Parallellen zwischen der Geschäftsgeheimnis-RL und der DSGVO
Die erst kürzlich in Österreich im Gesetz gegen unlauteren Wettbewerb und der Zivilprozessordnung umgesetzte Geheimnisschutz-RL hat eine bislang nicht hinreichend bekannte datenschutzrechtliche Tangente. Nach dem neuen Regime sind Schutzmechanismen umzusetzen, damit Betriebs- und Geschäftsgeheimnisse rechtlich geschützt bleiben. Hier bestehen potentielle Synergien und Überlappungen mit den nach der DSGVO zu implementierenden Datensicherheitsmaßnahmen. Zudem bestehen Spannungsverhältnisse zu Betroffenenrechte und zur Dauer der Aufbewahrungspflicht von Daten.
So kann nach dem neuen Regime gegen die rechtswidrige Nutzung von Geschäftsgeheimnissen nur noch dann vorgegangen werden, wenn sie beim ursprünglich Berechtigten Gegenstand "angemessener Geheimhaltungsmaßnahmen" waren. Hat ein Unternehmen hingegen keine hinreichenden Vorkehrungen zum Schutz seines Know-Hows getroffen, kann er gegen die Nutzung von materiell noch so vertraulichen Informationen nicht mehr vorgehen. Die daher zu setzenden Maßnahmen sind dabei nicht nur vertraglicher Natur – Absicherung durch Geheimhaltungsverpflichtungen in NDAs oder in Arbeitsverträgen – sondern umfassen auch technische und organisatorische Schritte. Alle Details zur Umsetzung der Geschäftsgeheimnisrichtlinie finden Sie hier.
Es ist effizient und sinnvoll, die notwendigen Maßnahmen zum Schutz von Geschäftsgeheimnissen parallel zu den datenschutzrechtlichen Sicherheitsvorkehrungen nach Art 32 DSGVO umzusetzen. So kann aus unserer Praxiserfahrung bei der datenschutzrechtlichen Aufarbeitung der Systemlandschaft und insbesondere der Berechtigungskonzepte ein hoher Synergieeffekt erzielt werden. So ist es ein wesentlich geringerer Aufwand, wenn beim Berechtigungssystem und den Sicherheitsvorkehrungen neben dem Datenschutz auch der Schutz des Know-Hows mitgedacht wird.
Primär werden Geschäftsgeheimnisse und Know-How generische oder aggregierte Daten enthalten. Diese unterliegen nicht dem Regime der DSGVO. In der Praxis kommt es aber ebenso oft vor, dass sich in den Unterlagen auch personenbezogene Daten befinden – so etwa in Studien oder Aufzeichnungen von Mitarbeitern. Hier ist zu beachten, dass der Schutz eines Betriebs- oder Geschäftsgeheimnisses auch als berechtigtes Interesse zur Erhebung und Verarbeitung der Daten herangezogen werden kann. Das ist für die interne Dokumentation, aber auch die Speicherfrist entsprechend zu berücksichtigen. So ist es selbstverständlich zulässig, die für den Schutz und Nutzung des Know-Hows erforderlichen Daten entsprechend aufzubewahren.
Schlussendlich sind aber auch die für beide Bereiche erforderlichen Schulungen zweckmäßiger Weise miteinander zu verknüpfen: So ist zB bei einer datenschutzrechtlichen Auskunft an einen Betroffenen darauf zu achten, dass dabei keine Betriebs- oder Geschäftsgeheimnisse offengelegt werden. So stützt § 4 Abs 6 DSG das Recht zur Einschränkung der Auskunft, wenn der Schutz von Know-How konterkariert würde. Insgesamt ist es daher wichtig, bei der betrieblichen Umsetzung der Geschäftsgeheimnisrichtlinie auch den datenschutzrechtlichen Aspekt mit zu denken und bestehende Synergien zu nutzen.
Novelle des TKG - (keine) Änderung des SPAM-Verbots
Und noch eine gesetzliche Änderung hat eine mittelbare datenschutzrechtliche Auswirkung: Mit Dezember 2018 wurde das TKG nicht nur an das Wording der DSGVO angepasst, sondern das Spam-Verbot in § 107 auch inhaltlich geändert. So wurde konkret die Massenmail an mehr als 50 Empfänger aus dem Tatbestand entfernt. In Zukunft kommt es daher für die Beurteilung der Zulässigkeit einer Sendung nur mehr auf den werblichen Inhalt einer elektronischen Nachricht an. Für die Vollziehung ebenfalls spannend ist, dass die derzeit bestehenden fünf Fernmeldebehörden zu einer Behörde – dem Fernmeldebüro – zusammengeführt werden sollen.
Bis zur aktuellen Novelle waren nicht nur elektronische Werbe-Nachrichten, sondern auch Massenmails an mehr als 50 Empfänger unabhängig von deren Inhalt ohne Einwilligung per se unzulässig. Der Verbotstatbestand des Massenmails ist nun (endlich) gestrichen worden. Damit geht allerdings keine inhaltliche Erleichterung einher, da das weiterhin aufrechte Verbot von Werbemails extrem weit ausgelegt wird. Nach ständiger Rechtsprechung fällt darunter "jede Äußerung […] mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern. Vom Begriff der Werbung sind auch Formen der Kommunikation, die der Förderung des Erscheinungsbildes eines Unternehmens dienen, erfasst". Kurzum fallen daher weiterhin sämtliche klassischen Newsletter, Veranstaltungseinladungen, Gewinnspiele, Kundenzufriedenheitsumfragen oder auch Presseaussendungen unter das Verbot. All diese Nachrichten haben idR einen geschäftlichen Zweck oder sollen zumindest die Außenwirkung des versendenden Unternehmens fördern. Sofern nicht schon im Rahmen der DSGVO-Compliance Projekte erfolgt, lohnt sich daher der prüfende Blick auf bestehende Einwilligungstexte für die Zusendung von Spam-Nachrichten.
Neu ist zudem, dass die bisher bestehenden fünf Fernmeldebehörden im Zuge der fortgesetzten Verwaltungsreform auf ein Fernmeldebüro zusammengeführt werden. Das sorgt nicht nur für mehr Klarheit in Bezug auf Zuständigkeits- oder Kompetenzkonflikte, sondern bedeutet auch eine Vereinheitlichung der Spruchpraxis durch gebündeltes Know-How sowie gesamthaften Blick über sämtliche nationale Fälle.