Table of Contents
He that would keep a secret must keep it secret that he hath a secret to keep
(Francis Bacon)
Soeben ist die Frist für die Umsetzung der Geschäftsgeheimnis-Richtlinie abgelaufen. Der deutsche Gesetzgeber hat für das notwendige Umsetzungsgesetz bisher nur den Entwurf eines Geschäftsgeheimnis-Gesetzes (GeschGehG-E) geschaffen, der nicht unumstritten ist. Bis zur Verabschiedung des GeschGehG ist daher die Geschäftsgeheimnis-Richtlinie bis auf Weiteres unmittelbar anwendbar. Der folgende Beitrag zeigt, welche Änderungen auf Unternehmen zukommen und was zu tun ist, um die eigenen Geschäftsgeheimnisse auch in Zukunft zu schützen.
Das Geschäftsgeheimnis – dafür gibt es doch das NDA?
Wollen Unternehmen kooperieren, beteiligen sie sich an einer Ausschreibung oder will man Geschäftspartner einen Ausblick auf zukünftige Produkte und Strategien geben, liegt meist schnell eine Geheimhaltungsvereinbarung, ein sogenanntes Non-Disclosure Agreement (NDA), auf dem Tisch. NDAs sind in der Regel standardisierte Formularverträge, und daher sind NDAs auch eines der Gebiete, bei denen man sich Effizienzgewinne mit Hilfe von sogenannten „Legal Tech“ Anwendungen verspricht. Detailliert geprüft und verhandelt werden NDAs seltener, meist im Zusammenhang von Unternehmenstransaktionen und im FuE-Bereich.
Warum sind NDAs eigentlich so beliebt, wenn es doch Gesetze dazu gibt?
Im bisherigen deutschen Recht wird der Schutz von Geschäftsgeheimnissen bislang über die Strafvorschriften der §§ 17 bis 19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) sowie über die §§ 823, 826 des Bürgerlichen Gesetzbuchs (BGB), gegebenenfalls in Verbindung mit § 1004 BGB analog, gewährleistet. Auch im Strafgesetzbuch (StGB) finden sich in den §§ 201ff. viele Vorschriften, die auch auf Geschäftsgeheimnisse Anwendung finden, z.B. ist das Ausspähen von Daten oder die „Datenhehlerei“ unter Strafe gestellt. Für Anwälte und Mandanten besonders wichtig ist § 203 StGB, der u.a. die Verletzung des Anwaltsgeheimnisses mit Strafe bedroht.
Im Übrigen sind die gesetzlichen Vorschriften eher karg, und von einem in sich stimmigen und geschlossenen Regelwerk zur Definition des „Geschäftsgeheimnisses“, zum Schutz vor der rechtswidrigen Erlangung eines solchen, der rechtswidrigen Nutzung und der rechtswidrigen Offenbarung kann bisher keine Rede sein. Zudem stellen die Vorschriften des UWG stets auf eine besondere Absicht des Täters ab, der zu Zwecken des Wettbewerbs, aus Eigennutz oder fremdnützig handeln muss. Das ist oft schwer zu beweisen.
Unternehmen versuchen bisher, diese eher unbefriedigende Rechtslage mit Hilfe von vertraglichen Vereinbarungen – eben den NDAs – zu kompensieren.
Bisheriges Gesetzgebungsverfahren
Die Europäische Kommission hatte im Jahr 2013 den ersten Entwurf einer Richtlinie über den Schutz vertraulichen Know-hows und von Geschäftsgeheimnissen vorgelegt, die schließlich in der am 8.6.2016 verabschiedeten „Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ (Geschäftsgeheimnis-Richtlinie) mündete.
Ziel der Richtlinie ist eine Harmonisierung der zivilrechtlichen Vorschriften in den einzelnen Mitgliedstaaten über den Schutz von Geschäftsgeheimnissen. Zum einen besteht bisher in den einzelnen EU-Mitgliedstaaten ein sehr unterschiedliches Verständnis vom Geheimnisschutz sowie auch unterschiedliche Schutzniveaus bestehen. Zum anderen geht der Richtliniengeber – zu Recht – davon aus, dass ein effektiver zivilrechtlicher Schutz von Geschäftsgeheimnissen nicht nur allgemein von erheblicher wirtschaftlicher Bedeutung, sondern auch ein wichtiger Faktor für die Schaffung des Binnenmarkts ist. Dabei soll die Richtlinie lediglich ein Mindestschutzniveau gewährleisten. Den Mitgliedsstaaten soll es offenstehen, einen weitergehenden Schutz vor rechtswidrigem Erwerb oder vor rechtswidriger Nutzung oder Offenlegung von Geschäftsgeheimnissen vorzuschreiben, sofern die in der Geschäftsgeheimnis-RL festgelegten grundsätzlichen Regelungen zum Schutz der Interessen anderer Parteien beachtet werden (vgl. Erw.-grund 10).
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Aber was ist denn eigentlich ein „Geschäftsgeheimnis“?
Zentraler Begriff der Richtlinie ist der Begriff des „Geschäftsgeheimnisses“. Dieser wird in Art. 2 Abs. 1 der Richtlinie legal definiert. Danach bezeichnet der Ausdruck „Geschäftsgeheimnis“ Informationen, die alle folgenden Kriterien erfüllen:
- Sie sind genau in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich sind;
- sie sind von kommerziellem Wert, eben weil sie geheim sind;
- sie sind Gegenstand von Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die rechtmäßige Kontrolle über die Informationen besitzt.
Das GeschGehG-E sieht in seinem § 1 Abs. 1 eine sehr ähnliche Definition vor.
Was bedeutet „kommerzieller Wert“?
Durch die Tatbestandsvoraussetzung des „kommerziellen Werts“ – im GeschGehG-E als „wirtschaftlicher Wert“ bezeichnet – sollen belanglose Informationen vom Schutz ausgeschlossen werden. Dieser Begriff ist durchaus enger als nach bisherigem deutschem Verständnis. Bisher gilt im deutschen Recht, dass ein „wirtschaftliche Geheimhaltungsinteresse“ bestehen muss. Dieser Begriff umfasst auch solche Geheimnisse, die zwar keinen eigenen Wert an sich haben, deren Bekanntwerden aber Schaden verursachen könnte, z.B. Informationen über rechtswidrige Vorgänge im Unternehmen. So läuft z.B. gerade die Geheimhaltung von Informationen, die rechtswidrige Vorgänge betreffen und deren Bekanntwerden dem Unternehmen Schaden zufügen würde, regelmäßig dem Interesse Dritter und auch dem öffentlichen Interesse zuwider. Wollte man solche Informationen schützen, würde dies ersichtlich dem Sinn und Zweck der Richtlinie und der dort enthaltenen Balance zwischen den Interessen des Geheimnisinhabers und den Interessen anderer zuwiderlaufen (vgl. z.B. Erw.-Grund 20 sowie Art. 13 der EU Geschäftsgeheimnis-Richtlinie).
Ob diese Frage durch den § 4 Nr. 2 GeschGehG-E abschließend beantwortet ist (wonach die Erlangung eines Geschäftsgeheimnisses dann gerechtfertigt ist, wenn die handelnde Person in der Absicht handelt, das allgemeine öffentliche Interesse zu schützen), wird sich zeigen. Die Europäische Kommission hat jedenfalls kürzlich eine neue Richtlinie zum Schutz von Hinweisgebern, sog. „Whistleblowern“, vorgeschlagen. Das Thema ist vor allem für die Bank- und Finanzbranche nicht ohne Brisanz, wie die Fälle bei der BNP Paribas oder die berühmt-berüchtigten „Steuer-CDs“ gezeigt haben, wo staatliche Stellen durchaus ambivalent agierten. Eine genauere Betrachtung des Vorschlags soll jedoch einem zukünftigen Beitrag vorbehalten bleiben.
Das Rätsel für die Praktiker: was sind denn „angemessene Geheimhaltungsmaßnahmen“?
Die in der Geschäftsgeheimnis-Richtlinie und dem GeschGehG-E geforderten „angemessenen Geheimhaltungsmaßnahmen“ begründen eine für die deutsche Praxis neue Schutzvoraussetzung. Hier wird abzuwarten sein, welche Anforderungen an solche Maßnahmen gestellt werden.
Nach dem bisherigen Verständnis im deutschen Recht reichte es aus, wenn ein erkennbarer subjektiver Geheimhaltungswille besteht, der sich in objektiven Umständen manifestiert und der teilweise allein aus der Natur der geheim zuhaltenden Tatsache gefolgert wurde. Das führt in der Praxis in Geheimhaltungsvereinbarungen zu zirkelschlussartigen Formulierungen, wonach der Pflicht zur Geheimhaltung alles unterliegen soll, dessen Geheimhaltungsbedürftigkeit sich aus der Natur der Information ergebe. Bei den in der EU-Geschäftsgeheimnis-Richtlinie und dem GeschGehG-E erwähnten „angemessenen Geheimhaltungsmaßnahmen“ handelt es sich dagegen um eine objektive Voraussetzung, bei welcher der jeweilige Inhaber des Geschäftsgeheimnisses im Streitfall beweisen muss, dass er die solche Maßnahmen getroffen hat.
Welche Arten von Geheimhaltungsmaßnahmen konkret erfolgen müssen, lässt sich kaum allgemein beantworten, da dies von der Art des Geschäftsgeheimnisses und der Bedeutung im Einzelfall anhängt. Typischerweise wird der Inhaber des Geschäftsgeheimnisses sowohl physische Zugangsbeschränkungen und Vorkehrungen treffen müssen (z.B. Verschlüsselung oder sichere Aufbewahrung, Kontrolle des Zugriffs), wie auch vertragliche Sicherungsmechanismen, z.B. gegenüber Dienstleistern.
Ob die getroffenen Maßnahmen angemessen sind, lässt sich ebenfalls nicht pauschal festlegen. Eine wichtige Rolle wird der „kommerzielle Wert“ (Art. 2 Abs. 1 lit. b EU Geschäftsgeheimnis-Richtlinie bzw. „wirtschaftliche Wert“ (§ 1 Abs. 1 Nr. 1 lit. a GeschGehG-E) spielen, d.h. der finanzielle Wert des Geschäftsgeheimnisses, dessen Entwicklungskosten, die strategische und wettbewerbliche Bedeutung für den Inhaber des Geheimnisses. Daneben wird man auch auf die allgemein üblichen Geheimhaltungsmaßnahmen der jeweiligen Organisation abstellen können, und darauf, ob das Geschäftsgeheimnis als solches klar gekennzeichnet war und ob es diesbezügliche vertragliche Regelungen mit Mitarbeitern und Geschäftspartnern gibt.
Gucken, drücken, riechen, testen – Reverse Engineering nicht mehr bloß für Computersoftware
Bemerkenswert ist, dass Art. 3 Abs.1 b) der EU-Geschäftsgeheimnis-Richtlinie bzw. § 2 Abs. 2 Nr. 2 GeschGehG-E ausdrücklich das sog. „Reverse Engineering“ als rechtmäßigen Erwerb eines Geschäftsgeheimnisses normieren. Das bedeutet, es gilt als rechtmäßiger Erwerb eines Geschäftsgeheimnisses, wenn es erlangt wurde durch
ein Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts oder Gegenstands, das oder der öffentlich verfügbar gemacht wurde, oder sich im rechtmäßigen Besitz des Beobachtenden, Untersuchenden, Rückbauenden oder Testenden befindet und dieser keiner Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses unterliegt.
In § 69e UrhG findet sich, zurückzuführen auf die EU-Computerprogramm-Richtlinie, ein ähnliches Recht, Computersoftware zu „Reverse-Engineeren“. Und der rechtswissenschaftliche Streit, ob § 69e UrhG als Rechtfertigungsgrund gegenüber dem § 17 UWG in Frage kommt, ist mindestens ebenso alt. Es bleibt abzuwarten, ob die EU-Geschäftsgeheimnis-Richtlinie und das GeschGehG hier weiterhin Material für Dissertationen liefern.
Synergieeffekte auch ohne Fusionen – dank DSGVO
Für Praktiker, die sich kürzlich durch die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) kämpfen durften, liegen die Parallelen auf der Hand. So bestehen inhaltlich deutliche Überschneidungen mit den dortigen Vorgaben zur Datensicherheit (Art. 32 DSGVO) und den zum Geheimnisschutz geforderten Sicherheitsmaßnahmen. Die Dokumentation der Verarbeitungstätigkeiten (Art. 30 DSGVO) kann gleichzeitig Grundlage für ein Geheimnisschutzkonzept sein, mit dem sich im Streitfall belegen lässt, wie viel Aufwand dem Inhaber des Geheimnisses eben dessen Geheimhaltung wert war. NDAs, bei denen geheimzuhaltende Informationen an einen Empfänger „zweckgebunden übermittelt“ werden, lassen spontan an Vereinbarungen zur Auftragsverarbeitung (Art. 28 DSGVO) denken.
Mit anderen Worten: wer bei der DSGVO gründlich gearbeitet hat, sollte wenige Probleme haben, auch die Anforderungen der EU-Geschäftsgeheimnis-Richtlinie bzw. des GeschGehG-E umzusetzen. Wer seine Geschäftsgeheimnisse ähnlich sorgfältig behandelt, wie es die DSGVO für personenbezogene Daten vorsieht, dürfte nur wenigen zusätzlichen Umsetzungsaufwand haben.
Appell an die Vernunft oder Billigkeits-Soße?
Die EU-Geschäftsgeheimnis-Richtlinie sowie ihm folgend das GeschGehG stellen den Schutz eines Geschäftsgeheimnisses nicht im Sinne eines absoluten, den gewerblichen Schutzrechten angenäherten Schutzes her, sondern machen diesen Schutz von einer Interessenabwägung zwischen den Interessen des Inhabers des Geschäftsgeheimnisses und den Interessen anderer abhängig. Auch hier sollten DSGVO-erprobte Praktiker aufhorchen, zieht sich die „Interessensabwägung“ doch prominent durch den Datenschutz.
So normieren Art.5 EU-Geschäftsgeheimnis-Richtline bzw. § 4 GeschGehG-E Ausnahmen vom Geheimnisschutz, wenn der Erwerb oder die Nutzung oder Offenlegung des Geschäftsgeheimnisses in bestimmten, privilegierten Fällen erfolgt, z.B. zur Ausübung des Rechts der freien Meinungsäußerung und der Informationsfreiheit. Darüber hinaus enthalten Art. 7 bzw. § 8 Regelungen, die unter bestimmten Umständen die Unterlassungs-, Auskunfts- und Vernichtungsansprüche des Inhabers des Geschäftsgeheimnisses ausschließen. Die Analogie zu den gesetzlichen Verarbeitungsermächtigungen mit Interessensabwägung, etwa in Art. 6 Abs. 1 lit. f. DSGVO, drängt sich hier auf.
Fazit
Die EU-Geschäftsgeheimnis-Richtlinie und GeschGehG sorgen für eine übersichtliche und in einem Gesetz zusammengefasste Regelung des Schutzes von Geschäftsgeheimnissen. Dennoch kann auf Unternehmen, die im Wettbewerb vor allem auf Geschäftsgeheimnisse und weniger auf „Registerrechte“ wie Patente, oder auf den Schutz ihres Urheberrechts setzen (können), eine Menge Arbeit zukommen. Technisch-organisatorische Geheimhaltungsregelungen sind zu definieren bzw. umzusetzen, NDAs neu zu gestalten bzw. zu aktualisieren, und bei Empfängern der Geschäftsgeheimnisse ist ggfs. auch zu prüfen, ob dort der Schutz des Geschäftsgeheimnisses gewahrt ist.
Viele Aufgaben davon sind sehr ähnlich zu denen, die sich bei der Um- und Durchsetzung der DSGVO im eigenen Unternehmen und gegenüber den Geschäftspartnern stellen. Daher sollte das im Zuge der Umsetzung der DSGVO oft mit hohem Aufwand gewonnene Know-How über das eigene Unternehmen auch für den Schutz der eigenen Geschäftsgeheimnisse eingesetzt werden, und nicht einfach beim internen oder externen Datenschutzbeauftragten verbleiben.
Titelbild / Cover picture: Copyright © fotolia