Von Matthias Koch und Tobias Timmann *)Am 26. April 2019 ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Damit setzt der deutsche Gesetzgeber die europäische Richtlinie zum Schutz von Geschäftsgeheimnissen (2016/943/EU) um. Die Richtlinie strebt ein einheitliches Schutzniveau für Know-how und wertvolle Geschäftsinformationen in Europa an und trägt dem hohen Wert und der Schutzbedürftigkeit von Geschäftsgeheimnissen für Unternehmen Rechnung. Sowohl in den USA als auch China sind vergleichbare Regime geschaffen worden.Um von den verbesserten Möglichkeiten zu profitieren, müssen Unternehmen prüfen, wie sie mit ihren Geschäftsgeheimnissen umgehen und gegebenenfalls deren Schutz verbessern, anderenfalls können sie im Ernstfall nicht effektiv gegen Verletzungen vorgehen. Immer wieder zeigt sich, dass Unternehmen den Abfluss von Geschäftsgeheimnissen hinnehmen müssen, weil es an den notwendigen Schutzmaßnahmen gefehlt hat. Im ungünstigsten Fall fließt Know-how ab und verschafft dem Wettbewerb erhebliche Vorteile – auf Kosten des Unternehmens, das in die Entwicklung oft erhebliche Investitionen gesteckt hat. Die Prüfung und Optimierung stellt deshalb einen wichtigen Baustein in der heutigen Unternehmens-Compliance dar.Mit dem GeschGehG schafft der Gesetzgeber ein eigenes Gesetz, das die bisherigen bruchstückhaften Regelungen ersetzt. Inhaltlich unterliegen Geschäftsgeheimnisse nun teilweise anderen Schutzanforderungen und Möglichkeiten der Rechtsdurchsetzung. Rechtlich geschützte Geschäftsgeheimnisse sind nur noch geheime Informationen von kommerziellem Wert, die der Inhaber aktiv durch “angemessene Geheimhaltungsmaßnahmen” schützt und an denen er ein berechtigtes Interesse hat. Damit sind statt des früher notwendigen Geheimhaltungswillens nunmehr rein tatsächliche Kriterien schutzbegründend. Die angemessenen Geheimhaltungsmaßnahmen sind vor Gericht nachzuweisen Gerichtliches VerfahrenGelingt einem Unternehmen dieser Nachweis, ist ein gerichtliches Vorgehen attraktiver geworden. Das Gesetz sieht nämlich neue Möglichkeiten vor, das Geheimnis gegen Bekanntwerden in einem gerichtlichen Verfahren zu schützen. Das Risiko, dass es durch ein angestrengtes öffentliches Gerichtsverfahren erst bekannt wird und damit jeglichen Schutz verliert, war in der Vergangenheit ein großes Hemmnis für die gerichtliche Geltendmachung. Nun kann das Gericht Prozessbeteiligte sanktionsbewehrt zur Geheimhaltung verpflichten, Dritte vom Prozess und sensiblen Inhalten ausschließen und den Zugang der gegnerischen Partei zu den geheimen Informationen auf eine zuverlässige natürliche Person beschränken.Ansprüche gegen Verletzer von Geschäftsgeheimnissen regelt das neue Gesetz eigenständig und umfassend. Sie sind den bestehenden Regelungen zu gewerblichen Schutzrechten angenähert. Der Verletzte kann Unterlassung, Auskunft, Rückruf und Schadenersatz verlangen. Ausnahmen vom Schutz bestehen neben Regelungen zum Whistleblowing und dem Reverse Engineering zugunsten der Meinungsfreiheit und in gewissem Umfang für Arbeitnehmer. Unterlassungsansprüche können – wie bislang auch schon – durch einstweilige Verfügung durchgesetzt werden. Daneben bleibt die auch nach altem Recht schon gegebene Strafbarkeit der Verletzung von Geschäftsgeheimnissen bestehen.Unternehmen müssen sicherstellen, dass ihre Geschäftsgeheimnisse “angemessenen Geheimhaltungsmaßnahmen” unterliegen, um sich auch unter Geltung des neuen Gesetzes auf den Geheimnisschutz berufen zu können. Noch ist offen, was von den Gerichten als “angemessen” akzeptiert werden wird – allerdings kann man aus der anwaltlichen Beratungspraxis und sich herausbildenden internationalen Standards schon eine Best Practice herleiten.Welche Maßnahmen im konkreten Fall tatsächlich getroffen werden müssen, um als “angemessen” zu gelten, hängt unter anderem von der Art des Geschäftsgeheimnisses, den konkreten Umständen der Nutzung, dem Wert und der Bedeutung der Information für das Unternehmen, dessen Größe sowie der üblichen Geheimhaltungsmaßnahmen im Unternehmen ab. Dabei wird eine Kombination aus organisatorischen, technischen und rechtlichen Maßnahmen künftig Standard sein.Im Rahmen der zu beachtenden organisatorischen Maßnahmen wird die Erfassung, Bewertung sowie nach Geheimhaltungsgrad priorisierte Klassifikation und Kennzeichnung von Geschäftsgeheimnissen zu fordern sein. Daneben werden Unternehmen den Fluss vertraulicher Informationen nachvollziehen und aufzeichnen müssen.Empfehlenswert ist zudem die Etablierung einer Unternehmensrichtlinie zur Behandlung von Geschäftsgeheimnissen sowie die Sicherstellung ihrer Einhaltung. Auch eine klare Aufgabenverteilung und Begrenzung des internen Zugangs zu geheimen Informationen auf der Grundlage des “Need to know”-Prinzips, die Aufzeichnung des Informationszugangs sowie eine räumliche wie organisatorische Trennung der F&E von anderen Abteilungen könnten angezeigt sein. Regelmäßige Schulungen der Beschäftigten zum Umgang mit geheimen Informationen bieten sich ebenfalls an, da Mitarbeiter erfahrungsgemäß die sensibelste Angriffsfläche sind. Technische Schranken Dies schließt auch die Belehrung ausscheidender Mitarbeiter ein, da die Mitnahme von geheimen Informationen durch solche Mitarbeiter eine der größten Gefahrenquellen darstellt und häufig die Frage aufwirft, ob der Vorstand zum Schutz des Unternehmens solche Fälle verfolgen muss. Dies ist bei wirtschaftlich hochwertigen Geschäftsgeheimnissen regelmäßig der Fall.Die aufgeführten organisatorischen Maßnahmen sind von technischen Sicherheitsvorkehrungen zu flankieren. Hierzu gehört etwa die Umsetzung des “Need to know”-Prinzips durch technische Zugangsschranken, die Isolation geheimnisschutzsensibler Bereiche und die Einrichtung von Chinese Walls. Eine herausgehobene Bedeutung kommt zudem der IT-Sicherheit zu. Dies umfasst insbesondere den Schutz vor Cyberattacken und die Verschlüsselung geheimer Informationen vor allem auch auf mobilen Geräten.Die dritte Säule der notwendigen angemessenen Geheimhaltungsmaßnahmen stellen schließlich rechtliche Maßnahmen dar. Hierzu zählt die Implementierung von weitgehenden Vertraulichkeitsklauseln in Verträgen mit Angestellten und Geschäftspartnern sowie die Durchsicht alter, bestehender Verträge daraufhin. Zwingend wird es zudem sein, Geschäftspartnern die Verpflichtung aufzuerlegen, empfangene Geschäftsgeheimnisse selbst auf dem Niveau “angemessener Geheimhaltungsmaßnahmen” zu schützen. Nachweis erforderlichUnternehmen sollten also bisherige Maßnahmen überprüfen und, soweit nötig, anpassen. In jedem Falle ist es notwendig, die ergriffenen Maßnahmen auch zu dokumentieren, um sie im Streitfall einem Gericht nachweisen zu können.Wenn es – trotz der ergriffenen angemessenen Vorbereitung – zur Entwendung von Geschäftsgeheimnissen kommt, sind viele unterschiedliche Maßnahmen zu ergreifen, um den Abfluss der Geheimnisse schnellstmöglich zu stoppen und ihre Verwertung, zum Beispiel durch Wettbewerber, zu verhindern. Bei der Aufarbeitung und Abwehr solcher Vorgänge spielen in der Praxis viele Aspekte eine Rolle, die schnell und effizient in einem gut vorbereiteten Team koordiniert werden müssen. Nur so kann erfolgreich Schaden abgewehrt werden.Andernfalls drohen hohe Schäden, wettbewerbliche Nachteile und eine langwierige rechtliche Aufarbeitung. Dagegen kann ein effizienter Geheimnisschutz das Bewusstsein der Mitarbeiter dafür schärfen, wie sie durch sorgsamen Umgang, zum Beispiel mit Datenbeständen, den Wert des Unternehmens schützen können und müssen.*) Matthias Koch und Dr. Tobias Timmann sind Anwälte bei Freshfields Bruckhaus Deringer.