Briefing
Das neue Gesetz zum Schutz von Geschäftsgeheimnissen in Deutschland
Der Bundestag hat das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) beschlossen, es wird voraussichtlich Ende April in Kraft treten. Damit setzt er die europäische Richtlinie zum Schutz von Geschäftsgeheimnissen (2016/943/EU) um. Die Richtlinie bezweckt ein einheitliches Schutzniveau für Know-how in Europa. Sie trägt dem hohen Wert und der Schutzbedürftigkeit von Geschäftsgeheimnissen für Unternehmen Rechnung, zumal diese in einer immer digitalisierteren Welt, wegen Entwicklungen wie der »Industrie 4.0« und der wachsenden Relevanz von Künstlicher Intellgenz (AI) auch neuen Bedrohungen ausgesetzt sind.
Um von diesen verbesserten Möglichkeiten zu profitieren, müssen Unternehmen aber prüfen, wie sie mit ihrem Know-how umgehen und ggf. nachjustieren, anderenfalls können sie im Ernstfall nicht effektiv gegen Verletzungen vorgehen. Die Prüfung und notwendigenfalls Optimierung des Geheimnisschutzes stellt deshalb einen wichtigen Baustein in der heutigen Unternehmens-Compliance dar.
Das ändert sich durch das neue Gesetz
Mit dem GeschGehG schafft der Gesetzgeber ein eigenes neues Gesetz für den Schutz von Geschäftsgeheimnissen, das die bisherigen bruchstückhaften Regelungen ersetzt. Inhaltlich werden Geschäftsgeheimnisse künftig vor allem teilweise anderen Schutzanforderungen und Möglichkeiten der Durchsetzung unterliegen.
Neuer einheitlicher Geschäftsgeheimnisbegriff
Insbesondere sind Geschäftsgeheimnisse künftig nur noch geheime Informationen von kommerziellen Wert, die der Inhaber aktiv durch sog. „angemessene Geheimhaltungsmaßnahmen“ geschützt hat und an denen er ein berechtigtes Interesse hat. Damit sind statt des früher notwendigen Geheimhaltungswillens nunmehr rein tatsächliche Kriterien schutzbegründend. Die angemessenen Geheimhaltungsmaßnahmen sind vor Gericht nachzuweisen, um den gesetzlichen Geheimnisschutz in Anspruch nehmen zu können.
Neue Möglichkeiten gegen ein Bekanntwerden von Geheimnissen in gerichtlichen Verfahren
Ein gerichtliches Vorgehen wird zukünftig attraktiver, weil das Gesetz Möglichkeiten vorsieht, das Geschäftsgeheimnis gegen Bekanntwerden in einem solchen Verfahren zu schützen. Dieses Risiko war in der Vergangenheit ein Hemmnis für die Geltendmachung. Nun kann das Gericht Prozessbeteiligte sanktionsbewehrt zur Geheimhaltung verpflichten, Dritte vom Prozess und sensiblen Inhalten ausschließen und den Zugang der gegnerischen Partei auf eine natürliche Person beschränken.
Umfang und Grenzen des Schutzes
Ansprüche gegen Verletzer von Geschäftsgeheimnissen regelt das Gesetz eigenständig und umfassend. Sie sind den bestehenden Regelungen zu gewerblichen Schutzrechten angenähert. Der Verletzte kann unter anderem Unterlassung, Auskunft, Rückruf und Schadensersatz verlangen. Ausnahmen vom Schutz bestehen neben Regelungen zum Whistleblowing und dem Reverse-Engineering, zugunsten der Meinungsfreiheit und in gewissem Umfang für Arbeitnehmer. Unterlassungsansprüche können wie bislang auch schon durch einstweilige Verfügung durchgesetzt werden.
Achtung: Handlungsbedarf für Unternehmen
Unternehmen müssen zukünftig sicherstellen, dass ihre Geschäftsgeheimnisse „angemessenen Geheimhaltungsmaßnahmen“ unterliegen, um sich auch unter Geltung des neuen Gesetzes auf den Geheimnisschutz berufen zu können. Bisher ist noch unklar, was Gerichte als »angemessene« Maßnahmen akzeptieren werden. Unternehmen sind daher gut beraten, jedenfalls wichtige Geschäftsgeheimnisse im Zweifel strengeren Schutzmaßnahmen zu unterwerfen. Wahrscheinlich wird eine Kombination aus organisatorischen, technischen und rechtlichen Maßnahmen notwendig sein. Unternehmen sollten also bisherige Maßnahmen zum Geheimnisschutz überprüfen und, soweit nötig, anpassen.
In Betracht zu ziehende Maßnahmen
Folgende organisatorischen, technischen und rechtlichen Maßnahmen sind dabei in Betracht zu ziehen:
Organisatorische Maßnahmen
- Erfassung, Bewertung sowie nach Geheimhaltungsgrad priorisierte Klassifikation und Kennzeichnung von Know-how
- Nachvollziehung und Aufzeichnung des Flusses vertraulicher Informationen
- Etablierung einer »trade-secrets-policy« im Unternehmen sowie Sicherstellung der Einhaltung
- Klare Aufgabenverteilung nach »need-to-know«-Prinzip: Trennung der F&E von anderen Abteilungen, Begrenzung des internen Zugangs zu geheimen Informationen und Aufzeichnung des Informationszugangs
- Regelmäßige Schulungen der Mitarbeiter, da diese erfahrungsgemäß die sensibelste Angriffsfläche sind, z.B. für sog. »social engineering«
- Belehrung ausscheidender Mitarbeiter, da die Mitnahme von Geschäftsgeheimnissen durch solche Mitarbeiter eine der größten Gefahrenquellen ist
- Werks- und Gebäudeschutz
Technische Maßnahmen
- Umsetzung des »need-to-know«-Prinzips durch technische Zugangsschranken, Isolation geheimnisschutz-sensibler Bereiche und »chinese walls«
- IT-Sicherheit: Datenverschlüsselung, vor allem auf mobilen Geräten, Schutz vor Cyberattacken
Rechtliche Maßnahmen
- Implementierung von möglichst weitgehenden, aber rechtlich noch wirksamen Vertraulichkeitsklauseln in Verträgen mit Angestellten und Geschäftspartnern sowie Durchsicht alter Verträge daraufhin
- Verpflichtung der Geschäftspartner, empfangenes Know-how selbst auf dem Niveau „angemessener Geheimhaltungsmaßnahmen“ zu schützen
Die ergriffenen Maßnahmen müssen auch dokumentiert werden, um sie im Streitfall dem Gericht nachweisen zu können.
Jetzt Krisenplan erstellen
Wenn es zur Entwendung von Know-how kommt, etwa im Nachgang zur Abwerbung von Mitarbeitern oder durch Cyberattacken, sind viele unterschiedliche Faktoren zu berücksichtigen, um den Abfluss der Geschäftsgeheimnisse schnellstmöglich zu stoppen und ihre Verwertung, z.B. durch Wettbewerber, zu verhindern. Hierüber sollte man sich frühzeitig Gedanken machen und einen Krisenplan erstellen. Bei der Aufarbeitung und Abwehr solcher Vorgänge spielen verschiedene Rechtsgebiete und Themen eine Rolle und müssen entsprechend koordiniert werden (u.a. Strafrecht, Arbeitsrecht, Datenschutzrecht, IT-Sicherheits-Recht, Wettbewerbsrecht, Gewerbliche Schutzrechte, spezialgesetzliche Meldepflichten, Public Relations, Sicherung von Kundenbeziehungen usw.).
