Update IP Nr. 13
Geschäftsgeheimnisgesetz beschlossen: Das müssen Unternehmen jetzt wissen
Nach monatelangen Diskussionen über den ursprünglichen Gesetzentwurf der Bundesregierung hat der Bundestag nun endlich am 21.03.2019 das Gesetz zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtwidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (Geschäftsgeheimnisgesetz – GeschGehG) beschlossen. Die Umsetzungsfrist für die im Juni 2016 erlassene Richtlinie war bereits im Juni 2018 abgelaufen. Eine weitere Übergangsfrist enthält das Gesetz nicht; es tritt am Tag nach seiner Verkündung in Kraft, voraussichtlich im April 2019.
Es ist also höchste Zeit für Unternehmen, sich damit auseinanderzusetzen, was das neue GeschGehG für den Schutz ihrer Geschäftsgeheimnisse bedeutet und welcher Handlungsbedarf auf sie zukommt. Zu den Folgen für die Unternehmens-Compliance sehen Sie unser Update Compliance.
Begriff des Geschäftsgeheimnisses
Bislang gab es kein EU-weit harmonisiertes Recht zum Schutz von Geschäftsgeheimnissen. In Deutschland waren Geschäftsgeheimnisse insbesondere über § 17 UWG geschützt. Nach der Rechtsprechung des Bundesgerichtshofs galt als Geschäfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Geschäftsbetrieb stehende Tatsache, die nicht offenkundig, sondern nur einem begrenzten Personenkreis bekannt war und nach dem bekundeten, auf wirtschaftlichen Interessen beruhenden Willen des Betriebsinhabers geheimgehalten werden sollte. Nach der Definition in § 2 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis hingegen eine Information,
- die geheim ist (nicht allgemein bekannt bei Kreisen, die üblicherweise mit solchen Informationen umgehen, und nicht ohne weiteres zugänglich),
- die von wirtschaftlichem Wert ist (geschützt wird nur ein wirtschaftliches und kein privates Geheimhaltungsinteresse),
- die mit angemessenen Geheimhaltungsmaßnahmen geschützt wird,
- bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Geheimhaltungsmaßnahmen sind nach der neuen Rechtslage also nicht mehr nur deswegen notwendig, um rein faktisch den Verlust von Geschäftsgeheimnissen zu verhindern. Werden keine angemessenen Geheimhaltungsmaßnahmen getroffen, liegt vielmehr schon gar kein Geschäftsgeheimnis vor und der Schutz des GeschGehG greift von vornherein nicht.
Angemessene Geheimhaltungsmaßnahmen
Wann Geheimhaltungsmaßnahmen den Umständen nach angemessen im Sinne des § 2 Nr. 1 GeschGehG sind, ist eine Frage des Einzelfalls. Das wichtigste Kriterium ist die wirtschaftliche Bedeutung des Geschäftsgeheimnisses für das Unternehmen. Handelt es sich um die „Kronjuwelen“, deren Offenlegung oder Nutzung durch Wettbewerber existenzbedrohend sein könnte? Oder geht es um Geheimnisse, die zwar wichtig für das Unternehmen sind, aber in der Gesamtschau doch eher untergeordnete wirtschaftliche Bedeutung haben? Je wichtiger ein Geschäftsgeheimnis für das Unternehmen ist, desto striktere Schutzmaßnahmen müssen ergriffen werden, damit diese als angemessen gelten können. Umgekehrt wäre es verfehlt, alle geheimhaltungsbedürftigen Informationen mit der höchsten Geheimhaltungsstufe zu versehen und mit extremen Sicherungsmaßnahmen zu schützen. Insbesondere müssen die Geheimhaltungsmaßnahmen und der damit einhergehende Aufwand in einem vernünftigen Verhältnis zur wirtschaftlichen Bedeutung des Geschäftsgeheimnisses stehen. Von einem Weltkonzern könnten darüber hinaus möglicherweise stringentere Geheimhaltungsmaßnahmen verlangt werden als von einem mittleren und kleineren Unternehmen. Wie genau im Einzelfall angemessener Schutz beschaffen sein muss, wird durch die Rechtsprechung noch zu konkretisieren sein.
Reverse Engineering
Reverse Engineering, also der Rückbau von Produkten zur Entschlüsselung von Geheimnissen, wird nach der neuen Rechtslage in Zukunft zulässig sein, siehe hierzu unser Update Compliance.
Neue Ansprüche bei Geheimnisverletzung
Der Inhaber eines verletzten Geschäftsgeheimnisses hat nach der neuen Rechtslage dieselben Ansprüche wie etwa der Inhaber eines verletzten Patents. Konnte unter der früheren Rechtlage vom Verletzer lediglich Schadensersatz, Unterlassung und Auskunft verlangt werden, wird der Katalog nun insbesondere um Ansprüche auf Vernichtung verletzender Produkte, Herausgabe, Rückruf sowie dauerhafte Entfernung der verletzenden Produkte aus dem Markt erweitert. Das stellt eine erhebliche Besserstellung der Inhaber verletzter Geschäftsgeheimnisse dar.
Streitthema „Whistleblowing“
Der Schutz von Whistleblowern und Journalisten, die Geschäftsgeheimnisse im Rahmen ihrer Veröffentlichung von Missständen in Unternehmen offenlegen, war einer der wesentlichen Gründe dafür, dass sich das Gesetzgebungsverfahren in Deutschland so lange hingezogen hat. Nach langer Diskussion hat man sich für einen (theoretisch) hohen Whistleblower-Schutz entschieden. Solange die Offenlegung des Geschäftsgeheimnisses durch den Whistleblower sich auch nur zum Schutz des öffentlichen Interesses eignet, macht er sich im Falle eines Geschäftsgeheimnisverrats nicht strafbar. Vertiefend siehe hierzu auch unser Update Compliance.
Was Unternehmen jetzt tun müssen
Der Schutz von Geschäftsgeheimnissen nach dem GeschGehG ist nicht verpflichtend. Anders als etwa bei den Vorgaben der DSGVO gibt es keinen Umsetzungszwang. Dennoch müssen Unternehmen handeln, um ihre Geschäftsgeheimnisse zu schützen und im Streitfall auch durchsetzen bzw. verteidigen zu können.
Es empfiehlt sich generell ein 4-stufiges Konzept: Zuerst gilt es Geschäftsgeheimnisse als solche zu identifizieren. Dies muss im gesamten Unternehmen erfolgen. In einem zweiten Schritt müssen die Geheimnisse bewertet und kategorisiert werden (zur gestuften Bewertung vgl. oben).
Je nach Wichtigkeit des Geschäftsgeheimnisses sind im dritten Schritt die entsprechenden Schutzmaßnahmen zu treffen. Schutzmaßnahmen sind jedoch keinesfalls nur rechtlicher Natur. Neben vertraglichen Vereinbarungen, Comlpliance-Maßnahmen und Arbeitsanweisungen sind auch technische und organisatorische Schutzmaßnahmen zu treffen bzw. zu verbessern. Zu denken ist an Mitarbeiter-Sensibilisierungen oder die Verbesserung der IT- und Werkssicherheit. Das bedarf der Einbeziehung verschiedenster Abteilungen im Unternehmen (z.B. Forschung- und Entwicklung, Rechtsabteilung, IT, Werksicherheit etc.). Anhaltspunkte für ein zielführendes Vorgehen lassen sich aber beispielsweise der Norm ISO/IEC 27001 über IT-Sicherheitsverfahren und Informationssicherheits-Managementsysteme entnehmen.
Fazit
Es gibt keine Übergangsfrist. Unternehmen, die Ihre Geheimnisse auch in Zukunft geschützt wissen möchten und durchsetzen wollen, sind jetzt gefordert, angemessene Schutzmaßnahmen zu ergreifen und zu dokumentieren.