GeschäftsgehG-Betriebsgeheimnisse effektiv schützen, Arbeitsverträge und F&E Verträge nachjustieren!

Jetzt ist es raus! Der Referentenentwurf des deutschen Bundestages vom 18.7.2018 soll die Richtlinie EU 2016/943 der Europäischen Union zum effektiven Schutz von Geschäftsgeheimnissen umsetzen. Mit einem Inkrafttreten wird im 2. Quartal 2019 gerechnet.

Was bisher sehr rudimentär als Flickenteppich in § 17-19 UWG, § 823-826 BGb und StGB geregelt war, wird nun in ein eigenes Gesetz gepackt, das sog. Geschäftsgeheimnisgesetz (GeschGehG). In der Praxis bedeutet dies, dass nunmehr Unternehmen aufgefordert sind, ein Geheimnisschutzmanagement im Betrieb einzuführen und eine Vertragscompliance durchzuführen.

Unterbleibt dies, kann es im gerichtlichen Verfahren schnell zu einer Umkehr der Beweislast kommen. Besondere Aufmerksamkeit ist in der unternehmerischen Praxis bereits jetzt gefordert, da UWG und BGB richtlinienkonform auszulegen sind.

Der Gesetzgeber gibt zwar nun umfassende Unterlassungs-, Vernichtungs-Herausgabe-, Rückruf- Auskunfts-, Geldabfindungs- und Schadensersatzansprüche im Falle des Verletzens von Geschäftsgeheimnissen. Voraussetzung ist allerdings, dass eine ausreichende Kennzeichnung und Transparenz im Unternehmen durchgeführt wurde, was Betriebsgeheimnis ist, sowie dass eine entsprechende Verpflichtung potenzieller Geheimnisträger auf das Geschäftsgeheimnis durchgeführt wurde.

Der Gesetzgeber verlangt hierzu, dass angemessene Geheimhaltungsschutzmaßnahmen durch den Betrieb getroffen worden sind, das heißt insbesondere, dass sowohl das kaufmännische Wissen (z. B. Kundendaten, Lieferanten, Kontakte, Kalkulation, Markanalysen und Unternehmensdaten) und das technische Wissen (z. B. Know How, Herstellungsverfahren, Prototypen, etc). nicht offen im Betrieb gehandhabt werden und nur ein begrenzter Personenkreis hierauf Zugriff hat.

Wird eine entsprechende Berechtigungspolicy nicht eingeführt und sind die Geheimnisschutzmaßnahmen nicht aktiv getroffen, so können Unterlassungs-, Schadensersatz und Auskunftsansprüche im Prozess mangels Darlegung der erforderlichen Beweislast scheitern.

So ist in der betrieblichen Praxis konkret zu prüfen und zu klären, ob Geheimhaltungsvereinbarungen sowie Vertraulichkeitsverpflichtungen abgeschlossen sind, ob Zutrittsberechtigungen, Fotografieverbote im Hinblick auf Geschäftsgeheimnisse geregelt sind und ob eine proaktive Präventionsstrategie inklusive der Vertrags-Compliance im Unternehmen umgesetzt ist. Damit sind zukünftig neben den Arbeitsverträgen auch die Forschungs- und Entwicklungsverträge im Hinblick auf eine umfassende Vertrags-Compliance zu überprüfen.

Vertragliche Nachjustierung ist auch erforderlich, da nach § 3 Abs. 1 Nr. 2 GeschGehG das Rückbauen oder Testen eines Wettbewerberproduktes (Reverse Engineering) als Erlaubnistatbestand ausgenommen ist, sodass eine entsprechende vertragliche Vereinbarung, insbesondere in Softwareentwicklungs-, und Forschungs-, und Entwicklungsverträgen mit externen Dritten vorzusehen ist.

Belohnt werden diese organisatorischen Anstrengungen vom Gesetzgeber sodann mit der nun erstmals normierten Schadenersatzregelung § 10 GeschGehG, nach dem die aus dem gewerblichen Rechtsschutz bekannte dreifache Schadensberechnung durchgeführt werden kann. sodass neben dem entgangen Verletzergewinn, der herauszugeben ist, auch auf die Lizenzanalogie umgestellt werden kann, was von Vorteil ist in einer unübersichtlichen Schadensituation.

Das neue Geheimnisschutzgesetz forciert das Unternehmen nun sein Schlüssel Know-How nach Bedeutung und Marktposition zu klassifizieren, Zuständigkeiten im Unternehmen festzulegen, gesonderte IT- Sicherheitsbudgets diesbezüglich auszuweisen und zur Verfügung zu stellen und vor allem eine systematische Kennzeichnung entsprechender geheim zu haltendes Betriebswissens durchzuführen.

Dies war zwar auch schon unter der Doktrin des § 17 UWG empfohlen und hilfreich, insbesondere was die Kennzeichnungspflichten anging, allerdings findet nunmehr eine Beweislastumkehr statt, für den Fall, dass entsprechende Schutzmaßnahmen nicht getroffen sind, sodass sodann Unterlassungs-, und Schadenserstansprüche in der Praxis praktisch nicht mehr durchsetzbar sind.

Das Unternehmen muss in der Konsequenz auch Schulungsveranstaltungen für Mitarbeiter durchführen und muss regelmäßige Stichproben hinsichtlich der gelebten Praxis im Rahmen eines effektiven Datenschutzes durchführen.

Neben den Zutritts-, Zugangs-, Zugriffskontrollen der zu ergreifenden technisch organisatorischen Maßnahmen im Rahmen eines Datenschutzkonzeptes nach Art. 32 DSGVO sind insbesondere auch Verhaltensregeln für Besucher des Unternehmens aufzustellen, so z. B., dass diese am Empfang abgeholt werden, dass diese auf ein Fotografierverbot im Betrieb hingewiesen wurden.

Weiter sollte sichergestellt werden, 

• dass nicht mehr benötigte Unterlagen von Mitarbeitern umgehend geschreddert werden, 
• dass keine privaten Posts in sozialen Netzwerks aus dem Unternehmen heraus durchgeführt werden,
• dass Kundenpräsentationen entsprechend mit Schutzhinweisen versehen sind und
• dass technische Schutzmaßnahmen, insbesondere der Serverzugriff, nur auf Berechtigte Mitarbeiter ausgelegt wurde und effektive Virenscanner angeschafft worden sind.

Insbesondere bei Heimarbeitsplätzen und in Fällen, bei denen der Arbeitgeber die Möglichkeiten der Zurverfügungstellung eigener Datenquellen oder Hardware zur Verfügung stellt, muss die sichere Herkunft gewährleistet sein.

In den sogenannten Fällen des bring your own device (BOYD) sind neben sicherheitstechnischen Risiken insbesondere auch auf lizenzrechtliche Risiken hinzuweisen und diese zu überprüfen.

Nach § 99 UrhG haftet nämlich auch der Inhaber des Unternehmens, wenn die eingesetzte Hard- und Software von Mitarbeitern und Dritten nicht nur über eine gewerbliche Nutzungsberechtigung verfügt, sondern nur privat und nicht auch im Hinblick auf den gewerblichen Einsatz beim Arbeitgeber lizenziert worden ist. Hier kann es schnell auch zu Nachforderungen des Herstellers bzw. Urhebers führen.

Das neue Gesetz vom Schutz von Geheimnissen animiert den Arbeitgeber auch im Rahmen des Datenschutzmanagements, nun einen transparenten Geheimnisschutz umzusetzen. Der Unternehmer wird dafür mit klareren und großzügigeren Sanktionsmitteln im Verstoß oder Betriebsspionagefall belohnt, sofern er das notwendige Management hierfür aufgebracht hat.