Schutz der Geschäftsgeheimnisse immer wichtiger durch neue gesetzliche Anforderungen

Der Schutz der Geschäftsgeheimnisse ist für viele Unternehmen von elementarer Bedeutung. Umso erstaunlicher ist, dass so wenige Unternehmen die anstehende Gesetzesänderung in diesem Bereich auf dem Radar haben. Am 18. Juli 2018 legte die Bundesregierung einen entsprechenden Entwurf vor. Mit diesem soll die zugrunde liegende europäische Richtlinie in nationales Recht umgesetzt werden. Einen Monat nach Ablauf der von der EU gesetzten Umsetzungsfrist.

Vertrauliche Informationen im Unternehmen sind ein wichtiges Asset

Gerade innerhalb einer globalisierten Wirtschaft werden Teilaufgaben innerhalb eines Projektes an unterschiedliche Dienstleister ausgelagert. Für viele Produkte wird die Forschung und Entwicklung in Deutschland durchgeführt, die Fertigung aber oftmals in Fernost. Dass hierbei innovatives Wissen abfließen kann, liegt auf der Hand. Bereits auf nationaler Ebene war in Deutschland bisher der gesetzliche Schutz solchen Wissens nicht ausreichend. Hinzu kam die Zersplitterung des Schutzniveaus auf europäischer Ebene. Aber auch vertragsrechtlich veranlassten Unternehmen oftmals nicht mehr als die Vereinbarung von Vertraulichkeitsverpflichtungen. Diese Situation veranlasste den Gesetzgeber, tätig zu werden. Bereits 2016 hatte die EU eine Richtlinie zum Schutz von Know-how erlassen, die nun in nationales Recht umgesetzt werden musste.

Im Mittelpunkt stehen Geschäftsgeheimnisse

Der Regierungsentwurf sieht zahlreiche Möglichkeiten zum Schutz von vertraulichen Informationen vor. Ein Geschäftsgeheimnis ist dabei nach dem Entwurf „eine Information, die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und Gegenstand von angemessenen Schutzmaßnahmen ist“.

Was letztlich eine „angemessene Schutzmaßnahme“ ist, wie es die Definition vorsieht, soll nach der Begründung des Gesetzentwurfs durch die Gerichte im Einzelfall entschieden werden. Konkrete Beispiele für solche Maßnahmen nennt der Entwurf naturgemäß nicht. Daher gilt es hier bis zum Vorliegen entsprechender Konkretisierung durch die Rechtsprechung, besondere Sorgfalt auf die eigenen rechtlichen und praktischen Notwendigkeiten und Möglichkeiten im Unternehmen zu verwenden. Denn was „angemessen“ ist, kann auch nach Vorliegen etwaiger Gerichtsentscheidungen voraussichtlich nur im Einzelfall beantwortet werden.

Was man aber bereits jetzt sagen kann, ist, dass die Schutzmaßnahmen aus einem Mix an technischen, organisatorischen und vertraglichen Maßnahmen bestehen müssen. Denn wer nur seine Verträge anpasst, aber seine interne, betriebliche Organisation nicht auf den größtmöglichen Schutz nicht öffentlicher Informationen ausrichtet, kann sich bei einem Abfluss dieser nicht wirksam auf den Schutz nach dem neuen GeschGehG berufen. Als sicher gilt ebenfalls bereits folgende Feststellung: Je vertraulicher die Geschäftsgeheimnisse sind, desto höher müssen die Anforderungen an den Geheimnisschutz sein.

Anforderungen an ein Schutzkonzept

Ein Schutzkonzept kann also in der Praxis für die gesetzlich vorausgesetzte Angemessenheit der Maßnahmen zum Geheimnisschutz Sorge tragen. Ein solches Schutzkonzept muss technische und organisatorische Maßnahmen zum umfassenden Schutz von vertraulichen Informationen garantieren können. Das bedeutet z. B. auf technischer Seite keinen ungeschützten Zugang zu vertraulichen oder kritischen DatenDS von nicht befugten Personen auf den Servern eines Unternehmensintranets.

Auf arbeitsvertraglicher Ebene müssen Personen, die mit den geschützten Daten in Berührung kommen, durch Geheimhaltungsvereinbarungen und Wettbewerbsverbote an der Weitergabe von gehindert werden.

Ferner müssen entsprechende Vereinbarungen mit allen Kooperationspartnern eines Unternehmens geschlossen werden, die mit den Geschäftsgeheimnissen in Berührung kommen. So kann beispielsweise ein IT-Unternehmen ein Softwareprojekt an unterschiedliche Freelancer auslagern. Diese sollten hierbei aber streng auf die erforderliche Diskretion verpflichtet werden. Im Ergebnis wird man auch jede Vereinbarung zur Diskretion den tatsächlich implementierten Sicherungsmaßnahmen anpassen müssen.

Entwicklung eines Schutzkonzeptes für Geschäftsgeheimnisse

Demnach sind die Anforderungen an ein Schutzkonzept immer unterschiedlich. Ein kleines Start-up-Unternehmen hat schon aufgrund seiner Größe und überschaubaren Manpower andere Anforderungen als ein global operierender Konzern oder ein Familienunternehmen. Aber so unterschiedlich die Anforderungen an ein zu implementierendes Schutzkonzept auch sind, so bietet sich zur Entwicklung eines Schutzkonzeptes in der Regel ein 5-Phasen-Modell an:

• Phase 1: Feststellungsphase
  In einer Feststellungsphase erfolgt eine Überprüfung, welche Informationen und welches Know-how im Unternehmen bestehen. Ferner erfolgt die Ermittlung des Schutzbedarfs des jeweiligen Geheimnisses aufgrund eines qualifizierenden Fragenkatalogs. Ein solcher Fragenkatalog qualifiziert dann die jeweiligen Geschäftsgeheimnisse nach Vertraulichkeit und legt die Schutzstufe fest.
• Phase 2: Planungsphase
  Die Planungsphase bestimmt Maßnahmen, um bestehende und eventuelle Gefahren für den Verlust der in der vorherigen Feststellungsphase ermittelten vertraulichen Informationen auszuschließen. Bei einer in der Planungsphase durchzuführenden Gefährdungsanalyse müssen dann Maßnahmen ausgewählt werden, die auf vertraglicher, technischer und organisatorischer Ebene garantieren, dass sich Gefahren zum Verlust von Geschäftsgeheimnissen nicht realisieren.
• Phase 3: Umsetzungsphase
  Die Implementierung der vorher getroffenen Maßnahmen ist der wesentliche Bestandteil der Umsetzungsphase. Hier werden zahlreiche Abteilungen im Unternehmen an der Realisierung der jeweiligen Maßnahmen, beispielsweise der Verpflichtung zur Diskretion oder der Umsetzung von technischen und organisatorischen Maßnahmen, beteiligt sein.
• Phase 4: Prüfphase
  Anschließend sollten die umgesetzten Maßnahmen auf ihre Wirksamkeit hin überprüft werden. Die Prüfphase zeigt hierbei im Rahmen von Audits sowie Erfahrungen den Verbesserungsbedarf am Schutz auf. Zudem dient sie der Vorbereitung der Verbesserungsphase. Diese Phase dient insbesondere der Entdeckung von Schwachstellen, die entweder in der Vergangenheit zu einem Abfluss von Informationen geführt haben oder möglicherweise künftig dazu führen können.
• Phase 5: Verbesserungsphase
  Innerhalb der Verbesserungsphase kann dann mittels einer Kosten-Nutzen-Analyse und auf Grundlage der Prüfphase stetig an dem nun bestehenden Schutzkonzept gearbeitet werden.

Durchsetzung von Ansprüchen aus dem Geheimnisschutzgesetz

Nachdem ein solches Geschäftsgeheimnis durch die angemessenen Schutzmaßnahmen begründet wurde, kann der Inhaber eine Vielzahl von Ansprüchen zur Durchsetzung der ihm zustehenden Rechte geltend machen. Bislang wurden Betriebs- und Geschäftsgeheimnisse lediglich über strafrechtliche Regelungen im Gesetz des unlauteren Wettbewerbs und über das Deliktsrecht geschützt. Daher war es eine Bestrebung des europäischen Gesetzgebers, den zivilrechtlichen Schutz dem Patentschutz anzugleichen. So werden dem rechtmäßigen Inhaber der vertraulichen Informationen eigene Schadensersatz-, Unterlassungs- und Auskunftsansprüche gegen einen Rechtsverletzer an die Hand gegeben. Er kann die Vernichtung und Herausgabe von Dokumenten sowie die Entfernung und Rücknahme von rechtsverletzenden Produkten verlangen.

Handlungsbedarf im Unternehmen

Auch wenn es sich bei dem entsprechenden Gesetz bisher um einen Entwurf der Bundesregierung handelt, so besteht doch schon jetzt enormer Handlungsbedarf bei allen Unternehmen. Verträge mit Kooperationspartnern, Arbeitsverträge und IT-Richtlinien müssen im Unternehmen geprüft werden. Ferner müssen angemessene Schutzkonzepte erarbeitet und umgesetzt werden, damit unternehmenskritisches Know-how nicht verloren geht. Unternehmen müssen bereits jetzt handeln – und nicht erst, wenn das Gesetz in Kraft getreten ist.

[divider style=“solid“ top=“20″ bottom=“20″]

Gastautoren:
Sebastian Laoutoumai, LL.M., Rechtsanwalt und Fachanwalt für IT-Recht
Daniel Lehmann, Rechtsanwalt
Luther Rechtsanwaltsgesellschaft mbH