26.04.2019

Das Geschäftsgeheimnisgesetz: Neue Herausforderungen, neue Maßnahmen!

Der Geheimnisschutz von Geschäfts- und Betriebsgeheimnissen ist für Unternehmen von zentraler Bedeutung. Oftmals stellen die Geschäftsgeheimnisse einen bedeutenden Unternehmenswert dar, der nicht nur einen Vorteil gegenüber Wettbewerbern verspricht, sondern sogar grundlegend für das Geschäftsmodell sein kann. Dies gilt nicht nur für große Konzerne, sondern in besonderem Maße auch für Start-Ups, die über eine gute Idee und ein vielversprechendes Geschäftsmodell verfügen.

Unverbindliches Erstgespräch vereinbaren

An das am 26. April 2019 in Kraft getretene Geschäftsgeheimnisgesetz (GeschGehG) sind daher hohe Erwartungen (aber auch begründete Befürchtungen) geknüpft. Beim GeschGehG handelt es sich um ein neues Stamm-Gesetz, das der Gesetzgeber in Umsetzung der Vorgaben der Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-Hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung erlassen hat. Durch das Umsetzungsgesetz zum GeschGehG werden auch die §§ 17 ff. UWG aufgehoben, in denen bisher der (strafbewehrte) Schutz von Geschäfts- und Betriebsgeheimnissen geregelt war.

Auch als „Know-How-Schutz-Richtlinie“ bekannt geworden, weckte die Umsetzung der Vorgaben im Geschäftsgeheimnisgesetz hohe Erwartungen. Umso größer dürfte die Überraschung für viele Unternehmen ausfallen, die sich nun durch das GeschGehG gezwungen sehen, schnell tätig zu werden, wollen sie ihre Geschäfts- und Betriebsgeheimnisse weiterhin schützen.

Dabei dürften die Unternehmen, die bereits im Rahmen der Umsetzung der Datenschutz-Grundverordnung (DSGVO) organisatorische, technische und rechtliche Maßnahmen ergriffen haben, wertvolle Vorarbeit geleistet haben.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte rechnen Sie 2 plus 8.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Geschäftsgeheimnis – neu definiert – neue Herausforderungen

Nach der bisherigen Definition der deutschen Rechtsprechung galt, wer sein Know-how schützen wollte, konnte dieses ohne großen Aufwand zum Geschäftsgeheimnis erklären (subjektiver Geheimhaltungswille). Selbst ohne ausdrückliche Erklärung konnte man sich noch darauf berufen, dass sich der Geheimhaltungswille „aus der Natur der geheimzuhaltenden Tatsache“ ergibt (bisher wurde aus einem objektiven wirtschaftlichen Geheimhaltungsinteresse auch ein entsprechender Wille zur Geheimhaltung abgeleitet). Sofern die geheimzuhaltende Tatsache noch unternehmensbezogen und nicht offenkundig war, war der Geheimnisschutz grundsätzlich bereits eröffnet.

Wer sich jedoch nach der neuen Rechtslage auf ein Geschäftsgeheimnis berufen will, muss darlegen können, dass er sein Know-how durch nach außen hin erkennbare (objektive) angemessene Geheimhaltungsmaßnahmen geschützt hat.

Unternehmen stehen durch die neue Definition insbesondere vor zwei großen Herausforderungen. Zum einen dürfte klar sein, dass Handlungsbedarf besteht, wenn wichtiges Know-how oder andere schützenswerte Informationen dem Geheimnisschutz unterfallen sollen. Zum anderen stellt sich jedoch die Frage: „Was ist eine angemessene Maßnahme?“ Dies wird sich nur im Einzelfall beantworten lassen. Das heißt mit anderen Worten, dass je nach schützenswerter Information unterschiedliche Geheimhaltungsmaßnahmen ergriffen werden müssen. Dieser dynamische Begriff eröffnet den Unternehmen einen gewissen Handlungsspielraum, was die zu ergreifenden Maßnahmen betrifft. Nicht für alle Informationen sind strenge Geheimhaltungsmaßnahmen zu ergreifen. Jedoch können zu niedrig angesetzte Geheimhaltungsmaßnahmen drastische Folgen haben: Sie führen dazu, dass das die Information nicht als Geheimnis geschützt ist und das Unternehmen die Inhaberschaft an der Information verlieren kann.

Daher sollten Unternehmen zunächst möglichst abschließend erfassen, welche Informationen geheim gehalten werden sollen. Wer sich bereits mit dem Führen von datenschutzrechtlichen Verarbeitungsverzeichnissen nach Art. 30 DSGVO vertraut gemacht hat, kann auf die dort gemachten Erfahrungen zurückgreifen. Wenn auch keine Pflicht zum Führen eines Verzeichnisses besteht (sich dies aber aus Beweisgründen im Rechtsstreit empfiehlt – siehe dazu unten), gilt es, wie auch dort, zu ermitteln, welche Geschäftsgeheimnisse, z.B. in Form von Know-how es im Unternehmen gibt und inwieweit diese jeweils als besonders geheimnisträchtig zu bewerten sind. Dabei ist insbesondere auch zu berücksichtigen, welchen Mitarbeitern und Geschäftspartnern welche Geschäftsgeheimnisse bekannt sind bzw. bekannt gemacht werden sollen.

Besonderes Augenmerk bei der Prüfung des Status quo sollte z.B. auf Informationen wie Kundendaten, Bilanzen, Daten über Zulieferer, Kalkulationen, Prototypen, Pläne, Rezepturen, Algorithmen, Source Codes und die Dokumentationen der Programmierer gelegt werden.

Geschäftsgeheimnis – neu definiert – neue Herausforderungen

Nach der bisherigen Definition der deutschen Rechtsprechung galt, wer sein Know-how schützen wollte, konnte dieses ohne großen Aufwand zum Geschäftsgeheimnis erklären (subjektiver Geheimhaltungswille). Selbst ohne ausdrückliche Erklärung konnte man sich noch darauf berufen, dass sich der Geheimhaltungswille „aus der Natur der geheimzuhaltenden Tatsache“ ergibt (bisher wurde aus einem objektiven wirtschaftlichen Geheimhaltungsinteresse auch ein entsprechender Wille zur Geheimhaltung abgeleitet). Sofern die geheimzuhaltende Tatsache noch unternehmensbezogen und nicht offenkundig war, war der Geheimnisschutz grundsätzlich bereits eröffnet.

Wer sich jedoch nach der neuen Rechtslage auf ein Geschäftsgeheimnis berufen will, muss darlegen können, dass er sein Know-how durch nach außen hin erkennbare (objektive) angemessene Geheimhaltungsmaßnahmen geschützt hat.

Unternehmen stehen durch die neue Definition insbesondere vor zwei großen Herausforderungen. Zum einen dürfte klar sein, dass Handlungsbedarf besteht, wenn wichtiges Know-how oder andere schützenswerte Informationen dem Geheimnisschutz unterfallen sollen. Zum anderen stellt sich jedoch die Frage: „Was ist eine angemessene Maßnahme?“ Dies wird sich nur im Einzelfall beantworten lassen. Das heißt mit anderen Worten, dass je nach schützenswerter Information unterschiedliche Geheimhaltungsmaßnahmen ergriffen werden müssen. Dieser dynamische Begriff eröffnet den Unternehmen einen gewissen Handlungsspielraum, was die zu ergreifenden Maßnahmen betrifft. Nicht für alle Informationen sind strenge Geheimhaltungsmaßnahmen zu ergreifen. Jedoch können zu niedrig angesetzte Geheimhaltungsmaßnahmen drastische Folgen haben: Sie führen dazu, dass das die Information nicht als Geheimnis geschützt ist und das Unternehmen die Inhaberschaft an der Information verlieren kann.

Daher sollten Unternehmen zunächst möglichst abschließend erfassen, welche Informationen geheim gehalten werden sollen. Wer sich bereits mit dem Führen von datenschutzrechtlichen Verarbeitungsverzeichnissen nach Art. 30 DSGVO vertraut gemacht hat, kann auf die dort gemachten Erfahrungen zurückgreifen. Wenn auch keine Pflicht zum Führen eines Verzeichnisses besteht (sich dies aber aus Beweisgründen im Rechtsstreit empfiehlt – siehe dazu unten), gilt es, wie auch dort, zu ermitteln, welche Geschäftsgeheimnisse, z.B. in Form von Know-how es im Unternehmen gibt und inwieweit diese jeweils als besonders geheimnisträchtig zu bewerten sind. Dabei ist insbesondere auch zu berücksichtigen, welchen Mitarbeitern und Geschäftspartnern welche Geschäftsgeheimnisse bekannt sind bzw. bekannt gemacht werden sollen.

Besonderes Augenmerk bei der Prüfung des Status quo sollte z.B. auf Informationen wie Kundendaten, Bilanzen, Daten über Zulieferer, Kalkulationen, Prototypen, Pläne, Rezepturen, Algorithmen, Source Codes und die Dokumentationen der Programmierer gelegt werden.

Handlungsbedarf erkennen und Geheimhaltungsmaßnahmen ergreifen

 Wurden die im Unternehmen zu schützenden Informationen ermittelt, gilt es nun angemessene Maßnahmen im Sinne des Geschäftsgeheimnisgesetzes zu ergreifen.

Gerade da die zu ergreifenden Maßnahmen immer vom Einzelfall (z.B. Art und Wert der Information, Kreis der Mitwisser, Kontext der Nutzung) abhängen, empfehlen wir, eine dreiteilige Prüfung hinsichtlich zu ergreifender angemessener Maßnahmen vorzunehmen:

(1) Organisatorische Maßnahmen

Zunächst sollten klare Verantwortlichkeiten für den Schutz von Informationen entwickelt werden. Schützenswerte Informationen sollten als vertraulich gekennzeichnet bzw. erklärt werden und die Mitarbeiter des Unternehmens im Umgang mit Geschäftsgeheimnissen geschult und sensibilisiert werden. Hierbei sollten die Mitarbeiter auch über Whistleblowing aufgeklärt werden, um Missverständnisse zu vermeiden. Abhängig vom Umfang der zu kennzeichnenden Information, hält sich der Aufwand für die Maßnahmen in Grenzen, sie müssen allerdings gut dokumentiert werden.

(2) Technische Maßnahmen

Werden Informationen als geheimnisträchtig ermittelt, sind technische Maßnahmen zu ergreifen, um diese vor unberechtigtem Zugriff zu schützen. Für die meisten Unternehmen wird hierbei der Fokus auf der IT-Sicherheit liegen müssen. Wer jedoch bereits nach Art. 32 DSGVO geeignete technische Maßnahmen ergriffen hat, wird sich hierbei nicht schwertun. Allerdings gilt auch hierbei, dass je nach Information ein anderer Maßstab an die Angemessenheit der Maßnahme angesetzt werden muss.

(3) Rechtliche Maßnahmen

Schließlich können auch rechtliche Maßnahmen entscheidend zum Geheimnisschutz beitragen. Hierbei geht es insbesondere darum, dass der Inhaber des Geschäftsgeheimnis nachweisen muss, dass er die rechtmäßige Kontrolle über die Information hält. Eines der großen Risiken im Schutz von Geschäftsgeheimnissen sind oftmals die eigenen Mitarbeiter. Diese sind bereits aufgrund der arbeitsvertraglichen Nebenpflichten zur Verschwiegenheit verpflichtet, für einen effektiven Geheimnisschutz empfiehlt es sich allerdings, konkrete Geheimhaltungsvereinbarungen abzuschließen. Die vom GeschGehG geforderte Kontrolle über das Geheimnis kann nur erreicht werden, wenn der Empfänger dazu verpflichtet wird, ebenfalls konkrete Geheimhaltungsmaßnahmen zu treffen. Für Unternehmen, die sich bisher mit einer allgemein gehaltenen Geheimhaltungsklausel in den Arbeitsverträgen aller Mitarbeiter begnügten, gilt es mehr zu beachten. Diese sind keine one-size-fits-all Lösung. Das bedeutet, dass sie allein nicht ausreichen, um die Geheimhaltung wirksam aufrecht zu erhalten. Es bedeutet aber auch, dass nicht jedem Mitarbeiter dieselbe Vereinbarung vorgelegt werden soll. Je mehr Kontakt der Mitarbeiter mit Geschäftsgeheimnissen hat, desto präziser sollte sie sein.
Was für die eigenen Mitarbeiter gilt, gilt im Besonderen Maß für Geschäftspartner. Auch diese sollten entsprechend vertraglich zum Geheimnisschutz verpflichtet werden (durch sog. NDA: non-disclosure agreements).

Neu im deutschen Recht ist zudem die Zulässigkeit des sog. Reverse Engineering (Erlangung eines Geheimnisses durch Zurückentwickeln eine Produkts), das nach bisheriger Rechtslage überwiegend als unzulässig angesehen wurde. Durch vertragliche Regelung kann das Reverse Engineering jedoch – in gewissen Grenzen – weiterhin ausgeschlossen werden. Daher sollten entsprechende Vertragsgestaltungen z.B. mit Kunden, Lizenznehmern, oder Partnern in Kooperationsverträgen getroffen werden.

Geheimhaltungsmaßnahmen aktualisieren und dokumentieren

Einmal ergriffene Geheimhaltungsmaßnahmen sollten in regelmäßigen Abständen überprüft und das entwickelte Schutzkonzept aktualisiert werden. Durch die Einrichtung eines Know-how-Managements kann sichergestellt werden, dass für diese Aufgabe klare Verantwortlichkeiten bestehen und angemessene Maßnahmen zum Schutz der Geschäftsgeheimnisse gewährleistet sind.

Eine ausführliche Dokumentation des zu schützenden Know-hows und der ergriffenen Maßnahmen zahlt sich spätestens im Streitfall aus. Wer sich auf ein Geschäftsgeheimnis berufen will, ist nämlich hinsichtlich getroffener Geheimhaltungsmaßnahmen darlegungs- und beweisbelastet. Wer der Beweispflicht durch detaillierte Dokumentation nachkommen kann dürfte klar im Vorteil sein.

Geschäftsgeheimnis schützen und gerichtlich durchsetzen

 Auch wenn das Geschäftsgeheimnisgesetz erst einmal viel Arbeit und Aufwand für Unternehmen mit sich bringt, erleichtert es doch die Einschaltung der Gerichte und die Durchsetzung des Geheimnisschutzes.

Neben Ansprüchen auf Beseitigung und Unterlassung der Beeinträchtigung hat der Geschäftsgeheimnisinhaber gegen den Rechtsverletzer Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung sowie Marktrücknahme der rechtsverletzenden Produkte, Dokumente, Gegenstände oder Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern. Wird das Geschäftsgeheimnis durch Mitarbeiter eines Unternehmens verletzt, können diese Pflichten auch das Unternehmen selbst treffen.

Um dem Geschäftsinhaber einen möglichst effektiven Schutz seines Geschäftsgeheimnisses zu ermöglichen, hat er ein Auskunftsrecht gegenüber dem Rechtsverletzer über u.a. die Herkunft und die Empfänger von rechtswidrig erlangten oder offenbarten Geschäftsgeheimnissen.

Wer ein Geschäftsgeheimnis verletzt, ist auch nach dem GeschGehG schadensersatzpflichtig. Zusätzlich zur zivilrechtliche Schadensersatzpflicht besteht bei der Verletzung eines Geschäftsgeheimnisses auch immer das Risiko einer Freiheitsstrafe oder Geldstrafe.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten

30.09.2024

Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?

20.09.2024

Datenschutz und M&A: Data Due Diligence und der Schlüssel zur rechtssicheren Datennutzung

12.09.2024

Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen