Gesetzlicher Schutz von Betriebs- und Geschäftsgeheimnissen und was ich dafür tun muss
Ein Beispiel: Ein Technologieunternehmen überlegt, mit einem anderen Unternehmen, das in einem ähnlichen Geschäftsfeld tätig ist, aber für eine bestimmte Anwendung besonderes Know-how hat, ein Produkt gemeinsam weiterzuentwickeln. Man befindet sich in ersten vielversprechenden Anbahnungsgesprächen und möchte alsbald zur Evaluierung erste Informationen über die jeweiligen speziellen Kenntnisse und Innovationen austauschen.
Diese stellen für unser Beispielsunternehmen einen wesentlichen Teil ihrer Assets dar. Zwar sind sie zumeist nicht mittels z.B. Patenten oder Geschmacksmuster geschützt, allenfalls urheberrechtlich. Aber als Betriebs- oder Geschäftsgeheimnis würde man sie – ganz unjuristisch – auf jeden Fall bezeichnen. Und man hält sie in der Firma als solche selbstverständlich auch als durch die Rechtsordnung ohne Weiteres geschützt.
Ein Irrtum?
Ein neues Gesetz hat hierfür entscheidende Bedeutung: Das sogenannte „Geschäftsgeheimnisgesetz“
Am 26. April 2019 trat das völlig neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft. Es ist die Umsetzung der EU-Geschäftsgeheimnis-Richtlinie (Gesch-Geh-RL) 2016/943 in nationales Recht.
Das GeschGehG ersetzt als Spezialgesetz die bisherigen, nun ersatzlos wegfallenden §§ 17 bis 19 des Gesetzes gegen den unlauteren Wettbewerb (UWG). Das ist zu begrüßen, war doch die Materie Geheimnisschutz unübersichtlich und teils zersplittert geregelt mittels strafrechtlicher Tatbestände, im Lauterkeitsrecht oder als geistiges Eigentum, vertraglich sowie im Arbeitsrecht – divergierende Gerichtszuständigkeiten inklusive.
Warum ist das so wichtig?
Ganz einfach: Der Inhaber von Informationen, die er als Geschäfts- oder Betriebsgeheimnis ansieht, muss diese nun – mehr noch als vielleicht zuvor – aktiv schützen. Unterlässt er es, hilft ihm das geltende Recht nicht, wenn jemand diese Informationen unbefugt an sich bringt oder nutzt. Denn dann unterfällt sie schlicht nicht der neuen Definition von „Geschäftsgeheimnis“.
Und dann fällt der gesetzliche Schutz weg, einschließlich der vielen darin dem Geheimnisinhaber gewährten Rechte und Ansprüche gegen einen Verletzer. Hinsichtlich der in den Informationen verkörperten schützenswerten Assets des Unternehmens wie technisches Know-how, IP, Konzepte oder Geschäftsstrategien bleibt dann nur noch der Immaterialgüterschutz (Urheberrechte, Patente etc.) – sofern man sich darum gekümmert hat.
Was ist also nach dem Gesetz ein Geschäftsgeheimnis?
Das neue Gesetz definiert in § 2 Nr. 1 den Begriff des Geschäftsgeheimnisses, also derjenigen Informationen, die überhaupt in den Schutz der neuen Bestimmungen kommen. Schon hier besteht ein erster wichtiger Unterschied zur bisherigen Rechtslage. § 17 UWG definierte Informationen als Geschäftsgeheimnis, wenn sie sich auf ein Unternehmen bezog, nicht offenkundig war und vom Geheimhaltungswillen des Inhabers getragen war, der ein Geheimhaltungsinteresse hatte.
Das GeschGehG setzt zunächst vergleichbar voraus, dass die Information nicht offenkundig und daher von wirtschaftlichem Wert ist. Verschärfend im Vergleich zum bisherigen Geheimhaltungswillen und -interesse wird nun aber verlangt, dass der Inhaber der Information diese mittels den Umständen nach angemessenen Geheimhaltungsmaßnahmen schützen muss und er ein berechtigtes Interesse an der Geheimhaltung der Information hat. Darin liegt die entscheidende neue Anforderung, die zwingend beachtet werden muss. Anders als bisher, wo der Geheimhaltungswille vermutet wurde, müssen nun Geheimnisse aktiv als solche geschützt werden (dazu unten eingehend). Dagegen entfällt der Unternehmensbezug, ebenso wird nicht mehr zwischen kaufmännischen Informationen und technischem Know-how unterschieden. Im Beispielsfall wären womöglich beide Kategorien vertraulicher Informationen berührt.
Welche Informationen sind überhaupt gemeint?
Das GeschGehG schützt so verschiedene Informationen wie Konstruktionspläne, Skizzen, Verfahren, Prototypen oder Algorithmen (Know-how) oder Markt-Strategien, Business-Pläne, Kundenlisten etc. (Geschäftsinformationen), aber etwa auch private Informationen, wenn diese von wirtschaftlichem Wert sind, wie es beispielsweise bei der Frage, ob der gesundheitlich angeschlagene Konzernchef das Unternehmen noch erfolgreich führen kann.
Geheim, also nicht offenkundig heißt …
…, dass die Information „weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen oder den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist“. Das Gesetz stellt hier also auf einen bestimmten Kreis an Personen ab, für welchen – ausgehend von ihren üblichen Kenntnissen – die Information neu sein muss bzw. die praktisch überhaupt Zugang zu der Information haben können. Nicht allgemein bekannt ist eine Information, die nur dem Inhaber oder nur solchen Dritten bekannt ist, die zur Vertraulichkeit verpflichtet sind. Im Beispiel ist das Wissen um diese vertraulichen Informationen zumindest auf die Mitarbeiter beschränkt.
Wirtschaftlicher Wert?
Das neue Merkmal des wirtschaftlichen Wertes ist weit auszulegen und erfüllt, wenn die Information einen (potentiellen) Handelswert hat. Erwägungsgrund 14 der Gesch-Geh-RL sieht das als gegeben an, wenn die unbefugte Nutzung oder Offenbarung der Information ihren Inhaber „aller Voraussicht nach dadurch schädigt, dass das wissenschaftliche oder technische Potential, die geschäftlichen oder finanziellen Interessen, die strategische Position oder die Wettbewerbsfähigkeit dieser Person untergraben werden“. Es wird folglich vertreten, dass dies auch für negative Informationen, etwa die drohende Zahlungsunfähigkeit, gelten soll.
Hier ist das bei den auszutauschenden Information, die den Kern des verwertbaren Know-hows des Beispielsunternehmens betreffen, auf jeden Fall gegeben.
Most important: Angemessene Geheimhaltungsmaßnahmen
Maßgeblich für das tägliche Doing ist die Anforderung, angemessene Geheimhaltungsmaßnahmen zu implementieren. Unterlässt der Inhaber solche Maßnahmen, so verliert die Information ihren Geheimnisschutz durch das GeschGehG. Die Geheimhaltungsmaßnahmen müssen nicht nur implementiert, sondern auch dokumentiert und über die Zeit immer wieder angepasst werden. Hier ergeben sich Parallelen zu den sog. technisch-organisatorischen Maßnahmen, wie wir sie aus dem Datenschutz kennen. Nur bei Einsatz solcher Maßnahmen, so die Erwägungen des deutschen und des europäischen Gesetzgebers, kann der Inhaber berechtigter Weise die Vertraulichkeit von seinen Mitarbeitern, Geschäftspartnern etc. erwarten.
Das Erfordernis der angemessenen Schutzmaßnahmen, kennt man bereits seit langem aus dem Ausland, etwa den USA oder dem TRIPS-Abkommen. Hier eine Angleichung auf europäischer Ebene zu schaffen, dient gewiss der Rechtssicherheit im internationalen Geschäftsverkehr.
Aber was heißt das für unser Unternehmen konkret?
Vor allem: Wann ist welche Maßnahme zum Geheimnisschutz angemessen? Nun, sie muss ganz allgemein der Information und ihrer Bedeutung entsprechen. Nicht verlangt sind absolut wirksame, also unüberwindbare Maßnahmen. Kriterien sind hierbei vor allem der Wert des Geheimnisses, sowohl insgesamt als für das Unternehmen, die Größe des Unternehmens, die Kosten und die Üblichkeit der Maßnahmen.
Diese können bestehen in der Kennzeichnung als vertraulich, entweder der einzelnen Information oder – praktikabler – bestimmter Kategorien von Informationen, sofern sich deren Geheimnischarakter nicht schon aus den Umständen ergibt. Des Weiteren sollten Vertraulichkeitspflichten ausdrücklich vertraglich geregelt werden. Dies empfiehlt sich zur Sicherheit auch dann, wenn sich eine solche Pflicht schon aus einem bestehenden Vertrag, etwa einem Arbeitsvertrag, qua natura ergibt. Solche Informationen sollten auch wirklich nur jenen Mitarbeitern zugänglich gemacht werden, die die Informationen zwingend für ihre Tätigkeit benötigen („Need-to-know“-Prinzip), also der Kreis der Involvierten begrenzt werden. Nicht zuletzt sind technische Schutzmaßnahmen zu nennen wie wir sie auch als TOMs im Datenschutz kennen, etwa Firewalls, Passwortschutz usw.
Plus: Berechtigtes Interesse
…, das sich in der Gesch-Geh-RL nicht findet, aber in der deutschen Umsetzung. Es wird wohl vermutet, wenn die übrigen Voraussetzungen von § 2 Nr. 1 GeschGehG vorliegen.
Wovor schützt das GeschGehG nun und welche Ansprüche hat der Geheimnisinhaber bei Verletzung der Vertraulichkeit?
Vor der unbefugten Erlangung sowie vor der unbefugten Nutzung oder Offenlegung von Geschäftsgeheimnissen, vor deren Erwerb, Offenlegung oder Nutzung durch Dritte und vor dem Vertrieb von das Geschäftsgeheimnis verletzenden Produkte. Unbefugt ist die Handlung, wenn der Zugriff auf bzw. die Nutzung des Geschäftsgeheimnisses sich nicht von einer, z.B. vertraglichen, Befugnis gedeckt ist. Sofern das Geheimnis über einen Dritten erlangt wurde, der seinerseits gegen das GeschGehG verstoßen hat, muss der Erwerber von diesem Verstoß wissen oder fahrlässig Unkenntnis gehabt habenb, um belangt werden zu können. Es müssen also bestimmte Anhaltspunkte dafür vorliegen.
Im Fall der Fälle kann der Inhaber, ähnlich wie im Marken-, Urheber- oder Patentrecht, nach § 6 GeschGehG Unterlassungs- und Beseitigungsansprüche geltend machen, daneben nach § 7 auch die Vernichtung von Dokumenten und Dateien, sowie Rückruf, Vernichtung und Rücknahme des verletzenden Produkts vom Markt verlangen. § 8 gewährt – ebenfalls vergleichbar dem Immaterialgüterrecht – einen Auskunftsanspruch z.B. hinsichtlich der Quellen, verletzende Produkte, oder Verkörperungen (etwa Speichermedien) des Geheimnisses etc.
Zu guter Letzt kann nach § 10 GeschGehG Schadensersatz verlangt werden, wobei bei dessen Bemessung auch der Gewinn des Verletzers berücksichtigt wird sowie die angemessene Vergütung, die für die Zustimmung zur Erlangung, Nutzung oder Offenlegung des Geheimnisses zu bezahlen wäre. Zudem kann auch ein immaterieller, d.h. Nichtvermögensschaden wie z.B. Rufschädigung geltend gemacht werden.
Und das eben auch schon in einem frühen Stadium einer noch zu fixierenden Kooperation wie im Beispiel.
Das heißt:
Angesichts dieses Instrumentariums und schon allein aufgrund des Umstandes, dass sonst keinerlei Geheimnisschutz durch das Gesetz gewährt wird, lohnt also auf jeden Fall der Aufwand, entsprechende Schutzmaßnahmen zu implementieren.
Im Beispiel hieße das wie beschrieben vor allem, eine taugliche (und wirksame) Vertraulichkeitsvereinbarung mit dem Kooperationspartner abzuschließen, nur denjenigen Mitarbeitern Zugang zu den Geschäftsgeheimnissen zu gewähren, die diese Informationen zwingend zur Erfüllung ihrer Entwicklungsaufgaben benötigen sowie die – hoffentlich vorhandenen – IT-Sicherheitsmaßnahmen einschließlich Berechtigungssystemen und technischem Schutz zu beherzigen. Dann steht einem gewinnbringenden Austausch von Know-how nichts mehr im Wege.
Schutz von Geschäftsgeheimnis ohne Zutun gibt es ab jetzt nicht mehr.