Slider

Einleitung

Kaum hat sich die erste Aufregung um die Ende Mai 2018 in Kraft getretene Datenschutzgrundverordnung etwas gelegt folgt bereits die nächste europäische Überraschung. Von der Öffentlichkeit weitgehend unbemerkt ist nämlich bereits am 08.06.2016 die Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates über den Schutz vertraulichen Know-Hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung in Kraft getreten. Anders als Verordnungen (wie die Datenschutzgrundverordnung) sind Richtlinien durch die nationalen Gesetzgesetzgeber umzusetzen. Hierfür steht den Staaten der europäischen Union eine Frist von zwei Jahren zur Verfügung. Zwar gibt es bereits Referentenentwürfe zur deutschen Umsetzung der EU-Richtlinie, diese sind jedoch bislang über das Entwurfsstadium nicht hinausgekommen. Dies hat nach europäischem Recht die Folge, dass zwei Jahre nach Verabschiedung der Richtlinie deutsche Gerichte dazu verpflichtet sind, dass deutsche Recht zum Geheimnisschutz europarechtskonform auszulegen. Dies führt zu unmittelbarem Handlungsbedarf in allen Unternehmen, deren Geschäftsbetrieb auf der Wahrung von Betriebs- und Geschäftsgeheimnissen beruht.

Neue Definition des Geschäftsgeheimnisses – alte Klauseln wirkungslos

Der Handlungsbedarf ergibt sich daraus, dass Artikel 2 Ziff. 1 der Richtlinie den Begriff des Geschäftsgeheimnisses neu wie folgt definiert:

Für die Zwecke dieser Richtlinie bezeichnet der Ausdruck
„Geschäftsgeheimnis“ Informationen, die alle nachstehenden Kriterien erfüllen:
a) sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Information umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
b) sie sind von kommerziellem Wert, weil sie geheim sind;
c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die regelmäßige Kontrolle über die Informationen besitzt.“


Gegenüber der bisherigen deutschen Definition des Geschäftsgeheimnisses findet sich die wesentliche Abweichung unter Art. 2 Ziff. 1c der Richtlinie. Danach gibt es künftig keine Geschäftsgeheimnisse mehr, wenn und soweit nicht angemessene Geheimhaltungsmaßnahmen getroffen wurden. Die bisherige Annahme, eine Pflicht der Arbeitnehmer zur Geheimhaltung schützenswerter betriebsinterner Angelegenheiten ergebe sich bereits als arbeitsvertragliche Nebenpflicht unmittelbar aus dem Arbeitsvertrag, da Geschäftsgeheimnisse quasi automatisch bestehen, ist damit hinfällig.
Daher ist auch eine bisher übliche Klausel etwa des Inhalts:

Der Arbeitnehmer verpflichtet sich über alle Betriebs- und Geschäftsgeheimnisse während der Dauer des Arbeitsverhältnisses und nach seiner Beendigung Stillschweigen zu bewahren. …“

nicht mehr ausreichend. Vielmehr ist es nunmehr dringend erforderlich angemessene Geheimhaltungsmaßnahmen zu treffen, ohne diese gibt es gar keine Geschäftsgeheimnisse mehr.

Kernthema – Was sind angemessene Geheimhaltungsmaßnahmen?

Der Begriff der „angemessenen Geheimhaltungsmaßnahmen“ wird in der Richtlinie nicht weiter definiert. Generell werden hierrunter technische und rechtliche Schutzmaßnahmen verstanden, die einen Zugriff auf die geheim zuhaltenden Tatsachen verhindern. Vor allem sind Vertraulichkeitsvereinbarungen mit denjenigen Mitarbeitern erforderlich, die Kenntnisse von Geschäftsgeheimnissen haben. Es wird daher künftig unerlässlich sein schriftliche Regelungen mit konkretem Bezug zu klar umrissenen Geschäftsgeheimnissen zu treffen. Ohne solche Regelungen besteht die erhebliche Gefahr, dass vertrauliche Informationen rechtlich nicht (mehr) als Geschäftsgeheimnis eingeordnet und somit auch nicht mehr geschützt werden.
Zu denken ist im Zusammenhang mit vertraglichen Vereinbarungen auch an Arbeitnehmer von Vertragspartnern und Leiharbeitnehmern, die in Kontakt mit vertraulichen Informationen kommen. Auch mit diesen müssen entsprechende Vereinbarungen getroffen werden.
Zudem erscheint es sinnvoll, in der Vertragsklausel auch den nachvertraglichen Schutz von Geheimnissen klar und rechtssicher zu definieren, anderenfalls könnten Arbeitnehmer sich problemlos mit Geschäftsgeheimnisses ihres alten Arbeitgeber selbstständig machen oder anderenorts bewerben.

Dringend erforderlich: Status-Quo-Analyse und Berechtigungskonzept

Zwar übersteigert die EU-Richtlinie die Anforderungen an Geheimhaltungsmaßnahmen nicht, da ausdrücklich nur von angemessenen Maßnahmen die Rede ist, andererseits wird zu unterscheiden sein, um welche Art von Geschäftsgeheimnissen es geht. Im Sinne der Umsetzung eines Schutzkonzeptes dürfte ein abschnittsweises Vorgehen sinnvoll sein.

Im ersten Prüfungsschritt wäre zu klären, welche unternehmensinterne Stelle bzw. Person der Verantwortliche für den Geheimnisschutz ist. Diese Stelle / Person ist unternehmensintern dafür zuständig, das Berechtigungskonzept zu erstellen und stets auf dem aktuellen Stand zu halten, also insbesondere auch auf entsprechende ggfls. notwendige Vertragsanpassungen zu achten. Zudem sollte die betreffende Stelle / Person eine Schnittstellenkompetenz haben, da es regelmäßig erforderlich sein wird, die IT, die Rechtsabteilung und die Fachabteilungen miteinander zu koordinieren, nachdem eine Abteilung allein kaum in der Lage sein wird Geschäftsgeheimnisse, die Zugriffberechtigungen und die rechtliche Umsetzung rechtssicher zu bewerkstelligen.
In einem zweiten Schritt wäre in einer Status-Quo-Analyse zu prüfen, welches schützenswertes Know-How im Unternehmen überhaupt vorhanden ist. Oftmals gibt es gar keinen Überblick, welche Informationen zu schützen sind und wer hierauf Zugriff hat.

Im Hinblick auf die notwendige Angemessenheit der Geheimhaltungsmaßnahmen ist alsdann eine Bestimmung der Wichtigkeit des vorhanden Know-Hows vorzunehmen. Dabei wird üblicherweise zwischen absolut wichtigem Know-How-Schutz (bei dessen Verletzung die wirtschaftliche Existenz des Unternehmens insgesamt im Risiko steht), von strategisch unerlässlichem Know-How (bei dessen Bekanntwerden zumindest erhebliche wirtschaftliche Schäden drohen) und sonstigem Know-How (dessen Schutz zwar wünschenswert, jedoch  nicht überlebenswichtig ist) unterschieden.
Schließlich sind die konkreten Schutzmaßnahmen festzulegen, wobei hinsichtlich des kritischen Know-Hows die höchste Schutzstufe gelten muss. Zu denken ist an technische Maßnahmen (Passwortschutz, Zugriffsrechte usw.) sowie rechtliche Maßnahmen (IT-Policy, Arbeitsvertragsklauseln, Betriebsvereinbarungen).

Arbeitsvertragsmanagement

Unter Berücksichtigung bevorstehender Ausführungen sind die Aufgaben für die Personalabteilung klar umrissen. Steht fest, wer Geheimnisträger ist, müssen entsprechende Vertraulichkeitsvereinbarungen (mit konkretem Inhalt) verfasst und vereinbart werden. Dabei wird man zwar mit einem Grundmuster arbeiten können, im Hinblick auf die erforderliche Konkretisierung jedoch dafür zu sorgen haben, dass für jeden einzelnen Arbeitnehmer sämtliche im Einzelfall relevanten Geschäftsgeheimnisse benannt werden. Selbstverständlich ist es Aufgabe des Geheimnisschutzbeauftragten des Unternehmens darauf zu achten, bei etwaigen Änderungen des Aufgabenbereiches für eine Aktualisierung der Verträge zu sorgen.
In allen Fällen, in denen Mitarbeiter überhaupt gar keinen Zugriff auf Geschäftsgeheimnisse haben, kann es arbeitsvertraglich bei der bisherigen Generalklausel verbleiben. Diese betrifft dann nämlich nur noch den Fall, dass dieser Personengruppe Geschäftsgeheimnisse unbeabsichtigt (zufällig) bekannt werden oder dass sich ein Mitarbeiter unberechtigt Kenntnisse von dem Geschäftsgeheimnis verschafft.
Nochmals ist darauf hinzuweisen, dass die Generalklausel allein (vereinbart mit allen Arbeitnehmern) in keinem Fall mehr hinreicht, da es ohne konkrete Vertraulichkeitsvereinbarungen mit den Geheimnisträgern gar kein definiertes Geschäftsgeheimnis gibt.

Fazit und Ausblick

Die EU-Richtlinie und die bislang fehlende Umsetzung in die deutsche Gesetzgebung bedeuten dringenden Handlungsbedarf für Unternehmen. Dies gilt sowohl für die Status-Quo-Analyse als auch die Erstellung eines Verantwortungs- und Handlungskonzepts. Weiter sind die jeweils angemessenen Geheimhaltungsmaßnahmen zu definieren und umzusetzen. Hierzu gehört insbesondere auch eine Anpassung der Arbeitsverträge an die neue Rechtslage, insbesondere mit Geheimnisträgern.
Die Maßnahmen werden auch keinesfalls nur vorübergehender Natur sein. Aus der zu erwartenden deutschen Gesetzgebung werden sich nämlich keine wesentlichen Änderungen ergeben. Insbesondere soweit die Richtlinie „angemessene Geheimhaltungsmaßnahmen“ als Tatbestandsmerkmal des Begriffs „Geschäftsgeheimnis“ definiert, ist dies auch für die deutsche Gesetzgebung verbindlich.

Gerne stehen wir Ihnen zur Beantwortung von Fragen und zur Begleitung der Umsetzung Ihres Geheimnisschutzkonzepts zur Verfügung.