Wann sind Geheimhaltungsmaßnahmen angemessen?

#Geschäftsgeheimnisse, #Richtlinie zum Schutz von Geschäftsgeheimnissen (EU) 2016/943, #Art. 2 (1), #Angemessene Geheimhaltungsmaßnahmen

Schutz nach dem Geschäftsgeheimnisgesetz kann nur beanspruchen, wer „den Umständen entsprechende angemessene Geheimhaltungsmaßnahmen“ ergriffen hat. Nur dann nämlich kann es sich bei der betreffenden Information um ein Geschäftsgeheimnis im Sinne von Art. 2 Nr.1 der Richtlinie zum Schutz von Geschäftsgeheimnissen handeln. Wer sich also auf Geheimnisschutz berufen möchte, muss zunächst einmal darlegen und beweisen können, dass er die betreffende Information durch objektive und angemessene Geheimhaltungsmaßnahmen geschützt hat.

Was darunter zu verstehen ist, ist auch drei Jahre nach Inkrafttreten des Geschäftsgeheimnisgesetzes noch immer wenig geklärt, wie das OLG Schleswig jüngst in einer Entscheidung hierzu noch einmal festgestellt hat (OLG Schleswig, Urteil vom 28.04.2022 – 6 U 39/21). Eine pauschale Aussage, welche Maßnahmen für welche Informationen als angemessen angesehen werden können, kann jedenfalls nicht getroffen werden. Vielmehr bleibt viel Spielraum für die Einzelbeurteilung, sodass es – wie so oft – auf die Umstände des Einzelfalls ankommt. Analysiert man die einschlägige Rechtsprechung der vergangenen Jahre zu diesem Gesichtspunkt so ergibt sich – sehr vereinfacht dargestellt – folgendes Bild: Einerseits bedarf nicht jede Information eines maximalen Schutzes; das Gesetz verlangt keinen „perfekten Schutz“. Auch dürfen die Anforderungen an die praktische Wirksamkeit von Maßnahmen nicht überspannt werden. So darf beispielsweise der Geheimnisinhaber im Grundsatz darauf vertrauen, dass seine Mitarbeiter und Geschäftspartner sich rechtstreu verhalten und die Geheimhaltungspflichten einhalten, die ihnen auferlegt wurden. Andererseits haben die Gerichte in vielen Fällen die von den Inhabern getroffenen Geheimhaltungsmaßnahmen als nicht angemessen erachtet. Mit dramatischen Folgen: Bedeutet das unter Umständen den unwiederbringlichen Verlust des Geheimnisses! Wenn man eine Faustregel aus den bislang ergangenen Entscheidungen ableiten will, so könnte diese lauten: Je wichtiger das Geheimnis und je höher die Risiken, desto größere Anstrengungen muss das Unternehmen zum Schutz des betreffenden Geheimnisses unternehmen. Dabei müssen die Geheimhaltungsmaßnahmen aber stets praktikabel für das jeweilige Unternehmen bleiben; das Geheimnisses muss sinnvoll nutzbar bleiben. Es ist also nicht unbedingt erforderlich, die „Kronjuwelen“ des jeweiligen Geheimnisinhabers in einem Tresor zu verschließen, wenn es sich etwa um Kundendaten handelt, die tagtäglich bestimmten Mitarbeitern zugänglich sein müssen.

In der Praxis zeigt sich, dass viele Unternehmen bis heute keinerlei Konzept zum Schutz ihrer Geschäftsgeheimnisse entwickelt haben oder die bestehenden Konzepte den hohen Standards der Rechtsprechung nicht genügen. Doch selbst wenn ein Schutzkonzept einmal implementiert ist, ist es damit nicht getan. Dieses bedarf fortlaufender Überprüfung und ggf. Anpassung. Es wird dabei häufig übersehen, dass die Inhaber im Streitfall die Beweislast dafür tragen, ein solches Konzept implementiert und im Alltag auch gelebt zu haben. Das setzt eine sehr sorgfältige Dokumentation der Geheimhaltungsmaßnahmen voraus. Um dies an einem Beispiel zu verdeutlichen: Es wird im Streitfall ggf. nicht reichen, dazulegen, dass regelmäßig Mitarbeiterschulungen abgehalten wurden. Der Inhaber muss auch die dazugehörigen Details vortragen und belegen können.

Was ist also zu tun, wenn es im Unternehmen bislang kein Schutzkonzept gibt oder dieses schon lange nicht mehr auf dem Prüfstand war?

Ausgangspunkt ist stets eine umfassende Bestandsaufnahme: Welche Informationen gibt es im Unternehmen und welche sollen oder müssen geschützt werden, um im Wettbewerb die Nase vorn zu behalten. Sodann bietet es sich an, die zu schützenden Informationen nach ihrer Bedeutung für den Geschäftsbetrieb des Unternehmens zu kategorisieren, denn – wie eingangs erläutert – die Kronjuwelen eines Unternehmens bedürfen, je nach Einzelfall und Praktikabilität, eines anderen / höheren Schutzes als Informationen mit niedrigerem Schutzbedarf. Es ist also zu fragen, um was für Informationen es sich handelt, welchen wirtschaftlichen Wert diese haben (bspw. im Hinblick auf dessen Entwicklungskosten), für welche Tätigkeit / Geschäftsfeld diese benötigt werden und welche Bedeutung sie bzw. ihre Geheimhaltung für das Unternehmen haben. Zuletzt kommt es auch auf die Größe des Unternehmens und seine wirtschaftliche Leistungskraft an. Schließlich sind, je nach Schutzbedarf der einzelnen Information, mehr oder weniger weitreichende technische (z. B. sichere Passwörter, Verschlüsselung der Kommunikation, eindeutige Kennzeichnung von geheimhaltungsbedürftigen Informationen), organisatorische (z. B. Einführung eines strikten „need-to-know“-Prinzips, Zugangs- und Zugriffsbeschränkungen, Installation von Alarmanlagen, Firewalls, Verbot zur Nutzung privater Speichermedien; Implementierung eines Compliance-Systems) sowie vertragliche Maßnahmen (z. B. Vertraulichkeitsvereinbarungen mit Mitarbeitern und Vertragspartnern; Allgemeine Richtlinien und Anweisungen) zum Schutz der betreffenden Information zu treffen. Auch hier steckt der Teufel aber mal wieder im Detail, wie die Rechtsprechung zu „Catch-All-Klauseln“ in Arbeitsverträgen eindrücklich zeigt.

Die hohen Anforderungen, die Gerichte zuletzt an die „Angemessenheit“ der Geheimhaltungsmaßnahmen gestellt haben, stellen viele Unternehmen in der Praxis vor große Probleme und gefährden nicht selten eine erfolgreiche gerichtliche Durchsetzung der Geheimhaltungsinteressen des eine Verletzung geltend machenden Inhabers. Dies ist dann besonders ärgerlich, wenn sich im Vorhinein getroffene, vertragliche Maßnahmen (etwa zu weite und damit unwirksame Vertraulichkeitsklauseln in Arbeitsverträgen) als unwirksam herausstellen und dies auf den gesetzlichen Schutz „durchschlägt“; das Unternehmen seine Ansprüche am Ende also weder auf Vertrag noch auf Gesetz stützen kann. Es gibt aber auch hier keinen „Automatismus“: Eine unwirksame Verschwiegenheitsklausel führt nicht stets dazu, dass die getroffenen Geheimhaltungsmaßnahmen insgesamt als unzureichend anzusehen wären (womit ein Geheimnisschutz nicht bestünde), wie das OLG Schleswig in seiner oben genannten Entscheidung klargestellt hat. Vielmehr kommt es dann für die Geheimnisschutz entscheidend darauf an, welche weiteren Maßnahmen das betreffende Unternehmen getroffenen hat, um seine Geschäftsgeheimnisse zu schützen (so auch ArbG Aachen v. 13.01.2022 - 8 Ca 1229/20, wir berichteten). Klar ist, dass das Geschäftsgeheimnisgesetz den Handlungsdruck auf die Unternehmen, ihre Geschäftsgeheimnisse möglichst durch ein Bündel von Maßnahmen zu schützen, die sorgfältig zu dokumentieren sind, massiv erhöht hat. Andernfalls droht der unwiederbringliche Verlust des unternehmenseigenen Know-hows.