Nach einer Darstellung der Problematik (I.) erörtert der Beitrag, ob es zumindest einen gesetzlichen Zwang zum entsprechenden Schutz auf Grundlage des GeschGehG gibt (II.). Im Anschluss hieran wird der Frage nachgegangen, ob und inwieweit vertragliche Pflichten zum entsprechenden Schutz von vertraglich erlangten Daten bestehen (III.). In diesem Rahmen können sich Schutzpflichten als Hauptpflicht (III.1.) oder als Nebenpflicht darstellen (III.2.), wobei deren genauer Umfang ungeklärt ist (III.3.), was daher bei der Vertragsgestaltung berücksichtigt werden sollte (III.4.).

I. Hintergrund

II. Gesetzlicher Schutz nach GeschGehG

III. Vertragliche Pflichten zum Schutz von Daten

1. Pflicht zum Schutz als Hauptpflicht des Vertrages

2. Pflicht zum Schutz als Nebenpflicht des Vertrages

3. Umfang der Nebenpflicht zur Datensicherheit

4. Folgen für die Vertragsgestaltung


I. Hintergrund
1
Daten, die nicht als personenbezogen dem Recht des Datenschutzes unterfallen, gelten schon geraume Zeit als das neue Gold, nur der Rausch ist bisher ausgeblieben, soweit man nicht das Rauschen im juristischen Blätterwald dazu zählen möchte. Ungeachtet der Frage, welchen Schutz Daten denn nun de lege ferenda genießen sollen, spielen sie natürlich in der vertraglichen Praxis eine Rolle. Dort tragen sie schon seit langem Namen wie „Information“ oder „Geheimnis“ und sie werden immer wichtiger. Da Daten keinen mit Eigentumsrechten o.Ä. vergleichbaren (zumal absoluten) Schutz besitzen, ist es umso wichtiger, dass sie nach der Herausgabe an einen Vertragspartner dort auch entsprechend gesichert werden. Diese Datensicherheit wird in der vertraglichen IT-Praxis nur selten berücksichtigt und noch seltener ausdrücklich geregelt.

2
De lege lata sind Daten nur teilweise, mal hier (etwa im Strafrecht, §§ 303a ff. StGB) oder mal da (z.B. durch die DSGVO), geschützt. Einigkeit dürfte dahingehend bestehen, dass sie wie Software kraft fehlender Sachqualität i.S.d. § 90 BGB nicht dem Eigentumsrecht unterfallen. Ob man sie gleichwohl dem Besitzrecht unterwirft oder zumindest ein sonstiges Recht i.S.d. § 823 BGB annimmt, kann hier dahingestellt bleiben. Gesichert dürfte lediglich sein, dass vieles dafür spricht, dass das Generieren von Daten ausschließlich eine faktische Hoheitsposition ohne weitergehende Rechte schafft, zumindest soweit sie nicht dem GeschGehG unterfallen. In vielen Verträgen, bei denen Daten eine wesentliche Rolle spielen, werden daher Daten-“Ownership“-Klauseln und Ähnliches vereinbart.

3
Neben dem Begriff des Datums gibt es auch noch die Bezeichnungen „Information“ und „Geheimnis“: Eine „Information“ ist Wissen über einen bestimmten Sachverhalt oder Unterrichtung über eine bestimmte Sache, sie kann flüchtig (etwa in mündlicher Form mitgeteilt) oder (in einem Brief) perpetuiert sein, geheim oder nicht geheim sein und wird im Sprachgebrauch häufig auch als allgemeine Bezeichnung für Daten benutzt. Ein „Geheimnis“ wird dann zum Datum, wenn es manifestiert wird, sei es digital (etwa in einer E‑Mail), sei es analog (etwa auf einem Papier). Daten im Bereich IT-Recht sind elektronisch gespeicherte Zeichen, Angaben und Informationen. Anders gewendet: für die Belange der EDV sind Daten als maschinenlesbar codierte Informationen zu definieren, sie können also von Maschinen (EDV bzw. IT) verarbeitet werden.

4
Betrachtet man vor diesem Hintergrund die in der IT vorhandenen Datenkategorien, ergibt sich folgendes Bild:

• Geht es um Informationen, die perpetuiert sind, handelt es sich um Daten.
• Ermöglichen diese Daten die Identifikation einer natürlichen Person, handelt es sich um personenbezogene Daten i.S.d. DSGVO.
• Die Information, die – neben anderen Erfordernissen nach § 2 Ziff. 1 GeschGehG – nicht allgemein bekannt oder ohne weiteres zugänglich und daher von wirtschaftlichem Wert ist, ist ein Geschäftsgeheimnis.
• Ungeachtet dieser Definition des GeschGehG können die Parteien in einem Vertrag, etwa einer Vertraulichkeitsvereinbarung (NDA) oder einer Vertraulichkeitsklausel, weitere Informationen oder Daten zu Geschäftsgeheimnissen erklären.

5
Die nachfolgenden Ausführungen wenden sich nach einer kurzen Analyse des GeschGehG dem vertraglichen Schutz von solchen Daten zu, die nicht dem Schutz von ...