Wie gelingt die Erstellung eines wirksamen Know-how-Schutzkonzeptes? Was sind angemessene Geheimhaltungsmaßnahmen? Rechtsanwältin Franziska Neugebauer erklärt, welchen Anforderungen ein solches Schutzkonzept heute genügen muss.
Seit nunmehr drei Jahren ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft. Anfänglich stellte insbesondere die Umsetzung der neuen Anforderungen des GeschGehG an den Schutz von Geschäftsgeheimnissen Unternehmen vor Herausforderungen. In der Zwischenzeit musste sich auch die Gerichtsbarkeit bereits mit einer Reihe von Fragestellungen zum neuen GeschGehG auseinandersetzen. Im Zuge dessen konnte sie bereits Anforderungen an die Angemessenheit von Maßnahmen zum Geschäftsgeheimnisschutz formulieren.
Nach der ersten Implementierung von Maßnahmen zum Schutz ihrer Betriebs- und Geschäftsgeheimnisse müssen Unternehmen daher nun erneut tätig werden, um ihre Schutzkonzepte auf den neusten Stand der Rechtsprechung zu bringen. Denn werden Geschäftsgeheimnisse unbefugt offenbart oder genutzt, kann der Inhaber eines Geschäftsgeheimnisses die ihm nach dem GeschGehG zustehenden Ansprüche nur geltend machen, wenn er nachweist, seine Geschäftsgeheimnisse mit einem angemessenen Schutzkonzept geschützt zu haben.
Zu Geschäftsgeheimnissen können Kundenlisten, Umsatzzahlen, Preislisten, technisches Know-how, Produktionsverfahren und vieles mehr gehören. Damit ein Betriebs- und Geschäftsgeheimnis nach § 2 GeschGehG geschützt ist, muss es jedoch unter anderem Gegenstand angemessener Geheimhaltungsmaßnahmen durch ihren Inhaber sein. Welche Geheimhaltungsmaßnahme angemessen ist, bestimmt sich dabei nach den konkreten Umständen des Einzelfalls. Folglich ist die Implementierung eines geeigneten Schutzkonzeptes, welches die Schutzbedarfe und -maßnahmen für die jeweiligen Geschäftsgeheimnisse festlegt, unerlässlich.
Die Rechtsprechung hat seit Inkrafttreten des GeschGehG in diversen Entscheidungen nach Lösungsansätzen für die Deutung des Begriffes der „angemessenen Geheimhaltungsmaßnahmen“ gesucht. So seien nach Ansicht des OLG Stuttgart (Urteil vom 19.11.2020 – 2 U 575/19) bei der Bewertung der Angemessenheit verschiedene Faktoren wie beispielsweise der Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten, die Natur der Information, ihre Bedeutung für das Unternehmen, die Größe des Unternehmens oder die Art der Kennzeichnung der Informationen mit einzubeziehen. Der Geheimnisinhaber müsse sinnvolle und effiziente Maßnahmen treffen, um die Informationen zu schützen. Aus den vorgenannten Bezugspunkten hat das OLG Stuttgart Folgendes entwickelt:
Relevante Informationen dürfen nur solchen Personen anvertraut werden, die diese zur Durchführung ihrer betrieblichen Aufgaben potenziell benötigen (das sogenannte „Need-to-know-Prinzip“) und darüber hinaus zur Verschwiegenheit verpflichtet sind.
Das Speichern von Dateien ohne Passwortschutz auf privaten Datenträgern muss Beschäftigten verboten werden.
Allgemein sind Informationen gegen unbefugten Zugriff zu sichern, hinsichtlich verkörperter Informationen (zum Beispiel Papierdokumente) beispielsweise durch Zutrittsbeschränkungen für Dritte und ggfs. die Lagerung in abschließbaren Schränken.
Allerdings stellt das OLG Stuttgart in seiner Entscheidung auch klar, dass je nach Umstand des Einzelfalls ggfs. weitere Maßnahmen notwendig sind, um ein angemessenes Schutzniveau herbeizuführen. Aus der Einhaltung der vorstehend genannten Mindeststandards kann daher nicht ohne Weiteres geschlossen werden, dass damit für jedes mögliche Betriebs- und Geschäftsgeheimnis bereits angemessene Schutzmaßnahmen getroffen sind.
Auch die fortgeschrittene Interpretation durch die Gerichte kann die Implementierung eines Know-how-Schutzkonzepts daher nicht obsolet machen, sondern die Anforderungen daran lediglich konkretisieren. Das Schutzkonzept muss den Umständen des konkreten Betriebs- und Geschäftsgeheimnisses im Einzelfall angepasst werden. Von Unternehmen wird verlangt, dass sie kreativ und eigenverantwortlich bereits im Vorfeld mögliche Schutzlücken feststellen und diese möglichst schließen.
Unternehmen, die bereits ein Know-how-Schutzkonzept erstellt haben, können dieses entsprechend den nachfolgenden Empfehlungen anpassen. Aber auch Unternehmen, die zwar noch kein eigenes Know-how-Schutzkonzept implementiert haben, jedoch bereits im Rahmen von Managementsystemen oder der Umsetzung der Datenschutzgrundverordnung organisatorische, technische und rechtliche Maßnahmen ergriffen haben, können von Synergieeffekten profitieren und ihre Maßnahmen entsprechend zu einem Know-how-Schutzkonzept ergänzen.
Zunächst sind im Unternehmen die relevanten Betriebs- und Geschäftsgeheimnisse zu identifizieren. Anschließend sind die identifizierten Geschäftsgeheimnisse – gemessen an ihrer Wichtigkeit für das Unternehmen – zu klassifizieren. Dabei kann beispielsweise unterschieden werden zwischen:
„Kronjuwelen“ eines Unternehmens, deren Verlust existenzbedrohend wäre
Wichtige Informationen, deren Verlust zu einem dauerhaften wirtschaftlichen Nachteil führen kann
Sensible Informationen, deren Verlust einen kurzfristigen wirtschaftlichen Nachteil nach sich ziehen würde
Anschließend ist der Schutzbedarf im Hinblick auf die zuvor identifizierten Geschäftsgeheimnisse zu analysieren und Risiken zu identifizieren.
Die Feststellung des Schutzbedarfs hat sich am Eintrittsrisiko seiner möglichen Verletzung zu orientieren. Mögliche Risiken ergeben sich dabei unter anderem aus Konkurrenz-/ Industrie- sowie Wirtschaftsspionage, Wirtschaftskriminalität, Competitive Intelligence, IT- und Cybervorfällen und dem Risikofaktor Mensch. Diesen Risiken gilt es mit Hilfe geeigneter Schutzmaßnahmen zu begegnen. Soweit bereits bestimmte Maßnahmen zum Schutz eines Geschäftsgeheimnisses getroffen worden sind, ist im Rahmen der Schutzbedarfsanalyse zudem zu prüfen, ob die getroffenen Maßnahmen geeignet sind, das Risiko einer Verletzung angemessen einzudämmen.
Bei der Schutzbedarfsanalyse sind zudem interne Geschäftsprozessanforderungen, Anforderungen von Kunden oder Lieferanten oder auch gesetzliche und regulatorische Anforderungen an die Geheimhaltung von Informationen zu berücksichtigen. Solche internen oder externen Anforderungen können ebenfalls Mindestanforderungen an den Schutzbedarf vorgeben. Ebenso sind hier die Vorgaben der Rechtsprechung an Mindeststandards zu beachten.
Im nächsten Schritt sind auf Grundlage der vorhergehenden Schutzbedarfsanalyse die Maßnahmen zu ermitteln, die erforderlich sind, um die identifizierten Risiken angemessen einzudämmen. In Betracht kommen dabei technische, organisatorische, rechtliche, personelle und kommunikative Maßnahmen, die alleine oder ggfs. auch erst gemeinsam mit anderen Maßnahmen ein angemessenes Schutzniveau herstellen können. Zu diesen Maßnahmen gehören beispielsweise:
Berechtigungskonzepte („Need-to-know-Prinzip“)
Zutritts- und Zugangskontrollen
IT-Sicherheitsmaßnahmen
Vertragliche Verpflichtungen (NDAs)
Die Schulung von Mitarbeitern
Die Umsetzung der notwendigen Schutzmaßnahmen sollte dann entsprechend der zuvor vorgenommenen Schutzbedarfsanalyse gemessen an der Wichtigkeit des Geschäftsgeheimnisses und dem Risiko seiner Verletzung erfolgen. Dazu können Maßnahmenpakete erstellt werden. Soweit in einem Unternehmen bereits Maßnahmen getroffen worden sind, sind diese ggfs. anzupassen.
Anschließend sollte die Einhaltung der Maßnahmen sowie die Wirksamkeit des Schutzkonzepts regelmäßig sowie anlassbezogen überprüft werden.
Ein einmal geschaffenes Schutzkonzept hat den Vorteil, dass notwendige Geheimschutzmaßnahmen schneller und effizienter ergriffen werden können. Das Konzept ist in der Regel auf viele Einzelfälle anwendbar und umsetzbar. Es muss lediglich regelmäßig überprüft und ggfs. upgedatet werden. Dabei sollten insbesondere Gerichtsurteile zur Angemessenheit von Geheimhaltungsmaßnahmen im Auge behalten und konkretisierte Anforderungen umgesetzt werden.
Holen Sie sich neue Impulse für Ihren Alltag! Wir geben in diesem Seminarprogramm zum Thema Führung & Management praktische Tipps und passende Seminarempfehlungen, mit denen Sie Ihre größten Herausforderungen im Daily Business erfolgreich meistern.
Kommentare
Keine Kommentare