OLG Schleswig: Angemessene Geheimhaltungsmaßnahmen bei E-Mail-Kommunikation
Angemessene Geheimhaltungsmaßnahmen bei E-Mail-Kommunikation – Solche müssen vorliegen, damit die in der E-Mail-Kommunikation enthaltenen Informationen als Geschäftsgeheimnis im Sinne des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) eingestuft werden.
In einem umfangreichen Rechtsstreit hat das OLG Schleswig in seinem Urteil vom 28. April 2022 (Az.: 6 U 39/21) unter anderem auch zu den technischen Schutzvoraussetzungen, bezogen auf den Streitfall, Stellung genommen.
Angemessene Geheimhaltungsmaßnahmen bei E-Mail-Kommunikation – Ansicht des Gerichts
Das Gericht äußert sich in den Entscheidungsgründen unter anderem wie folgt:
„…Zur physischen Absicherung der Teil-Kostenrechnung vor unbefugtem Zugriff hat die Klägerin vorgetragen, dass die Computer und Netzwerke aller Beteiligten – der Klägerin, der L-ltd. und der Kanzlei – durch übliche Schutzmaßnahmen wie namentlich Passwörter und Firewalls geschützt seien. Auf die Postfächer M. K.s und U. N.s hätten nur diese selbst Zugriff. Nur Berechtigte könnten auf die Daten im Benutzerprofil zugreifen….Das Landgericht hat das Schutzniveau für ausreichend erachtet. Es sei erwiesen, dass die mobilen Endgeräte mit einem Bitlocker gegen den Zugriff Unberechtigter geschützt gewesen seien. Die E-Mail-Postfächer und die (hier nicht verwendete) zentrale Dateiablage seien rechtegesteuert. Zugriffsrechte würden nur auf genehmigten Antrag erteilt….Gegen diese Feststellung wendet sich die Berufung nicht. Die Beklagte hält die Schutzmaßnahmen jedoch weiterhin nicht für ausreichend. Es handele sich um Standard-IT-Sicherheitsmaßnahmen. Zusätzliche Schutzmaßnahmen für die fraglichen Daten habe es nicht gegeben. Die Beklagte verweist noch einmal darauf, dass die TLS-Verschlüsselung standardmäßig bei allen herkömmlichen E-Mail-Anbietern zur Anwendung komme….
Die nachgewiesenen technischen Schutzmaßnahmen sind ausreichend. Die Beklagte räumt selbst ein, dass die Maßnahmen dem Standard entsprechen. Damit waren die Daten jedenfalls in standardmäßigem Niveau vor dem Zugriff Unbefugter gesichert. Nicht einmal im Vertretungsfall konnte auf die bei M. K. und U. N. hinterlegten Daten zurückgegriffen werden, wie beide – in der Berufung nicht angegriffen – in der mündlichen Verhandlung vor dem Landgericht erklärt haben. Für eine darüber hinausgehende Sicherung bestand kein Anlass. Die Gefährdungslage war gering. Es gab keinen Grund zu der Befürchtung, dass Dritte nach diesen Daten suchen könnten. Allenfalls die Beklagte hätte vermuten können, dass die Klägerin Betriebsinterna dieser Art zur Erfüllung der ausgeurteilten Auskunftspflicht zusammentrage. Es ist auch nichts dazu bekannt, dass die Klägerin Anlass zu der Annahme hatte, dass die Daten nicht geschützt seien. Im Gegenteil hat der Zeuge R. ausweislich der Sitzungsniederschrift bekundet, dass regelmäßig nach „Schwachstellen“ gesucht werde. Das Vorliegen von Cyberangriffen werde regelmäßig geprüft, Auffälligkeiten habe es keine gegeben. Die Klägerin durfte sich auch auf die TLS-Verschlüsselung im E-Mail-Verkehr verlassen. Im Verfügungsverfahren hat auch die Beklagte zugestanden, dass es sich bei der TLS-Verschlüsselung um ein seit Jahren weitverbreitetes Standardprotokoll handele. Zwar wird für die Versendung besonders sensibler Daten die Ende-zu-Ende-Verschlüsselung empfohlen. Indes waren die Daten zwar schutzbedürftig, aber bei Weitem nicht von höchstem Schutzwert. Auch war nicht konkret mit Internetangriffen Dritter an den Knotenpunkten der Versendung zu rechnen; dies aber ist gerade der besondere Schutz, den die Ende-zu-Ende-Verschlüsselung gegenüber der TLS-Verschlüsselung bietet. Unter diesen Umständen war die Wahl eines gängigen Verschlüsselungsprogramms ausreichend. Ein Vergleich mit der Entscheidung des Bundesgerichtshofs zu dem Sicherungsniveau, das im elektronischen Anwaltsverkehr erwartet werden kann, bestätigt diese Bewertung. Die Bundesrechtsanwaltskammer hat ihren Mitgliedern ein besonderes elektronisches Postfach bereitzustellen, das eine sichere Kommunikation gewährleistet. Der Bundesgerichtshof hat entschieden, dass der Bundesrechtsanwaltskammer ein Spielraum bei der Wahl des Systems für die Sicherheit der Datenübermittlung zustünde. Aus keiner gesetzlichen Vorgabe lasse sich die Verpflichtung herleiten, dass dies durch eine Ende-zu-Ende-Verschlüsselung geschehen müsse (BGH NJW 2021, 2206, s. nur Rnrn. 39, 40, 47). Wenn dies schon zur Gewährleistung eines sicheren Übermittlungswegs, der zum Schriftverkehr mit dem Gericht zugelassen ist (§ 130a Abs. 3, Abs. 4 S. 1 Nr. 2 ZPO), nicht zwingend erforderlich ist, konnte dies in der Kommunikation der Beteiligten hier erst recht nicht gefordert werden. Die Einschätzung der Klägerin, dass es einer Ende-zu-Ende-Verschlüsselung nicht bedurfte, ist vielmehr mit den Vorgaben des Bundesgerichtshofs für die Wahl des Sicherungsmittels in Einklang zu bringen. Der Bundesgerichtshof hat ausgeführt, dass bei der elektronischen Kommunikation immer Risiken blieben. Das gewählte Übermittlungssystem müsse einen Sicherheitsstandard erreichen, bei dem unter Berücksichtigung der Funktionalität nach dem Stand der Technik die Übermittlung voraussichtlich störungs- und gefahrfrei erfolgt und Risiken für die Vertraulichkeit möglichst weitgehend ausgeschlossen würden. Die für die Sicherheitsbeurteilung erforderliche Risikoermittlung und -bewertung bedinge stets eine Prognose über mögliche künftige Bedrohungen und deren Eintrittswahrscheinlichkeit und beinhalte somit auch unvermeidbare Unsicherheiten (BGH NJW 2021, 2206, 2212 Rnrn. 68 f). Wie erwähnt, bestand hier kein Anlass zu der Befürchtung, dass Dritte nach den übermittelten Daten suchen könnten. In einem solchen Fall konnten sich die Beteiligten nach pflichtgemäßen Ermessen der Standardverschlüsselungstechnik für die Datenübertragung bedienen….“
