Kategorie: Datenschutz

Einleitung

Vandalismus, Pöbeleien, Beleidigungen oder auch Straftaten stellen keine Seltenheit im Öffentlichen Raum dar. Um diese Taten zu verringern bzw. strafrechtlich zu verfolgen, wird die öffentliche Videoüberwachung zunehmend ausgebaut. Jedoch muss im Vorfeld eine umfassende Interessenabwägung stattfinden. Zwar sollen Täter von Straftaten abgeschreckt werden, andererseits soll jedoch eine freie Bewegung im Raum möglich sein, ohne dass der einzelne Bürger einem ständigen Überwachungsdruck ausgesetzt wird. Diese Abwägung unterschiedlicher Interessen hat seit Anwendungsbeginn der DS-GVO, und damit einhergehend dem neuen BDSG, an Komplexität hinzugewonnen.

Grundsatz

Vor Einführung der DS-GVO richtete sich die Zulässigkeit der Installation von Überwachungskameras nach § 6b BDSG a.F. Dieser wurde durch die neue Fassung des § 4 BDSG ersetzt. Demnach ist gem. § 4 Abs. 2 S.1 BDSG im Rahmen einer umfangreichen Interessenabwägung eine Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zulässig, soweit sie:

1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

erforderlich ist und keinerlei Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Da der neue § 4 Abs. 1 S. 1 BDSG mit dem § 6b Abs. 1 S. 1 BDSG a.F. inhaltsgleich übernommen wurde und auch die DS-GVO eine Interessenabwägung im Rahmen der Zulässigkeitsprüfung einer Datenverarbeitung durch eine Videoüberwachung in Art. 6 Abs. 1 S. 1 lit. f) DS-GVO vorsieht, ist es denkbar, dass die nachfolgenden Urteile auf die aktuelle Rechtslage übertragbar sind.

Praxis

Für eine Interessenabwägung der Videoüberwachung in der Praxis und deren Vereinbarkeit mit dem Datenschutzrecht sollen hier Beispiele jüngerer Rechtsprechung herangezogen werden. Allesamt beziehen sich jedoch nur auf private Betreiber.

Videoüberwachung im ÖPNV

Das OVG Lüneburg hat im Urteil vom 07.09.2017 (11 LC 59/16) die von den Hannoverschen Verkehrsbetrieben (ÜSTRA AG) praktizierte Videoüberwachung als mit dem Datenschutzrecht für vereinbar erklärt. Die klagende Landesbeauftrage für Datenschutz hat zuvor eine Differenzierung beim Einsatz der Videokameras je nach Tageszeit und Linie unter Berücksichtigung der konkreten Gefahrenlage verlangt. Das OVG Lüneburg lehnte dies ab und hat besonders die Umstände gewürdigt, dass die Hannoverschen Verkehrsbetriebe zahlreiche Störfälle wie, Vandalismus, Pöbeleien, Beleidigungen oder tätliche Angriffe auf Mitarbeiter, vor Einführung der Videoüberwachung verzeichnet haben. Nach Ansicht des Gerichts ist eine Videoüberwachung gem. § 6b BDSG a.F. erforderlich, um die von den Hannoverschen Verkehrsbetrieben festgelegten Ziele der Verfolgung von Straftaten bei der Fahrgastbeförderung und Sicherung von Beweismaterial, der Gefahrenabwehr einschließlich der Verhütung von Straftaten und der Steigerung des subjektiven Sicherheitsgefühls der Fahrgäste als Nebenzweck zu erreichen.

Videoüberwachung in einer Apotheke

Das OVG Saarlouis hat in seinem Urteil vom 12.12.2017 (2 A 662/17) hingegen die Notwendigkeit einer Videoüberwachung teilweise bejaht. Gegenstand der Rechtssache war eine Anordnung der Landesbeauftragten für Datenschutz an eine Apotheke, die Videoüberwachung im Verkaufsraum einzustellen.

Die Vorinstanz (VG Saarlouis 29.01.2016, 1 K 1122/14) sah eine Rechtfertigung nur hinsichtlich des Medikamentenschranks im nicht-öffentlichen Bereich vor und gab ansonsten der Datenschutzaufsichtsbehörde Recht. Als milderes Mittel hat sie die Verkürzung des Inventurzyklus vorgeschlagen. Das OVG Saarlouis hat daraufhin im Rahmen der Berufung der beklagten Apotheke gegen die Anordnung der Argumentation der Beklagten insoweit Folge geleistet, dass auch die Videoüberwachung in den Verkaufsräumen notwendig ist, um den hohen Schwund an Verkaufsartikeln einzudämmen. In Bezug auf die schutzwürdigen Interessen der Arbeitnehmer muss berücksichtigt werden, dass diese sich mit der Videoüberwachung ausdrücklich einverstanden erklärt hätten und auch deren schutzwürdige Interessen nicht dem Bedürfnis des Klägers entgegenstünden.

Videoüberwachung in einer Zahnarztpraxis

Das Bundesverwaltungsgericht (BVerfG) hat mit Urteil vom 27. März 2019 (Az. 6 C 2.18) entschieden, dass eine Videoüberwachung in einer Zahnarztpraxis, die ungehindert öffentlich betreten werden kann, strenge datenschutzrechtliche Regeln befolgen muss.

Die Zahnarztpraxis kann durch Öffnen der Eingangstür ungehindert betreten werden. Die aufgenommenen Bilder können in Echtzeit auf Monitoren angesehen werden, die sich in Behandlungszimmern befinden (sogenanntes Kamera-Monitor-System). Die Datenschutzbehörde in Brandenburg erließ gegen die Zahnarztpraxis einen Bescheid, die Videokamera so auszurichten, dass der den Patienten und sonstigen Besuchern zugängliche Bereich nicht mehr erfasst werden.

Nach erfolglosem Widerspruchsverfahren und den Vorinstanzen, erhob die die Praxis betreibende Zahnärztin Klage vor dem Bundesverwaltungsgericht.

Dieses stellte vorab fest, dass die seit 25.05.2018 geltende Datenschutz-Grundverordnung (DS-GVO) keine Anwendung auf datenschutzrechtliche Anordnungen findet, die vor diesem Zeitpunkt erlassen worden sind.

Damit richtet sich die Beurteilung der Zulässigkeit nach dem BDSG in seiner alten Fassung – konkret nach § 6b BDSG a.F. Diese erfolgt im Rahmen einer Interessenabwägung; es müssen also gem. § 6b Abs. 1 BDSG a.F. die Interessen der Videoüberwachung gegenüber den schutzwürdigen Interessen der Betroffenen überwiegen.

Das Bundesverwaltungsgericht stellte fest, dass die Klägerin nicht hinreichend dargelegt hat, dass sie für den Betrieb ihrer Praxis auf die Videoüberwachung angewiesen ist. Es bestünden keine tatsächlichen Anhaltspunkte, die ihre Befürchtung, Personen könnten ihre Praxis betreten, um dort Straftaten zu begehen, berechtigt erscheinen ließen. Die Videoüberwachung sei nicht notwendig, um Patienten, die nach der Behandlung aus medizinischen Gründen noch einige Zeit im Wartezimmer sitzen, in Notfällen betreuen zu können. Auch seien die Angaben der Klägerin, ihr entstünden ohne die Videoüberwachung erheblich höhere Kosten, völlig pauschal geblieben.

Verwendung von Dashcams

Der BGH hat in seinem Urteil vom 15.05.2018 (VI ZR 233/17) bezüglich Dashcams Stellung zum Verhältnis von Datenschutz und Einsatz als Beweismittel bezogen. Zuvor haben die beiden Vorinstanzen (Amts- und Landgericht) die Verwertbarkeit der Aufnahmen der Dashcam als Beweismittel im Zivilprozess abgelehnt, da die Aufnahmen unter Verstoß gegen das Datenschutzrecht entstanden waren. 

Hingegen hat der BGH die Verwertbarkeit der Aufnahmen gestattet. Zwar bejaht der BGH das unzulässige Erlangen der Beweismittel, verweist jedoch auch darauf, dass solche Tatbestände nicht ausdrücklich in der Zivilprozessordnung geregelt sind (im Gegensatz zu der im amerikanischen Recht herrschenden Theorie „fruit of the poisonous tree“). Der BGH stimmt den Vorinstanzen bezüglich des datenschutzrechtlichen Verstoßes bei der Verwendung von Dashcams zu. Die kontinuierliche Aufzeichnung des Straßenverkehrs mit einer Dashcam verstößt gegen § 4 Abs. 1 BDSG a.F., da Betroffene nicht ihre Einwilligung in die Erhebung von Daten gegeben. 

Auch § 6b Abs. 1 Nr. 3 BDSG a.F. ist nicht einschlägig, da keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen im Rahmen öffentlicher Videoüberwachung durch die Dashcam überwiegen.

Stattdessen stuft der BGH das Interesse des Geschädigten an der Durchsetzung seiner zivilrechtlichen Ansprüche und sein Grundrecht auf rechtliches Gehör aus Art. 103 Abs. 1 GG, in Verbindung mit dem Interesse an einer funktionierenden Zivilrechtspflege, höher ein als die Interessen des Betroffenen. Des Weiteren hat sich der Betroffene durch seine Teilnahme am öffentlichen Straßenverkehr der öffentlichen Beobachtung durch andere Verkehrsteilnehmer freiwillig ausgesetzt. Außerdem zeichnet die Dashcam des Geschädigten nur Vorgänge auf öffentlicher Straße auf, die grundsätzlich für jedermann wahrnehmbar waren. Zu berücksichtigen ist, dass der Betroffene als Unfallbeteiligter gem. § 142 StGB verpflichtet ist, seine personenbezogenen Daten herauszugeben. 

Dabei hat der BGH betont, dass die Aufzeichnung nicht permanent erfolgen darf. Nur eine kurzzeitige anlassbezogene Speicherung im Zusammenhang mit einem Unfallgeschehen ist zulässig. Auch eine automatische regelmäßige Löschung ist möglich. Zwar war zum Zeitpunkt des Urteils des BGH die DS-GVO noch nicht in Kraft, aber auch aus heutiger Sicht ist eine andere Wertung nicht ersichtlich.

Zusammenfassung

Die vorgegangenen Urteile zeigen gut den starken einzelfallabhängigen Charakter der Urteile der Gerichte im Rahmen der Videoüberwachung durch private Betreiber auf. 

Zwar widerspricht die Faktenlage in Hannover – kein nennenswerter Rückgang von Straftaten im ÖPNV – der Argumentation des OVG Lüneburg. Dem stehen jedoch als Argumente die Verfolgung von Straftaten und die Sicherung von Beweismaterial sowie die Steigerung des subjektiven Sicherheitsgefühls der Fahrgäste gegenüber. 

Aufgrund dieses massiven Eingriffs in die Privatsphäre, ist eine umfangreiche Interessenabwägung, wie § 4 Abs. 1 S.1 Nr. 2 und 3 BDSG sie im Rahmen der Videoüberwachung durch private Videoanlagen in der Öffentlichkeit vorsieht, unentbehrlich. Auch eine nicht regelmäßig über einen längeren Zeitraumstattfindende Überwachung, wie das OVG Lüneburg sie anhand der meist kurzen Verweildauer in einem Transportmittel des ÖPNV angenommen hat, ist nicht unbeachtlich. Eine Überwachung findet in der Öffentlichkeit beinahe nahtlos durch Kameras an hochfrequentierten Plätzen und vorherigen / folgenden Fahrten mit U-Bahnen, Bussen oder Straßenbahnen und dort vorhandenen Kameras statt. Dies wird durch die Missbrauchsmöglichkeiten, die von potenziell hunderttausenden Dashcams ausgeht, komplettiert.

Auch in Zukunft wird die Thematik sicherlich nicht, insbesondere im Zusammenhang von mit Kameras bestückten Drohnen, nicht an Aktualität einbüßen.

Einleitung

Vor genau einem Jahr ersetzte die EU-Datenschutz-Grundverordnung (DS-GVO) die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Bevor im Mai 2020 die EU Kommission die Evaluierung der DS-GVO vornehmen wird, wollen wir bereits das erste Jubiläum zum Anlass nehmen, das erste Jahr DS-GVO zu beleuchten und einen Ausblick auf noch zu erwartende Entwicklungen zu bieten. Als Fazit voranstellen lässt sich sicherlich, dass der Datenschutz bereits seit Inkrafttreten der DS-GVO in ganz Europa eine völlig neue Bedeutung erfährt. Die Umsetzung der neuen (und teils auch alten) Anforderungen dauert in den meisten Unternehmen aber noch an. 

Auswirkungen in Deutschland

Mit Geltungswirkung der DS-GVO zum 25.05.2018 schienen zwei Gefühlsausprägungen zu dominieren: Durch Unsicherheit geprägter Aktionismus und andererseits besonnenes oder leichtfertiges Zuwarten. Mit Beginn des „DS-GVO-Hypes“ bildeten sich mit Blick auf die gesetzlich angedrohten Bußgelder der teils neuen, teils alten Anforderungen Mythen innerhalb der Wirtschaftswelt. Webseiten wurden offline genommen, Klingelschilder demontiert, Handwerker mussten Teppich- und Raummaße DS-GVO-konform verarbeiten und Gesichter in Fotoalben wurden geschwärzt. Viele Punkte haben sich zwischenzeitlich relativiert. Beispielsweise im Bereich der Personenfotografie äußerten sich Aufsichtsbehörden beschwichtigend. Mit Urteilen vom 18.6.2018 (15 W 27/18) und 8.10.2018 (15 U 110/18) hat das OLG Köln eine weitere Anwendbarkeit des KunstUrhG jedenfalls im journalistischen Bereich bejaht. Abzuwarten bleibt, ob sich diese Auffassung auch in höheren Instanzen und bundesweit durchsetzen kann. Dennoch: Das „one size fits all“ Prinzip der DS-GVO führt nach wie vor vielfach aufgrund des für unverhältnismäßig hoch erachteten Bürokratie- und Dokumentationsaufwand zu viel Kritik. 

Auf der anderen Seite blieben und bleiben viele Unternehmen noch weitgehend untätig. Vor dem Hintergrund, dass die Aufsichtsbehörden bisher eher selten öffentlichkeitswirksam eingeschritten waren und die große Abmahnwelle ausblieb, werden sich diese Unternehmen in ihrer Vorgehensweise vermutlich zunächst bestätigt fühlen. In Deutschland gab es bisher weniger als 100 Bußgeldbescheide, welche sich der Höhe nach ganz überwiegend eher am unteren Ende des Bußgeldrahmens bewegt haben dürften. Doch die Aufsichtsbehörden haben bereits angekündigt, nach Ablauf einer gewissen Schonfrist verstärkt von den ihnen zur Verfügung stehenden Sanktionsmitteln Gebrauch machen zu wollen. Zum Vorbild nehmen könnten sich die deutschen Datenschutzwächter die französische Datenschutzaufsichtsbehörde. Gegen Google verhängte diese Anfang 2019 bereits ein Bußgeld in Höhe von 50 Millionen Euro wegen mangelnder Transparenz bei den Informationen zur Verwendung der erhobenen Daten. Trotz der – in Absolutheit betrachtet – hohen Summe steht hierbei jedoch zu vermuten, dass es sich dabei zunächst um einen Schuss vor den Bug gehandelt haben dürfte. 

Die gering ausfallenden Sanktionen deutscher Unternehmen mögen in Teilen natürlich auch der Tatsache geschuldet sein, dass zumindest in Deutschland mit dem BDSG in seiner alten Fassung regelungstechnisch bereits ein solides Datenschutzniveau gewährleistet war. Die DS-GVO hat im Vergleich zur alten Rechtslage nur wenig an den grundlegenden Datenschutzbestimmungen geändert. Vielmehr übernimmt sie die Begriffe aus der Richtlinie 95/46/EG und ergänzt sie durch neue Präzisierungen. Unternehmen, welche bereits im Vor-DS-GVO-Zeitalter an ihrer Datenschutz-Compliance arbeiteten, dürften sich insofern weitgehend entspannt zurückgelehnt haben. 

Doch mit der Hoffnung, es werde auch weiterhin nur die Großen treffen, dürften die wenigen untätig abwartenden Unternehmen schon in näherer Zukunft nicht mehr gut fahren. Freilich liegt und lag der Fokus der Aufsichtsbehörden tatsächlich zunächst auf den im großen Stil personenbezogene Daten verarbeitenden Playern der Wirtschaft. Begründet liegen dürfte diese aufsichtsbehördliche Vorgehensweise neben der voran zu stellenden Überlastung der Behörden auch damit, dass mit dem Vorgehen gegen Großkonzerne das Bewusstsein der Bevölkerung für den Datenschutz weiter geschärft werden kann. Gerade Unternehmen, welche technisch und organisatorisch noch nicht nachgebessert haben, besonders sensible oder besondere Kategorien von Daten verarbeiten oder ihre Kunden über Prozesse nicht transparent informieren, sind gut beraten, die Zurückhaltung der Behörden nicht fehl zu interpretieren. 

Denn festzustellen ist aus der Beraterperspektive bereits jetzt, dass betroffene Personen kritischer geworden sind. Dies zeigt schon die hohe Zahl von geltend gemachten Betroffenenrechten, insbesondere in Form von Auskunftsansprüchen und dem Recht auf Löschung, wobei insbesondere das Löschen von Daten viele Unternehmen vor praktische Probleme in der Umsetzung stellt. Neben dem starken öffentlichen Fokus auf das Thema Datenschutz mag die Erhöhte Sensibilität der Betroffenen auch daran liegen, dass Unternehmen sich mittlerweile transparenter zeigen (müssen), was im Nebeneffekt zu kritischen Rückfragen der betroffenen Personen führt. So zeigt sich, dass Verbraucher auch den Weg zu den Aufsichtsbehörden nicht scheuen, insbesondere wenn geltend gemachte Betroffenenansprüche aus ihrer Sicht nicht zufriedenstellend erfüllt wurden. 

Handreichungen der Behörden und Unterstützung durch Berater

Auch „ein Jahr danach“ herrscht noch vielfach Rechtsunsicherheit bei der praktischen Umsetzung der Vorgaben aus der DS-GVO und dem neuen BDSG. Aufsichtsbehörden werden daher auch künftig gefordert sein, Unternehmen weitere Hilfestellung zu geben. Zur Unterstützung haben sich die Aufsichtsbehörden zwar bereits mit einer großen Zahl an Publikationen hervorgetan. Was den Detailgrad der Handreichungen und auch die erforderliche Abstimmung der europäischen Behörden untereinander angeht, besteht, jedenfalls aus unserer Sicht, noch Potential zur Verbesserung. Um bei der hohen Zahl von (sich teils widersprechenden) Guidelines, Leitfäden, sonstigen Angaben der Behörden und Urteilen nicht den Überblick zu verlieren und selbige richtig einordnen zu können, sind viele Unternehmen auf externe Beratung angewiesen. Berater können den Unternehmen dabei helfen, Widersprüche zu erkennen und mit Auslegung zu schließende Lücken der zur Verfügung stehenden Texte einzuordnen, um somit eine weitgehend rechtssichere Umsetzung der gestellten Anforderungen zu gewährleisten. 

Wichtigstes Ziel der Datenschutz-Grundverordnung war, Transparenz zu schaffen. Dies dürfte den meisten Unternehmen ansatzweise bereits gelungen sein. Nun gilt es, im Wege von Soforthilfemaßnahmen erstellte Datenschutzinformationen nochmals mit der technischen und organisatorischen Realität abzugleichen und den propagierten Datenschutz im Unternehmen auch tatsächlich zu leben. 

Ausblick

Mit Spannung zu beobachten bleiben die Entwicklungen rund um den Gesetzgebungsprozess der e-Privacy-Verordnung. Diese dürfte auf lange Sicht im Zusammenhang mit dem Tracking von Internetnutzern mittels der Verwendung von Cookies für Klarheit sorgen. Hier bleibt zu hoffen, dass das ursprünglich für 2018 geplante Gesetz noch vor dem zweiten Jahrestag der DS-GVO verabschiedet wird.

Softwarehersteller, welche Unternehmen bei der technischen Umsetzung effizienter Löschkonzepte unterstützen können, werden sich einen klaren Wettbewerbsvorteil gegenüber der Konkurrenz erarbeiten. Abzuwarten bleiben weitere Entwicklungen aus der Rechtsprechung und Einlassungen der Datenschutzaufsichtsbehörden. Und doch werden auch in nächster Zeit – auch für uns Berater –viele Fragen offenbleiben. Gerne unterstützen wir Sie auch in Zukunft dabei, mit bestehenden Rechtsunsicherheiten umzugehen.

Einführung

Seit dem 26.4.2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft. Dieses dient der Umsetzung der Geschäftsgeheimnis-RL 2016/943/EU. Damit ist der bislang sporadisch gesetzlich geregelte Schutz von Geschäftsgeheimnissen (siehe §§ 17-19 UWG, die nun keine Anwendung mehr finden) und daraus resultierende vertragliche Schadensersatzansprüche, weil Arbeitnehmer eine Nebenpflicht zum Schutz von Geschäfts- und Betriebsgeheimnissen gem. § 242 BGB trifft, und der durch die Rechtsprechung geformte Geheimnisbegriff in einem Spezialgesetz zusammengefasst und konkretisiert.

Vorliegend sollen die Punkte aufgelistet werden, die Unternehmen besonders beachten müssen.

Geschäftsgeheimnis

Definition

Das Geschäftsgeheimnisgesetz definiert in § 2 Nr. 1 den Begriff des Geschäftsgeheimnisses als eine Information:

1. die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
2. die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
3. bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Das Kriterium des „berechtigten Interesses an der Geheimhaltung“ gründet in der nach altem Recht üblichen Differenzierung zwischen Betriebs- und Geschäftsgeheimnis. Durch die Aufnahme dieses Kriteriums hat der Gesetzgeber die zuvor im deutschen Recht praktizierte Trennung (Geschäftsgeheimnisse: organisatorische und kaufmännische Details; Betriebsgeheimnisse: technische Informationen) beider Begriffe aufgehoben.

Zu beachten ist das Kriterium der angemessenen Geheimhaltungsmaßnahmen durch den Geheimnisinhaber. Unternehmen müssen nun aktiv werden, damit ihr schützenswertes Know-how vom Schutz des neuen Gesetzes profitiert.

Geheimhaltungsmaßnahmen

Die angemessenen Geheimhaltungsmaßnahmen aus § 2 Nr. 1 GeschGehG richten sich nach der Geschäftsgeheimnis-RL 2016/943/EU, die sich wiederum an die in Art. 39 des TRIPS-Abkommens enthaltene Definition der „nicht offenbarten Informationen“ anlehnt.

Unternehmen müssen aktiv Maßnahmen zur Geheimhaltung ergreifen, um in den Schutz des Gesetzes zu kommen. Diese Geheimhaltungsmaßnahmen können in Form von technischem, organisatorischem und vertraglichem Know-how-Schutz durchgeführt werden, müssen also objektiven Maßstäben genügen.

Damit unterscheidet sich das Geschäftsgeheimnisgesetz von der bisherigen Rechtslage, wonach ein subjektiver Geheimhaltungswille ausreichte, an den keine hohen Anforderungen gestellt wurden und es teilweise für ausreichend befunden wurde, wenn sich dieser Geheimhaltungswille aus der Natur der geheim zuhaltenden Tatsachen ergab. 

Zusätzlich zu den gem. § 242 BGB aus dem Arbeitsvertrag entstammenden Nebenpflichten zum Schutz von Geschäfts- und Betriebsgeheimnissen, sollten vertragliche Geheimhaltungsmaßnahmen durch arbeitsrechtliche Vereinbarungen, wie mit einer Verschwiegenheitsverpflichtung, aufgenommen werden. Ebenso ist es empfehlenswert Verschwiegenheitsvereinbarungen (Non-Disclosure Agreements) zu vereinbaren, die die Zeit nach dem Ausscheiden aus dem Unternehmen regeln. Sonst könnte der Arbeitnehmer diese für eigene Zwecke verwenden. Dabei ist zu beachten, nicht die Grenze zum nachvertraglichen Wettbewerbsverbot zu überschreiten, da sonst die Unwirksamkeit der Verschwiegenheitsverpflichtung droht.

Ob die Geheimhaltungsmaßnahmen angemessen sind, hängt vom Einzelfall ab und kann folgende Kriterien umfassen:

• Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
• Bedeutung für das Unternehmen,
• übliche Geheimhaltungsmaßnahmen im Unternehmen (Zugangssperren, Passwörter, IT-Sicherheitsmaßnahmen),
• Art der Kennzeichnung der Information,
• Verschwiegenheitsverpflichtungen mit Arbeitnehmern und Geschäftspartnern.

Denkbar ist, die Angemessenheit von Geheimhaltungsmaßnahmen nach den Kriterien der technischen und organisatorischen Maßnahmen des Art. 32 DS-GVO zu beurteilen.

Reverse Engineering

Ebenfalls im Gegensatz zur bisherigen Rechtslage in Deutschland legitimiert § 3 Abs. 1 Nr. 2 GeschGehG nun ausdrücklich das Reverse Engineering, also das Kopieren eines funktionierenden Produkts durch Beobachten, Untersuchen, Rückbauen oder Testen desselben. Der europäische Gesetzgeber will so – im Rahmen bestehender gewerblicher Schutzrechte wie Patent- oder Designrechte – den technischen Fortschritt fördern.  Für Unternehmen gilt damit besondere Vorsicht im Umgang mit Prototypen und Musterstücken und ob, wem und in welchem Umfang sie diese zur Verfügung stellen. 

Tatbestandslose Offenlegung

Besondere Beachtung verdient die Ausnahme des § 5 Nr. 2 GeschGehG. Dieser betrifft Whistleblower, also Hinweisgeber, die zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens, ein Geschäftsgeheimnis erlangen, nutzen oder offenlegen, um das allgemeine öffentliche Interesse zu schützen und so nicht dem Tatbestand des § 4 GeschGehG unterfallen.

Problematisch ist hier die unpräzise Formulierung „Sonstiges Fehlverhalten“. Zwar wird der Rechtfertigungsgrund durch das Kriterium des allgemeinen öffentlichen Interesses eingeschränkt, trotzdem lässt sich befürchten, dass böswillige Mitarbeiter sogar Hinweise aus Rache oder anderen, wenig edlen Motiven veröffentlichen, um die neu gewonnene Straffreiheit auszunutzen.

Jedoch bietet die unpräzise Formulierung „Sonstiges Fehlverhalten“ auch dem Whistleblower keinen Freifahrtschein, da nicht abzusehen ist, wie ein Gericht im Einzelfall entscheiden wird und bei rechtswidrigem Verhalten seinerseits nicht eine hundertprozentige Straffreiheit erwarten kann. Sollte der Whistleblower jedoch in gutem Glauben gehandelt haben, ist er trotzdem durch die allgemeinen Irrtumsvorschriften geschützt.

Aber auch Journalisten werden von der Vorschrift des § 5 Nr. 2 GeschGehG geschützt. 

Empfehlungen für die Praxis

Unternehmen sollten überprüfen, ob ihre Geschäftsgeheimnisse ausreichenden Geheimhaltungsmaßnahmen unterliegen. Dazu muss zum einen eine sichere IT-Infrastruktur vorhanden sein, zum anderen müssen hinreichende Vertraulichkeitsverpflichtungen mit den Arbeitnehmern, sonstigen Dienstleistern und Geschäftspartnern ausformuliert sein.

Vor Inkrafttreten des Geschäftsgeheimnisgesetzes befanden sich Unternehmen bei Verstößen von Mitarbeitern gegen Geheimhaltungsmaßnahmen in der paradoxen Situation, dass sie zur gerichtlichen Durchsetzung von Sanktionen im Zweifelsfall vor Gericht die Inhaberschaft von Geschäftsgeheimnissen durch Preisgabe eben jener nachweisen müssen. Diese unbefriedigende Situation konnte dann nur durch den Verzicht auf gerichtliche Durchsetzung vermieden werden. Leider hat sich durch das neue Gesetz nichts an der Situation geändert, so dass der Gang vor Gericht wohl überlegt sein muss.

Um Mitarbeiter vom externen Whistleblowing abzuhalten, im Falle, dass das Unternehmen sich sonstiges Fehlverhalten zu Schulde kommen lässt, ist eine interne Whisteblowing-Strategie zu empfehlen, auch wenn dies keine hundertprozentige Sicherheit bietet. Dies kann sich jedoch noch durch die geplante EU-Whistleblower-Richtlinie ändern, da diese eine interne Meldung vorranging verlangt.

Einführung

Mit der neuen Datenschutz-Grundverordnung (DS-GVO) haben Nutzer seit Mai 2018 die Möglichkeit, eigene Daten beim Wechsel eines Informationssystems zu übernehmen. Dieses Recht wird „Datenportabilität“ oder auch Datenübertragbarkeit genannt und findet in Art. 20 DS-GVO seinen Niederschlag.

Inhalt der Vorschrift

Nach Art. 20 DS-GVO können Betroffene die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten. Wenn die automatisierte Datenverarbeitung auf einer Einwilligung beruhte oder zur Durchführung eines Vertrages erfolgte, können Betroffene diese Daten einem anderen Verantwortlichen übermitteln und zwar ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden. Soweit technisch machbar, kann der Betroffene die Übermittlung direkt von einem für die Verarbeitung Verantwortlichen einem anderen Verantwortlichen für die Verarbeitung erwirken.

Voraussetzungen der Geltendmachung

Art. 20 DS-GVO setzt für die Geltendmachung des Rechts folgende Voraussetzungen voraus: Es muss sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS-GVO handeln, die dem Verantwortlichen bereitgestellt worden sind. Weiter muss die Verarbeitung der personenbezogenen Daten auf einer Einwilligung oder einem Vertrag beruhen und mithilfe automatisierter Verfahren erfolgen. Zweck der Einführung einer Datenportabilität ist die Stärkung der Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisch verbreitet werden. Ebenso soll durch die Regelung die Mitnahme eingestellter Daten erleichtert werden.

Praktische Bedeutung

Die Meinungen über die neu eingeführte Datenportabilität gehen auseinander. Von Datenschützern wird die Änderung als ein „Meilenstein“ gesehen, indem sie mehr Rechtssicherheit auch für Unternehmer sowie für alle Marktteilnehmer gleiche Bedingungen schafft. Es geht um eine Anpassung des Datenschutzes an den Wandel des digitalen Zeitalters sowie eine Vereinheitlichung der Regelungen in den einzelnen Mitgliedstaaten der EU. Besonders aus der Wirtschaft hagelt es Kritik gegen die Vorschrift. Die Regelung sei zu vage und unklar formuliert und finde einen zu großen Anwendungsbereich. Ferner entstünden für alle betroffenen Unternehmen zusätzliche Kosten. Bezüglich der Datenportabilität wird eingewandt, dass der Nutzer nicht immer von seinem in Art. 20 DS-GVO eingeräumten Recht Gebrauch machen möchte. Zudem ziele der Gesetzgeber auf die Social Media Plattform „Facebook“ ab, wobei auch andere Unternehmen in den Adressatenkreis der Vorschrift fielen. Diese Kritik kann aber leicht beanstandet werden. Ein Anspruch ist ein Recht und eben keine bindende Verpflichtung für den Berechtigten. Er kann geltend gemacht werden, muss aber nicht. Ferner hat die Art.-29-Gruppe der europäischen Datenschutzbeauftragten bereits in ihrer Stellungnahme vom 13. Dezember 2016 den weitergefassten Anwendungsbereich der Datenportabilität thematisiert.

Probleme

Die neue Regelung bringt aber auch viele offene Fragen mit sich. Beispielsweise ist unklar, welche Schnittstellen und Datenformate die verschiedenen Diensteanbieter für die Datenportabilität zur Verfügung stellen sollen. Aus technischer Sicht ist einzuwenden, dass die meisten Diensteanbieter keine separaten Datenbanken für Rohdaten haben, was zur Aufdeckung von Kerntechniken und Geschäftsinformationen und somit zum Verstoß gegen geistige Eigentumsrechte und Geschäftsgeheimnisse führen könne. Grund dafür wäre, dass mit der Übermittlung der Daten auch detaillierte Hintergrundinformationen über die technische Einrichtung des ursprünglichen Verantwortlichen und die verwendeten Algorithmen transportiert werden können. Zudem ist noch nicht geklärt, wie kompatibel die untereinander übertragenden Dienste sein müssen. Probleme ergeben sich bei den unterschiedlichen Angeboten der Dienste. Ein Beispiel ist die Angabe des Geschlechts in sozialen Netzwerken. Während Facebook zwischen 60 verschiedenen Geschlechtern unterscheidet, tut Google+ es nur zwischen „männlich“, „weiblich“ und „unbestimmt“. Hier wäre die Datenportabilität praktisch nicht einfach umzusetzen und stellt die Diensteanbieter also vor große Probleme. Ein weiteres Problem ist die Konstellation in einem Drei-Personen-Verhältnis, wenn also etwa bei Kommunikationspartnern per Telefon oder E-Mail Daten von Dritten hinzukommen. Die Privatheit von Außenstehenden ist zu schützen, womit Datenschützer vermuten, dass die Diensteanbieter erst einmal alle Ordner nebst Inhalten eines Webmail-Services oder Listen von Anrufen herausgeben. Keinesfalls dürfe es aber zu einer Nutzung der Informationen für den Fall der Kundengewinnung durch die Kontaktliste Dritter kommen. Auch der Bundesverband für Informationswirtschaft, Telekommunikation und Neue Medien e.V. (bitkom) sieht die Daten Dritter bei der Geltendmachung personenbezogener Daten problematisch und fordert zur Erleichterung für die Entscheidung im konkreten Einzelfall detaillierte Ergänzungen. Als Beispiel kann der Begriff „Bereitstellung der Daten“ durch den Betroffenen genannt werden. Im Rahmen der Auslegung des Zwecks der Vorschrift, auch durch die Gesetzesbegründung der EU-Kommission ist die bessere Kontrolle über die Daten durch den Betroffenen maßgeblich, wonach es ausreichen sollte, lediglich die entsprechenden benötigten Daten zur Weiternutzung des neuen Dienstes zu transportieren. Bezüglich der praktischen Umsetzung wird bemängelt, dass die dafür benötigten technischen Standards für die unproblematische Ausübung des Rechts im Moment fehlen. Aufgrund des hohen dafür beanspruchten Zeitaufwands wird ein Vorliegen einer rechtzeitigen Lösung bis zum Inkrafttreten der Vorschrift als sehr unrealistisch gesehen. Standards seien gerade für den Anbieterwechsel innerhalb einzelner Sektoren wie Gesundheitswesen und Telekommunikation wichtig, um die Umsetzung der Datenportabilität zu vereinfachen. Um das Recht der Datenportabilität ausüben zu können, müsse allerdings zunächst die Identität der Betroffenen durch die Diensteanbieter geprüft werden. Das Verfahren einer Identitätsprüfung sei allerdings den Verantwortlichen bislang unbekannt. Auch das verdeutlicht wieder die Notwenigkeit eines möglichen Leitfadens der Aufsichtsbehörden zur allgemeinen Regelung des Authentifizierungsverfahrens.

Fazit

Zusammenfassend ist zu sagen, dass die Einführung der Datenportabilität das Datenschutzrecht wesentlich ändert. Die direkte Datenübermittlung spielt eine größere Rolle als zunächst für hauptsächlich die Social Media Plattformen vorgesehen, in dem auch kleinere Unternehmen unter den Anwendungsbereich der Vorschrift fallen. Befürwortet wird der vereinfachte Anbieterwechsel für Kunden und damit die Anpassung des Datenschutzrechts an das digitale Zeitalter. Probleme sind allerdings noch hinsichtlich der Umsetzung der Datenportabilität aus Gründen der Kapazitäten der Unternehmen zu sehen. Es wird sich zeigen, wie Unternehmen die volle Gewährleistung dieses Rechts sichern wollen. Bezüglich der einheitlichen und vereinfachten praktischen Umsetzung der Neuerung bleiben allerdings noch Leitlinien und Auslegungshilfen abzuwarten.