Die europäische Geschäftsgeheimnisrichtlinie | Bestimmungen zum Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen

Am 8. Juni 2016 wurde die Richtlinie 2016/943 des Europäischen Parlaments und des Rates über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnissen) beschlossen. Die Umsetzung in nationales Recht soll bis Juni 2018 erfolgen, was angesichts des langen Regierungsbildungsprozesses seit der Bundestagswahl im September 2017 fraglich ist. Hervorzuheben sind zwei Änderungen: Zum einen verlangt die Richtlinie die Einhaltung angemessener Geheimhaltungsmaßnahmen, zum anderen nimmt die Richtlinie keine, wie im deutschen Recht bislang übliche, Differenzierung in kaufmännische Geschäftsgeheimnisse und technische Betriebsgeheimnisse vor, vgl. § 17 UWG.

Noch Fragen?
Wir bieten Hilfe zu allen Fragen im Datenschutzrecht und gewerblichen Rechtsschutz!
0228 - 74 89 80

Gewährung eines europäischen Mindestschutzes

Zweck der Richtlinie ist eine Harmonisierung der zivilrechtlichen Vorschriften in den einzelnen Mitgliedstaaten über den Schutz von Know-how und Geschäftsgeheimnissen. Derzeit gibt es einerseits Staaten innerhalb Europas, die kaum das Geheimnis eines betrieblichen Know-hows schützen, andererseits solche, in denen der unternehmerische Geheimnisschutz in bedeutendem Maße gewährleistet wird. Beispielsweise bietet Großbritannien im Verhältnis zu den anderen europäischen Mitgliedsstaaten einen weitergehenden Geheimnisschutz.

Typischerweise wird mit dem Mittel der Richtlinie jedoch keine Vollharmonisierung beabsichtigt, sondern lediglich ein Mindestschutzniveau, um im Binnenmarkt einen ausreichenden zivilrechtlichen Schutz zu schaffen. Mit der Umsetzung der Richtlinie wird in Zukunft die Werthaltigkeit der Information an Bedeutung gewinnen, d.h. dass die Bilanzierung der zukünftigen Geschäftsinformation ein zentrales Thema sein wird.

Begriff des Geschäftsgeheimnisses und Abgrenzung zum Know-how

Zwar umfasst Know-how jedes Geschäfts- bzw. Betriebsgeheimnis, aber nicht umgekehrt. Know-how wird in der Richtlinie 316/2014 als „Eine Gesamtheit nicht patentierter praktischer Kenntnisse, die durch Erfahrungen und Versuche gewonnen werden und die (i) geheim, d.h. nicht allgemein bekannt und nicht leicht zugänglich sind, (ii) wesentlich, d.h. für die Produktion der Vertragsprodukte von Bedeutung und nützlich sind, und (iii) identifiziert sind, d.h. umfassend genug umschrieben sind, so dass überprüft werden kann, ob es die Merkmale „geheim“ und „wesentlich“ erfüllt“ definiert.

Mit Know-how ist also das gesamte intellektuelle Kapital gemeint, wohingegen der Begriff des Betriebsgeheimnisses die technischen Betriebsabläufe bezeichnet. Das können z.B. Konstruktionszeichnungen oder Herstellungsverfahren sein. Dreh- und Angelpunkt ist der Begriff des „Geschäftsgeheimnisses“. Als Geschäftsgeheimnis hat die bisherige Rechtsprechung „nicht offenkundige Tatsachen, die nach dem Willen des Betriebsinhabers aufgrund eines berechtigten Interesses geheim gehalten werden sollen, und geeignet sind, dem Geheimnisträger wirtschaftlichen Schaden zuzufügen“, angenommen. Dazu gehören unter anderem alle geheimen Daten eines Unternehmens, die sich auf seinen Zustand und sein Marktverhalten beziehen, z.B. Bilanzen, Mitarbeiter, Absatz- und Werbemethoden und Kunden- und Lieferantendaten.

Nunmehr wird der Begriff des Geschäftsgeheimnisses nach Art. 2 Nr. 1 der Richtlinie 2016/943 das Geschäftsgeheimnis als „Informationen, die kommerziellen Wert haben, geheim sind und die vom Inhaber durch angemessene Geheimhaltungsmaßnahmen geschützt werden“ definiert.

Schützenswertes Geheimnis

Nach der Richtlinie wird der Begriff des Geschäftsgeheimnisses weiter gefasst als nach bisherigem deutschen Rechtsverständnis. In diesem Zusammenhang steht zwangsläufig die Frage im Raum, ob das deutsche Rechtsverständnis in Hinblick auf den Geheimnisbegriff fortbestehen kann oder richtlinienkonform zu überarbeiten sein wird. Für das Fortbestehen des gegenwärtigen deutschen Rechtsverständnisses spricht, dass die Richtlinie nur eine Mindestharmonisierung bezweckt.

Dagegen spricht Erwägungsgrund 10 der Richtlinie, wonach ein weitgehender Schutz im nationalen Recht nur dann möglich sein soll, wenn die Regelungen der Richtlinie zum Schutz der Interessen anderer Parteien eingehalten werden. Auch wird die Differenzierung der Begriffe des Geschäfts- und Betriebsgeheimnisses selbst im deutschen Recht nicht immer einheitlich vorgenommen. Folgt man letzterer Ansicht, so dürfte im Hinblick auf das Geschäftsgeheimnis dessen kommerzieller Wert entscheidend sein. Dies ist der Fall, wenn es den Handel tangiert bzw. geschäftlicher Natur oder auf Gewinnerzielung ausgerichtet ist, also von wirtschaftlichen Geschäftsinteressen geprägt ist.

Angemessene Geheimhaltungsmaßnahmen

Eine weitere Neuerung stellt das Erfordernis von Geheimhaltungsmaßnahmen dar. Damit muss der Inhaber eines Geschäftsgeheimnisses im Zweifel nachweisen, dass und welche Vorkehrungen er zum Schutze von Geschäftsgeheimnissen unternommen hat. Zuvor hat der BGH einen Geheimhaltungswillen, der sich aus der Natur der Sache ergibt, sogar wenn keine speziellen Geheimhaltungsmaßnahmen vereinbart worden waren, als ausreichend erachtet.

Diese Erfordernisse sind jedoch weder in der Norm selber noch in den Erwägungsgründen näher erörtert. Denkbar sein könnten beispielsweise technische und organisatorische Maßnahmen wie Zugangs- und Zutrittskontrollen oder begrenzungen, Einrichtung sicherer Schließvorrichtungen oder Einrichtung von Passwörtern von Computern und Firewalls. Technische Abläufe, wie die Verschlüsselung von elektronischer Kommunikation oder Festplatten sowie die Gewähr betrieblicher IT-Sicherheit, werden künftig umso mehr im Fokus stehen.

Klar ist insoweit, dass das bisherige Verständnis eines subjektiven Geheimhaltungswillens nicht mehr genügen wird. In der Praxis bedeutet das, dass der Abschluss von Vertraulichkeitsvereinbarungen eine zentrale Grundvoraussetzung des Geheimnisschutzes werden wird. Eine Konkretisierung ist wohl erst durch fortbildende Rechtsprechung zu erwarten.

Rückgriff auf Art. 32 DSVGO

Zudem könnte man sich in Bezug auf die Geheimhaltungsmaßnahmen von den in Art. 32 Datenschutzgrundverordnung (DSVGO) durch den europäischen Gesetzgeber formulierten Grundsätze für technische und organisatorische Maßnahmen inspirieren lassen. Die DSGVO tritt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten in Kraft und soll den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie des freien Datenverkehrs gewährleisten.

In Art. 32 Abs. 1 lit. a) – d) DSGVO sind folgende geeignete technische und organisatorische Maßnahmen exemplarisch, also nicht abschließend, aufgeführt:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vor.

Dies lässt zwar auch einen Beurteilungsspielraum wie bei den angemessenen Geheimhaltungsmaßnahmen des Art. 2 Nr. 1 lit c) der Richtlinie 2016/943 offen, stellt aber gleichzeitig ein Minimum an Maßnahmen dar.

Die Integrität ließe sich durch Eingabekontrollen und elektronische Signaturen schützen. Zu einem sicheren Schutz von personen- und betriebsbezogenen Daten gehört auch die Verwendung eines adäquaten Back-Ups. Die Durchsetzung dieser Maßnahmen wird durch drohende Bußgeldzahlungen bei Verstößen gem. Art. 83 Abs. 2 und Abs. 4 DSGVO forciert.

Aufgrund der Überschneidungen in Bezug auf die technische Gewährleistung eines adäquaten Schutzes sensibler Informationen in der Richtlinie 2016/943 zum Schutz von Geschäftsgeheimnissen, ist ein Rückgriff auf die durch den europäischen Gesetzgeber in der DSGVO formulierten Grundsätze denkbar.

Aneignung von Geheimnissen

Neben den Möglichkeiten des rechtmäßigen Erwerbs von Geschäftsgeheimnissen in Art. 3 der Richtlinie 2016/943, regelt Art. 4 Abs. 2 lit. a) den unrechtmäßigen Erwerb. Das ist der Fall, wenn Dokumente, Materialien oder elektronische Daten kopiert oder unautorisiert verschafft werden, durch ein sonstiges Vertrauensverhältnis in Kenntnis gebracht und verwendet werden oder eine illegale Aneignung stattfand. Von hoher Relevanz dürfte dies im Verhältnis zwischen Arbeitgeber und Arbeitnehmer sein. Hier könnte ein Verstoß eine Nebenpflichtverletzung und damit einen Schadensersatzanspruch aus §§ 280 Abs. 1, 241 Abs. 2 BGB zulasten des Arbeitnehmers begründen. Ein Arbeitnehmer, der zum Zwecke der Programmierung einzelne Informationen jedoch aus seinem Gedächtnis abruft, erfüllt keinen Verstoß gegen die Richtlinie. Zu beachten ist dabei jedoch Art. 4 Abs. 2 lit. b), der Missbrauch vorbeugen soll.

Rechtfertigungsgründe in Hinblick auf die illegale Aneignung und Weitergabe von Geschäftsgeheimnissen könnten nunmehr in Whistleblower-Fällen zu sehen sein. Obwohl Whistleblowing dem deutschen kodifizierten Recht noch fremd ist, könnte es durchaus einen haltbaren Rechtfertigungsgrund darstellen, wenn es im Interesse der Allgemeinheit erfolgt.

Eine weitere wesentliche Neuerung der Richtlinie ist zukünftig die ausdrückliche Zulässigkeit des reverse engineering im Interesse von Innovation und Wettbewerbsförderung. Dies ist jedoch nur soweit zulässig, wie die zugrundeliegenden Produkte oder Dienstleistungen nicht gewerblichen Schutzrechten unterliegen. Dies könnte insbesondere für mittelständische Unternehmen problematisch sein, da diese oftmals vor der Anmeldung von Registerrechten absehen, um Kosten zu sparen.

Fazit

Unternehmen ist zu raten ihre schützenswerten betrieblichen und technischen Informationen zu identifizieren und geeignete Schutzmaßnahmen zu treffen, um so im Zweifel ihrer gerichtlichen Nachweispflicht nachkommen zu können. Dazu bietet sich auch eine Einteilung in verschiedene Geheimhaltungsstufen an. Außerdem sollte analysiert werden, wer Zugriff auf dieses Know-how hat (Mitarbeiter, Geschäftspartner, sonstige Dritte) und welche Maßnahmen zum Schutz dieser Informationen im Unternehmen bereits bestehen. Grundsätzlich sollten mit allen Geschäftspartnern, und auch mit Mitarbeitern, Geheimhaltungsvereinbarungen (s.g. Non-Disclosure-Agreement/NDA) abgeschlossen werden, ggf. auch mit Vertragsstrafenregelung. Hier könnte unter bestimmten Voraussetzungen auch eine Regelung gedacht werden, welche das reverse engineering ausschließt.

Im Ergebnis ist jedenfalls festzuhalten, dass alles auf eine neue Kultur im Hinblick auf die Geheimhaltung von Geschäftsgeheimnissen im Unternehmen hinausläuft und sowohl für Angestellte als auch Arbeitgeber mehr Klarheit für den Umgang mit sensiblen Daten schafft.