Individualisierte Zugangsdaten (Passwörter) sind eines der typischen Mittel, um digital gespeicherte Geschäftsgeheimnisse vor unbefugtem Zugriff zu schützen. Das LG Nürnberg-Fürth entschied kürzlich, dass derartige Zugangsdaten ihrerseits zugleich ein Geschäftsgeheimnis darstellen können. In der gut begründeten Entscheidung äußert sich das Gericht damit gleich doppelt zur Einordnung von Informationen unter den Begriff des Geschäftsgeheimnisses im Sinne des § 2 Nr. 1 GeschGehG. ( LG Nürnberg-Fürth, Urt. v. 27.12.2024, Az. 19 O 556/24, hier abrufbar).
Sachverhalt
Der Kläger betreibt eine Datenbank, die unter anderem kontinuierlich aktualisierte Übersichten zu Terminen und Gesetzgebung in der Gesundheitspolitik liefert. Kunden des Klägers sind insgesamt 90 unterschiedliche Unternehmen und Organisationen aus der Gesundheitsbranche. Der Zugang zur Datenbank ist nur nach Abschluss eines Lizenzvertrags möglich.
Die Beklagte hat einen Lizenzvertrag geschlossen, der eine Nutzung durch zehn Nutzer für ein jährliches Entgelt von 15.000 Euro gestattet. Dabei sieht der Vertrag ausdrücklich vor, dass nur solche Personen berechtigte Nutzer sind, die in einem Dienst-, Arbeits- und Ausbildungsverhältnis mit der Beklagten stehen. Die jeweiligen Nutzer sind namentlich zu benennen, wobei ein Wechsel jederzeit möglich ist. Jeder Nutzer erhält vom Kläger ein eigenes Passwort. Sowohl der Beklagten wie auch den einzelnen Nutzern ist die Weitergabe der Passwörter an Dritte untersagt.
Ein Mitarbeiter der Beklagten hat – mit Zustimmung der Beklagten – sein Passwort an Mitarbeiter eines konzernverbundenen Unternehmens weitergegeben. Nachdem der Kläger von dieser Weitergabe (wohl durch Zufall) Kenntnis erlangt, macht er Unterlassungs-, Schadensersatz- und Auskunftsansprüche geltend und beruft sich unter anderem auf Ansprüche aus dem GeschGehG.
Die Zusammenstellung von Informationen in einer Datenbank kann ein Geschäftsgeheimnis sein
§ 2 Nr. 1 GeschGehG stellt drei Voraussetzungen an das Vorliegen eines Geschäftsgeheimnisses: Es ist erforderlich, dass die Information nicht in den üblichen Kreisen bekannt bzw. ohne Weiteres zugänglich ist und daher einen eigenen wirtschaftlichen Wert hat. Die Information muss zudem Gegenstand von angemessenen Geheimhaltungsmaßnahmen sein und der Inhaber muss ein berechtigtes Geheimhaltungsinteresse haben.
In Bezug auf die Datenbank des Klägers ergeben sich insoweit – auch wenn die Beklagte dies anders bewertet – nur wenige Fragen: Die strukturierte Ansammlung von Daten kann einen Geheimnischarakter haben, auch wenn die Daten an sich öffentlich zugänglich sind. Entscheidend ist insoweit, dass die konkrete Zusammenstellung nicht öffentlich zugänglich ist. Dies entspricht im Übrigen auch der Bewertung aus der BGH-Entscheidung „MOVICOL-Zulassungsantrag“ (Urteil vom 23.2.2012, I ZR 136/10), in der das Geheimnis eine spezielle Auswahl und Zusammenstellung von öffentlich verfügbaren Studien und Informationen zu einem bestimmten Thema umfasste.
Der Umstand, dass immerhin 90 Unternehmen und Organisationen auf die Datenbank zugreifen können, lässt den Geheimnischarakter ebenfalls nicht entfallen. Das Gericht stellt klar, dass die Informationen der Datenbank nicht ohne Weiteres zugänglich sind, weil der Kläger die Zugangsmöglichkeit nur an solche Personen vergibt, die mit ihm einen entsprechenden Vertrag schließen, sich Geheimhaltungsverpflichtungen unterwerfen und ein nicht unerhebliches Entgelt für die Nutzungsmöglichkeit zahlen. Die Informationen sind daher ohne größeren Zeit- und Kostenaufwand nicht zugänglich. Der wirtschaftliche Wert der Datenbank zeigt sich schon an dem Umstand, dass die Beklagte zur Errichtung eines Lizenzentgelts von 15.000 Euro bereit sei. Auch die Angemessenheit der (detailliert beschriebenen) weiteren Schutzmaßnahmen stand für das Landgericht außer Zweifel.
Auch (schon) die individualisierten Zugangsdaten zu einer Datenbank können ein Geschäftsgeheimnis bilden
Besonders Interessant ist die Beurteilung der Passwörter, also der Geheimhaltungsmaßnahmen selbst als (weiteres) Geschäftsgeheimnis im Sinne des § 2 Nr. 1 GeschGehG:
Das Gericht stellt zunächst klar, dass auch die Zugangsdaten „Informationen“ sind, also grundsätzlich ein Geheimnis bilden können. Es stellt sich aber insbesondere die Frage, ob der Geheimhaltungsmaßnahme also den Zugangsdaten zu der Datenbank ein eigener wirtschaftlicher Wert zukommt. Dafür genügt bereits, dass das bekannt werden der Information wirtschaftliche Nachteile für den Geheimnisinhaber mit sich bringen würde (Alexander in: Köhler/Feddersen, UWG 43. Auflage 2025). Der Erfolg des Geschäftsmodells hing hier gerade davon ab, dass der Kläger über die Zugangsdaten den Zugriff auf die Datenbank kontrollieren kann, denn nur so kann das Lizenzmodell erfolgreich sein. Wenn jedermann auf die Datenbank zugreifen könnte, dann bräuchte niemand eine Lizenz. Das Gericht ergänzt, dass gerichtsbekannt Passwörter auf dem Schwarzmarkt gehandelt werden, was zusätzlich für ihren wirtschaftlichen Wert spreche. Ihnen komme daher ein eigener wirtschaftlicher Wert zu.
Auch für die Zugangsdaten lagen angemessene Geheimhaltungsmaßnahmen vor: Indem der Kläger vertraglich detailliert geregelt hat, dass diejenigen Personen, die Zugangsdaten erhalten sollten erstens in einem Dienst-, Arbeits- oder Ausbildungsverhältnis mit dem Lizenzinhaber stehen mussten, zweitens dem Kläger zu nennen waren und drittens die Weitergabe von Passwörtern vertraglich untersagt ist, bilden Zugangsdaten ein Geschäftsgeheimnis.
Fazit: Bei guter Vertragsgestaltung ein gestärkter Schutz der Datenbankbetreiber
Bei Zugangsdaten kommt es auf die genaue Ausgestaltung an. Sie können, müssen aber keinen eigenen Geheimniswert haben. Die Bewertung wäre wohl anders, wenn keine Individualisierung der Zugangsberechtigten erfolgt. Anders fiele die Beurteilung auch bereits dann aus, wenn der Nutzer ein persönliches Passwort wählen könnte. Dann wäre der Lizenzgeber nämlich schon kein „Inhaber“ der Information mehr gemäß § 2 Nr. 2 GeschGehG (Hauck, GRUR-Prax 2025, 162).
Interessant ist auch die Frage, ob der Schutz einer passwortgeschützten Datenbank aufgrund der schieren Menge der Zugriffsberechtigten eine Grenze hat.
Das Urteil des LG Nürnberg-Fürth verdeutlicht, dass eine Information nicht bereits dann allgemein bekannt bzw. ohne Weiteres zugänglich ist, wenn ein größerer Personenkreis an Mitarbeitern oder Externen davon Kenntnis oder die Zugangsmöglichkeit zu der Information hat. Entscheidend ist, ob die Offenlegung kontrolliert erfolgt und Daten ohne größeren Zeit- oder Kostenaufwand zugänglich sind. Daher können selbst Informationen der juristischen Datenbank „beck-online“, die nach eigener Darstellung mehr als 50.00 Nutzer hat, Geschäftsgeheimnisse sein, sofern die Offenlegung der Zugangsdaten und der Informationen der Datenbank kontrolliert erfolgt. Der Zugang zu beck-online erfolgt nach Abschluss eines Vertrags passwort-geschützt unter Verwendung der dem Kunden vom Verlag zugeteilten Zugangsdaten. Ist das Abonnement für mehrere Nutzer abgeschlossen, erhält jeder berechtigte Nutzer eigene Zugangsdaten und ein eigenes Passwort. Beck-online verpflichtet außerdem seine Kunden, Zugangsdaten und Passwörter geheim zu halten und die unberechtigte Nutzung durch Dritte zu verhindern (5.1 der AGB). Im Ergebnis können daher auch Informationen von besonders nutzerstarken Datenbanken wie beck-online Geschäftsgeheimnisse sein.
Die Entscheidung hat eine erhebliche praktische Bedeutung, weil sie (mindestens) den Schutz spezialisierter Datenbanken mit einem noch halbwegs überschaubaren Kundenkreis deutlich verstärkt. Bei geeigneter Vertragsgestaltung können die Betreiber sich neben möglichen Ansprüchen wegen Vertragsverletzung auch auf das GeschGehG berufen. Dies bietet umfassende prozessuale Vorteile: Neben der dreifachen Schadensberechnung ist die Durchsetzung der Auskunftsansprüche erleichtert. Ferner ist ggf. die örtliche Zuständigkeit des Gerichts am Sitz des Verletzers begründet, was – je nach Gerichtsort – eine attraktive Option ist. Nicht zu vernachlässigen ist schließlich, dass bei einer Qualifizierung der Passwortweitergabe als GeschGehG-Verstoß auch ein strafrechtliches Vorgehen möglich ist (§ 23 GeschGehG). Ob dies im Fall eines Kunden eine sinnvolle Taktik ist, mag der Betreiber selbst entscheiden. Jedenfalls sind auf dieser Grundlage die verfügbaren Optionen deutlich stärker als bei einer reinen Vertragsverletzung.