Ratgeber: Schutz von Geschäftsgeheimnissen und rechtssichere Non-Disclosure-Agreements (NDA)
Seit 2019 verpflichtet der Gesetzgeber Unternehmen zum aktiven Schutz von Geschäftsgeheimnissen. Ansonsten laufen Unternehmen Gefahr, Kundenlisten, Produktionsverfahren oder Businessideen gegen die Nutzung durch Ex-Mitarbeiter oder Mitbewerber nicht schützen zu können.
Die Folgen fehlender Schutzmaßnahmen können auch Geschäftsführer oder leitende Angestellte treffen, wenn sie ihre Pflicht zur Einführung erforderlicher Maßnahmen (als Teil der Compliance) unterlassen haben.
Mit dem folgenden Beitrag möchten wir Sie daher bei der Einführung oder Prüfung Ihrer Compliance-Maßnahmen zum Schutz von Geschäftsgeheimnissen unterstützen und die rechtlichen Hintergründe erklären.
Inhalt des Beitrags:
Übersicht und Checkliste
Die folgende Übersicht der gesetzlichen Vorgaben zum Geschäftsgeheimnisschutz, erlaubt Ihnen zugleich zu prüfen, ob Sie die nötigen Maßnahmen ergriffen haben:
- Grundlagen
- Pflicht zum Schutz von Geschäftsgeheimnissen – Deutschland: GeschGehG, Österreich § 26a – 26 j UWG-AT.
- Folgen beim fehlenden Schutz: Verlust Geschäftsgeheimnisse, Haftung Geschäftsführung.
- Definition Geschäftsgeheimnis (§ 2 Abs. 1 Nr. 1 GeschGehG):
- Dritten nicht bekannt und nicht zugänglich, daher vom wirtschaftlichen Wert.
- Es wurden angemessene Schutzmaßnahmen ergriffen (Schutzkonzept, Risikobewertung, NDA mit Geschäftspartnern, Dienstleistern und Mitarbeitern).
- Es besteht ein berechtigtes Interesse an der Geheimhaltung (Spezialregelung in Deutschland)
- Zulässige Nutzung ohne Zustimmung des Geheimnisinhabers (§ 3 GeschGehG):
- Eigenständige Entdeckung oder Schöpfung.
- Reverse Engineering (vertragliches Verbot empfohlen).
- Ausüben von Informations- und Anhörungsrechten durch Arbeitnehmer, Wahrnehmung Mitwirkungs- und Mitbestimmungsrechte der Arbeitnehmervertretung.
- Per Gesetz oder Vertrag gestattet.
- Verbotene Handlungen (§ 4 GeschGehG) – Praktisch jede unbefugte Nutzung (Zugang, Aneignung, Kopieren von Dokumenten, jedes sonstige Verhalten das anständigen Marktgepflogenheit widerspricht).
- Gerechtfertigte Nutzung (§ 5 GeschGehG):
- Freie Meinungsäußerung, Informationsfreiheit, Pluralität der Medien.
- Dem Schutz öffentlichen Interesses dienende Aufdeckung rechtswidriger Handlungen, beruflichen oder sonstigen Fehlverhaltens (Whistleblowing).
- Erforderliche Offenlegung von Arbeitnehmern gegenüber der Arbeitnehmervertretung.
- Folgen bei Verstößen
- Beseitigung und künftige Unterlassung (§ 6 GeschGehG).
- Vernichtung, Herausgabe, Rückruf, Entfernung vom Markt (§ 7 GeschGehG).
- Abfindung in Geld (§ 11 GeschGehG)
- Auskunft (§ 8 GeschGehG).
- Schadensersatz (§ 12 GeschGehG).
- Strafbarkeit: Bis zu drei Jahre Freiheitsstrafe (fünf Jahre bei Gewerbsmäßigkeit oder Auslandsbezug) oder Geldstrafe (§ 23 GeschGehG).
Woraus ergibt sich die Pflicht zum Schutz von Geschäftsgeheimnissen?
Mit der EU-Richtlinie 2016/943 beschloss der EU-Gesetzgeber, dass Unternehmen aktiv für den Schutz ihrer Geschäftsgeheimnisse sorgen müssen. Mit der Pflicht zum Schutz von Geschäftsgeheimnissen sollen EU-Unternehmen als auch die EU als Wirtschaftsstandort geschützt werden.
Die EU-Vorgaben wurden in Deutschland im Geschäftsgeheimnisgesetz (GeschGehG) und in Österreich in § 26a – 26 j des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG-AT) umgesetzt (nachfolgend wird aus Gründen der Übersichtlichkeit auf das GeschGehG Bezug genommen, wobei dessen Regelungen insoweit auch auf das UWG-AT übertragen werden können).
Wann sollten Geheimhaltungsvereinbarungen getroffen werden? Um den Anforderungen zum Schutz von Geschäftsgeheimnissen sollten Sie mit allen Mitarbeitern und bei allen Geschäftskontakten Geheimhaltungsvereinbarungen treffen (z. B. bei Kooperationen oder der Beauftragung von Dienstleistern), außer Sie sich ganz sicher, dass diese auf keinen Fall mit Geschäftsgeheimnissen in Verbindung kommen werden oder ein Schutz bereits gesetzlich vorgeschrieben ist (z. B. im Fall der Steuer- oder Rechtsberatung).
Welche Folgen drohen bei unzureichendem Schutz von Verlust von Geschäftsgeheimnissen?
Die Nichtbeachtung der Vorgaben des GeschGehG kann sowohl für Unternehmen als auch für die Geschäftsführung und für die Compliance-Verantwortlichen erhebliche Nachteile mit sich bringen
- Effektiver Verlust von Geschäftsgeheimnissen (Gerichte werden Unterlassungs- und Schadensersatzansprüchen gegenüber Mitbewerbern und Angestellten zurückweisen).
- Zivilrechtliche Haftung der Geschäftsführung (o. leitender Angestellter).
- Untreue § 266 StGB-DE.
- Verletzung von Aufsichtspflichten in Unternehmen § 130 OWiG-DE.
Compliance-Pflichten von Geschäftsleitern: Wer die Geschäfte eines Unternehmensführt, ist verpflichtet für die Einhaltung von gesetzlichen Vorschriften zu sorgen. Entweder selbst oder durch Einrichtung von (Compliance)Strukturen (s. §§ 43 Abs. 1 GmbHG, § 93 Abs. 1 AktG).
Was ist ein Geschäftsgeheimnis?
Das Gesetz setzt im § 2 Abs. 1 Nr. 1 GeschGehG neben der internen Bekanntheit und eines wirtschaftlichen Werts auch angemessene Geheimhaltungsmaßnahmen voraus:
Geschäftsgeheimnis ist eine Information
a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht;
Die einzelnen Voraussetzungen damit ein Gericht ein Geschäftsgeheimnis lauten daher wie folgt:
- Nicht allgemein bekannt oder ohne Weiteres zugänglich – Diese Voraussetzung ist weniger problematisch, da ein Geheimnis, das einer Vielzahl von Menschen offenkundig ist, kein Geheimnis ist.
- daher (d.h. wegen fehlender Offenkundigkeit) vom wirtschaftlichen Wert – Ein Marktwert muss nicht festgestellt werden. Es ist ausreichend, dass wirtschaftliches oder technisches Potential (finanzielle Interessen, strategischer Position, Wettbewerbsfähigkeit, etc.) möglicherweise beeinflusst wird.
- Angemessene Geheimhaltungsmaßnahmen – Die Geheimhaltungsmaßnahmen müssen nicht zwingend bestmöglich, sondern den Umständen nach angemessen sein.
Wann sind Geheimhaltungsmaßnahmen angemessen?
Es gibt keine festen Kriterien der Angemessenheitsprüfung, jedoch sollten Sie die folgenden Faktoren berücksichtigen:
- Gibt es einen taxierten Wert des Geschäftsgeheimnisses?
- Welcher potentielle Ertrag oder sonstige Bedeutung für das Unternehmen wäre gefährdet?
- Ist eine Nachentwicklung möglich (und falls ja, mit welchen Entwicklungskosten, Wahrscheinlichkeit und Zeitraum)?
- Entsprechen die Schutzmaßnahmen dem Stand der Technik?
- Entsprechen die Geheimhaltungsmaßnahmen den branchenüblichen Standards?
- Wiegen potentielle Nachteile die Kosten des Schutzes angemessen auf?
- Bestehen vertragliche Verpflichtungen, die einen bestimmten Schutzstandard voraussetzen (z. B. aus Kooperations- oder Auftragsverarbeitungsverträgen mit Dritten)?
Welche Arten von Geschäftsgeheimnissen gibt es?
Es existiert kein gesetzlicher Katalog von Geschäftsgeheimnissen. Allerdings existieren geschäftsübliche Kategorien zu denen u. a. gehören:
- Kundenlisten;
- Vertragspartner und Vertragsinterna;
- Umsatzzahlen;
- Preislisten, Preisgestaltung und Rabattabsprachen;
- Geschäftsbilanzen;
- Technisches Knowhow wie Patentanmeldungen und Softwareentwicklungen.
- Kreditwürdigkeit des Unternehmens;
- Personalangelegenheiten (zum Beispiel: Beförderungspläne);
- Produktions- und Entwicklungsverfahren;
- Marketingverfahren und geplante Marketingmaßnahmen.
Individuelle Beschreibung von Geschäftsgeheimnissen: Auch wenn man durchaus auf die gesetzlichen Definitionen von Geschäftsgeheimnissen (z.B. § 2 Nr. 1 GeschGehG-D oder § 26b UWG-AT) oder die entsprechende Rechtsprechung verweisen könnte, ist eine möglichst genaue Benennung der Geschäftsgeheimnisse von Vorteil (z. B. Umschreibung von bestimmten Verfahren). Sie können sich auf den Schutz von Geheimnissen je eher berufen, je genauer Sie die Geschäftspartner über deren Existenz oder Umfang aufgeklärt haben.
Warum reicht es nicht mehr pauschal auf alle Interna zu verpflichten (sogenannte “Catch all”-Klausel)?
Als “Catch-All-Klauseln” werden die klassischerweise in NDAs erhaltene “alles was nicht öffentlich ist, ist ein Geschäftsgeheimnis“-Pauschalklauseln bezeichnet.
Der EU-Geschäftsgeheimnisschutz fordert jedoch, dass die Geschäftsgeheimnisse möglichst genau umschrieben werden. Catch-All-Klauseln werden insbesondere im Rahmen der Vereinbarungen mit Beschäftigten unwirksam sein, da Mitarbeiter mit ihrer Hilfe nicht einschätzen können, was ein Geschäftsgeheimnis ist und wie weit es reicht (vgl. LAG Düsseldorf, 03.06.2020 – 12 SaGa 4/20; LAG Köln, Urteil vom 2.12.2019 – 2 SaGa 20/19).
Warum ist bei NDA-Mustern im Internet Vorsicht geboten?
Im Internet findet sich eine Vielzahl von NDA-Mustern, die Sie jedoch auf die folgenden Punkte überprüfen sollten:
- US-Recht oder EU-Recht? – Viele der NDAs sind nach angelsächsischen Recht gestaltet und berücksichtigen nicht die Voraussetzungen des Geschäftsgeheimnisschutzes.
- “Catch-All-Klauseln” – NDAs erhalten klassischerweise “alles was nicht öffentlich ist, ist ein Geschäftsgeheimnis”-Klauseln (sog. “Catch-All-Klauseln”). Der EU-Geschäftsgeheimnisschutz fordert jedoch, dass die Geschäftsgeheimnisse möglichst genau umschrieben werden (vgl. LAG) Köln (Urteil vom 2.12.2019 – 2 SaGa 20/19). Mit unserem Generator können Sie die einzelnen Arten von Geschäftsgeheimnissen wählen oder auch selbst ergänzen.
- Ausschluss von Reverse Engineering – Der EU-Geheimnisschutz erlaubt ausdrücklich das Reverse Engineering, also das „Beobachten, Untersuchen und Rückbauen” von z. B. Geräten, Soft- oder Hardware (§ 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT). Daher sollte das Reverse Engineering, wie mit unserem Generator möglich, ausdrücklich ausgeschlossen werden.
Gleichzeitige Verpflichtung auf den Schutz personenbezogene Daten: NDAs sollen klassischerweise nur Geschäftsgeheimnisse schützen. Sie berücksichtigen daher, anders als unser Generator, nicht den Schutz der personenbezogener Daten (Art. 4 Nr. 1 DSGVO). D. h. Sie werden häufig noch eine zusätzliche Vertraulichkeitsverpflichtung abschließen müssen, wenn Ihr Dienstleister oder Geschäftspartner im Rahmen der Geschäftsbeziehung mit personenbezogenen Daten in Verbindung kommen kann. Unser Generator berücksichtigt dagegen sowohl Geschäftsgeheimnisse wie auch personenbezogene Daten.
Wo liegt der Unterschied zwischen Geschäftsgeheimnissen, IP-Rechten und dem Datenschutz?
Der Schutz von Geschäftsgeheimnissen, von IP-Rechten und personenbezogenen Daten überlagert sich häufig, auch wenn die Schutzrichtungen sich unterscheiden können:
- Datenschutz – Der Datenschutz hat eine andere Schutzrichtung, als der Schutz von Geschäftsgeheimnissen. Während die letzteren wirtschaftliche Werte schützen, schützt der Datenschutz personenbezogene Daten, also am Ende Personen. Beide Schutzbereiche können sich jedoch überlagen, z. B. wenn es um Mitarbeiterlisten geht.
- IP-Rechte – Als IP, also “Intellectual Property Rechte”, bzw. “Rechte geistigen Eigentums”, werden zusammenfassen alle Rechte bezeichnet, die an unkörperlichen (Wirtschafts)Gütern bestehen können. Dazu gehören Urheber-, Marken- oder Patentrechte. Geschäftsgeheimnisse gehören als unkörperliche Rechte ebenfalls zu den IP-Rechten. Häufig werden sich Geschäftsgeheimnisse und IP-Rechte ausschließen, z.B. weil ein Patent veröffentlicht werden muss. Anderseits kann ein Urheberrecht auch an einem noch nicht veröffentlichten Softwarecode (und damit einem Geschäftsgeheimnis) bestehen.
Wie kann eine Geschäftsgeheimnis-Compliance in Unternehmen eingerichtet werden?
Wenn es darum geht, angemessene Schutzmaßnahmen vor Gericht zu belegen, werden Unternehmen ein Schutzkonzept vorlegen müssen. Für das Schutzkonzept gibt es zwar keine gesetzlichen Vorgaben, aber es kann z. B. wie folgt aussehen:
- Zuständigkeiten bestimmen – Es sollte vor allem eine Person als Geschäftsgeheimnisbeauftragte*r bestimmt werden. Dies sollte nach Möglichkeit nicht der*die Datenschutzbeauftragte sein, da es dabei zu Interessenskollisionen (z. B. im Rahmen der Erfüllung von datenschutzrechtlichen Auskunftsansprüchen, die Geschäftsgeheimnisse betreffen) kommen könnte.
- Erfassung und Listung – Alle potentiellen Geschäftsgeheimnisse sollten erfasst und nach ihrer Bedeutung kategorisiert werden.
- Risikobewertung – Im Hinblick auf jedes einzelne Geschäftsgeheimnis sollten die Risiken (samt Eintrittswahrscheinlichkeit und Intensität) eingeschätzt werden.
- Schutzmaßnahmen – Im Hinblick auf den Risikograd getroffene Schutzmaßnahmen, deren Bewertung und etwaige Nachbesserungshinweise.
- Kontrolle und Aktualisierung – Das Schutzkonzept sollte regelmäßig (üblicherweise alle 12 Monate) sowie anlassbezogen (wenn z. B. ein neues Produktionsverfahren eingeführt wird) geprüft und bei Bedarf aktualisiert werden.
Wie können eine Kategorisierung und Risikobewertung vorgenommen werden?
Nachdem die Geschäftsgeheimnisse gelistet wurden, können Sie in der Liste entsprechend gekennzeichnet werden (farblich, in Spalten, etc.):
- Stufe: „Kronjuwelen“ (Verlust wäre existenzbedrohend)
- Stufe: „Wichtige Informationen“ (dauerhafte wirtschaftliche Nachteile)
- Stufe: „Sensible Informationen“ (kurzfristiger wirtschaftlicher Nachteil)
Nicht als Geschäftsgeheimnis zu schützende Informationen können wahlweise nicht erfasst oder in Zweifelsfällen als “Kein Geschäftsgeheimnis” mit Begründung erfasst werden.
Die Bewertung des Risikos ist die große Unbekannte des Geschäftsgeheimnisschutzverfahrens. Sie setzte eine Sachkenntnis im Hinblick auf die Bewertung der Geschäftsgeheimnisse und der technisch-organisatorischen Schutzmaßnahmen voraus.
Anhand der Einstufung muss bewertet werden, ob die vorhandenen technisch-organisatorischen Schutzmaßnahmen ausreichend sind oder ergänzt werden müssen. Am Ende wird bewertet, welche Risikostufe die verbleibenden Gefahren haben.
Kooperation zwischen Abteilungen: Bei der Erstellung des Schutzkonzeptes für Geschäftsgeheimnisse sollten auch andere Abteilungen oder fachkundige Personen, wie z. B. die Finanz-, die IT-Abteilung und der*die Datenschutzbeauftragte hinzugezogen werden. Vor allem letztere werden im Hinblick auf die nötigen technisch-organisatorischen Schutzmaßnahmen wertvolle Hilfe leisten können (da die Schutzmaßnahmen für personenbezogene Daten weitestgehend auch Geschäftsgeheimnisse schützen).
Welche Arten von Schutzmaßnahmen können ergriffen werden?
Die Aufführung aller möglichen Maßnahmen zum Schutz von Geschäftsgeheimnissen würde den Rahmen dieses Beitrags sprengen, aber es kann im Wesentlichen auf die datenschutzrechtlichen Schutzmaßnahmen und allgemeine Datensicherheit verwiesen werden:
- Berechtigungskonzept (sog. Need to know“-Prinzip) als Kernstück.
- Zutrittskontrolle (Schließkonzept, Besucherkontrolle, Videoüberwachung, Alarmanlage, etc.).
- Zugangskontrolle (Passwörter, Verschlüsselung, Firewall- & Virenschutz, USB-Sperrung, regelmäßige Updates).
- Schulungen von Mitarbeitern (insbesondere Erkennung und Meldung von Geschäftsgeheimnissen).
- Vertragliche Verpflichtungen von Mitarbeitern und Geschäftspartnern (NDAs).
Erweiterung des datenschutzrechtlichen Schutzkonzeptes: Die Maßnahmen zum Schutz von Geschäftsgeheimnissen stimmen im Wesentlichen mit dem Schutz von personenbezogenen Daten überein. Häufig wird es ausreichen, das bereits von der Datenschutzabteilung erstellts Schutzkonzept auch auf Geschäftsgeheimnisse zu erweitern.
Welche Besonderheiten sollten bei Arbeitnehmern beachtet werden?
Im Hinblick auf den Geschäftsgeheimnisschutz auf Mitarbeiterebene, sollten die folgenden Maßnahmen bereits zu Beginn des Beschäftigungsverhältnisses (sogenanntes “Onboarding”) ergriffen werden:
- Sorgfältige Auswahl entsprechend der Stufe der Geschäftsgeheimnisse.
- Abschluss einer Verschwiegenheitsvereinbarung im Hinblick auf Geschäftsgeheimnisse (Mitarbeiter NDAs).
- Information über Geschäftsgeheimnisse und deren Schutz (sollte in der o.g. Verschwiegenheitsvereinbarung erfolgen, optimal sind Schulungen).
- Verpflichtung die Verletzung von Geschäftsgeheimnissen zu melden (sollte in der o.g. Verschwiegenheitsvereinbarung erfolgen)
- Überwachung der Einhaltung, z. B. durch Logging von Zugriffen auf IT-Einrichtungen.
Arbeitnehmerrechte: Eine Überwachung der Arbeitnehmer darf nur soweit erfolgen, wie sie für den Schutz von Geschäftsgeheimnissen erforderlich und angemessen ist. Z. B. darf sich Videoüberwachung nicht in Ruheräumlichkeiten befinden, ebenso wie eine Rundumüberwachung (insbesondere eine geheime) grundsätzlich unzulässig sein wird. In jedem Fall muss der Betriebsrat vor der Implementierung der Maßnahmen involviert werden (§ 87 Abs. 1 Nr. 6 BetrVfG).
Welche Besonderheiten sollten bei Geschäftspartnern und Dienstleistern beachtet werden?
Im Hinblick auf den Geschäftsgeheimnisschutz gegenüber Geschäftspartnern, sollten die folgenden Maßnahmen ergriffen werden:
- Sorgfältige Auswahl entsprechend der Stufe der Geschäftsgeheimnisse.
- Abschluss von Geschäftsgeheimnisschutzvereinbarungen (NDAs).
- Information über Geschäftsgeheimnisse und deren Schutz (kann auch in der o.g. Verpflichtungsvereinbarung erfolgen, optimal sind Schulungen).
- Überwachung der Einhaltung, z. B. durch Logging von Zugriffen auf IT-Einrichtungen im Rahmen des Zugriffs auf die eigenen IT-Einrichtungen.
Sollten Vertragsstrafen vereinbart werden?
Die Vereinbarung einer Vertragsstrafe ist als Mittel zum Schutz Ihrer Geschäftsgeheimnisse nützlich.
Eine Vertragsstrafe sollte vor allem dann vereinbart werden, wenn sich ein besonders hohes Risiko eines Verstoßes gegen den Schutz von besonders wertvollen Geschäftsgeheimnissen besteht.
Die Vereinbarung einer Vertragsstrafe hat dann den Vorteil, dass kein konkreter Schaden nachgewiesen werden muss. In der Praxis hat die Vertragsstrafe daher vor allem eine abschreckende Wirkung und zwingen die Mitarbeiter*innen zu höherer Vorsicht.
Um wirksam zu sein, müssen Vertragsstrafen jedoch die folgenden Voraussetzungen erfüllen:
- Transparenz – die Voraussetzungen müssen klar, Verstöße erkennbar und vermeidbar sein.
- Der Höhe nach angemessen – Die Höhe der Vertragsstrafe ist anhand des Risikos, der Eintrittswahrscheinlichkeit, möglicher Schäden und des Grades des Verschuldens des*der Mitarbeiter*in zu bestimmen. Falls eine Vertragsstrafe mit Mitarbeiter*innen vereinbart wird, beträgt sie typischerweise maximal ein Bruttomonatsgehalt. Damit wird die Vertragsstrafe an das Einkommen des Mitarbeiters gekoppelt, was für deren Angemessenheit spricht (falls tatsächlich ein höherer Schaden entsteht, kann dieser dennoch in der entstandenen (und über die Vertragsstrafe hinausgehenden) Höhe verlangt werden).
- Verschuldensabhängig – Eine Vertragsstrafe ohne Verschulden würde bedeuten, dass der*die Mitarbeiter*in auch für eine zufällige Offenbarung von vertraulichen Informationen verantwortlich wäre. Eine derartige Garantiehaftung ist grundsätzlich unwirksam und sollte in Spezialfällen gesondert als eine Individualabrede vereinbart werden.
- Nicht verboten – Eine Vertragsstrafenvereinbarung mit Auszubildenden ist z. B. in Deutschland verboten (§ 12 Abs. 2 BBiG).
Gelten die Vertraulichkeitspflichten nach Ende von Arbeitsverhältnissen und Geschäftsbeziehungen?
Die Vertraulichkeitspflichten sollten für Geschäftsgeheimnisse auch nach dem Ende der vertraglichen Beziehung mit Geschäftspartnern, Dienstleistern oder Mitarbeiter*innen fortbestehen.
Allerdings darf die Fortwirkung von Geschäftsgeheimnissen insbesondere bei Mitarbeiter*innen nicht praktisch zu einem Berufsverbot führen (dann wäre die Klausel zum Fortbestehen der Geschäftsgeheimnisse nach Vertragsende insgesamt unwirksam). Auf jeden Fall darf die Verwendung des allgemeinen Erfahrungswissens nicht eingeschränkt werden (außer gegen eine gleichwertige Kompensation).
Mitarbeiter dürfen daher grundsätzlich nur für den Zeitraum von zwei Jahren nach Ende des Arbeitsvertrages in der Nutzung ihres Wissens beschränkt werden, außer
- es wurde eine gesonderte Abrede getroffen (und ggf. eine Abstandszahlung vereinbart) oder
- die Interessen des Arbeitgebers an der Geheimhaltung übersteigen die Interessen des Mitarbeiters an der Nutzung der Informationen, z. B. wenn es sich um Geschäftsgeheimnisse handelt, die gerade den Vorsprung oder die besondere Qualität der Leistungen des Arbeitgebers begründen oder es sich um interne Vorgänge handelt, die einen wirtschaftlichen Schaden nach sich ziehen könnten, obwohl zugleich kein relevantes öffentliches Interesse an deren Kenntnis besteht.
Wann liegt ein berechtigtes Interesse an der Geheimhaltung vor?
Das GeschGehG enthält im § 2 Abs. 1 Nr. 1 lit. c) mit dem “berechtigten Interesse an der Geheimhaltung” eine deutsche Sonderregel.
Mit ihr soll klargestellt werden, dass bereits bei der Beurteilung, ob ein Geschäftsgeheimnis vorliegt, eine Interessenabwägung vorgenommen werden muss (ähnlich wie im § 5 GeschGehG).
Umgekehrt zeigt die Vorschrift auch, dass auch an rechtswidrigen Handlungen ein berechtigtes Geheimhaltungsinteresse bestehen kann (z. B. wenn eine Mitarbeiter geringfügig und/oder trotz hinreichender Sicherheitsmaßnahmen gegen das Recht verstößt, kein Risiko für die Allgemeinheit besteht, der Verstoß aber dem Unternehmen zugerechnet wird und die PR-Folgen sehr negativ ausfallen könnten).
Wann ist die Nutzung von Geschäftsgeheimnissen oder Zustimmung des Geheimnisinhabers zulässig?
In den folgenden Fällen erlaubt das Gesetz die Offenbarung, Verschaffung des Zugangs zu oder Nutzung von Geschäftsgeheimnissen (§ 3 GeschGehG):
- Eigenständige Entdeckung oder Schöpfung.
- Reverse Engineering.
- Ausüben von Informations- und Anhörungsrechten durch Arbeitnehmer, Wahrnehmung Mitwirkungs- und Mitbestimmungsrechte der Arbeitnehmervertretung.
- Per Gesetz oder Vertrag gestattet.
Warum sollte Reverse Engineering vertraglich untersagt werden?
Der europäische Geschäftsgeheimnisschutz erlaubt das Reverse Engineering (z.B. § 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT), also das „Beobachten, Untersuchen und Rückbauen” von z. B. Geräten, Soft- oder Hardware (§ 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT).
Daher sollte das Reverse Engineering, wie mit unserem Generator möglich, ausdrücklich ausgeschlossen werden.
Welche Handlungen im Hinblick auf Geschäftsgeheimnisse verbietet das Gesetz?
Gesetzlich wird praktisch jede unbefugte Nutzung von Geschäftsgeheimnissen verboten (§ 4 GeschGehG), außer der Inhaber des Geschäftsgeheimnisses erlaubt sie, oder es liegt eine gesetzliche Erlaubnis vor (dazu unten mehr). Verboten sind insbesondere,
- der unbefugter Zugang zu, unbefugte Aneignung oder unbefugtes Kopieren von Dokumenten, Gegenständen, Materialien, Stoffen oder elektronischen Dateien, die der rechtmäßigen Kontrolle des Inhabers des Geschäftsgeheimnisses unterliegen und die das Geschäftsgeheimnis enthalten oder aus denen sich das Geschäftsgeheimnis ableiten lässt, oder
- jedes sonstige Verhalten, das unter den jeweiligen Umständen nicht dem Grundsatz von Treu und Glauben unter Berücksichtigung der anständigen Marktgepflogenheit entspricht.
Die Verbote treffen auch Dritte (z. B. neue Arbeitgeber von Ex-Mitarbeitern), die Geschäftsgeheimnisse erlangen und von der Widerrechtlichkeit ihrer Erlangung hätten wissen müssen.
In welchen Fällen ist die Nutzung von Geschäftsgeheimnissen gerechtfertigt
In Fällen eines höherwertigen Interesses als Rechtfertigungsgrundlage, könnten Geschäftsgeheimnisse auch ohne die Zustimmung ihres Inhaber offenbart werden (§ 5 GeschGehG).
Allerdings muss stets eine Abwägung der Bedeutung der öffentlichen Interessen gegenüber den Nachteilen, deren Preisgabe für Unternehmen bringt, abgewogen werden.
Es handelt sich vor allem im Falle des sogenannten Whistleblowings, in denen die Offenbarung von Geschäftsgeheimnissen eine Vielzahl von Menschen, Unternehmen oder öffentliche Einrichtungen und Kollektivgüter vor Schäden schützen soll (z. B. in der Lebensmittel- oder Arzneibranche oder im behördlichen Bereich):
- Freie Meinungsäußerung, Informationsfreiheit, Pluralität der Medien.
- Dem Schutz öffentlichen Interesses dienende Aufdeckung rechtswidriger Handlungen, beruflichen oder sonstigen Fehlverhaltens (d.h. auch erlaubten, aber z.B. unethischen Verhaltens).
- Erforderliche Offenlegung von Arbeitnehmern gegenüber der Arbeitnehmervertretung.
Podcast zum Whistleblowing: Die Whistleblowing-Richtlinie soll Hinweisgeber entlasten und es Unternehmen erleichtern gesetzestreu (compliant) zu bleiben. Ob das aufgeht, erläutern wir im Podcast “Whistleblowing-Richtlinie – Rechtsbelehrung Folge #70“:
Wie sollten Arbeitnehmer vorgehen, bevor sie Geschäftsgeheimnisse offenbaren?
Arbeitnehmer sollten ein sogenanntes “Eskalationsmodell” beachten und Geschäftsgeheimnisse erst dann offenbaren, wenn sie die folgende Frage verneinen können:
Bestand eine Möglichkeit auf Missstände hinzuweisen, ohne Repressalien und Nachteile befürchten zu müssen?
Eine solche Möglichkeit kann z. B. die Einrichtung einer anonymen Meldestelle oder Bestimmung eines Ombudsmanns/-frau sein. Besteht eine solche Möglichkeit nicht, dann können sich Arbeitnehmerinnen an die Presse richten.
Zumutbare Meldemöglichkeiten schaffen: Arbeitgeber, die nicht möchten, dass Arbeitnehmerinnen sich an die Presse wenden, sollten anonyme Meldestellen einrichten oder unabhängige Ombudspersonen bestimmen.
Welche Folgen drohen bei Verstößen?
Werden Geschäftsgeheimnisse unbefugterweise offenbart oder genutzt, steht den Inhabern der Geschäftsgeheimnisse eine Vielzahl von Rechten gegen den oder die Delinquenten zur Verfügung:
- Beseitigung und künftige Unterlassung (§ 6 GeschGehG).
- Vernichtung, Herausgabe, Rückruf, Entfernung vom Markt (§ 7 GeschGehG).
- Abfindung in Geld (§ 11 GeschGehG)
- Auskunft (§ 8 GeschGehG).
- Schadensersatz (§ 12 GeschGehG).
Unternehmen haften für ihre Arbeitnehmer und Beauftragte, weswegen diese auf den Schutz von Geschäftsgeheimnisses explizit verpflichtet werden sollten (§12 GeschGehG).
Die Rechte können in Ausnahmefällen beschränkt werden, z.B. bei Unverhältnismäßigkeit (§ 9 GeschGehG).
Welche Besonderheiten existieren im Rahmen von Gerichtsverfahren?
Das deutsche GeschGehG enthält auch besondere Regelungen zu Gerichtsverfahren, die sich insbesondere dem Schutz von Geschäftsgeheimnissen im Rahmen von (üblicherweise öffentlichen) Gerichtsverfahren widmen:
- Zuständigkeit: Zuständig ist das Landgericht am Sitz des Beklagten (§ 15 GeschGehG).
- Geheimhaltungsvorgaben: Darüber hinaus enthält das Gesetz auch Geheimhaltungsvorgaben für Gerichtsverfahren (bei Verstoß drohen ein Ordnungsgeld bis 100 Tsd. Euro oder 6 Monate Freiheitsstrafe, §§ 16 bis 21 GeschGehG)
Wann ist die Verletzung von Geschäftsgeheimnissen strafbar?
In den folgenden Fällen ist die Verletzung von Geschäftsgeheimnissen (z. B. deren Offenbarung oder Nutzung) strafbar (§ 23 StGB):
- Wettbewerbsförderung – Förderung des eigenen oder fremden Wettbewerbs.
- Eigen- & Fremdnutz – Verletzung erfolgt aus Eigen- & Fremdnutz.
- Schadensabsicht – Die Verletzung erfolgt mit der Absicht, dem Geheimnisinhaber Schaden zuzufügen.
Als Folge drohen drei Jahre Freiheitsstrafe (fünf Jahre bei Gewerbsmäßigkeit oder Auslandsbezug) oder Geldstrafe.
Antragsstraftat: Damit eine Verletzung von Geschäftsgeheimnissen bestraft werden kann, muss sie entweder vom Geheimnisinhaber beantragt werden oder die Staatsanwaltschaft sieht ein öffentliches Interesse an deren Verfolgung.
Wann muss zusätzlich ein Auftragsverarbeitungsvertrag abgeschlossen werden?
Um den Vorgaben des Geschäftsgeheimnisschutzgesetzes zu genügen sollten Vertraulichkeitsvereinbarungen im Hinblick auf Geschäftsgeheimnisse (NDA) abgeschlossen werden.
Der Abschluss und Inhalt eines Auftragsverarbeitungsvertrages wird dagegen nach der DSGVO (Art. 28 DSGVO) vorgegeben, wenn personenbezogene Daten im Auftrag verarbeitet werden (sogenannte “Auftragsverarbeitung”, s. unseren “Ratgeber: Auftragsverarbeitung“).
Keine Auftragsverarbeitung liegt dagegen vor, wenn die Verarbeitung personenbezogener Daten keine Kernaufgabe des Dienstleisters ist (z. B. kein Web-/Datenbankhosting, keine Analyse von personenbezogenen Daten oder Nutzung von Kundendaten für Zwecke des Direktmarketings), sondern die Dienstleister oder Geschäftspartner mit den Daten im Rahmen der Wahrnehmung ihrer Aufgabe nur beiläufig in Verbindung kommen (z. B. im Rahmen der Wartung von Computer/Anlagen, Softwareerstellung, Marketingberatung, etc.).
Werden Informationsempfänger mit der Verarbeitung personenbezogener Daten als Kernleistung beauftragt, dann muss mit ihnen ein Auftragsverarbeitungsvertrag abgeschlossen werden (Art. 28 DSGVO).
Generatoren für Verschwiegenheitsverpflichtungen von Geschäftspartnern, Mitarbeitern und Dienstleistern
Zu einem Schutzkonzept gehört vor allem die Aufklärung sowie Verpflichtung von Geschäftspartnern und Mitarbeitern auf den Schutz von Geschäftsgeheimnissen.
Mit unseren Generatoren können Sie entsprechende Verschwiegenheitsverpflichtungen für Geschäftspartner oder für Mitarbeiter (nebst Aufklärung über Geschäftsgeheimnisse) auch ohne Rechtskenntnisse schnell und einfach erstellen (ausschließlich für Geschäftskunden, auf Deutsch und Englisch).