Nun ist es wohl doch soweit! Aller Voraussicht nach tritt im April das Geschäftsgeheimnisgesetz (GeschGehG) in Kraft. Der Bundestag hat am 21.03.2019 das Gesetz zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtwidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (Geschäftsgeheimnisgesetz – GeschGehG) beschlossen.
Die Umsetzungsfrist von zwei Jahren ist dabei schon im Juni 2018 abgelaufen, denn die Richtlinie war von der EU bereits im Juni 2016 erlassen worden. Leider hat sich der Bundestag sehr viel Zeit mit der Umsetzung der Richtlinie gelassen, unter anderem wegen Meinungsverschiedenheiten über den Whistleblower-Schutz. Da das Gesetz keine weitere Übergangsfrist mehr enthält wird es am Tag nach seiner Verkündung in Kraft treten und das dürfte schon in den nächsten Tagen der Fall sein.
Was bedeutet das Geschäftsgeheimnisgesetz für die Unternehmen?
Ein innerhalb der EU harmonisiertes Recht zum Schutz von Geschäftsgeheimnissen ist neu. In Deutschland waren Geschäftsgeheimnisse im Wesentlichen über § 17 UWG geschützt. Nach der Rechtsprechung des Bundesgerichtshofs (BGH) galt als Geschäfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Geschäftsbetrieb stehende Tatsache, die nicht offenkundig, sondern nur einem begrenzten Personenkreis bekannt war und nach dem bekundeten, auf wirtschaftlichen Interessen beruhenden Willen des Betriebsinhabers geheim gehalten werden sollte.
Dies ist nach der Definition in § 2 Nr. 1 GeschGehG künftig ein wenig anders. Danach ist ein Geschäftsgeheimnis eine Information,
-
- die geheim ist (nicht allgemein bekannt bei Kreisen, die üblicherweise mit solchen Informationen umgehen, und nicht ohne weiteres zugänglich),
- die von wirtschaftlichem Wert ist (geschützt wird nur ein wirtschaftliches und kein privates Geheimhaltungsinteresse),
- die mit angemessenen Geheimhaltungsmaßnahmen geschützt wird,
- bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Daraus folgt, dass Geheimhaltungsmaßnahmen nicht mehr nur deshalb ergriffen werden müssen, um das Geheimnis als solches zu schützen sondern auch, damit die zu schützende Information auch als Geschäftsgeheimnis nach diesem Gesetz angesehen wird und das Unternehmen von der Schutzwirkung des Gesetzes profitieren kann. Denn werden keine angemessenen Geheimhaltungsmaßnahmen getroffen, gilt die eigentlich „geheime“ Information schon von Gesetzes wegen nicht als Geheimnis.
Das führt nun unweigerlich zu der Frage, wann denn eine Geheimhaltungsmaßnahme als angemessen anzusehen ist.
Wie so oft in der Welt der Juristen gibt es darauf keine allgemeingültige Antwort, dies muss immer am Einzelfall beurteilt werden.
Das bedeutendste Kriterium ist dabei die wirtschaftliche Bedeutung des Geschäftsgeheimnisses für das Unternehmen. Betrifft dieses den Kern, die „Heiligtümer“ des Unternehmens und würde die Kenntnis oder Nutzung durch Wettbewerber existenzbedrohend sein, müssten sehr strenge Schutzmaßnahmen ergriffen werden. Je weniger wirtschaftliche Bedeutung ein Geheimnis in der Gesamtbetrachtung für ein Unternehmen hat, desto geringer werden die Anforderungen an die Schutzmaßnahmen sein. Demgegenüber wäre es auch im Hinblick auf Kosten, Aufwand und die Behinderung der nötigen Arbeitsprozesse nicht ratsam, alle geheimhaltungsbedürftigen Informationen quasi vorbeugend in die höchste Geheimhaltungsstufe zu heben und mit extremen Sicherungsmaßnahmen zu versehen. Ähnlich wie im Datenschutz sollte der Aufwand in einem vernünftigen Verhältnis zur wirtschaftlichen Bedeutung der zu schützenden Information stehen.
Dabei wird man von einem Global Player wohl höhere und aufwändigere Geheimhaltungsmaßnahmen verlangen, als von mittleren und kleineren Unternehmen. Hier wird man in den nächsten Jahren die Rechtsprechung beobachten müssen.
Was ändert sich im Wesentlichen für Unternehmen?
Die Ansprüche eines Geheimnisinhabers im Verletzungsfall sind künftig dieselben wie die eines Inhabers von verletzten Patenten. Zu den schon existierenden Ansprüchen auf Schadensersatz, Unterlassung und Auskunft, kommen nun noch insbesondere Ansprüche auf Vernichtung verletzender Produkte, Herausgabe, Rückruf sowie dauerhafte Entfernung der verletzenden Produkte aus dem Markt hinzu. Dies stellt in jedem Fall eine erhebliche Besserstellung der Inhaber verletzter Geschäftsgeheimnisse dar.
Der Schutz von Whistleblowern und Journalisten soll mit dem neuen GeschGehG nach dem Willen und der Deutung des Gesetzgebers hoch sein. Demnach wird sich ein Whistleblower keines Geschäftsgeheimnisverrats strafbar machen, solange die Offenlegung des Geschäftsgeheimnisses durch den Whistleblower auch dem Schutz des öffentlichen Interesses dient. Wann dies der Fall sein wird, bleibt gleichwohl wieder einmal der Rechtsprechung vorbehalten. Hier hätte sich der Gesetzgeber bei der Definition durchaus etwas mehr Mühe geben können, denn man wird kaum von einem Whistleblower erwarten können, dass er bei der für ihn ohnehin schon schweren Entscheidung auch noch der Frage nachgeht, ob seine Offenbarung denn auch in ausreichendem Maße dem Schutz des öffentlichen Interesses dient.
In Zukunft wird Reverse Engineering, also der Rückbau von Produkten zur Entschlüsselung von Informationen, zulässig sein.
Was sollten Unternehmen nun tun?
Anders als bei der DSGVO ist der Schutz von Geschäftsgeheimnissen nach dem GeschGehG nicht verpflichtend, dementsprechend besteht kein Handlungszwang auf Seiten der Unternehmen. Wollen die Unternehmen aber den vollen Schutz durch das GeschGehG genießen und im Falle einer Verletzung einzelne Ansprüche oder aber den gesamten „Blumenstrauß“ gegen den Verletzer geltend machen, sollten sie nun handeln.
Anderenfalls könnten sich handelnde verantwortliche Personen durchaus für Schäden im Unternehmen haftbar machen, sofern fehlende oder unangemessene Schutzmaßnahmen die Durchsetzung von Ansprüchen nach dem GeschGehG gegen den oder die Verletzer vereiteln.
Es empfiehlt sich dabei grundsätzlich ein 3-stufiges Vorgehen:
- Stufe: Ermittlung der Geschäftsgeheimnisse. Dabei muss das ganze Unternehmen auf den Prüfstand gestellt werden. Schützen kann man nur, was man auch als schützenswert identifiziert hat.
- Stufe: Bewertung und Kategorisierung der Geheimnisse. Ob man nun drei, vier oder acht Geheimnisstufen definiert, hängt maßgeblich vom Unternehmen sowie der Qualität und Quantität der Geheimnisse ab. Um aber zu verhindern, dass zu viel zu streng oder zu schwach geschützt wird, sollte man ein Schutzstufenkonzept entwerfen. Dies führt dann zur
- Stufe: Entsprechend dem Schutzstufenkonzept sind dann die jeweils in den einzelnen Stufen definierten Schutzmaßnahmen zu treffen. Hierbei dürfte sich vieles an den schon aus dem Datenschutz bekannten technisch-organisatorischen Maßnahmen (TOM’s) orientieren. Aber auch Compliance-Maßnahmen, Arbeits- oder Dienstanweisungen und vertragliche Vereinbarungen sind hier erfahrungsgemäß anzuwenden oder anzupassen. Ebenso sollten die Mitarbeiter sowohl sensibilisiert und auch speziell geschult werden, denn in den meisten Fällen ist der „Faktor Mensch“ der größte Unsicherheitsfaktor für die Geheimnisinfrastruktur.
Ein gutes Schema zur Erstellung und Implementierung eines solchen Konzeptes oder einer solchen Schutzorganisation findet sich in der ISO/IEC Norm 27001 über IT-Sicherheitsverfahren und Informationssicherheits-Managementsysteme.
Ergebnis: Unternehmen, die Geschäftsgeheimnisse von einer gewissen wirtschaftlichen Bedeutung besitzen, sollten nun zeitnah angemessene Schutzmaßnahmen ergreifen und diese auch ausreichend dokumentieren. Anderenfalls werden sie künftig keinen oder jedenfalls nicht den vollen gesetzlichen Schutz im Falle eines Geheimnisverrats haben. Je nach Bedeutung des Geheimnisses für das Unternehmen einerseits und den nutznießenden Wettbewerb andererseits kann ein solche Verrat existenzbedrohend sein. Die Verantwortlichen eines verletzten Unternehmens könnten dabei durchaus für die wirtschaftlichen Folgen einer Verletzung haftbar gemacht werden, wenn sie es schuldhaft unterlassen haben, angemessene Schutzmaßnahmen zu ergreifen und dadurch gesetzliche Ansprüche gegen den Verletzer nicht geltend gemacht werden können.
Gastbeitrag von RA Rainer Robbel
Unser Kollege Rainer Robbel ist als Rechtsanwalt sowie als ext. Datenschutzbeauftragter (TÜV-zert.) und Datenschutzauditor (Bitkom-zert.) unserer Partnerkanzlei ETL Rechtsanwälte in Köln für Unternehmen tätig.