Erhöhte Anforderungen an Inhaber von Geschäftsgeheimnissen – Internationales Schutzkonzept erforderlich

In den letzten Jahren hat die zivil- sowie arbeitsgerichtliche Rechtsprechung in Deutschland und anderen europäischen Staaten versucht Maßstäbe festzulegen, an denen sich Inhaber von Geheimnissen bei der Erstellung eines Schutzkonzeptes orientieren können. So auch das Arbeitsgericht Aachen (Urteil vom 13. Januar 2022, Az. 8 CA 1229/20, Vgl. "Risiken des Arbeitgebers bei mangelndem Geheimnisschutzkonzept"), bei dem ein Füllmaschinenhersteller die Unterlassung der Weitergabe von Leistungsdaten und Prozessparametern gem. § 6 Abs. 1 GeschGehG durch seinen ehemaligen Arbeitnehmer begehrte. Dieser war zuvor in dem Entwicklung- und Forschungsbereich beschäftigt und hatte noch während seiner Tätigkeit für den Arbeitgeber, Mails über Leistungsdaten und Parameter an ein Konkurrenzunternehmen gesendet. Strittig in dem Verfahren war unter anderem, ob die Informationen insgesamt bzw. in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert sind und ob der Hersteller angemessene Maßnahmen zum Schutz seiner Geheimnisse getroffen hat. Besondere Schwierigkeiten ergaben sich für den klagenden Arbeitgeber, die von ihm angeführten Maßnahmen nachweisen zu können. Das Urteil wurde vollumfänglich vom LAG Köln (Urteil vom 28. September 2022, Az. 11 SA 128/22) bestätigt; es ist allerdings noch nicht rechtskräftig und es bleibt abzuwarten, ob die Richter am Bundesarbeitsgericht (Revision anhängig beim BAG unter dem Az. 8 AZR 172/23) die Gelegenheit ergreifen, um die Vorgaben an das Schutzkonzept zu präzisieren.

Nach alldem stellt sich für Unternehmer die folgende Frage: 

„Wie kann ich meine Geschäftsgeheimnisse angemessen und rechtssicher schützen und wie kann ich dies in einem entsprechenden Gerichtsverfahren darlegen und beweisen, um Ansprüche auf Unterlassung der Nutzung bzw. Schadensersatz wirksam geltend zu machen?“

Erster Schritt: Erstellung eines Gesamtschutzkonzeptes

Unternehmen müssen ein angemessenes Schutzkonzept entwickeln. Dieses muss zwar keinen perfekten Schutz gewährleisten, die Rechtsprechung hält ein Minimum an Schutzmaßnahmen aber auch nicht für ausreichend (OLG Hamm, 15. September 2020, Az. I-4 U 177/19). Zur Entwicklung eines Konzeptes müssen zunächst alle Geschäftsgeheimnisse und die jeweiligen Aufbewahrungsorte sowie Zugangsberechtigungen identifiziert werden. Die im Konzept entwickelten Maßnahmen müssen für jedes Geheimnis entsprechend dessen Bedeutung angemessen sein. Daher sollte, am Anfang der Erstellung eines Schutzkonzeptes, eine Kategorisierung der Informationen erfolgen, je bedeutender ein Geheimnis ist, desto umfangreicher müssen dessen Schutzmaßnahmen sein. Zur Festlegung der Bedeutung eines Geheimnisses könnte auf die Art und Nutzen der Information abgestellt werden. Weiteren Aufschluss gibt die Gesetzesbegründung, wonach es auf den Wert des Geschäftsgeheimnisses und Entwicklungskosten, die Natur der Information, die Bedeutung für das Unternehmen, die Größe des Unternehmens, die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen, die Art der Kennzeichnung der Informationen und vereinbarte vertragliche Regelungen mit Arbeitnehmern und Geschäftsbetrieb ankommt (BT-Drucks 19/4724, S. 24 f.).

Ein Gesamtkonzept erfasst im besten Fall den gesamten Zyklus eines Arbeitnehmers im Unternehmen. Von dem Recruitment bis hin zur Beendigung und der nachwirkenden Pflichten aus dem Arbeitsverhältnis.

Mix aus verschiedenen, abgestuften (Schutz-)Maßnahmen sinnvoll

Ein Konzept sollte im besten Fall auf technischen und organisatorischen Maßnahmen beruhen und zudem von arbeitsrechtlichen Maßnahmen abgesichert werden. Folgenden Maßnahmen kommen in Betracht:

Durchführung von Background Checks

Vor der Einstellung können Arbeitgeber über potenzielle Arbeitnehmer Background Checks durchführen, solange diese sich im von der DSGVO und § 26 BDSG erlaubten Rahmen bewegen. Zulässig ist beispielsweise die Einholung von Informationen, die der Bewerber eigenständig und allgemein zugänglich hochgeladen hat. Erst kürzlich hat das LAG Düsseldorf (Urteil vom 12. April 2024, Az. 12 Sa 1007/23) bestätigt, dass das Googeln eines Kandidaten an sich im Rahmen eines Besetzungsverfahrens zulässig sein kann.

Schulungen

Arbeitgeber können außerdem die Teilnahme an verpflichtenden Schulungen (insbesondere im Rahmen des Onboarding Prozesses) verlangen, die Arbeitnehmer im Umgang mit sensiblen Daten sensibilisieren und (aus-)bilden sollen.

Need-to-know-Prinzip

Nach dem sog. Need-to-know-Prinzip sollen Arbeitnehmer nur mit den für sie relevanten Informationen in Berührung kommen, um so den (unnötigen) Zugriff auf Informationen zu verringern. Das OLG Stuttgart (Urteil vom 19.11.2020, Az. 2 U 575/19) hat unter anderem dies als absoluten Mindeststandard für ein angemessenes Konzept erklärt.

IT-Maßnahmen

Im Bereich von IT-Maßnahmen sind insbesondere Zugangskontrollen zu Daten oder Räumlichkeiten möglich, sodass gewährleistet werden kann, dass Arbeitnehmer das Need-to-know-Prinzip umsetzen. Zudem können Arbeitnehmer durch einen Reminder vor dem Öffnen einer Datei, auf deren Geheimhaltung hingewiesen werden. Desweiteren sollten Systeme vor einem Zugriff durch Dritte ausreichend gesichert werden.

Zugangskontrollen

Nicht zu vernachlässigen ist der kontrollierte Zugang zum Betriebsgelände und der Räumlichkeiten des Arbeitgebers durch Einlasskontrollen und einer Überwachung durch Kameras. Darüber hinaus sollten sensible Bereiche nochmals abgesichert werden.

Besondere Gefahrenlage beim ortsunabhängigen Arbeiten

Besondere Herausforderungen ergeben sich für Arbeitgeber im Hinblick auf das mittlerweile sehr verbreitete ortsunabhängige Arbeiten (z. B. Telearbeit, Home-Office oder im Café) von Arbeitnehmern. Viele arbeitgeberseitige (Schutz-)Maßnahmen sind hier nur schwer umsetzbar und überprüfbar, umso wichtiger ist es die Arbeitnehmer im selbstständigen Umgang mit sensiblen Daten zu schulen und gleichzeitig anwendbare technische und organisatorische Maßnahmen zu treffen. Hierzu zählen beispielsweise, ein Verbot Dateien an private Geräte oder den privaten E-Mail Account zu schicken oder die Überprüfung der verwendeten Systeme und Tools und gegebenenfalls der Wechsel auf ein sichereres System, da gerade die Gefahr von externen Zugriffen auf interne Systeme durch die Verwendung des privaten oder öffentlichen W-Lans steigt.

Offboarding Verfahren

Neben Maßnahmen im Rahmen des Onboarding Prozesses kann ein Offboarding Verfahren eingeführt werden. Ein solches dient der Sicherung von Geschäftsgeheimnissen nach dem Ausscheiden von Arbeitnehmern aus dem Unternehmen. Das Offboarding kann den Ablauf der Rückgabe aller im Besitz des Arbeitnehmers befindlichen, den Arbeitgeber betreffenden Unterlagen und Daten sowie Arbeitsmittel klar definieren. Zudem kann der Arbeitnehmer in dem Zuge an seine Geheimhaltungspflichten sowie etwaige Wettbewerbsverbote erinnert werden.

Verfahren bei Offenbarung von Geschäftsgeheimnissen („Krisenstrategie“)

Gelangen sensible Informationen trotz benannter Maßnahmen an die Öffentlichkeit, sollte der Arbeitgeber eine „Krisenstrategie“ bereithalten. Die Aufarbeitung sollte eine Bewertung und Minimierung der internen sowie externen Auswirkungen enthalten. Zudem sollte ein klarer Ablauf zur Ermittlung und Sicherstellung von Beweisen für mögliches Fehlverhalten von Arbeitnehmern bestehen.

Geheimhaltungsklausel/ Geheimhaltungsvereinbarung

Bei Abschluss des Arbeitsvertrages sollte eine entsprechende (separate) Geheimhaltungsvereinbarung abgeschlossen werden oder gar eine entsprechende Klausel in den Arbeitsvertrag aufgenommen werden. Bei der Formulierung entsprechender Klauseln ist Vorsicht geboten. Sogenannte Catch-all-Klauseln sind (gem. §§ 305, 307 I BGB) unwirksam, da sie intransparent (§ 307 I S.2 BGB) sind und gegen die Berufsfreiheit gem. Art. 12 I GG der Arbeitnehmer verstoßen. Die Rechtsprechung verlangt gerade in Bezug auf das GeschGehG, dass diese auf bestimmte Informationen bezogen sind; generelle und pauschale Bezeichnungen sind nicht möglich und lassen den Schutz des GeschGehG entfallen. Dem Arbeitnehmer soll deutlich werden, welche Informationen geschützt sind. Manche Gerichte hingegen lassen eine bloße Umschreibung der geschützten Informationen ausreichen (vgl. ArbG Hamburg, Urteil vom 27.1.2022, 4 CA 356/20). Dies stellt die Praxis vor Probleme. Geheimnisse und deren Bedeutung ändern sich oft, und die Aufführung im Arbeitsvertrag ist aufgrund des oft großen Umfangs an geschützten Informationen, schwierig. Ob eine bloße Umschreibung oder doch eine inhaltliche Beschreibung notwendig ist, lässt sich nur am Einzelfall des Geschäftsgeheimnisses beurteilen. Sollte eine inhaltliche Beschreibung notwendig sein, könnten beispielsweise mit einem Verweis auf eine entsprechende Kennzeichnung die Geschäftsgeheimnisse ausgewiesen werden. Gerade Arbeitgeber, die noch in ihren Arbeitsverträgen Catch-all-Klauseln nutzen, haben somit Handlungsbedarf, um in Zukunft auch ihre Geheimnisse ausreichend schützen zu können.

Darüber hinaus stellt sich die Frage, inwiefern Arbeitnehmer nach ihrem Ausscheiden aus dem Unternehmen zur Geheimhaltung verpflichtet werden können. Grundsätzlich dürfen Arbeitnehmer nach ihrem Ausscheiden Geschäftsgeheimnisse nicht weiterverwenden. Dies folgt aus der Treuepflicht des Arbeitnehmers (§ 241 II BGB). Abzugrenzen sind diese von den vom Arbeitnehmer erworbenen Erfahrungen, diese muss er weiterhin einsetzen dürfen. Auch in dem Fall des ArbG Aachen war dies von Bedeutung, das Gericht schloss sich ausdrücklich nicht der teilweise in der Literatur vertretenen Meinung an, wonach die bloße Nebenpflicht ausreiche, um Teil eines angemessenen Schutzkonzeptes zu sein. Die Arbeitnehmer müssen aus Transparenzgründen erkennen können, in welchem Umfang und von welcher Dauer sie eine Geheimhaltungspflicht trifft.

Nachvertragliches Wettbewerbsverbot

Wollen Arbeitgeber verhindern, dass Arbeitnehmer ihre gesammelten Erfahrungen für die Konkurrenz einsetzen, müssen diese eine zusätzliche Wettbewerbsverbotsklausel § 110 GewO i.V.m. § 74 f. HGB vereinbaren. Absichern lassen sich Klauseln/Vereinbarungen durch die Einführung von Vertragsstrafen.

Weisungen

Geheimnisschutz kann durch den Arbeitnehmer verpflichtende Weisungen i.S.d. § 106 GewO erfolgen, indem der Arbeitnehmer zu einem bestimmten Umgang mit sensiblen Informationen verpflichtet wird. Dabei haben Arbeitgeber jedoch die Reichweite ihres Weisungsrechts zu wahren und bei ihren Weisungen zu berücksichtigen.

Betriebsvereinbarungen

Neben individuellen Maßnahmen können Arbeitnehmer auch durch Betriebsvereinbarungen kollektivrechtlich zur Geheimhaltung verpflichtet werden. Hierbei haben Arbeitgeber die Grundsätze zur Transparenz und Bestimmtheit zu wahren. Ferner sind bei Einführung von Überwachungsmaßnahmen die Mitbestimmungsrechte des Betriebsrates gem. § 87 I Nr.1 und Nr.6 BetrVG sowie Unterrichtungspflichten gem. § 90 I Nr. 2, 3, 4 BetrVG zu berücksichtigen. Betriebsvereinbarungen haben den Vorteil, dass nicht alle Arbeitsverträge der betroffenen Arbeitnehmer individuell geändert werden müssen.

Überwachung der Maßnahmen und Compliance

Flankiert werden sollten solche Maßnahmen durch eine stetige Überwachung der Einhaltung dieser Maßnahmen und Überprüfung der Wirksamkeit des Schutzkonzeptes sowie eventuelle Anpassung. Dazu könnten Arbeitgeber einen Verantwortlichen benennen, der die Einhaltung der Maßnahmen und die Teilnahme an den Schulungen überwacht sowie auf entsprechende Verstöße hinweist.

Beweislast bezüglich des Schutzkonzeptes trifft den Inhaber

Das Schutzkonzept und die ergriffenen Maßnahmen müssen vom Inhaber bewiesen werden. Die Beweislast des Arbeitgebers umfasst zum einen das Bestehen der Maßnahmen als solche und zum anderen auch, dass sie für das betroffene Geheimnis gelten. Pauschale Hinweise reichen indes nicht aus, der Unternehmer muss substantiiert darlegen können, wie er die Information geschützt hat. Wie der Beweis zu führen ist, hängt von der jeweiligen Maßnahme ab, bspw. könnten Schulungen über Bestätigungen der erfolgreichen Teilnahme nachgewiesen werden. Ein pauschaler Verweis auf Zugangskontrollen und andere IT-Sicherheitssysteme reicht nicht. Arbeitgeber müssen in der Lage sein, aufzuzählen, welche betroffenen Informationen welchem Arbeitnehmer nach den getroffenen Maßnahmen zugänglich waren. Auch deswegen sollten sich Arbeitgeber umfangreich mit ihrem Sicherheitskonzept beschäftigen, um später bei der Geltendmachung von Ansprüchen trotz Sicherheitskonzept nicht leer auszugehen.

Europaweites Schutzkonzept nötig

Weitere Herausforderungen stellen sich für internationale Arbeitgeber, die bspw. europaweit tätig sind. Diese werden aufgrund der Implementierung der Richtline zum Schutz von Geschäftsgeheimnissen vor die Herausforderung gestellt, ein europaweit geltendes Schutzkonzept zu erstellen.

Viele Gesetzgeber haben, wie der deutsche Gesetzgeber, den Begriff der angemessenen Schutzmaßnahmen nicht näher definiert, sodass die Auslegung und ggf. Rechtsfortbildung den nationalen Gerichten überlassen wird. Dies könnte zu unterschiedlichen Anforderungen in den verschiedenen Ländern führen. Gerade auch weil es der europäische Gesetzgeber unterlassen hat in den Erwägungsgründen zu der Richtlinie, Kriterien für einheitliche Anforderungen zu schaffen. Die nationalen Gerichte sind somit entsprechend frei darin, die Gesetze auszulegen. Aufatmen lässt, dass große Teile der bisherigen nationalen Rechtsprechung, ähnliche Kriterien wie in Deutschland anwenden. So hat beispielsweise die bulgarische Kommission für Wettbewerbsschutz (Urteil vom 24. Februar 2022, Az. K3K-873) entschieden, dass Catch-all-Klauseln nicht als Maßnahme ausreichen. Andererseits hat das Berufungsgericht Barcelona (Urteil vom 20. Mai 2022, Az. 853/2022), entgegen der vorherrschenden Rechtsprechung, entschieden, dass allein die Vereinbarung einer Geheimhaltungsvereinbarung als Schutzkonzept ausreicht. Dies verdeutlicht, wie unbestimmt die europaweite Rechtsprechung sein kann und der Einzelfall entscheidend sein kann.

Folglich wird es auch in Zukunft relevant sein, den Überblick über die jeweils geltende Rechtsprechung zu behalten und gegebenenfalls, das eigene Konzept länderspezifisch anzupassen. Denn gewiss ist nur, dass die Anforderungen an die Schutzkonzepte in allen Mitgliedstaaten gestiegen sind. Zusätzlich zu einem europaweit angemessenen Schutzkonzept, müssen Arbeitgeber diese Methoden europaweit umsetzen können. Besonders die Implementierung von rechtmäßigen Vertragsklauseln, ist unter Beachtung des jeweiligen nationalen Rechts vorzunehmen.

Weiterführende Informationen zu diesem Thema:

International geltende Anforderungen an Geheimhaltungsvereinbarungen und nachträgliche Wettbewerbsverbote

Weiterlesen

Webinaraufzeichnung mit einer Case Study zum Schutz von Geschäftgeheimnissen (englischsprachig)

Ansehen

Top Tips zu Geschäftgeheimnissen im Überblick

Herunterladen