Die Frage, ob die Geheimhaltungsmaßnahme eines Unternehmens angemessen iSd. Geschäftsgeheimnisgesetz (GeschGehG) ist, ist anhand objektiver Merkmale zu bestimmen (OLG Stuttgart, Urt. v. 19.11.2020 - Az.. 2 U 575/19).
Das Geschäftsgeheimnisgesetz (GeschGehG) ist im April 2019 Jahres getreten. Mit der neuen Regelung wurde erstmals ein eigenständiges Gesetz zum Schutz von Geschäftsgeheimnissen geschaffen, während vorher die Normen in unterschiedlichen Bereichen zersplittert waren (z.B. StGB, UWG oder BGB). Siehe dazu ausführlich unsere RechtsFAQ: Das Geschäftsgeheimnisgesetz
Damit das jeweilige Unternehmen eine Absicherung erlangt, muss es hinsichtlich der schützenswerten Daten "angemessene Geheimhaltungsmaßnahmen" ergreifen. Es ist weiterhin nicht höchstrichterlich geklärt, was genau darunter zu verstehen war, ob z.B. vertragliche Vereinbarungen ausreichen oder ob es auch eines tatsächlichen Schutzes (z.B. technische oder physische Absicherung) bedarf.
Das OLG Stuttgart hat nun geurteilt, dass die Angemessenheit anhand objektiver Merkmale zu bestimmen ist:
"Die konkreten Geheimhaltungsmaßnahmen hängen von der Art des Geschäftsgeheimnisses im Einzelnen und von den konkreten Umständen der Nutzung ab (...). Bei der Wertung der Angemessenheit der Schutzmaßnahmen können insbesondere berücksichtigt werden: der Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten, die Natur der Informationen, die Bedeutung für das Unternehmen, die Größe des Unternehmens, die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen, die Art der Kennzeichnung der Informationen und vereinbarte vertragliche Regelungen mit Arbeitnehmern und Geschäftspartnern (...).
Hieraus folgt als Mindeststandard, dass relevante Informationen nur Personen anvertraut werden dürfen, die die Informationen zur Durchführung ihrer Aufgabe (potentiell) benötigen und die zur Verschwiegenheit verpflichtet sind (...). Zudem müssen diese Personen von der Verschwiegenheitsverpflichtung in Bezug auf die fraglichen Informationen Kenntnis haben. Weitere Maßnahmen sind den Umständen nach zu ergreifen, wobei eine Gesamtbetrachtung vorzunehmen ist.
Genauso wie das Ergreifen verschiedener verstärkender Maßnahmen zu einem angemessenen Schutzniveau führen kann, kann ein in Kauf genommenes „Datenleck“ zu der Bewertung führen, dass insgesamt kein angemessenes Schutzniveau mehr vorliegt."
Auf den konkreten Sachverhalt bezogen, äußern sich die Richter wie folgt:
"Auf den vorliegenden Fall angewendet, ist das zugelassene Speichern von Dateien mit Geschäftsgeheimnissen auf privaten Datenträgern als äußerst kritisch anzusehen (...). Insbesondere wenn die Dateien dort ohne Passwort zugänglich sind, ist ein Zugriff durch Dritte nicht mehr auszuschließen. Dies gilt nicht nur für berechtigte Mitbenutzer, sondern auch im Falle eines Weiterverkaufs der Privatgeräte ohne vorherige ausreichende Löschung. Damit begibt sich der Geheimnisinhaber der effektiven Kontrolle seiner Daten.
Was in Papierdokumenten verkörperte Geschäftsgeheimnisse angeht, müssen sie gegen den Zugriff unbefugter Personen gesichert sein. Die Stellen im Unternehmen, an denen die Dokumente verwahrt werden, müssen hinreichend gegen den Zutritt unbefugter Personen gesichert sein, bei sensiblen Informationen müssen die Geheimnisse verschlossen oder der Raum abgeschlossen werden (...)."