Seit 26.04.2019 ist in Deutschland das Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten, welches die EU-Richtlinie 2016/943 umsetzt. Geschäftsgeheimnisse waren zwar schon bisher durch das Gesetz gegen den unlauteren Wettbewerb (UWG) und das BGB geschützt. Diese Regelungen reichten allerdings nicht aus, um den von der EU-Richtlinie geforderten Mindeststandard sicherzustellen. Durch das neue Geschäftsgeheimnisgesetz ändert sich die Rechtslage nunmehr zu Ungunsten der Geheimnisinhaber. Was sich verändert hat und welche Schutzvorkehrungen Unternehmer treffen sollten, skizziert im Folgenden THEOPARK-Partner Alexander Saueracker.

Was hat sich verändert?

Bisher wurden Geschäfts- und Betriebsgeheimnisse, also z.B. technisches Wissen wie Know-How, Rezepturen oder interne Abläufe sowie wirtschaftlich und kaufmännische Informationen wie Kundenlisten, Umsatzzahlen oder Unternehmensstrategien, im Gegensatz zu Patenten und anderen gewerblichen Schutzrechten, die anderweitig spezialgesetzlich gesichert werden, vor allem durch das Gesetz gegen unlauteren Wettbewerb (UWG) geschützt. Ein rechtlich geschütztes Geschäftsgeheimnis lag danach vor, wenn beim Geheimnisinhaber ein Wille zur Geheimhaltung bestand. Die Existenz eines solchen Willens wurde vermutet und musste also nicht durch Geheimhaltungsmaßnahmen dokumentiert oder anderweitig bewiesen werden.

Dies hat sich durch Inkrafttreten des Geschäftsgeheimnisgesetzes verändert. Der Begriff „Geschäftsgeheimnis“ knüpft nun nicht mehr an den Geheimhaltungswillen an, sondern verlangt vielmehr das Implementieren angemessener Geheimhaltungsmaßnahmen. Ohne Ergreifung solcher Maßnahmen (die Beweislast hierfür liegt beim Geheimnisinhaber) sind betriebliche Geheimnisse nicht mehr rechtlich geschützt.

Insofern ist vor allem die neue Definition des Geschäftsgeheimnisses für Unternehmen interessant. Diese umfasst die folgenden drei Voraussetzungen:

Zunächst darf die Information nicht „allgemein bekannt oder ohne Weiteres zugänglich sein“, wodurch vor allem belanglose Informationen ausgeschlossen werden sollen. Dabei verlangt das Gesetz wie auch die Richtlinie, dass sich der wirtschaftliche Wert gerade aus der Nicht-Offenkundigkeit ergeben muss (§ 2 Nr. 1 a). Es muss ein „berechtigtes“ Geheimhaltungsinteresse nachgewiesen werden (§ 2 Nr. 1 c). Schließlich muss der „Inhaber“ angemessene Geheimhaltungsmaßnahmen treffen, also den faktischen Geheimnisschutz sicherstellen, damit die Information insbesondere nicht „allgemein bekannt oder ohne Weiteres zugänglich“ wird (§ 2 Nr. 1 b).

Welche Risiken bestehen für Geheimnisinhaber?

Gefährlich für Geheimnisinhaber ist hierbei v.a. der letzte Punkt. Sollten seitens des Geheimnisinhabers keine angemesenen Geheimhaltungsmaßnahen getroffen werden, so ginge der Geheimnisschutz verloren. Dies könnte zur Folge haben, dass eine Nutzung oder Offenlegung der Geheimnisse durch einen Dritten weder Schadensersatz- oder Unterlassungsansprüche begründen würde noch eine Strafbarkeit des Dritten gegeben wäre. Des Weiteren wäre die Geschäftsleitung einem Haftungsrisiko ausgesetzt, da diese dazu verpflichtet ist, alle zum Wohle der Gesellschaft erforderlichen Maßnahmen zu treffen.

Handlungsmaßnahmen:

Laut § 2 Nr. 1 a) GeschGehG sind „angemessene“ Geheimhaltungsmaßnahmen zu treffen. Die genaue Schwelle für diese Angemessenheit ist jedoch bisher nicht geklärt. Rechtssicherheit werden erst Gerichtsentscheidungen bringen. In der Zwischenzeit sollten Geheimnisinhaber trotzdem bestmögliche Schutzmaßnahmen ergreifen, um zum einen die Geheimniserlangung durch Dritte so schwer wie möglich zu machen und zum anderen sicherzustellen, dass ihr Geheimnis gesetzlichen Schutz genießt.

Entscheidende Kriterien bei der Ermittlung der angemessenen Maßnahmen sind v.a. der Wert des Geheimnisses insgesamt und für das Unternehmen, die Größe des Unternehmens, die Kosten sowie die Üblichkeit der Maßnahmen.

Daher ist folgendes Vorgehen sinnvoll:

- Interne Zuständigkeiten festlegen

- Know-how identifizieren

- Know-how nach wirtschaftlicher Bedeutung bewerten und kategorisieren

- Konkrete Schutzmaßnahmen festlegen

Für Geheimnisinhaber empfiehlt sich, betriebliche Geheimnisse nach deren Bedeutung abzustufen und hieraus ein Schutzkonzept zu entwickeln. Schutzkonzeptentwicklung meint, dass für jede nach wirtschaftlicher Bedeutung festgelegte Know-how-Kategorie bestimmte Schutzmaßnahmen formuliert und ergriffen werden. Je nach Bedeutung des zu schützenden Geheimnisses sind nach Schweregrad abgestufte Maßnahmen zu treffen, die technischer, organisatorischer oder vertraglicher Natur sein können.

Auf technischer Ebene sind u.a. IT-Sicherheitsmaßnahmen denkbar. Intern sollte beispielsweise nur ein begrenzter Personenkreis Zugang zu vertraulichen Daten auf den Servern des Unternehmensintranets haben. Ebenfalls in Betracht kommen heirbei abgestufte Zugriffsberechtigungen, die sicherstellen, dass einzig solche Personen Zugriff auf vertrauliche Informationen haben, die sie zur Erfüllung ihrer Aufgaben benötigen („need-to-know-Struktur“).

Bei der elektronischen Speicherung sowie bei der physischen Aufbewahrung von Geschäftsgeheimnissen ist zu beachten, dass auch gegen Eingriffe von außen entsprechende Sicherungsmaßnahmen zu treffen sind. Dies umfasst die Verschlüsselung von E-Mails und Passwörtern, die regelmäßige Durchführung von Software-Updates sowie die Implementierung eines Sicherheitskonzepts durch bspw. Überwachung.

Daneben ist die Durchführung und Dokumentation von organisatorischen Maßnahmen wie Mitarbeiterschulungen zum Umgang mit vertraulichen Daten und Geschäftsgeheimnissen sinnvoll. Diese sollten durch Compliance-Maßnahmen sowie Arbeits- und Dienstanweisungen ergänzt werden.

Schließlich empfiehlt es sich, bestehende Verträge auf eine angemessene vertragliche Absicherung der Geschäftsgeheimnisse zu überprüfen sowie neu abzuschließende Verträge um eine solche zu erweitern. Hierzu gehören neben Verträgen mit Kooperationspartnern und Dritten insbesondere eigene Arbeitsverträge.

Diese sollten Geheimhaltungsklauseln und –soweit zulässig– Vertragsstrafen als Sanktion enthalten und mit Verschwiegenheitserklärungen verbunden werden. Daneben sind wiederholt Hinweise zu geben, sobald ein Angestellter mit einem Geschätsgeheimnis in Berührung kommt.  Dies kann bspw. durch eine entsprechende Beschriftung der vertraulichen Dokumente geschehen.

Um den Geheimnisschutz über die Beendigung eines Arbeitsberhältnisses hinaus aufrechtzuerhalten, empfiehlt sich die Vereinbarung von Wettbewerbsverboten, auf welche im Rahmen der durchzuführenden „Exit-Interviews“ erneut –unter schriftlicher Bestätigung– hingewiesen wird.

Zur Überprüfung des Schutzniveaus der ergriffenen Maßnahmen empfiehlt es sich, abschließend folgende Kontrollfragen zu stellen:

- Sind die ergriffenen Maßnahmen geeignet, Externe von einem Zugriff auf die Information auszuschließen?

- Sind die ergriffenen Maßnahmen geeignet, Mitarbeiter und Vertragspartner, die bei der Erfüllung ihrer Aufgaben nicht auf die Information anwiesen sind („need to know“), von einem Zugriff auf Informationen auszuschließen?

- Ist es sowohl möglich als auch praktikabel, Mitarbeiter, die auf Informationen aus beruflichen Gründen angewiesen sind, in der Verfügbarkeit über die bzw. den Umgang mit diesen Information einzuschränken (z.B. eingeschränkte Ausdruck- oder Weiterleitungsmöglichkeiten)?

- Ist die jeweilige Maßnahme für das Unternehmen finanziell tragbar?

Fazit:

Die Inhaber von Geschäftsgeheimnissen müssen sich zukünftig verstärkt mit der Implementierung von angemessenen Geheimhaltungsmaßnahmen beschäftigen. Eine Vernachlässigung dieser Aufgabe ist mit gewichtigen wirtschaftlichen Risiken verbunden. Ein unternehmensinterner Geheimnisschutz und dessen Dokumentierung als Bestandteil eines Compliancesystems sind sowohl zum Schutz vor unberechtigten Zugriffen durch Dritte sowie deren Rechtsverfolgung als auch zur Vermeidung der Geschäftsführerhaftung zwingend notwendig.

Ansprechpartner:

Alexander Saueracker, Rechtsanwalt, Partner

THEOPARK Rechtsanwälte Steuerberater Part mbB

Tel.: +49 (9 11) 50 96 17 40 | E-Mail: alexander.saueracker@theopark.com