Das Zür­cher Han­dels­ge­richt hat­te im rechts­kräf­ti­gen Urteil HG150185-O vom 15. Mai 2017 über das fol­gen­de Rechts­be­geh­ren zu befin­den:

1a. Es sei die Beklag­te zu ver­pflich­ten, sämt­li­che auf ihrem Ser­ver gespei­cher­ten Daten der Klä­ge­rin auf einem Daten­trä­ger in einem Stan­dard­for­mat an die Klä­ge­rin her­aus­zu­ge­ben;

1b. Even­tua­li­ter sei die Beklag­te zu ver­pflich­ten, der Klä­ge­rin auf eige­ne Kosten die Schnitt­stel­len bekannt zu geben, um die Daten für die Klä­ge­rin les­bar und über­trag­bar zu machen;

2. Die Beklag­te sei zu ver­pflich­ten, die­se Daten nach Her­aus­ga­be an die Klä­ge­rin auf ihrem Ser­ver sowie gege­be­nen­falls auf ande­ren Daten­trä­gern, auf wel­che die Beklag­te Zugriff hat, umfas­send, unwi­der­ruf­lich und nach­weis­lich (Bestä­ti­gung durch SAP-Spe­zia­list) zu löschen;

3. Die Beklag­te sei zu ver­pflich­ten, der Klä­ge­rin mit­tels Zugriffs­pro­to­kol­len und/oder ande­rer Doku­men­te, wel­che Zugrif­fe auf die Daten der Klä­ge­rin im G._____-System auf­zei­gen und gege­be­nen­falls mit­tels Bei­zu­ges eines SAP-Exper­ten, Rechen­schaft über ihre Pflich­ten hin­sicht­lich Daten­schut­zes gemäss Ver­ein­ba­rung und Daten­schutz­ge­setz abzu­le­gen.

alles unter Kosten- und Ent­schä­di­gungs­fol­gen inkl. der gesetz­li­chen Mehr­wert­steu­er von 8 % zu Lasten der Beklag­ten.”

Hintergrund war folgender Sachverhalt:

  • Streit zwi­schen einem Rei­se­bü­ro (Klä­ge­rin) und einem grö­sse­ren Schwei­zer Rei­se­an­bie­ter (Beklag­te);
  • das Rei­se­bü­ro arbei­te­te wäh­rend län­ge­rer Zeit mit einem auf SAP basie­ren­den Buchungs­sy­stem der Beklag­ten, wobei die von der Klä­ge­rin ein­ge­ge­be­nen Daten auf den Ser­vern der Beklag­ten gespei­chert wur­den.
  • Der zugrun­de lie­gen­de Ver­trag wur­de 2013 im Rah­men eines gericht­li­chen Ver­gleichs auf­ge­löst, wor­auf die Klä­ge­rin wäh­rend einer bestimm­ten Zeit zwar kei­ne Muta­tio­nen mehr vor­neh­men, aber auf das System und ihre Daten zugrei­fen konn­te. Die Klä­ge­rin expor­tier­te dar­auf die bei der Beklag­ten gespei­cher­ten struk­tu­rier­ten Daten; in Bezug auf unstruk­tu­rier­te Daten war der Export in einem Stan­dard­for­mat jedoch nicht mög­lich.
  • Der Ver­trag zwi­schen den Par­tei­en äusser­te sich nicht expli­zit zur Fra­ge der Daten­mi­gra­ti­on bei Ver­trags­be­en­di­gung.

Die Klä­ge­rin ver­lang­te in der Fol­ge kla­ge­wei­se die Her­aus­ga­be und anschlie­ssen­de Löschung aller Daten, die sie bei der Beklag­ten gespei­chert hat­te, und Rechen­schaft über den Zugriff auf die­se Daten.

Zum Herausgabeanspruch:

Zum Her­aus­ga­be­an­spruch erwog das HGer:

  • Ein “Show”-Modus, bei dem gespei­cher­te Daten ledig­lich ange­zeigt wer­den, ist nicht als Rege­lung der Daten­mi­gra­ti­on aus­zu­le­gen.
  • Ein ASP-Ver­trag, der sich nicht zur Daten­mi­gra­ti­on äussert, ist lücken­haft.
  • Bei Daten, die wirt­schaft­lich der Lizenz­neh­mer in zuste­hen, jedoch im Macht­be­reich der Anbie­te­rin gespei­chert sind, bestehen “ins­be­son­de­re Par­al­le­len zum Hin­ter­le­gungs­recht”, “bei wel­chem Art. 475 Abs. 1 OR dem Hin­ter­le­ger einen jeder­zei­ti­gen zwin­gen­den Rück­for­de­rungs­an­spruch gewährt”. Dem­nach bestün­de aber kei­ne Pflicht der Anbie­te­rin, die Daten auf einem Trä­ger zu spei­chern und der Lizenz­neh­mer in aus­zu­hän­di­gen, und die Lizenz­neh­me­rin hät­te die Kosten der Daten­her­aus­ga­be zu bezah­len. Das Hin­ter­le­gungs­recht kann jedoch (eben­so wie miet­be­zie­hungs­wei­se Pacht­recht und Auf­trags­recht) nicht ohne wei­te­res her­an­ge­zo­gen wer­den, weil es sich bei Daten nicht um Sachen han­delt.
  • Zu ermit­teln ist daher der hypo­the­ti­sche Wil­le red­li­cher Par­tei­en. Die­se hät­ten eine der bei­den fol­gen­den Vari­an­ten gewählt: (1) Die Lizenz­neh­me­rin ist ver­pflich­tet, ihre Daten selbst­stän­dig zu über­neh­men, unstruk­tu­rier­te Daten manu­ell. (2) Die Anbie­te­rin ist ver­pflich­tet, auch die unstruk­tu­rier­ten Daten in einem Stan­dard­for­mat her­aus­zu­ge­ben, hat aber Anspruch auf Kosten­er­satz für die Trans­for­ma­ti­on und Her­aus­ga­be der Daten.
  • Im kon­kre­ten Fall war davon aus­zu­ge­hen, dass mit so hohen Trans­for­ma­ti­ons- und Her­aus­ga­be­ko­sten zu rech­nen war, dass die Par­tei­en die erste Vari­an­te gewählt hät­ten (Daten­zu­griff, im kon­kre­ten – inso­fern aber kaum ver­all­ge­mei­ner­ba­ren – Fall wäh­rend drei­er Mona­te; Sup­port durch die Anbie­te­rin):

    Zusam­men­fas­send kann damit fest­ge­hal­ten wer­den, dass die Klä­ge­rin auf­grund des ergänz­ten G._____ Part­ner Ver­tra­ges einen ver­trag­li­chen Anspruch dar­auf hat, ihre Daten bei Ver­trags­be­en­di­gung auf eige­ne Kosten selbst zu behän­di­gen. Dazu hat ihr die Beklag­te für drei Mona­te ab Rechts­kraft des Urteils die Daten­über­nah­me zu ermög­li­chen, indem sie ihr auf Kosten der Klä­ge­rin ent­spre­chend Zugang zu den Daten gewährt (z.B. im Show Modus; die Infor­ma­tio­nen müs­sen direkt elek­tro­nisch ver­ar­beit­bar sein) und – soweit nötig – Sup­port lei­stet, dies alles zu den im Zeit­punkt der Ver­trags­be­en­di­gung gül­ti­gen ver­trag­li­chen Kon­di­tio­nen und system­tech­ni­schen Gege­ben­hei­ten. Ein Recht auf eine Trans­for­ma­ti­on der Daten mit anschlie­ssen­der Her­aus­ga­be auf einem Daten­trä­ger steht der Klä­ge­rin dage­gen nicht zu.

Zum Löschanspruch:

Zum Lösch­an­spruch erwog das HGer:

  • Der Ver­trag ist in Bezug auf den Lösch­an­spruch nicht lücken­haft, weil sei­ne Aus­le­gung ergibt, dass kein Löschungs­an­spruch besteht. Dies lei­tet das HGer ZH dar­aus ab, dass die Rech­te und Pflich­ten der Par­tei­en im Zusam­men­hang mit über­mit­tel­ten Daten auch nach Ver­trags­be­en­di­gung gel­ten sol­len; es müs­se folg­lich Daten geben, die bei der jewei­li­gen Gegen­par­tei ver­blei­ben.
  • Daten­schutz­recht­lich besteht kein Lösch­an­spruch, weil die wei­te­re Spei­che­rung der Daten durch die Anbie­te­rin zumin­dest vor­läu­fig – bis geklärt ist, ob die Klä­ge­rin die Daten behän­di­gen will – nicht wider­recht­lich ist.

Zum Anspruch auf Rechenschaft:

Zum Anspruch auf Rechen­schaft erwog das HGer:

  • Eine ver­trag­li­che Grund­la­ge für einen Rechen­schafts­an­spruch besteht nicht. Art. 400 Abs. 1 OR ist weder direkt noch ana­log anwend­bar. Ins­be­son­de­re ist der Ver­trag dies­be­züg­lich nicht lücken­haft, weil die Par­tei­en im Rah­men der im kon­kre­ten Fall als abschlie­ssend zu ver­ste­hen­den Rege­lung der Daten­si­cher­heit kei­ne Pflicht ver­ein­bart haben, mit­tels Zugriffs­pro­to­kol­len oder Berich­ten oder unter Bei­zug eines SAP Exper­ten Rechen­schaft über den Zugriff auf die Daten abzu­le­gen.
  • Auch daten­schutz­recht­lich ist Rechen­schaft nicht geschul­det. Art. 15 DSG sieht kei­ne ent­spre­chen­de Pflicht vor, und es ist frag­lich (kann im kon­kre­ten Fall aber offen­blei­ben), ob Art. 8 DSG (Aus­kunfts­an­spruch) einen ent­spre­chen­den Anspruch ver­leiht.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.