Geschäftsgeheimnisse und Geheimhaltungsmaßnahmen: Ohne Schutz kein Schadenersatz?

Der gesetzliche Schutz von Geschäftsgeheimnissen und geschäftliches Know-how wird voraussichtlich in absehbarer Zeit verstärkt. Beim Bundestag liegt der Entwurf zum „Geschäftsgeheimnisgesetz“ oder kurz GeschGehG.

Damit soll eine EU-Richtlinie zum Schutz von Geschäftsgeheimnissen in deutsches Recht umgesetzt werden. Der aktuelle Gesetzentwurf geht in einigen Punkten über sie hinaus. Da die Gesetzgebung wieder einmal zu spät dran ist (eigentlich hätte das neue Gesetz schon bis Juni 2018 in Kraft sein müssen), ist die EU-Richtlinie unmittelbar anwendbar.

Geschäftsgeheimnisgesetz – das Wichtigste in Kürze:

  • Das Geschäftsgeheimnisgesetz ist noch nicht in Kraft. Der Entwurf kann vom Bundestag noch geändert werden. Der Rahmen ist durch eine EU-Richtlinie vorgegeben.
  •  Der Gesetzentwurf stellt Informationen und Know-how von Unternehmen unter Schutz – aber nur, wenn sie wirtschaftlichen Wert besitzen, tatsächlich geheim sind und wenn zur Geheimhaltung Schutzmaßnahmen getroffen wurden.
  • Informationen, die nicht unter die gesetzliche Definition fallen, sind keine Geschäftsgeheimnisse und dürfen verwendet werden.
  • Unter bestimmten Umständen entfällt auch bei Geschäftsgeheimnissen der Schutz – etwa bei einem Whistleblower.
  • Ansonsten berechtigt die unerlaubte Nutzung oder Weitergabe von Geschäftsgeheimnissen zu Schadenersatz und kann zu einem Strafverfahren führen.

Was zählt als Geschäftsgeheimnis?

Der Entwurf definiert ein Geschäftsgeheimnis als eine Information, die

  1. Branchenkennern und Insidern typischerweise nicht bekannt ist,
  2. wirtschaftlichen Wert besitzt und
  3. vom „Inhaber“ des Geschäftsgeheimnisses mit angemessenem Aufwand geheim gehalten wird.

Wichtig: Sind diese drei Bedingungen nicht sämtlich erfüllt, stellen die Informationen kein Geschäftsgeheimnis dar und dürfen grundsätzlich frei verwendet und genutzt werden. (Natürlich können sie auch durch andere Gesetze oder Verträge geschützt sein, etwa durch Urheberrecht oder eine Vertraulichkeitsvereinbarung.)

Praktisch gesehen kann es sich bei einem Geschäftsgeheimnis im Sinne des Gesetzentwurfs um geschäftlich verwertbare Informationen aller Art handeln – vom Wissen über Herstellungsverfahren, Produktpläne, Rezepte, Methoden und Formeln über Kundenadressen und Bezugsquellen bis hin zu von Beratern erstellten Marktanalysen, ausgearbeiteten Geschäftskonzepten oder Kostenkalkulationen.

Ob eine bestimmte Information als Geschäftsgeheimnis geschützt ist, sollten Sie gemeinsam mit dem Anwalt klären.

Was ist erlaubt und was ist verboten?

Geschäftliches Know-how oder andre Informationen müssen also Geschäftsgeheimnisse (nach Definition des Gesetzentwurfs) sein, damit sie geschützt sind. Und auch dann gibt es Ausnahmen, etwa für Reverse Engineering oder für Whistleblower – dazu gleich mehr.

Ansonsten ist es jedoch verboten, ein solches Geschäftsgeheimnis …

  • zu „erlangen“, indem man sich beispielsweise unbefugt Zugang zu Produktprototypen verschafft, Software oder Dokumente unbefugt kopiert und dergleichen mehr.
  • beispielsweise ohne Berechtigung Dokumente oder Dateien mit den Informationen verschafft, aber auch das Produkt oder Material selbst, aus dem das Know-how hervorgeht
  • zu nutzen oder offenzulegen, ohne die Berechtigung dazu zu haben: das wäre der Fall, wenn man auf Basis des Geschäftsgeheimnisses eigene Produkte auf den Markt bringt, die Informationen weiterverkauft oder sie veröffentlicht.
  • von jemandem zu besorgen, der beispielsweise als Arbeitnehmer Zugang zum Geschäftsgeheimnis hat und bereit es, es unter der Hand weiterzugeben.

Sind Ihre Arbeits-, Liefer-, Service- und Projektverträge so formuliert, dass diese Verbotstatbestände greifen?

„Reverse Engineering“ ist grundsätzlich legal

In bestimmten Fällen ist es ausdrücklich erlaubt, sich Wissen zu verschaffen, das ein Geschäftsgeheimnis darstellt – etwa dann, wenn jemand durch eigenes Beobachten oder Experimentieren zufällig auf dieselbe Lösung oder Methode kommt (§ 2 GeschGehG-E).

Außerdem erlaubt ist auch, der Programmier- oder Fertigungsweise fremder Software oder Produkte durch „Zurückbauen“ auf die Spur zu kommen: Das sogenannte Reverse Engineering ist zulässig, solange derjenige, der es durchführt, keiner „Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses unterliegt“. Beschränkungen setzen vor allem die Bestimmungen gegen unlauteren Wettbewerb, der Schutz geistigen Eigentums (wie Urheberrecht) sowie individuelle Vereinbarungen wie NDA-Klauseln.

Wer sein Produkt oder seine Software Dritten zur Verfügung stellt, sollte Reverse Engineering durch eine Vereinbarung wirksam verbieten.

Ausnahmen zum „Schutz eines berechtigten Interesses“

Geschäftsgeheimnisse dürfen außerdem dann beschafft, genutzt oder publiziert werden, wenn dies einem berechtigten Interesse dient (§ 3 GeschGehG-Entwurf).

So darf geschäftliches Know-how gegenüber dem Betriebsrat offengelegt werden, wenn ein Arbeitnehmer sich mit berechtigtem Interesse an die Arbeitnehmervertreter wendet. Ein weiteres berechtigtes Interesse, das die Aufdeckung von Geschäftsgeheimnissen rechtfertigen kann, ist das Recht auf freie Meinungsäußerung.

Schließlich gibt es eine weitere, auf Whistleblower gemünzte Regelung: § 3 Nr. 2 GeschGehG-E gestattet die Weitergabe von Geschäftsgeheimnissen, wenn dadurch im öffentlichen Interesse rechtswidrige Handlungen oder Fehlverhalten aufgedeckt werden.

Wenn Whistleblower bei berechtigten Anliegen Geschäftsgeheimnisse aufdecken, sind sie nicht zu Schadenersatz verpflichtet.

Keine „Geheimhaltungsmaßnahmen“, kein Geschäftsgeheimnis

Der Gesetzentwurf fordert, dass Unternehmen ihrem Interesse an der Wahrung von Geschäftsgeheimnissen Taten folgen lassen. Wer sein geschäftlichen Wissens nicht durch angemessene Geheimhaltungsmaßnahmen schützt, kann später keinen Schadenersatz fordern, falls Wettbewerber sich die Informationen verschaffen.

Das ist neu. Nach den bisher noch geltenden Regelungen (§§ 17 bis 19 UWG) reicht es, dass ein Unternehmer seine Geschäftsgeheimnisse erkennbar schützen will.

Für Geschäftsgeheimnisse sollte ein angemessenes, ausgearbeitetes Schutzkonzept existieren.

Wie viel Schutz ist nötig?

Welche konkreten Schutzmaßnahmen angemessen sind, legt der Gesetzentwurf nicht im Detail fest. An dieser Frage dürfen sich dann wohl die Gerichte abarbeiten. Die Begründung des Gesetzes legt jedoch zumindest mehrere Kriterien nahe:

  • den Wert der Information an sich (wie lukrativ wäre eine Lizenzierung oder ihr Verkauf?)
  • der bislang angefallen Entwicklungsaufwand, die Beschaffungskosten o. ä.
  • die Bedeutung der Information für das Unternehmen (Basieren sämtliche Produkte auf der Rezeptur oder nur ein Nischenprodukt?)

Welche Geheimhaltungsmaßnahmen ein Richter im Einzelfall für erforderlich halten wird, lässt sich nicht vorhersagen. Doch in der Praxis dürften wohl Fragen wie diese gestellt werden:

  • Gab es ausreichende Schweigeverpflichtungen in Arbeitsverträgen, in Liefer- und Servicevereinbarungen oder Projektverträgen?
  • War die IT-Sicherheit auf professionellem Stand?
  • Gab es taugliche physische und organisatorische Schutzmaßnahmen (Zugangskontrollen, Sicherheitsdienst, Videoüberwachung, Mitarbeiterschulungen …)?

Die Geheimhaltungsmaßnahmen dürften in vielen Verfahren um den Missbrauch von Geschäftsgeheimnissen eine Rolle spielen.

Welche Ansprüche haben Unternehmen bei Missbrauch von Geschäftsgeheimnissen?

Im Fall des Missbrauchs von Geschäftsgeheimnissen haben geschädigte Unternehmen recht weitreichende Ansprüche. Sie können von dem Verletzer (gegebenenfalls auch von dessen Arbeitgeber) vollständige Auskunft fordern, Schadenersatz geltend machen und den Rückruf, die Vernichtung oder Herausgabe von Dateien, Produkten, Dokumenten etc. verlangen.

Zum Schadenersatz kann auch der durch den Missbrauch entstandene Gewinn gehören.

Auch Geld- und Haftstrafen sind möglich

Die Verletzung von Geschäftsgeheimnissen kann auch als Straftat verfolgt werden – und zwar dann, wenn sie durch einen Wettbewerber erfolgt, aus Eigennutz heraus, für einen Dritten oder um einem Unternehmer gezielt zu schaden.

Dann drohen bis zu drei Jahre Haft. Bei gewerblichem Handeln (etwa auf Firmengeheimnisse spezialisierten Hackern) oder bei der Absicht, die Geschäftsgeheimnisse für die Nutzung im Ausland zu beschaffen, sind es sogar fünf Jahre.

Beim Vorwurf „Verletzung von Geschäftsgeheimnissen“ ist ein Rechtsanwalt mit Schwerpunkt Wirtschaftsstrafrecht der richtige Ansprechpartner.

Compliance Monitoring und Reporting: Interne Kontrollsysteme einrichten

Ohne interne Kontrollsysteme keine Compliance

Das Aufstellen interner Richtlinien im Unternehmen ist eine Sache. Ihre Einhaltung ist eine andere. Werden die geschaffenen Compliance-Richtlinien nicht gelebt, bleiben sie funktionslos – und schützen im Ernstfall weder das Unternehmen noch die Geschäftsleitung.

Monitoring und Reporting

Damit Compliance wirkt, muss die Regeleinhaltung überwacht und das Compliance System bei Bedarf verbessert werden. Das ist der Zweck von Compliance Monitoring und Reporting. Als Monitoring wird das Erfassen aller Compliance-relevanten Daten und Vorfälle bezeichnet, Reporting steht für die strukturierte Bereitstellung und Auswertung dieser Informationen.

Der Compliance Officer und das Monitoring

Für das Monitoring und das Reporting ist in der Regel der Compliance Officer zuständig. Schließlich hat er dafür Sorge zu tragen, dass die aufgestellten Richtlinien im Unternehmen tatsächlich eingehalten werden. Daneben ist es seine Aufgabe, das bestehende Compliance-Programm weiter auszubauen, anzupassen und zu überwachen, um Fehlentwicklungen vorzubeugen oder nach einem Fehlverhalten Wiederholungen zu vermeiden.

Drei wichtige Prinzipien für das Compliance-Monitoring

Die Einhaltung der Compliance-Richtlinien setzt voraus, dass bestimmte interne Steuerungs- und Kontrollprinzipien etabliert werden, etwa die folgenden:

  • Vier-Augen-Prinzip: jede missbrauchsanfällige Entscheidung im Unternehmen muss durch eine zweite Person bestätigt werden.
  • Durchgehende Dokumentation von Entscheidungsprozessen: Alle relevanten Schritte zu einer Entscheidung von bestimmter Tragweite (etwa eine Auftragsvergabe) müssen festgehalten werden. Gemeint sind beispielsweise Vorüberlegungen, Prüfungen, Nachfragen etc. Nur dann ist der Entscheidungsprozess später für einen Dritten nachvollziehbar.
  • Whistleblower-System: Hinweisgeber müssen eine Möglichkeit haben, Compliance-Verstöße anonym zu melden – und solchen Hinweisen muss nachgegangen werden.

Solche Grundsätze tragen zum Zweck des Monitoring bei: die Compliance-Vorgaben zu leben, Abläufe transparent zu gestalten und jederzeit nachvollziehen zu können, wie es zu einer bestimmten Entscheidung kam.

Das zweite Herzstück: funktionierendes Reporting

Monitoring erfüllt allerdings nur dann seinen Sinn, wenn gleichzeitig das Reporting funktioniert. Die beim Monitoring erhobenen Informationen müssen in sinnvoller, verwertbarer Form als Reports bereitgestellt werden.

Wie ein Compliance-Report konkret ausgestaltet sein sollte, hängt von den Adressaten ab. Vorstände und Aufsichtsräte benötigen andere Auswertungen als Mitarbeiter oder gar die Kunden des Unternehmens. In jedem Fall müssen die Berichte jedoch übersichtlich und leicht erfassbar sein, um praktischen Nutzen zu bringen. Das Reporting ist nach meiner Erfahrung ein guter Indikator für die Qualität der Compliance insgesamt.

Die Berichte sollten Angaben zum Aufbau der Compliance-Organisation, den wesentlichen Risikofeldern (korruptives Verhalten, Gesetzesverschärfungen, Besonderheiten in bestimmten Ländern bzw. Regionen etc.) sowie Berichte zu einschlägigen Vorfällen im Berichtszeitraum enthalten. Von Interesse sind darüber hinaus durchgeführte Schulungsmaßnahmen sowie die Weiterentwicklung des Compliance Systems.

Beispiel: Monitoring und Reporting von Geschenken

Geschenke von Geschäftspartnern an einzelne Mitarbeiter liefern ein gutes Beispiel für den Sinn von Monitoring und Reporting: Während die Compliance-Regeln bestimmen, bis zu welchem Wert Geschenke angenommen werden dürfen und wer im Zweifelsfall darüber entscheidet, sorgt das Monitoring dafür, dass jedes Geschenk mit den relevanten Angaben tatsächlich erfasst wird. Dank Reporting wird außerdem intern erkennbar, ob die Compliance in Bezug auf Geschenke an Mitarbeiter funktioniert oder ob Anpassungen erforderlich sind.

 Das schafft sowohl für den Compliance Officer wie auch für die Geschäftsführung Transparenz. Gleichzeitig werden den Mitarbeitern die mit der Annahme verbundenen Compliance-Risiken bewusst, wenn jedes Geschenk über ein internes System gemeldet werden muss.

Compliance Monitoring kann auch angeordnet werden

Die Einführung von Compliance Monitoring erfolgt nicht in allen Fällen ganz freiwillig.

Nicht selten werden Unternehmen nach einem Verstoß dazu verpflichtet, einen Compliance-Beauftragen zu bestellen, zusätzlich zum verhängten Bußgeld. In anderen Fällen ist das Etablieren nachweislich funktionierender Compliance als Zeichen „tätiger Reue“ ein wichtiger Schritt der Verteidigungsstrategie in einem laufenden Verfahren. Dazu gehört dann auch ein funktionierendes Monitoring.

Praktische Beratung zur Compliance Ihres Unternehmens

In letzter Zeit haben wir uns mehrfach mit praktischen Aspekten von Compliance befasst: Mit der haftungsbegrenzenden Wirkung von Compliance-Systemen, mit der richtigen Reihenfolge bei ihrer Einführung und mit der Ausarbeitung des Regelwerks.

Ich bin Fachanwalt für Steuerrecht und Fachanwalt für Gesellschaftsrecht, neben Wirtschaftsstrafrecht ist Compliance-Beratung ein Schwerpunkt von mir. Wenn Sie konkrete Fragen zur Compliance in Ihrem eigenen Unternehmen haben, kann ich Sie als gerne unterstützen. Sie erreichen mich unter kanzlei@wirtschaftsrecht-ostbayern.de oder unter 0941 2809 480 (Regensburg) bzw. 089 741 185 496 (München).