Schutz von Geschäftsgeheimnissen – Was sind „angemessene Geheimhaltungsmaßnahmen“?

In Deutschland gilt seit 2019 das Geschäftsgeheimnisgesetz (GeschGehG), das in Umsetzung der EU-Geschäftsgeheimnisrichtlinie geschaffen wurde und die bis dahin geltenden §§ 17-19 UWG ablöste. Dieses Gesetz brachte einige Neuerungen mit sich, zu denen erste gerichtliche Entscheidungen vorliegen.

I.       Gesetzliche Regelung des Geschäftsgeheimnisses

Ein Geschäftsgeheimnis ist nach § 2 Nr. 1 GeschGehG eine Information,

a)      die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert ist und

b)     die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und

c)      bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Zu den Geschäftsgeheimnissen zählen beispielsweise Konstruktionspläne, Algorithmen, Prototypen oder Rezepturen sowie geschäftliche Informationen wie Know-how Dokumentationen, Kundenlisten, Businesspläne oder Werbestrategien.

Bei den „angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ handelt es sich um eine Obliegenheit. Wird ihr der Inhaber der Information nicht gerecht, verliert er den Geheimnisschutz. Zwar wurde auch in der Vergangenheit ein Geheimhaltungswille verlangt, er wurde aber vermutet und musste nicht durch konkrete Geheimhaltungsmaßnahmen dokumentiert und im Streitfall nachgewiesen werden.

II.     Unterlassungsklage gegen einen Wettbewerber

In einem ersten Fall zum Geschäftsgeheimnisgesetz, der inzwischen dem BGH zur Entscheidung vorliegt, hatte das OLG Hamm (Urteil vom 15.09.2020 – 4 U 177/19) darüber zu befinden, ob der Inhaber eines Geschäftsgeheimnisses – ein international führender Anbieter einer Vielzahl von Bahnbaumaschinen – ausreichende Sicherheitsvorkehrungen zum Schutz seiner Geschäftsgeheimnisse getroffen hatte. Das OLG Hamm sah die Voraussetzungen des § 6 GeschGehG, wonach der Inhaber eines Geschäftsgeheimnisses den Rechtsverletzer bei Wiederholungsgefahr auf Unterlassung in Anspruch nehmen kann, als nicht erfüllt an und wies die Unterlassungsklage des Unternehmens gegen einen Konkurrenten, dem ehemalige Angestellte des Unternehmens Konstruktionspläne überlassen hatten, ab.

III.    Was sind „angemessene Geheimhaltungsmaßnahmen“?

Das OLG Hamm stellte zunächst fest, dass offenbleiben könne, ob es sich bei den Zeichnungen überhaupt um ein Geschäftsgeheimnis handelt, denn es verneinte bereits die Frage, ob angemessene Geheimhaltungsmaßnahmen getroffen worden waren.

Das Gericht führt aus, dass es sich bei der „Angemessenheit“ um ein flexibles und offenes Tatbestandsmerkmal handle und die Verhältnismäßigkeit gegeben sein müsse. Dabei setze die Angemessenheit keinen „optimalen Schutz“ voraus, weil andernfalls der Geheimnisbegriff zu stark eingeschränkt würde. Somit müssen einerseits nicht die nach den Umständen bestmöglichen und sichersten Maßnahmen ergriffen werden, andererseits könne es aber auch nicht genügen, dass ein Unternehmer nur ein Minimum an Schutzvorkehrungen ergreife.

Die Angemessenheit bestimme sich nach den konkreten Umständen des Einzelfalls. Für die rechtliche Bewertung sei auf die Sichtweise eines objektiven und verständigen Betrachters aus denjenigen (Fach-)Kreisen abzustellen, die üblicherweise mit dieser Art von Information umgehen. Um die Angemessenheit zu bestimmen, seien insbesondere folgende Wertungskriterien zu berücksichtigen:

  • Art und wirtschaftlicher Wert des Geschäftsgeheimnisses
  • Kosten für die Geheimhaltungsmaßnahmen
  • Grad des Wettbewerbsvorteils durch die Geheimhaltung
  • Schwierigkeiten der Geheimhaltung
  • konkrete Gefährdungslage
  • Unternehmensgröße und Leistungsfähigkeit des Unternehmens
  • Wirtschaftsbranche und dort branchenübliche Sicherheitsmaßnahmen.

Der Art und dem wirtschaftlichen Wert des Geheimnisses komme dabei eine besondere Bedeutung zu. Die Kosten für die Geheimhaltungsmaßnahmen müssen in einem vernünftigen Verhältnis zum Wert des Geschäftsgeheimnisses stehen, wobei sich kein festes Kosten-Wert-Verhältnis angeben lasse. Dabei sei die Schwelle der Unangemessenheit jedenfalls dann überschritten, wenn die Kosten für die Schutzmaßnahmen den Wert des Geschäftsgeheimnisses übersteigen würden. In Bezug auf die Unternehmensgröße und die Leistungsfähigkeit eines Unternehmens lasse sich festhalten, dass von einem weltweit tätigen Unternehmen größere und finanziell aufwändigere Sicherheitsvorkehrungen erwartet werden können als von einem Handwerksbetrieb mit wenigen Angestellten.

IV.    Bereits umgangene Sicherungsvorkehrungen sind nicht mehr „angemessen“

Das Gericht führt aus, dass Sicherungsvorkehrungen den Anforderungen nicht genügen, wenn sie – wie im vorliegenden Fall – bereits mehrfach umgangen worden sind, ohne dass das Unternehmen darauf angemessen reagiert hätte. In Anbetracht der Bedeutung des Geschäftsgeheimnisses sei es zwingend erforderlich, jedem Hinweis auf eine Umgehung sorgfältig nachzugehen und das Sicherheitskonzept zeitnah anzupassen oder Sanktionen zu ergreifen.

Zwar habe das Unternehmen umfassende Sicherungsmaßnahmen (EDV-Sicherheitsrichtlinie, reglementierter Zugriff zum sog. PZA und Geheimhaltungsvereinbarungen mit Lizenznehmern) getroffen und diese auch nachgewiesen. Allerdings seien diese bereits in der Vergangenheit mehrfach umgangen worden, ohne dass trotz deutlicher Anhaltspunkte dafür eine angemessene Reaktion des Unternehmens erfolgt sei. Dies belege, dass die Sicherungsmaßnahmen gerade nicht angemessen gewesen seien.

V.     Fazit und Empfehlung für Unternehmen

Aus der neuen Gesetzeslage erwächst für Unternehmer die Pflicht, ein angemessenes Management der Geschäftsgeheimnisse zu entwickeln, mit dem sensible Informationen identifiziert, bewertet und technisch, organisatorisch sowie rechtlich ausreichend geschützt werden. Unternehmen, die bereits Maßnahmen nach der Datenschutzgrundverordnung umgesetzt haben, dürften einen Vorsprung haben. Dennoch bleibt im Einzelfall zu prüfen, ob je nach Geschäftsgeheimnis „angemessene Maßnahmen“ zum Schutz vorliegen.

Wichtig ist eine regelmäßige Bestandsaufnahme und gegebenenfalls Nachjustierung: Wo im Unternehmen gibt es welche Arten von Geschäftsgeheimnissen und wer hat damit welchen Umgang? Im Anschluss ist zu prüfen, wie diese angemessen geschützt bzw. im Fall einer bereits erfolgten Umgehung besser geschützt werden können. Unternehmen sind gut beraten, in den nachfolgenden Schritten vorzugehen:

  • Bestandsaufnahme und Ermittlung der zu schützenden Informationen
  • Kategorisierung nach Schutzwürdigkeit in einem Geheimnisschutzkonzept
  • Überprüfung bestehender Schutzvorkehrungen
  • Festlegung angemessener Schutzmaßnahmen und Dokumentation
  • Verfolgung von Hinweisen auf Umgehung und Anpassung bzw. Sanktion bei Verstößen

Im Ergebnis greift dann ein wesentlich besserer Geheimnisschutz als nach altem Recht. Neben Schadenersatz, Unterlassung und Auskunft können nun insbesondere auch Ansprüche auf Vernichtung, Herausgabe sowie Rückruf durchgesetzt werden.

Neuerscheinung „Mein Franchise-System“ mit Gastbeitrag von Ruth Dünisch

Mit „Mein Franchise-System – Gründung, Entwicklung, Expansion“ ist diesen Monat ein neues Buch für angehende Franchise-Geber und Franchise-Manager erschienen, das kompaktes Praxiswissen und zahlreiche Tipps zum Aufbau und Lebenszyklus eines Franchise-Systems enthält. Die Autoren, die österreichische Rechtsanwältin, Dr. Nina Ollinger, und ihr Mann und Unternehmensberater, Dr. Thomas Ollinger, haben ihre langjährigen Erfahrungen in diesem Bereich auf anschauliche Weise zusammengetragen. In einem Gastbeitrag unserer Partnerin Ruth Dünisch werden die Aspekte und Besonderheiten des deutschen Marktes und des deutschen Rechts beleuchtet.

Das Buch will Franchise-Interessierten einen Überblick über die rechtlichen und wirtschaftlichen Rahmenbedingungen von der Planung eines Franchise-Systems über die Gründung, Entwicklung bis hin zur Expansion vermitteln. Franchising als Vertriebssystem mit selbständigen Partnern stellt besondere Anforderungen an Unternehmer, deren Ziel es ist, mit dieser komplexen Vertriebsform eine konsequente Expansionsstrategie zu verfolgen.

Das 214-seitige Buch (ISBN 978-3-7083-I368-9) ist im Neuen Wissenschaftlichen Verlag, Wien, erschienen und kann über gabriela.atlas@medien-logistik.at bezogen werden.

Neue EU-Standardvertragsklauseln für den internationalen Datentransfer

Die Europäische Kommission hat am 4. Juni 2021 neue Standardvertragsklauseln für den internationalen Datentransfer beschlossen. Dabei hat sie die neuen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sowie die Vorgaben aus dem „Schrems-II“-Urteils des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 berücksichtigt.

Der EuGH erklärte mit seinem Urteil vom 16. Juli 2020 den „Privacy Shield“-Beschluss für ungültig, auf dessen Grundlage personenbezogene Daten in die USA übermittelt werden konnten. Er äußerte sich darüber hinaus auch zu den bisherigen Standardvertragsklauseln, welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können, und hielt diese zwar für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird vom EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen, und ggf. zusätzliche technische, vertragliche und organisatorischen Maßnahmen vereinbart werden müssen. Wir hatten die Entscheidung des EuGH untersucht und erste Handlungsempfehlungen gegeben: https://www.tcilaw.de/eugh-erklaert-mit-urteil-in-sachen-schrems-ii-den-privacy-shield-beschluss-fuer-unwirksam/

Mit den neuen Standardvertragsklauseln stellt die EU-Kommission anstelle separater Klauseln ein übergreifendes Instrumentarium zur Verfügung, das eine breite Palette von Transferszenarien abdeckt. Sie sollen ein praktisches Werkzeug für die Einhaltung des „Schrems II“-Urteils darstellen, samt einer Übersicht der verschiedenen Maßnahmen, die Unternehmen ergreifen müssen, um diesem Urteil nachzukommen, sowie Beispiele möglicher „zusätzlicher Maßnahmen“ wie Verschlüsselung, die Unternehmen erforderlichenfalls ergreifen können. Zudem bieten sie aufgrund eines modularen Ansatzes mehr Flexibilität bei komplexen Verarbeitungsketten, sowie die Möglichkeit, dass die Klauseln auch mehr als zwei Parteien nutzen können.

Die neuen Standardvertragsklauseln treten am 27. Juni 2021 in Kraft und drei Monate später, nämlich zum 27. September 2021 werden die bisherigen Standardvertragsklauseln aufgehoben, sodass ab diesem Datum nur noch die neuen Standardvertragsklauseln verwendet werden dürfen. Für Verträge, die vor dem 27. September 2021 auf Grundlage der bisherigen Standardvertragsklauseln geschlossen wurden, besteht ein Übergangszeitraum von 15 Monaten.

Zwar bieten die neuen Standardvertragsklauseln den Vorteil, verschiedene Szenarien des Datentransfers in Drittländer besser abbilden zu können und die Anforderungen des „Schrems II“-Urteils umzusetzen. Jedoch ist ihre Anwendung und Umsetzung deutlich komplexer als bisher.

Geltung der ESMA-Leitlinien zur Auslagerung an Cloud-Provider ab dem 31.07.2021

Das von der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Market Authority, ESMA) am 3. Juni 2020 veröffentlichte Konsultationspapier zu Leitlinien für die Auslagerung von Funktionen auf Cloud-Dienste wurde ohne substantielle Änderungen finalisiert und gilt ab dem 31.07.2021 für alle Auslagerungsvereinbarungen mit Cloud-Anbietern, die zu diesem Zeitpunkt oder danach abgeschlossen, verlängert oder geändert werden. In den Leitlinien wird explizit darauf hingewiesen, dass die Firmen bestehende Auslagerungsvereinbarungen einer Prüfung unterziehen und diese gegebenenfalls ändern sollen, um zu gewährleisten, dass die Leitlinien ab dem 31.12.2022 umgesetzt werden.

Die Leitlinien richten sich an die nationalen Aufsichtsbehörden sowie an die Marktteilnehmer des Finanzsektors, die dem Aufsichtsbereich der ESMA unterliegen, insbesondere an Asset Manager und Wertpapierdienstleister, Zentralverwahrer sowie Ratingagenturen.

Inhaltlich schlägt die ESMA neun Leitlinien vor, die bei Auslagerungen an Cloud-Anbieter berücksichtigt werden sollen:

  1. Governance, Kontrolle und Dokumentation
  2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung in Bezug auf potentielle Cloud-Anbieter
  3. Zentrale Bestandteile des Vertrags, d. h. Mindestinhalte in IT-Outsourcing-Verträgen
  4. Informationssicherheit
  5. Ausstiegsstrategien
  6. Zugangs- und Prüfungsrechte, die gegenüber einem Cloud-Anbieter sichergestellt sein müssen
  7. Sub-Auslagerungen
  8. Rechtzeitige schriftliche Mitteilung über die beabsichtigte Auslagerung an die zuständige nationale Aufsichtsbehörde
  9. Vorgaben an nationale Aufsichtsbehörden in Bezug auf die Überwachung von Auslagerungsvereinbarungen mit Cloud-Anbietern

Mit diesen neuen Leitlinien setzt sich der seit längerem zu beobachtende Trend der Verschärfung der aufsichtsrechtlichen Anforderungen an IT-Auslagerungen durch Inanspruchnahme von Cloud-Services fort (vergleiche etwa die Leitlinien der europäischen Bankaufsichtsbehörde (EBA) zu Auslagerungen vom 25.02.2019 sowie vom 20.12.2017, die von der europäischen Versicherungsaufsichtsbehörde (EIOPA) veröffentlichten „Guidelines on outsourcing to cloud service providers“ oder die im November 2018 publizierte Orientierungshilfe zu Auslagerungen an Cloud-Anbieter der BaFin).

Nicht nur die betroffenen Finanzmarktteilnehmer haben sich somit mit den neuen Anforderungen an IT-Outsourcingverträge auseinanderzusetzen, sondern auch Cloud-Anbieter müssen damit rechnen, künftig bei Vertragsverhandlungen mit entsprechenden Forderungen potentieller Auftraggeber konfrontiert zu werden.