Das OLG Stuttgart konkretisiert die Mindeststandards für einen effektiven Schutz von Geschäftsgeheimnissen nach dem Geschäftsgeheimnisschutzgesetz.
Vor fast zwei Jahren trat das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft. Schon vor dem Inkrafttreten war schnell klar: Das neue Gesetz erhöht nicht nur das Schutzniveau, sondern verschärft auch die Schutzvoraussetzungen. Den Schutz des neuen Gesetzes genießen nämlich nur solche Informationen, die vom Unternehmen in besonderer Weise geschützt werden. Die Mindestanforderungen an diesen Schutz werden im GeschGehG in unbestimmter Weise als „angemessene Geheimhaltungsmaßnahmen“ bezeichnet (§ 2 Nr. 1 lit. b GeschGehG).
Wie jeder unbestimmte Rechtsbegriff bedarf auch die Formel „angemessene Geheimhaltungsmaßnahmen“ einer Konkretisierung durch die Rechtsprechung. Diese Konkretisierung ist noch im Gange. Dennoch lassen sich ersten Urteilen einige „Mindeststandards“ entnehmen.
Einen wichtigen Beitrag zu dieser Konkretisierung hat nun das OLG Stuttgart geleistet. In seinem Urteil vom 19. November 2020 nennt es einige wichtige Anhaltspunkte, die ein genaueres Bild davon zeichnen, welche Maßnahmen für einen Schutz nach dem GeschGehG zu ergreifen sind (Urteil v. 19. November 2020, Az. 2 U 575/19).
Need-to-know-Prinzip ist zu beachten
Nach den Ausführungen des OLG ist für eine Angemessenheit der Geheimhaltung erforderlich, dass die in Frage stehenden Informationen nur jenen Personen anvertraut werden, die diese zur Durchführung ihrer Aufgaben (potentiell) benötigen und die zur Verschwiegenheit verpflichtet sind.
Im Sinne eines Need-to-know-Prinzips müssen Maßnahmen ergriffen werden, die die Zugänglichkeit von Informationen danach regulieren, welche Informationen dem einzelnen Mitarbeiter zur Erbringung seiner Arbeitsleitung tatsächlich zur Verfügung stehen müssen. Kurz gesagt: Jeder Mitarbeiter sollte nur Zugang zu jenen Geheimnissen haben, die er zur Erfüllung seiner Arbeitspflichten kennen muss.
Unternehmensinternes Verschließen von Dokumenten und Räumlichkeiten
In Bezug auf Geheimnisse in Papierform (z.B. Dokumente oder Akten) führen die Stuttgarter Richter aus, worin zureichende Maßnahmen konkret bestehen können. Insbesondere müsse sichergestellt sein, dass unbefugten Personen ein tatsächlicher Zugriff auf diese Geheimnisse nicht ohne weiteres möglich ist. Jene Orte im Unternehmen, an denen entsprechende Dokumente verwahrt werden, müssten hinreichend gegen den Zutritt unbefugter Personen gesichert sein. Bei besonders sensiblen Informationen reicht dies allein nicht, die Geheimnisse müsse verschlossen oder die betroffenen Räumlichkeiten abgeschlossen sein.
Auf Grundlage dieser Äußerungen wird zweierlei deutlich: Erstens, allein die Abschirmung nach Außen und die Installation von Zugangshürden für Externe können im Einzelfall ungenügend sein. Auch innerhalb des Unternehmens sollten jedenfalls für Informationen mit mittlerer und hoher Sensibilität Regelungen zur Aufbewahrung gelten und geeignete Zugriffshürden eingerichtet werden. Zweitens, die Höhe dieser Hürden sollte wiederum an die Wichtigkeit der zu schützenden Geheimnisse angepasst werden. Bei mittlerer Sensibilität der Information dürfte das Verschließen von entsprechenden Dokumenten in einem Aktenschrank ausreichend sein. Geht es hingegen um die „Kronjuwelen“ des Unternehmens, kann es erforderlich sein, (zusätzlich) Sicherheitssysteme zu installieren, die den Zutritt zu bestimmten Räumen regulieren.
Rückschlüsse auf digitale Zugangshürden
Worin entsprechende Zugangshürden im Falle digital verkörperter Geheimnisse liegen können, konkretisiert das OLG Stuttgart nicht.
Unter Berücksichtigung des vom Gericht angesprochenen Need-to-know-Prinzips ist aber auch hier davon auszugehen, dass es eines auf einzelne Mitarbeiter(-gruppen) bezogenenen Zugriffsschutzes bedarf. Dieser kann beispielsweise durch die Beschränkung von Zugriffsrechten auf das Unternehmensnetzwerk oder einen Passwortschutz sichergestellt werden. Denkbar wäre auch ein (zusätzlicher) Schutz durch eine Mehrfaktorauthentifizierung, bei der autorisierte Mitarbeiter eine Datei beispielsweise erst einsehen können, wenn ihre Identität durch die Bestätigung auf einem zweiten Endgerät verifiziert worden ist.
Eine einfach umzusetzende Schutzmaßnahme ist in vielen Fällen die Anpassung der unternehmensinternen „Discretionary Access Control“. Eine solche nach einzelnen Benutzern differenzierende, softwarebasierte Zugriffskontrolle ist in den meisten Unternehmensdatenbanken bereits integriert und kann ohne größeren Aufwand angepasst werden.
Regelungen zum Umgang mit privaten Datenträgern und Passwortschutz
Detailliert äußert sich das OLG Stuttgart zu Maßnahmen im Zusammenhang mit dem Speichern von Geheimnissen auf privaten Datenträgern (wozu z.B. USB-Sticks, externe Festplatten, Speicherkarten oder auch Smartphones zählen). Im Einzelfall sei es als „äußerst kritisch anzusehen“, wenn das Unternehmen ein Speichern von Dateien mit Geheimnissen auf privaten Datenträgern zulasse. Insbesondere wenn Dateien auf solchen Endgeräten ohne Passwort zugänglich sind, sei ein Zugriff durch Dritte nicht auszuschließen. Hierbei sei nicht nur an das Risiko eines Zugriffs durch berechtigte Mitbenutzer zu denken, sondern auch an einen Fremdzugriff nach einem Weiterverkauf des Geräts ohne zureichende Löschung der Dateien.
Auch aus diesen Äußerungen des Gerichts lassen sich zwei Erkenntnisse ableiten: Erstens, es bedarf einer unternehmensinternen Regelung bezüglich des Umgangs mit privaten Datenträgern. Das Unternehmen muss gegenüber seinen Mitarbeitern deutlich machen, dass das Speichern von sensiblen Informationen auf privaten Datenträgern unzulässig ist. In welcher Form dies erfolgen sollte, ist dem Urteil nicht zu entnehmen. Zu denken wäre etwa an eine Regelung im Arbeitsvertrag oder aber im Rahmen einer Unternehmensrichtlinie. Zweitens, es sollte sichergestellt sein, dass sensible Dateien nicht ohne Passwortschutz auf externe Datenträger gelangen. Denkbar wäre beispielsweise eine unmittelbare Passwortsicherung der Dateien oder aber die softwareseitige Sicherstellung, dass ein Speichern auf externe Speichergeräte nur möglich ist, wenn diese über einen besonderen Passwortschutz verfügen.
Unzureichende Ergreifung von Maßnahmen kann Schutz entfallen lassen
Außerdem weist das OLG darauf hin, dass selbst ein Konzept mit grundsätzlich tauglichen Sicherungsmaßnahmen im Einzelfall unzureichend sein kann, wenn nämlich gleichzeitig ein „Datenleck″ besteht, durch das der Geheimnisinhaber die Kontrolle über die Informationen verliert. Daraus folgt: Zur Sicherstellung eines umfassenden Schutzes kommt es nicht nur darauf an, welche Maßnahmen in welcher Intensität ergriffen werden. Es sollte auch eingehend geprüft werden, welche Maßnahmen nicht ergriffen werden und ob sich hieraus der Vorwurf einer allgemeinen Lässigkeit im Umgang mit Geheimnissen ableiten lässt. Unternehmen, die ihre Geheimnisse geschützt wissen wollen, sollten sich also nicht nur fragen, in welchen Bereichen sie Schutzmaßnahmen etablieren oder verbessern können, sondern auch, in welchen Bereichen Schutzlücken verbleiben.
Art und Ausmaß der Mindestanforderungen bleiben einzelfallabhängig
Auch wenn das Urteil des OLG Stuttgart erfreulicherweise konkrete Anhaltspunkte zur Definition „angemessener Geheimhaltungsmaßnahmen“ liefert, unterstreicht es einmal mehr, dass es keine Blaupause und keinen feststehenden Maßnahmenkatalog zur Erreichung eines angemessenen Schutzniveaus gibt. Art und Ausmaß der erforderlichen Geheimhaltungsmaßnahmen hängen insbesondere von der Art des Geschäftsgeheimnisses und von den konkreten Umständen der Nutzung ab.
Urteile wie jenes aus Stuttgart liefern zwar Anhaltspunkte, worin solche Maßnahmen im Einzelnen liegen können. Sie ersetzen aber nicht die nach wie vor erforderliche Überprüfung der unternehmensinternen Maßnahmen und Schutzvorrichtungen. Die vorgenannten Maßnahmen und Standards sind eine gute Orientierungshilfe, machen eine eingehende Prüfung des unternehmenseigenen Schutzkonzepts aber nicht überflüssig. Unternehmen, die ihre Geschäftsgeheimnisse effektiv geschützt wissen wollen, sind daher gut beraten, ihre Schutzmaßnahmen fortlaufend zu überprüfen und gegebenenfalls anzupassen – andernfalls laufen sie Gefahr, den Schutz der entsprechenden Informationen über das GeschGehG vollständig zu verlieren. Insbesondere wenn es hierbei um Maßnahmen wie die vorgenannten geht, kann die Umsetzung durchaus mühsam sein. Der Aufwand wird aber mit einem besonders umfassenden Geschäftsgeheimnisschutz belohnt. Denn wie einleitend angemerkt, etabliert das GeschGehG zwar hohe Schutzhürden, gewährleistet aber auch einen besonders effektiven und umfassenden Schutz sensibler Informationen.
Was also ist zu tun? CMS Deutschland hat einen kostenlosen Online-Fragebogen entwickelt, mit dem Sie Ihre Aufstellung in puncto Geheimnisschutz testen und auswerten lassen können.Unser Tool zum Know-how-Schutz ist online verfügbar. Binnen zehn Minuten können Sie feststellen, ob Handlungsbedarf besteht.
Außerdem erhalten Sie auf der von uns eingerichteten Website Informationen und Anregungen zum Thema. Noch Fragen? Dann wenden Sie sich an Task-Force-Know-How-Schutz@cms-hs.com.
Wir werden im Blog regelmäßig über branchenspezifische Themen rund um den Know-how-Schutz berichten.