Geheimhaltungsmaßnahmen

Veröffentlicht am 3. März 2022

Angemessene Geheimhaltungsmaßnahmen

 

Im Juli 2016 trat die Richtlinie zum Schutz von Geschäftsgeheimnissen [1] (nachfolgend "GeschGeh-RL") in Kraft, und wurde in Österreich mittels UWG-Novelle 2018 in den §§ 26a ff. UWG in nationales Recht umgesetzt.

Dieses Schutzregime für Geschäftsgeheimnisse gibt Inhabern von bestimmten vertraulichen Informationen zahlreiche nützliche Rechtsverfolgungs- und Rechtsdurchsetzungsmechanismen an die Hand – vorausgesetzt, es handelt sich um ein Geschäftsgeheimnis im gesetzlichen Sinne, nämlich um Information, die

  • geheim ist, weil sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen zu tun haben, allgemein bekannt noch ohne weiteres zugänglich ist, und
  • von wirtschaftlichem Wert ist, weil sie geheim ist, und
  • Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person ist, welche die rechtmäßige Verfügungsgewalt über diese Informationen ausübt. [2]

 

Zu Beginn des letzten Jahres hat sich der OGH mit dem Tatbestandsmerkmal des "kommerziellen Wertes" auseinandergesetzt, und in seiner Entscheidung vom 26.01.2021 [3] das Vorliegen eines Geschäftsgeheimnisses mangels eines entsprechenden Wertes verneint. [4] In der genannten Entscheidung hat der OGH außerdem auch Feststellungen dazu getroffen, wann von einer "geheimen" Information auszugehen ist.

Keine höchstrichterliche Rechtsprechung hingegen liegt in Österreich bis dato dazu vor, was konkret unter "angemessenen Geheimhaltungsmaßnahmen" zu verstehen ist. Da der Geheimnisschutz aber mit der Einrichtung und Aufrechterhaltung einer geeigneten Zugriffs- und Zugangskontrolle steht und fällt, ist diesem objektiven Kriterium jedenfalls entscheidende Bedeutung zuzumessen, wenn man auf die Rechtsverfolgungs- und Rechtsdurchsetzungsinstrumente der GeschGeh-RL zurückgreifen möchte. Denn wenn auch nur eines der drei oben genannten, gesetzlichen Voraussetzungen fehlt bzw. wegfällt, ist das Vorliegen eines Geschäftsgeheimnisses im Sinne der GeschGeh-RL bzw. der §§ 26a ff. zu verneinen.

In einer vor dem Inkrafttreten der Geschäftsgeheimnis-Richtlinie erlassenen Entscheidung sprach der OGH aus [5], dass der Passwortschutz einer Datei eine geeignete Maßnahme darstellen kann. [6] Der OGH hat dann leider die Rechtssache 4 Ob 182/20y nicht dazu genutzt, die Frage nach dem Vorhandensein angemessener Schutzmaßnahmen aufzugreifen, obwohl der gegenständliche Sachverhalt durchaus Potential dafür gehabt hätte: der Beklagte war einerseits keiner ausdrücklichen Geheimhaltungsverpflichtung unterworfen, obwohl er andererseits offensichtlich (trotz Übergabeverpflichtung) eine Kopie des streitgegenständlichen Quellcodes behalten hatte. [7]

Als Anhaltspunkt können sicherlich die im Ministerialentwurf zur Umsetzung der GeschGeh-RL im UWG genannten möglichen angemessenen Maßnahmen dienen, wie z.B. die Weitergabe der Geschäftsgeheimnisse nur an ausgewählte vertrauenswürdige Personen oder IT-Sicherheitsmaßnahmen.[8] Einen höheren Grad an Rechtssicherheit wird aber erst eine entsprechende OGH-Rechtsprechung bringen.

In Deutschland hingegen haben sich Gerichte mit der Frage nach angemessenen Geheimhaltungsmaßnahmen bereits in einigen Entscheidungen auseinandergesetzt.[9] Im Ergebnis geht die deutsche Rechtsprechung davon aus, dass weder "optimaler Schutz" noch "extreme Sicherheit" zu verlangen sind. Vielmehr sei die Frage nach der Angemessenheit der Geheimhaltungsmaßnahmen nach objektiven Maßstäben und in einer Gesamtbetrachtung der betreffenden Maßnahmen zu beurteilen,[10] und das unternehmerische Schutzkonzept als Ganzes müsse kohärent und angemessen sein[11].[12]

Als Mindeststandard wurde aber z.B. vom OLG Stuttgart festgelegt, "dass relevante Informationen nur Personen anvertraut werden dürfen, die die Informationen zur Durchführung ihrer Aufgabe (potentiell) benötigen und die zur Verschwiegenheit verpflichtet sind"[13] (sogenanntes "need-to-know-Prinzip"[14]).[15]

Kritisch gesehen wird von den deutschen Gerichten außerdem, wenn Datenlecks nicht nachgegangen wird,[16] wenn die Speicherung von Daten auf privaten Datenträgern zugelassen wird,[17] wenn Unternehmen geheimhaltungsbedürftige, dienstliche Unterlagen nach Beendigung des Dienstverhältnisses nicht aktiv zurückfordern,[18] und/oder wenn bloß übergreifende und pauschale Geheimhaltungsverpflichtungen ("catch-all-Klauseln") in Dienstverträgen enthalten sind[19]. Jeder dieser Umstände kann – natürlich im Gesamtkontext der sonst getroffenen Maßnahmen – dazu führen, dass das Vorhandensein angemessener Geheimhaltungsmaßnahmen verneint wird.

In einer kürzlich (Januar 2022) getroffenen Entscheidung hält das Arbeitsgericht Aachen außerdem fest, dass "von einem weltweit tätigen Unternehmen [] größere und finanziell aufwändigere Sicherungsvorkehrungen erwartet werden [können] als von einem Handwerksbetrieb mit wenigen Angestellten".[20] Die dort klagende Partei behauptete eine rechtswidrige Weitergabe solcher Geschäftsgeheimnisse, welche, ihrer eigenen Ansicht nach, zentrale Bedeutung für ihren wirtschaftlichen Erfolg haben.

Laut dem AG Aachen[21] "ist [von der Klägerin] insbesondere darzustellen, welches konkrete Geheimhaltungsmanagement die Klägerin insgesamt anwendet, welche konkreten Daten bzw. Spezifikationen im Geschäftsverkehr geheim zu halten sind. Letztlich bedeutet dies seit Inkrafttreten des GeschGehG, dass ein konkretisiertes, auf die einzelnen Geheimnisse speziell abgestelltes Geheimschutzmanagement durchgeführt werden muss, um zu beweisen, welche Geheimnisse wie und wie lange welchem Schutz unterlagen und welche Personen hiermit in Kontakt kamen und dabei verpflichtet waren, Geheimnisse der Beklagten zu schützen." Da die Klägerin jedoch nicht in der Lage war, ganz konkret und im Detail darzulegen, welche konkreten technischen Sicherheitsmaßnahmen und Zugangskontrollsysteme bestanden, welche Schulungen gehalten wurden, und wie der Wortlaut, der Umfang und die Art der mit Mitarbeitern abgeschlossenen Geheimhaltungsvereinbarungen war, stellte das Gericht fest, dass es an einer Darlegung der Klägerin von nach den Umständen angemessenen Geheimhaltungsmaßnahmen fehlte, und verneinte das Vorliegen eines Geschäftsgeheimnisses.

Zur Vermeidung von Rechtsverlusten sollten Unternehmen jedenfalls die bestehenden Systeme und getroffenen Geheimhaltungsmaßnahmen kritisch analysieren und gegebenenfalls anpassen, und ein ganz klares und detailliertes Geheimhaltungsmanagement schaffen. Denn wer seine Ansprüche wegen rechtwidrigem/r Erwerb, Nutzung, und/oder Offenlegung auf das in der EU durch die GeschGeh-RL harmonisierte Schutzregime stützen will, muss darlegen, dass angemessene Geheimhaltungsmaßnahmen spätestens ab dem Zeitpunkt der jeweiligen Umsetzung der GeschGeh-RL in nationales Recht bestanden haben[22], in Österreich also ab dem 29.12.2018, in Deutschland ab dem 26.04.2019.

Zu berücksichtigen sind dabei vor allem auch die besonderen Herausforderungen der aktuellen Entwicklungen in der von Corona geprägten Arbeitswelt, nämlich die Sicherstellung einer angemessenen Geheimhaltung auch im Home-Office, wo der Dienstgeber naturgemäß weit weniger Einsicht in und Kontrolle über die Aktivitäten seiner Mitarbeiter hat.

Nicht zu vergessen bleibt in diesem Zusammenhang außerdem eine haftungsrechtliche Komponente des "Geheimnisschutz neu":  § 25 (1) des GmbH-Gesetzes normiert: "Die Geschäftsführer sind der Gesellschaft gegenüber verpflichtet, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden." Spätestens seit Umsetzung der GeschGeh-RL in nationales Recht gehört auch der richtige Umgang mit Geschäftsgeheimnissen, und damit auch die Berücksichtigung der GeschGeh-RL bzw. der §§ 26a ff. UWG zum Zweck des Schutzes von immateriellem Unternehmenseigentum, zu den Pflichten der Geschäftsführung. Fehlt die diesbezüglich vom Gesetz geforderte Sorgfalt, haftet der Geschäftsführer der Gesellschaft persönlich für daraus resultierende Konsequenzen.


--------------------------------

[1] RICHTLINIE (EU) 2016/943 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
[2] § 26b (1) Bundesgesetzes über den unlauteren Wettbewerb 1984 – UWG.
[3] OGH 4 Ob 188/20f vom 26.01.2021.
[4] Siehe dazu auch https://www.abp-ip.at/inside-raat/richtlinien-zum-schutz-von-geschaeftsgeheimnissen.
[5] mit Blick darauf, dass das Erreichen des mit der Richtlinie 2016/943/EU verfolgten Zieles nicht ernsthaft gefährdet sein darf.
[6] 4 Ob 165/16t vom 25.10.2016.
[7] 4 Ob 182/20y vom 10.12.2020, der wegen rechtswidriger Verwendung von Geschäftsgeheimnissen Beklagte war offenbar weiterhin im Besitz des streitgegenständlichen Software-Quellcodes, obgleich er doch der Klägerin die ausschließlichen Rechte am Code eingeräumt hatte, und zur Übergabe des Quellcodes verpflichtet gewesen ist. Andererseits wurde der Beklagte offensichtlich unter keine ausdrückliche Geheimhaltungsverpflichtung gestellt, denn eine solche Verpflichtung des Beklagten nahm der OGH nur implizit, aus dem Umstand der Einräumung von Werknutzungsrechten an der Software, bzw. auf Basis zwingend gesetzlicher Treuepflichten von Geschäftsführern, an.
[8] 58/ME XXVI. GP - Ministerialentwurf – Erläuterungen, zu § 26b; dort genannt: Weitergabe der Geschäftsgeheimnisse nur an ausgewählte vertrauenswürdige Personen; Erstellung einer Liste der Geschäftsgeheimnisse; Unternehmenspolitik betr. Geschäftsgeheimnisse und ihre nachvollziehbare Dokumentation; IT-Sicherheitsmaßnahmen; Mitarbeitergespräche; geübte Praxis, dass z.B. bestimmte Arbeitsschritte nur von bestimmten Personen durchgeführt werden.
[9] Vgl. dazu zB GRUR-Prax 2021, 615, mit einer Übersicht relevanter Entscheidungen.
[10] Vgl. etwa OLG Stuttgart, 19.11.2020, 2 U 575/19
[11] Vgl. Hauck in Münchener Kommentar zum Lauterkeitsrecht, 3. Auflage 2022, GeschGehG § 2 Rn. 21.
[12] Zu berücksichtigen sind insoweit insbesondere die Art des Geschäftsgeheimnisses , die konkreten Umstände der Nutzung, der Wert des Geschäftsgeheimnisses
und dessen Entwicklungskosten, die Natur der Informationen, die Bedeutung für das Unternehmen, die Größe des Unternehmens, die üblichen Geheimhaltungsmaßnahmen in dem Unternehmen, die Art der Kennzeichnung der Informationen und vereinbarte vertragliche Regelungen mit Arbeitnehmern und Geschäftspartnern, OLG Düsseldorf 11.3.2021, I-15 U 6/20, WRP 2021, 1080.
[13] OLG Stuttgart, 2 U 575/19, Rn 169.
[14] Vgl. Hauck in Münchener Kommentar zum Lauterkeitsrecht, 3. Auflage 2022, GeschGehG § 2 Rn. 44.
[15] Bestätigt unlängst auch in einer Entscheidung des AG Aachen, 8 Ca 1229/20, 13.01.2022.
[16] Ebenda Rn 170.
[17] Ebenda Rn 170.
[18] LAG Düsseldorf, 03.06.2020, 12 SaGa 4/20, Rn 82.
[19] LAG Düsseldorf, 03.06.2020, 12 SaGa 4/20, Rn 80 f.; Hofmarcher, Das Geschäftsgeheimnis (2020), Rz 2.43)
[20] Arbeitsgericht Aachen, 8 Ca 1229/20, 13.01.2022, Rn 81.
[21] AG Aachen, 8 Ca 1229/20, 13.01.2022, Rn 79ff.
[22] OLG Düsseldorf, 11.03.2021, 15 U 6/20. Leitsatz Nr. 3.
Dr. Casals Ide Katarina