Der EuGH hat in der Entscheidung vom 27.02.2025 in der Rechtssache Dun & Bradstreet(C-203/22) entschieden, dass ein Unternehmen als Verantwortlicher sich auf dem Schutz von Betriebs- und Geschäftsgeheimnissen stützen kann, und dasselbe – sofern es sich auf personenbezogene Daten auswirkt – der betroffenen Person im Rahmen einer Auskunft nichtoffenbaren muss.
Der Verantwortliche ist jedoch verpflichtet, der Aufsichtsbehördedas Geschäftsgeheimnis offen zu legen, die die einander gegenüberstehenden Rechte und Interessen des Verantwortlichen und der betroffenen Person abwägen muss, um den Umfang des in Art. 15 DSGVO vorgesehenen Auskunftsrechts der betroffenen Person zu ermitteln.
Wenn die Behörde feststellt, dass die offengelegte Information, die personenbezogene Daten verarbeitet, kein Geschäftsgeheimnis ist, dann ist die Auskunft auch über diesen konkreten Inhalt zu erteilen. Liegt ein Geschäftsgeheimnis vor, dann kann die Behörde dies bei der Entscheidung berücksichtigen, aber es kommt zu keiner Offenlegung an die betroffene Person. Die Unterlagen können – auf Antrag des Verantwortlichen – iS § 17 (3) AVG von der Akteneinsicht ausgenommen werden.
Was ist ein Geschäftsgeheimnis?
Damit der Verantwortliche sich auf den Schutz für Geschäftsgeheimnisse berufen kann, sind gewisse Voraussetzungenzu erfüllen, insbes. sind vom Verantwortlichen angemessene Geheimhaltungsmaßnahmen zu treffen.
Wenn der Schutz durch angemessene Geheimhaltungsmaßnahmen fehlt, dann besteht auch kein Schutz iSd UWG und der Inhaber des Geschäftsgeheimnisses hat keinen Anspruch auf Schutz desselben. So hat der OGH entschieden, dass es nicht ausreicht, die Mitarbeiter:innen während des laufenden Dienstverhältnisses zur Geheimhaltung zu verpflichten
Um Geschäftsgeheimnisse gemäß § 26a ff UWG effektiv zu schützen, sollten Unternehmen ein strukturiertes Vorgehen mit folgenden Schritten implementieren:
1. Identifikation der Geschäftsgeheimnisse im Unternehmen
Ein Geschäftsgeheimnis liegt vor, wenn Informationen:
• Nicht allgemein bekannt oder leicht zugänglich sind,
• Wirtschaftlichen Wert besitzen (z. B. strategische, technische oder kommerzielle Vorteile),
• Durch angemessene Geheimhaltungsmaßnahmen geschützt sind.
Praxisbeispiele -Typische Geschäftsgeheimnisse umfassen:
• Kunden- und Lieferantenlisten,
• Produktionsverfahren, Software-Quellcodes,
• Vertragskonditionen, Marketingstrategien.
2. Kategorisierung und Risikobewertung
Um festzustellen, welche konkreten Informationen im Unternehmen tatsächlich als Geschäftsgeheimnisse schutzwürdig und schutzfähig sind, bedarf es einiger Handlungen.
a) Klassifizierung nach Schutzbedarf
- Stufe 1 („Kronjuwelen“; „Schlüsselinformationen“): Existenzbedrohende Informationen (z. B. Vorarbeiten für Patent-, Marken- oder andere Schutzrechtsanmeldungen).
- Stufe 2 („Wichtige Informationen“): Langfristig schädliche Daten (z. B. Einkaufs-, Verkaufskonditionen, Kalkulationen).
- Stufe 3 („sonstige wettbwerbsrelevante Informationen“): Kurzfristig nachteilige Inhalte (z. B. interne Prozesse).
b) Risikobewertung in Bezug auf die identifizierten Informationen
Prüfen Sie:
o wirtschaftliche Auswirkung bei Verlust,
o Eintrittswahrscheinlichkeit eines Datenabflusses,
o branchenübliche Schutzstandards.
3. Angemessene Geheimhaltungsmaßnahmen
Die festzulegenden Geheimhaltungsmaßnahmen müssen für den jeweiligen Schutzbedarf pro Kategorie angemessen sein, und sollten in einer Richtlinie niedergeschrieben werden. Dies ist notwendig, um in einem Verfahren die Umsetzung nachweisen zu können.
Die Angemessenheit der Maßnahmen ergibt sich aus der Art des Geschäftsgeheimnisses und des daraus abgeleiteten Schutzbedarfes, der Branche des Unternehmens und der Größe des Unternehmens.
Letztlich ist es notwendig, die getroffenen Maßnahmen auch immer wieder zu evaluieren, da die Bewertung der Angemessenheit der Maßnahmen ex ante im Rahmen einer vorausschauenden Betrachtung erfolgt. Aktuelle Entwicklungen in der IT-Technik und Software sowie auch eventuelle gerichtliche Entscheidungen können eine Anpassung der vorhandenen Maßnahmen an diese Entwicklungen notwendig machen.
Mögliche Maßnahmen
a) Organisatorische Maßnahmen
• Zugriffsbeschränkungen: Informationen nur für berechtigte Mitarbeiter freigeben.
• Schulungen: Regelmäßige Sensibilisierung zum Umgang mit Geheimnissen.
• Verantwortlichkeiten: Benennung eines Geschäftsgeheimnisbeauftragten.
b) Technische Maßnahmen
• Verschlüsselung: für die Kommunikation, wie zB E-Mails und Storage, dh Datenträger
• Zugangskontrollen: Multi-Faktor-Authentifizierung, Passwortschutz
• Früherkennungssysteme bei Datenübertragungen
• Protokollierung: Dokumentation von Zugriffen und Änderungen.
c) Vertragliche Maßnahmen
• Verschwiegenheitsvereinbarungen mit Mitarbeitern und Partnern, die über die gesetzlich bereits definierten Geheimhaltungspflichten hinausgehen (§ 7 AngG), die insbes. auch den Zeitraum nach Beendigung des Vertragsverhältnisse betreffen.
• Geheimhaltungsklauseln in Verträgen,
• Sanktionen bei Verstößen (z. B. Schadenersatz, Festhalten in der Personalakte, Vertragsbeendigungen).
4. Dokumentation und Kontrolle
• Geheimnisregister: Erfassen Sie alle Geschäftsgeheimnisse mit Kategorisierung und Schutzmaßnahmen.
• Regelmäßige Audits: Überprüfen Sie die Wirksamkeit der Maßnahmen.
• Anpassung: Aktualisieren Sie das Schutzkonzept bei neuen Risiken (z. B. Digitalisierung).
5. Schutz von Geschäftsgeheimnissen im Verfahren vor der Datenschutzbehörde
Wie bereits erwähnt, geht der EuGH davon aus, dass Betriebs- und Geschäftsgeheimnisse, in deren Zusammenhang personenbezogene Daten verarbeitet werden, so zB die Funktionsweise von Parametern und deren konkrete Gewichtung bei der Berechnung einer Zahlungsausfallswahrscheinlichkeit, nicht im Rahmen der Auskunft iSd Art 15 DSGVO zu beauskunften sind.
Die Informationen, die das Betriebs- und Geschäftsgeheimnis darstellen, sind jedoch der Aufsichtsbehörde (Datenschutzbehörde) offenzulegen. Dies ist mein einem Antrag auf Ausnahme von der Akteneinsicht iSd § 17 (3) AVGzu verbinden.
Voraussetzungen für eine Ausnahme nach § 17 Abs 3 AVG
a) Konkrete Gefährdung berechtigter Interessen
Der Antragsteller muss substanziiert darlegen, dass die Akteneinsicht durch Dritte
o Wirtschaftliche Nachteile (z. B. Offenlegung von Kundenlisten),
o Verlust von Wettbewerbsvorteilen oder
o Verletzung vertraglicher Geheimhaltungspflichten
zur Folge hätte.
b) Keine pauschalen Ausschlüsse
Die Behörde muss im Einzelfall prüfen, ob Teilredaktionen (Schwärzungen) oder Zusammenfassungen ausreichen, um Geheimhaltung und Verfahrensrechte zu wahren
Verfahrensablauf bei Antragstellung
Formeller Antrag:
Die Entscheidung der Behörde, ob bestimmte Informationen und/oder Beweismittel von der Akteneinsicht ausgenommen sind, bedarf eines gesonderten schriftlichen Antrages mit konkreter Bezeichnung der betroffenen Dokumente.
Es sollten der Behörde bereits zB zwei Ausfertigungen von Beweismitteln zur Verfügung gestellt werden, einmal ohne Schwärzungen und einmal mit Schwärzungen, damit die Behörde gleich erkennt, ob das Verfahren auch ohne die geschwärzten Informationen durchgeführt werden kann.
Der Antrag muss eine nachvollziehbare Begründung, warum die Einsicht berechtigte Interessen des Verantwortliche (oder eines Dritten) gefährdet
Behördliche Entscheidung:
Die Behörde prüft, ob die Interessenabwägung zugunsten der Geheimhaltung ausfällt.
Beispiel: Die Datenschutzbehörde schloss in einem Verfahren Unbedenklichkeitsbescheinigungen von der Akteneinsicht aus, da sie Geschäftsbeziehungen offengelegt hätten
Rechtsfolgen bei Bewilligung = Ausnahme von der Akteneinsicht
Die ausgenommenen Aktenbestandteile werden nicht an die Gegenseite übermittelt.
Die Behörde darf sie jedoch für ihre Entscheidung heranziehen, sofern dies nicht gegen den Grundsatz des fairen Verfahrens verstößt
Praxistipps
Dokumentation: Führen Sie ein Geheimnisregister mit Schutzstufen und Zugriffsbeschränkungen, um im Streitfall Nachweise zu haben
Proaktives Handeln: Stellen Sie frühzeitig Anträge auf Ausnahme von der Akteneinsicht – nachträgliche Löschungen sind kaum durchsetzbar
Alternativlösungen: Bieten Sie der Behörde redigierte Fassungen oder Zusammenfassungen an bzw. legen Sie diese bereits der Behörde vor, um Konflikte zu entschärfen
Durch die Kombination aus präventiven Schutzmaßnahmen und strategischer Antragstellung lässt sich die Vertraulichkeit von Geschäftsgeheimnissen in Verfahren bei der Datenschutzbehörde wirksam wahren.
Entscheidend ist stets die konkrete Darlegung von Gefährdungsszenarien und die aktive Mitgestaltung des Verfahrens.
Kommentar schreiben