Die unterschätzte Gefahr – Richtiges Management von Geschäftsgeheimnissen

Akribisch ausgearbeitete Schutz- und Löschkonzepte sind im Datenschutz längst etabliert. Für Geschäftsgeheimnisse sind vergleichbare Methoden oftmals gar nicht oder nur punktuell im Einsatz. Viel zu unbedarft werden vertrauliche Informationen in Such- oder Übersetzungsmaschinen eingegeben, auf private Mailserver weitergeleitet oder – dem Mobile Working sei Dank – offen während der Zugfahrt diskutiert.

Dabei haben die Gefahren stark zugenommen, sei es durch Cyberkriminelle, die damit drohen, geheime Forschungsdaten offenzulegen oder Investigativ-Journalisten, die über Social Engineering an Unternehmensinterna gelangen. Die Angriffe sind vielfältig, der Abfluss von Know-how bleibt teils gänzlich unbemerkt. Ist das Kind erst in den Brunnen gefallen, ist Schadensbegrenzung oftmals schwierig.

Wer den Schutz des Geschäftsgeheimnisgesetzes (GeschGehG) in Anspruch nehmen will, trägt die Darlegungs- und Beweislast dafür, dass in seinem Unternehmen ein angemessenes Schutzkonzept für Geschäfts­ge­heim­nisse vorhanden ist.

Nach einem Urteil des Arbeitsgerichts Aachen (ArbG Aachen, Urteil vom 13. Januar 2022, Az. 8 Ca 1229/20) ist insbesondere vorzutragen

Die Klage wurde vollumfänglich abgewiesen, weil dem Kläger dieser Nachweis nicht gelungen ist. Die Berufung zum Landesarbeitsgericht Köln hatte ebenfalls keinen Erfolg (LAG Köln, Urteil vom 28. September 2022, Az. 11 Sa 128/22). Aufgrund des Vortrags der darlegungs- und beweisbelasteten Klägerin sei für die Berufungskammer nicht hinreichend plausibel nachvollziehbar, dass Kenntnisse der streitgegenständlichen Produktionsmethoden überhaupt ein Geschäftsgeheimnis darstellen.

Jedenfalls seien die vorgebrachten Sicherungsmaßnahmen unter Berücksichtigung der Umstände des Einzel­falls, insbesondere der Markstellung der Klägerin und dem wirtschaftlichen Wert der Information, nicht ausreichend. Auch die im Arbeitsvertrag vorgesehene Geheimhaltungsklausel halte den rechtlichen An­forder­ungen nicht Stand, weil ihr nicht zu entnehmen sei, welche Betriebs – und Geschäftsgeheimnisse erfasst seien.

Ein strukturiertes Geheimnis-Schutzkonzept muss zunächst identifizieren, welches Know-how sich wo im Unternehmen befindet. Dabei haben sich in der Rechtsprechung zwischenzeitlich drei Schutzstufen etabliert:

Für all diese gilt es, konkrete Schutzmaßnahmen festzulegen, und zwar in „alle Richtungen“: gegenüber Mit​­ar­bei­tern, gegenüber Lieferanten, gegenüber Kunden und gegenüber Dritten, insbesondere Wettbewerbern oder Cyberkriminellen. Dass es sich dabei um eine Daueraufgabe handelt, sollte jedem klar sein. Sowohl der „Bestand“ an Informationen als auch die betreffenden Geheimhaltungsmaßnahmen selbst sollten regelmäßig auf Aktualität überprüft werden.

So sind allen voran Zutritts- und Zugangsbeschränkungen aufzustellen, sowohl in physischer als auch in technischer Form. Mitarbeiter müssen im Umgang mit geheimen Informationen geschult und sensibilisiert werden, Vorkehrungen zur Cybersicherheit müssen getroffen werden. Gerade Letzteres stellt die Unternehmen im Zeitalter der zunehmenden Vernetzung nahezu täglich vor neue Herausforderungen.

Ähnlich dem Datenschutzbeauftragten sollte es daher einen zentralen Verantwortlichen für Geschäftsge­​heimnisse geben. Es sollte ein Notfallplan existieren, der sicherstellt, dass im Ernstfall kurzfristig reagiert werden kann.

Daneben sollten die in rechtlicher Hinsicht bestehenden Möglichkeiten voll ausgeschöpft werden. Dabei verlassen sich Unternehmen allzu oft blind auf den Schutz ihrer Standard-Geheimhaltungsvereinbarungen. Allgemein gehaltene vertragliche Regelungen, die sich uferlos auf alle empfangenen Informationen erstrecken (sog. Catch-all-Klauseln) sind jedoch nach ständiger Rechtsprechung gerade keine angemessene Geheim­​haltungs­​maßnahme im Sinne des § 2 Nr. 1 lit. b GeschGehG – weder in Arbeitsverträgen mit den eigenen Mitarbeitern noch in Einkaufsverträgen mit Lieferanten.

Hierfür bedarf es vielmehr einer auf den konkreten Einzelfall zugeschnittenen und transparenten Regelung. Auch sollte sich der Kreis der Empfänger – wie man es in Vertraulichkeitsvereinbarungen oft liest – nicht pauschal auf jedes verbundene Unternehmen einer Partei erstrecken. Andernfalls kann die Frage eines Gerichts, an wen eine konkrete Information weitergeben wurde, möglicherweise gar nicht beantwortet werden.

Schutzlücken an der ein oder anderen Stelle „rächen“ sich sofort: Das Oberlandesgericht Düsseldorf hat prozessuale Geheimhaltungsmaßnahmen jüngst schon deshalb abgelehnt, weil die Parteien eine vorge­​richtliche Vertraulichkeitsvereinbarung nur mit befristeter Laufzeit abgeschlossen hatten (OLG Düsseldorf, Beschluss vom 3. November 2022, Az. 2 U 102/22). Rechtliche Maßnahmen sollten immer auch die IT-Nutzung und etwaige Home-Office-Regelungen der eigenen Mitarbeiter erfassen.

Am Ende nützt aber auch das beste Schutzkonzept nichts, wenn es nur auf dem Papier besteht. So hat ein Unternehmen etwa aktiv auch dafür zu sorgen, dass die Nutzung von fremden Geschäftsgeheimnissen, die ein neuer Mitarbeiter von seinem früheren Arbeitgeber mitbringt, unterbleibt oder, dass bei der pflichtbewussten Erfüllung der Dokumentations- und Berichtspflichten nach dem neuen Lieferkettensorgfaltspflichtgesetz nicht mehr offengelegt wird als nötig (siehe insofern die ausdrückliche Ausnahme für Geschäftsgeheimnisse in § 10 Abs. 4 LkSG).

Der Verlust von Unternehmens-Know-how aufgrund ungenügender Schutzmaßnahmen kann eine persönliche Haftung der Leitungsorgane auslösen. Geschäftsführer und Vorstände haben im Rahmen ihrer Organisations­​pflichten dafür Sorge zu tragen, ein angemessenes Geschäftsgeheimnis-Compliance-Managementsystem zu errichten.

Inwiefern die Nicht-Vornahme angemessener Schutzmaßnahmen zudem eine Strafbarkeit nach § 85 GmbHG bzw. § 404 AktG auslöst, ist in Literatur und Rechtsprechung noch nicht abschließend geklärt.

Effektiver und lückenloser Schutz von Geschäfts- und Betriebsgeheimnissen ist Grundvoraussetzung für wirtschaftlichen Erfolg. Das Geschäftsgeheimnisgesetz fordert aktive Mitwirkung der Unternehmen in Form eines Geschäftsgeheimnis-Schutzkonzepts. Die fortschreitende Digitalisierung zwingt die Unternehmen dazu, dieses Konzept stetig zu überwachen und an neue Herausforderungen anzupassen. Die aktuelle Rechtsprechung zeigt, dass, wer hier nicht wachsam ist, leer ausgeht.