Dr. Reinhard Nacke
Anwaltszertifikat Handels- und Gesellschaftsrecht 25/2017 Anm. 1
Geschäftsgeheimnisse werden noch geheimer?
Die EU Richtlinie 2016/943
Artikel drucken
Einleitung
Unternehmen verfügen mehr denn je, unabhängig von Größe und Bedeutung, fast immer über Geschäftsgeheimnisse. Diese zu wahren und vor der Konkurrenz zu schützen, ist eine unweigerliche Voraussetzung um im Wettbewerb bestehen zu können. Selbst ein Bäcker hat bzgl. seiner begehrten Zimtschnecke ein bestimmtes Rezept, das ihm einen Wettbewerbsvorteil gegenüber Konkurrenten sichert. Der Vertriebshändler hat einen Kundenkreis und detaillierte Kenntnisse über deren Bedarf. Der Hersteller eines technischen Gerätes hat Kenntnisse über die Einzelheiten des Herstellungsprozesses und der dabei verwendeten Materialien und Eigenschaften. Allen gemeinsam ist, dass sie ein Interesse daran haben, dass Trittbrettfahrer keine Kenntnisse von den Geheimnissen erlangen.
Die Rechtslage
I. Objektive Darstellung der bisherigen Rechtslage
Die Frage, die die Rechtswissenschaft und Judikatur, aber insbesondere auch den tatsächlich Betroffenen beschäftigt, ist, wie man seine Geschäftsgeheimnisse schützen kann. Die Gefahr, dass Dritte an Geschäftsgeheimnisse gelangen, ist heute so vielfältig wie noch nie.
Die größten Gefahren lauern in folgenden Bereichen
– Reverse Engineering
– unbedachtes Ausplaudern durch Arbeitnehmer
– Informationsverkauf durch Arbeitnehmer
– den Geschäftskontakt, d.h. z.B. durch eine Lieferbeziehung oder eine Due-Diligence
– Wirtschaftsspionage.
Einer Studie aus 2014 zur Folge richtet allein die – erst einmal exotisch klingende – Betriebsspionage einen Schaden von jährlich 11,8 Milliarden Euro an (1).
Der Deutsche Gesetzgeber hat sich dieses Problems bisher kaum angenommen (2). Bezeichnenderweise finden sich in der 76. Auflage des Palandt von 2017 nicht einmal die Stichworte „Betriebsgeheimnis“ oder „Geschäftsgeheimnis“ oder „Wirtschaftsspionage“. Daher ist die Bezeichnung als Stiefkind gut nachvollziehbar (3).
Schutz erlangt das Geschäftsgeheimnis bisher zum einen strafrechtlich über die §§ 203, 204 StGB, welche das Verletzen von Privatgeheimnissen und die Verwertung fremder Geheimnisse unter Strafe stellen, jedoch als Sonderdelikt nur die dort abschließend aufgezählten Berufs- oder Personengruppen erfassen (4).
Etwas weiter ist der strafrechtliche Schutz durch § 17 UWG ausgestaltet. Nach § 17 UWG macht sich strafbar, wer sich ein Betriebsgeheimnis unbefugt verschafft, z.B. durch Wegnahme, Fotografie, Kopie, aber auch durch „Reverse Engineering“, wenn dieses mit erheblichen Mühen und Kosten verbunden ist (5). Der mutmaßliche Täterkreis ist nicht eingeschränkt, umfasst also auch Arbeitnehmer. Zivilrechtlich können derartige Handlungen dann Schadensersatzansprüche aus den §§ 18, 19 UWG auslösen (6). In anderen Ländern unterschied sich die Rechtslage mangels internationaler Vorgaben naturgemäß recht deutlich.
Die bisherige zivilrechtliche Lage in der EU war also von Zersplitterung und unterschiedlichen Rechtsstandards geprägt (7), so dass unterschiedliche Schutzniveaus der Mitgliedstaaten den Wettbewerb verzerrten und Umgehungen erleichterten. Um dieser unbefriedigenden Rechtslage Herr zu werden, hat die EU-Kommission die Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung erlassen (Richtlinie (EU) 2016/943) (8). Für die Umsetzung der Richtlinie wurde den Mitgliedsstaaten ein Zeitraum von 24 Monaten bis Juni 2018 auferlegt.
II. Wesentliche Änderungen aus anwaltlicher Sicht
1. Neue Definition des Geschäftsgeheimnisses; Folgen
Es ist die lang ersehnte einheitliche Definition des Geschäftsgeheimnisses verabschiedet worden (9). Tatsachen können gemäß Art. 2 der Richtlinie nach wie vor nur dann Geschäftsgeheimnis sein, wenn sie nicht allgemein bekannt oder allgemein zugänglich sind und wenn sie einen kommerziellen Wert haben. Jedoch verlangt Art. 2 Nr.1 Buchst. c der Richtlinie jetzt zusätzlich, dass die Person, die die Kontrolle über das Geschäftsgeheimnis besitzt, angemessene Geheimhaltungsmaßnahmen ergreift. Dieser Aspekt stellt eine wesentliche Änderung zur bisherigen deutschen Rechtslage dar und sollte daher in jeder zukünftigen Beratung seinen Einzug finden.
Bisher war nach nationalem deutschen Recht der subjektive Wille zur Geheimhaltung ausreichend (10). Dieser musste sich zwar objektiv manifestieren, angemessene Geheimhaltungsmaßnahmen waren jedoch nicht gefordert (11). Was nun im Einzelfall angemessene Geheimhaltungsmaßnahmen sind wird die Justiz zu klären haben (12). Entscheidendes Kriterium wird dabei die Schutzwürdigkeit des Geschäftsgeheimnisses sein. Jedoch werden, wie aus dem Erwägungsgrund 9 der Richtlinie folgt, auch keine unerfüllbaren Anforderungen gestellt werden, denn übertriebene, das Kapital bindende Maßnahmen sollen nicht verursacht werden (13).
Den Unternehmen könnten folgende Maßnahmen empfohlen werden (14). Zunächst sollte der Unternehmer seine Geschäftsgeheimnisse identifizieren. Das dann erarbeitete Konvolut sollte nach dem Grad der Schutzbedürftigkeit bewertet und kategorisiert werden. Ein abgestuftes Sicherheitssystem sollte erarbeitet werden. Die Dokumentation der vorangegangenen Schritte sollte erfolgen. Bei der Identifizierung von Geschäftsgeheimnissen kann den Unternehmen empfohlen werden, auf in der Vergangenheit bereits aufgetauchte Problemfelder besonders einzugehen.
Aus der Wortwahl von Art. 2 Nr. 1 Buchst. c der Richtlinie ergibt sich zunächst der Sinn einer Bewertung und Kategorisierung nach dem Kriterium der Schutzwürdigkeit. Denn bei als gleich schutzwürdig eingestuften Geheimnissen sind auch die den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen gleichlaufend.
In der Beurteilung der Wichtigkeit und Schutzwürdigkeit der einzelnen Geheimnisse sollte die tatsächliche Bedeutung der Geheimhaltung, also sowohl der objektive Wert als auch die spezifischen Merkmale des Geheimnisses, einfließen. Mangels Anhaltspunkten in den Erwägungsgründen oder in der Richtlinie selbst könnte man sich am BDSG, TKG oder dem IT-Sicherheitsgesetz orientieren (15). Alternativ könnte auch eine Anlehnung an die Geheimhaltungsstufen der Verwaltung vorgenommen werden, etwa in Anlehnung an § 4 Abs. 2 SÜG in Form von „Streng geheim“, „Geheim“, „Verschlusssache und vertraulich“, „Verschlusssache – nur für den Dienstgebrauch“.
Nach Erledigung der ersten beiden Schritte sollte das Unternehmen ein individuell abgestuftes Schutzsystem erarbeiten. Mit steigender Wichtigkeit der Kategorie muss das Schutzsystem erhöhte Anforderungen bereithalten, um noch den Anforderungen der Richtlinie gerecht zu werden (16). Das individuelle System muss stets den speziellen Risiken des Unternehmens Rechnung tragen. Um diese genau zu erfassen, werden die betroffenen Abteilungen des Unternehmens zusammenarbeiten müssen.
Bei einer hohen Fluktuation auf der Arbeitnehmerseite ist etwa ein besonderes Augenmerk auf Verschwiegenheitsvereinbarungen zu legen. Beim Ausscheiden sollten mit dem Arbeitnehmer „Exit Interviews“ durchgeführt und dokumentiert werden (17). Bei Unternehmen, die häufigen Kundenkontakt haben, müssen spezielle Maßnahmen zur Vermeidung der Ausspähung vorgenommen werden. Handelt es sich um Mandanten aus der IT-Branche mit wenigen Mitarbeitern, sollte das Hauptaugenmerk auf die digitale Informationstechnik gelegt werden.
Die in Betracht kommenden Schutzmaßnahmen lassen sich generell in drei Gruppen unterteilen. Es kann zwischen organisatorischen, vertraglichen und faktisch, technischen Schutzmaßnahmen unterschieden werden.
Als organisatorische Maßnahmen kommen solche in Betracht welche die Zirkulation der Geheimnisse einschränken. So können Informationen nur noch den Personen zur Verfügung gestellt werden die diese tatsächlich benötigen. Dieser Personenkreis wäre anschließend bezüglich des Umgangs mit den Informationen zu sensibilisieren (18). Des Weiteren kann neben diesen „Need to know“-Maßnahmen eine Travel Policy eingerichtet werden (19). Diese empfiehlt sich insbesondere bei global agierenden Unternehmen, die öfter einer Zollprüfung technischer Geräte bei der Ein- und Ausreise unterliegen. Diesen Unternehmen ist auch die Gefahr des Outsourcings jeglicher Prozesse, insbesondere von sensiblen technischen Vorgängen und der damit erhöhten Kenntnisnahmemöglichkeit Dritter, nahezulegen.
Vertragliche Schutzmaßnahmen können sowohl gegenüber den eigenen Arbeitnehmern als auch gegenüber Geschäftspartnern vorgenommen werden. Auch nach der Richtlinie sind weiterhin Vertraulichkeitsvereinbarungen einzuhalten. In diesen kann vereinbart werden, wem der andere die erlangten Informationen weitergeben darf (20). Da die Richtlinie die Innovationsförderung stärken will, lässt sie das „Reverse Engineering“ zu, falls dadurch nicht das geistige Eigentum verletzt wird oder ein individualvertraglicher Ausschluss, der nach Erwägungsgrund 16 der Richtlinie möglich ist (21).
Als dritter Aspekt der Schutzmaßnahmen kommen rein faktisch technische Maßnahmen in Betracht (22). Es kann beispielsweise eine technische Überwachung eingeführt, neue Verschlüsselungstechniken können installiert, der Werkseingang kontrolliert und einzelne Räume können gesichert werden. Dabei muss jedoch stets das allgemeine Persönlichkeitsrecht der jeweils Betroffenen beachtet werden, insbesondere in Form des Rechts am eigenen Bild, der Vertraulichkeit des gesprochenen Worts und der informationellen Selbstbestimmung. Es kann auch generell untersagt werden, private Hardware im Betrieb zu nutzen, um auszuschließen, dass Systeme mit Schadsoftware infiziert werden oder Informationen leicht gestohlen werden können (23). Gerade in diesem Bereich sollte das Know-how der einschlägigen Abteilung des Unternehmens zu Rate gezogen werden.
Schon die Ausführungen zeigen deutlich, dass eine neue Ausrichtung bei der Abwägung des Geheimnisschutzes Einzug gefunden hat. Die Innovationsförderung in Form eines freien Flusses von Informationen wird im Vergleich zum Geheimhaltungsschutz als grundsätzlich bedeutsamer angesehen (24). Dem einzelnen Unternehmen wird es jedoch im Allgemeinen nicht recht sein, wenn die Innovation auf Kosten seines geheimen Know-how gefördert wird. Deswegen sollte es dem neuen Verständnis durch entsprechende Schutzmaßnahmen begegnen, um so erst einmal ein Geschäftsgeheimnis zu begründen und den gesetzlichen Schutz auszulösen.
2. Whistleblowing
Nach Art. 5 Buchst. b der Richtlinie wird zukünftig das „Whistleblowing“ zulässig sein, falls dies dem öffentlichen Interesse dient, indem etwa ein Fehlverhalten aufgedeckt wird. Bisher war nach deutschem Recht nur eine Rechtfertigung in den engen Grenzen des § 34 StGB möglich (25).
3. Rechtsfolgen der Verletzung von Geschäftsgeheimnissen
In Bezug auf die Rechtsfolgen eines Verstoßes sieht die Richtlinie gegenüber dem deutschen Recht eine Verschärfung vor. Die Art 10 bis 15 sehen neben dem Schadensersatz auch Ansprüche auf Rückruf oder Vernichtung der rechtsverletzenden Produkte vor. Bei den Schadensersatzansprüchen wird das Gericht befugt werden, einen Pauschalbertrag im Wege einer Lizenzanalogie festzusetzen, wie dies im deutschen Recht im Rahmen des UWG bereits bisher möglich war (26). Da sich der Regelungsgehalt der Richtlinie nur auf zivilrechtliche Gesichtspunkte beschränkt, bleiben weiterhin unterschiedliche strafrechtliche Sanktionen durch die einzelnen Mitgliedstaaten möglich (27). In Deutschland ist dieser Schutz bisher sehr bescheiden (vgl. o. unter B I.)
Auswirkungen für die Praxis
Die Richtlinie wird dem Ziel, das zerstückelte Rechtsschutzsystem für Geschäftsgeheimnisse zu vereinheitlichen, gerecht. Insbesondere ist eine einheitliche Definition des Geschäftsgeheimnisses gegeben. Das neu hinzugekommene Kriterium für die Anerkennung als Geschäftsgeheimnis, nämlich die den Umständen entsprechenden vom Unternehmer ergriffenen Maßnahmen zum Schutz der geheimen Information, verursacht bei Unternehmen und Anwälten Handlungsbedarf. Quasi als Belohnung erhalten sie nach Erfüllung auf der Rechtsfolgenseite ein Plus an Rechten. Dies muss dann auch die Legalisierung des Reverse Engineering und des Whistleblowing kompensieren.
Literaturempfehlungen
Baranowski/Glaßl, Anforderungen an den Geheimnisschutz nach der neuen EU-Richtlinie,
BB 2016, 2563.
Fußnoten
1) Studie: Industriespionage 2014, S. 23, Corporate Trust, business risk & crisis management.
2) Baranowski/Glaßl, BB 2016, 2563.
3) Ann, GRUR 2007, 39.
4) Weidemann in: BeckOK StGB § 203 Rn. 14; Weidemann in: BeckOK StGB § 204 Rn. 4.
5) Köhler in: Köhler/Bornkamm/Feddersen, § 17 UWG, Rn. 33.
6) Ohly in: Ohly/Sosnitza UWG § 17 Rn. 51; Köhler in: Köhler/Bornkamm/Feddersen, UWG § 17 Rn. 52f.
7) Baranowski/Glaßl, BB 2016, 2563.
8) Richtlinie (EU) 2016/943 des europäischen Parlaments und des Rates vom 08.06.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
9) Gaugenrieder, BB 2014, 1987 f.
10) Osterrieth, Patentrecht, Rn. 483ff; Brammsen in: MünchKomm Lauterkeitsrecht, Rn. 19.
11) Kalbfus, GRUR 2016, 1009, 1010.
12) Harte-Bavendamm in: Harte-Bavendamm/Henning-Bodewig, 4. Aufl. 2016, UWG § 17 Rn. 1b.
13) Ohly, GRUR 2014, 1, 3.
14) Ähnlich bereits Kalbfus, GRUR 2017, 392 f.
15) Heinzke, CCZ 2016, 179, 182.
16) Gregor, ZCG 2016, 263 ff.
17) Freckmann/Schmoll, BB 2017, 1780, 1782 f.; Gregor, ZCG 2016, 266.
18) Gregor, ZCG 2016, 265.
19) Baranowski/Glaßl, BB 2016, 2563, 2569.
20) Freckmann/Schmoll, BB 2017, 1780, 1782 f.; Gregor, ZCG 2016, 265.
21) Ohly in: Ohly/Sosnitza UWG § 17 Rn.26a.
22) Stellungnahme des Max-Planck-Instituts für Innovation und Wettbewerb, GRUR Int. 2014, 556f.
23) Brammsen, ZIP 2016, 2193, 2197 f.; Heinzke, CCZ 2016, 179, 182.
24) Baranowski/Glaßl, BB 2016, 2563, 2565.
25) Kalbfus, GRUR 2016, 1009, 1015.
26) Köhler in: Köhler/Bornkamm/Feddersen, UWG § 9 Rn. 1.42.
27) Erwägungsgrund 10 der Richtlinie