öOGH: Rechtsverlust durch mangelhafte Schutzmaßnahmen

Das Erfordernis, ein Geschäftsgeheimnis durch angemessene Geheimhaltungsmaßnahmen zu schützen, stellt Mandanten und Berater noch immer vor Probleme. Eine aktuelle Entscheidung des österreichischen Obersten Gerichtshofs (öOGH) illustriert nun, dass Nachlässigkeit gravierende Konsequenzen für den Geheimnisinhaber haben kann. 

Hintergrund: Angemessene Schutzmaßnahmen, § 2 Nr. 1 b) GeschGehG

Die Pflicht des Geheimnisinhabers, sein Geschäftsgeheimnis durch angemessene Geheimhaltungsmaßnahmen vor dem Zugriff Dritter zu schützen, ist die zentrale Neuerung des GeschGehG. Die Auslegung dieses Tatbestandsmerkmals führt noch immer zu Schwierigkeiten in der Praxis, weil nur wenige Entscheidungen mit konkreten Aussagen zur Erforderlichkeit (oder Nicht-Erforderlichkeit) bestimmter Maßnahmen vorliegen. Dies führt dazu, dass im Zweifelsfall zu immer strengeren Maßnahmen und immer höheren Schutzanforderungen geraten wird. Auch wenn das OLG Düsseldorf bereits klargestellt hat, dass ein optimaler Schutz oder extreme Sicherheit nicht erforderlich seien (OLG Düsseldorf, U.v. 11.03.2021, Az.: 15 U 6/20, Rz. 64), ist dieses Vorgehen nachvollziehbar und letztlich in gewissem Umfang aufgrund der unklaren Rechtslage auch geboten. Welche Konsequenzen eine Nachlässigkeit haben kann, zeigt eine aktuelle Entscheidung des öOGH.

Entscheidung des öOGH

Der Oberste Gerichtshof entscheidet in einem Verfügungsverfahren zwischen zwei Unternehmen, die im Bereich der Finanzdienstleistungen tätig sind und Fonds- und Finanzdaten mit zusätzlichen Informationen an ihre Kunden (Versicherungen, Banken, Pensionskassen und andere Finanzdienstleister) liefern.

Bei der Antragsgegnerin ist eine Mitarbeiterin beschäftigt, die zuvor rund 13 Jahre lang in leitender Position bei der Antragstellerin tätig war und dort auch in sämtliche operative Prozesse eingebunden war. Im Jahr 2018 hatte sich diese Mitarbeiterin gegenüber der Antragstellerin vertraglich verpflichtet, deren Geschäftsgeheimnisse „absolut vertraulich“ zu behandeln. Das Beschäftigungsverhältnis endete durch eine ordentliche Kündigung der Antragstellerin im Juli 2021.

Noch im November 2021 – also mehrere Monate nach Beendigung ihrer Tätigkeit – konnte sich die ehemalige Mitarbeiterin in der Datenbank ihrer früheren Arbeitgeberin, der Antragstellerin, einloggen und hatte dort unbeschränkten Zugriff auf alle Daten. Nach dem Vorbringen der Antragstellerin hat sie im November 2021, also nach ihrem Ausscheiden, in erheblichem Umfang Kundendaten sowie Informationen über Fonds kopiert. Diese Informationen, so die Antragstellerin, soll die Antragsgegnerin zur aktiven und gezielten Kundenabwerbung genutzt haben. Die Antragstellerin hat ein Beweissicherungsverfahren im Rahmen einer einstweiligen Verfügung eingeleitet, dem in erster Instanz stattgegeben wurde. Das Rekursgericht (die 2. Instanz) hat den Antrag abgewiesen. Gegen diese Entscheidung wendet sich die Antragstellerin mit dem Revisionsrekurs zum Obersten Gerichtshof (NB: die österreichische ZPO ermöglicht drei Instanzen im Verfügungsverfahren).

Der öOGH verweist darauf, dass die Antragstellerin den effektiven Schutz ihrer Geschäftsgeheimnisse vernachlässigt habe. Der früheren Mitarbeiterin sei es unbeschränkt möglich gewesen, sich noch Monate nach Beendigung des Arbeitsvertrags unbeschränkt in die Datenbank der Antragstellerin einzuloggen (die Doppelung von „unbeschränkt“ findet sich im Original). Dadurch habe die Antragstellerin gegen die sie treffende Obliegenheit verstoßen, die Geheimnisse mit angemessenen Geheimhaltungsmaßnahmen zu schützen. Sie könne sich daher im konkreten Fall gegenüber der Antragsgegnerin nicht auf den gesetzlichen Geheimhaltungsschutz berufen (öOGH, Beschluss vom 19.11.2024, 4 Ob 195/24s).

Bewertung

In den Ausführungen des öOGH schwingt (zu Recht) eine gewisse Fassungslosigkeit mit. Ausdrücklich verweist das Gericht darauf, dass im Rahmen von angemessenen IT-Sicherheitsmaßnahmen selbstverständlich bei einem ausscheidenden Mitarbeiter dessen Zugang zum IT-System unverzüglich gesperrt werden müsse.

Diese Warnung und Mahnung lässt sich in jeder Hinsicht auf die Beurteilung nach deutschem Recht übertragen: Ein Geheimnisinhaber, der einfachste Schutzmaßnahmen wie die Sperrung eines Datenbankzugangs ausscheidender Mitarbeiter unterlässt, verliert seinen Geheimnisschutz. Jedes Unternehmen sollte dringend darauf achten, bei der Beendigung von Arbeitsverhältnissen auch den Geheimnisschutz nicht zu vernachlässigen. Dies umfasst so offensichtliche Aspekte wie die Sperrung des Zugangs zu Computersystemen und des physischen Zugangs zum Arbeitsplatz, aber auch eine Belehrung zum Umgang mit Geschäftsgeheimnissen nach dem Ausscheiden sowie selbstverständlich die Pflicht zur Rückgabe aller physischen oder elektronischen Kopien von Geschäftsgeheimnissen des (früheren) Arbeitgebers.

Interessant ist noch die – im Verfahren des öOGH nicht klärungsbedürftige – Frage, ob sich der Verlust des Geheimnisschutzes ausschließlich in dem Verhältnis der betroffenen Parteien auswirkt oder sich auch ein Dritter auf die mangelhaften Schutzmaßnahmen berufen könnte (sofern er Kenntnis hat). Systematisch spricht einiges dafür, dass dieser Einwand auch jedem Dritten möglich sein müsste: Die Obliegenheit des Geheimnisinhabers ist nicht auf das Verhältnis zu bestimmten Personen beschränkt. Da der Geheimnisinhaber seine Informationen gegenüber jedermann in jeweils angemessener Weise schützen muss, kann sich auch ein Dritter auf ihm bekanntwerdende mangelhafte Geheimhaltungsmaßnahmen berufen.

Fazit: Ohne Schutzmaßnahmen kein Schutz

Die Rechtsordnung verlangt auch weiterhin keine perfekten Schutzmaßnahmen. Wer aber nachlässig agiert und – wie in diesem Fall – grob fahrlässig einfachste Schutzmaßnahmen unterlässt, verliert den Schutz seiner Geheimnisse.