11.09.2019

Das neue Geschäftsgeheimnisgesetz

1. Das Geschäftsgeheimnisgesetz

Am 26. April 2019 ist das neue Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten.
Geschäftsgeheimnisse dienen zumeist dem Schutz von Innovationen, oft sogar der Zukunftssicherung von Unternehmen und stellen häufig bedeutende Werte dar.
Das GeschGehG verschärft die Anforderungen an die Geheimhaltung von Geschäftsgeheimnissen. Seit Inkrafttreten des Gesetzes müssen Geheimnisinhaber „angemessene Geheimhaltungsmaßnahmen“ treffen um ein Geschäftsgeheimnis zu begründen und den entsprechenden Schutz zu erlangen.

2. Definition des Geschäftsgeheimnisses

Geschäftsgeheimnisse sind Informationen, die nicht allgemein bekannt oder ohne Weiteres zugänglich, von wirtschaftlichem Wert und Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch den Geheimnisinhaber sind.
Geschäftsgeheimnisse können beispielsweise Kunden- und Lieferantendaten, Auftragsdaten, Marktanalysen, Geschäftsstrategien, Businesspläne, Personalangelegenheiten, Marketingkonzepte, Kalkulationspläne, Erfindungen, Zeichnungen, Algorithmen, Prototypen, Konstruktionspläne, Herstellungsverfahren, usw. sein.
Diese Informationen sind nach dem GeschGehG also nur noch dann geschützt, wenn sie geheim, von wirtschaftlichem Wert und zudem durch angemessene Maßnahmen geschützt sind.
Angemessene Geheimhaltungsmaßnahmen
Unternehmen, die über wertvolles und geschäftsrelevantes Know-how verfügen, sollten daher angemessene Maßnahmen zur Geheimhaltung ergreifen. Diese Vorkehrungen sollten auch dokumentiert werden, da der Geheimnisinhaber im Streitfall beweisen muss, dass es sich um ein schützenswertes Geheimnis handelt und die angemessenen Geheimhaltungsmaßnahmen veranlasst worden sind.
Die Frage, ob angemessene Geheimhaltungsmaßnahmen durchgeführt worden sind, ist einzelfallabhängig zu beurteilen. Anhaltspunkte für die Beurteilung der Angemessenheit dürften z.B. sein
  • die Bedeutung und Komplexität der zu schützenden Information,
  • der Wert des Geheimnisses für das Unternehmen,
  • die Größe des Unternehmens,
  • der Aufwand, die Kosten und die Üblichkeit der Schutzmaßnahmen
Welche Anforderungen Gerichte künftig als „angemessen“ betrachten, kann derzeit noch nicht mit Sicherheit gesagt werden. Je wichtiger eine zu schützende Information ist, desto höhere Anforderungen sind aber zu erfüllen, desto mehr und differenziertere Geheimhaltungsmaßnahmen müssen veranlasst werden, damit der notwendige Grad der Angemessenheit erreicht wird.
Es empfiehlt sich – ähnlich wie bei einer Risikobewertung nach der Datenschutzgrundverordnung – ein abgestuftes Schutzkonzept für die geheim zuhaltenden Informationen zu erstellen. Die geheimhaltungsbedürftigen Informationen müssen zunächst identifiziert und sollten sodann nach Wichtigkeit klassifiziert werden. Dabei kann zum Beispiel eine Gruppierung in verschiedene Geheimhaltungsstufen erfolgen:
  1. Existenzielle Informationen („Schlüssel-Know-How“, „Kronjuwelen“)
  2. Strategisch wichtige Informationen
  3. Sonstige im Wettbewerb relevante Informationen.
Anhand der Eingruppierung sind dann die angemessenen Schutzmaßnahmen zu treffen.
Schutzmaßnahmen
Als Schutzmaßnahmen kommen zum Beispiel in Betracht:
  1. Zugangs- und Nutzungsbeschränkungen.
  2. Einrichtung eines strikten „Need-to-know“-Prinzips“ („Kenntnis nur, wenn nötig“).
  3. Überwachung der Personen, die Zugriff auf Geschäftsgeheimnisse erhalten.
  4. Kennzeichnung der Geheimnisse (z.B. ausdrückliche Vertraulichkeitsvermerke).
  5. Geheimhaltungsvereinbarungen oder vertragliche Geheimhaltungsklauseln mit Geschäftspartnern (aber keine Pauschalklauseln).
  6. Geheimhaltungsverpflichtung von Mitarbeitern im Arbeitsvertrag oder per separater Verpflichtung (aber keine Pauschalklauseln).
  7. Technisch-organisatorische Maßnahmen (z.B. Passwortschutz, Verschlüsselung, Firewalls, Viren- und Malwareschutz, 2-Faktor-Authentifizierung, Sperrmöglichkeit durch Administrator, abgestufte Berechtigungskonzepte).
  8. Speicherung von Geheimnissen ausschließlich auf unternehmenseigenen Geräten/Medien.
  9. Keine Speicherung von Geheimnissen auf privaten Geräten/Medien des Mitarbeiters.
  10. Maßnahmen, wonach Informationen bei der Übermittlung oder des Transports nicht unbefugt gelesen,kopiert, verändert oder entfernt werden können und der richtige Empfänger vorher ausreichend geprüft und festgestellt wird (sog. „Weitergabekontrolle“).
  11. Sicherheitsvorgaben an Dienstleister und Geschäftspartner; auch an solche Dienstleister, die im Auftrag Daten verarbeiten.
  12. Arbeitsanweisungen an Mitarbeiter, dass es sich um ein Geschäftsgeheimnis handelt.
  13. Regelmäßiger Hinweis an die Mitarbeiter auf die gesetzlichen und vertraglichen Geheimhaltungspflichten.
  14. Interne Richtlinien.
  15. Schulung von Mitarbeitern.
  16. Striktes Besuchermanagement (z.B. Zugangsbeschränkungen zum Firmengelände bzw. bestimmten Räumlichkeiten).
  17. Gegebenenfalls Ernennung eines Geheimnisschutzbeauftragten.
  18. Wettbewerbsverbote, insbesondere nachvertragliche
Letztlich ist im Einzelfall zu überprüfen, welche Geheimnisse mit welchen angemessenen Mitteln wirksam geschützt werden können. Eine allgemeingültige Lösung gibt es leider nicht. Erforderlich ist in jedem Fall eine regelmäßige Überprüfung und erforderlichenfalls „Anpassung“ der getroffenen Maßnahmen.
Anmerkung:
Die Erlangung, Nutzung und Offenlegung vertraulicher Informationen durch sogenannte „Whistleblower“ zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens – sofern das öffentliche Interesse betroffen ist – verstößt nicht gegen das GeschGehG.
Nach dem GeschGehG ist das sogenannte Reverse-Engineering – anders als nach früherer Rechtslage – ausdrücklich erlaubt. Dies bedeutet, dass das Ermitteln von Geschäftsgeheimnissen durch Beobachten, Untersuchen, Rückbauen oder Testen von in Verkehr gebrachten oder rechtmäßig erlangten Produkten oder Gegenständen zulässig ist. Reverse-Engineering kann allerdings vertraglich im Voraus ausgeschlossen werden. Der Ausschluss sollte jedoch in jedem Fall per individueller vertraglicher Regelung und nicht in Allgemeinen Geschäftsbedingungen (AGB) erfolgen.
Folgen fehlender Geheimhaltungsmaßnahmen
Für den Geheimnisinhaber ist die Etablierung angemessener Geheimhaltungsmaßnahmen insbesondere in zweifacher Hinsicht von erheblicher Bedeutung. Zum einen führt ein Unterlassen dazu, dass die Information aus dem Schutzbereich des Geschäftsgeheimnisgesetzes (GeschGehG) herausfällt. Zum anderen ergibt sich aber auch ein Haftungsrisiko für die Geschäftsleitung.

3. Ansprüche bei Geheimnisverletzung

Im Falle einer Geheimnisverletzung stehen dem Geheimnisinhaber gegebenenfalls folgende zivilrechtlichen Ansprüche zu:
  1. Beseitigung bzw. Unterlassung der Beeinträchtigung
  2. Vernichtung oder Herausgabe der im Besitz oder Eigentum des Rechtsverletzers stehenden Dokumente, Gegenstände, Materialien, Stoffe oder elektronische Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern
  3. Rückruf des rechtverletzenden Produkts
  4. Dauerhafte Entfernung der rechtsverletzenden Produkte aus den Vertriebswegen
  5. Vernichtung der rechtsverletzenden Produkte
  6. Auskunft über rechtsverletzende Produkte
  7. Schadensersatz (auch bei Verletzung der Auskunftspflicht)
  8. Gewinnabschöpfung 
Die genannten Ansprüche können allerdings bei Unverhältnismäßigkeit ausgeschlossen sein.
Das GeschGehG trifft auch neue prozessuale Vorkehrungen, um Geschäftsgeheimnisse im Gerichtsverfahren vertraulich zu behandeln. So kann das Verfahren auf Antrag der Parteien als vertraulich eingestuft werden, sodass alle Prozessbeteiligten zur vertraulichen Behandlung der Informationen verpflichtet sind. Auch der Zugang zu Beweismitteln, das Recht auf Akteneinsicht und die Öffentlichkeit im Gerichtstermin kann auf Antrag beschränkt werden.

4. Praxishinweis

Geschäftsgeheimnisinhabern ist folgendes Vorgehen zu empfehlen:
  1. Erfassung und Klassifizierung der geheimhaltungsbedürftigen Informationen im Unternehmen.
  2. Identifizierung möglicher „Angriffswege“.
  3. Prüfung und dauerhafte Vornahme angemessener Schutzmaßnahmen.
  4. Regelmäßige Überprüfung und erforderlichenfalls Anpassung der Schutzmaßnahmen.