Geheimnisschutz: Passwortweitergabe zu Datenbank als Rechtsbruch

LG Nürnberg zur vertraglichen und geschäftsgeheimnisrechtlichen Bewertung von Datenbankzugängen: Mit Urteil vom 27. Dezember 2024 (Az. 19 O 556/24) hat das Landgericht Nürnberg-Fürth grundlegende Klarstellungen zur rechtlichen Einordnung der Weitergabe von Zugangsdaten zu einem professionellen Datenbankdienst getroffen.

Im Zentrum der Entscheidung stehen die vertragliche Pflicht zur Geheimhaltung, der Schutz von Passwörtern und Datenbankinhalten als sowie die Abgrenzung zur urheberrechtlichen Sphäre. Für Anbieter datenbasierter Dienstleistungen, aber auch für Unternehmen mit lizenzierten Fremdsystemen ist das Urteil von hoher praktischer Relevanz, da es eine fundierte dogmatische Verbindung zwischen BGB, GeschGehG und UrhG zieht – und dabei zugleich deutlich macht, dass vertragliche Nebenpflichten mehr sind als bloße Formalien.

Vertragliche Nebenpflichten als Grundlage für Unterlassung

Ein zentrales Ergebnis der Entscheidung ist die Klarstellung, dass die Verletzung vertraglicher Nebenpflichten nach § 280 Abs. 1 BGB nicht nur zu einem Schadensersatzanspruch führen kann, sondern – unter den Bedingungen von Wiederholungs- oder Erstbegehungsgefahr – auch einen rechtfertigt. Das Gericht stützt sich hierbei auf die ständige Rechtsprechung des Bundesgerichtshofs und überträgt sie auf einen Fall, in dem Zugangsdaten zu einer kostenpflichtigen, geschlossenen an konzernexterne Mitarbeiter weitergegeben wurden.

Die Beklagte hatte sich darauf berufen, dass kein Vertragsverstoß vorliege, da die Nutzer dem Konzernverbund angehörten und keine Mehrnutzung über die lizenzierten zehn Zugänge hinaus erfolgt sei. Das LG Nürnberg erkannte jedoch zu Recht, dass eine passwortbasierte Autorisierung immer auch an die personalisierte Berechtigung gebunden ist – und dass Mitarbeiter anderer Konzerngesellschaften nicht automatisch als zur Nutzung befugt gelten, auch wenn sie in gemeinsamen Teams arbeiten.

Offenlegung von Geschäftsgeheimnissen durch Weiterleitung an private Mail?

Passwörter als geschützte Information

Hervorzuheben ist die Feststellung des Gerichts, dass auch Passwörter dem Schutzbereich des Geschäftsgeheimnisschutzgesetzes unterfallen. In seiner Begründung verweist das Gericht darauf, dass individuell vergebene Passwörter eine Information im Sinne des § 2 Nr. 1 GeschGehG darstellen, da sie geheim sind, wirtschaftlichen Wert verkörpern und angemessen gegen unbefugten Zugriff geschützt werden.

Dass Zugangsdaten nicht den inhaltlichen Kern der Datenbank selbst betreffen, steht ihrer Schutzfähigkeit nicht entgegen – im Gegenteil: Der wirtschaftliche Wert eines Passworts liegt gerade in seiner Exklusivität. Diese Auslegung stärkt den Geheimnisschutz technischer Zugangsinfrastrukturen und trägt der Realität digitaler Geschäftsmodelle Rechnung, in denen der Zugang selbst bereits eine ökonomische Ressource darstellt.

Datenbanknutzung und Geschäftsgeheimnisqualität

Besonders bedeutsam ist der Umstand, dass das Gericht auch die Datenbank als solche dem Schutzbereich des GeschGehG zuordnet – obwohl diese mehreren Dutzend Kunden gegen Entgelt zur Verfügung gestellt wird. Der Einwand, eine Information verliere ihre Geheimnisqualität durch vertraglich geregelten Zugang Dritter, wurde ausdrücklich verworfen. Maßgeblich sei nicht, ob eine Information „absolut geheim“ ist, sondern ob sie außerhalb des Vertragsverhältnisses nur mit erheblichem Aufwand erlangbar wäre.

Da der Kläger die Lizenzvergabe strikt kontrolliert und vertraglich abgesichert hatte, war der Schutzstandard nach Auffassung der Kammer erfüllt. Dieses Verständnis macht deutlich: Auch kommerzialisierte Inhalte können Geschäftsgeheimnisse bleiben, solange ihre Nutzung reglementiert ist und die Strukturierung des Materials über bloße Sammlung hinausgeht.

Keine Urheberrechtsverletzung durch Passwortweitergabe

Abgegrenzt wurde der Fall vom urheberrechtlichen Schutz der Datenbank. Obwohl diese als Sammlung im Sinne des § 87a UrhG urheberrechtlich geschützt sein kann, sah das Gericht in der Weitergabe der Passwörter keine Vervielfältigung, Verbreitung oder öffentliche Wiedergabe der Datenbank im Sinne des § 87b UrhG.

Die Nutzung durch zwei weitere konzerninterne Personen begründe keine „Öffentlichkeit“ im urheberrechtlichen Sinn, und die bloße Zugriffsgewährung führe nicht automatisch zur urheberrechtlich relevanten Vervielfältigung der gesamten Datenbank oder wesentlicher Teile davon. Diese Differenzierung ist aus Sicht der Praxis hilfreich, da sie deutlich macht: Der bloße Kontrollverlust über Zugangsdaten kann zwar vertraglich und geschäftsgeheimnisrechtlich schwer wiegen, führt jedoch nicht automatisch in die urheberrechtliche Haftungssphäre – sofern keine systematische Kopie oder Weitergabe der Inhalte erfolgt.

Für die Praxis ist besonders hervorzuheben, dass der Schutz vertraglich vergebener Zugangsdaten nicht bloß deklaratorischer Natur ist, sondern bei Pflichtverstößen durchaus zu konkreten Unterlassungs-, Auskunfts- und Schadensersatzansprüchen führen kann. Wer Dritten – auch innerhalb eines Konzernverbundes – Zugang zu geschützten Systemen gewährt, ohne dies vertraglich abzusichern, riskiert weitreichende juristische Konsequenzen.

Ergebnis

Die Entscheidung des LG Nürnberg-Fürth verknüpft vertragliches Haftungsrecht, das moderne Verständnis von Geschäftsgeheimnissen und die dogmatische Begrenzung des Urheberrechtsschutzes in bemerkenswerter Klarheit. Die Quintessenz dieser Entscheidung lautet wohl: In unserer digitalisierten Vertragsrealität sind Zugangsdaten keine technischen Nebensächlichkeiten – sie sind juristisch schutzwürdige Informationseinheiten mit eigenem wirtschaftlichen Wert.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.