Risiko und Compliance
Das neue Geschäftsgeheimnisgesetz und digitale Schutzkonzepte
Seit Ende April 2019 ist das neue Geschäftsgeheimnisgesetz in Kraft. Weil verglichen mit der früheren Rechtslage die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen sind, sollten deutsche Unternehmen jetzt dringend klären, welche Schutzmaßnahmen sie – soweit noch nicht geschehen – umsetzen müssen, wenn sie von dem neuen Gesetz profitieren wollen. Dieser Beitrag beleuchtet die neuen Anforderungen und digitale Schutzkonzepte.
Datendiebstahl, Wirtschaftsspionage und Sabotage führen nach Schätzungen von Branchenverbänden zu jährlich etwa 50 Milliarden Euro Schäden für die deutsche Wirtschaft. Gerade in Zeiten der digitalen Transformation und zunehmender digitaler Innovation spielt daher der Schutz gegen Cyber Crime für viele Unternehmen eine große Rolle. In der Vergangenheit waren Betriebs- und Geschäftsgeheimnisse nach deutschem Recht durch die Strafnormen § 17 bis § 19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) und zivilrechtliche Schadensersatz- und Unterlassungsasprüche aus § 823 und § 1004 BGB geschützt – dies aber wurde von vielen als unzureichend empfunden. Denn um die Ansprüche durchzusetzen, mussten Geschäftsgeheimnisse in einem Zivilprozess offengelegt werden.
Deutlich mehr Ansprüche bei Geheimnisverletzungen
Seit dem 26. April 2019 hat sich die Rechtslage verändert und aufgrund der europäischen Richtlinie zum Schutz von Geschäftsgeheimnissen (Richtlinie (EU) 2016/943) auch den Vorgaben in anderen EU-Ländern angepasst. Kommt es zu Verletzungen von Geschäftsgeheimnissen, stehen dem Inhaber nun deutlich mehr Ansprüche zur Verfügung als zuvor:
- Beseitigung
- Unterlassung
- Auskunft
- Schadensersatz
- Vernichtung
- Herausgabe
- Rückruf
- Entfernung
- Rücknahme
Zudem ist nun gesetzlich geregelt, dass der Inhaber des Geschäftsgeheimnisses zwischen drei Arten der Schadensberechnung wählen kann: Lizenzanalogie, Abschöpfung des Verletzergewinns und konkrete Vermögenseinbuße.
Angemessene Geheimhaltungsmaßnahmen erforderlich
Was für Unternehmen zunächst positiv klingt, erfordert jedoch aktives Tätigwerden. Denn der neue Schutz kommt nicht von allein, weil Informationen nun nur dann geschützt sind, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. Das heißt: anders als bisher werden Informationen jetzt nicht mehr schon als geheim eingestuft, wenn sie aus Sicht des Unternehmens unter Verschluss gehalten werden sollen und sich aus der Natur der Information ein entsprechender Wille zur Geheimhaltung ergeben könnte. Vielmehr muss das Unternehmen nachweislich angemessene Maßnahmen zur Geheimhaltung getroffen haben, was sich wie folgt umsetzen lässt:
1. Organisatorische Schutzmaßnahmen
Wer von dem neuen Geschäftsgeheimnisgesetz profitieren möchte, muss zum Schutz der vertraulichen Informationen zunächst einmal organisatorische Voraussetzungen schaffen. Dazu gehört es, klare Verantwortlichkeiten intern zu regeln: wer hat Zugang zu Geschäftsgeheimnissen und wer steuert operativ den Umgang mit ihnen? Es sollte ein kleiner Kreis von Mitarbeitern namentlich definiert und ein Know-how Beauftragter nebst Stellvertreter ernannt werden.
Zudem ist zu regeln, wer Zugang zu den geheimen Informationen hat und im Rahmen des datenschutzrechtlich Zulässigen zu dokumentieren, wer wann was abgerufen bzw. eingesehen hat. Dazu sollte ein Berechtigungskonzept entwickelt werden, in dem auf einer „need to know“ Basis geregelt wird, wer auf welche Informationen zugreifen darf. Bereiche mit besonders sensiblen Informationen (z.B. die Entwicklungsabteilung) sollten ggf. durch bauliche und personelle Schutzmaßnahmen separiert werden.
Zu den organisatorischen Maßnahmen gehören auch Kennzeichnungen von geheimen Informationen sowie regelmäßige Schulungen von Mitarbeitern, die mit Geschäftsgeheimnissen in Kontakt kommen.
2. Technische Schutzmaßnahmen
Darüber hinaus müssen Unternehmen ausreichende technische IT-Sicherheitsmaßnahmen ergreifen, wozu insbesondere die Folgenden gehören:
- Zwei-Faktor-Authentifizierung
- Verschlüsselung von Daten und Verbindungen
- Viren- und Malwareschutz
- Sichere Benutzer-Administration mit aktiver Sperrmöglichkeit durch den Administrator
- Personalisierte Nutzerkennungen und Passwortschutz
- Technische Trennung von Privat- und Firmenendgeräten
Auf Ebene der Geschäftsführung bzw. des Vorstands und des Aufsichtsrats können sich beispielsweise Board Portale als technische Schutzmaßnahmen eignen. Zudem lassen sich Ableitungen aus der Norm DIN ISO/IEC 27001 treffen, denn darin sind die Anforderungen u.a. an das Aufstellen, Umsetzen, Betrieb, Überwachung und Bewertung von dokumentierten Informationssicherheit-Managementsystemen fixiert.
3. Rechtliche Schutzmaßnahmen
Die größten Risiken für Geschäftsgeheimnisse gehen oftmals von den eigenen Mitarbeitern aus, wenn sie beispielsweise das Unternehmen verlassen. Eindämmen lassen sich diese Risiken neben den organisatorischen und technischen Maßnahmen durch vertragliche Vertraulichkeitsverpflichtungen im Arbeitsvertrag. Um in einem etwaigen Gerichtsverfahren einen effektiven Schutz sicherzustellen und keine Unwirksamkeit zu riskieren, sollten die von der Verpflichtung erfassten Informationen in den Klauseln hinreichend bestimmt sein. Nicht geeignet dazu sind sog. catch-all-Klauseln, die alle während des Arbeitsverhältnisses bekannt gewordenen Geschäftsgeheimnisse als geheim einstufen. Vielmehr sollte spezifisch für den jeweiligen Arbeitsbereich und anhand von Berechtigungen und Kennzeichnungen (siehe organisatorische Maßnahmen) geregelt werden, welche Information vertraulich ist. Deshalb sollten Arbeitgeber bzw. Personalabteilungen nun für jeden einzelnen Mitarbeiter klären, wie der jeweilige Arbeitsvertrag durch eine Ergänzungsvereinbarung mit einer wirksamen Vertraulichkeitsverpflichtung anzupassen ist.
Dies gilt auch für Kooperations- bzw. Geschäftspartner, die mit einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement/NDA) entsprechend verpflichtet werden sollten.
In beiden Fällen sollte eine angemessene Vertragsstrafe vereinbart werden, die zur Wirksamkeit der Klausel vorsehen sollte, dass der Inhaber des Geschäftsgeheimnisses anhand der Umstände des Einzelfalls zunächst einseitig bestimmen darf, wie hoch die Vertragsstrafe ist und dies im Streitfall durch ein Gericht überprüft werden kann.
Schließlich sollte für jeden Einzelfall geklärt werden, wie lang die Vertraulichkeitsverpflichtung gilt. Dazu ist mit Blick auf Arbeitnehmer oder Geschäftsführer/Vorstände zwingend eine zeitliche Beschränkung vorzusehen, die maximal zwei Jahre ab Ausscheiden betragen darf. Ansonsten käme die Pflicht zur Vertraulichkeit faktisch einem Wettbewerbsverbot gleich.
Relevant für Unternehmen mit technischen Produkten oder Services ist darüber hinaus die Neuerung, dass das sog. Reverse Engineering (also die Erlangung eines Geschäftsgeheimnisses durch Zurückentwickeln eine Produkts) nun nach neuer Rechtslage zulässig ist. Um dies auszuschließen, müssen betroffene Unternehmen im Verhältnis zu ihren Kunden, Lieferanten, Kooperationspartnern oder Lizenznehmern das Reverse Engineering explizit vertraglich ausschließen. Hierzu sollten die bestehenden Verträge überprüft und ggf. durch Ergänzungsvereinbarungen angepasst werden.
Zusammenfassung
Wohlgemerkt: die beschriebenen Maßnahmen sind keine neuen gesetzlichen Vorschriften, die ein Unternehmen erfüllen muss und bei Nichtbefolgung zu Strafen führen. Wer sich aber von dem Schutz des neuen Geschäftsgeheimnisgesetzes profitieren und sich darauf berufen möchte, muss die noch erforderlichen Maßnahmen ergreifen. Denn sofern es zu einer Verletzung von Geschäftsgeheimnissen kommt und Ansprüche durchgesetzt werden sollen, muss das verletzte Unternehmen vor Gericht darlegen und beweisen, welche angemessenen Geheimhaltungsmaßnahmen es zum Schutz der Geschäftsgeheimnisse getroffen hat. Nur so lässt sich ein effektives Schutzlevel sicherstellen.
Board Portal Buyer’s Guide
With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.
VORGESTELLTE BLOGS
24. November 2020
Einrichtung eines Nominierungsausschusses – wann dies wichtig ist
Insbesondere bei größeren Aufsichtsräten empfiehlt sich die Einrichtung eines Nominierungsausschusses für die Neubesetzung von Aufsichtsratsmandaten. Denn es gibt zahlreiche Aufgaben, die bei der Suche nach geeigneten Kandidaten für den Vorschlag an die Hauptversammlung anstehen. Nur so können die erforderlichen Kriterien bei der Suche nach Nachfolgern effizient umgesetzt werden. Allerdings ist…
5. November 2020
Gute Governance durch modernes Beteiligungsmanagement
Das Wachstum eines Konzerns erfolgt nicht bloß organisch, sondern häufig auch anorganisch; durch Zukäufe bereits bestehender Unternehmen. Insbesondere bei schnellem Wachstum führt dies zu großen Herausforderungen für das Management des Unternehmens. Hier darf der Fokus der eigentlichen Unternehmensziele nicht aus den Augen verloren werden. Zudem gilt es, die erworbenen Unternehmen…
15. Oktober 2020
Verbesserte Kommunikation: Neugefasste Aktionärsrechte
Anfang September dieses Jahres sind neue EU-Regeln in Kraft getreten, die zu einer Verbesserung der Kommunikation zwischen börsennotierten Unternehmen und ihren Aktionären führen sollen. Nach der neuen Richtlinie über Aktionärsrechte müssen sowohl institutionelle Investoren als auch Vermögensverwalter Informationen über ihre Anlagestrategien sowie ihre Mitwirkungspolitik veröffentlichen. Neben der Verbesserung der Kommunikation…
© 2022 Diligent Corporation