Am 26.04.2019 ist in Deutschland das Geheimnisschutzgesetz (GeschGehG) in Kraft getreten. Dieses Gesetz regelt den Geheimnisschutz völlig neu. Grund genug, eine erste Zwischenbilanz zu ziehen.
1. Schutzkonzept: Zwingend notwendig
Geschäftsgeheimnisse sind nach neuer Rechtslage insbesondere nur noch dann geschützt, wenn sie Gegenstand „angemessener Geheimhaltungsmaßnahmen“ sind. Was im Einzelfall „angemessene Maßnahmen“ sind, hängt vom konkreten Geheimnis und seiner Bedeutung für das Unternehmen ab; eine „one-size-fits-all“-Lösung gibt es leider nicht. Erforderlich ist, dass jedes Unternehmen, auch die kleinen und mittelständischen, seine Geschäftsgeheimnisse aktiv schützt und nicht nur darauf vertraut, es werde schon irgendwie gutgehen.
Dass die gesetzlichen Voraussetzungen für den Schutz von Geheimnissen sprichwörtlich ernst zu nehmen sind, verdeutlichen erste gerichtliche Entscheidungen. So hat etwa das LAG Köln (Urteil vom 02.12.2019, Az. 2 SaGa 20/19) verlangt, dass „ein konkretisiertes, auf die einzelnen Geheimnisse speziell abgestelltes Geheimschutz-Management durchgeführt werden muss, um zu beweisen, welche Geheimnisse wie und wie lange welchem Schutz unterlagen und welche Personen hiermit in Kontakt kamen“.
Hieraus folgt, dass jedes Unternehmen intern ein Schutzkonzept aufstellen muss, in dem mindestens die vorhandenen Geschäftsgeheimnisse klassifiziert, abhängig von der Risikoklasse die zu ergreifenden Schutzmaßnahmen festgelegt und entsprechende Zugriffsrechte geregelt werden. Dieses Schutzkonzept muss darüber hinaus beweissicher dokumentiert werden (das heißt schriftlich abgefasst sein), um im Fall der Fälle vor Gericht gegen Rechtsverletzer verwendet werden zu können.
2. IT-Sicherheit
Es bietet sich an, in das Schutzkonzept auch Regelungen zur IT-Sicherheit aufzunehmen oder es zum Teil eines generellen IT-Konzepts zu machen. Denn in der Praxis kommt es immer wieder zu Hackerangriffen und anderen Spähattacken. Besonders häufig treten dabei E-Mails auf, in deren Anhängen (hinter unscheinbaren Dokumentenbezeichnungen wie einer vermeintlichen Bewerbung oder Rechnung) oft Schadsoftware enthalten ist. Auch an Lecks „von innen heraus“ sollte gedacht werden.
In dem Schutzkonzept sollte daher insbesondere geregelt werden, wie mit E-Mails aus unbekannten Quellen umzugehen und welcher Mitarbeiter berechtigt ist, eine E-Mail unbekannten Absenders zu öffnen. Daneben sollten Mitarbeiter dafür sensibilisiert werden, keine trivialen Passwörter zu verwenden und Passwörter nach einer gewissen Zeit zu wechseln. Auch sollte geregelt werden, welche eigenen Geräte Mitarbeiter im Unternehmen verwenden dürfen und welche Datentransfers gestattet sind. In Unternehmen mit Betriebsrat unterliegen einzelne Fragen der Mitbestimmung des Betriebsrats. Typischerweise wird auch der Datenschutzbeauftragte wichtige Beiträge leisten können.
3. Keine „Catch-All-Klauseln“
Angemessene Geheimhaltungsmaßnahmen können insbesondere auch Vertraulichkeitsvereinbarungen (NDAs) und Verschwiegenheitsklauseln in Verträgen sein.
Allerdings erweisen sich die in Arbeitsverträgen bislang beliebten sog. „Catch-All-Klauseln“ als unwirksam. Sie beinhalten daher keine angemessene Maßnahme. Mit solchen Klauseln möchte der Arbeitgeber regeln, dass „alle Angelegenheiten und Vorgänge, die im Rahmen der Tätigkeit des Arbeitsnehmers beim Arbeitgeber bekannt geworden sind, geheim zu halten sind“.
Dem haben die Gerichte nun eine Absage erteilt und derartige Klauseln für unwirksam erklärt. Dem LAG Düsseldorf (Urteil vom 03.06.2020; Az. 12 SaGa 4/20) zufolge ist eine solche Klausel viel zu weitgehend und greift zu stark in die Rechte des Arbeitnehmers ein. Dies gilt erst recht – so das LAG Köln (Urteil vom 02.12.2019, Az. 2 SaGa 20/19) – wenn die Klausel den Arbeitnehmer sogar ohne zeitliche Befristung über das Ende des Arbeitsverhältnisses hinaus, das heißt bis an sein Lebensende, verpflichten soll. Eine solche Klausel sei unwirksam und hindere den Arbeitnehmer nicht, die erlangten Geschäftsgeheimnisse nach dem Ausscheiden beim Arbeitgeber frei zu verwenden.
Um diese für Arbeitgeber missliche Rechtsfolge zu vermeiden, ist Unternehmen zu empfehlen, ihre Muster für Arbeitsverträge daraufhin zu überprüfen, ob darin unwirksame „Catch-All-Klauseln“ enthalten sind. In einem solchen Fall bedarf es einer Überarbeitung und Anpassung.
4. Vorsicht bei Einstellung neuer Mitarbeiter
Zudem droht Unternehmen eine Haftungsfalle bei der Einstellung neuer Mitarbeiter, insbesondere dann, wenn diese von Konkurrenten abgeworben worden sind.
Denn ein Mitarbeiter, der – gewollt oder ungewollt – Geschäftsgeheimnisse seines alten Arbeitgebers mitbringt und beim neuen Arbeitgeber verwertet, verstößt gegen seine (wirksam vereinbarte) Verschwiegenheitspflicht und damit gleichzeitig gegen das Geheimnisschutzgesetz. Nach § 12 GeschGehG wird diese Haftung auf den neuen Arbeitgeber ausgeweitet, selbst wenn dieser von dem Verstoß seines Mitarbeiters überhaupt nichts weiß und den Verstoß durch nichts veranlasst hat. In diesem Fall kann der Arbeitgeber regelmäßig seinen Schaden nicht einmal vom Arbeitnehmer zurückverlangen, da dieser im Verhältnis zu seinem Arbeitgeber nur bei Vorsatz oder grober Fahrlässigkeit auf Schadensersatz haftet.
Aus diesem Grund ist Unternehmen zu empfehlen, neue Mitarbeiter bereits beim Onboarding entsprechend zu schulen und darauf hinzuweisen, dass in keinem Falle Geschäftsgeheimnisse des alten Arbeitsgebers im neuen Job eingebracht und verwertet werden dürfen.
5. Management-Haftung
Schließlich droht eine persönliche Haftung des Geschäftsführers oder Vorstands eines Unternehmens, wenn die Anforderungen an den Geheimnisschutz nicht oder nur unzureichend umgesetzt werden. Denn es gehört zu der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes, die unternehmenseigenen Geschäftsgeheimnisse effektiv vor einem Verlust zu schützen. Hiermit ist es nicht vereinbar, wenn der Verantwortliche auch anderthalb Jahre nach Inkrafttreten des GeschGehG noch keine angemessenen Schutzmaßnahmen für die Unternehmensgeheimnisse ergriffen haben sollte oder gar meint, auf ein Schutzkonzept verzichten zu können. In diesem Fall kann der Verlust des Know-hows auch persönliche Konsequenzen für den Geschäftsführer oder Vorstand nach sich ziehen.
Rechtsanwalt Magnus Brau (Gewerblicher Rechtsschutz) und Rechtsanwalt Eler von Bockelmann (Arbeitsrecht) sind Ihnen gerne bei allen Fragen rund um das Thema Geheimnisschutz behilflich, beraten Sie hierzu umfassend und unterstützen Sie bei der Gestaltung von Verträgen und Konzepten.