Erhöhte Anforderungen an Inhaber von Geschäfts­geheimnissen

Artikel anhören
Artikel zusammenfassen
Teilen auf LinkedIn
Teilen per Mail
URL kopieren
Drucken

Fünf Jahre nach der Einführung des Gesetzes zum Schutz von Geschäftsgeheimnissen durch den deutschen Gesetzgeber besteht in der Praxis weiter­hin Rechtsunsicherheit darüber, wann ein Unternehmen seine Geschäftsgeheimnisse im Sinne von § 2 Nr. 1 b) Geschäftsgeheimnisgesetz (GeschGehG) ­beziehungsweise von Art. 2 der Richtlinie zum Schutz von Geschäftsgeheimnissen ausreichend schützt.

In den vergangenen Jahren hat die zivil- sowie arbeitsgerichtliche Rechtsprechung in Deutschland und in ­anderen europäischen Staaten versucht, Maßstäbe festzulegen, an denen sich Inhaber von Geheimnissen bei der Erstellung eines Schutzkonzepts orientieren können. So auch das Arbeitsgericht Aachen (Urteil vom 13.01.2022 – 8 CA 1229/20), bei dem ein Füllmaschinen­hersteller die Unterlassung der Weitergabe von Leistungsdaten und Prozessparametern gemäß § 6 Abs. 1 GeschGehG durch seinen ehemaligen Arbeitnehmer begehrte. Das Gericht wies die Klage ab, weil der Arbeitgeber nicht darlegen konnte, dass die streitentscheidenden Informationen Geschäftsgeheimnisse im Sinne von § 2 Nr. 1 b) ­GeschGehG seien. Das Urteil ist vollumfänglich vom Landesarbeitsgericht (LAG) Köln (Urteil vom 28.09.2022 – 11 SA 128/22) bestätigt worden; es ist ­allerdings noch nicht rechtskräftig und es bleibt abzuwarten, ob die Richter am Bundesarbeitsgericht (Revision anhängig beim BAG – 8 AZR 172/23) die Gelegenheit ergreifen, um die Vorgaben an das Schutzkonzept zu präzisieren.

Erstellung eines Gesamtschutzkonzepts

Ein angemessenes Schutzkonzept muss zwar keinen ­perfekten Schutz gewährleisten, die Rechtsprechung hält ein Minimum an Schutzmaßnahmen aber auch nicht für ausreichend (OLG Hamm, 15.09.2020 – I-4 U 177/19). Zur Entwicklung eines Konzepts müssen zunächst alle Geschäftsgeheimnisse und die jeweiligen Aufbewahrungsorte sowie Zugangsberechtigungen identifiziert werden. Durch eine anschließende Kategorisierung der Geheimnisse nach dessen Bedeutung können die im Konzept entwickelten Maßnahmen entsprechend angepasst werden. Nach der Gesetzesbegründung des deutschen Gesetzgebers kommt es auf den Wert des ­Geschäftsgeheimnisses und die Entwicklungskosten, die Natur der Information, die Bedeutung für das Unternehmen, die Größe des Unternehmens, die üblichen ­Geheimhaltungsmaßnahmen in dem Unternehmen, die Art der Kennzeichnung der ­Informationen und auf ­vereinbarte vertragliche Regelungen mit Arbeit­nehmern und Geschäftsbetrieb an (BT-Drucksache 19/4724, S. 24 f.).

Verschiedene, abgestufte (Schutz-)Maßnahmen nötig

Ein Konzept sollte im besten Fall auf technischen und organisatorischen Maßnahmen beruhen und zudem von arbeitsrechtlichen Maßnahmen abgesichert werden. ­Folgende Maßnahmen kommen in Betracht:

  • Durchführung von Background-Checks: Vor der Einstellung können im erlaubten Rahmen der Datenschutz-Grundverordnung (DSGVO) und von § 26 Bundesdatenschutzgesetz (BDSG) beispielsweise allgemein zugängliche und vom Bewerber eigenständig hoch­geladene Informationen eingeholt werden. Erst kürzlich hat das LAG Düsseldorf (Urteil vom 12.04.2024 – 12 Sa 1007/23) bestätigt, dass das Googeln eines Kandidaten im Rahmen eines Besetzungsverfahrens zulässig sein kann.
  • Schulungen: Arbeitgeber können die Teilnahme an Schulungen (insbesondere im Rahmen des Onboarding-Prozesses) verlangen.
  • Need-to-know-Prinzip: Nach dem sogenannten Need-to-know-Prinzip sollten Arbeitnehmer und ­Arbeitnehmerinnen nur mit den für sie relevanten ­Informationen in Berührung kommen. Das Ober­landesgericht (OLG) Stuttgart (Urteil vom 19.11.2020 – 2 U 575/19) hat unter anderem dies als absoluten Mindeststandard für ein angemessenes Konzept ­erklärt.
  • IT-Maßnahmen: Durch Zugangskontrollen zu Daten und Räumlichkeiten kann die Umsetzung des Need-to-know-Prinzips gewährleistet werden. Reminder vor dem Öffnen einer Datei können auf deren Geheim­haltung hinweisen.
  • Besondere Maßnahmen beim ortsunabhängigen ­Arbeiten: Viele Maßnahmen sind beim ortsunabhängigen Arbeiten nur schwer umsetzbar und überprüfbar. Daher sind in diesem Bereich besondere Maßnahmen wie Verbote, Dateien an private Geräte oder private E-Mail-Accounts zu schicken, Schulungen oder die Überprüfung und der Wechsel von verwendeten Systemen und Tools aufgrund der höheren ­Zugriffsgefahr bei Verwendung privater oder öffent­licher WLANs nötig.
  • Offboarding-Verfahren: Ein Offboarding-­Verfahren kann unter anderem den Ablauf der Rückgabe ­aller im Besitz des Arbeitnehmers befindlichen, den Arbeit­geber betreffenden Unterlagen und Daten sowie ­Arbeitsmittel festlegen.
  • „Krisenstrategie“: Gelangen sensible Informationen an die Öffentlichkeit, sollte der Arbeitgeber eine „Krisen­strategie“ bereithalten. Diese sollte eine ­Bewertung und Minimierung der internen sowie ­externen Auswirkungen und einen Ablauf zur Ermittlung und ­Sicherstellung von Beweisen für mögliches Fehl­verhalten von Arbeitnehmern enthalten.
  • Geheimhaltungsklausel/Geheimhaltungsverein­barung: Bei Geheimhaltungsvereinbarungen oder Klauseln im Arbeitsvertrag ist zu beachten, dass ­sogenannte Catch-all-Klauseln (gemäß §§ 305, 307 Abs. 1 BGB) unwirksam sind, da diese intransparent (§ 307 Abs. 1 Satz 2 BGB) sind. Dies nahm auch das Arbeitsgericht (ArbG) Aachen im zuvor genannten Fall an. Manche Gerichte hingegen lassen eine bloße Umschreibung der geschützten Informationen ausreichen (vgl. ArbG Hamburg, Urteil vom 27.01.2022 – 4 CA 356/20). Sollte eine inhaltliche Beschreibung notwendig sein, könnten beispielsweise mit einem Verweis auf eine entsprechende Kennzeichnung die Geschäftsgeheimnisse ausgewiesen werden.
  • Nachvertragliches Wettbewerbsverbot: Wollen ­Arbeitgeber verhindern, dass Arbeitnehmer ihre ­gesammelten Erfahrungen für die Konkurrenz einsetzen, müssen diese eine zusätzliche Wettbewerbsverbotsklausel § 110 Gewerbeordnung (GewO) in Verbindung mit § 74 f. HGB vereinbaren. Absichern lassen sich Klauseln/Vereinbarungen durch die Einführung von Vertragsstrafen.
  • Weisungen: Durch Weisungen im Sinne von § 106 GewO kann der Arbeitnehmer zu einem bestimmten Umgang mit sensiblen Informationen verpflichtet ­werden. Dabei haben Arbeitgeber jedoch die Reichweite ihres Weisungsrechts zu berücksichtigen.
  • Betriebsvereinbarungen: Bei kollektivrechtlicher ­Regelung durch Betriebsvereinbarungen haben ­Arbeitgeber die Grundsätze zur Transparenz und ­Bestimmtheit zu wahren. Ferner sind bei Einführung von Überwachungsmaßnahmen die Mitbestimmungsrechte des Betriebsrats gemäß § 87 Abs. 1 Nr. 1 und Nr. 6 Betriebsverfassungsgesetz (BetrVG) sowie ­Unterrichtungspflichten gemäß § 90 Abs. 1 Nr. 2, 3, 4 BetrVG zu berücksichtigen. Betriebsvereinbarungen haben den Vorteil, dass nicht alle Arbeits­verträge der betroffenen Arbeitnehmer individuell geändert ­werden müssen.
  • Überwachung der Maßnahmen und Compliance: Zur Überwachung der Maßnahmen könnte der ­Arbeitgeber einen Verantwortlichen benennen. Dieser sollte die Einhaltung der Maßnahmen und die Teilnahme an den Schulungen überwachen sowie auf entsprechende Verstöße hinweisen.

Verpflichtung nach Ausscheiden aus Unternehmen

Zudem stellt sich die Frage, inwiefern Arbeitnehmer nach ihrem Ausscheiden aus dem Unternehmen zur ­Geheimhaltung verpflichtet werden können. Zwar ­umfasst die Treuepflicht des Arbeitnehmers (§ 241 Abs. 2 BGB) auch das Unterlassen der Weiterverwendung von ­Geschäftsgeheimissen. Das Arbeitsgericht Aachen hielt diese bloße Nebenpflicht jedoch für nicht ausreichend, um Teil eines angemessenen Schutzkonzepts zu sein. Die Arbeitnehmer müssen aus Transparenzgründen ­erkennen können, in welchem Umfang und von welcher ­Dauer sie eine Geheimhaltungspflicht trifft.

 

Beweislast trifft den Inhaber

Die Beweislast des Arbeitgebers umfasst das ­Bestehen eines Schutzkonzepts und entsprechender Maß­nahmen sowie die Geltung für das betroffene Geheimnis. ­Zudem muss der Arbeitgeber aufzählen können, welche ­betroffenen Informationen welchem Arbeitnehmer nach den getroffenen Maßnahmen zugänglich waren. ­Pauschale Verweise auf Zugangskontrollen und IT-Sicherheits­systeme sind dabei nicht ausreichend. Arbeitgeber sollten also Sicherheitskonzepte umfangreich dokumentieren, um Ansprüche erfolgreich geltend machen zu können.

Europaweites Schutzkonzept nötig

Europaweit tätige Arbeitgeber stehen vor der Herausforderung, ein einheitliches Schutzkonzept zu erstellen. Besonders herausfordernd ist, dass viele nationale Gesetzgeber und der europäische Gesetzgeber den Begriff der angemessenen Schutzmaßnahmen nicht näher definieren. Die Auslegung und gegebenenfalls die Rechtsfortbildung sind also den nationalen Gerichten überlassen, so dass sich unterschiedliche Anforderungen in den verschiedenen Ländern ergeben können.

Aufatmen lässt, dass große Teile der bisherigen nationalen Rechtsprechung ähnliche Kriterien wie in Deutschland anwenden. So hat beispielsweise die bulgarische Kommission für Wettbewerbsschutz (Urteil vom 24.02.2022 – K3K-873) entschieden, dass Catch-all-Klauseln nicht als Maßnahme ausreichen. Andererseits hat das Berufungsgericht Barcelona (Urteil vom 20.05.2022 – 853/2022) – entgegen der vorherrschenden Rechtsprechung – entschieden, dass allein die Vereinbarung einer Geheimhaltungsvereinbarung als Schutzkonzept ausreicht. Dies verdeutlicht, wie unbestimmt die europaweite Rechtsprechung sein kann und wie entscheidend der Einzelfall sein kann.

Fazit: Fortlaufende Analyse der Rechtsprechung und Anpassung des Schutzkonzepts

In Zukunft wird relevant sein, den Überblick über die ­jeweils geltende Rechtsprechung zu behalten und ­gegebenenfalls das Konzept länderspezifisch anzu­passen. Denn gewiss ist nur, dass die Anforderungen an die Schutzkonzepte in allen Mitgliedstaaten gestiegen sind. Besonders die Implementierung von recht­mäßigen Vertragsklauseln ist unter Beachtung des jeweiligen ­nationalen Rechts vorzunehmen.

 

Autor

Dr. Artur-Konrad Wypych Bird & Bird, Düsseldorf Rechtsanwalt, Fachanwalt für Arbeitsrecht, Partner artur.wypych@twobirds.com www.twobirds.com

Dr. Artur-Konrad Wypych
Bird & Bird, Düsseldorf
Rechtsanwalt, Fachanwalt für Arbeitsrecht, Partner

artur.wypych@twobirds.com
www.twobirds.com