Es gibt ein neues Gesetz. Das wäre ja nicht weiter erwähnenswert, wenn es nicht den Umgang mit Geschäftsgeheimnissen beträfe und gegenüber der alten Rechtslage viele Änderungen mitbringen würde.
Das Geschäftsgeheimnisschutzgesetz setzt eine EU-Richtlinie um und gilt seit dem 26. April 2019. Durch das GeschGehG wird der Schutz von vertraulichen Informationen in Unternehmen einheitlich und umfassend geregelt. Die bisherigen Regelungen zum strafrechtlichen Schutz von Geschäftsgeheimnissen wurden aufgehoben.
Wie Dr. Martin Schirmbacher, Anwalt der Initiative Online Print und Fachanwalt für IT-Recht bei HÄRTING Rechtsanwälte, in dem folgenden Beitrag ausführt, betrifft das neue Gesetz Onlinedrucker gleich aus zwei Blickrichtungen. Zum einen muss handeln, wer eigene Geschäftsgeheimnisse weiterhin effektiv schützen möchte. Zum anderen werden viele Kunden auf den Abschluss neuer Vertraulichkeitsvereinbarungen drängen.
Als Geschäftsgeheimnis geschützte Information
§ 2 Nr. 1 GeschGehG definiert (nur), welche Informationen als Geschäftsgeheimnis geschützt sind. Danach ist eine Information geschützt, die
• den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, nicht allgemein bekannt oder ohne weiteres zugänglich ist,
• von wirtschaftlichem Wert ist,
• Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
• bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Wesentlicher Unterschied zur bisherigen Rechtslage ist, dass nicht mehr ein einigermaßen schlecht fassbarer „Geheimhaltungswille“ ausreicht (und notwendig) ist, sondern angemessene Geheimhaltungsmaßnahmen ergriffen werden müssen. Der rechtmäßige Inhaber des Geheimnisses muss angemessene – im Zweifel nachweisbare – Geheimhaltungsmaßnahmen treffen, um den Schutz des Geschäftsgeheimnisses für sich beanspruchen zu können. Fehlen diese, gibt es auch keinen gesetzlichen Schutz gegen Zugriff. Dann ist die Information im Zweifel nicht gegen Übernahme geschützt.
Angemessene Geheimhaltungsmaßnahmen
Da das Bestehen angemessener Schutzmaßnahmen Voraussetzung für den Schutz als Geschäftsgeheimnis ist und die Beweislast für deren Vorliegen im Zweifel bei dem Unternehmen liegt, müssen die Maßnahmen nicht nur vorhanden, sondern auch in ausreichendem Umfang dokumentiert sein. Man unterscheidet drei Formen von Geheimhaltungsmaßnahmen:
• vertragliche Maßnahmen (z. B. Vertraulichkeitsvereinbarungen)
• organisatorische Maßnahmen (z. B. Festlegung von Verantwortlichen, Berechtigungskonzept) und
• technische und physische Schutzvorrichtungen (z. B. Firewall, Safe, Passwortschutz).
Die Bewertung der Angemessenheit einer Geheimhaltungsmaßnahme erfolgt nicht nach starren Kategorien, sondern anhand einer einzelfallabhängigen Berücksichtigung verschiedener Faktoren:
• Wert der Information,
• Grad des Wettbewerbsvorteils durch die geheime Information
• möglicherweise bestehende Schwierigkeiten bei der Geheimhaltung und
• konkrete Gefährdung der Information.
Streng genommen muss dann für jede vertrauliche Information eine Risikobetrachtung vorgenommen und jeweils Schutzmaßnahmen in vertraglicher, organisatorischer und technischer Art festgelegt, umgesetzt und dokumentiert werden.
Notwendigkeit eines Geheimnisschutzkonzepts
Schon bei Unternehmen mittlerer Größe ist dies kaum gangbar. Empfehlenswert ist vielmehr, eine Typisierung anhand häufig auftretender Fallgestaltungen vorzunehmen. Ergebnis ist dann ein (kleines) Geheimnisschutzkonzept.
Dabei empfiehlt es sich zunächst, alle Geschäftsgeheimnisse in der gesamten Kette des Wertschöpfungsprozesses (Entwicklung, Marketing, Vertrieb, Kundenbetreuung, Management) zu sammeln, zu kategorisieren (nach Thema und Schutzwürdigkeit) und sodann ein unternehmensinternes Berechtigungs- und Maßnahmenkonzept einzurichten.
Das Konzept sollte beispielsweise auch die personelle Zuständigkeit für die Einrichtung angemessener Geheimhaltungsmaßnahmen für die einzelnen Kategorien der Geschäftsgeheimnisse festlegen. Weiter ist auch die Einrichtung regelmäßiger Kontrollmaßnahmen durch die zuständige Person denkbar, wie etwa in Form von regelmäßigen Evaluierungen des erforderlichen Schutzes (vor und nach Marktplatzierung, Sondierung neuer Geschäftsgeheimnisse in der jeweiligen Abteilung etc.).
Verletzungen von Geschäftsgeheimnissen und Folgen
Die maßgebliche Verbotsnorm des GeschGehG ist § 4 GeschGehG. Danach ist das Erlangen von Geschäftsgeheimnissen durch unbefugten Zugang oder auf sonstige Weise verboten (Abs. 1). Ebenso untersagt ist die Nutzung oder Offenlegung von unzulässig erlangten Informationen (Abs. 2 Nr. 1). Das Gleiche gilt für die Nutzung von Geschäftsgeheimnissen, die zwar auf zulässige Weise erlangt wurden (etwa von Beschäftigten oder Dienstleistern), aber unter Verstoß gegen eine Geheimhaltungs-Verpflichtung verwendet werden (Abs. 2 Nr. 2).
§ 4 Abs. 3 weitet den Verbotstatbestand auf Personen aus, die zwar selbst keinen Verstoß gegen eine Geheimhaltungs-Verpflichtung begehen, die Information auf dem Weg vom Inhaber durch eine Verletzung erlangt oder offengelegt wurden und die Person davon Kenntnis hatte oder hätte haben müssen. Häufigster Anwendungsfall dürfte die Nutzung von Geschäftsgeheimnissen von Wettbewerbern im Anschluss an unbefugtes Erlangen durch Dienstleister oder Beschäftigte sein.
Wird eine verbotene Handlung vorgenommen, kommen je nach Verletzungshandlung verschiedene Ansprüche in Betracht: diese reichen von Unterlassungsansprüchen, über Vernichtungsansprüchen bis zum Schadensersatz.
Drei Beispiel für Anwendungsfälle des neuen Gesetzes
Zur Verdeutlichung der Auswirkungen des neuen Gesetzes sollen drei Beispiele aus der Praxis dienen.
Beispiel 1: Online-Marketer mit Zugriff auf die Kundenliste
Ein großer Onlinedrucker beauftragt eine Online-Marketing-Agentur mit der Auswertung von Newsletter-Öffnungen, Website-Aufrufen und der Ermittlung von Korrelationen mit Bestellungen, Umsätzen und erzielten Margen. Es wird ein Vollzugriff auf sämtliche relevante Daten gewährt, um konkrete Schlüsse für weitere Marketing- und Vertriebsmaßnahmen ableiten zu können. Werden keine weitergehenden Vereinbarungen zur Vertraulichkeit getroffen, verstößt weder die Agentur noch deren Mitarbeiter, Freelancer oder Praktikanten gegen das Geheimnisschutzgesetz, wenn die Erkenntnisse an Wettbewerber weitergegeben werden. Auch der Konkurrent, der die Informationen bei seiner Marketingstrategie nutzt, verstößt nicht gegen das Gesetz, weil es eben an angemessenen Schutzmaßnahmen fehlt und nicht einmal Vertraulichkeit vereinbart wurde, obwohl es um wesentliche Insights des Unternehmens ging.
Beispiel 2: Interne Abläufe und Prozesse als Geschäftsgeheimnis
Viele Onlinedruckereien halten ihre internen Prozesse für besonders einzigartig und dementsprechend schützenswert. Wer sich vernünftig gegen einen Know-how-Diebstahl wehren möchte, muss nach dem neuen Gesetz aber etwas tun:
• In vertraglicher Hinsicht muss dafür gesorgt werden, dass Mitarbeiter, die den Überblick über alle Abläufe erhalten, auf Vertraulichkeit verpflichtet werden. Auch mit externen Beratern oder anderen, die Einblick in die Prozessstruktur bekommen, müssen Geheimhaltungs-Vereinbarungen abgeschlossen werden.
• Aus organisatorischer Sicht muss dafür gesorgt werden, dass möglichst wenig Mitarbeiter überhaupt einen vollständigen Überblick erhalten. Wichtige Einzelheiten sind durch ein Berechtigungskonzept zu schützen.
• In technischer Sicht müssen die organisatorischen Konzepte auch umgesetzt werden. Das heißt insbesondere, dass technische Sicherungsmaßnahmen gegen den Abfluss von Know-how ergriffen werden.
Beispiel 3: Druckunterlagen von Kunden
Viele Onlinedrucker kommen – ob gewollt oder nicht – mit Geschäftsgeheimnissen ihrer Kunden in Berührung. So wissen beispielsweise Verpackungsdruckereien schon Monate von dem Start eines neuen Verpackungsdesigns des Kunden. Auch der Druck von Geschäftsberichten unterliegt vielfach der Geheimhaltung. Auch bei scheinbar harmlosen Werbeflyern für neue Produkte stellt sich die Vertraulichkeitsfrage.
Kunden, die den Schutz ihrer vertraulichen Informationen ernst nehmen, kommen nicht umhin, mit ihren Dienstleistern umfassende Geheimhaltungs-Vereinbarungen zu schließen, die die neue Gesetzeslage berücksichtigen. Letztlich muss in diesen Vereinbarungen insbesondere die Offenlegung von Informationen und deren Nutzung verboten sein.
Aus Sicht des Dienstleisters heißt dies einerseits, dass solche Geheimhaltungs-Vereinbarungen genau zu prüfen sind. Bei allem Verständnis für die berechtigten Bedürfnisse von Kunden müssen die Verträge in der Praxis auch eingehalten werden können. Anderenfalls drohen ein Verstoß gegen das GeschGehG und letztlich empfindliche Folgen. Erst einmal geschlossen, müssen Geheimhaltungs-Vereinbarungen also andererseits sklavisch eingehalten werden. Sieht die Vereinbarung vor, dass alle Mitarbeiter auf Geheimhaltung gesondert zu belehren sind, muss auch das geschehen. Verstößt ein Mitarbeiter dagegen, ist dies im Zweifel eine Verletzung gegen das neue Gesetz.
Fazit
Das neue Geschäftsgeheimnisschutzgesetz führt zu Handlungsbedarf auch für die Onlineprint-Branche. Dies betrifft einerseits eigene vertrauliche Informationen wie Kundenlisten, Umsatzzahlen oder andere Unternehmenskennzahlen, aber auch interne Prozesse. Notwendig ist im Zweifel ein Geheimnisschutzkonzept, dessen Umsetzung und Dokumentation in der Praxis. Andererseits müssen Kunden für einen zuverlässigen Schutz ihrer Druckvorlagen vor vorzeitiger Offenlegung Geheimhaltungs-Vereinbarungen mit Druckereien anpassen. Hier sollten Online-Drucker aber nicht blind alles unterschreiben, weil die Konsequenzen schwerwiegend sein könnten.
