Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
1
Exposé zum Dissertationsvorhaben
Unionsrechtlicher Schutz von Geschäfts- und Betriebsgeheimnissen
im Spannungsverhältnis zum Datenschutz
Eine Untersuchung der RL (EU) 2016/943 über den Schutz vertraulichen Know-Hows und
deren Zusammenwirken mit der VO (EU) 2016/679 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten
(Arbeitstitel)
Verfasserin
Mag.a Franziska Sofie Tillian
Betreuer
Univ.-Prof. Mag. Dr. Thomas Theodor Jaeger, LL.M.
Wien, Feber 2019
Angestrebter Titel: Doktorin der Rechtswissenschaften (Dr.in iur.)
Studienkennzahl: A 783 101 - Doktorat der Rechtswissenschaften
Dissertationsgebiet: Europarecht
2
1. Problemstellung
Bei der Geschäftsgeheimnis-Richtlinie1 und der Datenschutz-Grundverordnung (DSGVO)2
handelt es sich um konträre sekundärrechtliche Systeme, denen jeweils unterschiedliche
Interessen und Grundrechte zugrunde liegen.
Während die DSGVO den in Art 8 der Europäischen Grundrechtecharta (GRC)3 gewährleisteten
Schutz personenbezogener Daten konkretisieren sowie den freien Fluss von Daten (free flow
of data)4 fördern will und insofern für Offenheit, Transparenz und Portabilität steht, fußt die
Geschäftsgeheimnis-Richtlinie auf gänzlich anderen Wertungen. Mit Letzterer wird der
faktische Schutzmechanismus der Geheimhaltung von Geschäfts- und Betriebsgeheimnissen
rechtlich abgesichert; 5 damit wird den Grundrechten auf Achtung des Privatlebens (Art 7
GRC), dem Schutz personenbezogener Daten (Art 8 GRC), der Unternehmerische Freiheit (Art
16 GRC) sowie dem Eigentumsrecht (Art 17 GRC) Rechnung getragen. Zwar werden dadurch
keine – den Immaterialgüterrechten nachgebauten - ausschließlichen Rechtspositionen
geschaffen,6 nichtsdestotrotz können Monopolstellungen auf unternehmerisches Know-How
begründet werden.
Aus dieser mutmaßlich konträren Zielsetzung resultiert ein Konflikt der Sekundärrechtsakte,
der zur Annahme führt, dass der Schutz der Geschäftsgeheimnis-Richtlinie den Schutz
personenbezogener Daten natürlicher Personen der DSGVO, insbesondere die darin
normierten Rechte auf Auskunft7 sowie Übertragung8 der sie betreffenden
personenbezogenen Daten, konterkariert und einen rechtfertigungsbedürftigen Eingriff in das
Grundrecht auf den Schutz personenbezogener Daten gemäß Art 8 GRC darstellt.
1 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. 6. 2016 über den Schutz
vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem
Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1 (Geschäftsgeheimnis-RL). 2 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zu Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. 3 Charta der Grundrechte der Europäischen Union, ABl C 2012/326, 391. 4 ErwGr 6 DSGVO. 5 Zum faktischen Begriffselement siehe Brammsen in Heermann/Schlingloff (Hrsg), Münchener Kommentar zum Lauterkeitsrecht. Band II2 § 17 UWG Rn 10 ff; zur faktischen Vorzugsstellung Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig (Hrsg), UWG4 § 17 UWG Rn 4. 6 Zu den einzelnen immaterialgüterrechtlichen Ausschließungsrechten siehe Kucsko, Geistiges Eigentum (2017) 27, 65, 111, 158, 196. 7 Art 15 DSGVO. 8 Art 20 DSGVO.
3
Diese Annahme bedingt folgende Hypothese: Der durch die Geschäftsgeheimnis-Richtlinie
gewährleistete Schutz von Geschäfts- und Betriebsgeheimnissen steht in Widerspruch zum
durch die DSGVO konkretisierten Schutz personenbezogener Daten. Um diese Annahme
verifizieren oder falsifizieren zu können, bedarf es der Beantwortung nachfolgender Fragen:
Wie werden die hinter der Geschäftsgeheimnis-Richtlinie sowie der DSGVO stehenden
Grundrechte9 und Interessen im Konfliktfall gegeneinander abgewogen?
In welchen Konstellationen ergibt sich ein Konflikt der Sekundärrechtakte? In Bezug
auf welche Geschäftsmodelle kann ein solcher potentiell bestehen? Welche Daten sind
davon jeweils betroffen?
Inwiefern findet der Schutz von Geschäftsgeheimnissen bei der Geltendmachung
datenschutzrechtlicher Ansprüche, insbesondere Art 15 und Art 20 DSGVO,
Berücksichtigung?
Welche Daten sind vom Anspruch nach Art 20 DSGVO umfasst? Wann gelten Daten als
bereitgestellt? In welchem Ausmaß sind Daten mit Doppelbezug von Art 20 DSGVO
umfasst und gelten bei deren Übertragung besondere Maßstäbe?
Welche Daten sind vom Auskunftsanspruch nach Art 15 DSGVO umfasst? Wann sind
Informationen über die einer Verarbeitung zugrundliegenden Logik aussagekräftig und
insofern vom Anspruch erfasst? Wie weit reicht die Einschränkung zugunsten
Rechtspositionen dritter Personen gemäß Art 15 Abs 4 DSGVO?
Wie und anhand welcher Kriterien hat eine Interessensabwägung in den diversen
digitalen Geschäftsmodellen zu erfolgen?
2. Zielsetzung
Anliegen dieser Arbeit ist es, die voranstehende Hypothese zu verifizieren oder falsifizieren.
Durch die Untersuchung der Rahmenbedingungen der im Konfliktfall jeweils vorzunehmenden
Interessensabwägungen können Rückschlüsse auf das generelle Zusammenspiel der
Geschäftsgeheimnis-Richtlinie und der Datenschutz-Grundverordnung gezogen werden.
Anhand der Analyse der in den unterschiedlichsten Konflikt-Konstellationen notwendigen
9 Achtung des Privat- und Familienlebens (Art 7 GRC), Schutz personenbezogener Daten (Art 8 GRC), Unternehmerische Freiheit (Art 16 GRC) sowie das Eigentumsrecht (Art 17 GRC).
4
Abwägungen kann eruiert werden, inwiefern die hinter der DSGVO und Geschäftsgeheimnis-
Richtlinie stehenden Interessen und Grundrechte jeweils Beachtung finden, wie sie gewichtet
werden und ob daraus im Anwendungsfall Rechtsunsicherheiten resultieren.
Sowohl die bis 9. 6. 2018 umzusetzende Geschäftsgeheimnis-Richtlinie10 als auch die ab 25. 5.
2018 geltende Datenschutz-Grundverordnung11 wurden vom Unionsgesetzgeber im Jahr 2016
verabschiedet. Zum Verhältnis der beiden Rechtsakte erging bis dato keine relevante Judikatur
des Europäischen Gerichtshofes (EuGH). Auch in der Literatur fehlt bisher eine detaillierte
Auseinandersetzung.12 Die Rechtsakte selbst nehmen nur rudimentär aufeinander bzw auf
den jeweils anderen Schutzgegenstand Bezug und geben unzureichende Rahmenbedingungen
zur gegenseitigen Beachtung vor.13
Da bei einer im Einzelfall vorzunehmenden Interessensabwägung einem Interesse der Vorrang
vor einem anderen eingeräumt wird, kann es hierbei zu einer Einschränkung eines Charta-
Grundrechts kommen, bei der den Vorgaben der Schrankenregelung des Art 52 Abs 1 GRC und
der dazu ergangenen Rechtsprechung entsprochen werden muss. Danach bedarf es zur
Einschränkung eines Grundrechts einer klaren und präzisen Rechtsgrundlage, deren Fehlen
allerdings im konkreten Fall angenommen wird.14
Im Rahmen dieser Arbeit ist daher zunächst festzustellen, welche Interessen sich in den
potentiellen Konfliktkonstellationen gegenüberstehen sowie, ob diese Grundrechte
implementieren oder rein marktordnende Funktion haben. Je nachdem, welcher Ursprung
den gegeneinander abzuwägenden Positionen zugesprochen wird, hat eine
Interessensabwägung differenziert zu erfolgen. Bei der Gegenüberstellung rein
markordnender Interessen soll untersucht werden, anhand welcher Kriterien eine solche zu
erfolgen hat und ob diese ausreichend sind. Im Falle einer möglichen Einschränkung eines
Grundrechtes sind die rechtlichen Rahmenbedingungen hinsichtlich einer Vereinbarkeit mit
Art 52 Abs 1 GRC zu überprüfen und in Ermangelung einer solchen zu untersuchen, inwiefern
10 Art 19 Geschäftsgeheimnis-Richtlinie. 11 Art 99 DSGVO. 12 Zum ungeklärten Verhältnis von Lewinski in Wolff/Brink (Hrsg), BeckOK Datenschutzrecht 24.Edition, Art 20 DSGVO Rn 99 ff. 13 Vgl Art 20 Abs 4 DSGVO sowie ErwGr 4 und 64 DSGVO; ErwGr 2, 34 und 35 und Art 9 Abs 4 Geschäftsgeheimnis-Richtlinie. 14 Siehe zu den Vorgaben der GRC etwa Jarass, Charta der Grundrechte der EU3 Art 7 GRC Rn 34 ff, Art 8 GRC Rn 11 ff, Art 16 GRC 18 f und Art 17 GRC Rn 31 f; Frenz, Handbuch Europarecht. Band 4, Europäische Grundrechte (2008) 183 Rn 601 ff.
5
dies durch die Erarbeitung spezifischer Kriterien und Rahmenbedingungen der
Interessensabwägung behoben werden könnte.
Insgesamt soll diese Arbeit dazu beitragen, das klärungsbedürftige Verhältnis des
Geschäftsgeheimnis- und Datenschutzes auf Unionsebene zu ermitteln und zur
Gewährleistung eines den hinter DSGVO und Geschäftsgeheimnis-Richtlinie stehenden
Interessen und Grundrechten entsprechenden Zustandes beizusteuern.
3. Wirtschaftliche Hintergründe
Big Data umschreibt Methoden der Datenverarbeitung, bei denen große Mengen an
unterschiedlichsten Daten in kürzester Zeit gesammelt und ausgewertet werden.15 Fokussiert
wird dabei nicht auf die Daten selbst, sondern auf deren Nutzung: Durch die Analyse großer
Datenmengen können Erkenntnisse gewonnen werden, aufgrund derer unternehmerische
Entscheidungen getroffen bzw Geschäftsmodelle etabliert werden.16 Big Data umfasst also
die Erhebung, Verknüpfung und Auswertung großer Datenmengen, die eine Vielzahl
effizienzsteigernder Anwendungen ermöglicht.17 Durch die Vielfalt an herangezogenen Daten
und Analysezwecken finden sich einschlägige Geschäftsmodelle in den unterschiedlichsten
Bereichen und erfassen über die Produktion hinaus den gesamten Wertschöpfungsprozess.18
Ebenso vielfältig wie die Ausprägungen digitaler Geschäftsmodelle im Bereich Big Data sind
die dahinterstehenden Interessen und potentiell betroffenen Grundrechte. Aus
15 Vgl Brandt in Hauschka/Moosmayer/Lösler (Hrsg), Corporate Compliance3 § 29 Rn 164 ff; zu den Besonderheiten von Big Data siehe auch Weichert, Big Data und Datenschutz – Chancen und Risiken einer neuen Form der Datenanalyse, ZD 2013, 251 passim. 16 Derartigen Geschäftsmodellen ist oftmals gemein, dass Leistungen nicht (bzw nicht ausschließlich) gegen Geld erbracht werden, sondern gegen die Hingabe von Daten der KundInnen. Vgl hierzu Wendehorst/Graf v Westphalen, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, 3745 passim. 17 Siehe dazu Hoeren/Sieber/Holznagel, Handbuch Multimedia-Recht (Stand: 46. EL Januar 2018) Teil 16.7 Big Data Rn 1 ff. 18 Hoeren/Sieber/Holznagel, Multimedia-Recht Teil 16.7 Rn 6; zur ökonomischen und wettbewerbliche Relevanz von Daten siehe auch Körber, „Ist Wissen Marktmacht?“ Überlegungen zum Verhältnis von Datenschutz, „Datenmacht“ und Kartellrecht – Teil 1, NZKart 2016, 303 passim; sowie Körber, „Ist Wissen Marktmacht?“ Überlegungen zum Verhältnis von Datenschutz, „Datenmacht“ und Kartellrecht – Teil 2, NZKart 2016, 348 passim; zu den Herausforderungen der Digitalisierung in Bezug auf das BGB vgl Wendehorst, Die Digitalisierung und das BGB, NJW 2016, 2609 passim; Paal/Hennemann, Big Data im Recht. Wettbewerbs- und daten(schutz)rechtliche Herausforderungen, NJW 2017, 1697 passim; siehe auch Lohsse/Schulze/Staudenmayer, Introduction, in Lohsse/Schulze/Staudenmayer (Hrsg), Trading Data in the Digital Economy: Legal Concepts and Tools. Münster Colloquia on EU Law and the Digital Economy (2017) 13 (14, 15).
6
unternehmerischer Sicht wird meist der wettbewerbliche Vorsprung vor MitbewerberInnen –
etwa durch die Nutzung bzw Aufbereitung bestimmter Daten oder Informationen - im
Mittelpunkt stehen. Um unternehmerisch tätig sein zu können, besteht daneben ein Interesse
an der Geheimhaltung von Know-How, Geschäftsstrategien, Methoden, udgl.19 Dieses
unternehmerische Geheimhaltungsinteresse steht in einem Spannungsverhältnis zu anderen
Interessen, etwa jenen der Öffentlichkeit, der MitbewerberInnen oder (ausgeschiedener)
ArbeitnehmerInnen sowie jenen natürlicher Personen, die Unternehmen personenbezogene
Daten preisgegeben haben.20
Auf der anderen Seite streben BenutzerInnen bzw AbnehmerInnen in der Regel nach
bestmöglichen Produkten und Dienstleistungen, sowie der Möglichkeit, den oder die
VertragspartnerIn je nach Angebot wechseln und frei über die eigenen Daten disponieren zu
können. Daneben kommt dem Schutz der – oftmals in Austausch für die Nutzung bzw
Verbesserung digitaler Plattformen, Sozialer Netzwerke, Suchmaschinen oder smarter
Produkte – hingegebenen Daten sowie insgesamt der Privatsphäre aus Sicht natürlicher
Personen enorme Bedeutung zu.21
4. Untersuchungsgegenstand und Stand der Forschung
Obwohl Geschäftsgeheimnisse in der unternehmerischen Praxis eine ebenso bedeutende
Rolle22 wie Rechte des geistigen Eigentums spielen und deren Kenntnis oder unbefugte
Nutzung durch andere MarktteilnehmerInnen den Verlust eines Wettbewerbsvorsprungs
nach sich ziehen kann,23 wurde der Schutz von Geschäftsgeheimnissen in der Europäischen
19 Geschützt werden diese Interessen etwa durch das in Art 16 GRC normierte Grundrecht auf unternehmerische Freiheit, die Eigentumsfreiheit in Art 17 GRC sowie den Schutz der Privatsphäre gemäß Art 7 GRC; zur Gegenüberstellung dieser wirtschaftlichen Bedeutung der Geheimhaltung und deren gleichzeitiger Verletzlichkeit siehe Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG4 Vorbemerkungen zu §§ 17-19 UWG Rn 2. 20 Zum Spannungsfeld unternehmerische Interessen und jener ausscheidender ArbeitnehmerInnen siehe Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG4 Vorbemerkungen zu §§ 17-19 UWG Rn 5 sowie § 17 UWG Rn 48 f; zum hinter der DSGVO stehenden Schutz personenbezogener Daten nach Art 8 GRC siehe auch die einleitenden Ausführungen in Forgó, My health data – your research: some preliminary thoughts on different values in the General Data Protection Regulation, International Data Privacy Law, 2015, Vol 5, No 5, 54 (54 ff). 21 Letztere sollen durch die Art 7 und 8 GRC gewährleistet werden. 22 Siehe hierzu auch ErwGr 2 Geschäftsgeheimnis-RL, so auch Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG4 Vorbemerkungen zu §§ 17-19 UWG Rn 1 ff. 23 Zum durch Betriebsspionage verursachten Schaden in Deutschland Harte-Bavendamm in Harte-Bavendamm/Henning-Bodewig, UWG4 Vorbemerkungen zu §§ 17-19 UWG Rn 3.
7
Union und einigen Mitgliedstaaten lange Zeit als „Stiefkind“24 oder „Aschenputtel“25 des
Immaterialgüter- und Lauterkeitsrecht bezeichnet.26 Aufgrund der wirtschaftlichen
Bedeutung von Geschäftsgeheimnissen besteht allerdings die Notwendigkeit, adäquate
Schutzmechanismen zu deren Wahrung vorzusehen, um einer Verfälschung des Wettbewerbs
entgegen zu wirken.27
In den Rechtsordnungen der verschiedenen Mitgliedstaaten wurde diesem Umstand bisher
nur teilweise Rechnung getragen, was insofern zu unterschiedlichen Schutzniveaus führte und
die grenzüberschreitende Rechtsdurchsetzung benachteiligte.28 Daneben erschwerte die
bisher fragmentierte Rechtslage die grenzüberschreitende Kooperation von Unternehmen
verschiedener Mitgliedstaaten in Bezug auf relevantes Know-How. Divergierende rechtliche
Rahmenbedingungen wirken sich des Weiteren potentiell auf die Mobilität jener Personen
aus, die Know-How entwickeln.29 Der Notwendigkeit, einheitliche Schutzstandards für
unternehmerische Geheimnisse zu etablieren, wurde auf Unionsebene mit der
24 Ann, Know-how - Stiefkind des Geistigen Eigentums? GRUR 2007, 39 passim; dazu auch McGuire, Know-how: Stiefkind, Störenfried oder Sorgenkind? GRUR 2015, 424 passim. 25 Ohly, Der Geheimnisschutz im deutschen Recht: heutiger Stand und Perspektiven, GRUR 2014, 1 passim. 26 Vgl allerdings das starke Bewusstsein für den Know-How Schutz in den USA: Ummenberger-Zierler, Schutz von betrieblichem Know How in Europa - die EU-Harmonisierungsrichtlinie im Vergleich zur Rechtslage in den USA, in Staudegger/Thiele (Hrsg), Jahrbuch Geistiges Eigentum 2017, 349 (349ff); zu den typischen Risiken für den Geschäftsgeheimnisschutz siehe McGuire, Der Schutz von Know-how im System des Immaterialgüterrechts. Perspektiven für die Umsetzung der Richtlinie über Geschäftsgeheimnisse, GRUR 2016, 1000 (1001); zu den dogmatischen Grundlagen des Know-How-Schutzes im deutschen Recht vgl Dorner, Know-how-Schutz im Umbruch. Rechtsdogmatische und informationsökonomische Überlegungen (2013) passim. 27 Hierzu auch die für die Europäische Kommission erstellte Studie „Study on Trade Secrets and Confidential Business Information in the Internal Market“, abrufbar unter: http://ec.europa.eu/DocsRoom/documents/27703 (zuletzt abgefragt am 19. 2. 2019); Köhler in Köhler/Bornkamm/Feddersen, UWG36 Vorbemerkungen zu §§ 17-19 UWG Rn 6; zur Bedeutung des Geschäftsgeheimnisschutzes vgl auch Wolf, Der Schutz des Betriebs- und Geschäftsgeheimnisses. Verfassungsrechtliche Grundlagen und Ausgestaltung in den modernen Informationszugangsgesetzen (2015) passim. 28 Vgl allerdings, dass bereits in Art 39 des sowohl für die Europäische Union als auch sämtliche Mitgliedstaaten bindende TRIPS-Übereinkommen 1994 Mindeststandards für den Schutz geheimen Know-Hows vorgesehen sind (Übereinkommen über handelsbezogene Aspekte der Rechte des geistigen Eigentums, ABl L 1994/336, 213). 29 Max-Planck-Institut für Innovation und Wettbewerb, Stellungnahme vom 3. Juni 2014 zum Vorschlag der Europäischen Kommission für eine Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung vom 28.11.2013, COM (2013) 813 final (abrufbar unter: https://www.ip.mpg.de/fileadmin/ipmpg/content/stellungnahmen/stellungnahme-geschaeftsgeheimnisse_2014-05-12_final_7.pdf [zuletzt abgefragt am 19. 2. 2019]).
8
Geschäftsgeheimnis-Richtlinie Genüge getan, welche von den Mitgliedstaaten bis 9. 6. 2018
in nationales Recht umzusetzen war.30
Aufgrund der Vielfältigkeit der potentiell unter den Geschäftsgeheimnisschutz fallenden
Sachverhalte bestehen Überschneidungsbereiche zu zahlreichen anderen Rechtsgebieten.
Neben Überlappungen zum Immaterialgüterrecht ergeben sich auch Fragen hinsichtlich des
Verhältnisses zwischen Geheimnis- und Datenschutz, welcher in Bezug auf personenbezogene
Daten natürlicher Personen durch die Datenschutz-Grundverordnung mit 25. 5. 2018 neu
geregelt wurde.31
Das Spannungsverhältnis der Sekundärrechtsakte manifestiert sich neben dem
Auskunftsrechts der betroffenen Person gemäß Art 15 DSGVO,32 nach welchem diese
Auskunft begehren kann, ob und welche personenbezogene Daten verarbeitet werden, am in
Art 20 DSGVO verankerten Recht auf Datenübertragbarkeit (sog Recht auf
Datenportabilität33). Dabei handelt es sich um ein Novum des europäischen
Datenschutzrechts,34 wonach die betroffene Person nicht nur einen Anspruch darauf hat, die
von ihr zur Verfügung gestellten, sie betreffenden personenbezogenen Daten von einer
verarbeitenden Person zu erhalten, sondern auch darauf, dass entsprechende Daten direkt an
eine dritte Person übermittelt werden.35
Derartige datenschutzrechtlich begründete Auskünfte bzw Übermittlungen können dem
Schutz unternehmerischer Geheimnisse (auch Geschäfts- oder Betriebsgeheimnisse)
zuwiderlaufen,36 indem Letztere offenbart werden. Eine solche Offenbarung kann sich etwa
aus dem Umstand ergeben, dass Geschäfts- oder Betriebsgeheimnisse oftmals
30 Art 19 Geschäftsgeheimnis-RL; zur Nützlichkeit des Geschäftsgeheimnisschutzes in der Data Economy siehe Aplin, Trading Data in the Digital Economy: Trade Secrets Perspective, in Lohsse/Schulze/Staudenmayer, Trading Data in the Digital Economy, 59 (67 ff). 31 Zur bisherigen Rechtslage siehe Wagner, Der Datenschutz in der Europäischen Union (2015) passim. 32 Schmidt-Wudy in Wolff/Brink, BeckOK Datenschutzrecht Art 15 DSGVO Rn 95ff. 33 So auch von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 5. 34 Zur Natur des Portabilitätsanspruchs etwa Stoykova, The right to Data Portability as a Market Tool, CRi 2/2018, 44; zu anderen als der datenschutzenrechtlichen Ausformung der Portabilitäts siehe Lynskey, Aligning Data Protection Rights with Competition Law Remedies? The GDPR Rights to Data Portability, EL Rev 2017, 793 (797, 798). 35 Vgl hierzu von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 49ff; zu dieser “Übermittlung im Dreiecksverhältnis” siehe auch Strubel, Anwendungsbereich des Rechts auf Datenübertragbarkeit. Auslegung des Art. 20 DS-GVO unter Berücksichtigung der Guidelines der Art. 29-Datenschutzgruppe, ZD 2017, 355 (356 f); zum Recht auf Datenportabilität vgl auch Feiler/Forgó, EU-Datenschutz-Grundverordnung (2017) Art 20 DSGVO Rn 1ff. 36 Welcher nunmehr unionsrechtlich harmonisiert ist, siehe dazu Geschäftsgeheimnis-RL (FN 1).
9
personenbezogene Daten natürlicher Personen umfassen und diese oder deren Metadaten37
auf unternehmerische Interna schließen lassen können.38 Andererseits erlaubt die
Übermittlung von in einer gewissen Art und Weise aufbereiteten Sammlung von Daten
mitunter Rückschlüsse auf Geschäftsvorgänge bzw –strategien.39
Inwieweit Datenschutz und Geschäftsgeheimnisschutz überlappen, hängt von der Reichweite
der Rechte der betroffenen Person ab.40 Da die Wahrscheinlichkeit, Rückschlüsse auf für ein
Unternehmen relevante Informationen ziehen zu können, mit dem Umfang der von
Auskunfts- bzw Portabilitätsansprüchen erfassten Daten steigt, kommt diesem entscheidende
Rolle zu. In diesem Zusammenhang muss zwischen dem Auskunftsverlangen nach Art 15
DSGVO und dem Anspruch auf Portabilität gemäß Art 20 DSGVO differenziert werden.
Nach Art 20 DSGVO bedarf es einer aufgrund einer Einwilligung oder eines Vertrages erfolgten
automatisierten Verarbeitung personenbezogener Daten der betroffenen Person, die von
ebendieser bereitgestellt wurden, um den Anwendungsbereich des Portabilitätsanspruches
zu eröffnen.41 Das Recht auf Datenportabilität soll demnach die personenbezogenen Daten
der betroffenen Person umfassen.42 Unsicherheiten ergeben sich hinsichtlich Daten mit Dritt-
oder Doppelbezug, also solchen, die sich auf mehr als eine Person beziehen.43 Derartige Daten
37 Metadaten sind strukturierte Daten, die wiederum Informationen über andere Daten enthalten. Vgl Grützner/Jakob, Compliance von A-Z, 2. Auflage 2015 (abrufbar unter: https://beck-online.beck.de/?vpath=bibdata/lex/GruetznerJakobLexC_2/cont/GruetznerJakobLexC.Metadaten.htm [abgefragt am 19. 2. 2019]); siehe im Detail auch https://www.itwissen.info/Metadaten-meta-data.html (abgefragt am 19. 2. 2019). 38 Bspw enthalten Kundenlisten und kundenspezifische Werbestrategien oder Lieferbedingungen naturgemäß personenbezogene Daten. 39 So können etwa die Kategorien oder „Dichte“ der erhobenen Daten Rückschlüsse auf die unternehmerischen Schwerpunkte bzw Strategien bei der kundenspezifischen Werbung odgl erlauben. 40 Vgl hierzu in Bezug auf Art 20 DSGVO von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 99. 41 Art 20 DSGVO. 42 Nach Wendehorst handelt es sich beim Großteil der in der Data Economy relevanten Daten um personenbezogene Daten, weshalb auch der Anwendungsbereich der DSGVO entsprechend weit zu verstehen ist. Aufgrund der rasanten Entwicklung technischer Möglichkeiten ist auch die Grenze zwischen personenbezogenen und nicht-personenbezogenen Daten fließend, da sich laufend neue Möglichkeiten ergeben, um Rückschlüsse auf eine bestimmte Person (und somit Personenbezug iSd Art 4 Z 1 DSGVO) zuzulassen. Vgl dazu Wendehorst, Of Elephants in the Room and Paper Tigers: How to Reconcile Data Protection and the Data Economy, in Lohsse/Schulze/Staudenmayer, Trading Data in the Digital Economy, 327 (329 ff). 43 Einen Drittbezug weisen Daten auf, die neben der betroffenen Person auch einer von dieser verschiedenen Drittperson zuordenbar sind. Auch „Kollateraldaten“ genannt, siehe dazu Cebulla, Umgang mit Kollateraldaten - Datenschutzrechtliche Grauzone für verantwortliche Stellen, ZD 2015, 507 passim. Vor allem in Sozialen Netzwerken ergibt sich regelmäßig ein solcher Doppelbezug, bspw hinsichtlich geteilten Inhalten oder Kontaktlisten. Vgl auch von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 44.
10
sollen nach Auffassung der Art 29-Datenschutzgruppe explizit vom Anspruch auf
Datenübertragung umfasst sein;44 im Schrifttum ist dies allerdings strittig.45 Unterschieden
werden muss insbesondere, ob es sich um (nach umstrittener Ansicht)46 vom Anspruch
umfasste Daten mit Doppelbezug handelt, oder aber um solche, die ausschließlich Drittbezug
aufweisen und daher – dem klaren Wortlaut der Bestimmung nach - nicht erfasst sind.47
Weiters wird der Inhalt des Bereitstellungsbegriffes kontrovers diskutiert.48 Werden Daten
von einer betroffenen an eine verantwortliche Person bereitgestellt, so wird es sich dabei
nicht per se um Geschäfts- oder Betriebsgeheimnisse handeln. Es besteht allerdings die
Möglichkeit, dass sich die Portabilität auch auf solche Daten bezieht, die im Rahmen der
Geschäftstätigkeit des Unternehmens in Bezug auf die betroffene Person gespeichert
wurden.49 Zu denken ist in diesem Zusammenhang etwa an Daten, die sich aus der
Beobachtung des Verhaltens einer Person ableiten bzw durch Interaktion mit der
verantwortlichen Person entstanden sind. Dabei soll wiederum nach Ansicht der Art 29-
Datenschutzgruppe50 zwischen den beobachteten Daten, welche durch die Nutzung eines
44 Art 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, abrufbar unter: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233 (zuletzt abgefragt am 19. 2. 2019). 45 Dafür spricht sich etwa Paal aus, soweit es sich um solche Daten handelt, die neben dem Drittbezug auch einen Personenbezug zur antragstellenden Person aufweisen, vgl Paal in Paal/Pauly (Hrsg), DS-GVO2 Art 20 Rn 17; bejahend etwa auch von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 32; ablehnend hingegen Jülicher/Röttgen/ v Schönfeld, Das Recht auf Datenübertragbarkeit – ein datenschutzrechtliches Novum, ZD 2016, 358 (359, 361); thematisiert wird der Doppelbezug auch von Lynskey, EL Rev 2017, 793 (813 f). 46 Paal in Paal/Pauly, DS-GVO2 Art 20 Rn 17 und die dort angeführten Fundstellen. 47 Paal in Paal/Pauly, DS-GVO2 Art 20 Rn 17; für eine weite Auslegung des Bereitstellungbegriffes plädiert die Art 29-Datenschutzgruppe in ihren (nicht bindenden) Guidelines zu Art 20 DSGVO (FN 44); zur rein beratenden Rolle der Gruppe vgl Brühann in Grabitz/Hilf (Hrsg), Das Recht der Europäischen Union, 40. Aufl. 2009, RL 95/46/EG Art 30 Rn 11; zur Idee, den Bereitstellungsbegriff „service-spezifisch“ auszulegen siehe Strubel, ZD 2017, 355 (360); zur Einordnung von Geodaten als personenbezogene Daten siehe Krügel, Das personenbezogene Datum nach der DS-GVO. Mehr Klarheit und Rechtssicherheit? ZD 2017, 455 (456 f). 48 Paal in Paal/Pauly, DS-GVO2 Art 20 Rn 17. 49 Etwa durch Interaktion oder Beobachtung entstandene Daten, vgl etwa von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 45; zur Problematik des Bereitstellungsbegriffes in der Automobilbranche auch Klink-Straub/Straub, Vernetzte Fahrzeuge – portable Daten. Das Recht auf Datenübertragbarkeit gem. Art. 20 DS-GVO, ZD 2018, 459 (461 f); die weite Auslegung der Art 29-Datenschutzgruppe kritisierend: Strubel, ZD 2017, 355 (357 f). 50 Die Art 29-Datenschutzgruppe war ein unabhängiges Beratungsgremium der Europäischen Kommission, welches durch die Datenschutzrichtlinie begründet wurde, vgl Art 29 ff der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31 (Datenschutzrichtlinie) aufgehoben durch die Datenschutz-Grundverordnung. Diese Gruppe wurde mit Inkrafttreten der DSGVO vom Europäischen Datenschutzausschuss abgelöst (Art 68 ff DSGVO).
11
Dienstes oder eines Gerätes entstehen,51 und daraus abgeleiteten Daten52 differenziert
werden. Letztere umfassen jene Daten bzw Informationen, die durch Rückschlüsse aus den
beobachteten Daten generiert wurden und sollen nicht vom Anwendungsbereich des Art 20
DSGVO umfasst sein.53 Die Frage der Einbeziehung von Beobachtungs- bzw Interaktionsdaten
sowie insgesamt der Anwendungsbereich des Art 20 DSGVO sind derzeit noch nicht
abschließend geklärt.54
Bei der Geltendmachung des Portabilitätsanspruchs kann es des Weiteren zu einer Situation
kommen, in der durch die Metadaten der übertragenen Daten Informationen weitergegeben
werden, die sich bspw auf Verträge mit der betroffenen Person oder auf sie zugeschnittene
Werbestrategien beziehen.55 Nicht zuletzt muss beachtet werden, dass die strukturierte
Aufbereitung von Daten auf eine unternehmerische Leistung zurückgeht. Die Übertragung von
Datensätzen kann insofern dazu führen, dass die „neue“ verantwortliche Person, der Daten
übertragen wurden, Nutzen aus der Geschäftstätigkeit der ursprünglich verantwortlichen
Person ziehen kann.56
Ist der Anwendungsbereich des Portabilitätsanspruches eröffnet, so finden die Rechte aus Art
20 DSGVO dort ihre Grenze, wo es an technischer Machbarkeit oder wirtschaftlicher
Zumutbarkeit mangelt bzw wo Rechtspositionen Dritter beeinträchtigt werden.57 Unter die
bei der Erfüllung des Datenportabilitätsanspruchs berücksichtigungswürdigen Rechte Dritter,
die im Einzelfall zu einer entsprechenden Beschränkung oder einem Ausschluss führen
können, sollen alle vom Unionsgesetzgeber im Primärrecht normierten Individualinteressen
fallen.58 Darunter können neben dem Datenschutz oder etwaigen Immaterialgüterrechten
Dritter auch deren Geschäfts- oder Betriebsgeheimnisse subsumiert werden. Je nachdem, wie
51 Etwa die Aufzeichnung der Herzfrequenz durch eine smarte Pulsuhr, die die entsprechenden Daten in einer Cloud speichert oder an ein damit verbundenes Endgerät weiterleitet. 52 Etwa ein Risikoprofil oder die Bewertung des gesundheitlichen Zustandes der betroffenen Person auf Grundlage der Beobachtungsdaten. Für einen Ausschluss derartiger Daten vgl Art 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit (FN 44). 53 Art 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit (FN 44); von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 47. 54 Von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 45. 55 Für die Übermittlung von „sachdienlichen Metadaten in der bestmöglichen Granularitätsstufe“ spricht sich die Art 29-Datenschutzgruppe aus. Dies soll allerdings nicht dazu führen, dass Geschäftsgeheimnisse offengelegt werden. Vgl dazu Leitlinien zum Recht auf Datenübertragbarkeit (FN 44). 56 Dazu auch Jaspers, Die EU-Datenschutz-Grundverordnung. Auswirkungen der EU-Datenschutz-Grundverordnung auf die Datenschutzorganisation des Unternehmens, DuD 2012, 571 (573). 57 Vgl Art 20 Abs 2 und 4 DSGVO. 58 Vgl hierzu von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 93.
12
schwer Letztere im Rahmen einer im Einzelfall vorzunehmenden Interessensabwägung
gewichtet werden, kann es insofern zu einer Einschränkung der aus der DSGVO resultierenden
Ansprüche zum Schutz personenbezogener Daten kommen.
Betrachtet man andererseits den Anwendungsbereich des Auskunftsanspruchs nach Art 15
DSGVO, so fällt auf, dass dieser mit dem allgemeinen Anwendungsbereich der DSGVO
übereinstimmt und insofern im Vergleich zu jenem des Art 20 DSGVO weiter gefasst ist.59
Vom Auskunftsanspruch ist einerseits die Auskunft über verarbeitete personenbezogene
Daten sowie zusätzlich ua „das Bestehen einer automatisierten Entscheidungsfindung
einschließlich Profiling […] und […] aussagekräftige Informationen über die involvierte Logik
[…]“ umfasst.60 Dem Wortlaut der Bestimmung nach muss daher Auskunft über die einer
Datenverarbeitung zugrundeliegenden Logik gegeben werden,61 an welcher wiederum aus
unternehmerischer Sicht ein Geheimhaltungsinteresse bestehen kann. Die Reichweite der
Einbeziehung „involvierter Logik“ ist aktuell noch ungeklärt.62
Ergänzend zur Auskunft steht der betroffenen Person bei erfolgter Datenverarbeitung durch
eine verantwortliche Person gemäß Art 15 Abs 3 DSGVO ein Anspruch auf Erhalt einer
Datenkopie zu.63 Aufgrund der insofern bestehenden Ähnlichkeit zu Art 20 DSGVO, die sich
wiederum daraus ergibt, dass die Bestimmungen im Laufe des Gesetzgebungsverfahrens als
59 Vgl Art 2 und 3 DSGVO. Der Anwendungsbereich des Art 15 DSGVO wird insbesondere nicht durch das Erfordernis der „Bereitstellung durch die betroffene Person“ eingegrenzt. 60 Art 15 Abs 1 DSGVO nennt „die Verarbeitungszwecke“, „die Kategorien personenbezogener Daten, die verarbeitet werden“, „die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen“, „falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer“, „das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung“, „das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde“, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“ sowie „das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“. 61 So auch explizit ErwGr 63 DSGVO. 62 Zur Unklarheit der Reichweite dieser Bestimmung vgl Schmidt-Wudy in Wolff/Brink, BeckOK Datenschutzrecht Art 15 DSGVO Rn 76ff (Stand: 1. 11. 2018); zu einer Entscheidung der österreichischen Datenschutzbehörde in Bezug auf Bonitätsdaten vgl Bescheid vom 8. 6. 2017, GZ: DSB-D122.641/0006-DSB/2017. 63 Im Detail dazu siehe Bäcker in Kühling/Buchner, Datenschutz-Grundverordnung/BDSG. Kommentar, 2.Auflage 2018, Art 15 DSGVO Rz 6, 30, 39f.
13
ein gemeinsames Auskunfts- und Herausgaberecht konzipiert waren,64 wird Art 15 DSGVO
mitunter ein „Zwittercharakter“ zugeschrieben. Obgleich ihrer unterschiedlichen
Anwendungskriterien und Inhalte bergen die Bestimmungen ähnliche Gefahren für den Schutz
unternehmerischer Geheimnisse in sich.
Seine Grenze findet das Recht auf Erhalt einer Kopie – dem Portabilitätsanspruch
entsprechend – dort, wo Rechte und Freiheiten dritter Personen beeinträchtigt sind.65
Darunter können wiederum Geschäfts- oder Betriebsgeheimnisse subsumiert werden, wobei
die Einschränkung des Auskunftsanspruchs aufgrund deren Beeinträchtigung– im Vergleich zu
Art 20 DSGVO - nicht zu einer vollständigen Auskunftsverweigerung führen darf.66 Die genaue
Ausgestaltung einer notwendigen Abwägung im Einzelfall birgt aufgrund der knappen
Formulierung des Art 15 Abs 4 DSGVO bis zu einer Klärung durch den EuGH Rechtsunsicherheit
in sich.67
Sowohl die Geschäftsgeheimnis-Richtlinie als auch die DSGVO nehmen jeweils in ihren
Erwägungsgründen Bezug aufeinander.68 Die Geschäftsgeheimnis-Richtlinie schließt
Geschäftsdaten zunächst explizit in ihren potentiellen Anwendungsbereich ein und betont die
Wahrung grundrechtlicher Vorgaben.69 Bei Maßnahmen zum Schutz von
Geschäftsgeheimnissen ist zu beachten, dass „[…] das Recht auf Achtung des Privat- und
Familienlebens und den Schutz der personenbezogenen Daten aller Personen gewahrt bleibt,
deren personenbezogene Daten vom Inhaber des Geschäftsgeheimnisses bei Maßnahmen zum
Schutz eines Geschäftsgeheimnisses eventuell verarbeitet werden oder die an einem
Rechtsstreit über den rechtswidrigen Erwerb bzw. die rechtswidrige Nutzung oder Offenlegung
von Geschäftsgeheimnissen gemäß dieser Richtlinie beteiligt sind und deren
personenbezogene Daten verarbeitet werden […]“70.
64 Das Recht auf Datenportabilität war im Gesetzgebungsverfahren zunächst in Art 15 eingegliedert. Dazu auch Schmidt-Wudy in Wolff/Brink, BeckOK Datenschutzrecht Art 15 DSGVO Rn 1. 65 Art 15 Abs 4 DSGVO. 66 Siehe dazu ErwG 63 DSGVO. 67 Schmidt-Wudy in Wolff/Brink, BeckOK Datenschutzrecht Art 15 DSGVO Rn 95ff mwN. 68 Die Erwägungsgründe spielen im Rahmen der teleologischen Interpretation, welcher bei der Auslegung von Unionsrecht enorme Bedeutung zukommt, eine Rolle. Vgl auch Wegener in Calliess/Ruffert, EUV/AEUV5 Art 19 EUV Rn 16. 69 ErwG 2 und 34 Geschäftsgeheimnis-Richtlinie. 70 ErwG 35 Geschäftsgeheimnis-Richtlinie, der in weiterer Folge auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl L 1995/281, 31 (Datenschutz-Richtlinie), verweist, die durch die DSGVO aufgehoben wurde. Auch die Verarbeitung personenbezogener Daten im Verlauf von Gerichtsverfahren soll
14
Der Schutz personenbezogener Daten nach der DSGVO soll andererseits „ […] im Hinblick auf
seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips
gegen andere Grundrechte abgewogen werden […]“, worunter auch die unternehmerische
Freiheit fallen soll.71 Daneben darf der betroffenen Person eine Auskunft gemäß Art 15 DSGVO
über die sie betreffenden personenbezogenen Daten nur unter Wahrung der Rechte und
Freiheiten anderer Personen, wie etwa deren Geschäfts- oder Betriebsgeheimnisse, erteilt
werden, was allerdings nicht zu einer vollständigen Auskunftsverweigerung führen darf.72
Insgesamt lässt sich das genaue Verhältnis beider Rechtsbereiche weder aus der
Geschäftsgeheimnis-Richtlinie, noch aus der DSGVO erschließen.73 Dies gilt vor allem für den
Portabilitätsanspruch des Art 20 DSGVO sowie den Auskunftsanspruch nach Art 15 DSGVO
und deren Einschränkung zugunsten des Schutzes unternehmerischer Geheimnisse.74
Relevante Judikatur des EuGH gibt es bis dato noch nicht. Da, wie vorstehend erläutert, auch
der diesbezügliche Stand der Forschung offen ist, soll diese Arbeit dazu beitragen, das
klärungsbedürftige Zusammenspiel der beiden Rechtsakte zu erhellen.
5. Gang der Untersuchung
In einem ersten Schritt soll der Geschäftsgeheimnisschutz auf Unionsebene systematisch
erfasst werden. In einem zweiten Schritt werden die Überschneidungsbereiche zu anderen
Rechtsgebieten ermittelt. In weiterer Folge wird auf das Verhältnis von Geheimnis- und
Datenschutz fokussiert, wobei zu diesem Zweck untersucht wird, in Bezug auf welche
Geschäftsmodelle sich Überschneidungen der relevanten Sekundärrechtsakte ergeben und
inwiefern Konflikte der Rechtsakte in den jeweiligen Überschneidungskonstellationen
aufgelöst werden können. Dabei wird das Augenmerk auf den im Einzelfall notwendigen
Interessensabwägungen liegen und insofern untersucht, anhand welcher Kriterien die
datenschutzrechtlichen Vorgaben entsprechend erfolgen. Vgl Art 9 Abs 4 Geschäftsgeheimnis-Richtlinie, wiederum mit Verweis auf die Datenschutz-Richtlinie. 71 ErwG 4 DSGVO. 72 ErwG 63 DSGVO; in den Leitlinien der Art 29-Datenschutzgruppe wird etwa in Bezug auf Art 20 DSGVO angeführt, dass die Übertragung von Metadaten nur soweit erfolgen soll, soweit dies zweckdienlich ist. Dies soll insbesondere nicht dazu führen, dass Geschäftsgeheimnisse offengelegt werden. Siehe Leitlinien zum Recht auf Datenübertragbarkeit (FN 44). 73 So auch Von Lewinski in Wolff/Brink, BeckOK Datenschutzrecht Art 20 DSGVO Rn 101 ff. 74 Art 20 Abs 4 DSGVO.
15
Berücksichtigung des jeweils anderen Rechtsgebietes sowie der dahinterstehenden
Interessen und Grundrechte erfolgt.
Aus den Ergebnissen sollen sodann Rückschlüsse auf das generelle Zusammenwirken der
Rechtsakte gezogen und beurteilt werden, ob dieses Defizite im Sinne mangelnder rechtlicher
Vorgaben und daraus resultierender Rechtsunsicherheiten aufweist. Bejahendenfalls sollen
Kriterien erarbeitet werden, anhand derer sich RechtanwenderInnen bei den im Einzelfall - in
den diversen Konfliktkonstellationen - vorzunehmenden Interessensabwägungen orientieren
können.
6. Methoden
Die in dieser Dissertation behandelten Fragestellungen werden anhand der gängigen
rechtswissenschaftlichen Methoden aufgearbeitet. Zur Auslegung werden die gebräuchlichen
juristischen Interpretationsmethoden, also wörtliche, systematisch-logische, historische
sowie objektiv-teleologische Auslegung, herangezogen. Bei der Beurteilung nationalen Rechts
wird darüber hinaus eine unionsrechtskonforme Interpretation vorgenommen. Die Recherche
einschlägiger Literatur und Judikatur erfolgt mithilfe juristischer sowie empirischer
Datenbanken.
7. Vorläufige Gliederung:
A. Einleitung
a. Problemstellung und Zielsetzung
b. Allgemeine Begriffsbestimmungen
c. Wirtschaftliche Hintergründe
d. Untersuchungsgegenstand
e. Stand der Forschung
f. Gang der Untersuchung
g. Methoden
16
B. Geschäftsgeheimnisschutz
a. Bedeutung und Entwicklung des Geschäftsgeheimnisschutzes
i. Historische Entwicklung
ii. Praktische Bedeutung
b. Rechtsquellen
i. Internationales Recht
ii. Unionsrecht
1. Grundrechtliche Vorgaben
2. Primärrecht
3. Sekundärrecht
a. Richtlinie 2016/943 über den Schutz von
Geschäftsgeheimnissen
i. Bisherige Rechtslage
ii. Entstehungsgeschichte
iii. Bedeutung für Binnenmarkt
iv. Regelungsmethode der Richtlinie
1. Begriffsbestimmungen
2. Anwendungsbereich
3. Erwerb, Nutzung und Offenlegung
von Geschäftsgeheimnissen
a. Rechtmäßigkeit
b. Unrechtmäßigkeit
c. Ausnahmen
4. Maßnahmen, Verfahren und
Rechtsbehelfe
5. Schutzvoraussetzungen
6. Sanktionen, Berichterstattung
und Schlussbestimmungen
v. Bewertung
iii. Nationales Recht (Österreich)
1. Bisherige Rechtslage
2. Umsetzung der Geschäftsgeheimnis-Richtlinie in
Österreich
17
a. UWG-Novelle 2018
b. Umsetzung in anderen Mitgliedstaaten
c. Zwischenergebnis
d. Überschneidungsbereiche zu anderen Rechtsgebieten
i. Immaterialgüterrechte
ii. Datenbankschutz
iii. Whistleblower-Schutz
iv. Datenschutz
v. Zwischenergebnis
C. Datenschutz
a. Bedeutung und Entwicklung des Datenschutzes
i. Historische Entwicklung
ii. Praktische Bedeutung
b. Rechtsquellen
i. Internationales Recht
ii. Unionsrecht
1. Grundrechtliche Vorgaben
2. Primärrecht
3. Sekundärrecht
a. DSGVO
i. Bisherige Rechtslage
ii. Entstehungsgeschichte
iii. Bedeutung für Binnenmarkt
iv. Regelungsmethode der Verordnung
1. Begriffsbestimmungen
2. Anwendungsbereich
3. Grundsätze der Verarbeitung
personenbezogener Daten
4. Rechte der betroffenen Person
5. Beschränkungen
6. Verpflichtete Personen
18
7. Übermittlungen
personenbezogener Daten an
Drittländer oder an internationale
Organisationen
8. Unabhängige Aufsichtsbehörden
9. Zusammenarbeit und Kohärenz
10. Rechtsbehelfe, Haftung und
Sanktionen
v. Bewertung
iii. Nationales Recht (Österreich)
1. Bisherige Rechtslage
2. DSGVO-Anpassung in Österreich
a. Datenschutz-Anpassungsgesetz 2018
b. DSGVO-Umsetzung in anderen Mitgliedstaaten
c. Zwischenergebnis
D. Überschneidungsbereich: Geschäftsgeheimnis- und Datenschutz
a. Ausgangssituation für Konflikte zwischen Geschäftsgeheimnis-
Richtlinie und DSGVO
b. Potentiell betroffene Interessen und Grundrechte
i. Achtung des Privat- und Familienlebens (Art 7 GRC)
ii. Schutz personenbezogener Daten (Art 8 GRC)
iii. Unternehmerische Freiheit (Art 16 GRC)
iv. Eigentumsrecht (Art 17 GRC)
c. Einschränkung von Grundrechten
i. Vorgaben der GRC
ii. Judikatur
d. Zwischenergebnis
e. Interessenskonflikte im Einzelfall
i. Rechtsgrundlagen
1. Geschäftsgeheimnis-Richtlinie
2. DSGVO
19
ii. Portabilitätsanspruch des Art 20 DSGVO
1. Entwicklungsgeschichte
2. Voraussetzungen
a. Bereitstellung durch die betroffene Person
i. Bereitstellungsbegriff
ii. Betroffene Person
b. Verarbeitung mithilfe automatisierter Verfahren
c. Rechtsgrundlage der Verarbeitung
3. Inhalt des Anspruchs
a. Erhalt der Daten in einem geeigneten Format
b. Übermittlung der Daten an eine andere
verantwortliche Person durch die betroffene
Person
c. Direkte Übermittlung der Daten an eine dritte
Person durch die verantwortliche Person
4. Einschränkung des Anspruchs bei Beeinträchtigung der
Rechte und Freiheiten anderer Personen
5. Zwischenergebnis
iii. Art 15 DSGVO
1. Entwicklungsgeschichte
2. Voraussetzungen
3. Inhalt des Anspruchs
a. Allgemeines Auskunftsrecht
b. Recht auf eine Datenkopie
4. Einschränkung des Anspruchs bei Beeinträchtigung der
Rechte und Freiheiten anderer Personen
5. Zwischenergebnis
i. Relevante Geschäftsmodelle
1. Geschäftsmodelle
2. Betroffene Daten
3. Betroffene Grundrechte
4. Interessensabwägung im Einzelfall
20
5. Zwischenergebnis
6. Kriterien für Interessensabwägungen im Einzelfall
ii. Ergebnisse
E. Zusammenfassung der Ergebnisse und Rückschlüsse auf Hypothese
F. Literaturverzeichnis
8. Vorläufiger Zeitplan
SS
2017
WS
2017/2018
SS
2018
WS
2018/2019
SS
2019
WS
2019/2020
SS
2020
WS
2020/2021
SS
2021
VO Juristische
Methodenlehre
x
Themensuche,
Literaturrecherche
x x
SE aus Europarecht x
Erstellung des Exposés x x
SE zur Vorstellung des
Disserationsvorhabens
x
Abfassung der Dissertation x x x x
SE aus Europarecht x
Weiteres Seminar x
Fertigstellung und Abgabe
der Arbeit
x
Öffentliche Defensio x
21
9. Vorläufiges Literaturverzeichnis
- Ann, Know-how - Stiefkind des Geistigen Eigentums? GRUR 2007, 39.
- Aplin, Trading Data in the Digital Economy: Trade Secrets Perspective in
Lohsse/Schulze/Staudenmayer (Hrsg), Trading Data in the Digital Economy: Legal Concepts and
Tools. Münster Colloquia on EU Law and the Digital Economy (2017) 59-72.
- Art 29-Datenschutzgruppe, Guidelines on the right to "data portability", abrufbar unter:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233 (zuletzt abgefragt
am 19. 2. 2019).
- Calliess/Ruffert (Hrsg), EUV/AEUV Kommentar, 5. Auflage 2016.
- Cebulla, Umgang mit Kollateraldaten - Datenschutzrechtliche Grauzone für verantwortliche
Stellen, ZD 2015, 507.
- Dorner, Know-how-Schutz im Umbruch. Rechtsdogmatische und informationsökonomische
Überlegungen (2013).
- Feiler/Forgó, EU-Datenschutz-Grundverordnung (2017).
- Forgó, My health data – your research: some preliminary thoughts on different values in the
General Data Protection Regulation, International Data Privacy Law, 2015, Vol 5, No 5, 54.
- Frenz, Handbuch Europarecht. Band 4: Europäische Grundrechte (2009).
- Grabitz/Hilf (Hrsg), Das Recht der Europäischen Union, 40. Auflage 2009.
- Grützner/Jakob (Hrsg), Compliance von A-Z, 2. Auflage 2015, abrufbar unter: https://beck-
online.beck.de/?vpath=bibdata/lex/GruetznerJakobLexC_2/cont/GruetznerJakobLexC.Metad
aten.htm (abgefragt am 19. 2. 2019).
- Harte-Bavendamm/Henning-Bodewig (Hrsg), Gesetz gegen den unlauteren Wettbewerb
(UWG). Kommentar, 4. Auflage 2016.
- Hauschka/Moosmayer/Lösler (Hrsg), Corporate Compliance. Handbuch der
Haftungsvermeidung im Unternehmen, 3. Auflage 2016.
- Heermann/Schlingloff (Hrsg), Münchener Kommentar zum Lauterkeitsrecht. Band II, 2. Auflage
2014.
- Hoeren/Sieber/Holznagel (Hrsg), Handbuch Multimedia-Recht (Stand: 46. EL Januar 2018).
- Jarass, Charta der Grundrechte der Europäischen Union, 3. Auflage 2016.
- Jaspers, Die EU-Datenschutz-Grundverordnung. Auswirkungen der EU-Datenschutz-
Grundverordnung auf die Datenschutzorganisation des Unternehmens, DuD 2012, 573.
- Jülicher/Röttgen/ v Schönfeld, Das Recht auf Datenübertragbarkeit – ein
datenschutzrechtliches Novum, ZD 2016, 358.
- Klink-Straub/Straub, Vernetzte Fahrzeuge – portable Daten. Das Recht auf
Datenübertragbarkeit gem. Art. 20 DS-GVO, ZD 2018, 459.
22
- Köhler/Bornkamm/Feddersen (Hrsg), Beck'sche Kurzkommentare: Gesetz gegen den
unlauteren Wettbewerb, 36. Auflage 2018.
- Körber, „Ist Wissen Marktmacht?“ Überlegungen zum Verhältnis von Datenschutz,
„Datenmacht“ und Kartellrecht – Teil 1, NZKart 2016, 303.
- Körber, „Ist Wissen Marktmacht?“ Überlegungen zum Verhältnis von Datenschutz,
„Datenmacht“ und Kartellrecht – Teil 2, NZKart 2016, 348.
- Krügel, Das personenbezogene Datum nach der DS-GVO. Mehr Klarheit und Rechtssicherheit?
ZD 2017, 455.
- Kucsko, Geistiges Eigentum (2017).
- Kühling/Buchner (Hrsg), Datenschutz-Grundverordnung/BDSG. Kommentar, 2. Auflage 2018.
- Lohsse/Schulze/Staudenmayer, Introduction, in Lohsse/Schulze/Staudenmayer (Hrsg), Trading
Data in the Digital Economy: Legal Concepts and Tools. Münster Colloquia on EU Law and the
Digital Economy (2017) 13-24.
- Lynskey, Aligning Data Protection Rights with Competition Law Remedies? The GDPR Rights to
Data Portability, EL Rev 2017, 793.
- Max-Planck-Institut für Innovation und Wettbewerb, Stellungnahme vom 3. Juni 2014 zum
Vorschlag der Europäischen Kommission für eine Richtlinie über den Schutz vertraulichen
Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor
rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung vom 28.11.2013, COM
(2013) 813 final (abrufbar unter:
https://www.ip.mpg.de/fileadmin/ipmpg/content/stellungnahmen/stellungnahme-
geschaeftsgeheimnisse_2014-05-12_final_7.pdf [zuletzt abgefragt am 19. 2. 2019]).
- McGuire, Der Schutz von Know-how im System des Immaterialgüterrechts. Perspektiven für
die Umsetzung der Richtlinie über Geschäftsgeheimnisse, GRUR 2016, 1000.
- McGuire, Know-how: Stiefkind, Störenfried oder Sorgenkind? GRUR 2015, 424.
- Ohly, Der Geheimnisschutz im deutschen Recht: heutiger Stand und Perspektiven, GRUR 2014,
1.
- Paal/Hennemann, Big Data im Recht. Wettbewerbs- und daten(schutz)rechtliche
Herausforderungen, NJW 2017, 1697.
- Paal/Pauly (Hrsg), Beck’sche Kompakt-Kommentare. Datenschutz-Grundverordnung.
Bundesdatenschutzgesetz, 2. Auflage 2018.
- Stoykova, The right to Data Portability as a Market Tool, CRi 2/2018, 44.
- Strubel, Anwendungsbereich des Rechts auf Datenübertragbarkeit. Auslegung des Art. 20 DS-
GVO unter Berücksichtigung der Guidelines der Art. 29-Datenschutzgruppe, ZD 2017, 355.
23
- Ummenberger-Zierler, Schutz von betrieblichem Know How in Europa - die EU-
Harmonisierungsrichtlinie im Vergleich zur Rechtslage in den USA, in Staudegger/Thiele (Hrsg),
Jahrbuch Geistiges Eigentum 2017, 349.
- Wagner, Der Datenschutz in der Europäischen Union (2015).
- Weichert, Big Data und Datenschutz – Chancen und Risiken einer neuen Form der
Datenanalyse, ZD 2013, 251.
- Wendehorst, Die Digitalisierung und das BGB, NJW 2016, 2609.
- Wendehorst, Of Elephants in the Room and Paper Tigers: How to Reconcile Data Protection
and the Data Economy, in Lohsse/Schulze/Staudenmayer (Hrsg), Trading Data in the Digital
Economy: Legal Concepts and Tools. Münster Colloquia on EU Law and the Digital Economy
(2017) 327-355.
- Wendehorst/Graf v Westphalen, Das Verhältnis zwischen Datenschutz-Grundverordnung und
AGB-Recht, NJW 2016, 3745.
- Wolf, Der Schutz des Betriebs- und Geschäftsgeheimnisses. Verfassungsrechtliche Grundlagen
und Ausgestaltung in den modernen Informationszugangsgesetzen (2015).
- Wolff/Brink (Hrsg), BeckOK Datenschutzrecht, 26.Edition 2018.