Wissen und Geschäftsgeheimnisse können eine Unternehmung auf verschiedene Weise verlassen. Dabei kann es um mangelnde Dokumentation gehen, wenn Mitarbeiter mit Spezial Know-how das Beschäftigungsverhältnis beenden oder wenn aufgrund von Cyberattacken E-Mails abgefangen oder mitgelesen werden. Darüber hinaus ist der Faktor Mensch entscheidend. Oft kommt es zu einem unvorsichtigen Handeln der Mitarbeiter, auch im Rahmen der sozialen Netzwerke (unbedachte Kommentare auf Facebook).
Juristische Personen und Gesellschaften bzw. Unternehmen müssen die Möglichkeit haben zu verhindern, dass Informationen, die rechtmäßig unter ihrer Kontrolle stehen, ohne ihre Zustimmung auf eine Weise, die den anständigen Gepflogenheiten des Gewerbes und des Handels zuwiderläuft, Dritten offenbart, von diesen erworben oder benutzt werden, solange diese Informationen „geheim“ sind. Sei es in ihrer Gesamtheit oder Bezug auf ihre Anordnung oder dass sie im fraglichen Branchen- oder Personenkreis nicht allgemein bekannt oder leicht zugänglich sind und einen gewissen wirtschaftlichen Wert haben, weil sie „geheim“ sind und Gegenstand von „den Umständen nach angemessener Geheimhaltung“ seitens der juristischen Person waren, und unter deren Kontrolle sie rechtmäßig stehen.
All dies ergab sich bereits aus dem TRIPS-Abkommen (Art. 39 Abs. 2). Dies ist sozusagen der Mindeststandard. Nach bisheriger Rechtslage, also bis zum Inkrafttreten des Geheimnisschutzgesetzes in 2019 galt ja das altbewährte UWG (§§ 17 ff. UWG), das man in Bezug auf die in der Praxis vorkommenden Tatbestände der Geheimnisverwertung, Verwertung von Vorlagen oder Geheimnisverrat (§ 17 Abs. 1 OWiG alte Fassung) kennen.
Was ist nun ein solches Geschäftsgeheimnis?
Zunächst muss es eine Tatsache sein, die im Zusammenhang mit einem Geschäftsbetrieb (unternehmensbezogen) eine fehlende Offenkundigkeit aufweist, wobei es ein Geheimhaltungsinteresse und ein Geheimhaltungswille des Unternehmens geben muss. Definiert ist dies im Geheimnisschutz-Gesetz (GeschGehG) und in der EU -Richtlinie (RL 2016/943/EU) zum Schutz von Geschäftsgeheimnissen. Während das UWG noch eher eine strafrechtliche Prägung hatte, ist im neuen Geheimnisschutz-Gesetz die zivilrechtliche Prägung des Schutzes erneuert.
Dabei gibt es in diesem Zusammenhang auch erlaubte Handlungen. Ein Geschäftsgeheimnis darf insbesondere erlangt werden durch eigenständige Entdeckung oder Schöpfung, durch Beobachtung, Untersuchung, Rückbau und nur testen eines Produkts oder Gegenstands, dass öffentlich verfügbar gemacht wurde, sich im rechtmäßigen Besitz des/der Untersuchenden befand und keinerlei Geheimhaltungsverpflichtung/Beschränkung unterliegt. Weitere Gestattungen können sich aufgrund eines Gesetzes oder durch Rechtsgeschäft ergeben.
Jedenfalls macht es Sinn, sich selbst einen Überblick über Geschäftsgeheimnisse im Unternehmen zu verschaffen, beispielsweise auch über Kundendaten, Konstruktionszeichnungen, Verzeichnisse sowie eine Analyse des Datenflusses, gleichsam wie nach dem geltenden Datenschutzrecht nach der DSGVO sowie auch über die Verschlüsselung von E-Mails/allgemeiner Datensicherheit und die generelle Nutzung von etwaigen privaten Geräten im Unternehmen sich einen eigenen dokumentierten Kenntnisstand zu verschaffen.
Wie ist ein Geschäftsgeheimnis zu schützen und was sind nun „angemessene Geheimhaltungsmaßnahmen“ im Sinne des neuen Gesetzes?
Dies wird in Zukunft häufiger diskutiert werden. Voraussetzung für den Schutz ist auf jeden Fall eine „angemessene Geheimhaltung“. Ein erkennbarer, bloß subjektiver Geheimhaltungswille, der sich in objektiven Umständen manifestiert, genügt dafür gerade nicht mehr. Hier gibt es gewisse Rechtsunsicherheit trotz der objektiven Bestimmung. Die Rechtsprechung wird erfahrungsgemäß im Laufe der Zeit des noch jungen Gesetzestextes für Klarheit sorgen können. Jedenfalls ergibt sich aus der Richtlinie, dass angemessene Maßnahmen vom Unternehmen vorgenommen werden müssen. Das werden nicht die „bestmöglichsten“ sein, aber auch nicht die schlechtesten oder gar nur durchschnittliche Geheimerhaltungsmaßnahmen. Die Unternehmen treffen sozusagen eine Obliegenheit, solche Maßnahmen zu treffen, da ansonsten Geheimnisschutz verloren geht.
Eine Rolle für die Schutzmaßnahmen ergeben sich aus dem Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten, der Bedeutung für das Unternehmen, der Größe des Unternehmens, der sonstigen üblichen Erhaltungsmaßnahmen im Unternehmen sowie vertraglich vereinbarte Regelungen mit Arbeitnehmern und Geschäftspartnern, die in die Ermittlung des Schutzniveaus einfließen. Dabei gibt es physische Zugangsbeschränkungen, genauso wie vertragliche Sicherungsmechanismen. Darunter fallen auch technische Zugangshürden, wie Zugangssperren, Passwörter oder IT-Sicherheitsmaßnahmen.
Auch vertragliche Sicherheitsvereinbarungen gelten als Geheimhaltung. Nicht ausreichend sind jedoch vertragliche Vereinbarungen, die sämtliche Angelegenheiten der Geheimhaltung unterwerfen und dabei auch Vorgänge einbeziehen, die eigentlich keine Geschäftsgeheimnisse betreffen (LAG Düsseldorf, Urteil vom 3. Juni 2020). Gewiss ergibt sich dadurch auch zusätzlicher Regelungsbedarf für Geheimnisträger.
Selbstverständlich müssen auch mit freien Mitarbeitern und Arbeitnehmern Vorkehrungen getroffen werden, vor allem vertraglich, d. h. regelmäßig schriftlich, um im Falle von Streitigkeiten keine Unklarheiten zu haben. Es empfehlen sich deshalb Geheimhaltungsvereinbarungen sowohl in laufenden Arbeitsverträgen als auch im Rahmen von Kundenbeziehungen, die sich enger gestalten, z.B. im Rahmen eines konkreten Projekts oder joint venture.
Eine Regelung mit Dritten könnte etwa wie folgt formuliert sein, dass der Vertragspartner sich verpflichtet,
- die gegenseitig mitgeteilten Informationen ohne ausdrückliche schriftliche Einwilligung durch das Unternehmen nicht selbst zu verwerten;
- die Vertraulichen Informationen streng vertraulich zu behandeln und nur im Zusammenhang mit dem Zweck zu verwenden;
- die Vertraulichen Informationen nur gegenüber solchen Vertretern offen zu legen, die auf die Kenntnis dieser Informationen für den Zweck angewiesen sind, vorausgesetzt, dass der Interessent sicherstellt, dass ihre Vertreter diese Vereinbarung einhalten, als wären sie selbst durch diese Vereinbarung gebunden;
- „Vertraulichen Informationen“ ebenfalls durch angemessene Geheimhaltungsmaßnahmen gegen den unbefugten Zugriff durch Dritte zu sichern und bei der Verarbeitung der vertraulichen Informationen die gesetzlichen und vertraglichen Vorschriften zum Datenschutz einzuhalten. Dies beinhaltet auch dem aktuellen Stand der Technik angepasste technische Sicherheitsmaßnahmen (Art. 32 DS-GVO) und die Verpflichtung der Mitarbeiter auf die Vertraulichkeit und die Beachtung des Datenschutzes (Art. 28 Abs. 3 lit. b DS-GVO); Der Erfinder /das Unternehmen behält sich das alleinige und uneingeschränkte Recht zur Schutzrechtsanmeldung vor.
- Das Unternehmen /der Erfinder hat, unbeschadet der Rechte, die er nach dem Geschäftsgeheimnisgesetz hat, hinsichtlich der vertraulichen Informationen alle Eigentums-, Nutzungs- und Verwertungsrechte.
Auch die Vereinbarung von Vertragsstrafen mit Dritten ist mit derartigen Verträgen oder bei derartigen Projekten dabei von Bedeutung und im Einzelfall genauer zu regeln.
Unabhängig von einem eventuellen Schadensersatzanspruch (nach dem GeschGehG) kann ein jeweiliger (Projekt-)Vertragspartner verpflichtet werden, für jeden Fall des schuldhaften Verstoßes gegen diese Vereinbarung eine Vertragsstrafe in einer bestimmten, auch in gewisser abschreckenden Höhe zu zahlen.
Mit § 23 Geschäftsgeheimnisgesetz hat der Gesetzgeber auch eine neue Strafnorm mit Wirkung zum 26. April 2019 geschaffen, die § 17 Abs. 2 UWG teilweise verdrängt. Für eine Strafbarkeit betreffs Arbeitnehmer muss nicht unbedingt ein Dienstverhältnis im Sinne des BGB vorliegen, es reicht jedes Beschäftigungsverhältnis. Darüber hinaus gibt es, parallel, weitere Strafvorschriften, die beispielsweise im StGB geregelt sind (§ 203 StGB, im Aktienrecht (§ 404 AktG) oder in § 85 GmbHG sowie in § 333 HGB.
Fazit:
Insgesamt bleibt festzustellen, dass es in vielerlei Hinsicht bei dem jungen Gesetz noch in der Praxis Anwendungserfahrungen bedarf, insbesondere was die Rechtsprechung in zivilrechtlicher und strafrechtlicher Hinsicht mit dem relativ neuen Gesetz noch klarstellend für die Rechtsanwendung und für Schutzvorkehrungen im Einzelfall macht.