Dringender Handlungsbedarf beim Schutz von Geschäftsgeheimnissen

Isabelle Hohl

Dr. Cornelius Renner

Der Schutz von Geschäftsgeheimnissen ist für Unternehmen essentiell. Erste Gerichtsentscheidungen zum Geschäftsgeheimnisgesetz zeigen, wie wichtig es ist, angemessene Geheimhaltungsmaßnahmen zu implementieren. Nur so können sich Unternehmen auf den Schutz von Geschäftsgeheimnissen berufen.

18.03.2021 | IP-Recht

Vor mittlerweile zwei Jahren ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten und hat die alten Regelungen zu „Geschäfts- und Betriebsgeheimnissen“ in § 17 UWG ersetzt. Während kurz nach Inkrafttreten vielfach gemahnt wurde, Unternehmen müssten beim Schutz ihrer vertraulichen Informationen nachbessern, um sich auf den gesetzlichen Schutz berufen zu können, ist es mittlerweile etwas ruhiger geworden.

Dabei zeigt sich aktuell, dass für viele Unternehmen dringender Handlungsbedarf besteht. Denn es liegen mittlerweile eine Reihe von Gerichtsentscheidungen vor, die Unternehmen den Schutz ihrer Geheimnisse verweigern unter Hinweis darauf, dass sie kein hinreichendes Schutzkonzept vorweisen können, mit dem ihre Geheimnisse geschützt sind. Dieses Defizit kann dazu führen, dass etwa die Klage gegen einen ausgeschiedenen Mitarbeiter auf Verwendung von Geschäftsgeheimnissen schlicht abgewiesen wird. 

Auf der anderen Seite bietet das Gesetz auch einen gegenüber der früheren Rechtslage umfangreicheren „Werkzeugkasten“, um gegen Verletzungen vorzugehen.

Im Folgenden zeigen wir die veränderten rechtlichen Rahmenbedingungen auf und fassen zu treffende Maßnahmen zusammen, um den Anforderungen des GeschGehG gerecht zu werden und im Streitfall nicht an unterbliebenen Schutzvorkehrungen zu scheitern.

Was hat sich geändert?

Ein Betriebs- oder Geschäftsgeheimnis bestand nach alter Rechtslage bereits dann, wenn eine nicht offenkundige Information mit Unternehmensbezug vorlag, die nach dem Willen des Geheimnisinhabers geheim gehalten werden sollte und an deren Geheimhaltung ein berechtigtes Interesse bestand. Das subjektive Interesse an der Geheimhaltung war damit der entscheidende Faktor.

Das GeschGehG baut auf diesen Voraussetzungen auf, ersetzt allerdings das subjektive Element durch eine materielle Anspruchsvoraussetzung, die der Geheimnisinhaber im Streitfall beweisen muss: Die Information muss „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen sein (§ 2 Nr. 1 lit. b GeschGehG). Da der Geheimnisinhaber beweisbelastet ist, kommt es nicht allein auf die Implementierung geeigneter und angemessener Maßnahmen an. Die getroffenen Maßnahmen und durchgeführten Überprüfungen müssen auch hinreichend dokumentiert werden, denn in einem Verfahren zum Schutz von Geschäftsgeheimnissen muss zu den Maßnahmen umfassend vorgetragen werden.

Die praktische Umsetzung dieser neuen materiellen Voraussetzung ist damit entscheidend, um den Anwendungsbereich des GeschGehG zu eröffnen und auf den umfangreichen Anspruchskatalog zugreifen zu können.

Neben den bisherigen Ansprüchen auf Beseitigung, Unterlassung, Schadenersatz und Auskunft, treten Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt.

Was sind angemessene Geheimhaltungsmaßnahmen?

Die Formulierung „den Umständen nach angemessene Geheimhaltungsmaßnahmen“ ist sehr vage und bietet einen großen Spielraum. Dem Wortlaut nach ließe sich beispielsweise auch vertreten, dass ein Unternehmen, dass seine vertraulichen Informationen mit Geheimhaltungsvereinbarungen schützt und seine Räume hinreichend gegen Diebstahl schützt, der Anforderung bereits genüge tut. Die ersten Urteile zeigen aber, dass die Rechtsprechung hier wesentlich mehr verlangt. Die Gerichte sprechen teilweise sogar vom Erfordernis eines Geheimhaltungs-Managements (LAG Köln Urt. v. 2.12.2019 – 2 SaGa 20/19).

Orientieren können sich Unternehmen an den aus dem Datenschutzrecht bekannten „technischen und organisatorischen Maßnahmen“ (kurz: TOMs). Von besonderer Bedeutung ist dabei die IT-Sicherheit. Zu den geforderten Schutzvorkehrungen zählen insbesondere die folgenden Maßnahmen:

  • Physische Zugangs- und Zugriffsbeschränkungen,
  • konsequente Tätigkeit nach dem „Need-to- know-Prinzip“ (nur diejenigen haben Kenntnis von einer Information, die sie für ihre Tätigkeit kennen müssen),
  • Beschriftung entsprechender Dokumente als vertraulich,
  • IT- und Cybersicherheit (insbesondere Passwörter, 2-Faktor-Authentifizierung, Verschlüsselung, Berechtigungskonzepte, Virenschutz, Firewalls, Sperrung von USB-Anschlüssen),
  • Vertraulichkeitsvereinbarungen in Arbeitsverträgen und Verträgen mit sonstigen Vertragspartnern,
  • interne Arbeitsanweisungen (Berichts- und Protokollpflichten, Genehmigungsvorbehalte etc.),
  • Mitarbeiterschulungen.

Faktoren der Angemessenheit

In welchem Umfang die soeben dargestellten Maßnahmen erfüllt werden müssen, richtet sich nach den konkreten Umständen des Einzelfalls. Gesetzlich nicht gefordert werden bestmögliche und „perfekte“ Schutzmaßnahmen. Es ist auch nicht erforderlich jede geheimzuhaltende Information gesondert zu kennzeichnen. Ausreichend ist eine Kennzeichnung nach Kategorien oder beispielsweise ein Hinweis in der E-Mail-Signatur.

Folgenden Faktoren sind bei der Bestimmung der Angemessenheit unter anderem zu berücksichtigen:

  • Wert des Geschäftsgeheimnisses,
  • Höhe der Entwicklungskosten,
  • Natur und Bedeutung der Information für das Unternehmen,
  • Größe des Unternehmens.

Vertragliche Absicherung

Vertragliche Sicherungsmaßnahmen müssen insbesondere in Arbeitsverträgen und in Verträgen mit Kooperationspartnern und Dienstleistern getroffen werden und sind individuell auf das jeweilige Vertragsverhältnis anzupassen. Zu den Mindestbestandteilen gehören die Beschreibung der Geheimnisse und der unzulässigen Handlungen, die Dauer des Schutzes sowie Rückgabe- und Löschpflichten.

Bei der Formulierung ist allerdings auch Vorsicht geboten. Es gilt nicht das Prinzip „viel hilft viel“. Denn wenn etwa die Definition der Geschäftsgeheimnisse zu vage und weit ist, kann auch dies dazu führen, dass die Geheimhaltungsmaßnahmen nicht mehr „angemessen“ sind. So hat das Landesarbeitsgericht Düsseldorf (Urt. v. 3.6.2020 – 12 SaGa 4/20) eine Regelung für zu weitgehend gehalten, von der sämtliche einem Arbeitnehmer bekannt gewordene Informationen erfasst werden. Der Geheimnisschutz wurde dem Arbeitgeber dann mit dieser Begründung verwehrt.

Um nicht zu weit zu gehen, sollten Vertraulichkeitsregelungen nun auch alle gesetzlichen Ausnahmen von der Vertraulichkeit vorsehen. Neben den bereits bisher meist in Verträgen enthaltenen Ausnahmen von der Geheimhaltungspflicht (z.B. für öffentlich bekannte Informationen), muss in Verträgen das „Reverse Engineering“ (§ 3 Abs. 2 GeschGehG) jedenfalls dann erlaubt bleiben, wenn ein Produkt oder ein Gegenstand öffentlich verfügbar gemacht wurde. Enthält eine Geheimhaltungsvereinbarung ein grundsätzliches Verbot des Reverse Engineerings, sollte sie den Fall öffentlich verfügbarer Gegenstände als Ausnahme von dem Verbot ausdrücklich vorsehen.

Praktische Umsetzung

Um die Anforderungen des GeschGehG einzuhalten, sollten Unternehmen ihre Geheimhaltungsmaßnahmen unbedingt überprüfen und anpassen. Folgende Schritte bieten sich dabei an:

  1. Durchführung einer Bestandsaufnahme und Identifizierung der zu schützenden Informationen.
  2. Entwicklung eines Geheimschutzkonzepts, durch Kategorisierung der identifizierten Risiken und Festlegung der jeweiligen Schutzmaßnahmen, insbesondere im Hinblick auf vertragliche Regelungen sowie technische und organisatorische Maßnahmen (insbesondere IT-Sicherheit).
  3. Implementierung und Dokumentation des Konzepts und regelmäßige Überprüfung auf Einhaltung und Wirksamkeit.

Wie auch die Geschäftsgeheimnisse selbst, sind die Schutzvorkehrungen und vertraglichen Regelungen einzelfallabhängig und variieren von Unternehmen zu Unternehmen. Wir stehen für eine Beratung dazu gerne zur Verfügung: renner@lutzabel.com oder hohl@lutzabel.com