Das Geschäftsgeheimnisgesetz (GeschGehG) trat vor gut vier Jahren am 26. April 2019 in Kraft und dient dem Schutz von Geschäftsgeheimnissen. Es basiert auf der EU-Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen.
Zeit für einen kurzen Rückblick:
Vor Inkrafttreten des GeschGehG war der Geheimnisschutz in Deutschland nur rudimentär geregelt und in seiner Ausprägung durch den Tatbestand des „Verrats von Geschäfts- und Betriebsgeheimnissen“ (§§ 17–19 UWG a. F.) eher dem Strafrecht zugeordnet.
Durch das neue GeschGehG sind die Ansprüche eines Geheimnisinhabers gegen mögliche Verletzer seiner Geschäftsgeheimnisse gestärkt worden. Eine wichtige Neuerung ist, dass „angemessene Geheimhaltungsmaßnahmen“ ergriffen werden müssen, damit Know-how auch tatsächlich den nach diesem Gesetz vorgesehenen Schutz genießt.
Wann ein Geschäftsgeheimnis vorliegt, ist nach dem Gesetzeswortlaut nicht ohne weiteres klar und die bisherige Rechtsprechung hat nur wenig Konkretisierung gebracht. Nach § 2 Abs. 1 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis eine Information
- die nicht allgemein bekannt oder nicht ohne weiteres zugänglich sind und einen wirtschaftlichen Wert hat und
- die durch angemessene Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber geschützt ist und
- bei der ein berechtigtes Interesse an der Geheimhaltung besteht;
Unklar ist bei dieser Definition unter anderem, was „angemessene Geheimhaltungsmaßnahmen“ sind. Welche Maßnahmen muss der Geheimnisinhaber ergreifen, damit die für ihn relevante Information als Geheimnis im Sinne des Gesetzes gilt und damit als Geschäftsgeheimnis vom GeschGehG geschützt wird?
Es gibt leider weder eine Positivliste, die die Unternehmen einfach abarbeiten könnten, aber auch keine Black List, deren Kriterien stets als unzureichend angesehen werden. Aus der Rechtsprechung haben sich lediglich verschiedene Schutzmaßnahmen und Beurteilungskriterien für die Angemessenheit entwickelt, die aber weder zwingend noch abschließend sind. Der Verlust eines Geschäftsgeheimnisses bedeutet einen Verlust von Vermögenswerten, so dass die Schutzmaßnahmen sorgfältig bedacht und gewählt werden sollten.
Beurteilungskriterien für die Angemessenheit können die Art des Geschäftsgeheimnisses, die konkreten Nutzung, der Wert des Geheimnisses an sich bzw. für das Unternehmen, die Natur der Information, die Größe des Unternehmens, die übrigen Geheimhaltungsmaßnahmen des Unternehmens, die Art der Kennzeichnung etc. sein. Klar ist insoweit zumindest, dass nicht jede Information einzeln als geheim gekennzeichnet werden muss.
Als Schutzmaßnahmen können organisatorische, technische und rechtliche Maßnahmen ergriffen werden. Insbesondere Zugangsbeschränkungen (need-to-know), vertragliche Bestimmungen, interne Arbeitsanweisungen/ Schulungen, Verschwiegenheits-erklärungen kommen in Betracht.
Unternehmen müssen ihre Geschäftsgeheimnisse genau analysieren und beurteilen, ob die Schutzmaßnahmen für alle Geschäftsgeheimnisse wirklich gleichlaufen können, oder ob nicht jedes Geschäftsgeheimnis eigene Maßnahmen erfordert.
Bei den Überlegungen zu möglichen Geschäftsgeheimnissen dürfen auch Maßnahmen zur Cybersicherheit nicht außer Betracht gelassen werden. Die praktische Herausforderung ist nicht nur die Implementierung eines wirksamen Schutzsystems, sondern auch dessen Aufrechterhaltung. Unternehmen müssen zum Schutz ihres intellektuellen Kapitals die aufgestellten Schutzmaßnahmen regelmäßig überprüfen und ggf. neue Maßnahmen ergänzen oder ergreifen. Da die Beurteilung der Angemessenheit auch Umstände berücksichtigt, die sich fortlaufend ändern können, müssen auch die ergriffenen Schutzmaßnahmen immer wieder unter die Lupe genommen werden und einer ggf. geänderten Gefährdungslage angepasst werden. Hinzu kommt, dass der Geheimnisinhaber zunächst die Beweislast trägt, dass ein Geschäftsgeheimnis vorliegt. Er muss also im Zeitpunkt einer möglichen Rechtsverletzung in der Lage sein, die ergriffenen Schutzmaßnahmen zu beweisen. Eine nachvollziehbare Dokumentation der ergriffenen Schutzmaßnahmen ist daher notwendig.
Eine weitere Neuerung neben den „angemessenen Geheimhaltungsmaßnahmen“ ist, dass nun gemäß § 3 Abs. 1 Nr. 2 GeschGehG die Erlaubnis zum „Reverse Engineering“ besteht, wonach ein Geschäftsgeheimnis durch Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts erlangt werden kann. Bisher war dies nach der Rechtsprechung nur erlaubt, wenn dazu jeder Fachmann ohne größeren Zeit-, Arbeits- und Kostenaufwand zur Ableitung des Geschäftsgeheimnisses in der Lage war. Es gilt daher das „Reverse-Engineering“ insbesondere bei Geheimhaltungsvereinbarungen im Auge zu haben und angemessen zu berücksichtigen.
Fazit:
Da es sich beim GeschGehG um ein relativ neues Gesetz handelt, muss die Rechtsprechung noch einige Unsicherheiten klären. Unternehmen sollten sich über die Entwicklungen informiert halten und sinnvolle Geheimhaltungsmaßnahmen ergreifen und dokumentieren, wenn sie ihre Geschäftsgeheimnisse schützen wollen.
Susanne Graeser, Karin Simon
SimonGraeser Rechtsanwalts PartG mbB
