Der von der Bundesregierung jüngst vorgelegte Gesetzesentwurf zur Umsetzung der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen zwingt Unternehmen zur Überprüfung und Ergänzung der internen Strukturen zum Geheimnisschutz. Fehlt es an einer ausreichenden und dokumentierten Geheimnisschutz-Compliance, kann dies erhebliche negative Folgen haben.
Während viele Unternehmen möglicherweise noch mit den Auswirkungen der Europäischen Datenschutz-Grundverordnung beschäftigt sind, steht bereits die nächste „Compliance-Hausaufgabe“ vor der Tür: Seit Juli 2018 wartet der Gesetzesentwurf zum neuen Geschäftsgeheimnisschutzgesetz (GeschGehG) auf seine Verabschiedung. Das Gesetz soll voraussichtlich Anfang 2019 in Kraft treten und die Anforderungen der EU-Geschäftsgeheimnisschutz-Richtlinie ins nationale Recht umsetzen. Ziel dieser 2016 erlassenen Richtlinie ist die Harmonisierung des Geheimnisschutzes in der EU, der bislang erhebliche Unterschiede aufwies. Beispielsweise gab es schon keine einheitliche Definition, was als Geschäftsgeheimnis galt und was nicht.
Das Gesetz dient dem besseren Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung und wird den Geheimnisschutz in Deutschland rechtlich auf gänzlich neue Füße stellen. Insbesondere verlieren die bisher einschlägigen Vorschriften im Gesetz gegen den unlauteren Wettbewerb (UWG) ihre Geltung. Stattdessen wird ein neues geheimnisspezifisches Verfahrensrecht eingeführt, die Rechtsdurchsetzung an die immaterialgüterrechtlichen Maßstäbe angepasst und ein umfangreicher Katalog von erlaubten und verbotenen Handlungen im Hinblick auf den Umgang mit Geschäftsgeheimnissen formuliert.
Unternehmen müssen sich auf einige Umstellungen gefasst machen. Dies beginnt bereits mit den erhöhten Anforderungen an das Bestehen eines Geschäftsgeheimnisses. Bislang war es insoweit ausreichend, wenn hinsichtlich einer wirtschaftlich relevanten, nicht offenkundigen Information der erkennbar gewordene Wille des Unternehmensinhabers vorlag, diese Information geheimzuhalten. Fortan ist zusätzlich erforderlich, dass der Inhaber „den Umständen nach angemessene Geheimhaltungsmaßnahmen“ ergreift, um für das Geheimnis Schutz beanspruchen zu können. Mithin gilt das Prinzip: „Nur wer schützt, wird geschützt“. Da der Inhaber in einem Prozess insoweit die Darlegungs- und Beweislast trägt, müssen die Schutzmaßnahmen wie etwa Cyber-Security-Konzept, adäquate Zugriffsberechtigungen, Werkschutzmaßnahmen oder Geheimhaltungsvereinbarungen zudem ausreichend dokumentiert werden. Somit wird eine Compliance-Strategie zum Geheimnisschutz erforderlich, bei der technische, organisatorische und rechtliche Maßnahmen miteinander zu verzahnen sind.
Erhebliche Auswirkungen auf die Praxis hat auch, dass das Erlangen von Geschäftsgeheimnissen im Wege von Reverse Engineering (Rückwärtsanalyse von Produkten) nunmehr nahezu einschränkungsfrei erlaubt ist. Insoweit besteht Handlungsbedarf in Vereinbarungen mit Kunden und Geschäftspartnern, um das Reverse Engineering so weit wie möglich vertraglich zu untersagen.
Der Zeitpunkt eignet sich jedenfalls, die betriebliche Architektur zum Geheimnisschutz sorgfältig zu überprüfen und zu vervollständigen. Sofern Unternehmen ihre „Hausaufgaben“ erledigen, führen die neuen Regelungen im GeschGehG zu einer signifikanten Verbesserung des Geheimnisschutzes.