Aktuelles, Experten, Gastbeiträge - geschrieben von cp am Montag, Juli 25, 2016 14:54 - noch keine Kommentare
EU-Richtlinie zum Geheimnisverrat führt zu Handlungsbedarf bei Unternehmen
Umsetzung in den Mitgliedsstaaten in nationales Recht muss innerhalb von zwei Jahren erfolgen
Von unserem Gastautorin RA Dr. Katharina Garbers-von Boehm, Büsing Müffelmann & Theye (Kanzleizugehörigkeit am 20.02.2020 geändert!)
[datensicherheit.de, 25.07.2016] Am 5. Juli 2016 ist die EU-Richtlinie über den Schutz vertraulichen Know-hows und Geschäftsgeheimnissen (Richtlinie 2016/943) in Kraft getreten.
Ziel der Richtlinie ist es, den Bereich des Geheimnisschutzes, der in den Mitgliedstaaten noch sehr unterschiedlich geregelt ist, zu harmonisieren. Dadurch sollen Hemmnisse für den freien Warenverkehr, die in unklaren Regelungen und einem unterschiedlichen Schutzniveau fußen, beseitigt werden.
Innerhalb von zwei Jahren muss die Richtlinie von den Mitgliedstaaten in nationales Recht umgesetzt werden.
Das Geschäftsgeheimnis wird neu definiert
Eine der wichtigsten Regelungspunkte der Richtlinie ist die vereinheitlichte Definition des „Geschäftsgeheimnisses“. Daraus ergibt sich der künftige Regelungsgegenstand des Geheimnisschutzes.
Neu ist, dass Informationen kumulativ drei Kriterien erfüllen müssen, um als Geschäftsgeheimnisse geschützt zu werden:
- Die Information ist geheim, das heißt sie ist weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personenkreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich,
- Die Information ist von kommerziellem Wert, weil sie geheim ist,
- Die Information ist Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt.
Durch diese Kriterien wird die Differenzierung zwischen Betriebs- und Geschäftsgeheimnissen aufgehoben. Zudem setzt die neue Definition – anders als nach bisherigem Recht – angemessene Geheimhaltungsmaßnahmen voraus. Bisher reichte nach der deutschen Definition von Betriebs- und Geschäftsgeheimnissen für den wettbewerbsrechtlichen Schutz neben der Nichtoffenkundigkeit der Informationen ein rein subjektiv gegebenes Geheimhaltungsinteresse aus.
Noch offen ist, wie die Rechtsprechung das Kriterium der „Werthaltigkeit einer Information“ auslegen wird. Denn Big Data ermöglicht, dass Informationen, die für sich betrachtet keinen wirtschaftlichen Wert besitzen, als aggregierte Daten wertvoll werden. Kommt es auf den Wert der Einzelinformation an? Oder werden auch solche Informationen als Geschäftsgeheimnisse geschützt, die das Potential haben, aggregiert zu werden?
Angemessene Geheimhaltungsmaßnahmen sind gefordert
Vor diesem Hintergrund sollte die Know-how Richtlinie für Unternehmen Anlass sein, ihren eigenen Umgang mit wichtigem Know-how zu überprüfen und gegebenenfalls angemessene Maßnahmen zu ergreifen, um diesen zu verbessern. Was genau unter „angemessenen Maßnahmen“ zu verstehen ist, wird früher oder später sicherlich den Europäischen Gerichtshof (EuGH) beschäftigen und letztlich stets vom Einzelfall abhängig sein.
Wo besteht schon jetzt Handlungsbedarf?
Verbesserung des unternehmensinternen Know-how Schutzes
Unternehmen sollten die Richtlinie zum Anlass nehmen, ihren eigenen Umfang mit Know-how und Geheimnissen zu erfassen, zu hinterfragen und zu verbessern. Auf dieser Grundlage kann dann ein Know-how Konzept für das gesamte Unternehmen oder einzelne Abteilungen implementiert werden; hilfreich kann es in diesem Zusammenhang sein, vertrauliche Informationen als solche zu klassifizieren und zu kennzeichnen. Sinnvoller denn je dürfte das Vereinbaren von wirksamen, Geheimhaltungsvereinbarungen mit Mitarbeitern und Partnern sein, wo zulässig flankiert von einer Vertragsstrafe. Aber auch Berechtigungskonzepte und IT-Sicherheitskonzepte können „angemessene Geheimhaltungsmaßnahmen“ darstellen.
Unternehmen müssen künftig nachweisen, dass sie derartige Maßnahmen ergriffen haben, wenn sie Oper von Geheimnisverrat geworden sind. Aus diesem Grund sollte ein Augenmerk auf die Umsetzung der Maßnahmen und deren Dokumentation gelegt werden.
Auch im Rahmen von Unternehmenstransaktionen oder Know-how Übertragungsverträgen sollte im Sinne der Richtlinie bereits jetzt darauf geachtet werden, dass das übertragene Know-how entsprechend gesichert ist.
Reverse Engineering keine Verletzungshandlung
Ausdrücklich ausgenommen aus der Verletzungshandlung ist gemäß Artikel 4 der Richtlinie in der Regel das Reverse Engineering, also der Nachbau von Produkten. Dies ist eine weitere Neuerung. Bisher galt, dass zumindest bei aufwendigen und komplizierten Produkten das Reverse Engineering ein Sichverschaffen eines Geheimnisses auf sonstige Weise darstellen kann. Der Rat fügte an diese Bestimmung jedoch die Möglichkeit gegenteiliger vertraglicher Vereinbarungen an: „außer der Rechtsverletzer hat sich verpflichtet, das Geschäftsgeheimnis nicht aufzudecken“.
Auch dies bedeutet Handlungsbedarf: Verträge sind gegebenenfalls um derartige Verbotsklauseln zu ergänzen.
Klar sollte sein, dass dies nicht die geltenden Regelungen zum Revere Engineering bei Software oder bei patentrechtlich geschützten Erfindungen in Frage stellt. Die Erlaubnis gilt nur dort, wo reine Unternehmensgeheimnisse, die keine gewerblichen Schutzrechte darstellen, betroffen sind.
Weitere Inhalte der Richtlinie
Nach der Richtlinie müssen die Mitgliedstaaten zudem Maßnahmen, Verfahren und Rechtsbehelfe vorsehen, die einen zivilrechtlichen Schutz vor Know-how Diebstahl und Geheimnisverrat gewährleistet. Diese werden wohl für den deutschen Gesetzgeber aufgrund des durch das geltende Gesetz gegen den unlauteren Wettbewerb (UWG) recht hohen Schutzniveaus relativ wenig Handlungsbedarf hervorrufen. Die Richtlinie sieht außerdem konkrete Möglichkeiten vor, die Vertraulichkeit der Geschäftsgeheimnisse auch während des Gerichtsverfahrens und danach zu wahren.
Der Richtlinienentwurf stellt schließlich klar, dass es Arbeitnehmern weiterhin möglich sein soll, nicht-geheime Informationen in einem neuen Arbeitsverhältnis zu verwenden. Gleiches soll für die Erfahrungen und Fähigkeiten gelten, die der Arbeitnehmer auf redliche Weise im Verlauf seiner üblichen Tätigkeit erlangt hat. Derartige Regelungen stehen im Einklang mit der bisherigen Rechtsprechung des Bundesgerichtshofes (BGH), so dass hiermit ebenfalls keine Änderung der deutschen Rechtslage einhergeht.
Whistleblowing als Ausnahme des Geheimnisschutzes
Die Regelungen zum sogenannten „Whistleblowing“, also der aufgrund öffentlichen Interesses gerechtfertigten Offenbarung von Betriebs- und Geschäftsgeheimnissen, wurden im finalen Richtlinienentwurf überarbeitet. Die Aufdeckung eines Geschäftsgeheimnisses soll danach immer dann gerechtfertigt sein, wenn ein illegales Verhalten des Geheimnisinhabers vorlag und der Whistleblower im öffentlichen Interesse gehandelt hat. Man darf gespannt sein, wie die Rechtsprechung Leitlinien für dieses politisch sensible Thema entwickeln wird.
Fazit
Zusammenfassend kann gesagt werden, dass die Richtlinie in Deutschland wenig Mehrwert für Unternehmen bewirken wird, da der Geheimnisschutz durch das Gesetz gegen den unlauteren Wettbewerb bereits gut ausgeprägt ist. Vielmehr sollten Unternehmen aktiv werden, um zu verhindern, dass ihr konkretes Schutzniveau nicht absinkt.
Dies kann dadurch gewährleistet werden, dass Unternehmen ihr Know-how aktiv schützen, was ihnen ermöglichen wird, im Ernstfall darzulegen, dass sie die von der Richtlinie geforderten „angemessenen Schutzmaßnahmen“ der Geheimhaltung getroffen haben. Hierzu gehört ein unternehmensweites Know-how Schutz Konzept quer durch alle Abteilungen (IT, Marketing, Forschung und Entwicklung etc.), das die Identifikation und den technischen, organisatorischen und rechtlichen Schutz des im Unternehmen vorhandenen Know-how voraussetzt.
Rechtlicher und faktischer Schutz (insb. IT-Sicherheit) müssen hier eng miteinander verzahnt werden.
Dr. Katharina Garbers-von Boehm ist Rechtsanwältin bei Büsing Müffelmann & Theye und berät nationale und internationale Unternehmen und Institutionen im IT-Recht und den angrenzenden Bereichen des Geistigen Eigentums.
Weitere Informationen zum Thema:
datensicherheit.de, 21.06.2016
Das datenschutzrechtliche Damoklesschwert über den EU-Standardvertragsklauseln
Aktuelles, Experten, Veranstaltungen - Okt 2, 2024 18:15 - noch keine Kommentare
Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
weitere Beiträge in Experten
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
- BKA II: Bundesverfassungsgericht hat laut DAV wichtige Grenzen gesetzt
- EAID-Online-Diskussion: Cybersecurity und Datenschutz im globalen Spannungsfeld
- Cybercrime: BKA meldet erfolgreichen Schlag gegen Infrastruktur digitaler Geldwäscher der Underground Economy
Aktuelles, Branche - Okt 4, 2024 18:53 - noch keine Kommentare
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
weitere Beiträge in Branche
- Hacker nehmen verstärkt Rentner ins Visier
- Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur
- Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem
- Telegram: Lothar Geuenich plädiert für Balance zwischen Sicherheit und Verantwortung
- Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren