Das neue Geschäftsgeheimnisgesetz und digitale Schutzkonzepte

Seit Ende April 2019 ist das neue Geschäftsgeheimnisgesetz in Kraft. Weil verglichen mit der früheren Rechtslage die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen sind, sollten deutsche Unternehmen jetzt dringend klären, welche Schutzmaßnahmen sie – soweit noch nicht geschehen – umsetzen müssen, wenn sie von dem neuen Gesetz profitieren wollen. Dieser Beitrag beleuchtet die neuen Anforderungen und digitale Schutzkonzepte.

Datendiebstahl, Wirtschaftsspionage und Sabotage führen nach Schätzungen von Branchenverbänden zu jährlich etwa 50 Milliarden Euro Schäden für die deutsche Wirtschaft. Gerade in Zeiten der digitalen Transformation und zunehmender digitaler Innovation spielt daher der Schutz gegen Cyber Crime für viele Unternehmen eine große Rolle. In der Vergangenheit waren Betriebs- und Geschäftsgeheimnisse nach deutschem Recht durch die Strafnormen § 17 bis § 19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) und zivilrechtliche Schadensersatz- und Unterlassungsasprüche aus § 823 und § 1004 BGB geschützt – dies aber wurde von vielen als unzureichend empfunden. Denn um die Ansprüche durchzusetzen, mussten Geschäftsgeheimnisse in einem Zivilprozess offengelegt werden.

Deutlich mehr Ansprüche bei Geheimnisverletzungen

Seit dem 26. April 2019 hat sich die Rechtslage verändert und aufgrund der europäischen Richtlinie zum Schutz von Geschäftsgeheimnissen (Richtlinie (EU) 2016/943) auch den Vorgaben in anderen EU-Ländern angepasst. Kommt es zu Verletzungen von Geschäftsgeheimnissen, stehen dem Inhaber nun deutlich mehr Ansprüche zur Verfügung als zuvor:

• Beseitigung
• Unterlassung
• Auskunft
• Schadensersatz
• Vernichtung
• Herausgabe
• Rückruf
• Entfernung
• Rücknahme

Zudem ist nun gesetzlich geregelt, dass der Inhaber des Geschäftsgeheimnisses zwischen drei Arten der Schadensberechnung wählen kann: Lizenzanalogie, Abschöpfung des Verletzergewinns und konkrete Vermögenseinbuße.

Angemessene Geheimhaltungsmaßnahmen erforderlich

Was für Unternehmen zunächst positiv klingt, erfordert jedoch aktives Tätigwerden. Denn der neue Schutz kommt nicht von allein, weil Informationen nun nur dann geschützt sind, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. Das heißt: anders als bisher werden Informationen jetzt nicht mehr schon als geheim eingestuft, wenn sie aus Sicht des Unternehmens unter Verschluss gehalten werden sollen und sich aus der Natur der Information ein entsprechender Wille zur Geheimhaltung ergeben könnte. Vielmehr muss das Unternehmen nachweislich angemessene Maßnahmen zur Geheimhaltung getroffen haben, was sich wie folgt umsetzen lässt:

1. Organisatorische Schutzmaßnahmen

Wer von dem neuen Geschäftsgeheimnisgesetz profitieren möchte, muss zum Schutz der vertraulichen Informationen zunächst einmal organisatorische Voraussetzungen schaffen. Dazu gehört es, klare Verantwortlichkeiten intern zu regeln: wer hat Zugang zu Geschäftsgeheimnissen und wer steuert operativ den Umgang mit ihnen? Es sollte ein kleiner Kreis von Mitarbeitern namentlich definiert und ein Know-how Beauftragter nebst Stellvertreter ernannt werden.

Zudem ist zu regeln, wer Zugang zu den geheimen Informationen hat und im Rahmen des datenschutzrechtlich Zulässigen zu dokumentieren, wer wann was abgerufen bzw. eingesehen hat. Dazu sollte ein Berechtigungskonzept entwickelt werden, in dem auf einer „need to know“ Basis geregelt wird, wer auf welche Informationen zugreifen darf. Bereiche mit besonders sensiblen Informationen (z.B. die Entwicklungsabteilung) sollten ggf. durch bauliche und personelle Schutzmaßnahmen separiert werden.

Zu den organisatorischen Maßnahmen gehören auch Kennzeichnungen von geheimen Informationen sowie regelmäßige Schulungen von Mitarbeitern, die mit Geschäftsgeheimnissen in Kontakt kommen.

2. Technische Schutzmaßnahmen

Darüber hinaus müssen Unternehmen ausreichende technische IT-Sicherheitsmaßnahmen ergreifen, wozu insbesondere die Folgenden gehören:

• Zwei-Faktor-Authentifizierung
• Verschlüsselung von Daten und Verbindungen
• Viren- und Malwareschutz
• Sichere Benutzer-Administration mit aktiver Sperrmöglichkeit durch den Administrator
• Personalisierte Nutzerkennungen und Passwortschutz
• Technische Trennung von Privat- und Firmenendgeräten

Auf Ebene der Geschäftsführung bzw. des Vorstands und des Aufsichtsrats können sich beispielsweise Board Portale als technische Schutzmaßnahmen eignen. Zudem lassen sich Ableitungen aus der Norm DIN ISO/IEC 27001 treffen, denn darin sind die Anforderungen u.a. an das Aufstellen, Umsetzen, Betrieb, Überwachung und Bewertung von dokumentierten Informationssicherheit-Managementsystemen fixiert.

3. Rechtliche Schutzmaßnahmen

Die größten Risiken für Geschäftsgeheimnisse gehen oftmals von den eigenen Mitarbeitern aus, wenn sie beispielsweise das Unternehmen verlassen. Eindämmen lassen sich diese Risiken neben den organisatorischen und technischen Maßnahmen durch vertragliche Vertraulichkeitsverpflichtungen im Arbeitsvertrag. Um in einem etwaigen Gerichtsverfahren einen effektiven Schutz sicherzustellen und keine Unwirksamkeit zu riskieren, sollten die von der Verpflichtung erfassten Informationen in den Klauseln hinreichend bestimmt sein. Nicht geeignet dazu sind sog. catch-all-Klauseln, die alle während des Arbeitsverhältnisses bekannt gewordenen Geschäftsgeheimnisse als geheim einstufen. Vielmehr sollte spezifisch für den jeweiligen Arbeitsbereich und anhand von Berechtigungen und Kennzeichnungen (siehe organisatorische Maßnahmen) geregelt werden, welche Information vertraulich ist. Deshalb sollten Arbeitgeber bzw. Personalabteilungen nun für jeden einzelnen Mitarbeiter klären, wie der jeweilige Arbeitsvertrag durch eine Ergänzungsvereinbarung mit einer wirksamen Vertraulichkeitsverpflichtung anzupassen ist.

Dies gilt auch für Kooperations- bzw. Geschäftspartner, die mit einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement/NDA) entsprechend verpflichtet werden sollten.

In beiden Fällen sollte eine angemessene Vertragsstrafe vereinbart werden, die zur Wirksamkeit der Klausel vorsehen sollte, dass der Inhaber des Geschäftsgeheimnisses anhand der Umstände des Einzelfalls zunächst einseitig bestimmen darf, wie hoch die Vertragsstrafe ist und dies im Streitfall durch ein Gericht überprüft werden kann.

Schließlich sollte für jeden Einzelfall geklärt werden, wie lang die Vertraulichkeitsverpflichtung gilt. Dazu ist mit Blick auf Arbeitnehmer oder Geschäftsführer/Vorstände zwingend eine zeitliche Beschränkung vorzusehen, die maximal zwei Jahre ab Ausscheiden betragen darf. Ansonsten käme die Pflicht zur Vertraulichkeit faktisch einem Wettbewerbsverbot gleich.

Relevant für Unternehmen mit technischen Produkten oder Services ist darüber hinaus die Neuerung, dass das sog. Reverse Engineering (also die Erlangung eines Geschäftsgeheimnisses durch Zurückentwickeln eine Produkts) nun nach neuer Rechtslage zulässig ist. Um dies auszuschließen, müssen betroffene Unternehmen im Verhältnis zu ihren Kunden, Lieferanten, Kooperationspartnern oder Lizenznehmern das Reverse Engineering explizit vertraglich ausschließen. Hierzu sollten die bestehenden Verträge überprüft und ggf. durch Ergänzungsvereinbarungen angepasst werden.

Zusammenfassung

Wohlgemerkt: die beschriebenen Maßnahmen sind keine neuen gesetzlichen Vorschriften, die ein Unternehmen erfüllen muss und bei Nichtbefolgung zu Strafen führen. Wer sich aber von dem Schutz des neuen Geschäftsgeheimnisgesetzes profitieren und sich darauf berufen möchte, muss die noch erforderlichen Maßnahmen ergreifen. Denn sofern es zu einer Verletzung von Geschäftsgeheimnissen kommt und Ansprüche durchgesetzt werden sollen, muss das verletzte Unternehmen vor Gericht darlegen und beweisen, welche angemessenen Geheimhaltungsmaßnahmen es zum Schutz der Geschäftsgeheimnisse getroffen hat. Nur so lässt sich ein effektives Schutzlevel sicherstellen.