Schutz von Geschäftsgeheimnissen

Geschäfts- und Betriebsgeheimnisse, also Informationen, die gegenüber Wettbewerbern und der Öffentlichkeit geheim gehalten werden sollen, können einen hohen wirtschaftlichen Wert für Unternehmer darstellen. Das neue Geschäftsgeheimnisgesetz (GeschGehG) verschärft die Anforderungen an die Geheimhaltung von Betriebs- und Geschäftsgeheimnissen.

Was sind Geschäfts- und Betriebsgeheimnisse?

Geschäftsgeheimnisse sind beispielsweise Kalkulationspläne, Auftrags-, Kunden- und Lieferantendaten, Marktanalysen, Geschäftsstrategien, Businesspläne, Kreditwürdigkeit, Personalangelegenheiten, Marketingkonzepte. Beispiele für Betriebsgeheimnisse sind technisches Know-how wie Erfindungen, Zeichnungen, Algorithmen, Prototypen oder Konstruktionspläne oder Herstellungsverfahren. Diese Informationen sind nur dann geschützt, wenn sie berechtigterweise geheim, von wirtschaftlichem Wert sind und außerdem – und das ist neu nach dem GeschGehG – durch angemessene Maßnahmen geschützt sind.

Wann ist eine Information von wirtschaftlichem Wert?

Eine Information besitzt wirtschaftlichen Wert, wenn ihre Erlangung, Nutzung oder Offenlegung ohne Zustimmung des Inhabers dessen wissenschaftliches oder technisches Potenzial, geschäftliche oder finanzielle Interessen, strategische Position oder Wettbewerbsfähigkeit negativ beeinflussen. Typischerweise werden hierzu zum Beispiel Herstellungsverfahren, Kunden- und Lieferantenlisten, Kosteninformationen, Geschäftsstrategien, Marktanalysen, Prototypen, Forschungsergebnisse, Formeln und Rezepte zählen. Eine Information, die belanglos, generell bekannt oder leicht zugänglich ist, hat im Umkehrschluss keinen wirtschaftlichen Wert.

Welche Geheimhaltungsmaßnahmen sind angemessen?

Bestimmung nach objektiven Kriterien
Die Erforderlichkeit, aktiv Schutzmaßnahmen zu treffen und diese nachzuweisen, gab es rechtlich bisher so nicht. Bislang reichte Gerichten ein erkennbarer subjektiver Geheimhaltungswille an bestimmten Informationen aus. Nun ist zumindest nach der Rechtsprechung des OLG Stuttgart die Frage, ob eine Geheimhaltungsvereinbarung eines Unternehmens angemessen i. S. d. Geschäftsgeheimnisgesetzes ist, anhand objektiver Merkmale zu bestimmen. Daher ist es wichtig, zum Schutz von Geschäfts- und Betriebsgeheimnissen sowohl physische Zugangsbeschränkungen und Vorkehrungen wie auch vertragliche Sicherungsmechanismen zu treffen. Diese Maßnahmen sind auch zu dokumentieren, da der Geheimnisinhaber im Streitfall beweisen muss, dass es sich um ein schützenwertes Geheimnis handelt. Andernfalls ist das Geheimnis nicht mehr geschützt und es bestehen beispielsweise keine Unterlassung- und Schadensersatzansprüche.
Unternehmer müssen also aktiv Maßnahmen zur Geheimhaltung ihrer vertraulichen Informationen treffen und dokumentieren. Folgende Anforderungen werden beispielsweise durch das OLG Stuttgart an angemessene Geheimhaltungsmaßnahmen gestellt:  
  • "Die konkreten Geheimhaltungsmaßnahmen hängen von der Art des Geschäftsgeheimnisses im Einzelnen und von den konkreten Umständen der Nutzung ab (...). Bei der Wertung der Angemessenheit der Schutzmaßnahmen können insbesondere berücksichtigt werden: der Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten, die Natur der Informationen, die Bedeutung für das Unternehmen, die Größe des Unternehmens, die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen, die Art der Kennzeichnung der Informationen und vereinbarte vertragliche Regelungen mit Arbeitnehmern und Geschäftspartnern (...).
  • Hieraus folgt als Mindeststandard, dass relevante Informationen nur Personen anvertraut werden dürfen, die die Informationen zur Durchführung ihrer Aufgabe (potentiell) benötigen und die zur Verschwiegenheit verpflichtet sind (...). Zudem müssen diese Personen von der Verschwiegenheitsverpflichtung in Bezug auf die fraglichen Informationen Kenntnis haben. Weitere Maßnahmen sind den Umständen nach zu ergreifen, wobei eine Gesamtbetrachtung vorzunehmen ist.
  • Genauso wie das Ergreifen verschiedener verstärkender Maßnahmen zu einem angemessenen Schutzniveau führen kann, kann ein in Kauf genommenes „Datenleck“ zu der Bewertung führen, dass insgesamt kein angemessenes Schutzniveau mehr vorliegt."
Vorgehensweise
Praxistipp: Es empfiehlt sich die Erstellung eines abgestuften Schutzkonzepts für die geheim zuhaltenden Informationen. Die geheimhaltungsbedürftigen Informationen werden zunächst identifiziert und sodann nach Wichtigkeit klassifiziert. Die Klassifizierung dient dazu, den angemessenen Schutzbedarf für die jeweilige Information festzulegen. Es kann beispielsweise eine Gruppierung in Geheimhaltungsstufen erfolgen:
  1. Existenzielle Informationen („Schlüssel-Know-how“),
  2. strategisch wichtige Informationen,
  3. sonstige im Wettbewerb relevante Informationen.
Diese Schutzmaßnahmen kommen in Betracht:
  • Geheimhaltungsvereinbarungen (sog. Non Disclosure Agreements, kurz: NDA) oder vertragliche Geheimhaltungsklauseln.

    Ungenügend ist dabei laut LAG Düsseldorf eine Vereinbarung, die schlicht alle Angelegenheiten und Vorgänge, die im Rahmen der Tätigkeit bekannt werden, für geheimhaltungsbedürftig erklärt und dies ausdrücklich auch auf solche Vorgänge bezieht, die keine Geschäftsgeheimnisse sind. Anders kann dies betreffend die vereinbarte Rückgabe der vollständigen Geschäftsunterlagen bei Beendigung des Arbeitsverhältnisses sein. Praxistipp: Überprüfen Sie bestehende Vereinbarungen, konkretisieren Sie den Schutzgegenstand sowie welche Schutzmaßnahmen die andere Seite einhalten soll. Unternehmensjuristen und Mitglieder des DIHK-Rechtsausschuss haben eine Formulierungs- und Checkliste für die Absicherung von Geschäftsgeheimnissen erarbeitet. Das daraus entstandene Muster eines "Non-Disclosure-Agreements" soll insbesondere kleinen und mittelständischen Unternehmen als Hilfestellung zum Beispiel bei Geschäftsanbahnungen dienen. Es steht sowohl in deutscher auch in englischer Sprache zum Download zur Verfügung.
  • Geheimhaltungsverpflichtung von Mitarbeitern in der Regel im Arbeitsvertrag oder per separater Vereinbarung,
  • Vertraulichkeitsvermerke auf Dokumenten,
  • technisch-organisatorische Maßnahmen (wie sie im Datenschutz und in der IT-Sicherheit bekannt sind), z. B. Verschlüsselung, Firewalls, 2-Faktor-Authentifizierung, abgestufte Berechtigungskonzepte mit Festlegung, wer auf welche Informationen (Dokumente, Datenverarbeitungssysteme, Dateien, technische Verfahren etc.) wann zugreifen und in welchem Umfang nutzen darf,
  • Speicherung von Geheimnissen ausschließlich auf unternehmenseigenen Geräten und Medien,
  • Maßnahmen, wonach Informationen bei Übermittlung oder Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und der richtige Empfänger vorher ausreichend geprüft und festgestellt wird (sog. „Weitergabekontrolle“),
  • Sicherheitsvorgaben an Dienstleister und Geschäftspartner; auch an solche Dienstleister, die im Auftrag Daten verarbeiten,
  • interne Richtlinien und Arbeitsanweisungen,
  • Schulung von Mitarbeitern,
  • Kontrolle der getroffenen Maßnahmen.
Die Überprüfung, welche Geheimnisse mit welchen angemessenen Mitteln wirksam geschützt werden können, obliegt Ihnen als Unternehmer. Eine allgemeingültige Lösung gibt es nicht. Dies hängt im Einzelnen davon ab, um welche Art von Geheimnis es sich handelt und welche Mitarbeiter und Geschäftspartner davon Kenntnis erhalten sollen.

Was ist Reverse Engineering?

Das sog. Reverse Engineering ist – anders als bisher – ausdrücklich erlaubt. Es bedeutet, dass das Erlangen eines Geschäftsgeheimnisses durch Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts oder Gegenstandes möglich ist, und zwar in zwei Fällen: Unbeschränkt zulässig ist ein Reverse Engineering zum einen bei Produkten, die öffentlich verfügbar gemacht wurden. Dies umfasst frei auf dem Markt erhältliche Produkte. Daneben besteht jedoch weiterhin ein lauterkeitsrechtlicher Schutz, zum Beispiel vor Herkunftstäuschung und Rufausbeutung. Zum anderen betrifft es Fälle, in denen die Produkte oder Gegenstände, die einem Reverse Engineering unterzogen wurden, nicht öffentlich verfügbar gemacht wurden, sondern zum Beispiel einem Vertragspartner zur Nutzung zur Verfügung gestellt wurden. In diesem Fall ist ein Reverse Engineering nur zulässig, wenn der Inhaber des Geschäftsgeheimnisses dem Vertragspartner nicht vertraglich untersagt hat, das Geschäftsgeheimnis durch Reverse Engineering zu erlangen.
Hinweis: Reverse Engineering kann vertraglich im Voraus ausgeschlossen und so eine rechtmäßige Erlangung des Geschäftsgeheimnisses verhindert werden. Die vertragliche Vereinbarung muss wirksam sein.
Praxistipp: Überprüfen Sie bestehende Verträge, bei denen schützenswertes Know-how weitergegeben wurde (z. B. in Lieferketten) und passen Sie diese ggf. an. Der Ausschluss sollte per individueller vertraglicher Regelung und nicht in Allgemeinen Geschäftsbedingungen (AGB) erfolgen, da Reverse Engineering grundsätzlich im GeschGehG gestattet ist. Begrenzt werden kann Reverse Engineering auch durch andere Gesetze wie zum Beispiel durch das Urheber-, Patent- oder Markenrecht, sofern diese im konkreten Fall Anwendung finden.

Was gilt im Arbeitsverhältnis?

Ein Geschäftsgeheimnis darf ebenfalls erlangt werden, wenn Arbeitnehmer oder Arbeitnehmervertretung dadurch ihr Recht auf Information und Anhörung bzw. auf Mitwirkung und Mitbestimmung in Anspruch nehmen. Hiervon unabhängig können jedoch arbeitsrechtliche Geheimhaltungsverpflichtungen bestehen.

Was gilt bei Whistleblowing?

Die Erlangung, Nutzung oder Offenlegung geheimer Informationen durch sog. „Whistleblower“ zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens verstößt dann nicht gegen das GeschGehG, wenn dies zum „Schutz des allgemeinen öffentlichen Interesses“ geschieht. Vom Begriff des beruflichen Fehlverhaltens kann ein Verstoß gegen berufsständische Normen erfasst sein. Vom Begriff des sonstigen Fehlverhaltens können Aktivitäten erfasst sein, die ein unethisches Verhalten darstellen. Ein Beispiel hierfür könnten Auslandsaktivitäten eines Unternehmens sein, die in den betreffenden Ländern nicht rechtswidrig sind, aber dennoch von der Allgemeinheit als Fehlverhalten gesehen werden, wie zum Beispiel Kinderarbeit oder gesundheits- oder umweltschädliche Produktionsbedingungen.

Welche Ansprüche stehen dem Geheimnisinhaber gegen den Verletzer zu?

Wie bisher auch können Unternehmen sich gegen die unerlaubte Erlangung, Nutzung oder Offenbarung von Geschäftsgeheimnissen rechtlich wehren. Dem Geheimnisinhaber können bei einer Geheimnisverletzung zum Beispiel folgende zivilrechtliche Ansprüche zustehen: Beseitigung bzw. Unterlassung der Beeinträchtigung; Vernichtung oder Herausgabe der im Besitz oder Eigentum des Rechtsverletzers stehenden Dokumente, Gegenstände, Materialien, Stoffe oder elektronischen Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern; Rückruf des rechtsverletzenden Produkts; dauerhafte Entfernung der rechtsverletzenden Produkte aus den Vertriebswegen; Auskunft über rechtsverletzende Produkte; Schadensersatz (auch bei Verletzung der Auskunftspflicht); Gewinnabschöpfung.
Die Ansprüche können (bis auf Schadensersatz und Gewinnabschöpfung) ausgeschlossen sein, wenn „die Erfüllung im Einzelfall unverhältnismäßig wäre“. Inwieweit der Anspruch besteht, hängt von verschiedenen Faktoren im Einzelfall ab, beispielsweise der Wert des Geheimnisses für das Unternehmen, Umfang der getroffenen Schutzmaßnahmen, Folgen der Verletzung, vorsätzliches oder fahrlässiges Verhalten des Rechtsverletzers, ggf. auch das berechtigte Interesse Dritter oder der Öffentlichkeit.
Das GeschGehG trifft neue prozessuale Vorkehrungen, um Geschäftsgeheimnisse im Gerichtsverfahren vertraulich zu behandeln. So kann das Verfahren auf Antrag einer Partei als geheimhaltungsbedürftig eingestuft werden, so dass alle Prozessbeteiligten zur vertraulichen Behandlung der Informationen verpflichtet sind. Auch der Zugang zu Beweismitteln, das Recht auf Akteneinsicht und die Öffentlichkeit im Gerichtstermin kann auf Antrag beschränkt werden.
Stand: Juli 2021
Diese IHK-Information wurde mit der gebotenen Sorgfalt bearbeitet. Eine Gewähr für die Richtigkeit und Vollständigkeit der Erläuterungen kann jedoch nicht übernommen werden.