Was Sie über den Schutz von Geschäftsgeheimnissen wissen sollten

Am 26. April 2019 ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Mit diesem Gesetz hat der deutsche Gesetzgeber die EU-Geheimnisschutzrichtlinie umgesetzt. Das GeschGehG bringt eine umfassende Neuregelung des Schutzes von Geschäftsgeheimnissen einschließlich Know-how – jedoch verbunden mit erheblichen Handlungsanforderungen an Inhaber von Geschäftsgeheimnissen. Im Gegenzug gewährt das Gesetz einen besseren Rechtsschutz im Fall der Verletzung von Geschäftsgeheimnissen.

In mehreren Blogs geben wir einen Überblick über die Neuregelung. Dieser erste Beitrag beschreibt, mit welchen Maßnahmen Unternehmen auf das GeschGehG reagieren müssen. Die Serie wird in den kommenden Wochen fortgesetzt: Im nächsten Beitrag erfahren Sie, wie Unternehmen vorgehen können, wenn ihre Geschäftsgeheimnisse verletzt werden.

Was ist überhaupt ein Geschäftsgeheimnis?

Nach der Definition in § 2 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis eine Information,

  1. die weder allgemein bekannt noch ohne Weiteres zugänglich ist und einen wirtschaftlichen Wert hat,
  2. die Gegenstand angemessener Geheimhaltungsmaßnahmen ist und
  3. bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Dies umfasst geschäftliche und technologische Informationen ebenso wie Know-how. Das letzte Element der Definition findet sich allerdings nicht im Text der EU-Richtlinie, sondern nur in deren Erwägungsgrund 14. Ob die weitergehende Anforderung im GeschGehG richtlinienkonform ist, wird letztlich der EuGH zu entscheiden haben. Die Anforderung leitet sich aus der bisherigen deutschen Rechtsprechung zu § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) ab, wonach die Geheimhaltung von rechtswidrigen Umständen nicht schutzwürdig ist, z. B. kartellrechtswidrige Absprachen, Steuerhinterziehung.

Neu gegenüber der bisherigen Rechtslage ist insbesondere der zweite Punkt: Ein Geschäfts- oder Betriebsgeheimnis konnte bisher schon dann vorliegen, wenn der Inhaber der Information nach außen erkennbar einen Geheimhaltungswillen manifestiert hatte. Jetzt muss der Inhaber handeln und angemessene Geheimhaltungsmaßnahmen treffen – und diese im Streitfall auch beweisen. Wichtig: Eine umfassende Dokumentation der getroffenen Geheimhaltungsmaßnahmen ist damit wesentlich, um den Beweis zu ermöglichen und den Geheimnisschutz zu erhalten. 

Welche Schutzmaßnahmen sollten Unternehmen jetzt treffen?

Welche Maßnahmen im Einzelfall angemessen sind, hängt von der Art des Geschäftsgeheimnisses ab und von den Umständen der Nutzung. Den vom Gesetzgeber eröffneten Spielraum werden letztlich die Gerichte ausfüllen müssen. Anhaltspunkte gibt die Gesetzesbegründung aber bereits jetzt:

  • Möglich sind physische Zugangsbeschränkungen oder Vorkehrungen (z. B. Zugangs- und Zugriffsbeschränkungen, IT-Sicherheitsmaßnahmen), organisatorische Maßnahmen (Berechtigungskonzepte, Festlegung von Verantwortlichkeiten) und vertragliche Regelungen (interne Richtlinien, Arbeitsanweisungen, vertragliche Geheimhaltungspflichten und Nutzungsbeschränkungen).
  • Informationen können nach ihrer Schutzbedürftigkeit kategorisiert und dann mit unterschiedlichen Maßnahmen der obigen Kategorien gesichert werden.
  • Zu berücksichtigen sind z. B. der Wert der Information, die Entwicklungskosten, die Bedeutung der Information für den rechtmäßigen Inhaber, die Größe des Unternehmens, die im Unternehmen üblichen Geheimhaltungsmaßnahmen oder mit Mitarbeitern und Geschäftspartnern getroffene Vereinbarungen.
  • Rechtliche Grenzen müssen natürlich eingehalten werden. Beispielsweise ist bei Maßnahmen gegenüber Mitarbeitern zu beachten, dass deren Freiheit, erworbene Kenntnisse und Fähigkeiten nach Beendigung des Arbeitsverhältnisses weiter zu nutzen, nicht entgegen geltendem Recht beschränkt werden darf.

Ergänzen möchten wir hier, dass bei der Feststellung des Schutzbedarfs auch die „Gefahrenlage“ berücksichtigt werden sollte, also welches konkrete Risiko besteht, wenn ein Geschäftsgeheimnis – auch ungewollt – preisgegeben wird. Ein Beispiel: Je größer der Kreis der Zugangsberechtigten ist, desto höher ist das Risiko einer versehentlichen Offenbarung des Geheimnisses.

Um die erforderlichen Schutzmaßnahmen zu treffen, halten wir folgende Vorgehensweise für sinnvoll (ähnlich wie für Datenschutzkonzepte):

  • Bestandsaufnahme:
    • Welche Informationen gibt es, die geheim gehalten werden müssen?
    • Dokumentation der bereits vorhandenen Schutzmaßnahmen (technisch, organisatorisch, vertraglich)
  • Kategorisierung:
    • Wie wichtig/wertvoll/vertraulich sind die Informationen?
    • Handelt es sich um eigene Informationen oder um Informationen Dritter (Kunden, Lieferanten, Lizenzgeber)?
    • Wie und durch wen sollen die Informationen verwendet werden und welche Risiken hinsichtlich einer gewollten oder versehentlichen Offenbarung ergeben sich daraus?
  • Dokumentiertes Schutzkonzept:
    • Erstellung und Dokumentation eines Schutzkonzepts mit Maßnahmen für die jeweiligen Kategorien
    • Feststellung des Anpassungsbedarfs und Anpassung des Schutzkonzepts
    • Festlegung der Verantwortlichkeiten für die Umsetzung des Schutzkonzepts und Kontrollen
    • Festlegung der Verantwortlichen für die Schutzmaßnahmen
  • Umsetzung und regelmäßige Kontrolle:
    • Umsetzung der technischen, organisatorischen und vertraglichen Schutzmaßnahmen (z. B. Anpassung von internen Richtlinien, Arbeitsanweisungen und Vertragsmustern).
    • Die Umsetzung des Schutzkonzepts ist regelmäßig zu kontrollieren, auch bei Geschäftspartnern, die Zugang zu Geschäftsgeheimnissen des Unternehmens haben (Auditrechte). Kontrollen sind zu dokumentieren.
    • Umgang mit dem Risikofaktor Mensch: Regelmäßige Schulungen und technische Schutzmaßnahmen können helfen, menschliche Anwendungsfehler zu vermeiden

Wer muss Geheimhaltungsmaßnahmen treffen?

Jeder rechtmäßige Inhaber der Information muss angemessene Geheimhaltungsmaßnahmen treffen. Rechtmäßiger Inhaber ist, wer die rechtmäßige Kontrolle über das Geschäftsgeheimnis hat. Dabei muss beachtet werden, dass dies nicht nur derjenige ist, dem das Geschäftsgeheimnis gehört. Rechtmäßige Inhaber können auch Lizenznehmer und andere Geschäftspartner sein, denen Geschäftsgeheimnisse offenbart werden.

Offene Fragen

Viele Fragen zum Schutz von Geschäftsgeheimnissen sind noch offen. Unklar ist aus unserer Sicht insbesondere: Welche Schutzmaßnahmen sind ausreichend und erforderlich, um den Geschäftsgeheimnisschutz zu erreichen?

Unklar ist aber auch das Schicksal von Geschäftsgeheimnissen, die nach bisherigem Recht angemessen geschützt waren, für die aber die neuen Anforderungen nicht erfüllt sind. In der Praxis werden nicht alle Verträge nachgezogen werden können, die eine Überlassung von Geschäftsgeheimnissen betreffen. Es ist fraglich, auf welcher rechtlichen Grundlage Inhaber von Geschäftsgeheimnissen Verträge mit Geschäftspartnern, die Empfänger von Geschäftsgeheimnissen sind, anpassen können. Besteht hier ein Anspruch – und ggf. sogar eine Pflicht – nach Treu und Glauben Altverträge anzupassen? Oder wird die Rechtsprechung nach dem oben bereits genannten Kriterium der Marktüblichkeit bisher übliche Schutzmaßnahmen ausreichen lassen?

Fazit

Weiterhin richtig: Das wichtigste Mittel zum Schutz von Geschäftsgeheimnissen wird weiterhin sein, effektive faktische Maßnahmen gegen die ungewollte Offenlegung von Geschäftsgeheimnissen zu treffen.

Ab jetzt neu: Diese Schutzmaßnahmen sind nun auch gesetzliche Pflicht, wenn man den Schutz seiner eigenen – und anvertrauter fremder – Geschäftsgeheimnisse erhalten will. Inhaber eigener oder fremder Geschäftsgeheimnisse sollten die gesetzliche Neuregelung zum Anlass nehmen, ihre Maßnahmen zum Schutz von Geschäftsgeheimnissen zu überprüfen und bei Bedarf wie oben bei den Vorgehensweisen beschrieben anzupassen.

Im nächsten Beitrag erfahren Sie, wie Unternehmen vorgehen können, wenn ihre Geschäftsgeheimnisse verletzt werden.

IT-Recht und Datenschutz

Ein Beitrag von