News

Eindringen in IT-System eines Konkurrenten – UWG-Verstoß

Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma

Klarstellung. Aus „Sicherheitslücken“ einer passwortgeschützten Datenbank lässt sich nicht ableiten, dass der Unternehmer keinen Geheimhaltungswillen in Bezug auf diese Daten (mehr) hätte.

UWG: § 11, § 13

Voraussetzung für das Vorliegen eines Betriebs- oder Geschäftsgeheimnisses ist es, dass sich aus dem Verhalten des Unternehmers ergibt, dass bestimmte – auch sonst nicht allgemein zugängliche – Informationen einem bestimmten Personenkreis vorbehalten sein sollen. Diese Voraussetzung ist bei Daten erfüllt, die regulär nur durch das Einloggen in eine durch Passwort geschützte Datenbank eingesehen werden können. Aus „Sicherheitslücken“ lässt sich nichts Gegenteiliges ableiten. Mangelhafte Sicherheitsstandards erlauben bei aufrechtem Passwortschutz nicht den Schluss, dass der Unternehmer kein Interesse an der Geheimhaltung mehr hätte. Vielmehr müssen sowohl Beschäftigte (§ 11 Abs 1 UWG) als auch Dritte (§ 11 Abs 2 UWG) redlicherweise annehmen, dass dem Unternehmer diese Mängel nicht bewusst waren, sodass aus deren Vorliegen keinesfalls ein Wegfall des Geheimnischarakters abgeleitet werden kann.

Zwar stammen im vorliegenden Fall die Daten von Kunden der Kl und beziehen sich auf deren geschäftliche Verhältnisse. Faktisch befanden sie sich jedoch in der Verfügungsmacht der Kl und sie hatte auch ein erhebliches eigenes Interesse an deren Geheimhaltung, weil sonst die Nichtverlängerung der Verträge oder Schadenersatzansprüche der Kunden drohten. Faktische Verfügungsmacht und eigenes Geheimhaltungsinteresse genügen aber bei wertender Betrachtung für die Annahme, dass die Daten auch in Bezug auf die Kl in den Schutzbereich des § 11 Abs 2 UWG fallen.

OGH 25. 10. 2016, 4 Ob 165/16t

Sachverhalt

Die Kl und die Bekl erzeugen und vertreiben Ticket- und Eintrittssysteme für Skigebiete, Stadien und ähnliche Einrichtungen; sie richten sich mit ihrem Angebot an dieselben Kundenkreise.

Die Kl speichert die bei der Nutzung dieser Systeme gewonnenen Daten für ihre Kunden auf eigenen Servern ab; die Kunden können dann über das Internet mit Benutzername und Passwort darauf zugreifen.

Ein Mitarbeiter der Bekl entdeckte eine Sicherheitslücke im System der Kl und verschaffte sich Zugang zu den Daten. Er stellte Ausdrucke her und verwendete sie im Gespräch mit potentiellen Kunden als Beleg für Sicherheitsmängel bei der Kl.

Der OGH bestätigte eine einstweilige Verfügung, mit der die beiden Vorinstanzen der Bekl die Nutzung dieser Daten untersagt hatten.

Entscheidung

RL (EU) 2016/943

Obwohl die Umsetzungsfrist für die neue RL (EU) 2016/943 [über den Schutz vertraulichen Knowhows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung] noch nicht abgelaufen ist (Inkrafttreten der RL am 5. 7. 2016, Umsatzungsfrist bis bis 9. 6. 2018), hält der OGH fest, dass auch die RL (EU) 2016/943 diesem Ergebnis (Vorliegen eines Geschäftsgeheimnisses) nicht entgegensteht. Für den OGH ist nicht erkennbar, dass die bisherige Interpretation des Begriffs „Geschäftsgeheimnis“ das Erreichen der Ziele der RL (EU) 2016/943 ernsthaft gefährdete oder dass der weitergehende nationale Schutz von Geschäftsgeheimnissen gegen bestimmte Vorschriften der RL verstieße.

Geschäftsgeheimnisse der Kl

Weiters bejaht der OGH, dass es sich bei den strittigen Daten (auch) um Geschäftsgeheimnisse der Kl handelt:

Zwar stammen die Daten von ihren Kunden und beziehen sich auf deren geschäftliche Verhältnisse. Faktisch befanden sie sich jedoch in der Verfügungsmacht der Kl, und sie hatte auch ein erhebliches eigenes Interesse an deren Geheimhaltung, weil sonst die Nichtverlängerung der Verträge oder Schadenersatzansprüche der Kunden drohten. Faktische Verfügungsmacht und eigenes Geheimhaltungsinteresse genügen aber bei wertender Betrachtung für die Annahme, dass die Daten auch in Bezug auf die Kl in den Schutzbereich des § 11 Abs 2 UWG fallen, so der OGH.

Damit konnte offen bleiben, ob die Klagebefugnis nach § 13 UWG tatsächlich auf den betroffenen Unternehmer beschränkt ist (Thiele in Wiebe/Kodek, UWG2 § 13 Rz 51; Duursma in Gumpoldsberger/Baumann, UWG [2006] § 13 Rz 8; vgl auch 4 Ob 50/04p, SZ 2004/68 = RdW 2004/540 zum entsprechenden Problem im Datenschutzrecht), oder ob nicht das Interesse der Allgemeinheit am Unterbleiben von Angriffen auf fremde Computersysteme eine Klagebefugnis auch von Mitbewerbern nach § 14 UWG rechtfertigt.

Rechtwidrig erlangte Daten

An der Rechtswidrigkeit des Erlangens der Daten (§ 11 Abs 2 UWG) durch Eindringen in das fremde Computersystem besteht für den OGH kein Zweifel (6 Ob 126/12s, jusIT 2013/26 [Staudegger] = RdW 2013/230 = ZIR 2013, 224 [Dörfler]): Die Bekl hat nach Erkennen der Sicherheitslücke gezielt auf verschiedene Server der Kl und eines ihrer Kunden zugegriffen und von dort Daten, die faktisch in der Verfügungsmacht der Kl als EDV-Dienstleisterin waren, in verarbeiteter Form heruntergeladen.

Die Bekl stützt ihre Behauptung der fehlenden Rechtswidrigkeit auf die Negativfeststellung zur Frage, ob ein Kunde einem Mitarbeiter der Bekl das Abfotografieren der Bildschirmanzeige erlaubt habe oder nicht. Darauf kommt es nach Ansicht des OGH aber nicht an: Denn selbst wenn der Kunde diese Erlaubnis erteilt hätte, folgte daraus nicht seine Zustimmung zu einer dadurch möglich werdenden Abfrage seiner Daten. Zudem hatte der Mitarbeiter der Bekl die Informationen durch das Abfotografieren auch zum Zugriff auf Daten von anderen Kunden der Kl genutzt. Dies konnte keinesfalls von der allfälligen Zustimmung durch den einen Kunden gedeckt sein.

Ergebnis

Das Verwerten und Weitergeben der Daten bestreitet die Bekl nicht. Damit besteht der Unterlassungsanspruch der Kl schon nach § 11 Abs 2 iVm § 13 UWG zurecht und der OGH musste nicht prüfen, ob der Anspruch auch nach § 1 UWG begründet wäre (Wettbewerbsvorsprung durch Rechtsbruch wegen Verstoß gegen Datenschutz- oder Strafrecht; Verletzung der beruflichen Sorgfalt).

Artikel-Nr.
Rechtsnews Nr. 22641 vom 18.11.2016