Kurzbeitrag : Geschäftsgeheimnisse in der Rechtsprechung : aus der RDV 4/2022, Seite 209 bis 212
Zusammengestellt von Prof. Peter Gola*
Vorbemerkung
Das seit dem 26.04.2019 in Kraft befindliche Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) definiert erstmals den Begriff des Geschäftsgeheimnisses nebst den zu dessen Gewährleistung erforderlichen (Sicherungs-)Maßnahmen: Es soll u.a. dazu beitragen, Unternehmen besser vor Spionage durch bzw. dem Verrat an Wettbewerber[1] zu schützen, bringt aber nicht nur verbesserte Schutznormen, sondern auch die zwingende Notwendigkeit, Geschäftsgeheimnisse angemessen zu sichern. Dementsprechend steht das Gesetz neben den in gleiche Richtung gehenden Regelungen der wettbewerblichen Schweigegebote bzw. Konkurrenzverbote. Es bildet eine andere Seite des Datenschutzes ab, wobei Überschneidungen mit der DS-GVO bzw. dem BDSG nicht zu verkennen sind, wenn die als Geschäftsgeheimnis deklarierte Informationen personenbezogene Daten z.B. von Mitarbeitern oder Kunden sind und im Interesse der Betroffenen geschützt werden müssen. Der Schutz des GeschGehG greift aber weiter und umfasst auch eine andere Zielrichtung, weil ein Geschäftsgeheimnis jede durch angemessene Geheimhaltungsmaßnahmen geschützte Information sein kann, wenn ein berechtigtes Interesse der datenverarbeitenden Stelle, also regelmäßig des Arbeitgebers an der Geheimhaltung besteht (§ 2 Nr. 1 GeschGehG). Dies wird regelmäßig auch bei Datensicherungsmaßnahmen zutreffen. Der nachstehende Beitrag befasst sich mit der inzwischen umfassenden Rechtsprechung zu dem nun 3 Jahre in Kraft befindlichen GeschGehG:
I. Gegenstand und Schutzziel des GeschGehG (§ 2 Nr. 1 GeschGehG)
1. Allgemeines
Insbesondere beim Arbeitsplatzwechsel von Beschäftigten spielen Qualifikation und die Spezialkenntnisse, die der Beschäftigte bei seinem bisherigen Arbeitgeber erworben hat , eine wesentliche Rolle. Individuell vereinbarte Konkurrenzverbote können Beschäftigte zwar daran hindern, ihr spezifisches Wissen der Konkurrenz zur Verfügung zu stellen. Ggf. existentiell und daher besonders schützenswert sind insoweit Geschäftsgeheimnisse eines Unternehmens, denen der Gesetzgeber mit dem Geschäftsgeheimnisgesetz[2] speziellen, strafrechtlich abgesicherten Schutz gewährt. Voraussetzung dieses Schutzes vor unerlaubter Erlangung, Nutzung und Offenlegung (§ 1 Abs. 1, 4 GeschGehG) ist jedoch, dass der Inhaber des Geschäftsgeheimnisses entsprechende Schutzmaßnahmen trifft, d.h. das Gesetz knüpft erst hieran seine Schutzwirkung an.[3] Der Interessierte darf sich nicht ohne Schwierigkeiten mit lauteren Mitteln Kenntnis verschaffen können.[4] Und weiter das OLG Düsseldorf: „Wer keine Bestrebungen zum Schutz einer Information unternimmt oder lediglich darauf vertraut, die geheime Information werde nicht entdeckt und bleibe verborgen, genießt keinen Schutz durch die Rechtsordnung“.[5] „So bleibt ein Cocktailrezept ohne Schutzmaßnahme frei verwendbar.[6]
Das GeschGehG lässt in gleiche Richtung gehende Verpflichtungen unberührt, die sich u.a. deckungsgleich aus anderen Normen zum Schutz der Geheimsphäre des einzelnen ergeben,[7] wobei § 1 Abs. 3 GeschGehG ausdrücklich die dem berufs- und strafrechtlichen Schutz von Geschäftsgeheimnissen und den der Sanktionierung ihrer unbefugte Offenlegung dienenden § 203 StGB benennt.
Für Auszubildende gibt es in § 13 Satz 2 Nr. 6 BBiG eine entsprechende gesetzliche Verschwiegenheitspflicht; für Arbeitnehmer, die eine Diensterfindung gemacht haben, regelt diese § 24 Abs. 2 ArbnErfG.
Im Gesetz nicht erwähnt werden Überscheidungen des GeschGehG mit ggf. parallel laufenden Bestimmungen der DS-GVO bzw. des BDSG, die sich ergeben, wenn das Geschäftsgeheimnis die Verarbeitung personenbezogener Daten betrifft. Die Schutzziele sind zwar unterschiedlich, um sie zu erreichen sind aber ggf. deckungsgleiche bzw. einheitliche Maßnahmen geboten.
2. Der Schutzgegenstand
Schutzziel und Regelungsgegenstand des GeschGehG sind „Geschäftsgeheimnisse“, die in § 2 Nr. 1 GeschGehG legal definiert werden. Der Begriff erfasst nur Informationen, an deren Geheimhaltung auf Grund ihres wirtschaftlichen Wertes ein berechtigtes Interesse besteht und die deshalb Gegenstand von angemessenen, im Zweifel nachzuweisenden Geheimhaltungsmaßnahmen sind.[8] Das Interesse besteht, wenn das Bekanntwerden der Information die Wettbewerbsposition des Unternehmens nachteilig beeinflussen kann.[9] Ohne angemessen konkrete und praktizierte Geheimhaltungsmaßnahmen[10] gilt eine als geheim bewerte Information jedoch jedenfalls von Gesetzes wegen nicht als Geheimnis. Geschäftsgeheimnisse können beispielsweise sein: Kalkulationspläne, Auftrags-, Kunden- und Lieferantendaten, Einkaufspreise, Marktanalysen, Geschäftsstrategien, Businesspläne, Kreditwürdigkeit, Personalangelegenheiten, Marketingkonzepte. Unter den Begriff fallen auch Betriebsgeheimnisse wie: Technisches Know-How (Erfindungen, Zeichnungen, Algorithmen, Prototypen etc.), Konstruktionspläne, Herstellungsverfahren.[11]Auch eine Gesamtheit an Informationen kann ein Geschäftsgeheimnis darstellen. Wie das LAG Düsseldorf[12] festhalten hat, können auch private Aufzeichnungen eines Arbeitnehmers über Kundenbesuche und Kundendaten ebenso Geschäftsgeheimnisse enthalten wie von dem Unternehmen geführte Listen mit Kunden und Abs.mengen.
Es ist nicht schädlich, dass Informationen zum Stand der Technik gehören. Das Geschäftsgeheimnis muss auch nicht „neu“, „erfinderisch“, „eigentümlich“ oder besonders „originell“ sein.“[13] Der Schutz von Geschäftsgeheimnissen umfasst nicht nur das Verbot des unbefugten Zugriffs auf den Inhalt von Dateien, die das Geschäftsgeheimnis enthalten, sondern auch bereits die Verhinderung des Zugangs zu äußeren Merkmalen von Dateien (wie Dateiname, Dateiendung, Dateityp, Dateigröße), aus denen sich das Geschäftsgeheimnis ableiten lässt.[14]
Kommerzielle Verwertbarkeit der konkreten Information nicht erforderlich, es genügt jedes wirtschaftliche/geschäftliche oder unternehmensstrategische Interesse.[15]
Im Einzelnen muss eine Information demgemäß nach § 2 Nr.1 GeschGehG folgenden Kriterien genügen: – Sie ist „den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen“ weder „insgesamt noch in der genauen Anordnung und Zusammensetzung allgemein bekannt oder ohne weiteres zugänglich“ (§ 2 Nr.1 lit. a GeschGehG).[16]
- Sie ist aus diesem Grund „von wirtschaftlichem Wert“ (§ 2 Nr.1 lit. a GeschGehG):
- Sie ist „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ ( § 2 Nr.1 lit. b GeschGehG).
- Es besteht ein „berechtigtes Interesse an ihrer Geheimhaltung“ (§ 2 Nr.1 lit. c GeschGehG).
Grundlage für einen wirksamen Geschäftsgeheimnisschutz ist daher die systematische Identifizierung der im Unternehmen vorhandenen Geschäftsgeheimnisse, gefolgt von der Kategorisierung in Geheimhaltungsstufen und der Erarbeitung und Umsetzung der für die jeweiligen Geheimhaltungsstufe angemessenen Geheimhaltungsmaßnahmen.
3. Der Schutzbedarf
Da der Gesetzgeber es offen lässt, können Geschäftsgeheimnisse durch verschiedene ggf. verknüpfte und angemessene Maßnahmen geschützt werden. Die Angemessenheit richtet sich nach den Kriterien des Gesetzgebers nach
+ dem Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten
+ der Natur der Informationen
+ ihrer Bedeutung für das Unternehmen
+ der Größe des Unternehmens
+ den üblichen Geheimhaltungsmaßnahmen in dem Unternehmen
+ der Art der Kennzeichnung der Informationen
+ den vereinbarten vertraglichen Regelungen mit Arbeitnehmern[17] und Geschäftspartnern.
II. Die Schutzmaßnahmen
Als Schutzmaßnahmen kommen neben physische und technischen Zugangshürden vertragliche und organisatorische Regelungen in Betracht.
– Vertragliche Vereinbarungen
In Betracht kommen Non-Disclosure-Agreements, individualvertragliche oder formularmäßige Vertraulichkeitsvereinbarungen, z.B. in Arbeitsverträgen, die ggf. auch konkludent[18] wirken können Eine allgemein gehaltene arbeitsvertragliche Regelung (sog. Catch-all-Klausel) genügt dem nicht,[19] d.h. ungenügend ist eine Vereinbarung, die schlicht alle Angelegenheiten und Vorgänge, die im Rahmen der Tätigkeit bekannt werden, für geheimhaltungsbedürftig erklärt und dies ausdrücklich auch auf solche Vorgänge bezieht, die keine Geschäftsgeheimnisse sind.[20]
Im Einzelfall können jedoch Geheimhaltungspflichten auch ohne ausdrückliche Vertraulichkeitsvereinbarung und bei Unwirksamkeit einer vertraglichen Verschwiegenheitsklausel gleichwohl ihre Wirkung entfalten.[21]
– Organisatorische Maßnahmen (Compliance)
Beispiele sind Interne Richtlinien (z.B. IT-Richtlinie, Besucherregelung, Unternehmenscompliance inklusive Compliance Officer.[22]
III. Individueller, risikoangemessener Maßnahmekatalog
Arbeitgeber haben für die Gestaltung des Schutzkonzepts mehrere Möglichkeiten und können insbesondere auch ihre arbeitsrechtlichen Gestaltungsmöglichkeiten nutzen. Zu diesen Schutzmaßnahmen gehören somit zum einen organisatorische und technische Maßnahmen, z.B. die Einordnung von Arbeitnehmern nach bestimmten ‚Geheimhaltungsstufen‘ oder die Implementierung von Zugriffsbeschränkungen, Passwörtern und Zugangscodes und zum anderen auch arbeitsvertragliche Vereinbarungen.
Geheimnisschutzmaßnahmen sind mit den nach den Datenschutzvorgaben der DS-GVO getroffenen organisatorischen, technischen und rechtlichen Strukturen im Rahmen des von dem GeschGehG vorgegebenen Maßstabs der „Angemessenheit“ parallel.
Bei der Frage, wann denn eine Geheimhaltungsmaßnahme als angemessen anzusehen ist, zeigt sich die Parallelität zur den Sicherheitsanforderungen der DS-GVO. Nach Art. 24 Abs. 1 S. 1 DS-GVO und Erwägungsgrund 76 sind maßgebliche Kriterien um die Geeignetheit der technischorganisatorischen Maßnahmen zur Gewährleistung der Einhaltung der Vorgaben der DS-GVO zu beurteilen, die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen. Vorzunehmen ist eine Risikoanalyse (ErwGr. 75, 76).[23]
Während die DS-GVO das Risiko für den Betroffenen für den Umfang und die Gewichtung der zu treffenden Maßnahmen vorgibt, bildet für das GeschGehG die Bedeutung des Geschäftsgeheimnisses für das Unternehmen das entscheidende Kriterium. Es bedarf einer Einzelfallentscheidung. „Welche Geheimhaltungsmaßnahmen im Einzelfall im Sinne des § 2 Nr. 1 c GeschGehG angemessen sind, bestimmt sich anhand eines objektiven Maßstabs, wobei im Blick zu halten ist, dass das Gesetz keinen „optimalen Schutz“ oder „extreme Sicherheit“ verlangt“[24] Je weniger wirtschaftliche Bedeutung ein Geheimnis in der Gesamtbetrachtung für ein Unternehmen hat, desto geringer werden die Anforderungen an die Schutzmaßnahmen sein. Betrifft dieses andererseits die Existenz des Unternehmens, d.h. würde die Kenntnis oder Nutzung durch Wettbewerber existenzbedrohend sein, wären ggf. auch gravierende Eingriffe in die Rechte der mit den Daten umgehenden Beschäftigten gerechtfertigt. Demgemäß wäre es einmal im Hinblick auf Kosten, Aufwand und die Behinderung der nötigen Arbeitsprozesse nicht ratsam, aber auch aus datenschutzrechtlichen Gründen nicht zulässig, alle geheimhaltungsbedürftigen Informationen quasi vorbeugend in die höchste Geheimhaltungsstufe einzuordnen und mit extremen Sicherungs- und Kontrollmaßnahmen zu versehen.
IV. Abwehrrecht bei Verstoß
Das GeschGehG enthält einen umfassenden Katalog von Möglichkeiten, mit denen der Inhaber des Geschäftsgeheimnisses sich gegen Verletzungen dieses Rechts wehren kann.
Zusammengefasst stehen dem Geheimnisinhaber bei einer Geheimnisverletzung ggf. folgende zivilrechtliche Ansprüche zu:[25]
- Beseitigung bzw. Unterlassung der Beeinträchtigung
- Vernichtung oder Herausgabe von Dokumenten, elektronischen Dateien etc., die das Geschäftsgeheimnis enthalten oder verkörpern
- Rückruf, Einstellung, Vernichtung der rechtsverletzenden Produkte
- Schadensersatz (auch bei Verletzung der Auskunftspflicht)
- Gewinnabschöpfung
Nutzt jemand unbefugt Geschäftsgeheimnisse, so kann der Inhaber des Geheimnisses Auskunft darüber verlangen, durch wen und auf welche Weise der Schädiger an die Geschäftsgeheimnisse gelangt ist. Der Schädiger kann regelmäßig nicht einwenden, dass ihm die begehrte Auskunft unzumutbar wäre, namentlich nicht weil er sich oder einen Dritten möglicherweise der strafrechtlichen Verfolgung aussetzen würde.[26]
V. Parallelitäten mit der DS-GVO
Weitgehend werden als Geschäftsgeheimnis identifizierte Tatbestände im Zusammenhang mit der Verarbeitung von personenbezogenem Daten stehen, so dass sich Schutzgebote sowohl aus dem GeschGehG als auch aus der DS-GVO ergeben können. Besteht hinsichtlich personenbezogener Datenverarbeitungen nach dem GeschGehG ein den Datensicherungsgeboten der DS-GVO entsprechender Schutzauftrag, können Unternehmen, die insoweit durchzuführenden Maßnahmen organisatorisch in einer Hand vereinheitlichen, wobei sie hinsichtlich der betroffenen Daten ggf. auch nach den in dem Verfahrensverzeichnis deklarierten Verarbeitungen differenzieren können. Auch wenn die Schutzziele unterschiedlich sind, indem das Geschäftsgeheimnis wirtschaftliche Werte des Unternehmens und die Datenschutznormen das informationelle Selbstbestimmungsrecht des Betroffenen schützen, kann das Schutzziele ggf. sogar identisch sein. Mangels Vorrangigkeit einer der beiden Schutzbereiche gelten beide Schutzbestimmungen nebeneinander, wobei jedoch die Datenschutznormen zum Handeln verpflichten, während es wohl auch weiterhin „eine nicht unbeachtliche Zahl von Betrieben geben wird, bei denen keine Geschäftsgeheimnisse vorhanden sind oder bei denen kein Interesse besteht, diese zu schützen, weil eine Verletzung unwahrscheinlich ist.“[27]
Die Parallelität der sich aus § 2 Nr. 1 Buchst. b GeschGehG ergebenden Handlungspflicht zu Art. 24 Abs. 1 DSGVO und Art. 32 Abs. 4 DS-GVO, nach denen der Verantwortliche den Nachweis dafür zu erbringen hat, dass die Verarbeitungen personenbezogener Daten auf Grund der von ihm getroffenen organisatorischen Maßnahmen gemäß der Verordnung erfolgen, was eben auch für die Maßnahmen gilt, die das ordnungsgemäße Verhalten des eingesetzten Personals sicherstellen sollen, ist offensichtlich.[28]
Schutzmaßnahmen müssen somit nicht nur ergriffen werden, um das Geheimnis als solches zu schützen, sondern auch, damit die zu schützende Information auch als Geschäftsgeheimnis angesehen wird und das Unternehmen von der Schutzwirkung des Gesetzes profitieren kann. Voraussetzung für die u.a. die Beschäftigten betreffende Geheimhaltungsverpflichtung ist somit, dass der Verantwortliche den vertraulichen Charakter einer Information nicht nur subjektiv erklärt, sondern durch darlegbare „angemessene Geheimhaltungsmaßnahmen“ auch proaktiv deutlich macht.
VI. Strafrechtliche Konsequenzen des Verstoßes gegen die Geheimhaltungsverpflichtung
Bis zum 26.4.2019 wurde der strafrechtliche Schutz von Geschäfts- bzw. Betriebsgeheimnissen mit den §§ 17 bis 19 UWG gewährleistet. Die Bestimmungen finden sich nunmehr mit im Wesentlichen gleichen Inhalt wieder in § 23 GeschGehG.
Hinsichtlich der Sanktionierung von nach § 4 GeschGehG verbotenen Handlungen ist dessen bereits erwähnter Abs. 2 Nr. 3 in der Praxis von besonderer Bedeutung, der es u.a. Beschäftigten untersagt, ein Geschäftsgeheimnis unter Verstoß gegen eine Geheimhaltungsvereinbarung zu nutzen oder zu offenbaren. Die Möglichkeit der strafrechtlichen Sanktion des Verstoßes eröffnet § 23 Abs. 1 Nr. 3 GeschGehG. Danach kann eine bei einem Unternehmen beschäftigte Person, die entgegen § 4 Abs. 2 Nr. 3 GeschGehG ein ihr im Rahmen des Beschäftigungsverhältnisses anvertrautes oder zugänglich gemachtes Geschäftsgeheimnis nutzt oder offenbart, mit einer Maximalstrafe von 3 Jahren Freiheitsentzug belangt werden, wenn dies u.a. aus Eigennutz, zugunsten eines Dritten oder in Schädigungsabsicht geschieht.
VII. Fazit
Nach drei Jahren Bestand des GeschGehG hat die Rechtsprechung den von dem Gesetz gezogenen Schutz umfassend fallbezogen abgegrenzt. Inhaber von Geschäftsgeheimnissen sind gehalten, den vom Gesetz angebotenen rechtlichen Schutz in eigenen angemessenen, risikogerechten Maßnahmen zur tatsächlichen Wirklichkeit werden zu lassen.
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.
[1] Die Regelungen des GeschGehG sind an die Stelle des früheren § 17 UWG getreten.
[2] BGBl I 2019, 466.
[3] Naber/Peukert/ Seeger, Arbeitsrechtliche Aspekte des Geschäftsgeheimnisgesetzes, NZA 2019, 583; Ohly, Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441; Richter, Das Geschäftsgeheimnisgesetz und dessen Ausstrahlung in das Arbeitsrecht; NJW 2019, 2349; Leister, „Angemessene Geheimhaltungsmaßnahmen“ – Handlungsbedarf in der Praxis durch Neudefinition des Geschäftsgeheimnisbegriffs, GRUR-Prax 2019, 75; Maaßen, „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352.
[4] BVerwG, Urt. v. 17.06.2020 – 10 C 22/19.
[5] LAG Düsseldorf, Urt. v. 03.06.2020 – 12 SaGa 4/20 Rz. 80.
[6] ArbG Hamburg, Urt. v. 01.07.2021 – 4 Ca 17/21.
[7] Gesetzesbegründung, BT-Drs. 19/4724, S. zu § 1 Abs. 3.
[8] Zu ersten Urteilen und Erfahrungen: GRUR, Bezirksgruppe West v. 22.11.2021: http://www.grur.org/uploads/tx_meeting/2021-11-22-GRUR-Vortrag-Maa%C3%9Fen-PPP.pdf
[9] BVerwG, Beschl. v. 05.03.2020 – 20 F 3.19
[10] Vgl. LAG Köln, Urt. v. 02.12.2019 – SaGa 20/19.
[11] Siehe die Aufstellung bei IHK Stuttgart; Der Schutz von Geschäftsgeheimnissen: https://www.ihk.de/stuttgart/fuer-unternehmen/rechtund-steuern/datenschutzrecht/der-neue-schutzb-von-geschaeftsgeheimnissen-4509628.
[12] LAG Düsseldorf, Urt. v. 03.06.2020 – 12 Sa 4/20.
[13] OLG Düsseldorf, Urt. v. 11.03.2021 – 15 U6/20.
[14] BVerwG, Beschl. v. 05.03.2020 – 20 F 3.19.
[15] LAG Baden-Württemberg, Urt. v. 18.08.2021 – 4 SaGa 1/21 Rz. 28.
[16] Vgl. OLG Koblenz, Urt. v. 12.07.2021 – 9 U 1382/13.
[17] Nach LAG Düsseldorf, Urt. v. 03.06.2020 – 12 SaGa 4/20 können auch private Aufzeichnungen eines Arbeitnehmers über Kundenbesuche und Kundendaten Geschäftsgeheimnisse sein ebenso wie Kundenlisten mit Kundendaten und Abs.mengenaufzeichnungen.
[18] Österreichischer Oberster Gerichtshof, Beschl. v. 10.12.2020 – 4Ob182/20y.
[19] ArbG Aachen, Urt. v. 13.01.2022 – 8 Ca 1229/20.
[20] LAG Düsseldorf, Urt. v. 03.06.2020 – 12SaGa 4/20.
[21] OLG Schleswig, Urt. v. 28.04.2022 – 6 U 39/21.
[22] LAG Baden-Württemberg, Urt. v. 18.08.2021 – 4 SaGa 1/21.
[23] Vgl. Piltz, in: Gola, DS-GVO, 2. Aufl., Art. 24 Rn. 31; Hartung, in: Kühling/Bucher, DS-GVO, 2. Aufl., Art. 24 Rn. 13 ff.
[24] OLG Düsseldorf, Urt. v. 11.03.2021 – 15 U 6/20, Rz. 64.
[25] Siehe die Aufstellung bei IHK Stuttgart; Der Schutz von Geschäftsgeheimnissen
[26] OLG Stuttgart, Urteil vom 08.10.2015 – 2 U 25/15.
[27] Gesetzesbegründung, BT-Drs. 1947, S. 21; VI Abschn. 4 b.
[28] Vgl. im Einzelnen bei Gola, Handbuch Beschäftigtendatenschutz, 8. Aufl., Rn. 2571.