Die Unsicherheiten, welche die DSGVO mit sich brachte, sind in der Beraterpraxis immer noch spürbar. Nicht selten erreichen uns Anfragen, bei denen der Bezug zum Datenschutzrecht zunächst zu klären ist. Denn oftmals versteckt sich hinter einem vermeintlich datenschutzrechtlichen Thema etwas rechtlich ganz anderes.
Einer dieser Kandidaten ist die sogenannte Geschäftsgeheimnis-Richtlinie. Hier wird aufgehorcht und möglicherweise reflexartig an die gute alte „Verpflichtung der Beschäftigten auf die Vertraulichkeit“ gedacht. Und dann ist sie wieder da, die Unsicherheit. Erneut steht die Frage im Raum: „Befinden wir uns im Datenschutzrecht?“
Aber erstmal zurück zum Anfang. Hier sind einige Eckpunkte über die Geschäftsgeheimnis-Richtlinie zusammengefasst:
Die Richtlinie
Am 05.07.2016 trat die EU-Know-how-Schutz-Richtlinie 2016/943 („Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ in Kraft.
Da es sich um eine Richtlinie handelt, ist ein nationaler Umsetzungsakt erforderlich. Der deutsche Gesetzgeber ließ die bis zum 09.06.2018 gesetzte Umsetzungsfrist allerdings verstreichen. Ein Umsetzungsgesetz liegt derzeit lediglich als Regierungsentwurf vom 18.07.2018 vor.
Das bedeutet jedoch nicht, dass die Richtlinie noch keine Wirkungen entfaltet. Denn sie ist bei der Auslegung des nationalen Rechts und auch bei der richterliche Rechtsfortbildung zu berücksichtigen (Stichwort: richtlinienkonforme Auslegung).
Der unmittelbare Wirkungsbereich der Richtlinie ist jedoch in einigen Bereichen auch eingeschränkt. So findet die Richtlinie in privatrechtlichen Verhältnissen noch keine unmittelbare Anwendung, da es sich eben „nur“ um eine Richtlinie handelt und nicht um eine EU-Verordnung bzw. EU-Primärrecht.
Der Regierungsentwurf
Das geplante Gesetz zum Schutz von Geschäftsgeheimnissen soll für größere Rechtssicherheit sorgen. Insbesondere wird der Begriff des Geschäftsgeheimnisses, der bisher im deutschen Recht nicht gesetzlich geregelt, sondern durch die Gerichte konkretisiert wurde, nun gesetzlich definiert.
Zugleich soll das Umsetzungsgesetz den investigativen Journalismus im Bereich der Geschäftsgeheimnisse stärken. Erstmals werden ausdrückliche Regelungen für den Schutz von Hinweisgebern (sog. Whistleblower) geschaffen.
Der Entwurf enthält eine ausdrückliche Regelung, die die Erlangung, Nutzung und Offenlegung von Geschäftsgeheimnissen im Rahmen der journalistischen Tätigkeit für rechtmäßig erklärt (§ 5 Nr. 1 des Gesetzentwurfs). Im bisherigen Gesetz gegen den unlauteren Wettbewerb (UWG) gab es eine solche Regelung nicht. Zudem wird eine ausdrückliche Erlaubnis für Hinweisgeber verankert (§ 5 Nr. 2 des Gesetzesentwurfs). Außerdem wird klargestellt, dass die Ausübung des Rechts der freien Meinungsäußerung und der Informationsfreiheit unberührt bleibt (§ 1 Abs. 3 Nr. 2 des Gesetzesentwurfs).
Welche Veränderungen bringt diese Geschäftsgeheimnis-Richtlinie nun mit sich?
Die Richtlinie richtet sich an alle Mitgliedstaaten der EU und gewährleistet daher in ganz Europa einen einheitlichen Mindestschutz für Geschäftsgeheimnisse. Unternehmen können besser gegen eine unerlaubte Erlangung, Nutzung oder Offenbarung von Geschäftsgeheimnissen vorgehen und Entschädigungen erlangen.
Was ein „Geschäftsgeheimnis“ ist, wird in Art. 2 Abs. 1 der Richtlinie neu definiert.
Dies sind „Informationen, die alle nachstehenden Kriterien erfüllen:
a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
b) sie sind von kommerziellem Wert, weil sie geheim sind;
c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt;“
Zusammengefasst muss die Information also „geheim“ sein und einen „kommerziellen Wert“ aufgrund des Geheimnisses innehaben. Außerdem muss der Inhaber der Information „angemessene Geheimhaltungsmaßnahmen“ zum Schutz der Information treffen.
Zuvor wurde das Geschäftsgeheimnis folgendermaßen definiert: „Als Betriebs- und Geschäftsgeheimnisse werden alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat.“
Vergleicht man die Definitionen, kann man feststellen, dass in der alten Definition neben dem Merkmal „geheim“ bzw. „nicht offenkundig“, vor allem das (subjektive) Interesse an der Geheimhaltung von Bedeutung war. Damit ist jetzt mit dem Erfordernis des Ergreifens „angemessener Geheimhaltungsmaßnahmen“ Schluss. Die Richtlinie stellt nun auf ein (objektiv überprüfbares) Tätigwerden der Inhaber der Informationen ab. Daher besteht Handlungsbedarf.
Fazit
Um den Bogen zurück zu schlagen und um ein wenig Entwirrung zu stiften:
Die Antwort auf die Frage „Befinden wir uns im Datenschutzrecht?“ lautet grundsätzlich: Nein.
Die Geschäftsgeheimnisrichtlinie und das Umsetzungsgesetz behandeln nicht den Umgang mit personenbezogenen Daten. Vielmehr geht es darum, ein schützenswertes Geschäftsgeheimnis neu zu definieren und Maßnahmen festzulegen, welche die Mitgliedstaaten ergreifen müssen, um einen besseren zivilrechtlichen Schutz von Geschäftsgeheimnissen zu gewährleisten.
Hier steht zwar die Handlungsaufforderung an die Mitgliedstaaten, die Richtlinie umzusetzen, im Vordergrund. Jedoch ist auch ein Tätigwerden von Unternehmen, die ihre Geschäftsgeheimnisse weiterhin schützen wollen, erforderlich. Die Unternehmen sollten:
- die Informationen festlegen, die geheim gehalten werden sollen,
- angemessenen Maßnahmen zum Schutz dieser Informationen ergreifen
- die Schutzmaßnahmen dokumentieren,
- vertraglichen Regelungen zum Schutz von geheimen Informationen (im Verhältnis zu Beschäftigten, Geschäftskunden, etc.) treffen.
Im Rahmen des Erarbeitens der oben genannten Punkte können auch datenschutzrechtliche Themen berührt werden. Beispielsweise könnten sich technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten mit den Maßnahmen zum Schutz der Geschäftsgeheimnisse überschneiden. Eine Synergie zwischen Datenschutzrecht und dem Schutz von Geschäftsgeheimnissen ist nicht ausgeschlossen.
Schlussendlich lautet die Antwort auf die Frage „Befinden wir uns im Datenschutzrecht?“ dann wohl – Jein.