Geschäftsgeheimnisse im Unternehmen schützen

Geschäftsgeheimnisse im Unternehmen schützen

Das deutsche Geheimnisschutzgesetz ist ein Weckruf für Unternehmen, die den Schutz von Geschäftsgeheimnissen häufig unterschätzen. Der Artikel skizziert die geänderte Rechtslage aus dem Jahr 2019. Er gibt praxisrelevante Tipps für die notwendige Umsetzung von „angemessenen Geheimhaltungsmaßnahmen“, die auch beim Business Breakfast von ICC Germany im Mai 2019 diskutiert wurden.

Dr. Claudia Pappas

12 August 2019

Artikel drucken

Inhalt
Dr. Claudia Pappas

Dr. Claudia Pappas ist Leiterin der Markenabteilung bei thyssenkrupp. Sie hat am ICC-Report „Protecting Trade Secrets“ mitgearbeitet und verantwortet bei thyssenkrupp die konzernweite Umsetzung und Implementierung von Maßnahmen zum Geheimnisschutz.

 

Neue Rechtslage durch das GeschGehG

Geschäftsgeheimnisse schützen: Im April 2019 hat Deutschland das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) verabschiedet und damit die EU-Richtlinie 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb, Nutzung und Offenbarung aus Juni 2016 umgesetzt. Durch dieses neue Stammgesetz werden die §§ 17,18 UWG abgelöst, die bisher den Geheimnisschutz aufgrund von Rechtsprechungsrecht geregelt haben. Der für Unternehmen wichtigste Unterschied im Vergleich zum bisherigen Recht ergibt sich aus der neuen Anforderung, dass das Geschäftsgeheimnis „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ ist (§ 2 Nr. 1 b GeschGehG). Für Deutschland bedeutet dies einen Paradigmenwechsel: Während nach bisheriger Rechtslage der subjektive Geheimhaltungswille vermutet wurde, muss der Rechtsinhaber nunmehr darlegen und beweisen, dass das streitige Geheimnis die Schutzvoraussetzungen erfüllt. Dies stellt die Unternehmen vor die Herausforderung, dass das Geheimnis definiert und die vorgesehenen Maßnahmen festgelegt und dokumentiert werden müssen. Konkret bedeutet dies, dass die Geschäftsgeheimnisse klassifiziert werden müssen, notwendige angemessene Sicherungsmaßnahmen getroffen und organisatorische Maßnahmen eingeführt werden (vgl. auch den neu veröffentlichen ICC-Report „Trade Secrets – Recent EU and US reforms“).

Definition und Klassifizierung von Geschäftsgeheimnissen

In einem ersten Schritt sind die zu schützenden Informationen zu identifizieren. Die konkrete Information darf dem relevanten Personenkreis nicht allgemein bekannt oder ohne weiteres zugänglich sein und muss von wirtschaftlichem Wert sein. In Abgrenzung zu Immaterialgüterrechten ist also die tatsächliche Geheimhaltung notwendig und eine besondere Qualität für den rechtlichen Schutz nicht erforderlich. Plakativ gesprochen kann jedes Dokument, das sich auf dem Schreibtisch oder im Computer eines Mitarbeiters befindet, ein Geschäftsgeheimnis sein, sofern dieses nicht trivial und für das Unternehmen von wirtschaftlichem Wert ist. Um alle Bereiche zu erfassen, ist es praktikabel, sich an den internen Prozessen zu orientieren, um so z.B. Forschungs- und Entwicklungsdaten, Kundendaten, Lieferantendaten, Produktionsdaten, Einkaufs- und Verkaufsdaten, Service-Daten und Meta-Daten (wie Personaldaten, IT-Daten, Controlling-, Audit- und Riskdaten) zu identifizieren. Aus pragmatischen Gründen sind zunächst das Schlüssel-Knowhow und strategisch wichtige Informationen nach einer Verhältnismäßigkeitsabwägung zwischen drohendem finanziellen Verlust und Wahrscheinlichkeit des Eintritts zu definieren. Kernfragen sind dabei: Würde ein Verlust einen Reputationsschaden bedeuten? Ist die vorliegende Information einzigartig in der Industrie bzw. sie hat hohen Wert für Wettbewerber? Ist sie wichtig für aktuelle oder geplante Einnahmen? Auch ist der jeweilige Kontext der Information zu berücksichtigen. Beispielsweise kann eine Kundenliste für einen Unternehmensbereich ein Geschäftsgeheimnis sein, während sie in einem anderen Fall öffentlich zugänglich ist.

In einem zweiten Schritt sind die Informationen zu klassifizieren. Als gängige Kategorien werden intern, vertraulich und streng vertraulich verwendet. Die Kategorien ziehen unterschiedliche Sicherungsmaßnahmen nach sich, wie Verschlüsselung von Emails (bei Vertraulichkeit), oder Multi-Faktor Authentifizierung, Versendung nur in versiegelten Umschlägen (bei strenger Vertraulichkeit).  Die Kategorisierung sollte pragmatisch erfolgen. Der erste Impuls ist häufig, alle Informationen als streng vertraulich zu bezeichnen. Bei näherer Betrachtung würde man dadurch aber den normalen Geschäftsbetrieb lahmlegen, da eine Versendung per Email nicht mehr möglich wäre. Das Beispiel der Kundenliste zeigt, dass die tägliche Arbeit sichergestellt werden muss.

Sinnvoll ist es, ein Asset-Register anzulegen, in dem die Bezeichnung, die Klassifikation und die implementierte Maßnahme enthalten sind, aus Gründen des Geheimnisschutzes nicht jedoch die zu schützende Information selbst. Dieses Verzeichnis ist regelmäßig zu aktualisieren. Erfahrungsgemäß ist dieses Verzeichnis am besten durch Workshops zu implementieren, in denen Mitarbeiter aller relevanten Unternehmensfunktionen geschult werden.

Angemessene Sicherungsmaßnahmen und Geschäftsgeheimnisse schützen

Sind die wichtigsten Informationen klassifiziert, müssen „angemessene Geheimhaltungsmaßnahmen“ (§ 2 Nr.1b GeschGehG) getroffen werden. Was dies tatsächlich bedeutet, kann derzeit nicht verlässlich definiert werden, da dies von der Rechtsprechung ex post beurteilt wird. In der Literatur wird überwiegend dafür plädiert, keine zu hohen Anforderungen zu stellen und nur übliche, d.h. wirtschaftlich sinnvolle und effiziente Schutzmaßnahmen zu fordern statt eines einheitlichen „Supersicherheitsstandards“ (vgl. Mary-Rose McGuire, IPRB, 202ff)). Es bleibt damit den Unternehmen überlassen, angemessene Sicherungsmaßnahmen festzulegen. Diese sollten IT-Sicherheit, Gebäudesicherheit und vertragliche Maßnahmen umfassen.

Für die IT müssen geeignete Maßnahmen getroffen werden wie Zugangskontrolle, Übertragungskontrolle oder Input-Kontrolle und Trennungsgebot. Geeignete Hardware- und Softwarelösungen, Passwörter, Kopierbeschränkungen, Daten-Exportbeschränkungen außerhalb des Unternehmens sind zu beachten, Reiserichtlinien zu entwerfen und Schredding-Anforderungen fest zu legen. Elementar ist dabei die Anwendung des „need to know-Prinzips“: Ist sichergestellt, dass nur die Mitarbeiter, die die Informationen benötigen, hierauf Zugriff haben? Sind entsprechende Beschränkungen eingeführt und überprüft? Die Praxis zeigt, dass zu vielen Mitarbeitern Zugriff auf Informationen gewährt wird, die sie nicht benötigen. Auch die Gebäudesicherheit sollte überprüft werden, z.B.  hinsichtlich der zutreffenden Verwahrung von Dokumenten oder der Ein- und Ausgangskontrolle von Besuchern.

Schließlich sind vertragliche Sicherungsmaßnahmen einzuführen bzw. bestehende Vertragsmuster zu überprüfen. Vorvertraglich ist mit Dritten und potentiellen Vertragspartnern in allen Fällen, in denen vertrauliche Informationen ausgetauscht werden, eine Geheimhaltungsvereinbarung abzuschließen. Zudem sollen alle Verträge, bei denen geheimhaltungsbedürftige Informationen weitergegeben werden, eine Vertraulichkeitsvereinbarung enthalten. Mindestinhalt für diese vertraglichen Regelungen sollte sein:

  • Spezifikation der zu offenbarenden Geschäftsgeheimnisse
  • Verbot des reverse engineering
  • Einhaltung des need-to-know-Prinzips
  • Sicherung durch angemessene Geheimhaltungsmaßnahmen

Auch die Arbeitsverträge sollten überprüft werden. Erfahrungsgemäß erfolgt die größte Anzahl der Geheimnisverletzungen durch ausscheidende Arbeitnehmer. Demgemäß sollte der Arbeitsvertrag detaillierte und möglichst spezifische Vertraulichkeitsvereinbarungen enthalten. Sinnvoll, wenn auch aufwändig ist es, diese regelmäßig, z.B. im jährlichen Turnus zu überarbeiten. Es kann sich zusätzlich anbieten, einzelne der Geheimhaltung unterliegende Gegenstände in einer ausführlichen Liste an geeigneter Stelle in der IT vorzuhalten und im Arbeitsvertrag darauf zu verweisen. Zudem sollte im Arbeitsvertrag auch die Verpflichtung des Arbeitnehmers enthalten sein, keine unrechtmäßigen Geschäftsgeheimnisse einzubringen oder zu verwenden (Schutz vor „Kontaminierung“). Dem Arbeitnehmer sollte auch untersagt werden, das Geschäftsgeheimnis durch „reverse engineering“ zu erlangen. Insbesondere bei größeren Projekten und beim Ausscheiden des Arbeitnehmers sollten gesonderte Vertraulichkeitsvereinbarungen abgeschlossen werden, in denen konkret die geheimhaltungsbedürftigen Informationen spezifiziert aufgeführt werden.

Organisatorische Maßnahmen zum Geheimnisschutz

Notwendig ist es, organisatorische Maßnahmen zu implementieren, um den Geheimnisschutz wirksam einzuführen. Bei Großunternehmen muss dies auf mehreren Ebenen erfolgen. Sinnvoll ist es, ein Steuerungsgremium in der Konzernzentrale einzurichten, das die Implementierung des Geheimnisschutzes im Konzern sicherstellt, die Einhaltung der Konsistenz überwacht und Regularien für den Konzern erarbeitet. Mitglieder sollten Verantwortliche der betroffenen Konzernfunktionen und der Business Areas sein.

Auf der Ebene der Business Areas sollten Koordinatoren benannt werden mit folgenden Aufgaben:

  • Koordinierung der Implementierung in der Business Area und den Business Units/Organisation Units
  • Durchführung von für die Business Area angemessenen Koordinierungsmaßnahmen, wie:
    • Benennung des Business Unit/Organisation Unit Trade Secret Koordinators, soweit erforderlich
    • Festlegung der Vertraulichkeitsklassen
    • Implementierung der vertraglichen Maßnahmen
    • Koordinierung der Gebäudesicherheit
    • Führung der Dokumentation der Geschäftsgeheimnisse

Auf Ebene der Business Units/Operating Units oder Legaleinheiten sollten auch Koordinatoren installiert werden, die

  • die Implementierung übernehmen,
  • Zuständigkeiten bestimmen,
  • Workshops durchführen und die notwendigen Teilnehmer benennen,
  • die notwendigen Schutzmaßnahmen einführen,
  • das need-to know-Prinzip einführen,
  • die Dokumentation des Asset-Registers innehaben und regelmäßig überarbeitend.

Nach Implementierung sind Trainings und Awareness-Kampagnen für Mitarbeiter und das Management sinnvoll, wie verbindliche online Schulungen, die Verletzungsfälle zeigen und Best Practices aufgreifen.

Fazit: Geschäftsgeheimnisse schützen

Die harmlosen Worte des neuen Geheimnisschutzgesetzes „angemessene Geheimhaltungsmaßnahmen“ beschäftigen nicht nur die Juristen, sondern stellen insbesondere Unternehmen vor große Herausforderungen, den Geheimnisschutz effektiv zu gewährleisten. Auf die Rechtsprechung zu warten, ist keine Option. Vielmehr gilt es pragmatisch wirksame Prozesse zu installieren, um die geheimhaltungsbedürftigen Informationen zu sichern. In organisatorischer Hinsicht ist wichtig, dass die maßgeblichen Funktionen im Unternehmen in einem Steuerungsgremium zusammenarbeiten und in allen relevanten Bereichen Koordinatoren eingesetzt werden, Inhaltlich müssen sodann die Geschäftsgeheimnisse („Kronjuwelen“) definiert und klassifiziert werden, um sodann die Sicherungsmaßnahmen zu treffen, die sich auf IT, Gebäudesicherheit und vertragliche Maßnahmen erstrecken. Konsistente Einhaltung der Prozesse wird erforderlich sein. Denn am Ende entscheidet das Gericht oder die Realität.

 

Der ICC-Report „Protecting Trade Secrets – Recent EU and US Reforms”, der Unternehmen praktische Hilfestellung zum Thema „Geschäftsgeheimnisse schützen“ leistet, wurde am 6. Mai 2019 in Düsseldorf auf einer Veranstaltung von ICC Germany mit Unterstützung der Kanzlei Dentons vorgestellt, Referenten Tjibbe Douma, Partner, Dentons Boekel, Amsterdam, Dr. Stefan Dittmer, Partner, Dentons, Berlin, Co-Chair der ICC TF zu Trade Secrets, Dr. Claudia Pappas, Head of IP Team Trademarks thyssenkrupp Intellectual Property GmbH, sowie Dr. Katrin Rupprecht, Director ICC Germany. Die Teilnehmer diskutierten die Herausforderungen im Unternehmensalltag.

Der Beitrag zum Thema „Geschäftsgeheimnisse schützen“ ist im ICC-Germany-Magazin, Nr. 9, erschienen. Mehr über unser Magazin erfahren und kostenfrei abonnieren.