Kategorie: Datenschutz

Einleitung

Im Dezember 2020 erreichte ein Elektronikunternehmen aus Sarstedt ein Bußgeldbescheid der Landesbeauftragten für Datenschutz (LfD) des Landes Niedersachsen. Gerügt wurde ein Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO), namentlich eine unzulässige Videoüberwachung der Mitarbeiter. Das verhängte Bußgeld betrug 10,4 Millionen € und ist somit das bisher höchste Bußgeld, dass die LfD Niedersachen bisher verhängt hat.

Im Folgenden beleuchten wir die Grundsätze für eine Videoüberwachung unter der DS-GVO und gehen genauer auf die Begründung der Datenschutzbehörde und die Reaktion des Elektronikhändlers ein.

Wann ist eine Videoüberwachung am Arbeitsplatz zulässig?

Die Videoüberwachung am Arbeitsplatz ist ein heikles Thema und wird deshalb häufig diskutiert. Aus datenschutzrechtlicher Sicht stellt sie einen erheblichen Eingriff in das Persönlichkeitsrecht der Arbeitnehmer dar. Aus diesem Grund darf eine Videoüberwachung nur erfolgen, wenn sie im konkreten Fall gerechtfertigt ist. Eine Rechtfertigung läge bspw. nach Art. 6 Abs. 1 DS-GVO vor, wenn berechtigte Interessen für eine Videoüberwachung bestünden. Hierfür müsste also zunächst ein berechtigtes Interesse des Arbeitsgebers für eine Videoüberwachung gegeben sein. Dieses Interesse, bspw. ein Eigentumsrecht aus Art. 14 GG oder ein Hausrecht, müsste dann das allgemeine Persönlichkeitsrecht der Arbeitnehmer aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG überwiegen.

Es gibt keine starren Höchstfristen für die Speicherung des Videomaterials. Grundsätzlich gilt jedoch, dass die Speicherung der Daten so lange zulässig ist, wie sie zur Zweckerreichung der Videoüberwachung erforderlich ist und keine schutzwürdigen Interessen der Betroffenen entgegenstehen.

Eine Videoüberwachung ist demnach unter den oben genannten strengen Voraussetzungen zulässig. Sofern die Videoüberwachung unzulässig ist, stellt sie einen Verstoß gegen die DS-GVO dar. In einem solchen Fall steht es den Datenschutzbehörden frei, neben oder zusätzlich zu den Maßnahmen aus Art. 58 Abs. 2 DS-GVO, Bußgelder gem. Art. 83 DS-GVO von bis zu 20 Millionen € oder 4 % des Jahresumsatzes (je nachdem was höher ist) zu verhängen.

Begründung der LfD und Reaktion des Elektronikhändlers

Die LfD rügte eine ihrer Ansicht nach unzulässige Videoüberwachung von Mitarbeitern und Kunden, welche über zwei Jahre stattfand. Von den installierten Kameras wurden die Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche erfasst.

Das Unternehmen rechtfertigte die Videoüberwachung zunächst damit, dass Straftaten so schneller ausgeklärt werden können und sie die Kameras vor allem installiert hatten, um den Warenfluss zu verfolgen. Mitarbeiter sollten zu keinem Zeitpunkt kontrolliert oder deren Verhalten analysiert werden.

Aus Sicht der LfD sei die konstante Überwachung jedoch nicht verhältnismäßig und würde einen zu schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen darstellen. Insb. stünden andere Mittel zur allgemeinen Diebstahlprävention zur Verfügung, namentlich stichprobenartige Taschenkontrollen der Mitarbeiter. Eine wie hier dauerhafte Videoüberwachung der Arbeitnehmer komme einem Generalverdacht sehr nah.

Die langfristige Videoüberwachung zur Diebstahlprävention verlange jedoch gerade einen konkreten Verdacht gegen eine bestimmte Person, um ein berechtigtes Interesse des Arbeitgebers zu begründen, welches gegenüber den Persönlichkeitsrechten der Mitarbeiter überwiegt.

Die LfD kritisierte zudem, dass das Videomaterial im vorliegenden Fall 60 Tage lang gespeichert wurde, was ihrer Ansicht nach deutlich zu lange und unverhältnismäßig sei.

Aus Sicht des Elektronikhändlers ist der Bußgeldbescheid unzulässig. Das Unternehmen rügte vor allem, dass der Sachverhalt seitens der LfD nicht ausreichend ermittelt wurde. Sie hätten Mitarbeiter der Behörde innerhalb der zwei Jahre häufiger eingeladen und dazu aufgerufen, sich die Überwachungssituation vor Ort genauer anzusehen. Dem sei die Behörde jedoch nicht nachgekommen. 

Zudem sei die Höhe des Bußgeldes unverhältnismäßig und stünde nach Angaben des Geschäftsführers „in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes“.

Fazit

Es ist festzuhalten, dass die Videoüberwachung am Arbeitsplatz nur unter strengen Voraussetzungen erlaubt ist, um die Persönlichkeitsrechte der Mitarbeiter zu wahren. Ein Verstoß gegen die Voraussetzungen der DS-GVO berechtigt die Datenschutzbehörden dann im Ergebnis dazu, hohe Bußgelder gegen die Unternehmen zu verhängen.

Die LfD Niedersachsen und das Elektronikunternehmen sind bezüglich der Zulässigkeit des Bescheides und der Höhe des Bußgeldes unterschiedlicher Auffassungen. Aus diesem Grund ist der Bußgeldbescheid auch noch nicht rechtskräftig.

Das Unternehmen hat Einspruch gegen ihn eingelegt, sodass im weiteren Verlauf ein Gericht über den Fall zu entscheiden hat. Es ist demnach abzuwarten, wie das zuständige Gericht den Sachverhalt beurteilen wird. Es bleibt also spannend, ob das horrende Bußgeld seitens der Justiz als angemessen und gerechtfertigt angesehen wird.

Einführung

Großbritannien ist am 31.01.2020 aus der EU ausgetreten und seitdem kein Mitgliedstaat mehr. Bis zum 31.12.2020 dauert jedoch noch der sog. Übergangszeitraum an, in dem EU-Recht, vor allem die Datenschutz-Grundverordnung (DS-GVO) noch direkte Anwendung findet. Wie zuvor berichtet, wird das Vereinigte Königreich ab dem 01.01.2021 dann zum Drittland im Sinne der DS-GVO, sodass ein Datentransfer nur noch anhand der Art. 44 ff. DS-GVO zulässig ist. Ein uneingeschränkter Drittlandstransfer bedarf demnach eines Angemessenheitsbeschlusses der Europäischen Kommission, der besagt, dass in dem jeweiligen Drittland ein angemessenes, mit dem der EU vergleichbares, Datenschutzniveau vorliegt. Sofern kein Angemessenheitsbeschluss vorliegt, kann eine Datenübermittlung anhand geeigneter Garantien stattfinden: es kann vor allem auf Standardvertragsklauseln oder Binding Corporate Rules (BCRs) zurückgegriffen werden.

Angemessenheitsbeschluss für das Vereinigte Königreich?

Bisher hat die EU-Kommission noch keinen Angemessenheitsbeschluss für einen Datentransfer in das Vereinigte Königreich erlassen. Es bleibt also abzuwarten, ob und wie schnell sich die Kommission entscheiden wird.

Fraglich ist, ob das Datenschutzniveau in Großbritannien als angemessen angesehen wird. Dafür könnte zunächst sprechen, dass das Vereinigte Königreich maßgeblich im Prozess der Entstehung und Einführung der DS-GVO (als Mitgliedstaat) beteiligt war und 2018 den UK-DPA (Data Protection Act) erlassen hat, welcher viele Regelungen aus der DS-GVO aufgegriffen und umgesetzt hat. Im Zuge des Erlasses der UK-GDPR 2019 hat die Rechtslage sich im Vereinigten Königreich nun weitgehend der DS-GVO angenähert. Deswegen hatten sich viele Menschen und vor allem Unternehmen erhofft, dass der Angemessenheitsbeschluss nur eine Formalität ist und deshalb zügig von der EU-Kommission erlassen wird, um schnellstmöglich Rechtssicherheit zu schaffen. Dies ist nun nicht der Fall; die Kommission überprüft derweil eingehend das Datenschutzniveau in dem ehemaligen Mitgliedstaat.

Einem Angemessenheitsbeschluss könnte jedoch die neuere Rechtsprechung des Europäischen Gerichtshofs (EuGH) und ein Abkommen zwischen dem Vereinigten Königreich und den Vereinigten Staaten entgegenstehen, bzw. diesen erschweren.

Im Folgenden wird näher auf die Auswirkungen des zuvor erwähnten Abkommens und der EuGH-Rechtsprechung auf einen möglichen Angemessenheitsbeschluss eingegangen.

Auswirkungen des Datenschutzabkommens zwischen den USA und dem Vereinigten Königreich?

Die USA und das Vereinigte Königreich haben Ende 2019 ein Abkommen getroffen, welches die Strafverfolgungsbehörden des jeweils anderen Landes dazu ermächtigt, zum Zwecke der Strafverfolgung umfangreichen Zugang zu elektronischen Beweismitteln, einschließlich personenbezogenen Daten, die sich im Besitz eines Unternehmens mit Sitz im jeweils anderen Land befinden, zu erlangen (Agreement between the UK and US on Access to Electronic Data for the Purpose of Countering Serious Crime). Am 28.02.2020 trat das Abkommen dann in Kraft. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) hat in einem Brief bereits seine Bedenken bezüglich des Abkommens geäußert und klargestellt, dass es auch Einfluss auf die Abgabe eines möglichen Angemessenheitsbeschlusses hat. Der Datenschutzausschuss kritisierte vor allem, dass aus dem Abkommen nicht eindeutig hervorgehe, dass die Beantragung der Datenauskunft der vorherigen gerichtlichen Genehmigung bedürfe. Zudem sei nicht ersichtlich, dass das getroffene Abkommen in Bezug auf den Datenschutz Vorrang vor anderen innerstaatlichen Gesetzen, wie bspw. dem Cloud Act in den USA habe. Dies sei jedoch notwendig, damit ein Abkommen dem Schutzniveau der EU gerecht werde, vor allem, wenn das Land keinen Angemessenheitsbeschluss der EU-Kommission vorweisen könne.

Auswirkungen der Nichtigkeit des Privacy Shields auf einen Angemessenheitsbeschluss?

Auch die Nichtigkeit des Privacy Shields könnte Auswirkungen auf den Erlass eines Angemessenheitsbeschlusses des Vereinigten Königreichs haben. Wie zuvor berichtet, ist das Privacy Shield vom EuGH am 16.07.2020 für ungültig erklärt worden, weil den US-Geheimdiensten und -Behörden zu umfangreiche Befugnisse bezüglich des Zugriffs und des Sammelns von personenbezogenen Daten aufgrund innerstaatlicher Gesetze zustehen und dass Nicht-US-Bürger sich nicht ausreichend gegen einen möglichen Verstoß ihrer Rechte wehren konnten.

Im Vereinigten Königreich könnte es nun ähnlich aussehen, da sie aufgrund ihrer ebenfalls weitgehenden Überwachungsgesetze im Investigatory Powers Act und mit der Mitgliedschaft in der Five Eyes Alliance (UKUSA-Vereinbarung), ihren Behörden auch in großem Umfang Zugriff auf personenbezogene Daten ermöglichen. Aus der Rechtsprechung des EuGH zum Privacy Shield geht jedoch klar hervor, dass ausladende Überwachungsgesetze als nicht vereinbar mit dem EU-Datenschutzniveau angesehen werden. Die Nichtigkeit des Privacy Shields schmälert demnach die Chancen für einen Angemessenheitsbeschluss des Vereinigten Königreichs.

Auswirkungen der EuGH-Rechtsprechung zu Privacy International?

Kürzlich hat der EuGH in der Sache Privacy International (Urteil vom 06.10.2020, Az. C-623/17) geurteilt, dass die britische Regelung zur umfangreichen und anlasslosen Vorratsdatenspeicherung nach dem EU-Recht nicht zulässig sei. Britische Überwachungsgesetze wie der Investigatory Powers Act, welcher britischen Sicherheitsbehörden weitreichende Befugnisse zum Sammeln und Speichern von personenbezogenen Daten der Bevölkerung verschafft, würden gegen die EU-Grundrechte verstoßen.

Daraus folgt, dass das Datenschutzniveau von den Luxemburger Richtern als nicht angemessen angesehen wird. Dies wird sicherlich auch für die Kommission von entscheidender Bedeutung sein. Das Urteil wird einen möglichen Angemessenheitsbeschluss nun erheblich erschweren, gerade weil das Privacy Shield unter anderem wegen zu umfangreicher Befugnisse der Geheimdienste und Sicherheitsbehörden gekippt wurde. Im Vereinigten Königreich ist die Situation nun sehr ähnlich.

Fazit

Nun bleibt es weiter abzuwarten, wie die Europäische Kommission bezüglich des Angemessenheitsbeschlusses entscheiden wird. Aufgrund der neueren EuGH-Rechtsprechung ist ein Angemessenheitsbeschluss jedoch eher unwahrscheinlich. Ein Datentransfer in das Vereinigte Königreich muss ab dem 01.01.2021 also zunächst über Standardvertragsklauseln oder BCRs erfolgen.

Einleitung

Bereits im Februar 2019 sprach das Bundeskartellamt (BKartA) gegen Facebook eine Verbotsverfügung aus, weil es der Meinung war, Facebook behindere mit seinen Nutzungsbedingungen den Wettbewerb und nutze seine marktbeherrschende Position aus. Das BKartA setzte Facebook sodann eine Frist von zwölf Monaten, um seine Nutzungsbedingungen anzupassen. Bereits nach vier Monaten sollten Lösungsvorschläge präsentiert werden. Facebook hat gegen die Verfügung umgehend Beschwerde am Oberlandesgericht (OLG) Düsseldorf eingelegt, welches im Rahmen des vorläufigen Rechtsschutzes die aufschiebende Wirkung der Verfügung angeordnet hat. Dies bedeutet, dass die Entscheidung des BKartA nicht vollzogen werden darf, bis im Hauptsacheverfahren darüber entschieden wurde. Für Facebook heißt das, sich nicht an das Verbot bzw. die Auflagen des BKartA halten zu müssen, bis das OLG über die Rechtmäßigkeit der Verfügung entschieden hat. Das BKartA hat sich daraufhin ebenfalls im Eilverfahren an den Bundesgerichtshof (BGH) gewandt, um die aufschiebende Wirkung der Verfügung beseitigen zu lassen. Der BGH hat nun geprüft, ob die Gewährung der aufschiebenden Wirkung der Verfügung gerechtfertigt ist. Hierbei entscheidet der BGH nicht in der Hauptsache selbst, also ob das Verhalten von Facebook gegen kartellrechtliche Bestimmungen verstößt, sondern, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen.  

Nutzungsbedingungen von Facebook

Um Facebook nutzen zu können, müssen User zuerst einem plattformübergreifenden Umgang mit ihren Daten zustimmen. Das soziale Netzwerk sammelt und verarbeitet nicht nur Daten, die die jeweiligen Nutzer auf ihrem Facebook-Profil preisgeben, sondern auch Daten von Dritt-Webseiten und -Apps wie Instagram und WhatsApp (welche zu Facebook gehören). Dies dient dazu, genauere Profile der Nutzer zu erstellen und bspw. gezielt Werbung zu platzieren.

Ansicht des BKartA

Das BKartA ist der Ansicht, dass die Nutzungsbedingungen einen Verstoß gegen § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) darstellen. Durch das plattformübergreifende Datensammeln nutze Facebook seine marktbeherrschende Stellung aus, da den Nutzern keine Wahl gelassen werde, ob sie die Verknüpfung der Daten zulassen wollen oder nicht. Missbräuchlich sei, entgegen der Vorschriften der Datenschutz-Grundverordnung (DS-GVO) die private Nutzung von Facebook vom scheinbar grenzenlosen Sammeln von Daten und Erstellen von Profilen abhängig zu machen und den Nutzer quasi zur Zustimmung zu „zwingen“.

Entscheidung des BGH (Beschl. v. 23.06.2020, Az. KVR 69/19)

Der BGH setzte sich im Eilverfahren damit auseinander, ob ernstliche Zweifel bezüglich der Rechtmäßigkeit der Verbotsverfügung des BKartA bestehen. Dies erfolgt nur aufgrund einer summarischen Prüfung, was bedeutet, dass auf eine umfangreiche Beweisaufnahme verzichtet wird, um dem Charakter des Eilverfahrens gerecht zu werden und schnell eine Entscheidung zu erlangen. Nach seiner Prüfung stellte der BGH sich auf die Seite des BKartA. Das Karlsruher Gericht war ebenfalls der Auffassung, dass keine ernstlichen Zweifel an der marktbeherrschenden Stellung von Facebook auf dem deutschen Markt bestünden und diese Stellung von dem sozialen Netzwerk bei Verwendung ihrer Nutzungsbedingungen missbräuchlich ausgenutzt werde. Ausschlaggebend sei wieder die fehlende Wahlmöglichkeit der Nutzer, ob sie dem umfangreichen Datensammeln zustimmen wollen oder nicht. Dieser Umstand beeinträchtige schließlich die Privatautonomie und die Wahrung des Rechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m Art 1 Abs. 1 Grundgesetz) der Facebook-Nutzer, sowie die Kontrollfunktion des Wettbewerbs. Letztere könne durch die nach Ansicht des BGH kartellrechtlich relevante Ausbeutung der Nutzer von Facebook nicht mehr wirksam ausgeübt werden.

Der BGH bestätigt mithin einen Marktmissbrauch und sieht keine ernsthaften Zweifel an der Rechtmäßigkeit der Verbotsverfügung des BKartA. Die Karlsruher Richter sind der Meinung, dass die Nutzungsbedingungen in der Hinsicht angepasst werden müssten, dass die Nutzer des sozialen Netzwerks der Verknüpfung ihrer Daten von anderen Webseiten und Diensten aktiv zustimmen müssten und zudem eine Nutzung möglich wäre, sofern sie die Verknüpfung der Profile ablehnen würden.

Fazit

Im Ergebnis lehnte der BGH die Entscheidung des OLG Düsseldorf, die Anordnung der aufschiebenden Wirkung, ab und hob sie auf. Daraus folgt, dass Facebook sich zunächst an die Verbotsverfügung des BKartA halten muss, bis in der Hauptsache entschieden wurde. Somit stoppt der BGH zunächst das umfangreiche Datensammeln von dem sozialen Netzwerk. Wie das OLG sich im Hauptsacheverfahren entscheidet und der Rechtsstreit ausgeht, bleibt abzuwarten.

Einleitung

Seit einigen Jahren kritisiert der österreichische Datenschutzaktivist und Jurist Max Schrems die Datenübermittlung von Facebook aus der EU in die USA. Nach seiner Ansicht werde bei den Datentransfers den europäischen Datenschutzvorschriften der Datenschutz-Grundverordnung (DS-GVO) nicht gerecht. Schrems hatte zuletzt bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingelegt. Die Beschwerde richtet sich gegen die Weiterleitung der Daten von Facebook in Irland an ihren Mutterkonzern in den Vereinigten Staaten. Schrems begründet seine Beschwerde damit, dass kein angemessenes Datenschutzniveau in den USA gewährleistet sei, da Facebook dort dazu verpflichtet sei, seinen Behörden wie NSA oder FBI Zugang zu den aus der EU übermittelten Daten zu gewähren, ohne dass die Betroffenen dagegen vorgehen könnten. Nach Ansicht des österreichischen Datenschutzaktivisten sei ein angemessener Datenschutz auch nicht durch den EU-US Privacy Shield (im Folgenden: Privacy Shield) oder die Standardvertragsklauseln gewahrt. Schrems möchte mit seiner Beschwerde erreichen, dass seine personenbezogenen Daten von Facebook nicht mehr in die Vereinigten Staaten übermittelt werden. Facebook ist hingegen der Ansicht, dass die Datenübermittlung rechtmäßig erfolge und das europäische Datenschutzrecht ferner nicht anzuwenden sei, wenn die personenbezogenen Daten zum Zwecke der nationalen Sicherheit verarbeitet werden.

Der irische High Court hat nun den Europäischen Gerichtshof (EuGH) angerufen, um zu klären, ob der Privacy Shield und die Standardvertragsklauseln mit dem europäischen Datenschutzrecht vereinbar sind.

Datentransfer in ein Drittland nach DS-GVO 

Eine Datenübermittlung aus der EU in Drittländer erfolgt gem. Art. 44 ff. DS-GVO. Ein Datentransfer in ein Drittland ist stets zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO erlässt, welcher besagt, dass das jeweilige Drittland über ein angemessenes, mit dem Unionsrecht vergleichbares Datenschutzniveau verfügt. Bisher wurden transatlantische Datenübermittlungen häufig mit dem Privacy Shield gerechtfertigt. Der Privacy Shield ist eine Absprache zwischen der US-Regierung und der EU-Kommission, welches die Gewährleistung eines angemessenes Schutzniveaus für personenbezogene Daten, welche aus der EU übermittelt wurden, vorsieht.

Zudem können Standardvertragsklauseln der EU-Kommission eine Rechtsgrundlage für den Datentransfer in die Vereinigten Staaten darstellen. Bisher bedienten sich etliche US-Konzerne den Standardvertragsklauseln, sofern Daten aus der EU in die USA weitergeleitet wurden. 

Entscheidung des EuGH

In seinem neusten Urteil (16.07.2020, Az.: C-311/18) stellt der EuGH auf Anfrage eines irischen Gerichts zunächst klar, dass das EU-Recht, vor allem die DS-GVO generell dann Anwendung finde, wenn eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken erfolge. Dies gelte auch in Fällen, in denen die jeweiligen Daten direkt oder im Anschluss von Behörden des Drittlandes verarbeitet werden könnten. Eine Datenverarbeitung durch Behörden in einem Drittland könne nicht dazu führen, dass die Datenübermittlung nicht den Anforderungen der DS-GVO unterliegen müsse.

Des Weiteren entschied der EuGH, dass der Privacy Shield den europäischen Datenschutzvorschriften nicht gerecht werde. Dies sei darauf zurückzuführen, dass die Überwachungsgesetze in den Vereinigten Staaten zu umfangreich seien, sodass ein angemessener Schutz der personenbezogenen Daten von EU-Bürgern auch durch den Privacy Shield nicht gewährleistet sei. Darüber hinaus kritisierte der EuGH, dass keine ausreichenden Betroffenenrechte zur Verfügung stünden, um gegen den Datentransfer bzw. den Zugriff der US-amerikanischen Behörden auf die europäischen Daten, gerichtlich vorzugehen. Der EuGH erklärte den Privacy Shield mithin für nichtig.

Die Verwendung von Standardvertragsklauseln beanstandeten die Luxemburger Richter dagegen nicht. Es sei keine Kollision mit der europäischen Grundrechts-Charta (GRCh) ersichtlich. Der Beschluss der EU-Kommission zu Standardvertragsklauseln (Beschluss 2010/87) sehe die benötigten Maßnahmen vor, um in der Praxis gewährleisten zu können, dass das von der EU verlangte Datenschutzniveau eingehalten werde und dass bei einem Verstoß gegen die Klauseln eine Verarbeitung und Übermittlung ausgesetzt oder verboten werde. 

Fazit

Nachdem der EuGH bereits den Vorgänger des Privacy Shields, das Safe Harbor Abkommen, welches Schrems ebenfalls beanstandet hatte, im Jahr 2015 für ungültig erklärt hatte (Urt. v. 06.10.2015, Az.: C-362/14), teilt der Privacy Shield nun dasselbe Schicksal. Grund seien die ausgiebigen US-amerikanischen Überwachungsgesetze, welche die US-Behörden zur Überwachung „ausländischer Kommunikation“ weitläufig befugen. Zudem seien die Betroffenenrechte der EU-Bürger unzureichend. Alles in allem sei kein angemessenes Datenschutzniveau in den USA gegeben, so die Luxemburger Richter. Die Standardvertragsklauseln seien nicht zu beanstanden, sofern sie in dem jeweiligen Drittland auch eingehalten würden.

Folge des Urteils ist, dass viele Datenübermittlungen, welche sich auf den Privacy Shield als Rechtsgrundlage gestützt hatten, nun nicht mehr rechtmäßig sind. Dies könnte starke Auswirkungen auf Unternehmen haben, die auf den Bestand des Privacy Shields vertraut haben.

Darüber hinaus wird empfohlen, dass in der EU ansässige Unternehmen ihre Datenübermittlungen und Datenverarbeitungsabkommen betreffend Datenübermittlungen in die USA gründlich überprüfen sollten. Wenn die transatlantischen Datentransfers durch den „Privacy Shield“ gerechtfertigt sind, ist unverzüglich zu Standardvertragsklauseln überzugehen, um einen angemessenen Datenschutz zu gewährleisten. Findet diese Umstellung nicht statt, drohen hohe Geldstrafen (Art. 83 DS-GVO). 

Einleitung

Wie zuvor berichtet, ist seit dem 26. April 2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten, welches der Umsetzung der Geschäftsgeheimnis-Richtlinie 2016/943/EU dient.

Vor Umsetzung der Richtlinie ins deutsche Recht wurden Geschäftsgeheimnisse in § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) geschützt. Hier wurde für die Klassifikation als Geschäftsgeheimnis und demnach dem Schutz der Information lediglich ein subjektiver Wille zur Geheimhaltung als ausreichend angesehen. Der Anwendungsbereich des GeschGehG ist hingegen klarer eingegrenzt und schützt nur solche Informationen, welche auch objektiv als Geschäftsgeheimnisse zu qualifizieren sind. Gemäß § 2 Nr. 1 GeschGehG liegt ein zu schützendes Geschäftsgeheimnis vor, wenn die jeweilige Information nur einem begrenzten Personenkreis zugänglich und daher von wirtschaftlichem Wert ist, angemessene Geheimhaltungsmaßnahmen ergriffen wurden und ein berechtigtes Interesse an der Geheimhaltung der Information besteht.

Was unter angemessen Geheimhaltungsmaßnahmen zu verstehen ist, ist eine Frage der Auslegung. Im Folgenden wird das Merkmal der Angemessenheit der Geheimhaltungsmaßnahmen näher beleuchtet.

Gesetzesbegründung

In der Gesetzesbegründung (Drucksache 19/4724, S. 24) wird ausgeführt, dass die Art der Geheimhaltungsmaßnahme von der Art des Geschäftsgeheimnisses und den konkreten Umständen der Nutzung abhängt. In Betracht kämen insbesondere physische Zugangsbeschränkungen oder vertragliche Sicherungsmechanismen.

Ob die jeweiligen Geheimhaltungsmaßnahmen angemessen sind, hängt demnach vom Einzelfall ab und kann folgende Kriterien umfassen:

• Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
• Bedeutung für das Unternehmen,
• übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
• Art der Kennzeichnung der Information,
• Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Eine eindeutige Konkretisierung ist also nicht vorhanden. Vielmehr muss die Gesamtsituation zur Beurteilung der Angemessenheit herangezogen werden. In der Geschäftsgeheimnis-Richtlinie wird ebenfalls nicht näher auf den Begriff der Angemessenheit eingegangen.

Auslegung unter Berücksichtigung der Normhistorie

Da die Gesetzbegründung die Angemessenheit nicht näher definiert, muss für eine weitere Konkretisierung des Begriffs auf die Normgeschichte der Richtlinie zurückgegriffen werden. Die Geschäftsgeheimnis-Richtlinie nimmt in ihren Vorbemerkungen Bezug auf das 1994 von den Gründungsmitgliedern der Welthandelsorganisation (WTO, World Trade Organization) beschlossene „Abkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums“ (TRIPS-Abkommen). Das TRIPS-Abkommen setzt in Art. 39 Nr. 2 lit. c) für den Geschäftsgeheimnisbegriff voraus, dass angemessene Schritte unternommen wurden, um die betroffene Information geheim zu halten. Allerdings wird auch im TRIPS-Abkommen nicht näher darauf eingegangen, was genau unter angemessenen Maßnahmen zu verstehen ist. Demnach ist zum weiteren Verständnis des Begriffs der Angemessenheit auf die Normhistorie des TRIPS-Abkommens einzugehen.

Das TRIPS-Abkommen hat eine Formulierung des US-amerikanischen Uniform Trade Secrets Act (UTSA) übernommen. Der Uniform Trade Secrets Act definiert Geschäftsgeheimnisse (“trade secrets”) in Sec. 1 (4) als Informationen, einschließlich Formeln, Mustern, Kompilationen, Programmen, Vorrichtungen, Methoden, Techniken oder Verfahren, die einen unabhängigen wirtschaftlichen Wert, ob tatsächlich oder potenziell, daraus ableiten, dass sie anderen Personen, die aus seiner Offenlegung oder Nutzung wirtschaftlichen Wert erhalten können, nicht allgemein bekannt sind und nicht ohne weiteres mit angemessenen Mitteln ermittelt werden können. Zudem müssen den Umständen nach angemessenen Maßnahmen unternommen wurden, um die betroffenen Informationen geheim zu halten.

Nach Ansicht der englischsprachigen Literatur bedarf es für die Angemessenheit der Geheimhaltungsmaßnahmen weder der absoluten noch der größtmöglichen Sicherheit. Stattdessen soll das Erfordernis der Angemessenheit der Maßnahmen bewirken, dass Personen, die mit einem Geschäftsgeheimnis in Berührung kommen, sich diesem Umstand aufgrund äußerer Anzeichen bewusst oder sich dessen nur durch eigene Fahrlässigkeit nicht bewusst sind. Die Formulierung „den Umständen nach“ impliziert, dass die Größe des Unternehmens einen entscheidenden Einfluss auf die Beurteilung der Angemessenheit haben dürfte. Zusätzlich zu den allgemeinen Sicherungsmaßnahmen im Unternehmen ist es unerlässlich für den Geheimnisschutz, dass die betroffene Information den vorgebrachten Sicherungsmaßnahmen unterlegen haben muss. Wenn sich jedoch bereits aus persönlichen und beruflichen Sonderbeziehungen eine Geheimhaltungspflicht ergibt, beispielsweise im Verhältnis zwischen dem Anwalt und seinen Mandaten, sind keine weiteren Maßnahmen notwendig.

Praxis

In der Praxis sollten zum Schutz von Geschäftsgeheimnissen grundlegende Maßnahmen getroffen werden. Unternehmen sollten vertragliche Maßnahmen ergreifen, welche bereits in die Arbeitsverträge aufgenommen werden. Es empfiehlt sich jedoch, besonders vertrauliche Dokumente als solche zu kennzeichnen. Zudem sind organisations- und informationstechnische Regelungen zu treffen. In der täglichen Organisation sollte insbesondere sichergestellt werden, dass nur berechtige Mitarbeiter Zugriff auf entsprechende geheime Informationen bekommen. Darüber hinaus sollten sicherheitstechnische Maßnahmen umgesetzt werden. Hierzu bedarf es meist eines angepassten Sicherheitskonzepts.

Inwiefern hier ein Rückgriff auf die Regelungen der Datenschutz-Grundverordnung (DS-GVO) möglich ist, ist fraglich. Das GeschGehG und die DS-GVO verfolgen unterschiedliche Zwecke. Die DS-GVO dient dem Schutz personenbezogener Daten, das GeschGehG eben nur dem Schutz von Geschäftsgeheimnissen. Für personenbezogene Daten gilt die DS-GVO automatisch. Das GeschGehG entfaltet hingegen erst Wirkung nachdem angemessene Geheimhaltungsmaßnahmen ergriffen worden sind.

Fazit

Da im deutschen Recht der Begriff der Angemessenheit im Rahmen von Geheimhaltungsmaßnahmen neu ist, ist damit zu rechnen, dass die Rechtsprechung diesen noch näher konkretisieren wird. Diese Aufgabe hat der europäische Gesetzgeber offensichtlich der Rechtsprechung überlassen, da Erwägungsgrund 14 der Geschäftsgeheimnis-Richtlinie explizit eine homogene Definition des Geschäftsgeheimnisses, und damit auch der Angemessenheit der Geheimhaltungsmaßnahmen, verlangt.

Bis dahin bietet es sich an, sich an den Grundsätzen des amerikanischen Rechts zu orientieren. Nicht nur, weil der europäische Begriff der Angemessenheit der Maßnahmen auf den amerikanischem zurückzuführen ist, sondern auch, weil insbesondere internationale Unternehmen darauf zurückgreifen.