung. Vieles spricht jedoch dafür, eine subjektive Komponente zu verlangen und danach zu differenzieren, ab welchem Zeitpunkt der Empfänger Kenntnis vom Geheimnischarakter der Informationen erlangt. Jedenfalls besteht Klarheit darüber, dass der Empfänger das Geschäftsgeheimnis nicht nutzen oder offenlegen darf. Erkennt er beim Lesen der Dateien, dass es sich um Geschäftsgeheimnisse handelt, und setzt er die Kenntnisnahme dennoch fort oder verbreitet die Informationen weiter, verwirklicht er spätestens ab diesem Zeitpunkt den Tatbestand des § 4 Abs. 2 Nr. 1 GeschGehG. Durch das weitere Lesen oder die Weitergabe verschafft er sich nun bewusst und zielgerichtet unbefugten Zugang zu dem Geschäftsgeheimnis i.S.d. § 4 Abs. 1 Nr. 1 GeschGehG.
c) Mittelbare Geheimnisverletzung, § 4 Abs. 3 GeschGehG
Eine Haftung kommt auch nach den Grundsätzen der mittelbaren Geheimnisverletzung gemäß § 4 Abs. 3 GeschGehG in Betracht. Danach darf ein Geschäftsgeheimnis nicht erlangen, nutzen oder offenlegen darf, wer das Geschäftsgeheimnis über eine andere Person erlangt hat und zum Zeitpunkt der Erlangung, Nutzung oder Offenlegung weiß oder wissen müsste, dass diese das Geschäftsgeheimnis entgegen Absatz 2 genutzt oder offengelegt hat.Dabei bedeutet „Wissen“ positive Kenntnis und „Wissen müssen“ fahrlässige Unkenntnis. Gem. § 276 Abs. 2 BGB handelt fahrlässig, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. Mit dieser Regelung, die mit dem GeschGehG neu eingeführt wurde, hat der Gesetzgeber die Haftung deutlich ausgeweitet. Gerade der Beispielsfall zeigt aber die Relevanz der Vorschrift:
Liegen für den Empfänger konkrete Anhaltspunkte dafür vor, dass die Information durch eine rechtswidrige Vortat genutzt oder offengelegt wurde, so treffen ihn Nachforschungspflichten. Diese können die Pflicht umfassen, rechtlichen Rat einzuholen oder die Herkunft der Informationen näher zu überprüfen. Der Umfang der Nachforschungspflichten richtet sich im Einzelfall nach dem Wert des Geheimnisses.
Für den vorliegenden Fall ergibt sich daraus Folgendes: Im Zeitpunkt der Entgegennahme des USB-Sticks fehlt es noch an jeder Kenntnis darüber, welche Informationen sich auf dem Datenträger befinden. Der Empfänger weiß daher weder, dass Geschäftsgeheimnisse betroffen sind, noch, dass eine rechtswidrige Offenlegung vorliegen könnte. Der Tatbestand des § 4 Abs. 3 GeschGehG liegt zu diesem Zeitpunkt noch nicht vor.
Erst mit dem Öffnen der Dateien und dem Erkennen, dass es sich um vertrauliche Kundenlisten oder sonstige Geschäftsgeheimnisse handelt, entsteht ein konkreteres Verdachtsmoment. Ab diesem Zeitpunkt drängt sich die Möglichkeit auf, dass die Informationen unbefugt weitergegeben wurden. Den Empfänger treffen nun Nachforschungspflichten. Setzt der Empfänger die Nutzung oder Durchsicht der Informationen trotz dieser Verdachtsmomente fort, spricht vieles dafür, dass er jedenfalls wissen müsste, dass die Informationen aus einer rechtswidrigen Offenlegung stammen. Ab diesem Zeitpunkt darf er die Geschäftsgeheimnisse weder weiter nutzen noch offenlegen; jede Nutzung verstößt gegen § 4 Abs. 3 GeschGehG.
II. Fazit
Mangels einschlägiger gerichtlicher Entscheidungen und aufgrund der bislang nur vereinzelt sowie uneinheitlich vertretenen Auffassungen in der Literatur lässt sich nicht sicher vorhersagen, wie Gerichte einen solchen Fall entscheiden werden. Gute Gründe sprechen jedoch dafür, in § 4 GeschGehG eine subjektive Komponente hineinzulesen, um derartige Konstellationen sachgerecht beurteilen zu können. Eine Schutzlücke entsteht dadurch nicht, da der Sachverhalt über § 4 Abs. 3 GeschGehG erfasst wird.
Ob auch ein Zugang durch Unterlassen möglich ist, etwa durch das bloße Behalten des USB-Sticks, ist nicht abschließend geklärt. Zur Vermeidung rechtlicher Risiken empfiehlt es sich daher in der Praxis, einen erhaltenen USB-Stick oder vergleichbare Datenträger unverzüglich zurückzugeben und frühzeitig Rechtsrat einzuholen. Um spätere Beweisschwierigkeiten zu vermeiden, sollte der gesamte Vorgang sorgfältig dokumentiert werden. Zudem sollte der Empfänger den USB-Stick oder die E-Mail keinesfalls weitergeben, kopieren oder anderweitig verbreiten.