Es gehört zu den grundlegenden Interessen zahlreicher Unternehmen, ihre Geschäftsgeheimnisse zu schützen. Gefahren in dieser Hinsicht drohen nicht zuletzt von den eigenen Arbeitnehmern. Um ein europaweit einheitliches Schutzniveau zu schaffen, wird das Europäische Parlament in Kürze eine Richtlinie „über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ beschließen. Ab deren Inkrafttreten werden künftig für Arbeitgeber höhere Anforderungen an Geheimhaltungsmaßnahmen greifen – zunächst nur mittelbar, im Wege von Verschärfungen der Rechtsprechung und Gesetzeslage dennoch mit unmittelbarer faktischer Relevanz. Wir zeigen den wichtigsten Handlungsbedarf.
Zusammengefasst: Was kommt?
Nach dem bisherigen Entwurf soll insbesondere eine europaweit einheitliche Definition des Geschäftsgeheimnisses erfolgen. Ein solches soll nur dann vorliegen, wenn der rechtmäßige Inhaber das Geschäftsgeheimnis durch angemessene Geheimhaltungsmaßnahmen schützt. Wer keine signifikanten Hürden aufbaut, um den Zugriff auf Geschäftsgeheimnisse zu verhindern, der muss sich möglicherweise später entgegenhalten lassen: das, was entwendet wurde, war von vornherein kein schützenswertes Geschäftsgeheimnis.
Diese neuartige Definition wirft zahlreiche Fragen auf. Welche Anforderungen müssen an diese Schutzmaßnahmen gestellt werden? Gibt es Anpassungsbedarf für die so zahlreich in Arbeitsverträgen verwendeten Geheimhaltungsklauseln? Müssen technische Vorkehrungen getroffen werden (mit hoher Wahrscheinlichkeit: ja), und wenn ja, welche? Wie viele Mitarbeiter dürfen zu den schützenswerten Informationen Zugang haben? Sollten geheime Informationen ausdrücklich als solche gekennzeichnet werden? All diese Fragen sollten nicht unterschätzt werden, denn der Know-How Schutz spielt in nahezu jeder Branche eine wesentliche Rolle und kann oftmals über den langfristigen Erfolg des jeweiligen Unternehmens entscheiden.
Keine Geschäftsgeheimnisse sollen Erfahrungen und Fähigkeiten sein, die Mitarbeiter redlich im Rahmen ihres regulären Beschäftigungsverhältnisses erworben haben.
Die Richtlinie bringt aber nicht nur komplexere Rechtsfragen mit sich. Auf der Kehrseite der o.g. Pflichten stehen nämlich verbesserte Rechtsschutzmöglichkeiten bei Verstößen der Mitarbeiter oder auch Dritter. So sind ausdrücklich Schadensersatzansprüche vorgesehen. Ebenso wird die Geheimhaltung der Informationen, die notwendiger Weise in einem Gerichtsprozess zu Tage treten, hinreichend sichergestellt. Die Einsicht in vorgelegte Dokumente kann etwa auf bestimmte Verfahrensbeteiligte beschränkt werden, oder bestimmte Personen können von Anhörungen ausgeschlossen werden.
Die bisherige Rechtslage
Bisher kommt es bei der Bewertung, ob ein Geschäftsgeheimnis vorliegt, nur darauf an, dass das betreffende Wissen nicht allgemein bekannt oder leicht zugänglich ist. Ein erkennbares Geheimhaltungsinteresse und der Geheimhaltungswille des Arbeitgebers genügen. Dieser muss nicht einmal ausdrücklich erklärt werden, sondern wird für alle Betriebsinterna vermutet. Die subjektive Bewertung als Geheimnis ist daher ausreichend, um den entsprechenden Schutz des Gesetzes zu erreichen. Viele Arbeitgeber begnügen sich derzeit mithin damit, ihre Arbeitnehmer in den Arbeitsverträgen pauschal auf Geheimhaltung aller Informationen zu verpflichten, die diese in Ausübung ihrer Tätigkeit erlangen. Damit können im Fall des Verstoßes sowohl Schadensersatzansprüche als auch eine Strafbarkeit nach § 17 UWG ausgelöst werden, wenngleich die praktische Durchsetzung im Einzelfall herausfordernd sein mag.
Stand des Gesetzgebungsverfahrens
Der Richtlinienvorschlag der Europäischen Kommission wurde mit kleineren Abweichungen durch den Rat bereits Mitte 2015 einem Ausschuss des Europäischen Parlaments vorgelegt. Dieser hat den Wortlaut ebenfalls unter nur marginalen Abweichungen übernommen. Aus diesem Grund ist damit zu rechnen, dass auch während der Lesungen vor dem Europäischen Parlament keine einschneidenderen Änderungen mehr aufgenommen werden. Eine rasche Einführung ist zu erwarten. Zwar bedarf es zur Entfaltung einer zwingenden Wirkung in Deutschland noch einer Umsetzung ins nationale Recht. Ab Geltung der Richtlinie werden die Gerichte diese aber im Rahmen ihrer Auslegung des nationalen Rechts zu berücksichtigen haben. Daher ist es schon jetzt ratsam, die notwendig werdenden Änderungen bereits einzuleiten.
Empfehlenswerte Vorkehrungen
Insoweit empfiehlt es sich, die unterschiedlichen Geschäftsgeheimnisse je nach deren Wichtigkeit für das Unternehmen mit unterschiedlich intensiven Maßnahmen zu schützen. Als „Idealbild“ mag hier das „Coca-Cola-Rezept“ dienen: Es existiert, so wird kolportiert, lediglich eine schriftliche Aufzeichnung der Rezeptur, die in einem Banktresor verschlossen ist, dessen Öffnung des Beschlusses des Vorstandes bedarf. Konzernweit kennen nach Angaben des Konzerns lediglich zwei Personen die exakte Formel.
Erforderlich im Sinne der Richtlinie können insbesondere Zugriffsbeschränkungen auf die schützenswerten Informationen sein, sowohl technischer als auch organisatorischer Art:
- Sind vertrauliche Informationen (soweit verkörpert) verschlossen aufbewahrt worden, bzw. im Falle elektronischer Speicherung: ist der Serverraum gesichert?
- Wer hat Zutritt zum Werksgelände an sich im Allgemeinen (Werksausweise, Anmeldung etc.), und wer zu den Räumlichkeiten im Besonderen, in denen Geschäftsgeheimnisse aufbewahrt werden?
- Ist der Kreis der Personen, die vertrauliche Informationen erhalten, auf das Notwendigste beschränkt (Need-to-know-Basis)?
- Wenn Personen „eingeweiht“ werden, ist dies schriftlich dokumentiert? In einem etwaigen Verfahren über einen Verstoß gegen die Geheimhaltungspflicht, trägt der Arbeitgeber die Beweislast dafür, dass er technisch und rechtlich angemessene Geheimhaltungsmaßnahmen getroffen hat.
- Was IT-Zugangssicherungen angeht, können diese beispielhaft die Form elektronischer Zugangssperren, Firewalls oder technisch ausgeklügelter SIEM- und OPSEC-Lösungen, aber auch von „simplen“ Regelungen zur Privatnutzung von Dienst-EDV annehmen.
Ebenfalls kommen Schulungen der Mitarbeiter in Betracht, die regelmäßig mit solchen Informationen konfrontiert sind. Bei Schriftverkehr über Betriebsinterna sollte außerdem gekennzeichnet werden, dass es sich um eine vertrauliche Information handelt. Auf der rechtlichen Seite sollten insbesondere Wettbewerbsverbote, wirksame (!) Verschwiegenheitsklauseln und möglicherweise Vertragsstrafenandrohungen helfen.