Schutz von Betriebs- und Geschäftsgeheimnissen

Seit dem 26. April 2019 ist das Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten. Der EU-Richtline 2016/943 folgend, in welcher die Definition von Betriebs- und Geschäftsgeheimnissen eu-weit vereinheitlicht wurde, kann nun in allen Mitgliedstaaten zivilrechtlich geahndet und Schadensersatzzahlungen gefordert werden. Unternehmen müssen allerdings aktiv Maßnahmen zur Geheimhaltung treffen und dokumentieren.
Bei einem „Geschäfts- bzw. Betriebsgeheimnis“ handelt es sich um eine Information, die geheim ist, weil sie einen geschäftlichen Wert verkörpert und daher von Unternehmen entsprechend geschützt wird. Darunter fallen Kundeninformationen, Werbe- und Geschäftsstrategien, Produktionsverfahren, Konstruktionspläne, Rezepturen etc.
Wer ein solches Geschäfts- oder Betriebsgeheimnis ohne Zustimmung des Berechtigten verletzt, kann in allen Mitgliedstaaten zivilrechtlich belangt und zu Schadensersatzzahlungen verurteilt werden. Die Erlangung, Nutzung oder Offenlegung vertraulicher Informationen durch sogenannte „Whistleblower“ zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens - sofern das öffentliche Interesse betroffen ist – verstößt nicht gegen das GeschGehG.
Das Geschäftsgeheimnisgesetz (GeschGehG) finden Sie hier: https://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html
Die Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (Text von Bedeutung für den EWR) finden sie hier: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016L0943

Angemessene Geheimhaltungsmaßnahmen

Die Erforderlichkeit aktiv Schutzmaßnahmen zu treffen und nachzuweisen, gab es rechtlich bisher so nicht. Bisher reichte Gerichten ein erkennbarer subjektiver Geheimhaltungswille an bestimmten Informationen aus. Dieser Wille muss nun auch durch objektive Geheimhaltungsmaßnahmen nachgewiesen werden. Daher ist es wichtig, zum Schutz von Geschäfts- und Betriebsgeheimnissen und vertraulichen Informationen technische, organisatorische und/oder rechtliche Maßnahmen zu treffen. Diese Vorkehrungen sind auch zu dokumentieren, da der Geheimnisinhaber im Streitfall beweisen muss, dass es sich um ein schützenwertes Geheimnis handelt. Andernfalls ist das Geheimnis nicht mehr geschützt und es bestehen keine Ansprüche, wie zum Beispiel auf Unterlassung der Beeinträchtigung und/oder Schadensersatzansprüche.
Welche Anforderungen Gerichte künftig als „angemessen“ betrachten, wird man abwarten müssen. Anhaltspunkte für die Beurteilung der Angemessenheit dürften zum Beispiel der Wert des Geheimnisses für das Unternehmen sein, aber auch die Größe des Unternehmens, Aufwand, Kosten und Üblichkeit der Schutzmaßnahmen. Je wichtiger dem Unternehmen die Information ist, desto höhere Anforderungen dürften gestellt werden. Es empfiehlt sich daher – ähnlich wie bei einer Risikobewertung nach der Datenschutzgrundverordnung –  ein abgestuftes Schutzkonzept für die geheimzuhaltenden Informationen zu erstellen. Die geheimhaltungsbedürftigen Informationen müssen zunächst identifiziert werden und sollten sodann nach Wichtigkeit klassifiziert werden. Die Klassifizierung dient dazu den angemessenen Schutzbedarf für die jeweilige Information festzulegen.
Zum Beispiel kann eine Gruppierung in Geheimhaltungsstufen erfolgen:
  1. Existenzielle Informationen („Schlüssel-Know-How”)
  2. Strategisch wichtige Informationen
  3. Sonstige im Wettbewerb relevante Informationen
Als Schutznahmen kommen insbesondere in Betracht:
  • Geheimhaltungsvereinbarungen (sogenannte Non Disclosure Agreements, kurz: NDA) oder vertragliche Geheimhaltungsklauseln; bestehende Vereinbarungen sollten überprüft und gegebenenfalls der Schutzgegenstand konkretisiert werden und welche Schutzmaßnahmen die andere Seite einhalten soll; oft enthalten derartige Vereinbarungen nur abstrakt und allgemein welche Informationen “geheim” sein sollen
  • Geheimhaltungsverpflichtung von Mitarbeitern im Arbeitsvertrag oder per separater Vereinbarung
  • Vertraulichkeitsvermerke auf Dokumenten
  • Technisch-organisatorische Maßnahmen (wie sie im Datenschutz und in der IT-Sicherheit bekannt sind), zum Beispiel Verschlüsselung, Firewalls, 2-Faktor-Authentifizierung, abgestufte Berechtigungskonzepte wer auf welche Informationen (Dokumente, Datenverarbeitungssysteme, Dateien, technische Verfahren, usw.) zugreifen und in welchem Umfang nutzen darf
  • Speicherung von Geheimnissen auf unternehmenseigenen Geräten/Medien; keine Speicherung auf privaten Geräten des Mitarbeiters
  • Maßnahmen, wonach Informationen bei Übermittlung oder des Transportes nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und der richtige Empfänger vorher ausreichend geprüft und festgestellt wird (sogenannte „Weitergabekontrolle”)
  • Sicherheitsvorgaben an Dienstleister und Geschäftspartner; auch an solche Dienstleister, die im Auftrag Daten verarbeiten
  • Interne Richtlinien und Arbeitsanweisungen
  • Schulung von Mitarbeitern
  • Kontrolle der getroffenen Maßnahmen
Letztlich ist im Einzelfall zu überprüfen, welche Geheimnisse mit welchen angemessenen Mitteln wirksam geschützt werden können. Dies dürfte davon abhängen, um welche Art von Geheimnis es sich handelt und welche Mitarbeiter und Geschäftspartner davon Kenntnis erhalten sollen; eine allgemeingültige Lösung gibt es nicht.

Re-Engineering

Nach dem GeschGehG ist das sogenannte Re-Engineering - anders als bisher – ausdrücklich erlaubt. Dies bedeutet, dass das Ermitteln von Geschäftsgeheimnissen durch Beobachten, Untersuchen, Rückbauen oder Testen an in Verkehr gebrachten oder rechtmäßig erlangten Produkten oder Gegenständen zulässig ist. Reverse Engneering kann allerdings vertraglich im Voraus ausgeschlossen werden. Insbesondere sollten bestehende Verträge bei denen schützenswertes Know How weitergegeben wurde (z.B. in Lieferketten) überprüft und angepasst werden.
Der Ausschluss sollte per indiviudeller vertraglicher Regelung und nicht in Allgemeinen Geschäftsbedingungen (AGB) erfolgen, da Reverse Engineering grundsätzlich im GeschGehG gestattet ist. Begrenzt werden kann Reverse Engineering auch durch andere Gesetze wie z. B. durch das Urheber-, Patent- oder Markenrecht, sofern diese im konkreten Fall Anwendung finden.

Ansprüche bei Geheimnisverletzung

Wie bisher auch können Unternehmen sich gegen die unerlaubte Erlangung, Nutzung oder Offenbarung von Geschäftsgeheimnissen rechtlich wehren. Das GeschGehG hat diese Ansprüche erweitert, z.B. Recht auf Rückruf und Vernichtung.
Zusammengefasst stehen dem Geheimnisinhaber bei einer Geheimnisverletzung gegebenenfalls folgende zivilrechtliche Ansprüche zu:
  • Beseitigung beziehungsweise Unterlassung der Beeinträchtigung
  • Vernichtung oder Herausgabe der im Besitz oder Eigentum des Rechtsverletzers stehenden Dokumente, Gegenstände, Materialien, Stoffe oder elektronischen Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern
  • Rückruf des rechtsverletzenden Produkts
  • dauerhafte Entfernung der rechtsverletzenden Produkte aus den Vertriebswegen
  • Vernichtung der rechtsverletzenden Produkte
  • Auskunft über rechtsverletzende Produkte
  • Schadensersatz (auch bei Verletzung der Auskunftspflicht)
  • Gewinnabschöpfung
Diese Ansprüche können bei Unverhältnismäßigkeit ausgeschlossen sein. Inwieweit der Anspruch besteht, hängt von verschiedenen Faktoren im Einzelfall ab, wie der Wert des Geheimnisses für das Unternehmen, Umfang der Schutzmaßnahmen, Folgen der Verletzung, Verhalten des Rechtsverletzers (vorsätzlich/fahrlässig), gegebenenfalls auch das berechtigte Interesse Dritter oder der Öffentlichkeit (siehe §9 GeschGehG).
Exkurs zur Geheimhaltungsvereinbarung: Bei zivilrechtlichen Ansprüchen, insbesondere Schadensersatz, muss der Inhaber des Geschäftsgeheimnisses den Schadensersatzanspruch darlegen und beweisen. Eine solche Beweisführung gelingt nicht immer. Mit einer Geheimhalthaltungsvereinbarung lässt sich dieses Risiko einschränken, indem eine Vertragsstrafe für den Fall einer unberechtigten Nutzung oder Offenlegung von Geschäftsgeheimnissen vereinbart wird. Die Vertragsstrafe kann eine der Höhe nach fest bezifferte Summe sein, oder auch flexibel gestaltet sein, sodass die Höhe im Ermessen des Geheimnisinhabers steht und im Streitfall vom zuständigen Gericht zu überprüfen ist. Vorteil: Behauptet der Schädiger eine geringere Höhe, muss er dies nachweisen.
Neben der Vertragsstrafe sollte eine Geheimhaltungsvereinbarung den Geschäftspartner dazu verpflichten, dass er selbst angemessene Schutzmaßnahmen hinsichtlich der ihm offengelegten geheimen Informationen zu treffen hat. Außerdem sollte das Re-Engineering ausgeschlossen werden. Bereits bestehende Geheimhaltungsvereinbarungen sollten zu diesen Punkten aktualisiert werden.
Das GeschGehG trifft auch neue prozessuale Vorkehrungen, um Geschäftsgeheimnisse im Gerichtsverfahren vertraulich zu behandeln. So kann das Verfahren auf Antrag einer Partei als vertraulich eingestuft werden,  sodass alle Prozessbeteiligten zur vertraulichen Behandlung der Informationen verpflichtet sind. Auch der Zugang zu Beweismitteln, das Recht auf Akteneinsicht  und die Öffentlichkeit im Gerichtstermin kann auf Antrag beschränkt werden.

Formulierungs- und Checkliste für Geschäftsgeheimnisvereinbarungen (NDA)

Das GeschGehG stellt strengere Anforderungen als bisher an NDAs. Daher haben Unternehmensjuristen und Mitglieder des DIHK-Rechtsausschuss eine Formulierungs- und Checkliste für die Absicherung von Geschäftsgeheimnissen z. B. bei Geschäftsanbahnungen besonders für KMU erarbeitet. Dieser Vorschlag ist in englischer und deutscher Sprache auf der DIHK-Homepage zum Download verfügbar.
Quelle: IHK Stuttgart