Geheim ist nur, was auch geschützt wird
Von Thomas Hofer, LMU München
Der Bundestag hat am 21. März 2019 mit deutlicher Verspätung den von der Bundesregierung im Juli 2018 vorgelegten Entwurf (BT-Drucksache 19/4724) für ein Geschäftsgeheimnisgesetz (GeschGehG) zum Schutz von geheimen Unternehmensinformationen beschlossen. Nach breiter Kritik war der Gesetzentwurf in einigen Punkten nachgebessert worden.
Ausgangspunkt für den Entwurf des neuen Gesetzes war die europäische Richtlinie 2016/943 zum „Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ (GeschGehG). Sie soll Wirtschaftsspionage durch Wettbewerber und Geheimnisverrat in der EU wirkungsvoll und im Sinne eines einheitlichen Mindestschutzes verhindern. Ihre Umsetzungsfrist für die Mitgliedstaaten war bereits am 9. Juni 2018 abgelaufen.
Angemessene Geheimhaltungsmaßnahmen
Bislang war der Schutz von Geschäftsgeheimnissen uneinheitlich in verschiedenen Gesetzen verankert und vorwiegend über die Strafvorschriften der §§ 17 ff UWG (Gesetz gegen den unlauteren Wettbewerb) gewährleistet. Dieser regulative Rahmen genügte jedoch einer Umsetzung der Richtlinie nicht. Das neue GeschGehG soll den bisherigen Schutz verstärken und mehr Rechtssicherheit bieten. Bei den genannten Rechtsverletzungen sieht das Gesetz zivilrechtliche Ansprüche wie Unterlassung, Auskunft und Schadensersatz vor.
Nach § 2 GeschGehG sind Geschäftsgeheimnisse geheime geschäftliche Informationen, die für ihren Inhaber einen wirtschaftlichen Wert haben und Gegenstand angemessener Geheimhaltungsmaßnahmen sind. Voraussetzung für einen umfassenden Schutz von Geschäftsgeheimnissen ist also künftig, dass die Unternehmen angemessene Geheimhaltungsmaßnahmen getroffen haben und dies im Zweifel auch nachweisen können.
Beispiele für konkrete Maßnahmen, die der Gesetzgeber als angemessen einstuft, enthält das Gesetz allerdings nicht. Je höher der Stellenwert der jeweiligen Information für das Unternehmen ist, desto höher sind die Anforderungen an die zu treffenden Geheimhaltungsmaßnahmen. Ratsam ist daher zunächst eine abgestufte Klassifikation der bestehenden Geschäftsgeheimnisse, damit man im nächsten Schritt ein umfassendes Schutzkonzept schaffen kann.
Denkbare Geheimhaltungsmaßnahmen sind unter anderem technische Maßnahmen wie angemessene IT-Sicherheitskonzepte bzw. -systeme, physische Zugangshindernisse und eine Verschlüsselung der Kommunikation zwischen den Mitwissenden sowie organisatorische Maßnahmen wie Geheimnisschutzvereinbarungen in Arbeits-/Dienstverträgen mit Mitarbeitern, Dienstleistern und Geschäftspartnern.
Whistleblower und allgemeines öffentliches Interesse
Erstmals wird im GeschGehG das (in Unternehmenskreisen gefürchtete) Instrument des Whistleblowing gesetzlich geregelt. Die im Gesetzentwurf enthaltene Regelung dazu war besonders umstritten: Der Erwerb, die Nutzung oder die Offenlegung von Geschäftsgeheimnissen sollten ursprünglich nicht rechtswidrig sein, wenn die entsprechenden Handlungen „zum Schutz eines berechtigten Interesses“ erfolgten.
Damit ging der Entwurf über die EU-Richtlinie hinaus; er wurde nun derart nachgebessert, dass es Whistleblowern oder Journalisten jetzt grundsätzlich erlaubt ist, eine „rechtswidrige[] Handlung“ oder ein berufliches oder sonstiges Fehlverhalten aufzudecken, wenn die „Erlangung, Nutzung oder Offenlegung“ eines geschützten Geheimnisses „geeignet ist, das allgemeine öffentliche Interesse zu schützen“ (§ 5 GeschGehG). Whistleblower müssen sich also nicht auf einen spezifischen Rechtfertigungsgrund berufen können, und es findet auch keine Prüfung der individuellen Motivation statt.
Geschäftsgeheimnisse in Streitsachen
Auch in gerichtlichen Verfahren soll der Schutz von Geschäftsgeheimnissen verbessert werden: Dafür ist vorgesehen, dass bestimmte streitgegenständliche Informationen als geheimhaltungsbedürftig eingestuft werden können. Dies eröffnet die Möglichkeit einer Begrenzung des Personenkreises, dem Zugang zu Dokumenten und Verhandlungen im Klageverfahren eröffnet wird.
Berufsgeheimnisträger und „mitwirkende Personen“
Nicht zu verwechseln ist das GeschGehG mit dem in § 203 Abs. 1 und 3 StGB (Strafgesetzbuch) normierten strafrechtlichen Gebot der Verschwiegenheit für bestimmte Berufe (sogenannte Berufsgeheimnisträger wie z.B. Ärzte und Rechtsanwälte, aber auch Amtsträger).
Die Strafnorm über die Verletzung von Privatgeheimnissen hatte bis zu ihrer Reform im Herbst 2017 wenig mit der Art zu tun, wie Anwaltskanzleien, Arztpraxen, aber auch z.B. kleine Kommunalverwaltungen „funktionieren“: Diese Gruppen setzen seit Längerem in zunehmendem Umfang auf externe IT-Dienstleister für die Einrichtung und Wartung ihrer IT-Systeme.
Thomas Hofer ist Volljurist und Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München, außerdem ein langjähriger Referent und Dozent mit Spezialisierung auf IT-Compliance-Recht.
Akad. Dir. Thomas Hofer, riz@jura.uni-muenchen.de, www.jura.uni-muenchen.de/fakultaet/riz/index.html
Die Neufassung von § 203 Abs. 3 StGB klärt viele Streitfragen und erleichtert das Outsourcing. Der „berufsmäßige Gehilfe“ aus Großmutters Zeiten hat zwar die Reform überlebt, allerdings steht jetzt ohne jeden Zweifel fest, dass Informationen nicht nur an den „Gehilfen“, sondern auch an „sonstige mitwirkende Personen“ weitergegeben werden dürfen. Dies ist eine solide Grundlage für die Einbeziehung von Dienstleistern, sofern die nötigen Vertraulichkeitszusagen und -verpflichtungen beachtet werden.