Wie wir bereits im Januar berichteten, dreht sich neben den vielfältigen Fragestellungen zur DS-GVO auch im Umgang mit nicht personenbezogenen Daten ein stetiges Reformierungskarussell. Dies führte dazu, dass ab dem 26.04.2019 das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten ist. Jenes spiegelt im Wesentlichen den bereits aus den Entwurfsstadien sowie den Vorgaben zur Umsetzung der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-Hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (2016/943) wieder.

I. Warum bedurfte es einer EU-harmonisierten Regelung?
Mit knapp einem Jahr Verspätung hat der deutsche Gesetzgeber die Umsetzung der Vorgaben der Know-How Richtlinie in das nationale Recht vollzogen.

Der Schutz von Geschäftsgeheimnissen wurde im deutschen Recht bislang über die Strafvorschriften der §§ 17 bis 19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) sowie über die §§ 823, 826 des Bürgerlichen Gesetzbuchs (BGB) gegebenenfalls in Verbindung mit § 1004 BGB analog gewährleistet. Dies genügte den Vorgaben der Richtlinie (EU) 2016/943 nicht, da diese eine Verletzung von Geschäftsgeheimnissen nicht wie die §§ 17 bis 19 UWG vom Vorliegen einer besonderen Absicht abhängig macht.

Der Schutz von Geschäftsgeheimnissen konnte also weder den Marktverhaltensregelungen des UWG noch den vollständigen Immaterialgüterrechten wie zum Beispiel dem Patent- und Markenrecht zugeordnet werden. Unterschiede zu den Immaterialgüterrechten bestehen insofern, als der Schutz von Geschäftsgeheimnissen von der tatsächlichen Geheimhaltung der Information abhängt und keine besondere Qualität der Informationen für den rechtlichen Schutz erforderlich ist. Von den reinen Marktverhaltensregelungen des UWG unterscheidet sich der Schutz von Geschäftsgeheimnissen insofern, als er sich auf eine Information bezieht, die handelbar ist und regelmäßig wirtschaftlichen Wert besitzt.

II. Was wird inhaltlich geregelt?

1.Allgemeine Inhalte
Die Neuregelung erfasst sowohl definitorische, organisatorische als auch prozessuale Bestimmungen. Kursorisch lassen sich die wesentlichen inhaltlichen Vorgaben wie folgend zusammenfassen:

o Definition bzw. Vorgaben zur Bestimmung eines Geschäftsgeheimnisses und deren Inhaberschaft (§ 2),
o Erlaubte Handlungen und Handlungsverbote (§§ 3 und 4),
o Ansprüche bei Rechtsverletzungen (§§ 6 bis 14),
o Prozessuale Auswirkungen im Gerichtsverfahren (Geschäftsgeheimnisstreitsachen) als auch
o Strafvorschriften.

2.Angemessene Geheimhaltungsmaßnahmen
Wesentliche Diskussionspunkte sind aus unserer Sicht die Fragen, wann und wie Betriebs- und Geschäftsgeheimnisse im Unternehmen einem angemessenen Schutzumfang (Geheimhaltungsmaßnehmen) genügen und wie die interne Organisation ausgestaltet sein muss, um effizient und pragmatisch keinen Risiken zu begegnen.

Hierbei ist im Besonderen zu berücksichtigen, dass nach der Definition des Geschäftsgeheimnisses zu § 17 UWG alte Fassung ein erkennbarer subjektiver Geheimhaltungswille zur Wahrung der Geheimhaltung ausreichte, welcher sich in objektiven Umständen manifestiert. Bei den nunmehr nach § 2 Ziffer 1 lit. b) vom Inhaber zu treffenden, den Umständen nach angemessenen Geheimhaltungsmaßnahmen handelt es sich dagegen um eine objektive Voraussetzung, für die der Inhaber im Streitfall beweisbelastet ist.

Welche Arten von Geheimhaltungsmaßnahmen konkret erfolgen müssen, hängt von der Art des Geschäftsgeheimnisses im Einzelnen und den konkreten Umständen der Nutzung ab. In Betracht kommen sowohl physische Zugangsbeschränkungen und Vorkehrungen wie auch vertragliche Sicherungsmechanismen. Es ist nicht erforderlich, jede geheim zu haltende Information gesondert zu kennzeichnen, sondern es können grundsätzlich Maßnahmen für bestimmte Kategorien von Informationen ergriffen werden (zum Beispiel technische Zugangshürden) oder durch allgemeine interne Richtlinien und Anweisungen oder auch in Arbeitsverträgen vorgegeben werden. Bei der Wertung der Angemessenheit der Schutzmaßnahmen können insbesondere berücksichtigt werden:

o der Wert des Geschäftsgeheimnisses und dessen Entwicklungskosten,
o die Natur der Informationen,
o die Bedeutung für das Unternehmen,
o die Größe des Unternehmens,
o die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen,
o die Art der Kennzeichnung der Informationen und vereinbarte vertragliche Regelungen mit Arbeitnehmern und Geschäftspartnern.

Die notwendige Pflicht zu dem Vorhalten von angemessenen Geheimhaltungsmaßnahmen trifft hierbei auch Lizenznehmer, die ebenfalls Inhaber eines Geschäftsgeheimnisses sein können!

Aus unserer Sicht ist aber davon auszugehen, dass eine effektive Umsetzung von Art. 32/ 25 DS-GVO jedenfalls als Teilbestandteil die Angemessenheit von Geheimhaltungsmaßnahmen begründen kann.

3.Legal Reverse Engineering
Ein besonderes Augenmerk ist auf ein „verstecktes“ Detail zu legen. In § 3 Absatz 1 Nr. 2 lit. b) bzw. § 4 Absatz 2 wird ein Anwendungsfall eines rechtmäßigen Erlangens eines Geschäftsgeheimnisses normiert.

Demnach kann ein Geschäftsgeheimnis insbesondere erlangte werden durch ein Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts oder Gegenstands, das oder der
a. öffentlich verfügbar gemacht wurde oder
b. sich im rechtmäßigen Besitz des Beobachtenden, Untersuchenden, Rückbauenden oder Testenden befindet und dieser keiner Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses unterliegt.

Aus jenem Grund ist es infolge des letzten Halbsatzes von dem Buchstaben b) die Beschränkung der möglichen Erlangung des Geschäftsgeheimnisses ausdrücklich vertraglich festzuhalten. Ist dies nicht der Fall, entfällt de facto der Geheimnischarakter der Information!

[EXKURS:
In diesem Zusammenhang ist es interessant das der US-amerikanische Überwachungsgeheimdienst NSA (National Security Agency) kürzlich ein Reverse-Engineering-Tool als Open-Source-Software veröffentlicht hat. Diese kann auf der NSA-Webseite (JAVA-Script unter einer Apache-2.0-Lizenz vgl. https://www.nsa.gov/resources/everyone/ghidra/) heruntergeladen werden und ist zugleich bei github verfügbar. Die nunmehrige Existenz eines kostenfreien Tools als Non-Closed-Software erhöht mithin den Anwendungsdruck auf den Einsatz von Software und deren angemessene Schutzmaßnahmen. EXKURS ENDE]

III. Was bedeutet das für die Betroffenen?
Aufgrund des Vorstehenden halten wir die folgenden Mindestvorgehensweisen/ Handlungsempfehlungen (soweit noch nicht geschehen) für notwendig.

1. Einführung einer Informationsklassifizierung nach Vertraulichkeitsgraden (bei fehlender Klassifizierung besteht das Risiko, dass alle Informationen gleichbehandelt werden, weshalb dann nicht mehr von Angemessenheit gesprochen werden kann)
2. Definition von entsprechenden Berechtigungskonzepten in Abhängigkeit der Informationsklassifizierung (z.B. angelehnt an BSI-Vorgaben bzw. den bereits bekannten Regelungen aus den Geheimschutzgesetzen)
3. Implementierung von vertraglichen Mindestmaßnahmen (Einbindung der technisch organisatorischen Maßnahmen, Anpassung von Geheimhaltungsvereinbarungen, Anpassung von AGB/SLA und Leistungsbeschreibungen insbesondere infolge des Reverse Engineering)
4. Umsetzung organisatorischer Sensibilisierung (Schulung von Mitarbeitern, Anpassung arbeitsvertraglicher bzw. arbeitsorganisatorischer Vorgaben z.B. Richtlinien/ Handouts sowie Evaluierung durch Audits und Kontrollen)