Der Schutz von Geschäftsgeheimnissen

Seit dem 26. April 2019 ist das Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten. Das GeschGehG verschärft die Anforderungen an die Geheimhaltung von Betriebs- und Geschäftsgeheimnissen.

Was sind Geschäfts- und Betriebsgeheimnisse?

Kurz gesagt handelt es sich bei Geschäfts- und Betriebsgeheimnisse um Informationen, die gegenüber Wettbewerbern und der Öffentlichkeit geheim gehalten werden sollen. Beide Kategorien können einen hohen wirtschaftlichen Wert für Unternehmen darstellen.
Geschäftsgeheimnisse können beispielsweise sein: Kalkulationspläne, Auftrags-, Kunden- und Lieferantendaten, Einkaufspreise, Marktanalysen, Geschäftsstrategien, Businesspläne, Kreditwürdigkeit, Personalangelegenheiten, Marketingkonzepte.
Beispiele für Betriebsgeheimnisse können sein: Technisches Know-How (Erfindungen, Zeichnungen, Algorithmen, Prototypen etc.), Konstruktionspläne, Herstellungsverfahren.
Diese Informationen sind nur geschützt, wenn sie geheim, von wirtschaftlichem Wert sind und außerdem – und das ist neu nach dem GeschGehG  - durch angemessene Maßnahmen geschützt sind (vgl. §2 Nr. 1 GeschGehG).

Angmessene Geheimhaltungsmaßnahmen

Die Erforderlichkeit aktiv Schutzmaßnahmen zu treffen und nachzuweisen, gab es rechtlich bisher so nicht. Bisher reichte Gerichten ein erkennbarer subjektiver Geheimhaltungswille an bestimmten Informationen aus. Dieser Wille muss nun auch durch objektive Geheimhaltungsmaßnahmen nachgewiesen werden. Daher ist es wichtig, zum Schutz von Geschäfts- und Betriebsgeheimnissen und vertraulichen Informationen technische, organisatorische und/oder rechtliche Maßnahmen zu treffen. Diese Vorkehrungen sind auch zu dokumentieren, da der Geheimnisinhaber im Streitfall beweisen muss, dass es sich um ein schützenwertes Geheimnis handelt. Andernfalls ist das Geheimnis nicht mehr geschützt und es bestehen keine Ansprüche, wie z.B. auf  Unterlassung der Beeinträchtigung und/oder Schadensersatzansprüche.
Unternehmen müssen also aktiv Maßnahmen zur Geheimhaltung treffen  und dokumentieren.
Welche Anforderungen Gerichte künftig als „angemessen“ betrachten, wird man abwarten müssen.  Anhaltspunkte für die Beurteilung der Angemessenheit dürften z.B. der Wert des Geheimnisses für das Unternehmen sein, aber auch die Größe des Unternehmens, Aufwand, Kosten und Üblichkeit der Schutzmaßnahmen. Je wichtiger dem Unternehmen die Information ist, desto höhere Anforderungen dürften gestellt werden. Es empfiehlt sich daher – ähnlich wie bei einer Risikobewertung nach der Datenschutzgrundverordnung –  ein abgestuftes Schutzkonzept für die geheimzuhaltenden Informationen zu erstellen. Die geheimhaltungsbedürftigen Informationen müssen zunächst identifiziert werden und sollten sodann nach Wichtigkeit klassifiziert werden. Die Klassifizierung dient dazu den angemessenen Schutzbedarf für die jeweilige Information festzulegen. z.B. kann eine Gruppierung in Geheimhaltungsstufen erfolgen:
  1. Existenzielle Informationen („Schlüssel-Know-How”)
  2. Strategisch wichtige Informationen
  3. Sonstige im Wettbewerb relevante Informationen
Als Schutznahmen kommen insbesondere in Betracht:
  • Geheimhaltungsvereinbarungen (sog. Non Disclosure Agreements, kurz: NDA) oder vertragliche Geheimhaltungsklauseln; bestehende Vereinbarungen sollten überprüft und ggf. der Schutzgegenstand konkretisiert werden und welche Schutzmaßnahmen die andere Seite einhalten soll; oft enthalten derartige Vereinbarungen nur abstrakt und allgemein welche Informationen “geheim” sein sollen
  • Geheimhaltungsverpflichtung von Mitarbeitern im Arbeitsvertrag oder per separater Vereinbarung
  • Vertraulichkeitsvermerke auf Dokumenten
  • Technisch-organisatorische Maßnahmen (wie sie im Datenschutz und in der IT-Sicherheit bekannt sind), z.B. Verschlüsselung, Firewalls, 2-Faktor-Authentifizierung, abgestufte Berechtigungskonzepte wer auf welche Informationen (Dokumente, Datenverarbeitungssysteme, Dateien, technische Verfahren etc.) zugreifen und in welchem Umfang nutzen darf
  • Speicherung von Geheimnissen auf unternehmenseigenen Geräten/Medien; keine Speicherung auf privaten Geräten des Mitarbeiters
  • Maßnahmen, wonach Informationen bei Übermittlung oder des Transportes nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und der richtige Empfänger vorher ausreichend geprüft und festgestellt wird (sog. „Weitergabekontrolle”)
  • Sicherheitsvorgaben an Dienstleister und Geschäftspartner; auch an solche Dienstleister, die im Auftrag Daten verarbeiten
  • Interne Richtlinien und Arbeitsanweisungen
  • Schulung von Mitarbeitern
  • Kontrolle der getroffenen Maßnahmen
Letztlich ist im Einzelfall zu überprüfen, welche Geheimnisse mit welchen angemessenen Mitteln wirksam geschützt werden können. Dies dürfte davon abhängen um welche Art von Geheimnis es sich handelt und welche Mitarbeiter und Geschäftspartner davon Kenntnis erhalten sollen; eine allgemeingültige Lösung gibt es nicht.
Wichtig: die Erlangung, Nutzung oder Offenlegung vertraulicher Informationen durch sogenannte „Whistleblower“ zur Aufdeckung einer rechtswidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens - sofern das öffentliche Interesse betroffen ist – verstößt nicht gegen das GeschGehG.
Achtung: Nach dem GeschGehG ist das sogenannte Re-Engineering - anders als bisher – ausdrücklich erlaubt. Dies bedeutet, dass das Ermitteln von Geschäftsgeheimnissen durch Beobachten, Untersuchen, Rückbauen oder Testen an in Verkehr gebrachten oder rechtmäßig erlangten Produkten oder Gegenständen zulässig ist. Reverse Engneering kann allerdings vertraglich im Voraus ausgeschlossen werden. Insbesondere sollten bestehende Verträge bei denen schützenswertes Know How weitergegeben wurde (z.B. in Lieferketten) überprüft und angepasst werden.
Der Ausschluss sollte per indiviudeller vertraglicher Regelung und nicht in Allgemeinen Geschäftsbedingungen (AGB) erfolgen, da Reverse Engineering grundsätzlich im GeschGehG gestattet ist. Von einem solchen Leitbild im Gestez kann nicht mittels AGB abgewichen werden. Vorsicht: AGB liegen bereits bei Bedingungen vor, die für eine Vielzahl von Verträgen vorformuliert und dafür gedacht sind mehrfach verwendet zu werden, und die dem Vertragspartner einseitig vorgegeben werden. Damit handelt es sich in der Regel auch bei standardisierten  Geheimhaltungsvereinbarungen um AGB.
Begrenzt werden kann  Reverse Engineering auch durch andere Gesetze wie z. B. durch das Urheber-, Patent- oder Markerecht, sofern diese im konkreten Fall Anwendung finden.

Ansprüche bei Geheimnisverletzung

Wie bisher auch können Unternehmen sich gegen die unerlaubte Erlangung, Nutzung oder Offenbarung von Geschäftsgeheimnissen rechtlich wehren. Das GeschGehG hat diese Ansprüche erweitert  z.B. Recht auf Rückruf und Vernichtung.
Zusammengefasst stehen dem Geheimnisinhaber bei einer Geheimnisverletzung ggf. folgende zivilrechtliche Ansprüche zu:
  • Beseitigung bzw. Unterlassung der Beeinträchtigung
  • Vernichtung oder Herausgabe der im Besitz oder Eigentum des Rechtsverletzers stehenden Dokumente, Gegenstände, Materialien, Stoffe oder elektronischen Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern
  • Rückruf des rechtsverletzenden Produkts
  • dauerhafte Entfernung der rechtsverletzenden Produkte aus den Vertriebswegen
  • Vernichtung der rechtsverletzenden Produkte
  • Auskunft über rechtsverletzende Produkte
  • Schadensersatz (auch bei Verletzung der Auskunftspflicht)
  • Gewinnabschöpfung
Diese Ansprüche können bei Unverhältnismäßigkeit ausgeschlossen sein. Inwieweit der Anspruch besteht, hängt von verschiedenen Faktoren im Einzelfall ab, wie der Wert des Geheimnisses für das Unternehmen, Umfang der Schutzmaßnahmen, Folgen der Verletzung, Verhalten des Rechtsverletzers (vorsätzlich/fahrlässig), ggf. auch das berechtigte Interesse Dritter oder der Öffentlichkeit (siehe §9 GeschGehG).
Exkurs zur Geheimhaltungsvereinbarung: Bei zivilrechtlichen Ansprüchen, insbesondere Schadensersatz, muss der Inhaber des Geschäftsgeheimnisses den Schadensersatzanspruch darlegen und beweisen. Eine solche Beweisführung gelingt nicht immer. Mit einer Geheimhalthaltungsvereinbarung lässt sich dieses Risiko einschränken, indem eine Vertragsstrafe für den Fall einer unberechtigten Nutzung oder Offenlegung von Geschäftsgeheimnissen vereinbart wird. Die Vertragsstrafe kann eine der Höhe nach fest bezifferte Summe sein, oder auch flexibel gestaltet sein, sodass die Höhe im Ermessen des Geheimnisinhabers steht und im Streitfall vom zuständigen Gericht zu überprüfen ist. Vorteil: Behauptet der Schädiger eine geringere Höhe, muss er dies nachweisen.
Neben der Vertragsstrafe sollte eine Geheimhaltungsvereinbarung den Geschäftspartner dazu verpflichten, dass er selbst angemessene Schutzmaßnahmen, hinsichtlich der im offengelegten geheimen Informationen, zu treffen hat. Außerdem sollte das Re-Engineering ausgeschlossen werden. Bereits bestehende Geheimhaltungsvereinbarungen sollten zu diesen Punkten aktualisiert werden.
Das GeschGehG trifft auch neue prozessuale Vorkehrungen, um Geschäftsgeheimnisse im Gerichtsverfahren vertraulich zu behandeln. So kann das Verfahren auf Antrag einer Partei als vertraulich eingestuft werden,  sodass alle Prozessbeteiligten zur vertraulichen Behandlung der Informationen verpflichtet sind. Auch der Zugang zu Beweismitteln, das Recht auf Akteneinsicht  und die Öffentlichkeit im Gerichtstermin kann auf Antrag beschränkt werden.

Formulierungs- und Checkliste für Geschäftsgeheimnisvereinbarungen (NDA)

Das GeschGehG stellt strengere Anforderungen als bisher an NDAs. Daher haben Unternehmensjuristen und Mitglieder des DIHK-Rechtsausschuss eine Formulierungs- und Checkliste für die Absicherung von Geschäftsgeheimnissen z. B. bei Geschäftsanbahnungen besonders für KMU erarbeitet. Dieser Vorschlag ist in englischer und deutscher Sprache auf der DIHK-Homepage zum Download verfügbar.