Ab dem 26. April 2020 gilt das neue Geschäftsgeheimnisgesetz.
Was sie dazu wissen müssen.
Der Wandel zur „Informationsgesellschaft“ wird von Digitalisierung und Industrie 4.0-Projekten begleitet. Erfolg misst sich zunehmend an der Fähigkeit nicht nur IP-Rechte, wie Patente und Urheberrechte, sondern auch Wissen und Daten zu generieren und zu schützen. Der Schutz von Daten war lange problematisch. Am 21. März diesen Jahres wurde das Geschäftsgeheimnisgesetz verabschiedet. Es setzt eine neue europäische Richtlinie um, die den bislang lückenhaften Schutz von Geheimnissen und damit auch Daten auf völlig neue Füße stellt. So wichtig, wie die DSGVO ist für die Daten von natürlichen Personen, so wichtig ist das Geschäftsgeheimnisgesetz für die Daten von Unternehmen. Ein Geheimnis sind Daten, die nicht jeder kennt und die deshalb einen Wert haben – und deswegen besonders geschützt werden.
Cloud-Anbieter gehen höhere Risiken ein
Bislang schon drohten die Geldstrafen gemäß DSGVO bei Verstößen gegen die Regeln zum Datenschutz und der Datensicherheit für personenbezogene Daten von natürlichen Personen. Auch Bußgelder konnten in solchen Fällen verhängt werden. Die bisherige Entwicklung zeigt, dass die deutschen Behörden sehr maßvoll vorgehen. Sehr selten wurden Beträge in fünfstelliger Höhe verhängt, meistens weit darunter.
Nun tritt aber hinzu eine Haftung für Unternehmensdaten, wenn diese ein Geheimnis darstellen und fahrlässig durch das Fehlen oder das Versagen von technischen oder organisatorischen Maßnahmen an Dritte gelangen. Dies war bislang kein Risiko mit hoher Relevanz, weil es nahezu unmöglich ist, den entstehenden Schaden bei einem Verlust der Geheimhaltung zu berechnen und zu beweisen. Das Gesetz zwang den Inhaber des Geheimnisses nachzuweisen, welche finanzielle Einbuße er genau erlitten hat, weil das Geheimnis öffentlich wurde. Klar ist, dass wichtiges Know-how nun dem Wettbewerb zufließen kann. Aber wie hoch, in Euros, ist der Schaden?
Das Geschäftsgeheimnisgesetz eröffnet nun die Möglichkeit, bei einem fahrlässigen Bruch eines NDA (Non-disclosure Agreement, kurz NDA) eine Pauschale als Schadenersatz zu verlangen, ohne nachweisen zu müssen, dass ein Schaden entstanden ist oder in welcher Höhe (§ 10 Abs. 3 GeschGG). Die Gesetzesbegründung verweist auf die ähnliche Norm des § 97 Abs. 2 Urhebergesetz, wonach die Höhe des Schadens nur der „Billigkeit“ entsprechen muss. Billigkeit bedeutet in diesem Kontext, dass sich die Schadenshöhe in einem vernünftigen Rahmen bewegen muss und keine anderweitigen Beseitigungsalternativen vorhanden sein dürfen. Um es auf den Punkt zu bringen, den sogenannten „Billigkeitsanforderungen“ des Gesetzes werden insbesondere Verletzungen von Geschäftsgeheimnissen sehr schnell gerecht. Denn wie bei vergleichbaren urheberpersönlichkeitsrechtlichen Fällen handelt es sich bei derartigen Schäden nicht nur um Rufschädigungen, sondern um das Abhandenkommen wirtschaftlich kostbaren Know-Hows, welches in fremde Hände gerät.
Die Rechtsprechung orientiert sich bei der Entscheidung über die Höhe des immateriellen Schadens oft an sogenannten fiktiven Lizenzgebühren, die für die jeweilige Nutzung zu zahlen wären. Dies kann bei verlorengegangenem Know-how ein erheblicher Betrag sein, je nach Bedeutung der Unternehmensdaten können hohe Schadensersatzforderungen entstehen, ohne dass nachgewiesen werden müsste, dass überhaupt ein konkreter Schaden entstanden ist.
Wichtig deshalb: Cloud-Anbieter sollten die Haftungshöhe daher in ihren Kundenverträgen so regeln, dass ein Risiko möglichst gering gehalten wird. Ob dies mit einer einfachen Begrenzung der Haftung auch durchsetzbar ist, bleibt offen.
Geheimhaltungsvereinbarungen bekommen neuen Biss
Die wenigsten Geheimhaltungsvereinbarungen (Non-disclosure Agreement) enthalten Vertragsstrafen für den Fall der Nichtbeachtung. Das ist für den Vertragsteil, der seine wertvollen Daten einem anderen überlässt, ein Problem. Denn auch hier gilt, dass es nahezu unmöglich ist, den entstehenden Schaden bei einem Verlust der Geheimhaltung zu berechnen und zu beweisen. Dies war aber Voraussetzung, um Schadenersatz zu erhalten.
Nunmehr gilt auch hier die zuvor beschriebene Pauschalisierung: Auch ohne Nachweis, dass ein Schaden entstanden ist oder in welcher Höhe kann eine Pauschale verlangt werden, die der Billigkeit entspricht. Damit ist faktisch jeder NDA mit einer gesetzlichen Regelung versehen, die wie eine Vertragsstrafe wirkt.
Damit empfiehlt es sich Geheimhaltungsvereinbarungen an zwei Stellen zu ändern:
Erstens: Die Sorgfalt, mit der ein Geheimnis zu schützen ist, muss präziser als bislang definiert werden. Welche technischen und organisatorischen Maßnahmen konkret zu treffen sind, bemisst sich an dem Risiko und dem Aufwand, der betrieben werden muss. Ein Hinweis auf das Grundschutzhandbuch des BSI und eine Zertifizierung nach ISO 27001, ISO 27002 und ISO 15408 ist eher dem Mindeststandard zuzuordnen. In bestimmten Branchen sind Regelungen, wie MaRisk, BSI-Gesetz und andere anzuwenden.
Zweitens: Die Höhe des Schadenersatzes bei Verletzung einer Geheimhaltungspflicht muss in der Geheimhaltungsvereinbarung geregelt werden. Tut man dies nicht, gilt die gesetzliche Regelung. Danach muss ohne Nachweis eines tatsächlichen Schadens, eine Pauschale gezahlt werden, deren Höhe beträchtlich sein kann. Leider kann damit bei jedem neuen NDA eine Verhandlung über eine Haftungsbegrenzung erforderlich sein.
Ein Beispiel: Ein Betreiber von Windkraftanlagen kann nun mit dem Hersteller der Windanlage vereinbaren, dass die Wetterdaten, die von der Anlage erhoben werden, ein Geschäftsgeheimnis sind und nur der Anlagenbetreiber berechtigt ist, diese Daten zu verkaufen.
Ökonomisierung von Daten, neue Geschäftsmodelle
Daten sind das Öl des 21. Jahrhunderts. Künstliche Intelligenz benötigt viele Daten hoher Qualität um leistungsfähig zu werden. Daten erlauben präzisere Vorhersagen, die einen Wettbewerbsvorteil bieten, also ökonomischen Wert haben. Ein Beispiel: Ein Betreiber von Windkraftanlagen kann nun mit dem Hersteller der Windanlage vereinbaren, dass die Wetterdaten, die von der Anlage erhoben werden, ein Geschäftsgeheimnis sind und nur der Anlagenbetreiber berechtigt ist, diese Daten zu verkaufen. Interessenten können Versicherungen sein, die das Risiko für Schadensversicherungen besser berechnen wollen oder Energiehändler, die den Energiebedarf in einer bestimmten Region besser vorhersagen wollen als der Wettbewerber.
Dementsprechend ist beim bisherigen Geschäftsverlauf darauf zu achten, ob Daten entstehen, die bisher ohne Schutz einem Dienstleister oder Zulieferer zufließen. Regeln Sie daher vertraglich, dass diese Daten ein Geschäftsgeheimnis Ihres Unternehmens darstellen und nur ausdrücklich Ihnen zustehen.
Zuhören und Mitlesen verboten
Wer weiß oder zumindest erkennen könnte, dass sein Geschäftspartner Informationen in verbotener Weise erlangt hat, macht sich ebenfalls haftbar, wenn er sich die Geschäftsgeheimnisse ansieht, mitliest oder anhört. Wird in einer Präsentation erkennbar über Geschäftsgeheimnisse gesprochen, die der Präsentierende eigentlich nicht mitteilen dürfte, kann schon das Verbleiben im Raum zur zivilrechtlichen Haftung führen.
Zu beachten ist unter anderem § 4 Abs.3 GeschGehG. Demnach ist es ebenso eine rechtswidrige Handlung, wenn eine Person ein Geschäftsgeheimnis von einer anderen Person mitgeteilt bekommt und zum Zeitpunkt der Erlangung, Nutzung oder Offenlegung weiß oder wissen müsste, dass diese das Geschäftsgeheimnis genutzt oder offengelegt hat. Durch diese Neuerung könnte ein bloßes „Ansehen“ des Geschäftsgeheimnisses künftig als rechtswidrig erachtet werden. Bei Geschäftsgeheimnissen fremder Unternehmen ist also Vorsicht geboten.
Erlaubte Handlung
„Reverse Engineering“ wird endlich nach § 2 Abs.2 Nr.2 GeschGehG als rechtmäßiger Erwerb eines Geschäftsgeheimnisses normiert. Es gilt als rechtmäßiger Erwerb eines Geschäftsgeheimnisses, wenn es erlangt wurde durch „ein Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts oder Gegenstands, das oder der öffentlich verfügbar gemacht wurde, oder sich im rechtmäßigen Besitz des Beobachtenden, Untersuchenden, Rückbauenden oder Testenden befindet und dieser keiner Pflicht zur Beschränkung der Erlangung des Geschäftsgeheimnisses unterliegt.“
Die Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (kurz RL 2016/943), geht mit dem Versprechen an den Start für mehr Rechtssicherheit zu sorgen.
Damit wird einiges was bisher in einem Graubereich geschah eindeutig erlaubt. Das heißt aber noch nicht, dass Eigenheiten eines Produktes des Wettbewerbs frei genutzt werden können. Auch ohne Patentschutz oder ähnliches kann dies als „erweiterter Leistungsschutz“ wettbewerbswidrig sein. Allerdings ist noch offen wie das Verhältnis zu § 69e UrhG zu sehen ist, der eine Dekompilierung nur in sehr begrenztem Umfang erlaubt. Informationen die zugleich Geschäftsgeheimnis und urheberrechtlich geschützte Werke sind, werden immer noch vor Re-Engineering geschützt sein. Besteht kein urheberrechtlicher Schutz ist aber nunmehr vertraglich ausdrücklich das Re-Engineering zu untersagen. Dies gilt auch für Geheimhaltungsvereinbarungen.
Gastautor: Dr. Jan Bohnstedt und der Jurist
Dr. Jan Bohnstedt ist IT-Rechtsanwalt und auf die umfassende Betreuung und Unterstützung von Mandanten im IT-Recht, bei Datenschutz und Technologietransfer spezialisiert.