Das Geschäftsgeheimnisgesetz (GeschGehG): Wie schützen Unternehmen ihre kostbaren Geheimnisse?
Das „neue“ Geschäftsgeheimnis
Seit dem 26. April 2019 ist das Geschäftsgeheimnisgesetz (GeschGehG) in Kraft. Es definiert erstmals konkret, was überhaupt unter einem Geschäftsgeheimnis zu verstehen ist. Unternehmen sind in der Pflicht, für den Schutz ihrer Geheimnisse „angemessene Geheimhaltungsmaßnahmen“ zu ergreifen. Während bislang also ein subjektiver Geheimhaltungswille ausgereicht hat, um das eigene Know-how zu bewahren, hat derjenige, welcher sich zukünftig auf ein Geschäftsgeheimnis berufen möchte, dieses zuvor nach außen hin erkennbar (objektiv) zu schützen. Wer dies unterlässt, muss folgende Konsequenzen fürchten:
+ eine unzureichend geschützte Information wird von Gerichten im Konfliktfall mit Wettbewerbern möglicherweise als nicht geheim eingestuft, was dazu führt, dass das Unternehmen nicht mehr Inhaber dieser vielleicht sogar existentiell wichtigen Information ist.
+ das (unfreiwillige) Bekanntwerden von Geschäftsgeheimnissen hat große Bedeutung für den Unternehmenswert und den künftigen Erfolg. Dies betrifft nicht nur die Unternehmens-Compliance, sondern letztlich auch die Haftung der eigenen Geschäftsführung.
Alle geheimen Informationen müssen erfasst sein: von Kundendaten bis hin zu Prototypen
Ob Start-up oder Großkonzern – jedes Unternehmen hat Geschäftsgeheimnisse, welche es zu schützen gilt. Um hierfür geeignete Maßnahmen ergreifen zu können, ist im ersten Schritt abschließend festzustellen, welche Informationen geheim gehalten werden müssen. Hierbei ist insbesondere an Kundendaten, Marktstrategien, Baupläne, Rezepturen, Algorithmen, Software, Prototypen oder Aufstellungen von Zulieferern zu denken. Es ist dabei bereits festzustellen, welche Personen bestimmungsgemäß Zugriff auf diese Informationen haben – seien es die eigenen Mitarbeiter, seien es Kunden oder Geschäftspartner. Unternehmen, die sich bereits mit datenschutzrechtlichen Verarbeitungsverzeichnissen nach Art. 30 DSGVO beschäftigt haben, sind im Vorteil.
Umsetzung geeigneter Maßnahmen
Leider ist dieser Punkt juristisch nicht klar beschrieben. Welche Maßnahmen als „angemessene Geheimhaltungsmaßnahmen“ im Sinne des GeschGehG ausreichend sind, ist eine Frage des Einzelfalls und eröffnet Unternehmen im zweiten Schritt eine individuelle Handhabung.
Wir empfehlen zur Sicherstellung „angemessener Maßnahmen“ einen dreistufigen Maßnahmenkatalog:
- Verantwortlichkeiten in der Organisation klar beschreiben und kennzeichnen
Als schützenswert identifizierte Informationen sind zu kategorisieren und als solche zu kennzeichnen („vertraulich/ confidential“). Nicht jede Information verdient den gleichen Schutz. Es soll sichergestellt werden, dass nur Mitarbeiter des Unternehmens mit den Geschäftsgeheimnissen in Kontakt kommen, die bestimmungsgemäß hiermit arbeiten. Im Rahmen einer Inhouse-Schulung sind Mitarbeiter für das Thema zu sensibilisieren und im korrekten Umgang mit Geschäftsgeheimnissen zu schulen. Besonders brisant ist nämlich die Regelung, dass ein Unternehmen selbst haftbar gemacht werden kann, wenn ein eigener Mitarbeiter fahrlässig ein Geschäftsgeheimnis eines anderen Unternehmens unredlich erlangt hat. Dazukommen heikle Themen wie Whistleblowing oder der Wechsel von Mitarbeitern von oder zu Wettbewerbern. Vor allem die Dokumentation sollte deshalb gewissenhaft betrieben werden.
- Technische Maßnahmen sicherstellen
Die Überprüfung von IT-Sicherheitssystemen, etwa bei der E-Mail-Verschlüsselung, die Sicherstellung von räumlichen Zugangskontrollen und der limitierte Zugriff auf Geschäftsgeheimnisse innerhalb der Organisation sind sicher zu stellen.
- Rechtliche Maßnahmen ergreifen
Geheimhaltungsvereinbarungen mit Mitarbeitern stellen sicher, dass diese eigenständig sensible Informationen schützen. Bereits bestehende Geheimhaltungsklauseln in Arbeitsverträgen sollen einer arbeitsrechtlichen Kontrolle unterzogen und auf den einzelnen Mitarbeiter individuell angepasst werden.
Zum andern sollen auch Geschäfts- sowie F&E-Partner vertraglich zum Geheimnisschutz verpflichtet werden. Dabei ist insbesondere auch der (neuen) Möglichkeit des sog. Reverse Engineering Rechnung zu tragen. Entwicklungs- und Kooperationspartnern ist vertraglich die Erlangung eines Geschäftsgeheimnisses im Wege des „Rückentwickelns“ des eigenen Produkts zu verbieten.
Implementierung bringt Vorsprung
Nach der Implementierung angemessener Maßnahmen gilt es die stetige Weiterentwicklung und Verbesserung bestehender Organisations- und Schutzkonzepte sicher zu stellen. Hierzu zählen Monitoring-Verfahren und die fortgesetzte Schulung von Mitarbeitern. Das gilt insbesondere für die Fluktuation im Betrieb.
Kommt es gleichwohl zum Verstoß und zur widerrechtlichen Erlangung von Geschäftsgeheimnissen durch Dritte, hilft die zuvor konsequent durchgeführte Dokumentation der unternommenen „angemessenen Maßnahmen“ bei der außergerichtlichen und gerichtlichen Durchsetzung der eigenen Rechte. Die Palette der Ansprüche ist durch das neue Gesetz stark erweitert worden. So stehen dem verletzten Unternehmen Ansprüche gegen den Rechtsverletzter zu auf:
+ Auskunft
+ Schadensersatz
+ Beseitigung und Unterlassung
+ Marktrücknahme der verletzenden Produkte
+ Vernichtung, Herausgabe, Rückruf, Entfernung
FAZIT
Das Geschäftsgeheimnisgesetz (GeschGehG) stellt Unternehmen mit der Pflicht zur Errichtung von Schutzsystemen vor Herausforderungen.
Zwar stärkt das GeschGehG die Verteidigung und die Durchsetzung gegen rechtswidrigen Informationsgewinn durch Dritte. Insbesondere um etwaige Rechtsverstöße gerichtlich durchsetzen zu können, wird jedoch kein Unternehmen umhin kommen, die Anforderungen isoliert zu implementieren oder ein bestehendes Compliance-System entsprechend zu erweitern. Das Geschäftsgeheimnisgesetz wird sich schnell zu einem zentralen Bestandteil einer jeden Unternehmens-Compliance entwickeln.
Zur Person
Robert D. Buchmann ist Fachanwalt für Bank- und Kapitalmarktrecht bei der SGP Schneider Geiwitz Rechtsanwaltsgesellschaft mbH.