Geschäftsgeheimnisgesetz verabschiedet

Unternehmen müssen für den Schutz von Geschäftsgeheimnissen aktiv werden

| Autor / Redakteur: Simone Rosenthal / Peter Schmitz

Bisher waren die Anforderungen an Unternehmen gering, um eine Information als Geschäftsgeheimnis zu schützen. In Zukunft müssen sie sich an die neue gesetzliche Definition halten, die auch neue Herausforderungen mit sich bringt.
Bisher waren die Anforderungen an Unternehmen gering, um eine Information als Geschäftsgeheimnis zu schützen. In Zukunft müssen sie sich an die neue gesetzliche Definition halten, die auch neue Herausforderungen mit sich bringt. (© olly - stock.adobe.com)

Das neu beschlossene Geschäftsgeheimnis­gesetz (GeschGehG) soll Unternehmen besser dabei helfen, vertrauliches Know-how und vertrauliche Geschäftsinformationen zu schützen. Durch die Änderungen des neuen Gesetzes müssen Unternehmen aber schnell tätig werden.

Am 21. März 2019 hat der Deutsche Bundestag das Geschäftsgeheimnisgesetz (GeschGehG) beschlossen. Dabei handelt es sich um ein neues Gesetz zur Umsetzung der Vorgaben der Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Entsprechende Regelungen fanden sich bisher in §§ 17 ff. UWG, die jedoch nur den strafbewehrten Schutz von Geschäfts- und Berufsgeheimnissen erfassten. Diese Regelungen werden durch das GeschGehG ersetzt und durch zahlreiche weitere Vorschriften ergänzt. Für Unternehmen hat das GeschGehG zentrale Bedeutung, da Geschäftsgeheimnisse häufig einen bedeutenden Unternehmenswert darstellen können. Sie können nicht nur einen Vorteil gegenüber Wettbewerbern versprechen, sondern auch grundlegend für das Geschäftsmodell sein. Dies trifft nicht nur auf große Konzerne zu, sondern auch auf Start-Ups mit guten Ideen und durchdachtem Geschäftsmodell.

Möchten Unternehmen unter dem neuen Gesetz weiterhin ihre Geschäftsgeheimnisse schützen, dann sollten sie schnell tätig werden. In der sog. „Know-How-Richtlinie“ finden sich umfassendere Regelungen als nach der bisherigen nationalen Rechtslage, weshalb an die Umsetzung ins nationale Recht hohe Erwartungen gestellt wurden. Dies erinnert an die Zeit kurz vor Inkrafttreten der DSGVO und tatsächlich haben Unternehmen, die bereits bei der Umsetzung der Anforderungen der DSGVO gründlich gearbeitet haben, bereits dort für das GeschGehG wertvolle Vorarbeit geleistet. Diese kann ihnen das Herangehen an die neuen Herausforderungen erleichtern.

Was ist ein Geschäftsgeheimnis und welche Herausforderungen stellen sich?

Bisher waren die Anforderungen an Unternehmen gering, um eine Information als Geschäftsgeheimnis zu schützen. Die deutsche Rechtsprechung hat lediglich einen entsprechenden Willen gefordert. Dieser Geheimhaltungswille musste noch nicht einmal ausdrücklich geäußert werden, wenn er sich schon aus der Natur der geheimzuhaltenden Tatsache ergeben hat. Aus einem objektiv wirtschaftlichen Geheimhaltungsinteresse wurde ein Geheimhaltungswille zudem einfach abgeleitet. War die Information des Weiteren noch unternehmensbezogen und nicht offenkundig, so konnte sie bereits dem Geheimnisschutz unterliegen.

In Zukunft werden Unternehmen sich allerdings an die neue gesetzliche Definition des Geschäftsgeheimnisses halten müssen, die neue Herausforderungen mit sich bringt. Danach kann sich nur auf ein Geschäftsgeheimnis berufen, wer sein Know-how durch nach außen hin erkennbare (objektive) angemessene Geheimhaltungsmaßnahmen geschützt hat und ein berechtigtes Interesse an der Geheimhaltung hat.

Die Notwendigkeit eines berechtigten Geheimhaltungsinteresses fehlte im Regierungsentwurf noch. Diese Voraussetzung findet sich nicht explizit in der Definition nach der Know-how-Richtlinie wieder. Grund für die Einführung war, dass der Anwendungsbereich des GeschGehG verengt werden sollte. Ein Unternehmen soll nicht solche Informationen schützen dürfen, die objektiv nicht schützenswert sind. Zudem wird dadurch die Presse darin gestärkt, Missstände aufzudecken.

Das Erfordernis Know-how durch erkennbare angemessene Geheimhaltungsmaßnahmen zu schützen, hat zur Folge, dass nun Handlungsbedarf besteht, wenn wichtiges Know-how oder andere schützenswerte Informationen dem Geheimnisschutz unterfallen sollen.

Doch was muss getan werden? Um das zu wissen, muss zunächst einmal festgestellt werden, was eine „angemessene“ Maßnahme ist. Dies lässt sich nicht pauschal bestimmen, sondern muss im Einzelfall beantwortet werden. Es müssen also je nach Art, Wert und Verwendungszweck der schützenswerten Information unterschiedliche Geheimhaltungsmaßnahmen ergriffen werden. Hier zeigt sich die Dynamik des Begriffs, die den Unternehmen einen gewissen Handlungsspielraum in Bezug auf die zu ergreifenden Maßnahmen verleiht. Genau das kann aber gefährlich werden für Unternehmen, wenn sie falsch einschätzen, für welche Informationen strenge Geheimhaltungsmaßnahmen notwendig sind und für welche nicht. Sind die angesetzten Geheimhaltungsmaßnahmen zu niedrig, so ist die Information nicht als Geheimnis geschützt und das Unternehmen kann die Inhaberschaft an der Information verlieren.

Es empfiehlt sich deshalb, möglichst abschließend zu erfassen, welche Informationen geheim gehalten werden sollen. Hier haben die Unternehmen, die bereits Erfahrung mit dem Führen von datenschutzrechtlichen Verarbeitungsverzeichnissen nach Art. 30 DSGVO haben, einen Vorteil. Auf diese Erfahrungen kann zurückgegriffen werden, da es sich aus Beweisgründen im Rechtsstreit empfiehlt (s.u.) in einem Verzeichnis zu ermitteln, welche Geschäftsgeheimnisse es gibt und wie geheimnisträchtig sie zu bewerten sind. Dabei sollte auch ermittelt und festgehalten werden, welchen Mitarbeitern und Geschäftspartnern die jeweiligen Geschäftsgeheimnisse bekannt sind bzw. bekannt gemacht werden sollen.

Besonderes Augenmerk bei der Prüfung des Status quo sollte z.B. auf Informationen wie Kundendaten, Bilanzen, Daten über Zulieferer, Kalkulationen, Prototypen, Pläne, Rezepturen, Algorithmen, Source Codes und die Dokumentationen der Programmierer gelegt werden.

Welche Maßnahmen können ergriffen werden?

Damit eine Information zu einem Geschäftsgeheimnis wird, müssen im nächsten Schritt nach der neuen Definition angemessene Maßnahmen ergriffen werden. Gerade da die zu ergreifenden Maßnahmen immer vom Einzelfall (z.B. Art und Wert der Information, Kreis der Mitwisser, Kontext der Nutzung) abhängen, empfehlen wir, eine dreiteilige Prüfung hinsichtlich zu ergreifender angemessener Maßnahmen vorzunehmen:

Organisatorische Maßnahmen: Im ersten Schritt sollten organisatorische Maßnahmen ergriffen werden. Dazu gehört die Klärung der Verantwortlichkeit für den Schutz von Informationen im Unternehmen. Die Mitarbeiter müssen im Umgang mit Geschäftsgeheimnissen geschult und sensibilisiert werden. Damit sie mit den schützenswerten Informationen auch richtig umgehen können, müssen diese als vertraulich gekennzeichnet bzw. erklärt werden. Zur Aufklärung gehört auch, was Whistleblowing bedeutet und welche Konsequenzen es hat. Abhängig vom Umfang der zu kennzeichnenden Information hält sich der Aufwand für die Maßnahmen in Grenzen, sie müssen allerdings gut dokumentiert werden.

Technische Maßnahmen: Den zweiten Schritt stellen technische Maßnahmen dar. Diese bezwecken die als geheimnisträchtig ermittelten Informationen vor unberechtigtem Zugriff zu schützen. Der Fokus liegt also auf IT-Sicherheit. Auch hier haben Unternehmen, die bereits nach Art. 32 DSGVO geeignete technische Maßnahmen ergriffen haben, einen Vorteil. Allerdings gilt auch hierbei, dass je nach Information ein anderer Maßstab an die Angemessenheit der Maßnahme angesetzt werden muss.

Rechtliche Maßnahmen: Der dritte Schritt betrifft die rechtlichen Maßnahmen. Auch diese können entscheidend zum Geheimnisschutz beitragen. Wichtig ist hier, dass der Inhaber des Geschäftsgeheimnisses nachweisen muss, dass er die rechtmäßige Kontrolle über die Information hält. Ein großes Risiko im Schutz von Geschäftsgeheimnissen sind oftmals die eigenen Mitarbeiter. Diese sind bereits aufgrund der arbeitsvertraglichen Nebenpflichten zur Verschwiegenheit verpflichtet. Für einen effektiven Geheimnisschutz empfiehlt es sich allerdings, konkrete Geheimhaltungsvereinbarungen abzuschließen.

Die vom GeschGehG geforderte Kontrolle über das Geheimnis kann nur erreicht werden, wenn der Empfänger dazu verpflichtet wird, ebenfalls konkrete Geheimhaltungsmaßnahmen zu treffen. Was für die eigenen Mitarbeiter gilt, gilt im besonderen Maß für Geschäftspartner. Auch diese sollten entsprechend vertraglich zum Geheimnisschutz verpflichtet werden (durch sog. NDA: non-disclosure agreements).

Neu im deutschen Recht ist zudem die Zulässigkeit des sog. Reverse Engineering (Erlangung eines Geheimnisses durch Zurückentwickeln eines Produkts), das nach bisheriger Rechtslage überwiegend als unzulässig angesehen wurde. Durch vertragliche Regelung kann das Reverse Engineering jedoch – in gewissen Grenzen – weiterhin ausgeschlossen werden. Daher sollten entsprechende Vertragsgestaltungen z.B. mit Kunden, Lizenznehmern oder Partnern in Kooperationsverträgen getroffen werden.

Wie bleiben die ergriffenen Maßnahmen wirkungsvoll?

Damit die ergriffenen Maßnahmen auch über die Zeit Bestand haben, sollten sie aktualisiert und dokumentiert werden. Dazu empfiehlt es sich, ein Know-how-Management einzurichten, um sicherzustellen, dass für die Aktualisierung und Dokumentation der ergriffenen Maßnahmen klare Verantwortlichkeiten bestehen.

Die Dokumentation wird noch im Fall eines Rechtsstreits relevant werden und wird dem Unternehmer helfen können, da er hinsichtlich getroffener Geheimhaltungsmaßnahmen darlegungs- und beweisbelastet ist. Dieser Beweispflicht kann durch detaillierte Dokumentation nachgekommen werden.

Welche Vorteile bringt das GeschGehG mit sich?

Es hat sich gezeigt, dass das GeschGehG im Vergleich zu vorher den Unternehmern viel Aufwand abverlangt, wenn sie Know-how als Geschäftsgeheimnis deklarieren wollen. Allerdings bringt es den Vorteil, dass die Einschaltung der Gerichte und die Durchsetzung des Geheimnisschutzes erleichtert werden.

Fällt eine Information in den Schutzbereich, so hat der Geschäftsgeheimnisinhaber gegen den Verletzer des Geheimnisses Ansprüche auf Beseitigung und Unterlassung sowie auf Vernichtung, Herausgabe, Rückruf, Entfernung sowie Marktrücknahme der rechtsverletzenden Produkte, Dokumente, Gegenstände oder Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern. Wird das Geschäftsgeheimnis durch Mitarbeiter eines Unternehmens verletzt, können diese Pflichten auch das Unternehmen selbst treffen.

Zudem hat der Geschäftsinhaber ein Auskunftsrecht gegenüber dem Rechtsverletzer, z.B. über die Herkunft und die Empfänger von rechtswidrig erlangten oder offenbarten Geschäftsgeheimnissen. Dies soll ihm einen möglichst effektiven Schutz seines Geschäftsgeheimnisses ermöglichen.

Wer ein Geschäftsgeheimnis verletzt, ist auch nach dem GeschGehG schadensersatzpflichtig. Zusätzlich zur zivilrechtlichen Schadensersatzpflicht besteht bei der vorsätzlichen Verletzung des Geschäftsgeheimnisschutzes auch immer das Risiko einer Freiheitsstrafe oder Geldstrafe.

Whistleblowing erstmalig systematisch geschützt!

Das Geschäftsgeheimnisgesetz schützt nicht nur systematisch und umfassend die Geschäftsgeheimnisse, sondern regelt erstmalig auch den Fall des Whistleblowings. Eng damit verknüpft ist der Schutz von Journalisten, die im Rahmen investigativer Berichterstattungen oft auf firmeninterne Informationen zurückgreifen, die von Whistleblowern zugespielt werden. Dass dieser Schutz gewährleistet wird ist nicht selbstverständlich, da der ursprüngliche Gesetzentwurf noch das Gegenteil in Aussicht stellte und daher die Pressefreiheit als gefährdet angesehen wurde. Auf Journalisten und Whistleblower wären kostspielige Rechtsstreitigkeiten zugekommen, die sie davon abgeschreckt hätten, Missstände aufzudecken.

Zum einen können Unternehmen nun Informationen nicht mehr so einfach zum Geschäftsgeheimnis erklären (s.o.), sodass die Weitergabe nicht geschützter Informationen auch nicht in den Anwendungsbereich des Gesetzes fällt und Journalisten und Whistleblower die Sanktionen nicht fürchten müssen. Des Weiteren ist ausdrücklich geregelt, dass Journalisten keiner Strafverfolgung ausgesetzt werden, wenn sie von einem Whistleblower Geschäftsgeheimnisse entgegennehmen, auswerten und veröffentlichen.

Außerdem beinhaltet das GeschGehG eine Reihe von Ausnahmen, bei deren Vorliegen die Erlangung, Nutzung und Offenlegung von Geschäftsgeheimnissen nicht unter den Schutz des Gesetzes fallen und daher zulässig sind. Die Whistleblower sind insbesondere durch eine Ausnahme geschützt, nach der die Erlangung, Nutzung und Offenlegung von Geschäftsgeheimnissen geeignet ist, das allgemeine öffentliche Interesse zu schützen. Wenn ein allgemeines öffentliches Interesse vorliegt, muss der Whistleblower somit keine Sanktionen befürchten.

Zentrale arbeitsrechtliche Fragen zum Schutz von Whistleblowern kann das GeschGehG allerdings nicht beantworten. Dazu gehören etwa die Ausgestaltung sicherer Meldewege im Unternehmen oder die Reichweite der zulässigen Meldungen durch Arbeitnehmer.

Abhilfe wird erst eine geplante EU-Richtlinie schaffen. Diese wird derzeit noch vom europäischen Gesetzgeber verhandelt und voraussichtlich im Mai 2019 in Kraft treten. Danach muss die EU-Richtlinie jedoch noch von den Mitgliedstaaten in nationales Recht umgesetzt werden. Es wird daher noch ein wenig dauern, bis der Schutz von Whistleblowern unionsweit harmonisiert ist und ein größeres Maß an Rechtssicherheit herrscht.

Simone Rosenthal
Simone Rosenthal (Bild: SRD-Rechtsanwälte)

Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für Digitalisierung & Recht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45835558 / Sicherheits-Policies)