Die Vertraulichkeit von Daten ist der Kern der täglichen Arbeit eines Datenschützers. Doch der Datenschutz schützt personenbezogene Daten, nicht (zwingend) aber Geschäftsgeheimnisse.

Jedes Unternehmen hat Geschäftsgeheimnisse, sei es über das eigene Produkt, Entwicklungen, Marktstrategien oder Geschäftszahlen. Diese Geheimnisse sind nur so lange von Wert, wie ihre Vertraulichkeit gewährleistet werden kann, denn was nutzt eine neue Entwicklung, wenn die Konkurrenz diese bereits vor Markteinführung kennt.

Und in der Vergangenheit haben sich Unternehmen mit dem klassischen Dreiklang:

  • Verschwiegenheitserklärung des Mitarbeiters
  • Geheimhaltungsvereinbarung mit Geschäftspartnern (NDA-Non-Disclosure-Agreements)
  • die Strafvorschriften der §§ 17ff. UWG

geholfen, um die eigenen Geschäftsgeheimnisse zu schützen. Durch die Verschwiegenheitserklärung des Mitarbeiters sollte er zur Vertraulichkeit der Geschäftsdaten verpflichtet werden, die NDA sollte das gleiche Ziel bei den Geschäftspartnern erreichen, und die Strafvorschriften der §§ 17ff. UWG haben Verstöße vereinfacht dargestellt, strafrechtlich sanktioniert.

Doch diese doch recht schlanke Lösung verfängt seit Ende April 2019 nicht (mehr):

Am 26.04.2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Was hat das Gesetz geregelt?

  • die §§ 17f. UWG wurden ersatzlos gestrichen,
  • der Begriff des Geschäftsgeheimnisses wurde definiert (§ 2 GeschGehG),
  • erlaubte und verbotene Handlungen wurden geregelt (§§ 3, 4 GeschGehG),
  • die Ansprüche der Inhaber (§§ 6ff. GeschGehG) und das Verfahren über die Durchsetzung wurde klargestellt (§§ 15 ff. GeschGehG)
  • die Strafvorschriften wurden präzisiert

Das GeschGehG definiert im Gegensatz zum bisherigen Recht erst einmal den Begriff des Geschäftsgeheimnisses:

Das Geschäftsgeheimnis (§ 2 Nr. 1 GeschGehG) ist jede Information, die

  • geheim ist oder sein sollte,
  • wirtschaftlichen Wert hat, weil sie geheim ist,
  • Gegenstand von Schutzmaßnahmen ist und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Das bedeutet, dass das Geschäftsgeheimnis nicht nur geheim sein muss und aufgrund der Vertraulichkeit wertvoll ist, sondern es muss Gegenstand von geeigneten Schutzmaßnahmen sein. Und diese Regelung in § 2 Nr. 1 lit. b GeschGehG birgt für die Unternehmen erhebliche Risiken, denn unterlässt das Unternehmen Schutzmaßnahmen hinsichtlich der vertraulichen Information, fällt es nicht mehr unter den Schutz des Geschäftsgeheimnisses. Ein Geschäftsgeheimnis, das nicht ausreichend geschützt wird, ist per definitionem keins.

Letztlich entscheidet das Unternehmen aber selbst, was Geschäftsgeheimnis ist und was nicht. Das Unternehmen muss das Geschäftsgeheimnis selbst identifizieren.

Um diesen Zweck zu erreichen, ist zu empfehlen, dass die Unternehmen eine Bestandsaufnahme durchführen. Im Rahmen dieser Bestandsaufnahme werden sämtliche Geschäftsgeheimnisse ermittelt und in einzelne Schutzstufen kategorisiert. Die einzelnen Geheimnisse werden je nach Relevanz und Risiko in dem zu dokumentierenden Schutzstufenkonzept eingeteilt. Je wichtiger das Geheimnis für das Unternehmen ist, desto höher muss es klassifiziert werden. Ein schönes Beispiel aus der Praxis:

Ein weltweit tätiges Softwareunternehmen entwickelt ein neues Produkt zur Erstellung von Textdokumenten, Grafiken, Tabellen, Präsentationen usw. In die Entwicklung wird ein Großteil des unternehmerischen Potentials investiert, Zeit, Geld und Arbeit der letzten Jahre wurden für dieses Projekt verwendet. Das Unternehmen erhofft sich von der Software einen durchschlagenden Markterfolg und eine langjährige Verkaufshistorie. Kurz, die neue Software soll den Bestand des Unternehmens für die nächsten 5 Jahre und darüber hinaus sichern. Der Quell-Code dieser neuen Software ist zwingend Teil des Geschäftsgeheimnisses und stellt mindestens strategisches Wissen dar, das auf einem hohen Niveau zu schützen ist, denn im Falle einer Preisgabe an Dritte droht ein strategischer Schaden, denn Konkurrenten könnten das System plagiieren und für sich verwenden. Die Investitionen wären verloren, ebenso wie das Produkt der kommenden Jahre. Daher muss das Unternehmen Maßnahmen ergreifen, um den Quell-Code vor dem unbefugten Zugriff Dritter zu schützen.

Der Gegenentwurf ist ein Unternehmen, das ein vergleichbares Produkt auf den Markt bringen möchte. Aufgrund der eigenen Unternehmensphilosophie soll das neue Produkt als Open-Source-Tool angeboten werden. Das Unternehmen hat keine Bedenken, dass die Community den Quell-Code kennt. Und in diesem Fall unterliegt der Quell-Code zwar ebenfalls dem Geschäftsgeheimnis, aber auf einer deutlich niedrigeren Stufe, denn durch die Preisgabe drohen keine Marktverluste. Und aus diesem Grunde müssen die Maßnahmen nicht ansatzweise so streng sein, wie im vorherigen Fall.

In dem Schutzstufenkonzept sind die einzelnen Geschäftsgeheimnisse und der Umgang mit diesen festzuschreiben:

  • Welche Geheimnisse werden von wem zu welchem Zweck verarbeitet,
  • Wie werden neue Geschäftsgeheimnisse erfasst und wer ist dafür zuständig?
  • Wie sind die Mitarbeiter zur Geheimhaltung verpflichtet worden und wie ist diese Verschwiegenheitspflicht durchzusetzen?
  • Wie werden Verstöße sanktioniert?
  • Wie werden Geschäftspartner zur Geheimhaltung verpflichtet und wer ist dafür zuständig?
  • Welche Maßnahmen werden zum Schutz ergriffen?

Welche Maßnahmen muss das Unternehmen zum Geheimnisschutz ergreifen?

Die Maßnahmen müssen technisch, organisatorisch und rechtlich angemessen sein. Neben der TO-Prüfung aus dem Datenschutzrecht (Art. 32 Abs. 1 DS-GVO) müssen weitere Maßnahmen, insbesondere rechtlicher Natur ergriffen werden, damit eine Offenbarung der Geschäftsgeheimnisse verhindert wird.

Diese rechtlichen Maßnahmen umfassen neben den klassischen Incentivierungsmaßnahmen:

  • Geheimhaltungs- und Verschwiegenheitsvereinbarungen der Mitarbeiterinnen und Mitarbeiter,
  • Betriebs- oder Dienstvereinbarungen,
  • Geheimhaltungsvereinbarungen mit Geschäftspartnern

Es reicht nicht, die Mitarbeiterinnen und Mitarbeiter individualrechtlich zur Verschwiegenheit zu verpflichten. Es ist nach ständiger Rechtsprechung unverzichtbar, die Mitbestimmungsrechte des Betriebsrats (§ 87 Abs. 1 BetrVG) zu wahren, denn ansonsten wäre ein Verstoß gegen die Verschwiegenheitspflicht u. U. unwirksam. (vgl. LAG Schleswig-Holstein, Beschluss vom 06.08.2019 – 2 TABV 9/ 19).

Bei der Geheimhaltungsvereinbarung mit den Geschäftspartners (non-disclosure agreements, NDA) muss sichergestellt werden, dass zum einen das eigene Unternehmen sich gegenüber Geschäftspartner sich nicht zu einem höheren Geheimhaltungsniveau verpflichtet, als es zu leisten imstande oder bereit ist, und zum anderen muss sichergestellt sein, dass der Geschäftspartner ebenfalls geeignete Maßnahmen zum Geheimnisschutz ergreift. Hier gilt der alte Grundsatz „Die Kette ist nur so stark, wie das schwächste Glied“, denn was nutzen überragende Maßnahmen im eigenen Hause, wenn man verabsäumt hat, die Geschäftspartner ebenfalls ausreichend zur Geheimhaltung verpflichtet?

Und häufig sind in den NDA Formulierungen zu finden, wie “der Auftragnehmer verpflichtet sich, die erhaltenen Geheimnisse durch geeignete Maßnahmen zu schützen und seine Mitarbeiter zur Verschwiegenheit zu verpflichten”. Und in diesem Fall haben wir einen haftungsrelevanten Verstoß gegen Vertragspflichten, wenn es im Unternehmen an geeigneten Maßnahmen oder geeigneten Verschwiegenheitserklärungen nebst Betriebsvereinbarung (s. o.) fehlt.

Spätestens im Haftungsfall wird die Frage gestellt, welche Maßnahmen hat das Unternehmen ergriffen. Wenn es aber keine oder ausreichenden Maßnahmen gibt, droht nicht nur der Verlust strategischen oder Schlüsselwissens, es droht auch eine kaum zu beschränkende Haftung.

Nach der Bestandsaufnahme werden Maßnahmen zur Verbesserung der bestehenden Struktur ergriffen. Hierbei orientiert man sich am Maßstab der Geeignetheit, Angemessenheit und Aktualität. Diese neuen Maßnahmen haben stets Eingang in die bestehende Dokumentation zu finden. Und hier ist Aufmerksamkeit geboten: Wenn das Unternehmen eine neue Maßnahme trifft und dokumentiert, muss u. U. eine erneute Mitbestimmung des Betriebsrats erfolgen.

Und in regelmäßigen Abständen muss das bestehende System auditiert und geprüft werden, um Schwachstellen zu entdecken, die es zu beheben gilt. Im Laufe einer Unternehmensgeschichte kann man immer wieder Fälle beobachten, bei denen einmal ein guter Prozess definiert und dokumentiert wurde, dieser aber im Laufe der folgenden Jahre weder geprüft noch auf veränderte Anforderungen angepasst wurde. Die Altlasten veralteter Prozesse findet man aber nur durch regelmäßige Audits.

Ein letztes Wort zu Hinweisgebersystem sei gestattet:

Das GeschGehG regelt endlich bis dahin unbeantwortete Fragen, und zwar, welche Handlungen erlaubt sind. Hierzu zählen:

  • das klassische Reverse-Engineering, also der Nachbau eines öffentlich zugänglichen Gegenstandes oder Produkts (§ 3 GeschGehG),
  • Whistleblowing (§ 5 Nr. 2 GeschGehG)

Nicht erst seit der EU-Whistleblower-Richtlinie, CCZ 2019, 214 ist das Thema des Whistleblowing “viral”, man erinnere sich an die Pentagon-Papers im Watergate-Skandal, Bradley Manning 2012, Wiki-Leaks oder auch die aktuelle Auseinandersetzung im politischen Washington D.C.

Hinweisgeber haben einen hohen Wert bei der Aufklärung struktureller Verfehlungen, sowohl unternehmensintern als auch durch behördliche oder mediale Aufklärung. Allerdings können Hinweisgeber, insbesondere aber das rechtsmissbräuchliche “Durchstechen” von Informationen an Behörden und Medien erhebliche Gefahren für ein Unternehmen bedeuten. Die Frage der Zulässigkeit der Veröffentlichung von Unternehmensinterna wurde insbesondere arbeitsrechtlich sehr unterschiedlich bewertet: Das BAG hat stets bei der Bewertung der Zulässigkeit von Whistleblowing auf die Motivation des Hinweisgebers abgestellt. Der unredliche Hinweisgeber, insbesondere der “Unehrliche” war nicht geschützt, weil hier die Loyalitätspflicht überwog. (vgl. BAG Urteil vom 27.09.2012 – AZ. R 646/ 11)

Die Frage der Zulässigkeit des Whistleblowings wurde jetzt neu geregelt und stellt eine deutliche Abkehr von der bisherigen Rechtspraxis dar:

Da das Whisteblowing durch § 5 GeschGehG ungeachtet der Motivation des Whistleblowers legalisiert wird, muss das Unternehmen organisatorisch und rechtlich sicherstellen, dass Whistleblowing erst dann zulässig wird, wenn das Unternehmen die Warnhinweise des Whistleblowers ungehört verhallen lässt. Es ist sicherzustellen, dass der Whistleblower erst dann sich an Dritte wenden darf, wenn er zumutbare Schritte im Unternehmen erfolglos ergriffen hat. Dazu muss man aber dem Hinweisgeber die Möglichkeit geben werden, Missstände, tatsächliche oder vermutete, unternehmensintern zu melden, und zwar durch ein zum jeweiligen Unternehmenszuschnitt passendes Hinweisgebersystem. Andernfalls muss das Unternehmen Whistleblowing gegen sich gelten lassen.

Und es gehört nicht erst seit dem “Neubürger-Urteil” zu den zwingenden Pflichten einer jeden Geschäftsführerin, eines jeden Geschäftsführers, die Sorgfalt eines ordentlichen Geschäftsmannes, so in § 43 Abs. 1 GmbHG benannt, anzuwenden, also ein geeignetes Compliance-System zu installieren. Ein Unternehmen, das das GeschGehG unbeachtet lässt, dürfte sich im Falle eines Schadens nur sehr schwer des Vorwurfs des grob fahrlässigen Verschulden erwehren können.

Das verdeutlicht, dass eine fehlende Umsetzung nicht nur unmittelbare bestandsgefährdende Risiken birgt, es führt Unternehmen auch in ein “Minenfeld” eines unbeherrschbaren Haftungsriskos.