Ratgeber: Schutz von Geschäftsgeheimnissen und rechtssichere Non-Disclosure-Agreements (NDA)

Seit 2019 verpflichtet der Gesetzgeber Unternehmen zum aktiven Schutz von Geschäftsgeheimnissen. Ansonsten laufen Unternehmen Gefahr, Kundenlisten, Produktionsverfahren oder Businessideen gegen die Nutzung durch Ex-Mitarbeiter oder Mitbewerber nicht schützen zu können.

Die Folgen fehlender Schutzmaßnahmen können auch Geschäftsführer oder leitende Angestellte treffen, wenn sie ihre Pflicht zur Einführung erforderlicher Maßnahmen (als Teil der Compliance) unterlassen haben.

Mit dem folgenden Beitrag möchten wir Sie daher bei der Einführung oder Prüfung Ihrer Compliance-Maßnahmen zum Schutz von Geschäftsgeheimnissen unterstützen und die rechtlichen Hintergründe erklären.

Hinweis in eigener Sache: Zu einem Schutzkonzept gehört vor allem die Aufklärung sowie Verpflichtung von Geschäftspartnern und Mitarbeitern auf den Schutz von Geschäftsgeheimnissen. Mit unseren Generatoren können Sie entsprechende Verschwiegenheitsverpflichtungen für Geschäftspartner oder für Mitarbeiter (nebst Aufklärung über Geschäftsgeheimnisse) auch ohne Rechtskenntnisse schnell und einfach erstellen (ausschließlich für Geschäftskunden, auf Deutsch und Englisch).

­

Inhalt des Beitrags:

Übersicht und Checkliste

Die folgende Übersicht der gesetzlichen Vorgaben zum Geschäftsgeheimnisschutz, erlaubt Ihnen zugleich zu prüfen, ob Sie die nötigen Maßnahmen ergriffen haben:

Woraus ergibt sich die Pflicht zum Schutz von Geschäftsgeheimnissen?

Mit der EU-Richtlinie 2016/943 beschloss der EU-Gesetzgeber, dass Unternehmen aktiv für den Schutz ihrer Geschäftsgeheimnisse sorgen müssen. Mit der Pflicht zum Schutz von Geschäftsgeheimnissen sollen EU-Unternehmen als auch die EU als Wirtschaftsstandort geschützt werden.

Die EU-Vorgaben wurden in Deutschland im Geschäftsgeheimnisgesetz (GeschGehG) und in Österreich in § 26a – 26 j des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG-AT) umgesetzt (nachfolgend wird aus Gründen der Übersichtlichkeit auf das GeschGehG Bezug genommen, wobei dessen Regelungen insoweit auch auf das UWG-AT übertragen werden können).

Welche Folgen drohen bei unzureichendem Schutz von Verlust von Geschäftsgeheimnissen?

Die Nichtbeachtung der Vorgaben des GeschGehG kann sowohl für Unternehmen als auch für die Geschäftsführung und für die Compliance-Verantwortlichen erhebliche Nachteile mit sich bringen

  • Effektiver Verlust von Geschäftsgeheimnissen (Gerichte werden Unterlassungs- und Schadensersatzansprüchen gegenüber Mitbewerbern und Angestellten zurückweisen).
  • Zivilrechtliche Haftung der Geschäftsführung (o. leitender Angestellter).
  • Untreue § 266 StGB-DE.
  • Verletzung von Aufsichtspflichten in Unternehmen § 130 OWiG-DE.

Was ist ein Geschäftsgeheimnis?

Das Gesetz setzt im § 2 Abs. 1 Nr. 1 GeschGehG neben der internen Bekanntheit und eines wirtschaftlichen Werts auch angemessene Geheimhaltungsmaßnahmen voraus:

Geschäftsgeheimnis ist eine Information

a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und

b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und

c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht;

Die einzelnen Voraussetzungen damit ein Gericht ein Geschäftsgeheimnis lauten daher wie folgt:

  • Nicht allgemein bekannt oder ohne Weiteres zugänglich – Diese Voraussetzung ist weniger problematisch, da ein Geheimnis, das einer Vielzahl von Menschen offenkundig ist, kein Geheimnis ist.
  • daher (d.h. wegen fehlender Offenkundigkeit) vom wirtschaftlichen Wert – Ein Marktwert muss nicht festgestellt werden. Es ist ausreichend, dass wirtschaftliches oder technisches Potential (finanzielle Interessen, strategischer Position, Wettbewerbsfähigkeit, etc.) möglicherweise beeinflusst wird.
  • Angemessene Geheimhaltungsmaßnahmen – Die Geheimhaltungsmaßnahmen müssen nicht zwingend bestmöglich, sondern den Umständen nach angemessen sein.

Wann sind Geheimhaltungsmaßnahmen angemessen?

Es gibt keine festen Kriterien der Angemessenheitsprüfung, jedoch sollten Sie die folgenden Faktoren berücksichtigen:

  • Gibt es einen taxierten Wert des Geschäftsgeheimnisses?
  • Welcher potentielle Ertrag oder sonstige Bedeutung für das Unternehmen wäre gefährdet?
  • Ist eine Nachentwicklung möglich (und falls ja, mit welchen Entwicklungskosten, Wahrscheinlichkeit und Zeitraum)?
  • Entsprechen die Schutzmaßnahmen dem Stand der Technik?
  • Entsprechen die Geheimhaltungsmaßnahmen den branchenüblichen Standards?
  • Wiegen potentielle Nachteile die Kosten des Schutzes angemessen auf?
  • Bestehen vertragliche Verpflichtungen, die einen bestimmten Schutzstandard voraussetzen (z. B. aus Kooperations- oder Auftragsverarbeitungsverträgen mit Dritten)?

Welche Arten von Geschäftsgeheimnissen gibt es?

Es existiert kein gesetzlicher Katalog von Geschäftsgeheimnissen. Allerdings existieren geschäftsübliche Kategorien zu denen u. a. gehören:

  • Kundenlisten;
  • Vertragspartner und Vertragsinterna;
  • Umsatzzahlen;
  • Preislisten, Preisgestaltung und Rabattabsprachen;
  • Geschäftsbilanzen;
  • Technisches Knowhow wie Patentanmeldungen und Softwareentwicklungen.
  • Kreditwürdigkeit des Unternehmens;
  • Personalangelegenheiten (zum Beispiel: Beförderungspläne);
  • Produktions- und Entwicklungsverfahren;
  • Marketingverfahren und geplante Marketingmaßnahmen.

Warum reicht es nicht mehr pauschal auf alle Interna zu verpflichten (sogenannte “Catch all”-Klausel)?

Als “Catch-All-Klauseln” werden die klassischerweise in NDAs erhaltene “alles was nicht öffentlich ist, ist ein Geschäftsgeheimnis“-Pauschalklauseln bezeichnet.

Der EU-Geschäftsgeheimnisschutz fordert jedoch, dass die Geschäftsgeheimnisse möglichst genau umschrieben werden. Catch-All-Klauseln werden insbesondere im Rahmen der Vereinbarungen mit Beschäftigten unwirksam sein, da Mitarbeiter mit ihrer Hilfe nicht einschätzen können, was ein Geschäftsgeheimnis ist und wie weit es reicht (vgl. LAG Düsseldorf, 03.06.2020 – 12 SaGa 4/20; LAG Köln, Urteil vom 2.12.2019 – 2 SaGa 20/19).

Beispiel der Auswahl einzelner Kategorien von Geschäftsgeheimnissen (Auszug) in unseren Generatoren für Verschwiegenheitsverpflichtungen für Geschäftspartner oder für Mitarbeiter. Sie können auch eigene Geschäftsgeheimnisse samt Beschreibungen ergänzen.

Warum ist bei NDA-Mustern im Internet Vorsicht geboten?

Im Internet findet sich eine Vielzahl von NDA-Mustern, die Sie jedoch auf die folgenden Punkte überprüfen sollten:

  • US-Recht oder EU-Recht? – Viele der NDAs sind nach angelsächsischen Recht gestaltet und berücksichtigen nicht die Voraussetzungen des Geschäftsgeheimnisschutzes.
  • “Catch-All-Klauseln” – NDAs erhalten klassischerweise “alles was nicht öffentlich ist, ist ein Geschäftsgeheimnis”-Klauseln (sog. “Catch-All-Klauseln”). Der EU-Geschäftsgeheimnisschutz fordert jedoch, dass die Geschäftsgeheimnisse möglichst genau umschrieben werden (vgl. LAG) Köln (Urteil vom 2.12.2019 – 2 SaGa 20/19). Mit unserem Generator können Sie die einzelnen Arten von Geschäftsgeheimnissen wählen oder auch selbst ergänzen.
  • Ausschluss von Reverse Engineering – Der EU-Geheimnisschutz erlaubt ausdrücklich das Reverse Engineering, also das „Beobachten, Untersuchen und Rückbauen” von z. B. Geräten, Soft- oder Hardware (§ 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT). Daher sollte das Reverse Engineering, wie mit unserem Generator möglich, ausdrücklich ausgeschlossen werden.

Wo liegt der Unterschied zwischen Geschäftsgeheimnissen, IP-Rechten und dem Datenschutz?

Der Schutz von Geschäftsgeheimnissen, von IP-Rechten und personenbezogenen Daten überlagert sich häufig, auch wenn die Schutzrichtungen sich unterscheiden können:

  • Datenschutz – Der Datenschutz hat eine andere Schutzrichtung, als der Schutz von Geschäftsgeheimnissen. Während die letzteren wirtschaftliche Werte schützen, schützt der Datenschutz personenbezogene Daten, also am Ende Personen. Beide Schutzbereiche können sich jedoch überlagen, z. B. wenn es um Mitarbeiterlisten geht.
  • IP-Rechte – Als IP, also “Intellectual Property Rechte”, bzw. “Rechte geistigen Eigentums”, werden zusammenfassen alle Rechte bezeichnet, die an unkörperlichen (Wirtschafts)Gütern bestehen können. Dazu gehören Urheber-, Marken- oder Patentrechte. Geschäftsgeheimnisse gehören als unkörperliche Rechte ebenfalls zu den IP-Rechten. Häufig werden sich Geschäftsgeheimnisse und IP-Rechte ausschließen, z.B. weil ein Patent veröffentlicht werden muss. Anderseits kann ein Urheberrecht auch an einem noch nicht veröffentlichten Softwarecode (und damit einem Geschäftsgeheimnis) bestehen.

Wie kann eine Geschäftsgeheimnis-Compliance in Unternehmen eingerichtet werden?

Wenn es darum geht, angemessene Schutzmaßnahmen vor Gericht zu belegen, werden Unternehmen ein Schutzkonzept vorlegen müssen. Für das Schutzkonzept gibt es zwar keine gesetzlichen Vorgaben, aber es kann z. B. wie folgt aussehen:

  1. Zuständigkeiten bestimmen – Es sollte vor allem eine Person als Geschäftsgeheimnisbeauftragte*r bestimmt werden. Dies sollte nach Möglichkeit nicht der*die Datenschutzbeauftragte sein, da es dabei zu Interessenskollisionen (z. B. im Rahmen der Erfüllung von datenschutzrechtlichen Auskunftsansprüchen, die Geschäftsgeheimnisse betreffen) kommen könnte.
  2. Erfassung und Listung – Alle potentiellen Geschäftsgeheimnisse sollten erfasst und nach ihrer Bedeutung kategorisiert werden.
  3. Risikobewertung – Im Hinblick auf jedes einzelne Geschäftsgeheimnis sollten die Risiken (samt Eintrittswahrscheinlichkeit und Intensität) eingeschätzt werden.
  4. Schutzmaßnahmen – Im Hinblick auf den Risikograd getroffene Schutzmaßnahmen, deren Bewertung und etwaige Nachbesserungshinweise.
  5. Kontrolle und Aktualisierung – Das Schutzkonzept sollte regelmäßig (üblicherweise alle 12 Monate) sowie anlassbezogen (wenn z. B. ein neues Produktionsverfahren eingeführt wird) geprüft und bei Bedarf aktualisiert werden.

Wie können eine Kategorisierung und Risikobewertung vorgenommen werden?

Nachdem die Geschäftsgeheimnisse gelistet wurden, können Sie in der Liste entsprechend gekennzeichnet werden (farblich, in Spalten, etc.):

  1. Stufe: „Kronjuwelen“ (Verlust wäre existenzbedrohend)
  2. Stufe: „Wichtige Informationen“ (dauerhafte wirtschaftliche Nachteile)
  3. Stufe: „Sensible Informationen“ (kurzfristiger wirtschaftlicher Nachteil)

Nicht als Geschäftsgeheimnis zu schützende Informationen können wahlweise nicht erfasst oder in Zweifelsfällen als “Kein Geschäftsgeheimnis” mit Begründung erfasst werden.

Beispiel einer Risikomatrix, mit deren Hilfe Risiken für Geschäftsgeheimnisse eingestuft werden. Falls erforderlich, können die Abstufungen detaillierter erfolgen. Im Regelfall werden drei Farben genügen.
Beispiel einer Risikomatrix, mit deren Hilfe Risiken für Geschäftsgeheimnisse eingestuft werden. Falls erforderlich, können die Abstufungen detaillierter erfolgen. Im Regelfall werden fünf Farben genügen.

Die Bewertung des Risikos ist die große Unbekannte des Geschäftsgeheimnisschutzverfahrens. Sie setzte eine Sachkenntnis im Hinblick auf die Bewertung der Geschäftsgeheimnisse und der technisch-organisatorischen Schutzmaßnahmen voraus.

Anhand der Einstufung muss bewertet werden, ob die vorhandenen technisch-organisatorischen Schutzmaßnahmen ausreichend sind oder ergänzt werden müssen. Am Ende wird bewertet, welche Risikostufe die verbleibenden Gefahren haben.

Beispiel einer Liste von Geschäftsgeheimnissen, einer Risikoeinstufung und Verweise auf Schutzmaßnahmen. Dabei handelt es sich um eine sehr einfache Version, bei der davon ausgegangen wird, dass die bereits im Datenschutzbereich ergriffenen Maßnahmen einen adäquaten Schutz von Geschäftsgeheimnissen bieten (was häufig der Fall sein wird, sofern die technisch-organisatorischen Maßnahmen nicht auf den Schutz personenbezogener Daten beschränkt werden). In der Praxis werden die Listen um weitere unternehmensspezifische Hinweise, Überlegungen oder Anmerkungen ergänzt.
Beispiel einer Liste von Geschäftsgeheimnissen, einer Risikoeinstufung und Verweise auf Schutzmaßnahmen. Dabei handelt es sich um eine einfache Version, bei der davon ausgegangen wird, dass die bereits im Datenschutzbereich ergriffenen Maßnahmen einen adäquaten Schutz von Geschäftsgeheimnissen bieten (was häufig der Fall sein wird, sofern die technisch-organisatorischen Maßnahmen nicht auf den Schutz personenbezogener Daten beschränkt werden). In der Praxis werden die Listen um weitere unternehmensspezifische Hinweise, Überlegungen oder Anmerkungen ergänzt.

Welche Arten von Schutzmaßnahmen können ergriffen werden?

Die Aufführung aller möglichen Maßnahmen zum Schutz von Geschäftsgeheimnissen würde den Rahmen dieses Beitrags sprengen, aber es kann im Wesentlichen auf die datenschutzrechtlichen Schutzmaßnahmen und allgemeine Datensicherheit verwiesen werden:

  • Berechtigungskonzept (sog. Need to know“-Prinzip) als Kernstück.
  • Zutrittskontrolle (Schließkonzept, Besucherkontrolle, Videoüberwachung, Alarmanlage, etc.).
  • Zugangskontrolle (Passwörter, Verschlüsselung, Firewall- & Virenschutz, USB-Sperrung, regelmäßige Updates).
  • Schulungen von Mitarbeitern (insbesondere Erkennung und Meldung von Geschäftsgeheimnissen).
  • Vertragliche Verpflichtungen von Mitarbeitern und Geschäftspartnern (NDAs).

Welche Besonderheiten sollten bei Arbeitnehmern beachtet werden?

Im Hinblick auf den Geschäftsgeheimnisschutz auf Mitarbeiterebene, sollten die folgenden Maßnahmen bereits zu Beginn des Beschäftigungsverhältnisses (sogenanntes “Onboarding”) ergriffen werden:

  • Sorgfältige Auswahl entsprechend der Stufe der Geschäftsgeheimnisse.
  • Abschluss einer Verschwiegenheitsvereinbarung im Hinblick auf Geschäftsgeheimnisse (Mitarbeiter NDAs).
  • Information über Geschäftsgeheimnisse und deren Schutz (sollte in der o.g. Verschwiegenheitsvereinbarung erfolgen, optimal sind Schulungen).
  • Verpflichtung die Verletzung von Geschäftsgeheimnissen zu melden (sollte in der o.g. Verschwiegenheitsvereinbarung erfolgen)
  • Überwachung der Einhaltung, z. B. durch Logging von Zugriffen auf IT-Einrichtungen.

Welche Besonderheiten sollten bei Geschäftspartnern und Dienstleistern beachtet werden?

Im Hinblick auf den Geschäftsgeheimnisschutz gegenüber Geschäftspartnern, sollten die folgenden Maßnahmen ergriffen werden:

  • Sorgfältige Auswahl entsprechend der Stufe der Geschäftsgeheimnisse.
  • Abschluss von Geschäftsgeheimnisschutzvereinbarungen (NDAs).
  • Information über Geschäftsgeheimnisse und deren Schutz (kann auch in der o.g. Verpflichtungsvereinbarung erfolgen, optimal sind Schulungen).
  • Überwachung der Einhaltung, z. B. durch Logging von Zugriffen auf IT-Einrichtungen im Rahmen des Zugriffs auf die eigenen IT-Einrichtungen.

Sollten Vertragsstrafen vereinbart werden?

Die Vereinbarung einer Vertragsstrafe ist als Mittel zum Schutz Ihrer Geschäftsgeheimnisse nützlich.

Eine Vertragsstrafe sollte vor allem dann vereinbart werden, wenn sich ein besonders hohes Risiko eines Verstoßes gegen den Schutz von besonders wertvollen Geschäftsgeheimnissen besteht.

Die Vereinbarung einer Vertragsstrafe hat dann den Vorteil, dass kein konkreter Schaden nachgewiesen werden muss. In der Praxis hat die Vertragsstrafe daher vor allem eine abschreckende Wirkung und zwingen die Mitarbeiter*innen zu höherer Vorsicht.

Um wirksam zu sein, müssen Vertragsstrafen jedoch die folgenden Voraussetzungen erfüllen:

  1. Transparenz – die Voraussetzungen müssen klar, Verstöße erkennbar und vermeidbar sein.
  2. Der Höhe nach angemessen – Die Höhe der Vertragsstrafe ist anhand des Risikos, der Eintrittswahrscheinlichkeit, möglicher Schäden und des Grades des Verschuldens des*der Mitarbeiter*in zu bestimmen. Falls eine Vertragsstrafe mit Mitarbeiter*innen vereinbart wird, beträgt sie typischerweise maximal ein Bruttomonatsgehalt. Damit wird die Vertragsstrafe an das Einkommen des Mitarbeiters gekoppelt, was für deren Angemessenheit spricht (falls tatsächlich ein höherer Schaden entsteht, kann dieser dennoch in der entstandenen (und über die Vertragsstrafe hinausgehenden) Höhe verlangt werden).
  3. Verschuldensabhängig – Eine Vertragsstrafe ohne Verschulden würde bedeuten, dass der*die Mitarbeiter*in auch für eine zufällige Offenbarung von vertraulichen Informationen verantwortlich wäre. Eine derartige Garantiehaftung ist grundsätzlich unwirksam und sollte in Spezialfällen gesondert als eine Individualabrede vereinbart werden.
  4. Nicht verboten – Eine Vertragsstrafenvereinbarung mit Auszubildenden ist z. B. in Deutschland verboten (§ 12 Abs. 2 BBiG).

Gelten die Vertraulichkeitspflichten nach Ende von Arbeitsverhältnissen und Geschäftsbeziehungen?

Die Vertraulichkeitspflichten sollten für Geschäftsgeheimnisse auch nach dem Ende der vertraglichen Beziehung mit Geschäftspartnern, Dienstleistern oder Mitarbeiter*innen fortbestehen.

Allerdings darf die Fortwirkung von Geschäftsgeheimnissen insbesondere bei Mitarbeiter*innen nicht praktisch zu einem Berufsverbot führen (dann wäre die Klausel zum Fortbestehen der Geschäftsgeheimnisse nach Vertragsende insgesamt unwirksam). Auf jeden Fall darf die Verwendung des allgemeinen Erfahrungswissens nicht eingeschränkt werden (außer gegen eine gleichwertige Kompensation).

Mitarbeiter dürfen daher grundsätzlich nur für den Zeitraum von zwei Jahren nach Ende des Arbeitsvertrages in der Nutzung ihres Wissens beschränkt werden, außer

  1. es wurde eine gesonderte Abrede getroffen (und ggf. eine Abstandszahlung vereinbart) oder
  2. die Interessen des Arbeitgebers an der Geheimhaltung übersteigen die Interessen des Mitarbeiters an der Nutzung der Informationen, z. B. wenn es sich um Geschäftsgeheimnisse handelt, die gerade den Vorsprung oder die besondere Qualität der Leistungen des Arbeitgebers begründen oder es sich um interne Vorgänge handelt, die einen wirtschaftlichen Schaden nach sich ziehen könnten, obwohl zugleich kein relevantes öffentliches Interesse an deren Kenntnis besteht.

Wann liegt ein berechtigtes Interesse an der Geheimhaltung vor?

Das GeschGehG enthält im § 2 Abs. 1 Nr. 1 lit. c) mit dem “berechtigten Interesse an der Geheimhaltung” eine deutsche Sonderregel.

Mit ihr soll klargestellt werden, dass bereits bei der Beurteilung, ob ein Geschäftsgeheimnis vorliegt, eine Interessenabwägung vorgenommen werden muss (ähnlich wie im § 5 GeschGehG).

Umgekehrt zeigt die Vorschrift auch, dass auch an rechtswidrigen Handlungen ein berechtigtes Geheimhaltungsinteresse bestehen kann (z. B. wenn eine Mitarbeiter geringfügig und/oder trotz hinreichender Sicherheitsmaßnahmen gegen das Recht verstößt, kein Risiko für die Allgemeinheit besteht, der Verstoß aber dem Unternehmen zugerechnet wird und die PR-Folgen sehr negativ ausfallen könnten).

Wann ist die Nutzung von Geschäftsgeheimnissen oder Zustimmung des Geheimnisinhabers zulässig?

In den folgenden Fällen erlaubt das Gesetz die Offenbarung, Verschaffung des Zugangs zu oder Nutzung von Geschäftsgeheimnissen (§ 3 GeschGehG):

  • Eigenständige Entdeckung oder Schöpfung.
  • Reverse Engineering.
  • Ausüben von Informations- und Anhörungsrechten durch Arbeitnehmer, Wahrnehmung Mitwirkungs- und Mitbestimmungsrechte der Arbeitnehmervertretung.
  • Per Gesetz oder Vertrag gestattet.

Warum sollte Reverse Engineering vertraglich untersagt werden?

Der europäische Geschäftsgeheimnisschutz erlaubt das Reverse Engineering (z.B. § 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT), also das „Beobachten, Untersuchen und Rückbauen” von z. B. Geräten, Soft- oder Hardware (§ 3 Abs. 1 Nr. 2 GeschGehG-D oder § 26d Abs. 2 Nr. 2 UWG-AT).

Daher sollte das Reverse Engineering, wie mit unserem Generator möglich, ausdrücklich ausgeschlossen werden.

Welche Handlungen im Hinblick auf Geschäftsgeheimnisse verbietet das Gesetz?

Gesetzlich wird praktisch jede unbefugte Nutzung von Geschäftsgeheimnissen verboten (§ 4 GeschGehG), außer der Inhaber des Geschäftsgeheimnisses erlaubt sie, oder es liegt eine gesetzliche Erlaubnis vor (dazu unten mehr). Verboten sind insbesondere,

  • der unbefugter Zugang zu, unbefugte Aneignung oder unbefugtes Kopieren von Dokumenten, Gegenständen, Materialien, Stoffen oder elektronischen Dateien, die der rechtmäßigen Kontrolle des Inhabers des Geschäftsgeheimnisses unterliegen und die das Geschäftsgeheimnis enthalten oder aus denen sich das Geschäftsgeheimnis ableiten lässt, oder
  • jedes sonstige Verhalten, das unter den jeweiligen Umständen nicht dem Grundsatz von Treu und Glauben unter Berücksichtigung der anständigen Marktgepflogenheit entspricht.

Die Verbote treffen auch Dritte (z. B. neue Arbeitgeber von Ex-Mitarbeitern), die Geschäftsgeheimnisse erlangen und von der Widerrechtlichkeit ihrer Erlangung hätten wissen müssen.

In welchen Fällen ist die Nutzung von Geschäftsgeheimnissen gerechtfertigt

In Fällen eines höherwertigen Interesses als Rechtfertigungsgrundlage, könnten Geschäftsgeheimnisse auch ohne die Zustimmung ihres Inhaber offenbart werden (§ 5 GeschGehG).

Allerdings muss stets eine Abwägung der Bedeutung der öffentlichen Interessen gegenüber den Nachteilen, deren Preisgabe für Unternehmen bringt, abgewogen werden.

Es handelt sich vor allem im Falle des sogenannten Whistleblowings, in denen die Offenbarung von Geschäftsgeheimnissen eine Vielzahl von Menschen, Unternehmen oder öffentliche Einrichtungen und Kollektivgüter vor Schäden schützen soll (z. B. in der Lebensmittel- oder Arzneibranche oder im behördlichen Bereich):

  • Freie Meinungsäußerung, Informationsfreiheit, Pluralität der Medien.
  • Dem Schutz öffentlichen Interesses dienende Aufdeckung rechtswidriger Handlungen, beruflichen oder sonstigen Fehlverhaltens (d.h. auch erlaubten, aber z.B. unethischen Verhaltens).
  • Erforderliche Offenlegung von Arbeitnehmern gegenüber der Arbeitnehmervertretung.

Wie sollten Arbeitnehmer vorgehen, bevor sie Geschäftsgeheimnisse offenbaren?

Arbeitnehmer sollten ein sogenanntes “Eskalationsmodell” beachten und Geschäftsgeheimnisse erst dann offenbaren, wenn sie die folgende Frage verneinen können:

Bestand eine Möglichkeit auf Missstände hinzuweisen, ohne Repressalien und Nachteile befürchten zu müssen?

Eine solche Möglichkeit kann z. B. die Einrichtung einer anonymen Meldestelle oder Bestimmung eines Ombudsmanns/-frau sein. Besteht eine solche Möglichkeit nicht, dann können sich Arbeitnehmerinnen an die Presse richten.

Welche Folgen drohen bei Verstößen?

Werden Geschäftsgeheimnisse unbefugterweise offenbart oder genutzt, steht den Inhabern der Geschäftsgeheimnisse eine Vielzahl von Rechten gegen den oder die Delinquenten zur Verfügung:

  • Beseitigung und künftige Unterlassung (§ 6 GeschGehG).
  • Vernichtung, Herausgabe, Rückruf, Entfernung vom Markt (§ 7 GeschGehG).
  • Abfindung in Geld (§ 11 GeschGehG)
  • Auskunft (§ 8 GeschGehG).
  • Schadensersatz (§ 12 GeschGehG).

Unternehmen haften für ihre Arbeitnehmer und Beauftragte, weswegen diese auf den Schutz von Geschäftsgeheimnisses explizit verpflichtet werden sollten (§12 GeschGehG).

Die Rechte können in Ausnahmefällen beschränkt werden, z.B. bei Unverhältnismäßigkeit (§ 9 GeschGehG).

Welche Besonderheiten existieren im Rahmen von Gerichtsverfahren?

Das deutsche GeschGehG enthält auch besondere Regelungen zu Gerichtsverfahren, die sich insbesondere dem Schutz von Geschäftsgeheimnissen im Rahmen von (üblicherweise öffentlichen) Gerichtsverfahren widmen:

  • Zuständigkeit: Zuständig ist das Landgericht am Sitz des Beklagten (§ 15 GeschGehG).
  • Geheimhaltungsvorgaben: Darüber hinaus enthält das Gesetz auch Geheimhaltungsvorgaben für Gerichtsverfahren (bei Verstoß drohen ein Ordnungsgeld bis 100 Tsd. Euro oder 6 Monate Freiheitsstrafe, §§ 16 bis 21 GeschGehG)

Wann ist die Verletzung von Geschäftsgeheimnissen strafbar?

In den folgenden Fällen ist die Verletzung von Geschäftsgeheimnissen (z. B. deren Offenbarung oder Nutzung) strafbar (§ 23 StGB):

  • Wettbewerbsförderung – Förderung des eigenen oder fremden Wettbewerbs.
  • Eigen- & Fremdnutz – Verletzung erfolgt aus Eigen- & Fremdnutz.
  • Schadensabsicht – Die Verletzung erfolgt mit der Absicht, dem Geheimnisinhaber Schaden zuzufügen.

Als Folge drohen drei Jahre Freiheitsstrafe (fünf Jahre bei Gewerbsmäßigkeit oder Auslandsbezug) oder Geldstrafe.

Wann muss zusätzlich ein Auftragsverarbeitungsvertrag abgeschlossen werden?

Um den Vorgaben des Geschäftsgeheimnisschutzgesetzes zu genügen sollten Vertraulichkeitsvereinbarungen im Hinblick auf Geschäftsgeheimnisse (NDA) abgeschlossen werden.

Der Abschluss und Inhalt eines Auftragsverarbeitungsvertrages wird dagegen nach der DSGVO (Art. 28 DSGVO) vorgegeben, wenn personenbezogene Daten im Auftrag verarbeitet werden (sogenannte “Auftragsverarbeitung”).

Keine Auftragsverarbeitung liegt dagegen vor, wenn die Verarbeitung personenbezogener Daten keine Kernaufgabe des Dienstleisters ist (z. B. kein Web-/Datenbankhosting, keine Analyse von personenbezogenen Daten oder Nutzung von Kundendaten für Zwecke des Direktmarketings), sondern die Dienstleister oder Geschäftspartner mit den Daten im Rahmen der Wahrnehmung ihrer Aufgabe nur beiläufig in Verbindung kommen (z. B. im Rahmen der Wartung von Computer/Anlagen, Softwareerstellung, Marketingberatung, etc.).

Werden Informationsempfänger mit der Verarbeitung personenbezogener Daten als Kernleistung beauftragt, dann muss mit ihnen ein Auftragsverarbeitungsvertrag abgeschlossen werden (Art. 28 DSGVO).

Generatoren für Verschwiegenheitsverpflichtungen von Geschäftspartnern, Mitarbeitern und Dienstleistern

Zu einem Schutzkonzept gehört vor allem die Aufklärung sowie Verpflichtung von Geschäftspartnern und Mitarbeitern auf den Schutz von Geschäftsgeheimnissen.

Mit unseren Generatoren können Sie entsprechende Verschwiegenheitsverpflichtungen für Geschäftspartner oder für Mitarbeiter (nebst Aufklärung über Geschäftsgeheimnisse) auch ohne Rechtskenntnisse schnell und einfach erstellen (ausschließlich für Geschäftskunden, auf Deutsch und Englisch).

Mit unseren Generatoren können Sie entsprechende Verschwiegenheitsverpflichtungen für Geschäftspartner oder für Mitarbeiter (nebst Aufklärung über Geschäftsgeheimnisse) auch ohne Rechtskenntnisse schnell und einfach erstellen (ausschließlich für Geschäftskunden, auf Deutsch und Englisch).
Beispiel der Auswahlmöglichkeiten in unseren Generatoren (NDA für Geschäftspartner & Dienstleister oder NDA für Mitarbeiter).

Kommentare

  1. Super Artikel! Ich habe eine Anmerkung und eine Frage:

    1. Die Durchsetzung einer Vertragsstrafe bei Mitarbeitern richtet sich nach dem Verschuldensgrad (geht nur ab mittlerer Fahrlässigkeit und Vorsatz). Ein Monatsgehalt ist angemessen, allerdings kann der AG, im Schadensfalls, nicht einfach das Gehalt einbehalten, sondern muss sich an die Pfändungsgrenzen halten.

    2. M.E. ist in der EU- Whistleblower RL geregelt das sich ein Mitarbeiter immer an die Presse wenden kann, egal ob Ombudsmann, oder nicht, wenn er davon ausgehen kann das Gefahr für Leib und Leben besteht und ein öffentliches Interesse an der Aufdeckung von Missständen besteht. Zudem soll ja die Pressefreiheit und die Möglichkeit der Nutzung von Informanten als Quellen gewahrt bleiben.

    1. Danke für den Kommentar.

      Zu 1) ja, in der Regel dienen Vertragsstrafen eher der Abschreckung, als dass sie tatsächlich durchgesetzt werden (bzw. wegen der Pfändungsgrenzen überhaupt können). Im Hinblick auf den Verschuldensgrad sollte man Vertragsstrafen daher stets flexibel und anpassbar gestalten (wie in unserem Generator, wo das Bruttomonatsgehalt eine Maximal- und keine Mindestgrenze ist: https://datenschutz-generator.de/mitarbeiter-nda/?dsgoto=dsg-module-1188).

      Zu 2) Zu der Richtlinie verweise ich auf unseren Podcast oben. Im Übrigen ist die Frage, ob man sich an eine Ombudsperson wenden kann, auch schon ohne die Whistleblower-RL von einer Verhältnismäßigkeitsabwägung geprägt gewesen. D.h. in Extremsituation, z. B. wenn schnelles Handeln angebracht ist und überragende Rechtsgüter auf dem Spiel stehen, darf auch der direkte Weg zu der Presse gesucht werden. Allerdings trägt der Arbeitnehmer das Risiko, wenn er die Sachlage falsch einschätzt.

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.