Fachthemen
Der Schutz von Geschäftsgeheimnissen
Das Geschäftsgeheimnisgesetz formuliert für Unternehmen die Anforderungen an die Geheimhaltung von Betriebs- und Geschäftsgeheimnissen.
Stand: April 2024
Seit April 2019 gilt das Geschäftsgeheimnisgesetz (GeschGehG). Ein Muster einer Geheimhaltungsvereinbarung (sog. Non Disclosure Agreement, kurz: NDA) finden Sie auf dieser Seite unter “Weitere Informationen”.
1. Was sind Geschäfts- und Betriebsgeheimnisse?
Kurz gesagt handelt es sich bei Geschäfts- und Betriebsgeheimnissen um Informationen, die gegenüber Wettbewerbern und der Öffentlichkeit geheim gehalten werden sollen. Beide Kategorien können einen hohen wirtschaftlichen Wert für Unternehmen darstellen.
Geschäftsgeheimnisse sind beispielsweise: Kalkulationspläne, Auftrags-, Kunden- und Lieferantendaten, Marktanalysen, Geschäftsstrategien, Businesspläne, Kreditwürdigkeit, Personalangelegenheiten, Marketingkonzepte.
Beispiele für Betriebsgeheimnisse sind: Technisches Know-How (Erfindungen, Zeichnungen, Algorithmen, Prototypen etc.), Konstruktionspläne, Herstellungsverfahren.
Diese Informationen sind nur geschützt, wenn sie geheim, von wirtschaftlichem Wert sind und außerdem durch angemessene Maßnahmen geschützt sind (vgl. § 2 Nr. 1 GeschGehG).
2. Angemessene Geheimhaltungsmaßnahmen
Der Geheimhaltungswille muss durch objektive Geheimhaltungsmaßnahmen nachgewiesen werden. Daher ist es wichtig, zum Schutz von Geschäfts- und Betriebsgeheimnissen und vertraulichen Informationen technische, organisatorische und / oder rechtliche Maßnahmen zu treffen. Diese Vorkehrungen sind auch zu dokumentieren, da der Geheimnisinhaber im Streitfall beweisen muss, dass es sich um ein schützenwertes Geheimnis handelt. Andernfalls ist das Geheimnis nicht geschützt und es bestehen keine Ansprüche, wie z. B. auf Unterlassung der Beeinträchtigung und/oder Schadensersatzansprüche.
Unternehmen müssen also aktiv Maßnahmen zur Geheimhaltung treffen und dokumentieren.
Welche Anforderungen Gerichte als „angemessen“ betrachten, wird man abwarten müssen. Anhaltspunkte für die Beurteilung der Angemessenheit dürften z. B. der Wert des Geheimnisses für das Unternehmen sein, aber auch die Größe des Unternehmens, Aufwand, Kosten und Üblichkeit der Schutzmaßnahmen. Je wichtiger dem Unternehmen die Information ist, desto höhere Anforderungen dürften gestellt werden.
Es empfiehlt sich daher – ähnlich wie bei einer Risikobewertung nach der Datenschutzgrundverordnung – ein abgestuftes Schutzkonzept für die geheim zuhaltenden Informationen zu erstellen. Die geheimhaltungsbedürftigen Informationen müssen zunächst identifiziert werden und sollten dann nach Wichtigkeit klassifiziert werden. Die Klassifizierung dient dazu, den angemessenen Schutzbedarf für die jeweilige Information festzulegen, z. B. kann eine Gruppierung in Geheimhaltungsstufen erfolgen:
1. Existenzielle Informationen („Schlüssel-Know-How“)
2. Strategisch wichtige Informationen
3. Sonstige im Wettbewerb relevante Informationen
1. Existenzielle Informationen („Schlüssel-Know-How“)
2. Strategisch wichtige Informationen
3. Sonstige im Wettbewerb relevante Informationen
Als Schutzmaßnahmen kommen insbesondere in Betracht:
- Geheimhaltungsvereinbarungen (sog. Non Disclosure Agreements, kurz: NDA) oder vertragliche Geheimhaltungsklauseln; bestehende Vereinbarungen sollten überprüft und ggf. der Schutzgegenstand konkretisiert werden und welche Schutzmaßnahmen die andere Seite einhalten soll; oft enthalten derartige Vereinbarungen nur abstrakt und allgemein, welche Informationen „geheim“ sein sollen.
- Geheimhaltungsverpflichtung von Mitarbeitern im Arbeitsvertrag oder per separater Vereinbarung
- Vertraulichkeitsvermerke auf Dokumenten
- Technisch-organisatorische Maßnahmen (wie sie im Datenschutz und in der IT-Sicherheit bekannt sind), z. B. Verschlüsselung, Firewalls, 2-Faktor-Authentifizierung, abgestufte Berechtigungskonzepte, wer auf welche Informationen (Dokumente, Datenverarbeitungssysteme, Dateien, technische Verfahren etc.) zugreifen und in welchem Umfang nutzen darf
- Speicherung von Geheimnissen auf unternehmenseigenen Geräten/Medien; keine Speicherung auf privaten Geräten des Mitarbeiters
- Maßnahmen, wonach Informationen bei Übermittlung oder Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und der richtige Empfänger vorher ausreichend geprüft und festgestellt wird (sog. „Weitergabekontrolle“)
- Sicherheitsvorgaben an Dienstleister und Geschäftspartner; auch an solche Dienstleister, die im Auftrag Daten verarbeiten
- Interne Richtlinien und Arbeitsanweisungen
- Schulung von Mitarbeitern
- Kontrolle der getroffenen Maßnahmen
Letztlich ist im Einzelfall zu überprüfen, welche Geheimnisse mit welchen angemessenen Mitteln wirksam geschützt werden können. Dies dürfte davon abhängen, um welche Art von Geheimnis es sich handelt und welche Mitarbeiter und Geschäftspartner davon Kenntnis erhalten sollen; eine allgemeingültige Lösung gibt es nicht.
Wichtig: Die Erlangung, Nutzung oder Offenlegung vertraulicher Informationen durch sogenannte „Whistleblower“ zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens – sofern das öffentliche Interesse betroffen ist – verstößt nicht gegen das GeschGehG.
Achtung: Nach dem GeschGehG ist das sogenannte Re-Engineering ausdrücklich erlaubt. Dies bedeutet, dass das Ermitteln von Geschäftsgeheimnissen durch Beobachten, Untersuchen, Rückbauen oder Testen an in Verkehr gebrachten oder rechtmäßig erlangten Produkten oder Gegenständen zulässig ist. Reverse Engineering kann allerdings vertraglich im Voraus ausgeschlossen werden. Insbesondere sollten bestehende Verträge, bei denen schützenswertes Know-How weitergegeben wurde (z. B. in Lieferketten), überprüft und angepasst werden.
Der Ausschluss sollte per individueller vertraglicher Regelung und nicht in Allgemeinen Geschäftsbedingungen (AGB) erfolgen, da Reverse Engineering grundsätzlich im GeschGehG gestattet ist. Von einem solchen Leitbild im Gesetz kann nicht mittels AGB abgewichen werden.
Vorsicht: AGB liegen bereits bei Bedingungen vor, die für eine Vielzahl von Verträgen vorformuliert und dafür gedacht sind, mehrfach verwendet zu werden, und die dem Vertragspartner einseitig vorgegeben werden. Damit handelt es sich in der Regel auch bei standardisierten Geheimhaltungsvereinbarungen um AGB.
Begrenzt werden kann Reverse Engineering auch durch andere Gesetze wie z. B. durch das Urheber-, Patent- oder Markenrecht, sofern diese im konkreten Fall Anwendung finden.
3. Ansprüche bei Geheimnisverletzung
Unternehmen können sich gegen die unerlaubte Erlangung, Nutzung oder Offenbarung von Geschäftsgeheimnissen rechtlich wehren. Das GeschGehG hat diese Ansprüche erweitert z. B. mit dem Recht auf Rückruf und Vernichtung.
Zusammengefasst stehen dem Geheimnisinhaber bei einer Geheimnisverletzung ggf. folgende zivilrechtliche Ansprüche zu:
- Beseitigung bzw. Unterlassung der Beeinträchtigung
- Vernichtung oder Herausgabe der im Besitz oder Eigentum des Rechtsverletzers stehenden Dokumente, Gegenstände, Materialien, Stoffe oder elektronischen Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern
- Rückruf des rechtsverletzenden Produkts
- dauerhafte Entfernung der rechtsverletzenden Produkte aus den Vertriebswegen
- Vernichtung der rechtsverletzenden Produkte
- Auskunft über rechtsverletzende Produkte
- Schadensersatz (auch bei Verletzung der Auskunftspflicht)
- Gewinnabschöpfung
Diese Ansprüche können bei Unverhältnismäßigkeit ausgeschlossen sein. Inwieweit der Anspruch besteht, hängt von verschiedenen Faktoren im Einzelfall ab, wie der Wert des Geheimnisses für das Unternehmen, Umfang der Schutzmaßnahmen, Folgen der Verletzung, Verhalten des Rechtsverletzers (vorsätzlich/fahrlässig), ggf. auch das berechtigte Interesse Dritter oder der Öffentlichkeit (siehe § 9 GeschGehG).
Exkurs zur Geheimhaltungsvereinbarung: Bei zivilrechtlichen Ansprüchen, insbesondere Schadensersatz, muss der Inhaber des Geschäftsgeheimnisses den Schadensersatzanspruch darlegen und beweisen. Eine solche Beweisführung gelingt nicht immer. Mit einer Geheimhalthaltungsvereinbarung lässt sich dieses Risiko einschränken, indem eine Vertragsstrafe für den Fall einer unberechtigten Nutzung oder Offenlegung von Geschäftsgeheimnissen vereinbart wird. Die Vertragsstrafe kann eine der Höhe nach fest bezifferte Summe sein, oder auch flexibel gestaltet sein, so dass die Höhe im Ermessen des Geheimnisinhabers steht und im Streitfall vom zuständigen Gericht zu überprüfen ist. Vorteil: Behauptet der Schädiger eine geringere Höhe, muss er dies nachweisen.
Neben der Vertragsstrafe sollte eine Geheimhaltungsvereinbarung den Geschäftspartner dazu verpflichten, dass er selbst angemessene Schutzmaßnahmen hinsichtlich der ihm offengelegten geheimen Informationen zu treffen hat. Außerdem sollte das Re-Engineering ausgeschlossen werden. Bereits bestehende Geheimhaltungsvereinbarungen sollten zu diesen Punkten aktualisiert werden.
Das GeschGehG trifft auch prozessuale Vorkehrungen, um Geschäftsgeheimnisse im Gerichtsverfahren vertraulich zu behandeln. So kann das Verfahren auf Antrag einer Partei als vertraulich eingestuft werden, so dass alle Prozessbeteiligten zur vertraulichen Behandlung der Informationen verpflichtet sind. Auch der Zugang zu Beweismitteln, das Recht auf Akteneinsicht und die Öffentlichkeit im Gerichtstermin kann auf Antrag beschränkt werden.
Dieses Merkblatt soll – als Service Ihrer IHK – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.