Vor rund zwei Jahren trat das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft und ersetzte teilweise die bisherigen Regelungen aus dem Gesetz gegen den unlauteren Wettbewerb (UWG). Anders als bislang werden durch das neue Gesetz nur noch solche Informationen als Geschäftsgeheimnis geschützt, die von Unternehmen in besonderer Weise zum Gegenstand angemessener Geheimhaltungsmaßnahmen gemacht werden. Fehlen solche Maßnahmen, entfällt der Schutz des GeschGehG. Dies kann weitreichende Folgen für das betroffene Unternehmen haben. Entwendet beispielsweise ein Mitarbeiter nicht ausreichend gesicherte Informationen und gibt diese an einen Wettbewerber weiter, kann unter Umständen weder gegen den Mitarbeiter noch gegen den Wettbewerber zivil- oder strafrechtlich vorgegangen werden.
Lange war unklar, welche Anforderungen das Gesetz an die sog. „angemessenen Geheimhaltungsmaßnahmen“ stellt. Einen wichtigen Beitrag zur Konkretisierung dieses unbestimmten Rechtsbegriffs hat nun das OLG Stuttgart geleistet. In seinem Urteil vom 19. November 2020 gibt das OLG einige wichtige Hinweise darauf, welche Maßnahmen für einen Schutz nach dem GeschGehG zu ergreifen sind (Urteil v. 19. November 2020, Az. 2 U 575/19).
Danach hängen die konkret zu ergreifenden Geheimhaltungsmaßnahmen von mehreren Faktoren ab wie beispielsweise der Art und dem Wert des Geschäftsgeheimnisses, den konkreten Umständen der Nutzung, der Größe des Unternehmens oder den üblichen Geheimhaltungsmaßnahmen im Unternehmen.
Als "Mindeststandard" für die Angemessenheit der Geheimhaltungsmaßnahmen gilt dem OLG zufolge das sog. Need-to-know-Prinzip, das heißt "dass relevante Informationen nur Personen anvertraut werden dürfen, die die Informationen zur Durchführung ihrer Aufgabe (potentiell) benötigen und die zur Verschwiegenheit verpflichtet sind".
Darüber hinaus sind dem Gericht zufolge "den Umständen nach" weitere Maßnahmen zu ergreifen. Als "äußerst kritisch" sei es zu werten, wenn Unternehmen es zuließen, dass Dateien mit Geschäftsgeheimnissen auf privaten Datenträgern gespeichert würden, insbesondere wenn die Daten nicht passwortgeschützt seien. Denn dann sei ein Zugriff durch Dritte nahezu nie auszuschließen. Um einen effektiven Geheimnisschutz von Daten zu gewährleisten, sollten Unternehmen daher gegenüber ihren Mitarbeitern dokumentieren, dass das Speichern von sensiblen Informationen auf privaten Datenträgern unzulässig ist. Generell sollten sensible Daten nur mit Passwortschutz auf externe Datenträger gelangen.
Bei in Papierdokumenten verkörperten Geheimnissen muss der Entscheidung zufolge sichergestellt sein, dass diese gegen den Zugriff unbefugter Personen gesichert sind. So müsse beispielsweise der Raum oder die Stelle, an welchem die sensiblen Informationen aufbewahrt werden, verschlossen bzw. abgeschlossen werden.
Bemerkenswert ist, dass nach Auffassung des OLG selbst ein Konzept mit grundsätzlich geeigneten Geheimhaltungsmaßnahmen im Einzelfall unzureichend sein kann, wenn ein "Datenleck" in Kauf genommen wird. Es kommt folglich nicht nur auf die ergriffenen Schutzmaßnahmen an, sondern im Rahmen einer Gesamtwürdigung ebenso auf die bestehenden, verbleibenden Schutzlücken.
Zwar räumt das OLG ein, dass für Geschäftsinhaber mangels gefestigter Judikatur ein gewisses Risiko bestehe, Maßnahmen zu ergreifen, die sich im Nachhinein vor Gericht als nicht ausreichend erwiesen. Dies führt nach Ansicht des Gerichts jedoch nicht dazu, "zugunsten nachlässiger Geheimnisinhaber die Anforderungen an die Angemessenheit der Maßnahmen aufzuweichen".
Die aktuelle Entscheidung des OLG Stuttgart macht deutlich, wie wichtig es für Unternehmen ist, sich eingehend mit den erforderlichen Schutzmaßnahmen für Geschäftsgeheimnisse zu befassen und möglicherweise noch bestehende Sicherheitslücken zu schließen. Die Anforderungen an geeignete Geheimhaltungsmaßnahmen sind dem Urteil zufolge hoch. Die Entscheidung nennt zwar einige wichtige Anhaltspunkte dafür, welche Maßnahmen als Mindeststandard zu ergreifen sind. Zugleich macht das Gericht jedoch deutlich, dass es von einer Vielzahl individueller Faktoren abhängt, wann in einem Unternehmen ein angemessenes Schutzniveau erreicht ist. Eine einzelfallbezogene Prüfung des Schutzkonzepts ist vor diesem Hintergrund unerlässlich.
Unternehmen, die ihre Geschäftsgeheimnisse effektiv geschützt wissen wollen, sind daher gut beraten, ihre Geheimhaltungsmaßnahmen regelmäßig zu überprüfen und gegebenenfalls zu überarbeiten. Die zu ergreifenden Maßnahmen liegen auf technischem (Verbesserung der IT-Sicherheit), organisatorischem (Zugriffsbeschränkungen, klare Anweisungen an Mitarbeiter, Ausschluss der Nutzung privater Datenträger) und rechtlichem Gebiet. Dies gilt insbesondere für die Überarbeitung vertraglicher Regelungen mit Kunden, externen Kooperationspartnern und Arbeitnehmern. Anderenfalls besteht das konkrete Risiko, den Schutz des GeschGehG im Falle eines Geheimnisverrats vollständig zu verlieren.
