Gregor Thüsing/Sebastian Rombey

Verschränkungen von Daten- und Geheimnisschutz. Happy Birthday: Geschäftsgeheimnisgesetz


Professor Dr. Gregor Thüsing ist Direktor des Instituts für Arbeitsrecht und Recht der Sozialen Sicherheit der Universität Bonn.

Sebastian Rombey ist Wissenschaftlicher Mitarbeiter am Institut für Arbeitsrecht und Recht der Sozialen Sicherheit der Universität Bonn.

ZD 2020, 221   Wenn Kinder geboren werden, weiß man noch nicht, was einmal aus ihnen werden wird. Sie wachsen auf und entwickeln sich, und dann werden die Veranlagungen erkennbar ebenso wie die Korrekturen der Erziehung. Nicht anders ist es zuweilen mit Gesetzen. Auch bei ihnen kann man nur erahnen, was aus ihnen wird. Erblicken sie das Licht der Welt, treten an die Stelle der Eltern die Gerichte, die durch ihre Entscheidungspraxis den einen oder anderen Charakterzug des Gesetzes verdeutlichen.

So ist es wohl auch im Falle des zum 26.4.2019 in Kraft getretenen Geschäftsgeheimnisgesetzes (BGBl. 2019 I 466 (472)). Die Erwartungen jedenfalls waren groß, schließlich könnte das adressierte Thema in einer immer komplexer werdenden, datenbasierten und wissensgetriebenen Wirtschaft kaum aktueller sein und wird gerade aus Unternehmenssicht immer wichtiger: der Know-How-Schutz. Der Streit zwischen Apple und dem Chip-Hersteller Qualcomm um den Verrat vertraulicher Geschäftsgeheimnisse ist ein prominentes Beispiel - zahlreiche weitere wären möglich. Gut also, dass sich Europäisches Parlament und Rat entschlossen haben, die zum 5.7.2016 in Kraft getretene RL (EU) 2016/943 (Geschäftsgeheimnis-RL) zu erlassen, die nach Art. 1 Abs. 1 den Schutz von Geschäftsgeheimnissen vor rechtswidriger Erlangung, Nutzung oder Offenlegung bezweckt. Das daraufhin geschaffene Geschäftsgeheimnisgesetz nutzt den europarechtlich vorkonturierten Umsetzungsspielraum tendenziell eher restriktiv aus (s. überblicksartig Thüsing/Thüsing/Forst, Beschäftigtendatenschutz und Compliance, 3. Aufl. 2020, § 6 Rn. 9b, i.E.), erzeugt aber im Vergleich zu den Vorgängerregelungen in §§ 17, 18 UWG a.F. doch einen nicht unerheblichen unternehmerischen Handlungsbedarf (eingehend Scholtyssek/Judis/Krause, CCZ 2020, 23).

 

Ein Kurzüberblick vorab

Geschäftsgeheimnisse sind nach Art. 2 Abs. 1 Geschäftsgeheimnis-RL Informationen, die in dem Sinne geheim sind, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind; die von kommerziellem Wert sind, weil sie geheim sind; und die Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person sind, die die rechtmäßige Kontrolle über die Informationen besitzt. All diese Voraussetzungen müssen kumulativ erfüllt sein, damit eine Information als Geschäftsgeheimnis qualifiziert werden kann - nahezu wortgleich formuliert es § 2 Nr. 1 GeschGehG. Einzig die Frage, ob der von § 2 Nr. 1 lit. a) GeschGehG geforderte „wirtschaftliche Wert“ der Information mit dem von Art. 2 Nr. 1 lit. b) Geschäftsgeheimnis-RL genannten „kommerziellen Wert“ übereinstimmt, bleibt offen. Nach Art. 4 Abs. 1 Geschäftsgeheimnis-RL stellen die Mitgliedstaaten sicher, dass die Inhaber von Geschäftsgeheimnissen berechtigt sind, die in der Geschäftsgeheimnis-RL vorgesehenen Maßnahmen, Verfahren und Rechtsbehelfe zu beantragen, um rechtswidrigen Erwerb, Nutzung oder Offenlegung ihres Geschäftsgeheimnisses zu verhindern oder eine Entschädigung zu erlangen. Eine rechtswidrige Offenlegung von Geschäftsgeheimnissen ist nach Art. 4 Abs. 2 Geschäftsgeheimnis-RL insb. eine Offenlegung ohne Zustimmung des Inhabers des Geschäftsgeheimnisses. Abermals finden sich diese Vorgaben richtlinientreu u.a. in den Handlungsverboten des § 4 GeschGehG wieder. Tatbestandsausschließende Ausnahmen von diesen Handlungsverboten ergeben sich aus § 5 GeschGehG für Fälle des Whistleblowing, wodurch die (noch umzusetzenden) Vorgaben der Whistleblowing-RL EU 2019/1937 v. 23.10.2019 (dazu Thüsing/Rombey, NZG 2018, 1001) bei Überschneidungen partiell modifiziert werden, und für Fälle der Offenlegung ggü. dem Betriebsrat, wodurch klargestellt wird, dass der Know-How-Schutz nur in den Grenzen der Rechte besteht, die den Arbeitnehmern gegenüber ihrer Interessenvertretung zugestanden werden (insb. nach dem BetrVG), sowie generalklauselartig für die freie Meinungsäußerung - ganz so, wie es Art. 5 Geschäftsgeheimnis-RL vorsieht.

 

Viele offene Fragen mit Datenschutzrelevanz

Fast auf den Tag genau ist das GeschGehG ein Jahr alt geworden. Viel ist seitdem zu den zahlreichen (und vor allem für den Beschäftigungskontext relevanten) Auslegungsfragen geschrieben worden (exemplarisch Dann/Markgraf, NJW 2019, 1774; Naber/Peukert/Seeger, NZA 2019, 583 sowie Preis/Seiwerth, RdA 2019, 351). Dennoch bleiben viele Fragen weiter unbeantwortet. Denn: Die Datenschutzrelevanz der Thematik fristet bislang eher ein Schattendasein. Und das, obwohl sich spannende Rechtsprobleme ergeben, zu denen bislang aber nur vereinzelt Stellung genommen wurde. Z.B.: Wann darf der Arbeitgeber, der den Verdacht hegt, einer seiner Beschäftigten verrate Geschäftsgeheimnisse, personenbezogene Daten zu repressiven Zwecken verarbeiten (vgl. allg. Thüsing/Rombey, NZA 2018, 1105)? Welche Hürden sind zu beachten, damit das unternehmensinterne Geheimnisschutzkonzept angemessene Mechanismen zur Datensicherheit i.S.v. Art. 32 DS-GVO enthält (s. Auer-Reinsdorff/Conrad/Conrad, Hdb. IT- und Datenschutz, 3. Aufl. 2019, § 33 Rn. 315 ff.)? Und ist der Begriff der „angemessenen Geheimhaltungsmaßnahmen“ i.S.v. § 2 Abs. 1 lit. b) GeschGehG (bzw. Art. 2 Nr. 1 lit. c) Geschäftsgeheimnis-RL) autonom oder im Einklang mit dem Angemessenheitsbegriff der Art. 22 Abs. 3 S. 1, 88 Abs. 2, 9 Abs. 2 lit. g) und 32 Abs. 1 DS-GVO auszulegen (dazu Weigert, NZA 2020, 209)? Fragen, die belegen, dass die datenschutzrechtliche Diskussion der Thematik erst am Anfang steht. Zwei weitere Problemstellungen seien daher kurz aufgegriffen:

 

Offenlegung von Geschäftsgeheimnissen nach Art. 15 DS-GVO?

Die Frage, wie es sich mit dem Auskunfts- und Kopieanspruch betroffener Beschäftigter aus Art. 15 Abs. 1 und Abs. 3 DS-GVO verhält und ob in dessen Rahmen Geschäftsgeheimnisse offengelegt werden müssen, wird breit diskutiert. Das verwundert wenig, ist doch gerade hierzu eine vielbeachtete Entscheidung des LAG Baden-Württemberg (ZD 2019, 276 m. Anm. Wybitul) ergangen; das BAG (Revision ist unter Az. 5 AZR 66/19 anhängig) wird sie ggf. korrigieren. In der Sache ging es um einen Beschäftigten, der von seinem Arbeitgeber Informationen über ein internes Whistleblowing-Verfahren erlangen wollte, das zuvor gegen ihn durchgeführt worden war und nach Angaben des Arbeitgebers einen Compliance-Verstoß ergeben hatte. Das LAG gab dem Auskunftsanspruchs statt, jedenfalls im Hinblick auf die nicht in der Personalakte gespeicherten „personenbezogenen Leistungs- und Verhaltensdaten“.

Im Hinblick auf die in der Personalakte verfügbaren Daten wiederum gab das LAG dem Anspruch aus § 83 BetrVG statt und räumte damit dem Einsichtsrecht Vorrang vor der Anonymität des Whistleblowers ein. Zudem solle der Arbeitgeber dem Arbeitnehmer nach Art. 15 Abs. 3 DS-GVO „eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der von ihr vorgenommenen Verarbeitung sind, zur Verfügung ... stellen“. Die dagegen angeführten „berechtigten Interessen“ des Arbeitgebers an einer Geheimhaltung der Daten des Whistleblowers gem. § 34 Abs. 1 i.V.m. § 29 Abs. 1 S. 2 BDSG, die überwiegend nicht nur gegen Art. 15 Abs. 3 DS-GVO, sondern auch gegen Art. 15 Abs. 1 DS-GVO ins Feld geführt werden (s. dazu Zikesch/Sörup, ZD 2019, 239), stünden einer Offenlegung nicht entgegen. Denn: I.R.e. Abwägung sei das Geheimhaltungs- dem Offenlegungsinteresse gegenüberzustellen. Danach bestünde i.R.v. Whistleblowing-Fällen stets die Gefahr, dass der Hinweisgeber wider besseres Wissen handelt, um den Verdächtigten zu Unrecht in Misskredit zu bringen. Der Arbeitgeber habe aber nicht dargelegt, auf welche personenbezogenen Daten genau sich die behaupteten, schützenswerten Interessen Dritter bezögen, sodass eine Einzelfallabwägung nur schwerlich möglich sei. Gleiches gelte letztlich für Art. 15 Abs. 4 DS-GVO, wonach das Auskunftsrecht des Art. 15 Abs. 3 DS-GVO die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf.

In der Literatur hat diese Entscheidung teils Unverständnis (Härting, CR 2019, 219; Tribess, GWR 2019, 155), teils aber auch positivere Reaktionen (Ihwas, ArbRAktuell 2019, 227) ausgelöst. Doch der Reihe nach: Die Krux der Entscheidung liegt sicherlich darin, dass sie eine recht extensive Interpretation des datenschutzrechtlichen Auskunftsanspruchs zu Grunde legt, auch wenn Art. 15 DS-GVO i.E. neben § 83 BetrVG anwendbar sein wird (Fuhlrott, Anm. zu LAG Baden-Württemberg NZA-RR 2019, 242 (252)). Allerdings sind Einschränkungen unumgänglich, damit Art. 15 DS-GVO nicht - wie befürchtet - in unzulässiger Weise als Verhandlungsmasse genutzt werden kann, gerade vor dem Hintergrund der kurzen Fristen zur Erfüllung des Auskunftsanspruchs nach Art. 12 Abs. 3 DS-GVO sowie der immensen Haftungsrisiken aus Art. 82 Abs. 1 DS-GVO (vgl. auch Grau, EWiR 2019, 443). Dass Einschränkungen der DS-GVO selbst nicht fremd sind, kann Art. 12 Abs. 5 DS-GVO unmittelbar entnommen werden, der ein rechtsmissbräuchliches Auskunftsverlangen ausschließen will.

 

Auf der Suche nach Antworten

Aber welche datenschutzrechtlichen Implikationen können der Entscheidung nun für das GeschGehG entnommen werden? Jedenfalls, dass der Verantwortliche einem Auskunftsbegehren des betroffenen Beschäftigten nicht durch einen pauschalen Verweis auf bestehende Geheimhaltungsinteressen entgehen kann, sondern vielmehr konkret darlegen muss, woraus sich eben dieses Interesse genau ergibt. Ist eben dieses Geheimhaltungsinteresse dargelegt, kann das Auskunftsverlangen nur für diejenigen Daten verweigert werden, bei denen Geheimhaltung wirklich notwendig ist. Diese Wertung kann Erwägungsgrund 63 S. 5 DS-GVO unmittelbar entnommen werden. Für die Praxis empfehlen sich insoweit Schwärzungen oder andere technische Vorkehrungen (s. ferner Zikesch/Sörup, ZD 2019, 239 m.w.Ausf.). Abstrakte Schutzbehauptungen, die betreffenden Daten seien geheimhaltungsbedürftig, überzeugen bei konsequenter Anwendung von DS-GVO und BDSG nicht. Ähnlich sehen es auch die Aufsichtsbehörden, die darauf hingewiesen haben, dass Geschäftsgeheimnisse i.R.d. Art. 15 DS-GVO nicht offengelegt werden müssen, soweit die Geheimhaltungsinteressen nur hinreichend deutlich gemacht wurden und damit als Rechte Dritter i.S.v. Art. 15 Abs. 4 DS-GVO die Offenlegungsinteressen des Betroffenen überwiegen (DSK, Kurzpapier Nr. 6 v. 17.12.2018, S. 3; so auch Brink/Joos, ZD 2018, 483 (486 f.)). Diese Rechte Dritter dürfen nicht nur, wie der Wortlaut vermuten ließe, gegen Art. 15 Abs. 3 DS-GVO, sondern auch gegen Art. 15 Abs. 1 DS-GVO angeführt werden (Sydow/Specht-Riemenschneider, DS-GVO, 2. Aufl. 2018, Art. 15 DS-GVO Rn. 22 ff.).

Wie so oft ist damit Mittelmaß gefragt, auch und vor allem bei der Verminderung von Friktionen zwischen dem Schutz von Geschäftsgeheimnissen und dem datenschutzrechtlichen Auskunftsanspruch.

 

GeschGehG als Herausforderung für Datenschutzbeauftragte?

Weit weniger diskutiert, aber mindestens genauso praxisrelevant ist die Frage, wie die Einbeziehung des Datenschutzbeauftragten gelingen kann, wenn diesem gegenüber ein Geschäftsgeheimnis offenbart wird. Dies wird insoweit nicht selten sein, als zwar ein Geschäftsgeheimnis an sich noch kein personenbezogenes Datum i.S.d. Art. 4 Nr. 1 DS-GVO ist, aber oft mit Informationen über eine natürliche Person verbunden sein wird (vor allem bei internen Ermittlungen, BeckOK GeschGehG/Fuhlrott, 2. Ed. 2019, § 1 GeschGehG Rn. 44). Da der Datenschutzbeauftragte indes kein Arbeitnehmervertreter i.S.v. § 3 Nr. 3 oder § 5 Nr. 3 GeschGehG ist, muss die Offenlegung entweder auf § 3 Abs. 2 GeschGehG gestützt werden (in diese Richtung Preis/Seiwerth, RdA 2019, 351 (357)) oder aber auf einen nicht näher konkretisierten Fall des berechtigten Interesses an der Offenlegung i.S.v. § 5 GeschGehG. Beide Wege scheinen offen, sind aber sorgsam zu wägen und vorbehaltlich erster Gerichtsentscheidungen mit Rechtsunsicherheit verbunden.

 

Was bleibt?

Bereits diese kurzen Ausführungen verdeutlichen, dass das GeschGehG den Rechtsanwender noch lange beschäftigen wird. Der datenschutzrechtliche Einschlag der Thematik darf dabei nicht außer Acht bleiben. Warten wir ab, welche Entwicklung die wissenschaftliche Diskussion rund um den Know-How-Schutz nehmen wird.