OGH-Entscheidung vom 25.10.2016, 4 Ob 165/16t
Sachverhalt:
Die Streitparteien erzeugen und vertreiben Ticket- und Eintrittssysteme für Skigebiete, Stadien und ähnliche Einrichtungen. Sie richten sich mit ihrem Angebot an dieselben Kundenkreise.
Bei einigen Servern der Klägerin war es aufgrund der Verwendung einer Standardeinstellung möglich, unter Umgehung des Login-Vorgangs auf den Zwischenspeicher zuzugreifen. Dieser Zugriff erforderte jedoch mehrere Informationen, die einem Außenstehenden nicht bekannt waren und nur von IT-Spezialisten durch gezieltes Auskundschaften und Zuhilfenahme von Spezialsoftware erlangt werden konnten.
Anfang 2015 begann ein Mitarbeiter der Beklagten, unter Umgehen des Kennwortschutzes auf die betroffenen Server zuzugreifen. Die Beklagte verwertete die durch die Zugriffe erhaltenen Informationen gezielt dazu, Kunden der Klägerin abzuwerben und der Klägerin beim Anwerben von Neukunden fehlende Datensicherheit zu unterstellen.
Die Klägerin beantragte daher die Erlassung einer einstweiligen Verfügung. Die Beklagte sei rechtswidrig in ein fremdes Computersystem eingedrungen und habe sich dabei „(Kunden)Daten“ verschafft. Die von ihr auf diese Weise erstellten Berichte habe sie dazu verwendet, Kunden der Klägerin abzuwerben und unter Hinweis auf Sicherheitsmängel bei der Klägerin neue Kunden zu gewinnen. Dies begründe einen Anspruch nach § 1 UWG (Wettbewerbsvorsprung durch Rechtsbruch), zudem habe die Beklagte Geschäftsgeheimnisse weitergegeben (§ 11 Abs 2 iVm § 13 UWG) und gegen das Datenschutzgesetz verstoßen.
Entscheidung:
Das Erstgericht erließ die einstweilige Verfügung. Das Rekursgericht bestätigte diese Entscheidung. Der OGH ließ den ao. Revisionsrekurs zwar zu, hielt ihn aber für unberechtigt. Aus der Begründung:
Der OGH hielt zunächst fest, dass es sich bei den strittigen Daten es sich um Geschäftsgeheimnisse handelte. Betriebs- oder Geschäftsgeheimnisse sind Tatsachen und Erkenntnisse kommerzieller oder technischer Art, die bloß einer bestimmten und begrenzten Zahl von Personen bekannt sind, nicht über diesen Kreis hinausdringen sollen und an deren Geheimhaltung ein wirtschaftliches Interesse besteht. Diese Voraussetzung ist bei Daten erfüllt, die regulär nur durch das Einloggen in eine durch Passwort geschützte Datenbank eingesehen werden können. Denn diese Schutzvorkehrungen lassen erkennen, dass die Kenntnis dieser Daten einem bestimmten Personenkreis vorbehalten sein sollte. Der für die Anwendung von § 11 UWG maßgebende Geheimhaltungswille ist daher ohne weiteres erkennbar. Aus „Sicherheitslücken“, wie sie hier offenbar vorlagen, lässt sich nichts Gegenteiliges ableiten. Denn mangelhafte Sicherheitsstandards erlauben bei aufrechtem Passwortschutz nicht den Schluss, dass der Unternehmer kein Interesse an der Geheimhaltung mehr hätte.
Bei den strittigen Daten handelt es sich (auch) um Geschäftsgeheimnisse der Klägerin. Zwar stammen die Daten von ihren Kunden und beziehen sich auf deren geschäftliche Verhältnisse. Faktisch befanden sie sich jedoch in der Verfügungsmacht der Klägerin, und sie hatte auch ein erhebliches eigenes Interesse an deren Geheimhaltung, da sonst die Nichtverlängerung der Verträge oder Schadenersatzansprüche der Kunden drohten.
An der Rechtswidrigkeit des Erlangens der Daten (§ 11 Abs 2 UWG) durch Eindringen in das fremde Computersystem besteht kein Zweifel. Die Beklagte hat nach Erkennen der Sicherheitslücke gezielt auf verschiedene Server der Klägerin und eines von dieser betreuten Unternehmens zugegriffen und von dort Daten, die faktisch in der Verfügungsmacht der Klägerin als EDV-Dienstleisterin waren, in verarbeiteter Form heruntergeladen. Das Verwerten und Weitergeben der Daten bestreitet die Beklagte nicht. Damit besteht der Unterlassungsanspruch der Klägerin schon nach § 11 Abs 2 iVm § 13 UWG zurecht. Ob auch der Anspruch auch nach § 1 UWG begründet wäre (Wettbewerbsvorsprung durch Rechtsbruch wegen Verstoß gegen Datenschutz- oder Strafrecht; Verletzung der beruflichen Sorgfalt) prüfte der OGH daher nicht mehr.