Geschäftsgeheimnisschutz bei Techtransaktionen

Ein wirksamer Geschäftsgeheimnis- und Know-how-Schutz ist der Kern jeder Techtransaktion. Unternehmenstechnologien, technisches Know-how zu Algorithmen, Verfahren und Konstruktionen genauso wie Kenntnisse von Fertigungen und Materialien stellen wesentliche Unternehmenswerte eines Technologieunternehmens dar. Ihr Schutz sollte Hauptanliegen des Verkäufers sein, der dem Käufer im Rahmen der Due Diligence tiefe Einblicke in den Geschäftsbetrieb der Zielgesellschaft gewährt, ohne die Sicherheit zu haben, dass es zum erfolgreichen Abschluss der Transaktion kommt. Gleichzeitig liegt es im Interesse des Käufers, dass die wesentlichen Assets des Zielunternehmens vor fremdem Zugriff und Betriebsspionage sicher sind und ihm nach der Transaktion uneingeschränkt zur Verfügung stehen. Mit dem Inkrafttreten des Geschäftsgeheimnisgesetzes im April 2019 sind die Anforderungen an einen wirksamen Geheimnisschutz deutlich gestiegen, was durch erste Gerichtsentscheidungen bestätigt wurde. Die internationale Milliarden-Schadensersatzklage von General Electric gegen Siemens Energy Anfang des Jahres wegen unerlaubter Nutzung fremder Geschäftsgeheimnisse hat das Thema weiter in den Fokus gerückt.

Anforderungen an wirksame Schutzmaßnahmen nach dem Geschäftsgeheimnisgesetz

Ohne angemessene Geheimhaltungsmaßnahmen sind Geschäftsgeheimnisse jetzt nicht mehr geschützt. Daneben stellt das Gesetz einschneidende Haftungsregeln auf. Der zentrale Begriff des Gesetzes, das Geschäftsgeheimnis, ist dabei definiert als (i) eine geheime Information, die wirtschaftlichen Wert besitzt, (ii) durch angemessene Geheimhaltungsmaßnahmen gesichert ist und (iii) bei der ein berechtigtes Interesse an der Geheimhaltung besteht. Dabei kommt dem Erfordernis der „angemessenen Geheimhaltungsmaßnahmen“ die größte Bedeutung zu. Erforderlich ist eine Einzelfallabwägung unter Berücksichtigung u.a. von Bedeutung des zu schützenden Know-hows, Wert oder Entwicklungskosten, Abgrenzung und Kennzeichnung innerhalb des Unternehmens und Größe der Gesellschaft. Grundsätzlich gilt: Je wichtiger und wertvoller das zu schützende Know-how ist, desto umfangreichere Geheimhaltungsmaßnahmen sind erforderlich. Dabei werden an ein Tech-Start-up geringere Anforderungen zu stellen sein als an ein gewachsenes Software-Unternehmen. Ausgangspunkt des Gesetzes ist dabei, dass gerade kein Geschäftsgeheimnis vorliegt, wenn ein Unternehmen für das eigene Know-how keine angemessenen Schutzmaßnahmen vorweisen kann. In diesem Fall besteht kein gesetzlicher Schutz.

Geeignete Know-how-Schutzmaßnahmen vor der Transaktion

In der Vorphase einer Techtransaktion sollten sich Zielunternehmen, Verkäufer und Berater eingehend mit den im Unternehmen vorhandenen Know-how-Schutzmaßnahmen befassen. Dabei sollte das im Zielunternehmen vorhandene Know-how zunächst nach Wichtigkeit und Gefährdung kategorisiert und in Schlüsseltechnologien, wichtiges Know-how und sensible Informationen eingeteilt werden. Auf Basis dieser Einteilung müssen entsprechende Schutzkonzepte umgesetzt sein. Zudem muss das Schutzkonzept auch flexibel und zukunftssicher sein, d.h. auch regelmäßig überprüft werden.

Als Schutzmaßnahmen kommt i.d.R. ein Dreiklang aus organisatorischen, technischen und rechtlichen Maßnahmen in Betracht.

• Organisatorische Maßnahmen: Einschränkung des Informationsflusses innerhalb des Zielunternehmens und Errichtung differenzierter Berechtigungssysteme; Identifikation von Angriffswegen, Überprüfung der IT-Sicherheit und Dokumentation der ergriffenen Schutzmaßnahmen; Ernennung eines Geheimnisschutzbeauftragten bei größeren Unternehmen; Schulung des Transaktionsteams zum Umgang mit dem Unternehmens-Know-how in der Due-Diligence-Phase.
• Technische Maßnahmen: Einschränkung der Zugriffsmöglichkeiten auf wesentliches Know-how durch Zutrittskontrollsysteme, Verschlüsselungstechnologien, Authentifizierungserfordernisse, Protokollierungssysteme und Firewalls; Etablierung von Zugriffsregelungen für die Due Diligence, Prüfung essentiellen Know-hows ggfs. ausschließlich auf unternehmenseigenen Systemen unter Aufsicht oder, im Falle der Bereitstellung auf fremden Systemen, nur durch vertrauenswürdige Dritte.
• Rechtliche Maßnahmen: Abschluss von speziellen Vertraulichkeitsvereinbarungen (NDA’s) mit Arbeitnehmern, die Geheimnisträger sind und mit relevanten Kooperationspartnern der Zielgesellschaft; Abschluss dementsprechender NDAs und ggf. Clean Team Agreements mit dem potentiellen Käufer und seinen Beratern im Vorfeld der Transaktion.

Auswirkungen auf Due Diligence und Transaktionsdokumentation

Geschäftsgeheimnisse sind nur solange und soweit geschützt, wie die Information nicht öffentlich verfügbar gemacht wurde oder eine Person, die rechtmäßig Kenntnis von der Information erlangt, nicht beschränkt ist bei der Erlangung des Geschäftsgeheimnisses. Entsprechende Absicherungen sind zwischen Verkäufer und Käufer daher vor der Due Diligence zu vereinbaren. Dabei bietet ein NDA grundsätzlich Schutz davor, dass der potentielle Käufer Erkenntnisse aus den offengelegten Informationen verwendet. Allerdings dürfte zweifelhaft sein, dass in einer üblicherweise generisch gehaltenen, herkömmlichen Vertraulichkeitsvereinbarung auch eine angemessene Geheimhaltungsmaßnahme gesehen werden kann. Hierfür sollte vielmehr eine konkrete Inbezugnahme jedenfalls des essentiellen, im Rahmen der Transaktion zu schützenden Know-hows erfolgen. Sofern eine konkrete Nennung der Unternehmenstechnologie dabei nicht praktikabel ist, können dynamische Verweisungen auf das Schutzgut oder auf eine bestimmte Kategorie entsprechend gekennzeichneter Informationen Verwendung finden. Zugleich sollte neben der Wahrung der Vertraulichkeit zur weiteren rechtlichen Absicherung auch die Art der Nutzung der Informationen und die Modalitäten des Zugriffs hierauf klar definiert werden. Da unter dem Geschäftsgeheimnisgesetz nunmehr auch das sogenannte Reverse Engineering legalisiert wurde, dürften Standard-NDAs hierauf ebenfalls noch anzupassen und entsprechende Rückwärtsuntersuchungen in der Vereinbarung auszuschließen sein.

Gleichzeitig bietet es sich bei besonders sensiblen oder leicht kopierbaren Informationen an, von dem Käufer die Errichtung eines Clean Teams und Abschluss eines Clean Team Agreements zu fordern. Hierdurch wird gewährleistet, dass nur ein beschränkter Personenkreis Zugriff auf die zu schützenden Informationen erhält. Zudem kann auch vereinbart werden, dass bestimmte Aspekte lediglich bei einem Vorort-Termin, unter Aufsicht der Zielgesellschaft zu prüfen sind. Dies bietet sich etwa bei dem Code Review selbstentwickelter Software an und schließt aus, dass Kopien, ggfs. unbeabsichtigt, bei einem Kaufinteressenten verbleiben. Zudem sollte die Offenlegung von Informationen abgestuft erfolgen, entsprechend der Kategorisierung der Geschäftsgeheimnisse. Informationen zum wesentlichsten Know-how sollte erst am Ende des Due-Diligence-Prozesses offengelegt werden.

Aus Käufersicht sind die Schutzmaßnahmen der Zielgesellschaft im Rahmen der Due Diligence zu überprüfen und der Garantiekatalog im SPA auf den Geschäftsgeheimnisschutz anzupassen sowie bereits erkannte Risiken in Form von Freistellungen abzubilden. Hält die Zielgesellschaft die Anforderungen an den Schutz von Geschäftsgeheimnissen entgegen der Zusicherungen im Kaufvertrag nicht ein, liegt nach der Definition des Geschäftsgeheimnisgesetzes schon kein geschütztes Know-how vor; Unterlassungs- oder Schadensersatzansprüche bei Verwendung der Unternehmenstechnologie durch Dritte wären somit ausgeschlossen. Dem Käufer verbleibt in diesem Fall zumindest ein Schadensersatzanspruch aufgrund des Garantieverstoßes.

Weitere Haftungsfragen beim Know-how-Schutz

Aus dem Gesetz ergeben sich weitere Haftungsrisiken, insbesondere gegenüber Dritten. Die im Zielunternehmen vorhandenen Schutzkonzepte sollten in der Due Diligence daher auch daraufhin untersucht werden, inwieweit einer Verletzung fremder Geschäftsgeheimnisse und etwaigen Verwendung fremden Know-hows vorgebeugt wird. Dies liegt besonders nahe, wenn die Zielgesellschaft, Forschungs- und Entwicklungsverträge oder Kooperationen mit anderen Unternehmen abgeschlossen hat. Dabei reicht ein unachtsamer Umgang des Zielunternehmens mit Know-how von Vertragspartnern aus, um Unterlassungs- und Schadensersatzansprüche auszulösen.