Nachdem im letzten Jahr durch Inkrafttreten der Datenschutzgrundverordnung (DSGVO) für Unternehmen der Fokus auf der Umsetzung der dortigen Anforderungen lag, sollte mit dem bevorstehenden Inkrafttreten des neuen Geschäftsgeheimnisgesetzes ein neues wichtiges Thema in den Blick der Geschäftsführung rücken: Maßnahmen zum Schutz eigener Geschäftsgeheimnisse.

Das neue Gesetz wird die EU-Richtlinie 2016/943 zum Schutz von Geschäftsgeheimnissen und Know-How vom April 2016 umsetzen. Bislang fanden sich im deutschen Recht Regelungen zum Schutz von Betriebs- und Geschäftsgeheimnissen in den §§ 15 bis 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) sowie über die §§ 823 und 826 des Bürgerlichen Gesetzbuchs (BGB). Diese Regelungen sind nach den Vorgaben der genannten EU-Richtlinie nicht ausreichend und geben dem Gesetzgeber Anlass, die neuen Anforderungen in einem eigenen Gesetz, dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) umzusetzen. Das Gesetz wurde am 21. März 2019 beschlossen, vom Bundesrat am 12. April 2019 gebilligt, heute verkündet und wird am 26. April 2019 in Kraft treten.

 

1. Regelungsgehalt und Aufbau des GeschGehG

Die neuen Regelungen sollen Unternehmen vor rechtswidriger Erlangung, rechtswidriger Nutzung und rechtswidriger Offenlegung ihrer Geschäftsgeheimnisse schützen.

Das Gesetz gliedert sich in drei Teile. Der erste Abschnitt enthält Anwendungsbereich, Begriffsbestimmungen (Definitionen), erlaubte und verbotene Handlungen zur Erlangung eines Geschäftsgeheimnisses sowie Gründe, unter denen eine Erlangung, Nutzung oder die Offenlegung eines Geschäftsgeheimnisses gerechtfertigt sein kann. Abschnitt 2 regelt die Ansprüche des Inhabers eines Geschäftsgeheimnisses gegen den Rechtsverletzer. In Betracht kommen zum Beispiel Unterlassung, Vernichtung, Herausgabe, Auskunft und Schadensersatz. Abschnitt 3 trifft Regelungen zum gerichtlichen Verfahren und Abschnitt 4 enthält die bisherigen Vorschriften der §§ 15 bis 17 UWG.

 

Geschäftsgeheimnisse

Gemäß § 2 Ziffer 1 GeschGehG sind Informationen Geschäftsgeheimnisse im Sinne des Gesetzes, die nicht allgemein bekannt oder öffentlich zugänglich sind und dadurch einen wirtschaftlichen Wert haben, Gegenstand „angemessener Geheimhaltungsmaßnahmen“ sind und an denen ein berechtigtes Interesse an der Geheimhaltung besteht.

Hierunter können nach der Gesetzesbegründung Herstellungsverfahren, Kunden- und Lieferantenlisten, Kosteninformationen, Geschäftsstrategien, Unternehmensdaten, Marktanalysen, Prototypen und Forschungsergebnisse von Universitäten fallen. Rein private Informationen, die nicht im geschäftlichen Verkehr verwertbar sind, fallen nicht hierunter – auch wenn ein Geheimhaltungsinteresse des Inhabers besteht.

 

Angemessene Schutzmaßnahmen

Informationen, die Geschäftsgeheimnisse im Sinne des Gesetzes sein sollen, müssen durch „angemessene Geheimhaltungsmaßnahmen“ geschützt werden.  Dies kann beispielsweise über vertragliche Geheimhaltungsvereinbarungen („Non-Disclosure Agreements“) oder technische Zugriffssperren, beispielsweise verschlüsselte Speicherung und Kommunikation, realisiert werden. Ein bloßes Geheimhaltungsinteresse des Geheimnisinhabers, ohne Implementierung angemessener Schutzmaßnahmen, ist also nicht ausreichend.

Unternehmen, die ihre Datenschutzorganisation den Anforderungen der DSGVO angepasst haben, insbesondere technisch-organisatorische Maßnahmen (hier zum Schutz personenbezogener Daten) implementiert haben, werden diese Maßnahmen auch für nichtpersonenbezogene Daten nutzen können.

 

Erlaubte und verbotene Handlungen

Die Erlangung von Geschäftsgeheimnissen ist unter den Voraussetzungen des § 3 GeschGehG rechtmäßig. Hierzu zählen die eigenständige Schöpfung (Absatz 1) sowie die Gestattung durch Gesetz, auf Grund eines Gesetzes oder durch Rechtsgeschäft (Absatz 3).

Beachtung sollten Softwareentwicklungsunternehmen § 3 Absatz 2 Ziffer 2 GeschGehG schenken: Danach ist ein „Reverse Engineering“ („Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts oder Gegenstands“) in den Grenzen des UWG und unter Beachtung des geschützten geistigen Eigentums ausdrücklich gestattet, soweit keine anderweitigen vertraglichen Vereinbarungen getroffen wurden.

§ 4 normiert unlautere Verhaltensweisen, bei denen eine rechtswidrige Erlangung oder eine rechtswidrige Nutzung oder Offenlegung vorliegt. Hierunter fällt nach § 4 Absatz 1 unter anderem der unbefugte Zugang zu Dokumenten, Gegenständen oder Dateien, die das Geschäftsgeheimnis enthalten oder aus denen sich das Geschäftsgeheimnis ableiten lässt; ferner das unbefugte Aneignen oder Kopieren derartiger Dokumente, Gegenständen oder Dateien.

Bei befugtem Zugriff kann eine anschließende Offenlegung oder Nutzung rechtswidrig sein (§ 4 Absatz 2), nämlich dann, wenn hiermit gegen eine vertragliche oder sonstige Verpflichtung zur Beschränkung der Nutzung oder Offenlegung des Geschäftsgeheimnisses verstoßen wird.

§ 5 trägt dem Umstand Rechnung, dass der Schutz von Geschäftsgeheimnissen nicht absolut sein kann und im Einzelfall hinter Belangen des Allgemeinwohls zurücktreten muss. Gerechtfertigt ist daher die Nutzung oder die Offenlegung eines Geschäftsgeheimnisses zur Ausübung des Rechts auf freie Meinungsäußerung und der Informationsfreiheit gemäß der Charta der Grundrechte der Europäischen Union (§ 5 Ziffer 1), sowie zur Aufdeckung rechtswidriger Handlungen oder beruflichen oder sonstigen Fehlverhaltens, wenn die handelnde Person die Absicht hat, das allgemeine öffentliche Interesse zu schützen (§ 5 Ziffer 2).

Schließlich sind durch § 5 Ziffer 3 Arbeitnehmer geschützt, die sich an die Arbeitnehmervertretung wenden und hierbei Geschäftsgeheimnisse offenlegen, damit die Arbeitnehmervertretung ihre Aufgaben erfüllen kann. Umgekehrt ist auch die Arbeitnehmervertretung geschützt, die hierdurch ein Geschäftsgeheimnis erlangt.

 

Ansprüche bei Verletzung

Wird ein Geschäftsgeheimnis rechtswidrig erlangt, genutzt oder offengelegt, hat das Unternehmen Ansprüche auf Beseitigung und Unterlassung, Vernichtung, Herausgabe und Rückruf, Auskunft und Schadensersatz (§§ 6 bis 10 GeschGehG).

Um diese Ansprüche durchsetzen zu können, ist nicht nur die Kenntnis des Anspruchsgegners Voraussetzung, sondern insbesondere die Beweisbarkeit der getroffenen Schutzmaßnahmen im Prozess. Eine Dokumentation der getroffenen Maßnahmen ist daher unumgänglich. Dem Gericht wiederum ist es nach § 16 Absatz 1 GeschGehG möglich, auf Antrag einer Partei die streitgegenständlichen Informationen ganz oder teilweise als geheimhaltungsbedürftig einstufen, wenn diese ein Geschäftsgeheimnis sein können, um so die (weiteren) Offenlegung der Geheimnisse durch ein öffentliches Verfahren zu verhindern. Ebenso kann der Zugang zu den Informationen auf eine bestimmte Anzahl Personen beschränkt werden und die Öffentlichkeit von der mündlichen Verhandlung ausgeschlossen werden (§ 19).

 

2. Handlungsbedarf für Unternehmen

Um von den Neuregelungen des Gesetzes zu profitieren, sollten Firmen

  • ihre schützenswerten Informationen in allen Abteilungen ermitteln und klassifizieren,
  • abhängig von Schutzbedarf und Kritikalität angemessene Schutzmaßnahmen festlegen, implementieren und dokumentieren,
  • abgeschlossene Verträge und auch Vertragsmuster auf die Notwendigkeit ihrer Anpassung hin überprüfen,
  • ihre Mitarbeiter mittels Schulungen und/oder Richtlinien sensibilisieren, da die besten technischen Maßnahmen wenig helfen, wenn das Personal nicht entsprechend informiert ist.

Insbesondere Unternehmen im Bereich Softwareentwicklung sollten darüber hinaus Vereinbarungen treffen, die explizit das „Reverse Engineering“ ihrer Produkte untersagen.