SONN Patentanwälte – IP Attorneys

Streit um Geschäftsgeheimnisse

Im vorliegenden Fall produzieren und vermarkten beide Streitparteien Ticket- und Eintrittssysteme für Skigebiete, Sportstadien und ähnliche Einrichtungen. Beide Streitparteien bieten ihre Produkte bzw. Dienstleistungen demselben Kundenkreis an. Die Klägerin betreibt darüber hinaus Server, auf denen mit der Nutzung der Eintrittssysteme verbundene Daten gespeichert werden und die ihren Kunden zur internen Verwendung zur Verfügung stehen. Diese Daten werden über ein Login mit Benutzername und Passwort geschützt. Die Kunden können die Daten in Form von Berichten (etwa enthaltend Name und Anschrift der Käufer von Tickets) abrufen. Dasselbe wird für einen größeren Kunden, der über einen eigenen Server verfügt, ermöglicht, indem die Klägerin diese Applikation auf jenem Server betreibt. Solche Berichte wurden auf den Servern standardmäßig in einem Zwischenspeicher („Cache“) abgelegt. Anfang 2015 begann ein Mitarbeiter der Beklagten, unter Umgehen des Passwortschutzes auf die Server zuzugreifen. Die Benutzernamen und Kennwörter waren ihm nicht zur Verfügung gestellt worden. Im Rahmen einer „Mitbewerberanalyse“, zu der der Mitarbeiter von einem der Kunden eingeladen wurde, hatte er bei diesem Kunden eine Bildschirmanzeige fotografiert, der eine bestimmte Internetadresse (URL) entnommen werden konnte. Auf Grundlage dieser URL konnten mittels „trial and error“ durch geringfügige Modifikationen der URL auch andere Berichte (von anderen Kunden der Klägerin) abgefragt werden. Erst aufgrund mehrerer Änderungen in der Applikation der Klägerin war ein solches Eindringen der Beklagten ab Februar 2016 nicht mehr möglich. Die Einwendungen der Beklagten fokussierten sich auf drei Themen, nämlich (1) dass keine Geschäftsgeheimnisse vorlägen, weil die Daten leicht zugänglich gewesen wären, (2) es sich nicht um Geschäftsgeheimnisse der Klägerin selbst gehandelt hätte, weswegen sie nicht aktiv legitimiert wäre und (3) der Nachweis einer gegen das Gesetz oder die guten Sitten verstoßenden Handlung nicht erbracht wäre, weil offen geblieben wäre, ob der Kunde dem Abfotografieren der Bildschirmanzeige zugestimmt hätte, und die Beweislast diesbezüglich die Klägerin träfe. Allerdings unterlag die Beklagte in allen drei Instanzen. Der Oberste Gerichtshof entschied (4 Ob 165/16t): 1) Die Daten sind Geschäftsgeheimnisse. Die gemäß österreichischer Rechtsprechung bisher aufrechte Definition von Geschäftsgeheimnissen ist: Tatsachen und Erkenntnisse kommerzieller oder technischer Art, die bloß einer bestimmten und begrenzten Zahl von Personen bekannt sind, nicht über diesen Kreis hinausdringen sollen und an deren Geheimhaltung ein wirtschaftliches Interesse besteht. Der Geheimhaltungswille muss nicht ausdrücklich erklärt werden. Es genügt, wenn sich aus dem Verhalten des Unternehmers ergibt, dass bestimmte – auch sonst nicht allgemein zugängliche – Informationen einem bestimmten Personenkreis vorbehalten sein sollen. Diese Voraussetzung ist bei Daten erfüllt, die regulär nur durch das Einloggen in eine durch Passwort geschützte Datenbank eingesehen werden können. Aus dem Vorhandensein von Sicherheitslücken, wie sie hier offenbar vorlagen, lässt sich nicht ableiten, dass der Geheimhaltungswille des Unternehmers nicht mehr besteht. Dritte hätten annehmen müssen, dass dem Unternehmer diese Sicherheitslücken nicht bewusst waren. Die im Amtsblatt der EU Nr. L 157/1 veröffentlichte Richtlinie (EU) 2016/943 vom 8. Juni 2016 über den Schutz vertraulichen Know-Hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung steht dieser Auffassung nicht entgegen. Der dritte Teil der Definition in Art 2 Abs 1 lit c dieser Richtlinie besagt, dass Informationen als Geschäftsgeheimnisse geschützt sind, wenn sie „Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person [sind], die die rechtmäßige Kontrolle über die Informationen besitzt“. Es ist unerheblich, ob dieser Teil der Definition letztlich bedeutet, dass keine Sicherheitslücken, durch welche die zentrale Zugangskontrolle durch Kennwort in einfacher Weise unterlaufen werden könnten, existieren dürfen, denn Mitgliedsstaaten können einen weitergehenden Schutz von Geschäftsgeheimnissen vorsehen. Daher ist ein in sinnvoller Weise beschränkender Kennwortschutz derzeit ausreichend, um den Schutz als Geschäftsgeheimnis zu erlangen. 2) Die gegenständlichen Daten stellen (auch) Geschäftsgeheimnisse der Klägerin dar. Die Daten des Kunden befanden sich in der Verfügungsmacht der Klägerin, und sie hatte auch ein erhebliches eigenes Interesse an deren Geheimhaltung, da ansonsten die Nichtverlängerung der Verträge oder Schadenersatzansprüche der Kunden drohten. Die Erfüllung dieser beiden Voraussetzungen – Verfügungsmacht und Eigeninteresse an Geheimhaltung – genügen, um aktiv zur Klage legitimiert zu sein. 3) An der Rechtswidrigkeit des Erlangens der Daten durch Eindringen in das fremde Computersystem besteht kein Zweifel. Die Beklagte stützt sich für die ihrer Ansicht nach dennoch fehlende Rechtswidrigkeit ausschließlich darauf, dass der Kunde angeblich das Abfotografieren der Bildschirmanzeige erlaubt habe. Darauf kommt es aber nicht an, denn daraus folgt nicht die Zustimmung des Kunden zur Abfrage seiner Daten oder gar zur Abfrage der Daten von anderen Kunden. Somit blieb den Einwendungen der Beklagten hinsichtlich aller der drei Themen der Erfolg versagt. Dieser Streitfall zeigt, dass in Österreich wirksamer Schutz von Geschäftsgeheimnissen besteht. Es bleibt abzuwarten, auf welche Weise die EU-Richtlinie über den Schutz von Geschäftsgeheimnissen diesen Schutz erweitern wird.