Durch das am 26.04.2019 in Kraft getretene Gesetz zum Schutz von Geschäftsgeheimnissen („GeschGehG“) waren Geschäftsgeheimnisse nicht länger „per se“ geschützt, sondern nur, wenn das Unternehmen auch angemessene Maßnahmen zum Schutz seiner Geschäftsgeheimnisse trifft und einhält. Dieser Artikel beschäftigt sich mit den Auswirkungen auf die Praxis.
Was ist ein Geschäftsgeheimnis?
Zunächst einmal durfte das zu schützende Wissen – wie schon zuvor – den relevanten Personen weder insgesamt noch in der genauen Anordnung und Zusammensetzung allgemein bekannt noch ohne Weiteres zugänglich sein.
Ferner musste das geheime Wissen nunmehr einen wirtschaftlichen Wert besitzen. Diese Voraussetzung war neu, dürfte in der Regel aber erfüllt sein, da anderenfalls kaum ein Interesse des Unternehmens an der Geheimhaltung bestehen würde.
Neu war ferner, dass für das Unternehmen ein berechtigtes Interesse an der Geheimhaltung bestehen musste. Es sind also Fälle denkbar, in denen ein berechtigtes Interesse fehlen könnte, weshalb das Unternehmen insoweit eine Begründung parat haben sollte.
Die letzte und entscheidende Neuerung des GeschGehG erforderte nunmehr, dass das Geheimnis Gegenstand von angemessenen Geheimhaltungsmaßnahmen sein musste. Diese Voraussetzung hat den Geheimnisschutz grundlegend umgestellt.
Wie ist ein Geschäftsgeheimnis geschützt?
Nach dem Gesetz stehen dem Inhaber umfangreiche Ansprüche gegen den Verletzter zu, insbesondere auf Unterlassung, Beseitigung, Vernichtung, Herausgabe, Rückruf, Auskunft, und – im Falle des Verschuldens – Schadensersatz, der auch fiktiv bemessen werden kann, und sogar Ersatz des immateriellen Schadens, wenn dies der Billigkeit entspricht. Damit gehen die Ansprüche über die zuvor bestehende Rechtslage teilweise hinaus.
Welche Schranken gibt es?
Das Gesetz sieht einige Schranken des Geheimnisschutzes vor, also bestimmte Fälle, in denen die Aufdeckung und Verwendung von Geschäftsgeheimnissen grundsätzlich erlaubt ist. Dazu gehört die Ausübung von Informations- und Anhörungsrechten von Arbeitnehmern oder Mitwirkungs- und Mitbestimmungsrechte der Arbeitnehmervertretung. Auch ausgenommen ist – nun durch ausdrückliche gesetzliche Regelung – die eigenständige Entdeckung oder Schöpfung. Ferner ausgenommen ist das so genannte Reverse-engineering, also das „Zurückentwickeln“ von öffentlich zugänglichen Produkte oder Gegenständen. Das Reverse-engineering von nicht öffentlich zugändlichen, aber sich im rechtmäßigen Besitz befindlichen Produkten oder Gegenständen ist grundsätzlich ebenfalls zulässig, wenn der Besitzer keiner Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses unterliegt.
Welche Maßnahmen zum Geheimnisschutz kann und muss ein Unternehmen treffen?
• Es sollte ein Konzept zum Schutz von Geschäftsgeheimnissen vorhanden, dokumentiert und umgesetzt sein.
• Bei Verträgen mit Kunden, Lieferanten oder Sub-Unternehmen ebenso wie bei den Arbeitsverträgen sind die Geheimhaltungsklauseln ggf. anzupassen oder ggf. gesonderte Geheimhaltungsvereinbarungen abzuschließen.
Erstellung eines Konzepts
Es sollte zunächst erfasst werden, welche Kategorien von Geschäftsgeheimnissen vorhanden sind bzw. in Zukunft entstehen werden. In einem zweiten Schritt sollte ermittelt werden, welche Personengruppen (bzw. Abteilungen, Gesellschaften oder sonstige rechtliche Einheiten wie bspw. Kunden oder Lieferanten) Zugriff auf welche Geschäftsgeheimnisse erhalten sollen. In einem dritten Schritt sollte festgelegt werden, wie dieser Zugriff tatsächlich ermöglicht bzw. beschränkt wird. Und schließlich sollte in einem vierten und letzten Schritt definiert werden, welche technischen, organisatorischen und ggf. rechtlichen Maßnahmen zur Umsetzung und Einhaltung des Konzepts erforderlich sind, bspw. in Form von Schulungen der Mitarbeiter, stichprobenartige Überprüfungen oder vertraglichen Vorgaben.
Die Datenschutzgrundverordnung stellt ebenfalls Anforderungen an den aktiven Schutz von Daten. Die hierfür entwickelten Grundsätze lassen sich prinzipiell auf den Schutz von geheimen Informationen übertragen, jedenfalls was den Schutz vor unbefugtem Zugriff und die damit im Zusammenhang stehenden technischen und organisatorischen Maßnahmen anbetrifft. Anleihen aus dem Verfahrensverzeichnis insb. zur Abstufung von Berechtigungen oder zur Zugriffskontrolle sind denkbar.
Beispiele angemessener Geheimhaltungsmaßnahmen:
Gegenstand | Geheimhaltungsmaßnahme |
Unterlagen der Buchhaltung, wie bspw. betriebswirtschaftliche Auswertungen, Jahresabschlüsse, Steueranmeldungen, Steuerbescheide, aber auch kommerzielle Unterlagen, wie bspw. Preislisten, Einkaufspreise, Deckungsbeitragsberechnungen, etc. | physisch: abschließbare Aktenschränke; virtuell: beschränkter Zugang durch Rechtevergabe; organisatorisch: Zugangsrechte und Schlüssel haben nur Geschäftsführer und das Personal der Finanzbuchhaltung bzw. des Vertriebs oder des Einkaufs; rechtlich: ggf. spezielle Geheimhaltungsvereinbarung mit den betreffenden Mitarbeitern; |
Unterlagen über technisches know-how, insb. aus Forschung und Entwicklung; Forschungsmaterialien, einschl. Prototypen, Rohstoffe, usw. | besonders sensibler Bereich, daher dürfte ein sehr hohes Schutzniveau erwartet werden. physisch: Zugangsbeschränkungen zu den Laboren und Räumen; abschließbare Aktenschränke; virtuell: beschränkter Zugang durch Rechtevergabe; organisatorisch: Zugangsrechte und Schlüssel haben nur diejenigen Mitarbeiter, die zwingend mit den Geschäftsgeheimnissen befasst sind; rechtlich: spezielle Geheimhaltungsvereinbarung mit den betreffenden Mitarbeitern. |
Vertragsverhandlungen mit Partnern, Kunden oder Lieferanten; Vertragsinhalte | rechtlich: ggf. spezielle Geheimhaltungsvereinbarungen bzw. Geheimhaltungsklauseln, siehe nachfolgender Punkt |
Rechtliche Maßnahmen
Auch die Vereinbarung konkreter Geheimhaltungspflichten für Mitarbeiter, externe Mitarbeiter, Kunden, Lieferanten oder Dienstleister kann im Rahmen angemessener Maßnahmen erforderlich sein. So soll es nach der Auffassung einiger nicht genügen, wenn Mitarbeiter nur aufgrund der arbeitsvertraglichen Nebenpflichten und aufgrund einer allgemein formulierten Regelung im Arbeitsvertrag zur Verschwiegenheit verpflichtet sind. Dies mag jedenfalls dann richtig sein, wenn es sich um Mitarbeiter handelt, die Zugang zu sehr sensiblen Geschäftsgeheimnissen haben, wie beispielsweise ein Entwicklungschef. Bei Mitarbeitern ohne einen solchen Zugang darf man Zweifel haben, ob eine spezielle Regelung erforderlich oder gar möglich ist. Eine Geheimhaltungsvereinbarung für Mitarbeiter kann unter anderem folgende Inhalte haben:
- Bennennung bzw. Konkretisierung der zu schützenden Geschäftsgeheimnisse (kann schwierig sein, ohne diese bereits teilweise offen zulegen)
- eine möglichst konkrete Beschreibung derjenigen Maßnahmen, deren Einhaltung den Geheimnisschutz ermöglicht
- ggf. Verbot des Reverse-engineering
- ggf. Wettbewerbsverbot (plus Karenzentschädigung), denn das Wissen im Kopf eines Mitarbeiters ist grundsätzlich frei.
- ggf. eine Pönale (Problem: Bestimmtheit, Transparenz, Schadenshöhe)
Aber auch bei Projekten und Verträgen mit Lieferanten, externen Mitarbeitern oder Kunden kann es notwendig sein, spezielle Geheimhaltungsvereinbarungen abzuschließen oder in entsprechende Verträge einzuarbeiten, nämlich dann, wenn ihnen Geschäftsgeheimnisse zugänglich gemacht werden sollen oder die Möglichkeit besteht, dass Geschäftsgeheimnisse zugänglich werden. Eine entsprechende Geheimhaltungsvereinbarung kann unter anderem folgende Inhalte haben:
- Bennennung bzw. Konkretisierung der zu schützenden Geschäftsgeheimnisse
- eine wenigstens abtrakte Beschreibung derjenigen Maßnahmen, deren Einhaltung den Geheimnisschutz ermöglicht
- ggf. Verbot des Reverse-engineering
- in Ausnahmefällen: Abwerbeverbot (Problem § 75f HGB)
- in Ausnahmefällen: Wettbewerbsverbot (ggf. Karenzentschädigung)
- ggf. eine Pönale (Problem: Bestimmtheit, Transparenz, Schadenshöhe)
Es sollte auch überlegt werden, ob eine tatsächliche Übergabe von Geschäftsgeheimnissen an Dritte (wie Kunden, Lieferanten, etc.) nicht ganz vermieden werden kann, indem hierfür geeignete Cloud-Plattformen Verwendung finden, die unter anderem den Zugriff genau loggen und nur ein Anzeigen der Informationen zulassen, aber keinen Download.
Verwendungshinweis:
Es handelt sich bei diesem Beitrag um eine allgemeine Abhandlung zu einem juristischen Thema, die eine anwaltliche Beratung im Einzelfall weder ersetzen kann noch soll.