Im eigenen Interesse müssen Unternehmen Geschäftsgeheimnisse schützen - allerdings wissen viele nicht, dass und wie sie das tun sollen. Anja Mengel erläutert die Grundlagen des Geheimnisschutzes und gibt Hinweise zur praktischen Umsetzung.
In der Welt der wissensbasierten Dienstleistung - und insbesondere im Zeitalter der immer weiteren Digitalisierung vieler Dienstleistungen - sind Fachwissen und digitalisierte Entwicklungsstände, vor allem Software, ein Großteil der Unternehmenswerte. Der Verrat von solchen Unternehmenswerten bzw. Geschäftsgeheimnissen auf der einen Seite und die totale Überwachung in Unternehmen auf der anderen Seite sind den technischen Möglichkeiten nach auch nur die berühmten Mausklicke voneinander entfernt.
Vor allem viele kleinere und mittlere Unternehmen überblicken in beiden Bereichen die gesetzlichen Anforderungen an den Schutz der eigenen Interessen und den der Arbeitnehmer nicht gut und machen vermeidbare Fehler. Dabei fordert das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) ganz konkrete Maßnahmen, unter anderem Schulungen der Mitarbeiter und interne Kontrollen.
Welche regelmäßigen und anlassbezogenen Kontrollen technisch und arbeitnehmerdatenschutzrechtlich aber möglich und zulässig sind, hängt von der Organisation des Unternehmens und den Regelungen in Arbeitsverträgen ab. Somit ist für eine optimale Unternehmensorganisation zu diesen Bereichen sowohl eine vorausschauende Standardvertragsgestaltung als auch ein fortlaufender Austausch erforderlich.
Was ist ein Geheimnis?
Grundlegend aus arbeitsrechtlicher Sicht ist die Neuregelung des Rechts über Geschäftsgeheimnisse insoweit, als diese nunmehr erstmalig eine gesetzlich festgelegte Definition eines Geschäftsgeheimnisses umfasst. Sie weicht von der bisherigen Rechtslage nach der Rechtsprechung nach allgemeiner Ansicht relevant ab. Denn nach § 2 Abs. 1 GeschGehG ist ein Geschäftsgeheimnis nur noch eine im Unternehmen nicht allgemein bekannte oder zugängliche Information, die von dem Inhaber mit angemessenen Maßnahmen in berechtigter Weise geheim gehalten wird.
Die Forderung nach "angemessenen Geheimhaltungsmaßnahmen" zwingt den Unternehmer, der im Ernstfall auf die Vorteile des neuen Gesetzes und vor allem der in § 23 GeschGehG normierten Strafvorschrift zur Verletzung (früher nach § 17 UWG a. F.: der Verrat) von Geschäftsgeheimnissen, gerade auch durch Arbeitnehmer, zurückgreifen will, zu einem koordinierten und auch nachweisbaren Handeln. Demgegenüber war nach altem Recht der bloße "Geheimhaltungswille" hinreichend und weitgehend lebensnah von der Rechtsprechung unterstellt.
Die Einstufung als Geschäftsgeheimnis ist für fast alle Dienstleistungsunternehmen, egal ob sie digitalisierte Leistungen anbieten oder nicht, deshalb so bedeutsam, weil die Rechtsordnung ihnen bisher für den Schutz des immateriellen Knowhows wenige effektive Schutzstandards zur Verfügung stellt. So kann das Patentrecht und das Geschmacksmusterrecht nur wichtige Erfindungen oder Entwicklungen von Produktionsunternehmen schützen. Das Urheberrecht hilft im kommerziellen Bereich häufig nicht weiter, weil Softwareentwicklungen und -inhalte oftmals nicht die Schwelle eines urheberrechtsfähigen Werkes erreichen. Daher ist das Recht zum Schutz von Geschäftsgeheimnissen und die Gestaltung von Vertraulichkeitsvereinbarungen für Unternehmen in diesem Bereich umso wichtiger.
Das GeschGehG bietet noch etwas: strafrechtliche Sanktionen. Die Strafverfolgungsbehörden veranlassen in vielen Bundesländern bei entsprechender Ausgangslage und Aufbereitung der Anzeige durch die Unternehmen oft schnelle Verfolgungsmaßnahmen bis hin zu Wohnungsdurchsuchungen und Zugriff auf IT-Daten der verdächtigen Beschäftigten. Dies kann teils den Schaden durch den Verrat begrenzen, aber jedenfalls erhebliche Vorteile bei der Verfolgung von Schadenersatzansprüchen oder im Streit um (fristlose) Kündigungen bieten.
Schützen – aber wie?
Was sind also die wichtigsten Regeln zum angemessenen Schutz der Unternehmensgeheimisse? Dazu besteht zwar mangels belastbarer Rechtsprechung zu dem neuen Gesetz noch Unsicherheit zu den Maßstäben, diese sind daher nach allgemeiner Ansicht auch stets im Einzelfall zu jedem "Geheimnis" konkret zu ermitteln und zu bewerten. Dazu empfiehlt es sich, ein unternehmensweites Schutzkonzept zu erstellen. Das sollte den Fokus auf die physisch-technischen präventiven Maßnahmen legen, da diese auch gegenüber den gelegentlich nicht rechtstreuen Arbeitnehmern wirken.
Technisch einfach umsetzbar sind etwa Zugangsbeschränkungen: Nur die Beschäftigten, bei denen dies erforderlich ist, sollten auf Server, Laufwerke und Dateien zugreifen können. Daten können mit Passwörtern belegt werden, IT-Schranken gegen Ausdrucke oder Datentransfer eingesetzt und der Einsatz von externen Speichermedien ausgeschlossen werden. Daneben existieren externe digitale Möglichkeiten wie der Einsatz von Firewalls, Virenschutz, Hacking-/Cyberattackenschutz sowie eigene gesicherte Server statt Cloudlösungen.
Neben diese digitalen Maßnahmen müssen analoge treten, das sind beispielsweise Überwachungs- und Alarmanlagen, spezielle Bürotrakte mit gesonderten Zutrittsschranken und ggf. Überwachungsmaßnahmen durch Schutzpersonal und die Lagerung von Papierunterlagen in speziell verschlossenen Schränken/Büros.
Existenziell oder nur sensibel?
Der jeweilig angemessene Aufwand zum Schutz eines speziellen Geheimnisses darf zwar rechtlich sehr individuell bemessen werden, aber für die pragmatische Handhabung bietet sich für Unternehmen an, die Geheimnisse in verschiedene Gruppen nach "existenziell", "sehr wichtig", "wichtig", nur "sensibel" usw. zu ordnen. Intern sind diese entsprechend zu kennzeichnen, und dann müssen den Gruppen bestimmte einheitliche Schutzstandards – vor allem in der IT- und Gebäude-Organisation – zugeordnet werden.
Eine wesentliche betriebsorganisatorische Maßnahme ist daher, Zuständigkeiten für den Geheimnisschutz festzulegen, in der Regel die Zuweisung zu einer zentralen Fachfunktion sowie zusätzlicher Verantwortung in den verschiedenen Unternehmensbereichen.
Präventive Wirkung haben fachlich-technische und organisatorische Vorgaben an die zuständigen Entwickler bzw. Führungskräfte dazu, neu entwickelte oder sich in Entwicklung befindliche Geheimnisse bereits frühzeitig/rechtzeitig als "streng vertraulich" oder als "Geschäftsgeheimnis" zu deklarieren und mit Blick auf eine etwaige Abstufung in Gruppen nach Wichtigkeit für die weiteren Schutzmaßnahmen einzustufen. Damit kann man sich auch für den Fall späterer Streitigkeiten absichern.
Dies alles sind ersichtlich keine einmaligen Maßnahmen. Es handelt sich vielmehr um eine dauerhaft wichtige Managementaufgabe, die entsprechende fachliche Qualifikation und sorgfältige tatsächliche Umsetzungshandlungen erfordert. In der arbeitsrechtlichen Praxis ist zu der speziellen Vorschrift zur Wahrung von Geschäftsgeheimnissen durch Betriebsräte gemäß § 79 BetrVG z. B. bisher auch oft zu beobachten, dass die erforderliche ausdrückliche Kennzeichnung der jeweiligen Dokumente unterbleibt und daher auch der Schutz (ungewollt) entfällt.
Die Autorin Prof. Dr. Anja Mengel ist Partnerin bei der auf Arbeitsrecht spezialisierten Kanzlei Schweibert Leßmann & Partner.
Arbeitgeber zwischen Knowhow-Schutz und Datenschutz: . In: Legal Tribune Online, 16.11.2020 , https://www.lto.de/persistent/a_id/43434 (abgerufen am: 21.11.2024 )
Infos zum Zitiervorschlag