I. SACHVERHALT
In einer zunehmend digitalisierten Geschäftswelt sind Zugangsdaten oft der Schlüssel zu wertvollen Informationen. Ein Unternehmen hatte einen kostenpflichtigen Zugang zu einer spezialisierten Datenbank, die exklusive wirtschaftliche und gesundheitspolitische Informationen enthielt. Der Vertrag mit dem Betreiber der Datenbank sah vor, dass nur namentlich benannte, autorisierte Nutzer innerhalb des Unternehmens Zugriff erhalten.
Trotz dieser vertraglichen Regelung wurden die individuellen Zugangsdaten an externe Dritte weitergegeben – Personen, die weder Mitarbeiter des Unternehmens waren noch als autorisierte Nutzer registriert wurden. Über mehrere Monate hinweg griffen diese unberechtigten Nutzer auf die geschützten Inhalte der Datenbank zu, ohne dass der Betreiber davon wusste oder entsprechende Gebühren erhoben wurden.
Als der Betreiber den unbefugten Zugriff entdeckte, konfrontierte er das Unternehmen. Dieses argumentierte, die Nutzung durch die Dritten sei durch interne Absprachen innerhalb eines Konzernverbundes gedeckt gewesen. Doch der Datenbankbetreiber sah darin einen klaren Verstoß gegen vertragliche Vereinbarungen und Geheimhaltungspflichten und klagte auf Unterlassung, Auskunft und Schadensersatz.
II. ENTSCHEIDUNG DES LG NÜRNBERG-FÜRTH
Das LG Nürnberg-Fürth (Az. 19 O 556/24) stellt klar, dass die Weitergabe von Zugangsdaten einen schwerwiegenden Verstoß gegen vertragliche Pflichten und den Schutz von Geschäftsgeheimnissen darstellt.
Das Gericht kam zu folgenden wesentlichen Schlüssen:
Vertragsverletzung:
Die Weitergabe der Zugangsdaten verstieß gegen die vertraglich geregelte Geheimhaltungspflicht. Nur benannte Nutzer waren zur Nutzung berechtigt – eine Abweichung davon war nicht zulässig. Passwörter als Geschäftsgeheimnis:
Das Gericht stellte ausdrücklich fest, dass individuell vergebene Zugangsdaten Geschäftsgeheimnisse im Sinne des Geschäftsgeheimnisgesetzes (GeschGehG) sind. Ihre Weitergabe ohne Zustimmung des Betreibers ist daher ein Verstoß gegen § 4 Abs. 2 Nr. 3 GeschGehG. Schutz der Datenbank als Geschäftsgeheimnis:
Nicht nur die Passwörter, sondern auch die Datenbank selbst wurde als Geschäftsgeheimnis eingestuft, da die Strukturierung der Inhalte wirtschaftlichen Wert besitzt. Haftung und Schadensersatz:
Das Unternehmen wurde dazu verurteilt, die Weitergabe künftig zu unterlassen, vollständige Auskunft über die bisherigen Verstöße zu erteilen und für den entstandenen Schaden aufzukommen.
Diese Entscheidung unterstreicht die strenge rechtliche Handhabung beim Umgang mit Zugangsdaten und digitalen Geschäftsgeheimnissen. Unternehmen, die sensible Daten und IT-Systeme nutzen, müssen sicherstellen, dass ihre internen Sicherheitsrichtlinien nicht nur technisch, sondern auch rechtlich wasserdicht sind.
III. PRAXISRELEVANZ: WAS BEDEUTET DAS FÜR IHR UNTERNEHMEN?
Unternehmen, die mit sensiblen Daten arbeiten, müssen sich darüber im Klaren sein, dass Vertragsverletzungen und Geheimnisverstöße erhebliche Haftungsrisiken mit sich bringen – selbst wenn die Weitergabe nur innerhalb eines Konzerns oder an vermeintlich vertrauenswürdige Dritte erfolgt.
Welche Takeaways können aus der Entscheidung gezogen werden?
Keine Weitergabe von Passwörtern:
Zugangsdaten gelten als Geschäftsgeheimnisse und dürfen nicht an nicht-autorisierte Personen weitergegeben werden. Verstöße können zu erheblichen finanziellen und rechtlichen Konsequenzen führen. Unternehmen sollten dies in Ihrer IT-Sicherheitsrichtlinie ausdrücklich festhalten. Vertragliche Verpflichtungen genau prüfen:
Unternehmen sollten sich bewusst machen, welche Geheimhaltungs- und Sicherheitsverpflichtungen in ihren Verträgen verankert sind. Besonders bei IT-Dienstleistungen und SaaS-Modellen sind klare Nutzungsregeln entscheidend. Technische Sicherheitsmaßnahmen implementieren:
Um unbefugten Zugriff zu verhindern, sollten Unternehmen Multi-Faktor-Authentifizierung (MFA), Zugriffsbeschränkungen und Logging-Systeme einführen. Dies kann Manipulationen und Missbrauch frühzeitig aufdecken. Mitarbeiterschulung und Compliance:
Ein Großteil der Sicherheitsverstöße geschieht nicht durch externe Hacker, sondern durch fahrlässiges oder unwissentliches Fehlverhalten von Mitarbeitern. Regelmäßige Schulungen zum sicheren Umgang mit Zugangsdaten sind unerlässlich. Externe Datenschutzberatung einholen:
Unternehmen, die Zugangsdaten und digitale Plattformen nutzen, sollten sicherstellen, dass ihre IT-Sicherheitsstrategie nicht nur technisch, sondern auch rechtlich abgesichert ist. Ein externer Datenschutzbeauftragter kann hierbei wertvolle Unterstützung bieten.
