Der Schutz unternehmerischen Know-hows hat seit jeher einen hohen Stellenwert. Dessen Sicherung birgt eine erhebliche wirtschaftliche Bedeutung und kann einen echten Wettbewerbsvorteil mit sich bringen. Das neue Geschäftsgeheimnisgesetz (GeschGehG), welches am 26. April dieses Jahres in Kraft getreten ist, soll Unternehmer künftig besser vor einem rechtswidrigen Erwerb von Geschäftsgeheimnissen sowie rechtswidriger Nutzung und Offenlegung schützen. Unter der Prämisse: Nur wer selbst angemessene Schutzmaßnahmen ergreift, profitiert von der gesetzlichen Neuregelung. Handlungsbedarf besteht in dieser Sache nicht bloß bei Unternehmen, sondern insbesondere bei Forschungseinrichtungen und Hochschulen.
Das Gesetz wurde in Umsetzung der Vorgaben der Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung erlassen. Bisher war der Schutz von Betriebs- und Geschäftsgeheimnissen über verschiedene Rechtsbereiche verstreut geregelt, es mangelte an einheitlichen gesetzlichen Begriffsbestimmungen und definierten Rechten der Geheimnisinhaber bei Verletzung durch Dritte. Insbesondere über die Straftatbestände der §§ 17, 18 des Gesetzes gegen den unlauteren Wettbewerb (UWG) wurden Geschäftsgeheimnisse bisher geschützt. Diese setzten jedoch ein subjektives Interesse an dem Geheimnisverrat voraus, sodass eine rechtliche Durchsetzung oftmals nur unter großem forensischen Aufwand möglich war.
Die Neuregelungen
Zunächst enthält das GeschGehG gem. § 2 Nr. 1 eine Definition des Begriffs „Geschäftsgeheimnis“. Danach unterfallen dem Begriff Informationen, die aufgrund ihrer Unbekanntheit bzw. Unzugänglichkeit für die Allgemeinheit einen kommerziellen Wert besitzen, Gegenstand von angemessenen Geheimhaltungsmaßnahmen sind und ein berechtigtes Interesse an deren Geheimhaltung besteht. Für das Vorliegen eines Geschäftsgeheimnisses genügt also nicht mehr der bisher ausreichende subjektive Geheimhaltungswille, vielmehr muss dargelegt werden können, dass das Know-how (objektiv) durch angemessene Geheimhaltungsmaßnahmen geschützt wurde. Welche Maßnahmen als „angemessen“ anzusehen sind, wird mit Blick auf den Einzelfall zu beurteilen sein. Eine bedeutsame Neuerung ist, dass hier zukünftig eine Beweislastumkehr eintritt, das heißt, der Verletzte muss im Falle eines Rechtsstreits nachweisen können, dass die von ihm getroffenen Maßnahmen zum Schutz seiner Geschäftsgeheimnisse ausreichend waren.
Eine Besonderheit des neuen Geschäftsgeheimnisgesetzes ist, dass dies in § 3 GeschGehG Handlungen benennt, durch welche ein Geschäftsgeheimnis rechtmäßig erlangt werden kann. Hierzu zählen insbesondere: die eigenständige Entdeckung oder Schöpfung und ein Beobachten, Untersuchen, Rückbauen oder Testen eines Produktes oder Gegenstands, das oder der öffentlich verfügbar gemacht wurde oder sich im rechtmäßigen Besitz des Beobachtenden, Untersuchenden, Rückbauenden oder Testenden befindet und dieser keiner Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses unterliegt. Mit anderen Worten: der bloße rechtmäßige Besitz eines Gegenstandes (das Eigentum daran bleibt unbeachtet) erlaubt die rechtmäßige Erlangung eines Geschäftsgeheimnisses z.B. durch Rückbau (reverse engineering), wenn keine (vertragliche oder rechtliche) Beschränkungen für den Besitzer bestehen. Insoweit sind Geheimnisinhaber nunmehr faktisch gezwungen, ihre Geschäftsgeheimnisse durch angemessene Schutzmaßnahmen zu sichern.
Ansätze für geeignete Schutzmaßnahmen
Die anzuwendenden Maßstäbe sind aufgrund der weiten Formulierung und bislang fehlender Rechtsprechung noch unklar. Für Hochschulen und Forschungseinrichtungen ist es daher besonders wichtig, ihre Organisationsstruktur zu analysieren, den individuellen Schutzbedarf festzustellen und rechtzeitig dem Wert der Geheimnisse entsprechende, angemessene Maßnahmen zu ergreifen.
Für die Wahl geeigneter und angemessener Schutzmaßnahmen stehen keine Pauschallösungen parat. Hochschulen und Forschungseinrichtungen müssen diese individuell für ihre Organisationsstrukturen erstellen, regelmäßig überprüfen und ggf. anpassen. Dabei sind technische, organisatorische und rechtliche Maßnahmen miteinander zu verknüpfen. Zunächst sollten im Rahmen eines Risk-Assessments die geheimhaltungsbedürftigen Informationen und die größen- und branchenspezifischen Risiken ermittelt und bewertet werden sowie institutionsinterne und -externe Maßnahmen zur Abschwächung der Risiken identifiziert werden.
Es werden nicht für alle Informationen gleichermaßen strenge Geheimhaltungsmaßnahmen zu ergreifen sein, zu niedrig angesetzte Maßstäbe haben allerdings weitreichende Konsequenzen: Die Information wird dann nicht als Geschäftsgeheimnis klassifiziert, sodass der Informationsinhaber seine Inhaberschaft an der Information und damit einhergehend ihren wirtschaftlichen Wert verlieren würde. Angesichts der fehlenden Rechtsprechung zum Begriff der Angemessenheit sollten daher zunächst besonders strenge Maßstäbe angesetzt werden.
Rechtsfolgen bei Verletzung
Nur wenn der Geheimnisinhaber seine Geschäftsgeheimnisse angemessen geschützt hat, stehen ihm im Falle einer Rechtsverletzung durch einen Dritten nach den §§ 6 ff. GeschGehG weitreichende Ansprüche zu: Zunächst kann er die Unterlassung der Rechtsverletzung sowie die Herausgabe bzw. die Vernichtung der entsprechenden Unterlagen fordern. Ferner darf er gegen die Verbreitung von rechtsverletzenden Produkten vorgehen (Rückruf, Angebotseinstellung, Vernichtung) und er verfügt über Auskunfts- und Schadensersatzansprüche. Er kann darüber hinaus die Veröffentlichung des Urteils über die Rechtsverletzung auf Kosten des Rechtsverletzers beantragen. Wurde die Klage abgewiesen, kann dies jedoch auch andersherum vom mutmaßlichen Rechtsverletzer auf Kosten des Geheimnisinhabers gefordert werden.
Bei Rechtsverletzung drohen strafrechtliche Sanktionen: diese können Freiheitsstrafen von bis zu fünf Jahren bedeuten (z.B. bei gewerblichem Handeln). Vor dem Hintergrund des geplanten Unternehmensstrafrechts (Verbandssanktionengesetz) ist vor allem zu beachten, dass Rechtsverletzer auch juristische Personen sein können, insbesondere auch Hochschulen, wenn sie nicht hoheitlich tätig sind, z.B. in wirtschaftlichen Tätigkeiten wie der Auftragsforschung.
Umgekehrt betrachtet, haftet der Unternehmensinhaber auch, wenn der Rechtsverletzer Beschäftigter oder Beauftragter seines Unternehmens ist. Neben dem Schutz der eigenen Geschäftsgeheimnisse muss der Unternehmensinhaber deshalb sicherstellen, dass aus seinem Unternehmen heraus keine fremden Geschäftsgeheimnisse verletzt werden. Genau diese Pflicht trifft nunmehr auch Hochschulen und öffentlich finanzierte Forschungseinrichtungen, die häufig mit fremden Geheimnissen in Berührung kommen, etwa bei Kooperationen und gemeinsamen Forschungsprojekten.
Das neue Geschäftsgeheimnisgesetz sieht allerdings eine gesetzliche Ausnahme vor: Eine Offenlegung von Geschäftsgeheimnissen durch Whistleblower ist dann rechtmäßig, wenn diese zur Aufdeckung rechtswidriger Handlungen, beruflichen oder sonstigen Fehlverhaltens führt und geeignet ist, öffentliche Interessen zu schützen (§ 5 Nr. 2 GeschGehG). Bei dieser weitreichenden und konturenlosen Regelung bleibt abzuwarten, wie diese von der Rechtsprechung künftig ausgelegt und angewandt wird.
Handlungsbedarf bei Hochschulen und Forschungseinrichtungen
Nicht nur bei den Unternehmen besteht aufgrund der gesetzlichen Neuregelungen Handlungsbedarf. Auch Forschungseinrichtungen und Hochschulen sind aufgrund des GeschGehG dazu verpflichtet, Maßnahmen zum Schutz von Geschäftsgeheimnissen zu ergreifen. Diese Verpflichtung bezieht sich sowohl auf die eigenen als auch auf fremde Geschäftsgeheimnisse, in deren Kenntnis Mitarbeiter der Hochschule durch die Zusammenarbeit mit Dritten gelangen können. Der Schutz von Know-how hat bei Hochschulen und bei mit diesen zusammenarbeitenden Unternehmen eine hohe Bedeutung. Erlangtes Wissen und Forschungsergebnisse können nicht immer durch anderweitige Schutzrechte (z.B. Patente) abgesichert werden, bedürfen aber dennoch der Geheimhaltung, um den Wettbewerbsvorteil und somit den wirtschaftlichen Wert zu erhalten. Der Schutz dieser Informationen ist somit zwingend notwendig.
Mögliche Maßnahmen können u.a. Zugangskontrollen und technische Schutzmaßnahmen, Protokollierungen von Gesprächen sowie vertragliche Absicherungen sein. Im Zweifel muss der Geheimnisinhaber die Ergreifung von Schutzmaßnahmen sowie deren Angemessenheit beweisen können. Dies wird regelmäßig nur dann möglich sein, sofern ein funktionierendes Compliance-System implementiert ist. Das Compliance-System sollte so ausgestaltet sein, dass ebenfalls sichergestellt wird, dass aus der eigenen Hochschule oder Forschungseinrichtung heraus keine fremden Geschäftsgeheimnisse widerrechtlich genutzt werden, um nicht Gefahr zu laufen, selbst in Anspruch genommen zu werden.
Folgen der Nichtbeachtung
Wer die neuen gesetzlichen Voraussetzungen des Geheimnisschutzgesetzes nicht vollständig umsetzt, läuft Gefahr, dass seine Geheimnisse nicht wirksam geschützt sind und rechtlich der freien Nutzung und Verwertung durch andere unterliegen. Dies bleibt jedoch unter Umständen nicht die einzige negative Folge – nicht handelnde Hochschulen und Forschungseinrichtungen laufen Gefahr, Adressaten von Ansprüchen etwaiger Mitbewerber oder künftigen Unternehmensstrafen zu werden. Die Folge können erhebliche Schadensersatzforderungen gegen Hochschulen und Forschungseinrichtungen sein, die unbedingt durch das rechtzeitige Handeln bezüglich der neuen gesetzlichen Regelungen vermieden werden sollten.
© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.
KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.