Seit April 2019 gibt es das Geschäftsgeheimnisgesetz in Deutschland. Das Gesetz setzt die Vorgaben einer EU-Richtlinie um, die seit dem 09. Juni 2018 für alle europäischen Länder gilt. Ziel ist der Schutz vertraulicher Geschäftsinformationen sowie von Know-How. Bislang gab es diesbezüglich keinen umfassenden gesetzlichen Schutz. Unternehmen griffen daher regelmäßig auf Vertraulichkeitsvereinbarungen (auch „NDA“ genannt, die Abkürzung von Non-disclosure Agreement) zurück, um ihre Informationen mit Vertragspartnern geheim zu halten. Obsolet geworden sind diese allerdings nach wie vor nicht.
Denn der gesetzliche Schutz nach dem Geschäftsgeheimnisgesetz setzt einige wichtige Punkte voraus: die Information darf nicht allgemein bekannt oder ohne weiteres zugänglich sein, es muss ein berechtigtes Interesse an der Geheimhaltung bestehen und – ganz wichtig – sie muss durch geeignete Geheimhaltungsmaßnahmen gesichert sein. Das bedeutet, dass eine Information, die nicht durch Geheimhaltungsmaßnahmen gegen unbefugten Zugriff geschützt ist, kein Geschäftsgeheimnis ist und daher auch nicht gesetzlich geschützt ist. Ob die Information nach dem Willen des Geschäftsinhabers geheim bleiben sollte, ist dabei unerheblich, solange er nicht nachweisen kann, dass er was dafür getan hat, um die Information geheim zu halten.
Geheimhaltungsmaßnahmen gehören demnach zum Pflichtprogramm eines Unternehmens. Solche Maßnahmen können vertraglich sowie technisch-organisatorisch erfolgen. Der Umfang der Sicherheitsmaßnahmen, die erforderlich sind, hängt dabei davon ab, wie sensibel die Informationen sind. Allgemein gilt: je sensibler die Informationen, desto stärker müssen die Geheimhaltungsmaßnahmen sein.
Eine vertragliche Geheimhaltungsmaßnahme kann z.B. der Abschluss einer Vertraulichkeitsvereinbarung sein. In der Vertraulichkeitsvereinbarung sollte geregelt sein, welche Informationen vertraulich behandelt werden sollen. Dabei sollte darauf geachtet werden, dass die Definition einerseits möglichst allgemein-gültig gefasst wird, andererseits die Informationen, die vertraulich behandelt werden sollen, konkret benannt werden. Zum Beispiel könnte man geheimhaltungsbedürftige Informationen so definieren „alle Informationen, die dem Vertragspartner während der Vertragslaufzeit schriftlich oder mündlich offenbart und hierbei als geheimhaltungsbedürftig bezeichnet werden, insbesondere…“
Die Vertraulichkeitsvereinbarung sollte auch die Informationen benennen, die nicht unter die Vertraulichkeitsvereinbarung fallen. Das sind solche Informationen, die allgemein gültig bekannt sind, zufällig oder durch Dritte bekannt geworden sind oder dem Vertragspartner vorher schon bekannt waren. Viele NDAs enthalten eine Befristung, da anderenfalls Unsicherheit herrscht, wie lange die Geheimhaltungsverpflichtung gelten soll. Klare Regelungen ersparen im Nachhinein häufig einen Rechtsstreit. Häufig wird in einem NDA außerdem eine Vertragsstrafe vereinbart, um bei einem Verstoß gegen den Vertragspartner vorgehen zu können. Auf der einen Seite ist eine Vertragsstrafe zwar abschreckend, aber macht bei einem Vorgehen gegen den Vertragspartner Sinn. Zwar steht dem Unternehmen bei Verstoß gegen das NDA ein gesetzlicher Schadensersatzanspruch (nun auch nach dem Geheimnisschutzgesetz) zu, allerdings kann es schwierig sein, einen Schadensersatzanspruch geltend zu machen. Dazu müsste man nämlich nachweisen, dass durch die Offenlegung der Informationen ein Schaden entstanden ist und wie hoch dieser ist. Gerade auch aus diesem Grund ist der Abschluss eines NDAs sinnvoll, da erstens damit dokumentiert wird, dass man vertragliche Geheimhaltungsmaßnahmen ergriffen hat und man zweitens sowohl aus der Vertraulichkeitsvereinbarung als auch nach dem Gesetz gegen den Vertragspartner vorgehen kann.
Nicht nur Vertragspartner, sondern auch die eigenen Mitarbeiter sind nicht selten der Grund, weshalb bestimmte betriebsinterne Informationen nach außen gelangen. Daher sollte man auch die eigenen Mitarbeiter in den Arbeitsverträgen zur Vertraulichkeit verpflichten, und zwar auch über die Beendigung des Arbeitsverhältnisses hinaus, da sie während des Arbeitsverhältnisses ohnehin zur Verschwiegenheit verpflichtet sind.
Neben vertraglichen Schutzmaßnahmen sollten Unternehmen auch weitere technisch-organisatorische Vorkehrungen treffen, um im Fall der Fälle dokumentieren zu können, dass sie Maßnahmen getroffen haben, um vertrauliche Informationen zu schützen. Dazu gehören z.B. Zutrittsbeschränkungen zum Firmengelände sowie einzelnen Abteilungen sowie digitale Zugriffsbeschränkungen, einschließlich der Verschlüsselung von Daten. Allgemein sollte das „Need-to-know“-Prinzip eingehalten werden, das heißt: jeder Mitarbeiter und Vertragspartner sollte nur Zugang zu den Informationen erhalten, die er benötigt.
Gelangen trotz dieser Maßnahmen Informationen durch Mitarbeiter, Geschäftspartner oder Dritte nach außen, kann – sofern der Übeltäter bekannt ist – dieser nach dem neuen Gesetz unter anderem auf Unterlassung weiterer Verbreitung der Geschäftsinformationen, zur Auskunft über den Umfang der bisherigen Verletzungshandlungen sowie zum Schadensersatz in Anspruch genommen werden.
Es gibt aber auch klar definierte Ausnahmen vom Geheimnisschutz, so zum Beispiel das Whistleblowing: wenn die Offenlegung von bestimmten Informationen im öffentlichen Interesse ist, dürfen diese öffentlich bekannt gemacht werden, wenn das Interesse der Öffentlichkeit das Geheimhaltungsinteresse überwiegt. Dies dürfte z.B. der Fall sein, wenn das Unternehmen gegen Gesetze verstößt.
Bitte beachten Sie, dass sich die Ausführungen nur auf die rechtliche Situation in Deutschland beziehen.