Ende April 2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten, mit dem die europäische Richtlinie 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung umgesetzt wird. Nur wenn Unternehmen angemessene Geheimhaltungsmaßnahmen treffen, sind ihre geheimen Informationen künftig durch das neue Gesetz geschützt. Welche Vorkehrungen Unternehmen ergreifen müssen, um in den Schutzbereich des GeschGehG zu fallen, wird im Folgenden erklärt.
Der Inhalt im Überblick
Die bisherige Rechtlage
Bislang war der Schutz von Geschäfts- und Betriebsgeheimnissen, insbesondere in § 17 UWG geregelt. Die Begriffe Betriebs- und Geschäftsgeheimnis wurden durch die Rechtsprechung geformt und grundsätzlich weit gefasst. Entscheidend war vor allem, ob ein subjektiver Geheimhaltungswille vorliegt. Dieser wurde häufig vermutet, ohne die Verpflichtung des Unternehmens objektive Schutzmaßnahmen darzulegen und zu beweisen.
Was ändert sich durch das GeschGehG?
Das neue Gesetz bietet Unternehmen einen besseren Schutz, sofern ein Geschäftsgeheimnis verletzt wurde. Allerdings sind die Voraussetzungen, unter denen sich die Inhaber von Geschäftsgeheimnissen auf den verbesserten Schutz berufen können strenger.
Die Ansprüche der Unternehmen bei Verletzungen wurden erweitert. Neben den auch nach alter Rechtslage schon bestehenden Beseitigungs- Unterlassungs-, Schadensersatz- und Auskunftsanspruch gegenüber dem Verletzter, bestehen nun auch Ansprüche auf Vernichtung, Herausgabe, Rückruf oder Entfernung und Rücknahme vom Markt. Zudem finden sich in dem neuen Gesetz detaillierte Regelungen für das gerichtliche Verfahren. Hierbei ist für Unternehmen insbesondere wichtig, dass der Zugang zu als geheimhaltungsbedürftig eingestufte Informationen beschränkt und die Öffentlichkeit von mündlichen Verhandlungen ausgeschlossen werden kann.
Die Erweiterung dieser Rechte ist für Unternehmen nur von Nutzen, wenn die Information nach dem neuen GeschGehG als Geschäftsgeheimnis klassifiziert wird und somit in den Schutzbereich fällt.
(Die Nennung der Änderungen ist nicht abschließend. Weitere Informationen zu Änderungen finden Sie hier)
Neue Definition des Begriffs Geschäftsgeheimnis
Eine der wohl bedeutendsten Änderungen für Unternehmen ist, dass mit dem neuen Gesetz der Schutzgegenstand enger gefasst wird. Zwischen den Begriffen Betriebs- und Geschäftsgeheimnis wird jetzt nicht mehr unterschieden. In Abkehr von der bisherigen Rechtsprechung, wird in § 2 Nr. 1 GeschGehG klar definiert, wann eine Information geschützt ist.
Voraussetzung für das Vorliegen eines Geschäftsgeheimnisses ist:
- eine nur einem begrenzten Personenkreis zugängliche Information, die daher von wirtschaftlichem Wert ist,
- das Ergreifen angemessener Geheimhaltungsmaßnahmen und
- das Bestehen eines berechtigten Interesses an der Geheimhaltung
Angemessene Geheimhaltungsmaßnahmen
Die neue Definition des Geschäftsgeheimnisses fordert, dass angemessene Geheimhaltungsmaßnahmen getroffen werden, damit Informationen als Geschäftsgeheimnisse geschützt werden. Im Vergleich zur alten Rechtslage müssen nun objektive Voraussetzungen vorliegen, die ein Unternehmen im Streitfall darlegen und gegebenenfalls beweisen muss. Auf den subjektiven Geheimhaltungswillen kommt es hingegen nicht mehr an.
Damit ist klar, dass ein aktives Tätigwerden der Unternehmen erforderlich ist, um überhaupt Schutz in Anspruch nehmen zu können. Präzedenzfälle müssen sich erst noch entwickeln, um beurteilen zu können, was als „angemessene Geheimhaltungsmaßnahmen“ gelten kann. Bis dahin muss jeder Einzelfall individuell bewertet werden. Insbesondere die Schutzbedürftigkeit der Informationen, die drohenden Risiken, sowie die Größe des Unternehmens, werden voraussichtlich entscheidende Kriterien sein, um die Angemessenheit der Geheimhaltungsmaßnahmen zu beurteilen.
Diese Maßnahmen sollten im Unternehmen geprüft werden
- Welche Informationen sind schutzbedürftig?
Zunächst sollte gesammelt und festgelegt werden, welche Informationen überhaupt schutzbedürftig sind. Teilweise kann es sinnvoll sein diese Informationen in verschiedene Risikoklassen einzuteilen, abhängig von ihrer Schutzbedürftigkeit. - Welche Schutzvorkehrungen wurden bisher getroffen?
In vielen Unternehmen bestehen bereits Maßnahmen, um Informationen ausreichend zu schützen. Eine wichtige Rolle spielt hierbei ein gut ausgebautes Informationssicherheitsmanagementsystem (ISMS). - Wird im Unternehmen bisher dokumentiert?
Eine gründliche Dokumentation ist unerlässlich, weil sonst im Streitfall kein angemessenes Schutzniveau bewiesen werden kann.
Welche Maßnahmen sollten nach der Prüfung ergriffen werden?
Sind keine Geschäftsgeheimnisse vorhanden oder besteht kein Interesse an der Geheimhaltung, so ist auch kein Handlungsbedarf erforderlich. Oftmals sind im Unternehmen jedoch schützenswerte Informationen vorhanden. Bevor neue aufwendige und kostspielige Geheimnisschutzkonzepte ausgetüftelt werden, ist in einem Unternehmen zunächst ein Blick auf bereits ergriffene Schutzvorkehrungen, wie insbesondere das ISMS zu richten. Danach sollten folgende Maßnahmen ergriffen werden:
- Implementierung und Ergänzung von Schutzmaßnahmen
Hierzu zählen im Wesentlichen vertragliche (Verpflichtung auf die Vertraulichkeit), organisatorische (u.a. Berechtigungskonzept, Schulungen) und technische Maßnahmen (z.B. Zugangskontrollen). Ist bereits ein ISMS im Unternehmen implementiert, so muss bloß geprüft werden, ob dieses auch zum Schutz der Geschäftsgeheimnisse richtig aufgestellt ist. - Regelmäßige Evaluation der Schutzmaßnahmen
Eine regelmäßige Überprüfung der eingeführten Schutzmaßnahmen muss erfolgen, um sicherzustellen, dass die ergriffenen Maßnahmen auch zukünftig das Angemessenheitserfordernis erfüllen.
