Unter Verschluss: Die Folgen des neuen GeschGehG

Geschäftsgeheimnisse sind ein wertvolles Gut. Bisher waren sie in Deutschland, im Vergleich zu einigen anderen EU-Staaten, unzureichend geschützt. Das soll sich ändern. Seit dem 26. April 2019 ist das Geschäftsgeheimnisschutzgesetz (GeschGehG) in Kraft. Doch für den verbesserten Schutz verlangt der Gesetzgeber vom Geheimnisträger zugleich die Einhaltung bestimmter Pflichten – auch im Umgang mit fremden Geschäftsgeheimnissen.

 

Über das neue Gesetz und seine praktischen Auswirkungen sprach Beckextra Das Magazin mit Dr. Alexandra Albrecht-Baba, Leiterin der Abteilung Konzerncompliance & Recht bei der HOCHTIEF Aktiengesellschaft und Dr. Konstantin von Busekist, Leiter der Practice Group Compliance & Investigations bei KPMG Law in Düsseldorf.

 

Wie waren Geschäftsgeheimnisse bisher geschützt?

von Busekist: Sehr fragmentarisch. Deshalb hat sich der Gesetzgeber im Rahmen der Umsetzung einer EU-Richtlinie bemüht, den Schutz insgesamt systematischer zu fassen. Bislang musste dies z. B. über § 17 UWG, das Markenrecht oder das Patentrecht abgeleitet werden.

 

Was hat sich geändert?

Albrecht-Baba: Das Neue an dem Gesetz ist, untechnisch betrachtet, eine Umkehr bei der Beweislast. Wer Ansprüche wegen einer Geheimnisschutzverletzung geltend machen möchte, muss jetzt nachweisen, dass er sich betriebsintern darum bemüht hat, Maßnahmen einzuführen, um das Geschäftsgeheimnis zu schützen und den Mitarbeitern bewusst zu machen, dass ein Geheimnis vorliegt.

von Busekist: Es gibt nun außerdem eine gesetzliche Definition, was ein Geschäftsgeheimnis ist: Es muss eine Information vorliegen, die ihrer Art nach grundsätzlich dazu geeignet ist, einen wirtschaftlichen Wert für ein Unternehmen darzustellen. Sie darf nicht öffentlich bekannt sein, und es bedarf einer angemessenen Schutzmaßnahme, um diesen Wertgedanken auch durch das Unternehmen verkörpert zu wissen. Diese Schutzmaßnahme ist Grundlage dafür, dann auch den Rechtsschutz des Gesetzes in Anspruch nehmen zu können.

 

Wie sieht denn die Rechtsfolgenseite aus?

von Busekist: Die Strafvorschriften bei der Verletzung der Rechtsposition von Geheimnisträgern sehen bis zu fünf Jahre Freiheitsstrafe vor. Wenn wir künftig ein Verbandssanktionenrecht erhalten, sind bei betrieblich veranlasster Verletzung voraussichtlich zusätzliche Bußgelder in Höhe von 4% des Umsatzes der Unternehmensgruppe möglich. Bußgelder nach § 130 OWiG gegen die Unternehmensleitung sind weiterhin möglich. Zivilrechtlich wurden Schadenersatz, Unterlassensschutz sowie die Auskunfts-, Vernichtungs- und Herausgabepflichten klarer geregelt.

 

Nochmal zurück zum Begriff des Geschäftsgeheimnisses: Was fällt im Unternehmensalltag darunter?

von Busekist: Das kann wahnsinnig viel sein. Fast jede nicht­öffentliche Information eines Unternehmens besitzt irgendeinen Wert – und wenn es der Wert einer entsprechenden Wiederbeschaffung dieser Information ist. In jedem Bereich der Wertschöpfung können Geschäftsgeheimnisse verborgen sein: Wettbewerbsmarktanalysen, Personalrestrukturierungskonzepte, Kundendaten, Verhaltensdaten, Produktspezifikationen, Preise.

Albrecht-Baba: In der Bauindustrie ist das beispielsweise die Kalkulation von öffentlichen oder privaten Angeboten. Je nach Freiheitsgrad bei der Planung eines Auftrages wird auch die detaillierte Planung für den Auftrag dazu gehören. Ebenso technische Erfindungen.

 

GeschGehG: Wo sind überhaupt Geschäftsgeheimnisse?

 

Sie erwähnten bereits das Kriterium der »angemessenen Schutzmaßnahmen«. Was genau bedeutet »angemessen« in diesem Kontext?

Albrecht-Baba: Das ist die große Frage. Der Begriff wird von der Rechtsprechung weiter präzisiert werden müssen. Ich glaube, für den Moment muss sich jedes Unternehmen Gedanken darüber machen, was es für angemessen erachtet. Daher empfehle ich derzeit folgendes: Zunächst sollte geprüft werden, wo im Unternehmen überhaupt Geschäftsgeheimnisse vorhanden sind. Dann ist zu überlegen, was getan werden kann, um die Mitarbeiter auf diesen Umstand gesondert hinzuweisen und sie zu sensibilisieren, dass es sich um besonders schützenswerte Informationen handelt. Da sind wir schnell beim klassischen Thema Schulungen – Bewusstsein schaffen für die Bedeutung des Geheimnisschutzes an sich und die Folgen bei Nichtbeachtung.

 

Heißt »angemessen« zugleich, dass kleinere Unternehmen keinen so großen Aufwand treiben müssen wie große?

von Busekist: Die Angemessenheit muss sich zunächst einmal auf den Wert des Geschäftsgeheimnisses im Verhältnis zum Unternehmen beziehen. Es ist irrelevant wie groß das Unternehmen ist, denn es gibt nicht den gesetzlichen Willen einer Ordnungsmacht zu sagen, Du schuldest uns, dem Staat, ein Angemessenheitskonzept, sondern der Gesetzgeber sagt nur, Du schuldest Dir als Gesellschaft – auch in Abgrenzung zu Deinen Marktteilnehmern – ein entsprechend angemessenes, erkennbares Konzept. Was erkennbar und angemessen ist, muss sich somit auch aus Sicht der Marktteilnehmer bestimmen lassen.

 

Ganz praktisch gefragt: Wie schütze ich meine Geschäftsgeheimnisse am besten?

von Busekist: Zunächst ist ein Geheimnisschutzkonzept zu entwerfen, welches Umfang und Relevanz des Geheimnisbestandes ermittelt. Dann sind Schutzmaßnahmen zu ergreifen, die teils physische, teils rechtliche und schließlich IT-Kontrollen beinhalten. Dabei kommen Schulungen, Vertraulichkeitsklauseln in Verträgen, Regelungen zum Ausscheiden aus dem Unternehmen, Auskunftsansprüche, Unterlassungsverpflichtungen usw. zum Tragen. Weiter sind alle Aspekte eines IT-Sicherheitskonzeptes wie Berechtigungskonzept, Zugriffskontrollen und Verschlüsselungen auch für den Geheimnisschutz relevant, schon um eine mögliche Geheimnisentwendung überhaupt rechtzeitig zu bemerken. Der Katalog ist leider recht lang.

Ich gebe Mandanten gerne den Rat, sich für einen ersten Blick auf ein Geheimnisschutzkonzept die Verschlusssachenanweisungen des Bundes anzusehen. Der Bund hat im Rahmen seiner Organisationsstrukturen eine Vielzahl von Geheimnissen. Und die Frage, wie ein entsprechendes Schutzkonzept aussehen kann, hat der Bund für sich hinreichend beantwortet. Die Lektüre ist ganz lehrreich.

Albrecht-Baba: Bevor jetzt jeder anfängt, die Regelungen zum staatlichen Geheimschutz zu studieren, empfehle ich unbedingt, sich intensiv mit der Frage auseinander zu setzen: Wie relevant ist das alles überhaupt für mich? Sonst schießt man ganz schnell über das Ziel hinaus. Bei uns im Unternehmen existiert beispiels­weise ein Code of Conduct. Darin sind die Themen Geheimnisschutz und Vertraulichkeit bereits als wesentliche Bestand­teile enthalten. Somit ist dieses Thema vom Grundsatz über alle Compliance-Schulungen, die wir zum Code of Conduct halten, schon abgedeckt. Möglicherweise sind aufgrund des neuen Gesetzes ein paar Nuancen anzupassen. Aber grundsätzlich können wir den Geheimnisschutz mit Blick auf das Thema Schulungen relativ entspannt betrachten.

von Busekist: Sie sollten sich auch stets überlegen: Will ich für ein Geschäftsgeheimnis, das 500 Euro wert ist, überhaupt ein möglicherweise aufwändiges Managementsystem aufsetzen? Der Geheimnisschutz hat immer auch eine betriebswirtschaftliche Komponente.

GeschGehG und das Arbeitsrecht

 

Sind nicht auch die Arbeitsverträge der Mitarbeiter in das Schutzkonzept mit einzubeziehen?

Albrecht-Baba: Richtig. Das läuft bei uns im Unternehmen zurzeit: Die Personalabteilungen prüfen, ob die vorhandenen Geheimhaltungsklauseln in den Arbeitsverträgen ausreichend sind. Selbiges gilt übrigens für die Vertraulichkeitsklauseln in Zusammenarbeit mit Vertragspartnern. Im Baugeschäft sind das meistens Partner in Bietergemeinschaften bzw. Arbeitsgemeinschaften oder Joint-Venture-Partner. Das können aber auch Lieferanten und Nachunternehmer sein.

 

Welche Rolle spielt beim GeschGehG der Umgang mit Geschäftsgeheimnissen Dritter?

von Busekist: Ein ganz wichtiger Punkt, der mir in bisherigen Fachbeiträgen und Erläuterungen zum Geschäftsgeheimnisschutz viel zu kurz kommt. Schauen wir uns die unzähligen Vertraulichkeitsvereinbarungen an, die Unternehmen abgeschlossen haben – in denen sie sich selbst einer Vertraulichkeitsverpflichtung unterworfen haben. Das ist bei jedem größeren Projektvertag der Fall. Das ist typischerweise im Umgang mit fremdem Intellectual Property der Fall. Zahlreiche Verhandlung beginnen mit einem Non-Disclosure-Agreement. Die Verhandlung scheitert, und jeder verliert die bestehende Vertraulichkeitsvereinbarung aus dem Blick – und erzählt munter von den Gesprächen. Nach dem GeschGehG ist das eine Straftat. Hier ist unbedingt auf ein geordnetes Pflichten- und Vertragsmanagement zu achten.

 

Stimmt es, dass verärgerte Mitarbeiter besonders gerne Geschäftsgeheimnisse verraten?

Albrecht-Baba: Die Möglichkeit, dass ein Mitarbeiter, der aus dem Unternehmen ausscheidet, sein Wissen nutzen könnte, um dem Unternehmen oder anderen ehemaligen Mitarbeitern zu schaden, sollte man immer im Blick behalten.

von Busekist: Die klassischen Fälle aus meiner Praxis sind die, in denen der erfolgreiche Vertriebsmitarbeiter mit Informationen über Kunden, Kundenbezüge, Warenmengen, Warenspezifikationen, Preise und anderen marktrelevanten Informationen zum Wettbewerber wechselt. Das tut er aber in der Regel nicht aus Frust oder Ärger, sondern weil er vom Wettbewerber einfach ein gutes Angebot erhalten hat.

 

Ist eine hohe Verbundenheit des Unternehmens mit seinen Mitarbeitern dennoch ein gutes Mittel gegen Industriespionage?

von Busekist: Bei einer allzu intensiven Loyalität zwischen Unternehmen und Mitarbeiter kann es nach meiner Erfahrung auch passieren, dass Mitarbeiter für das Unternehmen unerlaubte kartellrechtliche Absprachen treffen, indem sie gerade geheimnisrelevante Informationen austauschen. Loyalität ist sicherlich ein guter Punkt, um seinen Mitarbeitern treu gegenüber zu stehen und dann auch zu verhindern, dass sie böswillig gehen. Aber es ist für mich als Berater kein ausreichender Garant und deswegen auch keine Maßnahme.

 

Wer ist eigentlich für den Geschäftsgeheimnisschutz innerhalb eines Unternehmens zuständig?

Albrecht-Baba: In vielen Fachbeiträgen wird dieses Thema automatisch der Compliance Abteilung zugewiesen. Aus meiner Sicht handelt es sich bei dem GeschGehG um ein Gesetz, mit dem sich der Bereich Governance, falls vorhanden, oder die Rechtsabteilung befassen sollte. Sie müssen prüfen, wie relevant es für das Unternehmen ist und welche Maßnahmen daraus abzuleiten sind. Im nächsten Schritt ist dann zu klären, ob es bestimmte Kompetenzen z.B. der Compliance Abteilung gibt, auf die die Rechtsabteilung aufsetzen kann, wie Compliance Schulungen.

von Busekist: Zuständig kann aus meiner Sicht aber auch die IT- oder Konzernsicherheit sein. Da kenne ich sehr unterschiedliche Konzepte. Ich bin mir allerdings noch nicht ganz im Klaren, ob die Letztverantwortlichkeit bei einer Abteilung alleine liegen muss, oder ob eine dezentralisierte Mehrfachverantwortung möglich ist, weil so vielgestaltige Teilnehmer in diesen Prozess eingebunden sind.

 

„Kraft Gesetzes ist Reverse Engineering jetzt grundsätzlich erlaubt.“

 

Was hat es mit dem sogenannten Reverse Engineering auf sich, das jetzt für zulässig erklärt wurde?

von Busekist: Bei Reverse Engineering geht es um die Ableitung technischen Wissens aus dem Rückbau von verfügbaren Produkten. Im Maschinenbau ist das seit langem Thema. Kraft Gesetzes ist Reverse Engineering jetzt grundsätzlich erlaubt. Allerdings, so meine Lesart des Gesetzes, kann Reverse Engineering durch vertragliche Gestaltung untersagt werden. Das Problem dabei: Derjenige, der ein Interesse daran hat, über einen Rückbau Informationen zu gewinnen, ist in aller Regel nicht mein unmittelbarer Vertragspartner. Also muss ich das Verbot zum Reverse Engineering über die gesamte Lieferkette hinweg mit Hilfe von Lizenzunterlassungsvereinbarungen aufrechterhalten. Da gerät man faktisch an Grenzen. Die patentrechtlichen Regelungen, der Schutz von Gebrauchsmustern und ähnlichem findet aber natürlich weiterhin statt.

 

Und wie sieht das Gesetz die Rolle von Whistleblowern und Journalisten?

von Busekist: Das Geschäftsgeheimnisschutzgesetz stellt klar, dass vom Geheimnisschutz zugunsten des Unternehmens keine Handlungen umfasst sind, in denen der Mitarbeiter Hinweise auf ein rechtswidriges Verhalten weiter verarbeitet. Wie sich der Mitarbeiter zu verhalten hat, ob er zunächst eine interne Meldung machen muss, ob er die Staatsanwaltschaft oder gar Journalisten informieren darf, dazu wird es eine Konkretisierung geben, die nach jetzigem Stand im Verbandssanktionengesetz geregelt werden soll.

Albrecht-Baba: Wenn Sie als investigativer Journalist Interesse daran haben, als Geheimnisse gekennzeichnete Informationen vom Unternehmen zu erlangen, kommt es darauf an, ob diese Informationen ein rechtswidriges Verhalten betreffen. Falls nicht, würden Sie sich selber strafbar machen.

 

Vielen Dank für das Gespräch.

 

Seminar-Tipp Compliance

Weitere Themen für Sie

Autorinnen/Autoren

  • Rezensionen

    Dieses Set enthält folgende Produkte:
      Auch in folgendem Set erhältlich:

      • nach oben

        Ihre Daten werden geladen ...