Der Schutz von Geschäftsgeheimnissen ist ein erfolgsversprechender, wenn auch beschränkter Ablehnungsgrund bei Auskunftsanträgen nach Art. 15 DSGVO.
Eine Offenlegung von Geschäftsgeheimnissen infolge eines Auskunftsantrags ist für Unternehmen besonders nachteilig. Geschäftsgeheimnisse haben einen konkreten finanziellen Wert und können die Unternehmensgrundlage sein. Damit bilden sie einen natürlichen Gegensatz zu der Transparenz, die der Auskunftsanspruch nach Art. 15 DSGVO verlangt.
Tatbestand des Auskunftsanspruchs kann auch Geschäftsgeheimnisse erfassen
Eine Mitteilung von Geschäftsgeheimnissen kann die betroffene Person unter zwei Gesichtspunkten verlangen:
- Erstens muss der Verantwortliche bei einer automatisierten Entscheidungsfindung nach Art. 15 Abs. 1 DSGVO „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitstellen. So ist z.B. bei einer Wirtschaftsauskunftei der Scoring-Algorithmus für die Kreditwürdigkeit Geschäftsgeheimnis.
- Zweitens muss der Verantwortliche nach Art. 15 Abs. 3 DSGVO eine Kopie der personenbezogenen Daten bereitstellen Die Dokumente, die personenbezogene Daten enthalten, können häufig Geschäftsgeheimnisse darstellen (z.B. Kundenlisten).
Schutz von Geschäftsgeheimnissen durch Know-how-Richtlinie und Geschäftsgeheimnisgesetz
Der weite Auskunftsanspruch steht hier im Spannungsfeld zum Schutz der Geschäftsgeheimnisse. Diese sind durch das deutsche Geschäftsgeheimnisgesetz und die zugrundeliegende Know-how-Richtlinie (RL (EU) 2016/943) umfassend geschützt.
Nicht jeder Vertrag ist aber Geschäftsgeheimnis. Unternehmen müssen für jede einzelne Information darlegen können, dass sie die Geschäftsgeheimnisdefinition erfüllt, wenn sie die Information nicht beauskunften können.
Ein Geschäftsgeheimnis ist nach der Definition in § 2 Nr. 1–3 Geschäftsgeheimnisgesetz nur eine Information, die folgende drei Kriterien erfüllt:
- „Weder allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert“: Erfasst ist daher nur Know-how mit Unternehmensbezug, das entweder unmittelbar einen konkreten Marktwert hat (z.B. Rezepturen) oder mittelbar die Position im Wettbewerb stärkt (z.B. Forschungsergebnisse).
- „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“: Ob Geheimhaltungsmaßnahmen angemessen sind, ist häufig der Knackpunkt. Als Minimum muss i.d.R. eine wirksame Geheimhaltungsvereinbarung vorliegen, müssen die betreffenden Informationen als geheim gekennzeichnet sein und muss auch gegenüber den eigenen Beschäftigten eine Need-to-know-Struktur etabliert sein.
- „Berechtigtes Interesse an der Geheimhaltung“: Dieses Kriterium soll nur Sonderfälle ausschließen, in denen Unternehmen den Geschäftsgeheimnisschutz missbrauchen (z.B. sind Informationen über Straftaten i.d.R. keine Geschäftsgeheimnisse).
Abwägungslösung der DSGVO für Konflikt von Auskunftsrecht und Geschäftsgeheimnisschutz
Die DSGVO sieht den Konflikt zwischen Auskunftsrecht und Geschäftsgeheimnisschutz durchaus. So hält Art. 15 Abs. 4 DSGVO ausdrücklich fest, dass das „Recht auf Erhalt einer Kopie nicht die Rechte und Freiheiten anderer Personen“ beeinträchtigen dürfe. Das deutsche BDSG wiederholt diese erforderliche Beschränkung des Auskunftsrechts hinsichtlich Geschäftsgeheimnisse in § 29 Abs. 1 BDSG. Beide Ausnahmen laufen auf eine Abwägung hinaus, die nach denselben Kriterien erfolgt.
Daher müssen Verantwortliche Geschäftsgeheimnisse nur mitteilen, wenn in einer Abwägung mit den Interessen am Geschäftsgeheimnisschutz die Interessen der betroffenen Person an einer Offenlegung überwiegen.
Die Eigenschaft als Geschäftsgeheimnis ist hierbei ein deutliches „Pfund“ für das jeweilige Unternehmen. Auch die DSGVO nennt den Schutz von Geschäftsgeheimnissen in Erwägungsgrund 63 ausdrücklich als besonders legitimes Interesse. Daher dürfte typischerweise nur eine sehr begrenzte Offenlegung in Frage kommen (z.B. bei Kundenlisten nur der Eintrag, der sich auf die betroffene Person bezieht). Anders ist dies, wenn die Geschäftsgeheimnisse der betroffenen Person ohnehin schon bekannt waren. Dann sind sie stets mitzuteilen (OLG Köln, Urteil vom 26. Juli 2019 – 20 U 75/18).
Praxisbeispiel: Vorlageverfahren des Landesverwaltungsgerichts Wien
Dass die Argumentation mit Geschäftsgeheimnissen schnell sehr kleinteilig wird, zeigt der Fall, in dem das Landesverwaltungsgericht Wien dem EuGH diverse Fragen zum Verhältnis von Auskunftsanspruch und Geschäftsgeheimnisanspruch vorgelegt hat (Landesverwaltungsgericht Wien, Beschluss vom 11. Februar 2022 – VGW-101/042/791/2020-44).
Die Klägerin wollte einen Mobilfunkvertrag für nur zehn Euro abschließen, was ihr Mobilfunkanbieter wegen angeblich fehlender Bonität abgelehnt hat. Sie hat Auskunft bei der Wirtschaftsauskunftei verlangt, auf dessen Bonitätsbeurteilung sich der Mobilfunkanbieter gestützt hatte. Die Wirtschaftsauskunftei hatte nur den Score mitgeteilt, nicht aber die zugrundeliegende Bonitätsberechnung weiter erklärt – diese stelle ein Geschäftsgeheimnis dar. Dagegen wehrt sich die Klägerin, die eine genauere Erklärung des Algorithmus will.
Dazu hat das Landesverwaltungsgericht Wien dem EuGH folgende Fragen zum Verhältnis von Auskunftsanspruch und Geschäftsgeheimnisanspruch vorgelegt:
4a) Wie ist vorzugehen, wenn die zu erteilende Information i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) auch die Vorgaben eines Geschäftsgeheimnisses i.S.d. Art. 2 [Know-How-Richtlinie] erfüllt?
Kann das Spannungsverhältnis zwischen dem durch Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) garantierten Auskunftsrecht und dem durch die Know-How-Richtlinie geschützten Recht auf Nichtoffenlegung eines Geschäftsgeheimnisses dadurch aufgelöst werden, indem die als Geschäftsgeheimnis i.S.d. Art. 2 Z 1 der Know-How-Richtlinie einzustufenden Informationen ausschließlich der Behörde oder dem Gericht offen gelegt werden, sodass die Behörde oder das Gericht eigenständig zu überprüfen haben, ob vom Vorliegen eines Geschäftsgeheimnisses i.S.d. Art. 2 Z 1 der Know-How-Richtlinie auszugehen ist, und ob die vom Verantwortlichen i.S.d. Art. 15 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) erteilte Information den Tatsachen entspricht.
4b) Bejahendenfalls: Welche Rechte haben dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) im Falle der Gebotenheit der Gewährleistung des Schutzes fremder Rechte i.S.d. Art. 15 Abs. 4 Datenschutz-Grundverordnung (DS-GVO) durch die Schaffung der unter Punkt 4a) angesprochenen Black-Box jedenfalls eingeräumt zu werden?
Sind (auch) in diesem Falle eines Auseinanderfallens der der Behörde bzw. dem Gericht bekannt zu gebenden Informationen und der dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) bekannt zu gebenden Informationen in Fällen, welche ein Profiling zum Gegenstand haben, dem Auskunftsberechtigten i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) jedenfalls nachfolgende Informationen zur konkreten ihn betreffenden Verarbeitung bekannt zu geben, um ihm die Wahrung seiner Rechte aus Art. 22 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) völlig zu ermöglichen:
a) Übermittlung aller allenfalls pseudoanonymisierter Informationen, insbesondere zur Weise der Verarbeitung der Daten Betroffenen, die die Überprüfung der Einhaltung der Datenschutz-Grundverordnung (DS-GVO) erlauben,
b) Zur-Verfügung-Stellung der zur Profilerstellung verwendeten Eingabedaten,
c) die Parameter und Eingangsvariablen, welche bei der Bewertungsermittlung herangezogen wurden,
d) der Einfluss dieser Parameter und Eingangsvariablen auf die errechnete Bewertung,
e) Informationen zum Zustandekommen der Parameter bzw. Eingangsvariablen,
f) Erklärung, weshalb der Auskunftsberechtigte i.S.d. Art. 15 Abs. 1 lit. h Datenschutz-Grundverordnung (DS-GVO) einem bestimmten Bewertungsergebnis zugeordnet wurde, und Darstellung, welche Aussage mit dieser Bewertung verbunden wurde,
g) Aufzählung der Profilkategorien und Erklärung, welche Bewertungsaussage mit jeder der Profilkategorien verbunden ist.
Die Fragen zeigen, dass das Berufen auf Geschäftsgeheimnisschutz zu einer sehr kleinteiligen Argumentation führen kann. Der Verantwortliche muss für jede einzelne Information belegen können, dass es sich um ein Geschäftsgeheimnis handelt. Dass dies sehr mühsam sein kann, zeigt die lange Liste der möglicherweise mitzuteilenden Informationen am Ende der Frage 4b).
Zudem muss der Verantwortliche belegen, warum insoweit seine Interessen überwiegen. Auch mit der Möglichkeit einer begrenzten Offenlegung gegenüber dem Gericht oder der Behörde muss sich der Verantwortliche auseinandersetzen (vom Landesverwaltungsgericht Wien „Black Box“ in Frage 4 genannt).
Mit einer endgültigen Entscheidung des EuGH ist frühestens Ende 2023 zu rechnen.
Fazit: Kein pauschales Berufen auf Geschäftsgeheimnisse, aber Speziallösung für besonders wertvolle Informationen
Wer sich zur Abwehr eines Auskunftsbegehrens auf Geschäftsgeheimnisse beruft, muss konkret darlegen können, dass die verlangten Informationen tatsächlich Geschäftsgeheimnisse i.S.d. Geschäftsgeheimnisgesetzes sind. Dann wird die Abwägung i.d.R. zugunsten des Unternehmens ausfallen. Offen ist, inwieweit Informationen, die Geschäftsgeheimnisse darstellen können, ggf. zu umschreiben sind – hier sollte die Entscheidung des EuGH im oben angesprochenen Vorabentscheidungsverfahren hoffentlich Klarheit bringen.
Unser regelmäßig aktualisierter Blog-Beitrag zur Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO informiert Sie laufend zu diesem Thema. Einen Überblick über DSGVO-Bußgelder erhalten Sie mit dem CMS Enforcement Tracker.