Geheimnisschutz

Geheimnisschutz – Die kleine Schwester des Datenschutzes

Das Thema Datenschutz beschäftigt die Geschäftswelt inzwischen seit fast 2 Jahren. Die seit 29.01.2019 – ebenfalls nun einem Jahr – umgesetzte Geheimnisschutz-Richtlinie (EU 2016/943), quasi die kleine Schwester der DSGVO, würde vermutlich für mindestens ebensoviel Aufruhr sorgen, stünde sie nicht beharrlich im Schatten der großen Verordnung. 

Die Richtlinie 2016/943 des europäischen Parlaments und des Rates vom 08.Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (kurz: Geheimnisschutz-Richtlinie) wurde per 29. Jänner 2019 in den §§ 26 a bis j UWG im österreichischen Recht umgesetzt. Damit wurde faktisch eine neue Art von Schutzrechten und rechtliche Durchsetzungsmechanismen geschaffen. 

Die Regelung betreffend den Geheimnisschutz ist meines Erachtens eine konsequente Fortführung der gesetzlichen Bestimmungen bezüglich Patent-, Marken- oder Gebrauchsmusterrechten, da bislang ja auch im Entscheidungsprozess “Patentanmeldung ja – nein?” die Geheimhaltung der Informationen als möglicherweise geeignetere Lösung für den Erhalt des Wettbewerbsvorsprungs in Erwägung gezogen wurde.

Gesetzliche Neuregelung zum Geheimnisschutz

In den Erläuterungen des Parlaments zur Regierungsvorlage für die UWG-Novelle 2018 wird einleitend erörtert, dass Ziel der Richtlinie (EU) 2019/943 klar eine Abschreckung vor bzw. die Bekämpfung von Industriespionage und Geheimnisverrat sei. Durch das Vorsehen von zügigen und effektiven Maßnahmen zur unverzüglichen Beendigung eines Verstoßes gegen das Geschäftsgeheimnis sowie die Schaffung entsprechender Rechtsbehelfe, sollte ein höheres Schutzniveau geschaffen werden. Dies trifft natürlich einen Nerv, stellen doch Geschäftsgeheimnisse (Entwicklungsergebnisse, geheime Rezepturen, besondere Verfahren, Kundendaten, Geschäftsstrategien, etc.) einen wesentlichen Wert für ein Unternehmen dar, indem diese Informationen einen Vorteil im Wettbewerb bieten. 

Was ist ein Geschäftsgeheimnis?

Mit der Richtlinie und ihrer Umsetzung in nationales Recht wurde erstmals eine einheitliche, europaweit gültige Definition des Begriffes des Geschäftsgeheimnisses geschaffen. § 26b UWG definiert daher nunmehr – in Umsetzung des Art. 2 der Geheimnisschutzrichtlinie -, dass Informationen dann als Geschäftsgeheimnis gelten, wenn sie 

  • geheim sind, weil sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit der Art von Informationen zu tun haben, allgemein bekannt oder ohne weiteres zugänglich ist,
  • von kommerziellem Wert sind, weil sie geheim sind, UND
  • Gegenstand von den Umständen entsprechend angemessenen Geheimhaltungsmaßnahmen durch die Person sind, welche die rechtmäßige Verfügungsgewalt über diese Informationen ausübt.

Zusammengefasst spricht man also nunmehr dann von Geschäftsgeheimnissen iSd Gesetzes, wenn diese geheim und aufgrund dieser Geheimhaltung von kommerziellem Wert für den Inhaber der Geschäftsgeheimnisse sind. Darüberhinaus müssen Geschäftsgeheimnisse durch geeignete (den Umständen angemessene) Geheimhaltungsmaßnahmen abgesichert werden.

Durchsetzung von Ansprüchen aus der Verletzung von Geschäftsgeheimnissen

Bis zur UWG-Novelle 2018 wurde aus vielfachen Gründen oftmals von einem klagsweisen Vorgehen bei Verstößen gegen Geheimhaltungsvereinbarungen Abstand genommen. Zum einen galt es als eher schwierig, einen Schaden aus der Verletzung konkret nachweisen zu können. Zum anderen war auch der Nachweis des Verschuldens durchaus mit Schwierigkeiten behaftet.

Nicht selten wurde die gerichtliche Durchsetzung etwaiger Ansprüche auch durch die Überlegung verhindert, dass durch die in einem Gerichtsverfahren bestehenden Akteneinsichtsrechte bzw. die Öffentlichkeit der Verfahren, die eigentlich geheime Information weiter verbreitet. Damit würde auch der Wettbewerbsvorteil weiter verringert. 

Allen diesen Bedenken werden in den gesetzlichen Regelung nunmehr, wie ich finde, durchaus berücksichtigt:

Verschulden und Schaden bei Geheimnisschutz-Verletzungen

§ 26c UWG definiert, wann eine Nutzung, der Erwerb oder die Offenlegung von Geschäftsgeheimnissen rechtswidrig ist. Dies, zusammen mit dem Kriterium der zu treffenden Geheimhaltungsmaßnahmen, wird nun gegebenenfalls auch den Verschuldensnachweis vereinfachen. 

§ 26e UWG beinhaltet darüberhinaus maßgebliche Vereinfachungen im Hinblick auf den Nachweis bzw. die Bestimmung des Schadens. So sieht das Gesetz nun vor, dass der Inhaber eines Geschäftsgeheimnisses denjenigen, der dieses rechtswidrig erwirbt, nutzt oder offenlegt auf Unterlassung, Beseitigung und bei Verschulden auch auf Ersatz des entstandenen Schadens, inklusive etwaiger durch die Rechtsverletzung erzielter Gewinne, klagen kann. 

Der Gesetzgeber (bzw. “die EU”) ging sogar so weit (in § 26e Abs 2 UWG), quasi eine Auffangregelung zu schaffen. Danach kann der Geschädigte (Inhaber des Geschäftsgeheimnisses) – unabhängig von einem tatsächlich nachgewiesenen Schaden – den Betrag (pauschal), der ihm bei ordnungsgemäßer Veräußerung seines Geschäftsgeheimnisses gebührt hätte (zB Lizenzgebühren), geltend machen. Obwohl vermutlich in der Praxis auch die Bestimmung dieses Betrages aufwändig sein wird, gibt es nun jedoch zumindest einen Anhaltspunkt auf die Höhe des mindestens gebührenden Schadenersatzes – und das ist mehr als vorher.

Spannend finde ich persönlich auch die Tatsache, dass im Falle einer Unterlassungs- oder Beseitigungsklage – unter gewissen Umständen – das Gericht dieses Unterlassungsbegehren auf Antrag des Beklagten in einen Zahlungsanspruch – bei Fortsetzung der rechtswidrigen Nutzung – umwandeln kann. Maßgeblich ist dafür, dass der rechtswidrige Nutzer oder Offenleger erst nach Beginn seiner rechtswidrigen Handlung erfuhr oder erkennen hätte müssen, dass er das Geschäftsgeheimnis von einer ihrerseits rechtswidrig nutzenden oder offenlegenden Person erhalten hat. Der Sorgfalts- und Prüfmaßstab für den Informationsempfänger wird meines Erachtens hierdurch durchaus reduziert. 
(Der Vollständigkeit halber sei erwähnt, dass in dem Fall dem rechtswidrig Nutzenden oder Offenlegenden weiters ein unverhältnismäßig hoher Schaden durch die Beendigung der Nutzung drohen muss und die vom Gericht zugesprochene Entschädigung einen angemessenen Ersatz für den Unterlassungsanspruch darzustellen hat.)

Vertraulichkeit im Verfahren

Eine für den Kläger besonders wichtige Regelung wurde außerdem nun gesetzlich verankert:

Die Wahrung der Vertraulichkeit von Geschäftsgeheimnissen im Verlauf von Gerichtsverfahren (§ 26h UWG) sieht vor, dass behauptete Geschäftsgeheimnisse zunächst nur in dem Ausmaß offenzulegen sind, als sie zur Glaubhaftmachung, ein Geschäftsgeheimnis bzw. eine Verletzung desselben liege überhaupt vor, unerlässlich sind. Ausdrücklich ist das Gericht von Amts wegen wie auch auf Antrag dazu verpflichtet sicherzustellen (Maßnahmen zu treffen), dass der Verfahrensgegner und natürlich Dritte keine weiteren Informationen über das Geschäftsgeheimnis erhalten. 

Zusammenfassend wäre ich geneigt zu behaupten, dass die üblicherweise im Zusammenhang mit Geheimhaltungsvereinbarungen bestehenden Bedenken (schwer durchsetzbar, schwer Nachweisbar, Öffentlichkeit) durch die UWG-Novelle 2018 weitgehend entkräftet wurden.

Geheimnisschutz in der Praxis

Die Theorie in den vorhergehenden Kapiteln überblicksmäßig vorausgeschickt, erschließt sich im Folgenden spätestens, warum ich Richtlinie über den Schutz von Geschäftsgeheimnissen als die kleine Schwester des Datenschutzes bezeichne.

Geheimhaltungsmaßnahmen – organisatorisch, technisch, vertraglich

Wie bereits oben ausführlich erwähnt, wurde das Ergreifen von Geheimnisschutzmaßnahmen als Kriterium für die Klassifizierung von Information als Geschäftsgeheimnis rechtlich vorgesehen. Grundsätzlich kann man schon kritisch die Frage stellen, ob der Gesetzgeber Unternehmen tatsächlich die Ergreifung technischer und organisatorischer Maßnahmen (TOM’s) zum Schutz ihrer Geschäftsgeheimnisse, also ihres ureigensten Geschäftswerts, überhaupt vorschreiben muss. Andererseits hat er dies ja bereits in anderen Bereichen getan und habe ich auch in diesem Zusammenhang den Begriff der TOMs nicht grundlos gewählt. 

Ich sitze aktuell vielfach in Datenschutzrechtlichen Workshops, Vorträgen und Arbeitsgruppen und stelle immer wieder fest, dass auch in diesen Gremien und Gruppen eine gleichzeitige Berücksichtigung des Schutzes von Geschäftsgeheimnissen in der Diskussion kaum bis nicht erfolgt. Ich würde meinen, dass es in der (technischen) Praxis auf weiten Strecken unerheblich ist, ob es sich bei der zu schützenden und zu sichernden Information um personenbezogene Daten oder Geschäftsgeheimnisse handelt! 

Organisatorische Maßnahmen

In der Literatur wird in diesem Zusammenhang oftmals das – auch schon aus dem Datenschutz bekannte – Need-to-know-Prinzip erwähnt, in dem Berechtigungskonzepte, Rollendefinitionen und Prozesse eine nicht unwesentliche Rolle spielen. Natürlich ist es auch im Hinblick auf den Geheimnisschutz sinnvoll, Kriterien festzulegen, wann Informationen als geheim bzw. geheimhaltungswürdig klassifiziert werden und wer im Falle einer derartigen Klassifizierung Zugang zu den Informationen erhält. Schulungen, Awarenessbildung, entsprechende Richtlinien und dergleichen – Maßnahmen, welche bereits im Zuge betrieblicher Datenschutzstrategien ausführlich besprochen wurden. 

In der Praxis vermutlich schwierig umzusetzen, aber für den Geheimhaltungsprozess eigentlich essentiell, wäre zudem die Erfassung sämtlicher im Unternehmen als Geschäftsgeheimnis klassifizierter Information. Ich würde behaupten, dass man ähnlich vorgehen könnte, wie beim Erstellen des Verarbeitungsverzeichnisses und auch die für das Geheimnisverzeichnis nötigen Informationen weitgehend gleich wären.

Technische Maßnahmen

Die Implementierung technischer Maßnahmen ist ebenfalls bereits aus dem Themenkreis Datenschutz hinlänglich bekannt. Es gibt inzwischen eine Vielzahl an technischen Lösungen, die nicht nur den Schutz der personenbezogenen Daten, sondern auch den Schutz von geheimhaltungswürdigen Geschäftsgeheimnissen relativ einfach umsetzen. Verschlüsselung, standardisierte/sichere Wege der Informationsweitergabe an Externe, Lese- bzw. Öffnungsberechtigungen von Dokumenten, Remote-Löschverfahren, BitLocker, sichere Kommunikationskanäle fallen mir diesbezüglich spontan ein und es gibt sicher etliche mehr.

NDAs und Vertraulichkeitsvereinbarungen als geeignete Geheimhaltungsmaßnahmen

Tatsächlich werden auch schon vertragliche Maßnahmen als aktive Handlung im Sinne des Geheimnisschutzes  angesehen. Im Hinblick auf NDAs und Geheimhaltungsvereinbarungen mit Geschäftspartnern möchte ich jedoch erwähnen, dass diese in Zukunft wohl etwas ausführlicher gestalten werden, als dies möglicherweise bislang gehandhabt wurde. Die verbesserten Durchsetzungsmöglichkeiten bringen dies mit sich, da ein sorgfältig formuliertes NDA im Falle des Verstoßes gegen die vereinbarte Geheimhaltung den Nachweis ebendieses Verstoßes bzw. eines daraus resultierenden Schadens erleichtern sollte. 

Auch hier finde ich wieder einen Analogiepunkt im Datenschutzrecht: die Auftragsdatenverarbeitungsverträge. Diese behandeln in Wahrheit nichts anderes, als den sorgsamen, gesetzeskonformen Umgang mit den überlassenen, besonders schutzwürdigen Daten (Informationen) des Verantwortlichen – im Sinne des Geheimnisschutzes ist “Verantwortlicher” nun der Inhaber des Geschäftsgeheimnisses, der Empfänger der “Auftragsdatenverarbeiter”. TOMs sind Gegenstand jedes Auftragsdatenverarbeitungsvertrages, warum derartige Maßnahmen nicht auch in ein NDA mitaufnehmen?

Für die Praxis relevant ist in dem Zusammenhang wohl auch, dass die entsprechenden Regelungen des UWG jeweils auf den Inhaber der Geschäftsgeheimnisse als Schutzberechtigten abzielen. Ein “aus der Hand geben” dieser Informationen sollte daher gerade in Geschäftsbeziehungen vermieden werden. Möglicherweise – und das ist nur eine Idee – wäre ein entsprechender Passus in der Geheimhaltungsvereinbarung auch schon ein Schritt in die richtige Richtung. Dies vor allem, wenn aufgrund der Art der Informationen ein Verbleib auf zB einem durch den Informationsinhaber gelenkten Sharepoint nicht zweckdienlich ist. 

Eine nette Überlegung, über die ich im Zuge meiner Recherche gestoßen bin war, dass man in Zukunft wohl besser über “Geheimnisschutzvereinbarungen” sprechen könnte oder sollte, um den eigentlichen Zweck der Vereinbarung besser zu beschreiben. 1

Exkurs: Geheimnisschutz im Arbeitsrecht

Geheimnisschutz ist natürlich nicht nur im Verhältnis zu Geschäftspartnern, sondern auch im Verhältnis zu den Arbeitnehmern, besonders relevant. Im Rahmen der dienstlichen Treuepflichten war ein Arbeitnehmer zwar auch bereits vor der UWG-Novelle 2018 umfangreich zur Geheimhaltung und Verschwiegenheit betreffend Geschäftsgeheimnissen verpflichtet. Vielfach fanden sich trotzdem entsprechende verschriftlichte Verpflichtungen in den Dienstverträgen, denen meines Erachtens nunmehr größere Bedeutung zukommt: können doch diese Vereinbarungen eine aktive Geheimhaltungsmaßnahme im Sinne des § 26b Abs 1 Z 3 darstellen. Gerade ausdrückliche, nachvertragliche Vertraulichkeitsgebote (Geheimnisschutzgebote) werden – sofern noch nicht vorhanden – sinnvollerweise in die Verträge aufgenommen. 

Weitere – im Hinblick auf die Mitarbeiter – relevante Maßnahmen zum effektiven Geheimnisschutz können auch dienstvertragliche Konkurrenzklauseln darstellen. (Wobei ich auf das Thema Konkurrenzklauseln gerne in einem separaten Artikel eingehen möchte.) 

Darüber könnte man auch überlegen, ob es nicht auch dem Know-how Schutz dienen würde, bei ausgewiesenen Know-how Trägern die gesetzlichen Kündigungsfristen vertraglich auszudehnen. (Ich persönlich würde allerdings die Ausdehnung der Kündigungsfristen nur bei sehr speziellen Positionen und unter besonderer Abwägung der daraus resultierenden finanziellen Verpflichtungen anstellen, da eine sehr lange Kündigungsfrist natürlich in der Konsequenz auch für den Arbeitgeber bindend wäre.)

Zu guter Letzt kommt in Unternehmen mit eigener Entwicklungsabteilung eine betriebsinterne Regelung betreffend Diensterfindungen, inklusive entsprechender Vereinbarungen zur etwaigen Übernahme dieser Diensterfindungen durch den Dienstgeber (auch dieses Thema wäre wieder einen eigenen Artikel wert) einen neuen Stellenwert.

Fazit

Die UWG-Novelle 2018 hat meiner Ansicht nach den Unternehmen gehaltvolle Spielräume im Hinblick auf die Durchsetzung von Ansprüchen bei Verletzungen von Geschäftsgeheimnissen eröffnet. Gleichzeitig wird durch die Legaldefinition des Geschäftsgeheimnisses, welche das Kriterium der umzusetzenden Geheimhaltungsmaßnahmen umfasst, auch ein gewisser Aufwand von den Unternehmen gefordert, sich aktiv(er) um ihre Geschäftsgeheimnisse und deren Schutz zu kümmern. 

Erfreulicherweise ist meiner Einschätzung nach ein Großteil der Geheimhaltungsmaßnahmen im Rahmen der ohnehin stattfindenden Datenschutzmaßnahmen und -strategien mit zu betrachten, sodass ich persönlich von keinem wesentlich erhöhten Aufwand aus dem Titel Geheimnisschutz ausgehe. Der Geheimnisschutz kann quasi als Trittbrettfahrer seiner großen Schwester Datenschutz bezeichnet werden. 

Long Story Short

Die UWG-Novelle 2018, mit der die Geheimnisschutz-Richtlinie (EU 2016/943) in nationales Recht umgesetzt wurde, umfasst nachstehende (aus meiner Sicht) wesentlicher (und nicht abschließend aufgelistete) Neuerungen:

  • Legaldefinition “Geschäftsgeheimnis” durch die Schaffung von 3 Kriterien:
    • Information ist geheim,
    • von kommerziellem Wert, weil sie geheim ist, UND
    • Gegenstand angemessener Geheimhaltungsmaßnahmen 
  • Schaffung umfassender Regelungen bezüglich eines aus dem Titel der Verletzung von Geschäftsgeheimnissen entstehenden Anspruches. 
    • Unterlassung 
    • Beseitigung
    • (Verschulden) Schadenersatz inkl. des durch die Verletzung entstandenen Gewinns
    • Pauschaler Betrag, der bei ordnungsgemäßer Veräußerung gebührt hätte
  • Einschränkung der Akteneinsichtsrechte im Verfahren zum Schutz der Verfahrensgegenständlichen Geschäftsgeheimnisse

Welche Maßnahmen haben Sie bereits in Sachen Geheimnisschutz getroffen? Haben Sie bereits Erfahrungsberichte?

Teilen Sie uns doch Ihre Ansicht in den Kommentaren mit!

Gefällt Ihnen der Artikel? Dann bitte teilen!
  1. Vgl. GRUR-Vortrag-McGuire-PPP.pdf, download am 26.01.2020

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.