Neue Handlungspflichten zum Schutz Ihrer Geschäftsgeheimnisse

02.05.2019

Seit dem 26. April 2019 gilt ein neues Gesetz zum Schutz von Geschäftsgeheimnissen (sog. „GeschGehG“), das Unternehmen verpflichtet, aktiv Maßnahmen zum Schutz ihrer vertraulichen Informationen zu ergreifen. Ansonsten droht der Verlust von Unternehmens-Know-how, was schwerwiegende wirtschaftliche Folgen haben kann. Mit dem neuen Gesetz wird eine EU-Richtlinie zum Schutz von Know-how aus dem Jahr 2016 in deutsches Recht umgesetzt. Ich möchte Sie hiermit darüber informieren, was sich mit dem neuen Gesetz ändert und was Sie jetzt tun müssen.

Was ändert sich mit dem neuen Gesetz?

Die wichtigste Änderung ist eine Neudefinition des Geschäftsgeheimnisses. Damit Informationen künftig als Geschäftsgeheimnis geschützt werden können, müssen drei Kriterien erfüllt sein:

  1. Es muss sich um geheime Informationen handeln, das heißt, sie dürfen weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder zugänglich sein.
  2. Die Informationen müssen einen kommerziellen Wert besitzen, weil sie geheim sind.
  3. Die Informationen müssen Gegenstand angemessener Geheimhaltungsmaßnahmen sein. Das ist vom Unternehmen nachzuweisen.

Durch diese Kriterien wird die bisherige Unterscheidung in Betriebs- und Geschäftsgeheimnisse aufgehoben. Künftig geht es primär um den Schutz von Informationen als Geschäftsgeheimnis. Dazu gehören Geschäftsunterlagen ebenso wie betriebliches und technisches Know-how, aber auch – dem Informationszeitalter entsprechend – Software-Quellcodes, geheime Daten und Datenbanken. Die wichtigste Neuerung ist, dass der Rechteinhaber angemessene Geheimhaltungsmaßnahmen ergreifen und nachweisen muss. Ansonsten kann er im Verletzungsfall keine Ansprüche mehr geltend machen und steht mit leeren Händen da.

Was ist zu tun?
1. Identifizierung und Bewertung eigenen Know-hows

Erster Schritt sollte sein, das zu schützende Geschäftsgeheimnis zu identifizieren und je nach Bedeutung für das eigene Unternehmen in Kategorien einzuteilen wie

- echtem Schlüssel-Know-how (dessen Verlust existenzgefährdend sein kann (Beispiele: der Quellcode für eine Softwarefirma; Rezepturen für ein Chemieunternehmen; Kundenlisten für eine E-Mail-Marketing-Agentur)

- strategisch besonders wichtiges Know-how (Beispiele: Einkaufs- und Vertriebs-Know-how; Preiskalkulationen, Kundenlisten, Mitarbeiterdaten)

- Sonstiges zu schützende Know-how

Von dieser Einordnung hängt die Intensität und damit die Angemessenheit der Schutzmaßnahmen ab.

2. Geheimhaltungsmaßnahmen einführen und dokumentieren

Unternehmer müssen der Bedeutung des Geschäftsgeheimnisses jeweils angemessene Geheimhaltungsmaßnahmen ergreifen und dokumentieren, um diese im Fall einer Verletzung durch Dritte nachweisen zu können. Ohne Nachweis kein Geheimnisschutz! Angemessen heißt, dass die Maßnahmen der jeweiligen Bedeutung für das Unternehmen gerecht werden müssen. Für den Schutz von „Kronjuwelen“ eines Unternehmens wie Software-Quellcodes oder sensible Kundenkontakte müssen stärkere Maßnahmen nachgewiesen werden wie für allgemeines Unternehmens-Know-how. Deshalb ist die Einteilung des Know-hows in unterschiedliche Geheimhaltungsstufen wichtig. Dies sollte Teil eines Geheimhaltungsschutz-Konzeptes sein.

Zu den aktiven Geheimhaltungsmaßnahmen können gehören:

  • Physische und elektronische Zugangsbeschränkungen (Verschließen / Bewachen von Räumlichkeiten, Besucherausweise, Videoüberwachung, Fotografierverbote, IT-Sicherheitskonzepte, Passwort-Richtlinien, Virenschutzprogramme, Firewalls etc.)
  • Vertragliche Geheimhaltungsvereinbarungen (NDAs), sowohl mit eigenen Mitarbeitern (z.B. in Arbeitsverträgen) als auch externen Partnern, wenn möglich, mit Vertragsstrafen abgesichert
  • Kennzeichnung von Dokumenten / Verträgen als „Vertraulich“
  • Aufbau eines Berechtigungskonzepts für die eigenen Mitarbeiter
  • Schulungen von Arbeitnehmern im Umgang mit sensiblen Informationen / Verpflichtung auf das Datengeheimnis
  • Zuordnung von neu entstehenden Informationen zum Unternehmen (Das heißt: Es muss vertraglich abgesichert sein, dass Erfindungen oder Urheberrechte von Mitarbeitern dem Unternehmen „gehören“.
  • Konzept für das Aufspüren und Verfolgen von Geheimnisverletzungen

Bitte denken Sie daran, dass das größte Verlustrisiko die eigenen Mitarbeiter sein können. Sie können Ihre Geschäftsgeheimnisse nur durch wirksame vertragliche, technische und organisatorische Maßnahmen schützen. Dazu gehören Workflows beim Ein- und Austritt von Mitarbeitern (sog. Onboarding und Offboarding).

Im IT-Bereich deckt sich vieles mit den technischen und organisatorischen Maßnahmen (sog. TOMs), die Sie bereits aus dem Datenschutz kennen. Die TOMs können auch zum Schutz Ihrer Geschäftsgeheimnisse geeignet sein. Sie können also mit dem Aufbau eines entsprechenden Datenschutz- und IT-Sicherheitskonzepts praktisch „zwei Fliegen mit einer Klappe schlagen“.

3. Laufende Geheimhaltungsvereinbarungen und Arbeitsverträge überprüfen:

Zu den angemessenen Geheimhaltungsmaßnahmen gehört, laufende Geheimhaltungsvereinbarungen (sog. NDAs) und Arbeitsverträge an das neue Gesetz anzupassen. Musterverträge müssen neu entworfen werden. Dabei ist zum einen wichtig, das jeweils zu schützende Geschäftsgeheimnis genau zu beschreiben. Auch der jeweilige Vertragszweck ist möglichst genau anzugeben, weil dann deutlich wird, welche vertraulichen Informationen im Rahmen des Vertragszwecks offenbart oder ausgetauscht werden. Andernfalls droht der Verlust des Schutzes. Eine allgemeine Beschreibung ohne konkreten Projektbezug, wie dies in allgemeinen Musterformularen üblich ist, ist nicht mehr ausreichend. In NDAs sollten Ihre Geschäftspartner als Empfänger vertraulicher Informationen zu aktiven, der jeweiligen Bedeutung Ihres Know-hows angemessenen Geheimhaltungsmaßnahmen verpflichtet werden.

Auch in Arbeitsverträgen reichen allgemeine Formulierungen, die Mitarbeiter z.B. verpflichten, „über alle Angelegenheiten und Vorgänge im Rahmen ihrer Tätigkeiten auch nach dem Ausscheiden aus dem Arbeitsverhältnis Stillschweigen zu bewahren“ nicht mehr aus. Auch hier gilt, dass das geheim zu haltende Geschäftsgeheimnis konkret im Arbeitsvertrag beschrieben werden muss. Bei Arbeitsverträgen ist darauf zu achten, dass die Geheimhaltung nicht dazu führt, dass der Mitarbeiter nach seinem Ausscheiden aus dem Unternehmen zu stark in seiner weiteren beruflichen Tätigkeit eingeschränkt wird. Denn das kann im Ergebnis einem Wettbewerbsverbot gleichkommen, das ohne Karenzentschädigung unwirksam ist.

Bitte beachten Sie auch, dass das sog. Reverse Engineering, also die Untersuchung und der Nachbau von Produkten und Gegenständen, im IT-Bereich vor allem Software, nach dem neuen Gesetz zulässig ist. Dagegen können Sie sich schützen, indem Sie dies mit Ihren Mitarbeitern und Geschäftspartnern im jeweils zulässigen Rahmen vertraglich ausschließen.

Beim Aufbau eines Konzepts zum Schutz Ihrer Geschäftsgeheimnisse und bei der Umsetzung der erforderlichen Maßnahmen unterstütze ich Sie gerne.

Alle Meldungen im Überblick