Der Schutz von Geschäftsgeheimnissen war selten so komplex und gleichzeitig dringlich wie heute. KI-gestützte Arbeitstools und flächendeckendes mobiles Arbeiten haben den Arbeitsalltag, aber auch das Risikobild in den vergangenen Jahren erheblich verändert.
Sieben Jahre nach Inkrafttreten des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) besteht in der Praxis weiterhin vielerorts Rechtsunsicherheit darüber, wann ein Schutzkonzept vorliegt, das die Anforderungen von § 2 Nr. 1 lit. b GeschGehG an das Vorliegen ausreichender und angemessener Maßnahmen, mithin eines Geschäftsgeheimnisses, erfüllt. Das Bundesarbeitsgericht (BAG) hat mit seinem Urteil vom 17.10.2024 (Az. 8 AZR 172/23, NZA 2025, 112) erstmals höchstrichterlich grundlegende Fragen beantwortet und unmissverständlich klargestellt: Wer seinen gesetzlichen Geheimnisschutz im Streitfall nicht belegen kann, verliert ihn.
Das BAG-Urteil vom 17.10.2024
Gegenstand des Revisionsverfahrens war die Klage einer führenden Herstellerin von Füllmaschinen für Lebensmittel und Getränke, die von einem ehemaligen Arbeitnehmer aus dem Forschungs- und Entwicklungsbereich Unterlassung der Weitergabe von Leistungsdaten und Prozessparametern gemäß § 6 Abs. 1 GeschGehG begehrte. Der Arbeitnehmer hatte während seiner Beschäftigung per E-Mail sensible Leistungsdaten an ein Konkurrenzunternehmen weitergeleitet. Strittig war nicht allein, ob die betroffenen Informationen den Anforderungen an ein Geschäftsgeheimnis genügten, sondern vor allem, ob die Klägerin hinreichende Schutzmaßnahmen nachweisen konnte. An diesem Punkt scheiterte das Unternehmen, so dass ein entsprechender Anspruch aus dem GeschGehG gegen den Arbeitnehmer ausschied.
Das BAG wies die Revision der Arbeitsgeberin als unbegründet ab und bestätigte damit die Urteile des Arbeitsgerichts Aachen (Urteil vom 13.01.2022 – Az. 8 Ca 229/20) sowie des Landesarbeitsgerichts Köln (Urteil vom 28.09.2022 – Az. 11 Sa 128/22) in vollem Umfang. Das Urteil enthält mehrere wegweisende Aussagen, die in der Praxis unmittelbaren Handlungsbedarf auslösen:
Einzelfallabhängigkeit der Anforderungen
Die konkreten Anforderungen an angemessene Geheimhaltungsmaßnahmen hängen von der Art des Geschäftsgeheimnisses und den Umständen der Nutzung ab. Ein Minimum an Maßnahmen ist nicht ausreichend, ein perfekter Schutz gleichwohl nicht geschuldet (OLG Hamm, Urteil vom 15.09.2020 – Az. I-4 U 177/19).
Catch-all-Klauseln
Das BAG bestätigte, dass pauschale Geheimhaltungsklauseln, die sämtliche unternehmensinternen Informationen ohne nähere Bestimmung als schützenswerte Geschäftsgeheimnisse erfassen, gemäß §§ 305, 307 Abs. 1 BGB unwirksam sind. Sie verstoßen gegen das Transparenzgebot und beeinträchtigen die durch Artikel 12 Abs. 1 Grundgesetz (GG) geschützte Berufsfreiheit der Arbeitnehmer. Ausdrücklich stellte das BAG klar, dass diese Rechtsfolge nicht aus dem GeschGehG selbst folge und der Gesetzgeber die bereits zuvor erarbeiteten Anforderungen an vertragliche Verschwiegenheitsverpflichtungen nicht ändern wollte. Allenfalls konkret bestimmte Einzelgeheimnisse könnten durch Vereinbarungen wirksam erfasst sein.
Nachwirkende Treuepflicht
Das BAG verneinte überdies einen automatischen Verstoß gegen die nachwirkende Treuepflicht nach § 241 Abs. 2 BGB und stellte insoweit das durch Artikel 12 Abs. 1 GG geschützte Interesse des Arbeitnehmers an der Verwertung seines im Beschäftigungsverhältnis erworbenen Wissens hervor.
Beweislast
Der Inhaber des Geheimnisses trage die vollständige Darlegungs- und Beweislast für das Bestehen und die Anwendbarkeit seiner Schutzmaßnahmen. Wer diese nicht konkret belegen könne, verliere den gesetzlichen Schutz und das unabhängig vom Wert der betroffenen Information.
Mobiles Arbeiten und KI: Unterschätzte Risiken im sich wandelnden Unternehmensalltag
KI-Tools und KI-gestützte Analyse- und Recherchedienste gehören in vielen Unternehmen längst zum täglichen Workflow. Das damit verbundene Risiko für Geschäftsgeheimnisse wird dabei häufig unterschätzt. Ein strukturelles Problem liegt in der Funktionsweise vieler externer KI-Dienste, welche Eingaben der Nutzer zur Verbesserung des Modells nutzen, extern speichern oder in anderen Verarbeitungskontexten weiterverwenden. Gibt ein Mitarbeiter Geschäftsgeheimnisse in ein nicht kontrolliertes KI-Tool ein, können diese Informationen den geschützten Bereich des Unternehmens verlassen. Dies geschieht gegebenenfalls ohne (böswillige) Absicht und/oder ohne nach außen sichtbar zu werden.
Ein Schutzkonzept, das den Umgang mit KI-Tools nicht ausdrücklich umfasst, ist nach dem heutigen Stand unvollständig. Es genügt den Anforderungen von § 2 Nr. 1 lit. b GeschGehG nicht, wenn die naheliegenden Risikopotentiale des modernen Arbeitsalltags ungeregelt bleiben.
Konkrete Maßnahmen
Jedes Unternehmen sollte eine eigenständige, unmissverständlich formulierte KI-Richtlinie einführen, die klar definiert, welche Tools für welche Zwecke genutzt werden dürfen. Eindeutige Vorschriften, welche Kategorien von Informationen in welche externe KI-Anwendungen eingespeist werden dürfen, sind entscheidend.
Ergänzend dazu sollten technische Zugangsbeschränkungen implementiert werden. Browser-Plugins, Netzwerksperren oder Endpoint-Management-Lösungen können die Nutzung nicht zugelassener KI-Anwendungen einschränken oder zumindest bei jeder Benutzung aktiv und unmissverständlich auf die geltenden Richtlinien hinweisen.
Unverzichtbar sind zudem regelmäßige, dokumentierte Schulungen mit konkreten Praxisbeispielen zur Veranschaulichung.
Arbeiten außerhalb der Büroräume
Die Verbreitung ortsunabhängigen Arbeitens hat die Beherrschbarkeit klassischer Schutzmaßnahmen erheblich erschwert. Ob im Homeoffice, Coworking-Space oder öffentlichen Umgebungen, müssen Geschäftsgeheimnisse auch außerhalb der „klassischen“ Büroräume geschützt werden. Die betriebliche Infrastruktur, auf die sich traditionelle Konzepte stützten, wie zum Beispiel physische Zugangssperren, greift heute nur noch eingeschränkt. Besonders risikoträchtig sind der Zugriff über private oder öffentliche WLAN-Verbindungen sowie die Übertragung sensibler Dateien auf private Endgeräte oder private E-Mail-Accounts.
Ein wirksames Schutzkonzept muss diese Lücke schließen. Ausdrückliche Verbote der Dateiübertragung auf private Geräte, die technische Pflicht zur VPN-Nutzung bei externem Systemzugriff, die regelmäßige Überprüfung der eingesetzten Tools auf ihre Sicherheitsstandards sowie gezielte Schulungen, die Arbeitnehmer zu einem verantwortungsvollen, selbständigen Umgang befähigen, sind dringend erforderlich. Dabei dürfen die seit Jahren existierenden Schwachstellen wie Vorschriften zu Telefonaten in der Öffentlichkeit oder manueller Sicherung der Geräte nicht vergessen werden, es bedarf jedoch umfassender Ergänzungen, um der flexiblen Arbeitsplatzgestaltung gerecht zu werden.
Weitere Anforderungen an Schutzkonzepte
Vorbereitung und Personalauswahl
Grundlage jedes Schutzkonzepts ist eine vollständige Bestandsaufnahme aller Geschäftsgeheimnisse, ihrer Aufbewahrungsorte und Zugriffsberechtigungen, auf deren Basis die Schutzmaßnahmen risikobasiert abgestuft werden (BT-Drucks. 19/4724, S. 24 f.). Bereits bei der Personalauswahl können im Rahmen der Datenschutz-Grundverordnung (DSGVO) und von § 26 Bundesdatenschutzgesetz (BDSG) Backgroundchecks durchgeführt werden, zum Beispiel durch Recherche öffentlicher Informationen, die der Bewerber eigenständig veröffentlicht hat (LAG Düsseldorf, Urteil vom 12.04.2024 – Az. 12 Sa 1007/23).
Technische und organisatorische Schutzmaßnahmen
Das als Mindeststandard anerkannte Need-to-know-Prinzip (OLG Stuttgart, Urteil vom 19.11.2020 – Az. 2 U 575/19) kann durch IT-seitige Zugangsbeschränkungen, automatische Vertraulichkeitshinweise beim Öffnen sensibler Dateien sowie physische Zugangskontrollen technisch umgesetzt werden. Flankiert werden kann dies durch verpflichtende, dokumentierte Schulungen im Onboarding sowie durch ein strukturiertes Offboarding, das die Rückgabe aller Unterlagen und Arbeitsmittel und die ausdrückliche Erinnerung an fortbestehende Geheimhaltungspflichten sicherstellt.
Vertragliche und kollektivrechtliche Absicherung
Für den Schutz nach dem Ausscheiden kann der Abschluss gesonderter nachvertraglicher Wettbewerbsverbote gemäß § 110 Gewerbeordnung (GewO) in Verbindung mit §§ 74 ff. HGB in Erwägung zu ziehen sein. Ergänzend können arbeitsrechtliche Weisungen gemäß § 106 GewO sowie Betriebsvereinbarungen eingesetzt werden, wobei bei Überwachungsmaßnahmen die Mitbestimmungsrechte des Betriebsrats gemäß § 87 Abs. 1 Nr. 1, Nr. 6 Betriebsverfassungsgesetz (BetrVG) zu beachten sind. Von Catch-all-Klauseln hingegen ist aufgrund der AGB-Widrigkeit abzusehen.
Monitoring und Krisenmanagement
Das Gesamtkonzept sollte durch ein kontinuierliches Compliancemonitoring unter Benennung eines Verantwortlichen überwacht werden, der Verstöße identifiziert und das Konzept bei Bedarf anpasst. Für den Fall einer ungewollten Offenbarung sollte eine Krisenstrategie bereitstehen, die Sofortmaßnahmen sowie einen klaren Ablauf zur Beweismittelsicherung vorsieht.
Dokumentation als prozessuale Pflichtaufgabe
Das BAG hat in seinem Urteil vom Oktober 2024 bestätigt, dass die vollständige Darlegungs- und Beweislast für das Bestehen und die konkrete Anwendbarkeit des Schutzkonzepts beim Inhaber des Geheimnisses liegt. Ein pauschaler Verweis auf existierende IT-Sicherheitssysteme genügt nicht. Der Arbeitgeber muss substantiiert darlegen können, welche Arbeitnehmer nach Maßgabe der getroffenen Maßnahmen Zugang zu den konkret betroffenen Informationen hatten. Schulungsnachweise, versionierte Richtliniendokumente und Zugriffsprotokolle sind daher keine bürokratischen Formalitäten, sondern prozessuale Notwendigkeiten. Wer diese Dokumentation im Ernstfall nicht vorlegen kann, geht (trotz vorhandenem Schutzkonzept) leer aus.
Fazit
Geschäftsgeheimnisse schützen sich nicht von selbst. Angesichts der wachsenden Herausforderungen durch KI-Tools oder mobiles Arbeiten ist ein statisches Schutzkonzept unzureichend. Unternehmen müssen ihre Konzepte regelmäßig überprüfen, an technologische und organisatorische Realitäten anpassen und konsequent dokumentieren. Wer diese Daueraufgabe vernachlässigt, riskiert, im Streitfall den gesetzlichen Schutz seiner wertvollsten Informationen vollständig zu verlieren.


