Vertraulichkeitsverpflichtung von Geschäftspartnern und Dienstleistern (NDA)

• US-Recht oder EU-Recht? – Viele der NDAs sind nach angelsächsischen Recht gestaltet und berücksichtigen nicht die Voraussetzungen des Geschäftsgeheimnisschutzes.
• “Catch-All-Klauseln” – NDAs erhalten klassischerweise “alles was nicht öffentlich ist, ist ein Geschäftsgeheimnis”-Klauseln (sog. “Catch-All-Klauseln”). Der EU-Geschäftsgeheimnisschutz fordert jedoch, dass die Geschäftsgeheimnisse möglichst genau umschrieben werden (vgl. LAG) Köln (Urteil vom 2.12.2019 – 2 SaGa 20/19). Mit unserem Generator können Sie die einzelnen Arten von Geschäftsgeheimnissen wählen oder auch selbst ergänzen.
• Ausschluss von Reverse Engineering – Der EU-Geheimnisschutz erlaubt ausdrücklich das Reverse Engineering, also das „Beobachten, Untersuchen und Rückbauen” von z. B. Geräten, Soft- oder Hardware (§ 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT). Daher sollte das Reverse Engineering, wie mit unserem Generator möglich, ausdrücklich ausgeschlossen werden.

Gleichzeitige Verpflichtung auf den Schutz personenbezogene Daten: NDAs sollen klassischerweise nur Geschäftsgeheimnisse schützen. Sie berücksichtigen daher, anders als unser Generator, nicht den Schutz der personenbezogener Daten (Art. 4 Nr. 1 DSGVO). D. h. Sie werden häufig noch eine zusätzliche Vertraulichkeitsverpflichtung abschließen müssen, wenn Ihr Dienstleister oder Geschäftspartner im Rahmen der Geschäftsbeziehung mit personenbezogenen Daten in Verbindung kommen kann. Unser Generator berücksichtigt dagegen sowohl Geschäftsgeheimnisse wie auch personenbezogene Daten.

• Datenschutz – Der Datenschutz hat eine andere Schutzrichtung, als der Schutz von Geschäftsgeheimnissen. Während die letzteren wirtschaftliche Werte schützen, schützt der Datenschutz personenbezogene Daten, also am Ende Personen. Beide Schutzbereiche können sich jedoch überlagen, z. B. wenn es um Mitarbeiterlisten geht.
• IP-Rechte – Als IP, also “Intellectual Property Rechte”, bzw. “Rechte geistigen Eigentums”, werden zusammenfassen alle Rechte bezeichnet, die an unkörperlichen (Wirtschafts)Gütern bestehen können. Dazu gehören Urheber-, Marken- oder Patentrechte. Geschäftsgeheimnisse gehören als unkörperliche Rechte ebenfalls zu den IP-Rechten. Häufig werden sich Geschäftsgeheimnisse und IP-Rechte ausschließen, z.B. weil ein Patent veröffentlicht werden muss. Anderseits kann ein Urheberrecht auch an einem noch nicht veröffentlichten Softwarecode (und damit einem Geschäftsgeheimnis) bestehen.

1. Zuständigkeiten bestimmen – Es sollte vor allem eine Person als Geschäftsgeheimnisbeauftragte*r bestimmt werden. Dies sollte nach Möglichkeit nicht der*die Datenschutzbeauftragte sein, da es dabei zu Interessenskollisionen (z. B. im Rahmen der Erfüllung von datenschutzrechtlichen Auskunftsansprüchen, die Geschäftsgeheimnisse betreffen) kommen könnte.
2. Erfassung und Listung – Alle potentiellen Geschäftsgeheimnisse sollten erfasst und nach ihrer Bedeutung kategorisiert werden.
3. Risikobewertung – Im Hinblick auf jedes einzelne Geschäftsgeheimnis sollten die Risiken (samt Eintrittswahrscheinlichkeit und Intensität) eingeschätzt werden.
4. Schutzmaßnahmen – Im Hinblick auf den Risikograd getroffene Schutzmaßnahmen, deren Bewertung und etwaige Nachbesserungshinweise.
5. Kontrolle und Aktualisierung – Das Schutzkonzept sollte regelmäßig (üblicherweise alle 12 Monate) sowie anlassbezogen (wenn z. B. ein neues Produktionsverfahren eingeführt wird) geprüft und bei Bedarf aktualisiert werden.

1. Stufe: „Kronjuwelen“ (Verlust wäre existenzbedrohend)
2. Stufe: „Wichtige Informationen“ (dauerhafte wirtschaftliche Nachteile)
3. Stufe: „Sensible Informationen“ (kurzfristiger wirtschaftlicher Nachteil)

Nicht als Geschäftsgeheimnis zu schützende Informationen können wahlweise nicht erfasst oder in Zweifelsfällen als “Kein Geschäftsgeheimnis” mit Begründung erfasst werden.

Die Bewertung des Risikos ist die große Unbekannte des Geschäftsgeheimnisschutzverfahrens. Sie setzte eine Sachkenntnis im Hinblick auf die Bewertung der Geschäftsgeheimnisse und der technisch-organisatorischen Schutzmaßnahmen voraus.

Anhand der Einstufung muss bewertet werden, ob die vorhandenen technisch-organisatorischen Schutzmaßnahmen ausreichend sind oder ergänzt werden müssen. Am Ende wird bewertet, welche Risikostufe die verbleibenden Gefahren haben.

Kooperation zwischen Abteilungen: Bei der Erstellung des Schutzkonzeptes für Geschäftsgeheimnisse sollten auch andere Abteilungen oder fachkundige Personen, wie z. B. die Finanz-, die IT-Abteilung und der*die Datenschutzbeauftragte hinzugezogen werden. Vor allem letztere werden im Hinblick auf die nötigen technisch-organisatorischen Schutzmaßnahmen wertvolle Hilfe leisten können (da die Schutzmaßnahmen für personenbezogene Daten weitestgehend auch Geschäftsgeheimnisse schützen).

• Berechtigungskonzept (sog. Need to know“-Prinzip) als Kernstück.
• Zutrittskontrolle (Schließkonzept, Besucherkontrolle, Videoüberwachung, Alarmanlage, etc.).
• Zugangskontrolle (Passwörter, Verschlüsselung, Firewall- & Virenschutz, USB-Sperrung, regelmäßige Updates).
• Schulungen von Mitarbeitern (insbesondere Erkennung und Meldung von Geschäftsgeheimnissen).
• Vertragliche Verpflichtungen von Mitarbeitern und Geschäftspartnern (NDAs).

Erweiterung des datenschutzrechtlichen Schutzkonzeptes: Die Maßnahmen zum Schutz von Geschäftsgeheimnissen stimmen im Wesentlichen mit dem Schutz von personenbezogenen Daten überein. Häufig wird es ausreichen, das bereits von der Datenschutzabteilung erstellts Schutzkonzept auch auf Geschäftsgeheimnisse zu erweitern.

• Sorgfältige Auswahl entsprechend der Stufe der Geschäftsgeheimnisse.
• Abschluss einer Verschwiegenheitsvereinbarung im Hinblick auf Geschäftsgeheimnisse (Mitarbeiter NDAs).
• Information über Geschäftsgeheimnisse und deren Schutz (sollte in der o.g. Verschwiegenheitsvereinbarung erfolgen, optimal sind Schulungen).
• Verpflichtung die Verletzung von Geschäftsgeheimnissen zu melden (sollte in der o.g. Verschwiegenheitsvereinbarung erfolgen)
• Überwachung der Einhaltung, z. B. durch Logging von Zugriffen auf IT-Einrichtungen.

Arbeitnehmerrechte: Eine Überwachung der Arbeitnehmer darf nur soweit erfolgen, wie sie für den Schutz von Geschäftsgeheimnissen erforderlich und angemessen ist. Z. B. darf sich Videoüberwachung nicht in Ruheräumlichkeiten befinden, ebenso wie eine Rundumüberwachung (insbesondere eine geheime) grundsätzlich unzulässig sein wird. In jedem Fall muss der Betriebsrat vor der Implementierung der Maßnahmen involviert werden (§ 87 Abs. 1 Nr. 6 BetrVfG).

• Sorgfältige Auswahl entsprechend der Stufe der Geschäftsgeheimnisse.
• Abschluss von Geschäftsgeheimnisschutzvereinbarungen (NDAs).
• Information über Geschäftsgeheimnisse und deren Schutz (kann auch in der o.g. Verpflichtungsvereinbarung erfolgen, optimal sind Schulungen).
• Überwachung der Einhaltung, z. B. durch Logging von Zugriffen auf IT-Einrichtungen im Rahmen des Zugriffs auf die eigenen IT-Einrichtungen.

Eine Vertragsstrafe sollte vor allem dann vereinbart werden, wenn sich ein besonders hohes Risiko eines Verstoßes gegen den Schutz von besonders wertvollen Geschäftsgeheimnissen besteht.

Die Vereinbarung einer Vertragsstrafe hat dann den Vorteil, dass kein konkreter Schaden nachgewiesen werden muss. In der Praxis hat die Vertragsstrafe daher vor allem eine abschreckende Wirkung und zwingen die Mitarbeiter*innen zu höherer Vorsicht.

Um wirksam zu sein, müssen Vertragsstrafen jedoch die folgenden Voraussetzungen erfüllen:

1. Transparenz – die Voraussetzungen müssen klar, Verstöße erkennbar und vermeidbar sein.
2. Der Höhe nach angemessen – Die Höhe der Vertragsstrafe ist anhand des Risikos, der Eintrittswahrscheinlichkeit, möglicher Schäden und des Grades des Verschuldens des*der Mitarbeiter*in zu bestimmen. Falls eine Vertragsstrafe mit Mitarbeiter*innen vereinbart wird, beträgt sie typischerweise maximal ein Bruttomonatsgehalt. Damit wird die Vertragsstrafe an das Einkommen des Mitarbeiters gekoppelt, was für deren Angemessenheit spricht (falls tatsächlich ein höherer Schaden entsteht, kann dieser dennoch in der entstandenen (und über die Vertragsstrafe hinausgehenden) Höhe verlangt werden).
3. Verschuldensabhängig – Eine Vertragsstrafe ohne Verschulden würde bedeuten, dass der*die Mitarbeiter*in auch für eine zufällige Offenbarung von vertraulichen Informationen verantwortlich wäre. Eine derartige Garantiehaftung ist grundsätzlich unwirksam und sollte in Spezialfällen gesondert als eine Individualabrede vereinbart werden.
4. Nicht verboten – Eine Vertragsstrafenvereinbarung mit Auszubildenden ist z. B. in Deutschland verboten (§ 12 Abs. 2 BBiG).

Allerdings darf die Fortwirkung von Geschäftsgeheimnissen insbesondere bei Mitarbeiter*innen nicht praktisch zu einem Berufsverbot führen (dann wäre die Klausel zum Fortbestehen der Geschäftsgeheimnisse nach Vertragsende insgesamt unwirksam). Auf jeden Fall darf die Verwendung des allgemeinen Erfahrungswissens nicht eingeschränkt werden (außer gegen eine gleichwertige Kompensation).

Mitarbeiter dürfen daher grundsätzlich nur für den Zeitraum von zwei Jahren nach Ende des Arbeitsvertrages in der Nutzung ihres Wissens beschränkt werden, außer

1. es wurde eine gesonderte Abrede getroffen (und ggf. eine Abstandszahlung vereinbart) oder
2. die Interessen des Arbeitgebers an der Geheimhaltung übersteigen die Interessen des Mitarbeiters an der Nutzung der Informationen, z. B. wenn es sich um Geschäftsgeheimnisse handelt, die gerade den Vorsprung oder die besondere Qualität der Leistungen des Arbeitgebers begründen oder es sich um interne Vorgänge handelt, die einen wirtschaftlichen Schaden nach sich ziehen könnten, obwohl zugleich kein relevantes öffentliches Interesse an deren Kenntnis besteht.

Mit ihr soll klargestellt werden, dass bereits bei der Beurteilung, ob ein Geschäftsgeheimnis vorliegt, eine Interessenabwägung vorgenommen werden muss (ähnlich wie im § 5 GeschGehG).

Umgekehrt zeigt die Vorschrift auch, dass auch an rechtswidrigen Handlungen ein berechtigtes Geheimhaltungsinteresse bestehen kann (z. B. wenn eine Mitarbeiter geringfügig und/oder trotz hinreichender Sicherheitsmaßnahmen gegen das Recht verstößt, kein Risiko für die Allgemeinheit besteht, der Verstoß aber dem Unternehmen zugerechnet wird und die PR-Folgen sehr negativ ausfallen könnten).

Wann ist die Nutzung von Geschäftsgeheimnissen oder Zustimmung des Geheimnisinhabers zulässig?

In den folgenden Fällen erlaubt das Gesetz die Offenbarung, Verschaffung des Zugangs zu oder Nutzung von Geschäftsgeheimnissen (§ 3 GeschGehG):

Warum sollte Reverse Engineering vertraglich untersagt werden?

Der europäische Geschäftsgeheimnisschutz erlaubt das Reverse Engineering (z.B. § 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT).