Der Deutsche Bundesrat hat am 12. April 2019 das „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) gebilligt. Damit kann dieses nach der Verkündung im Bundesgesetzblatt in Kraft treten. Das Gesetz enthält interessante Neuerungen für alle, die sich mit Fraud-Prävention, Compliance und Informationsschutz beschäftigen.
Der Geheimnisschutz
Im Kern geht es darum zu verhindern, dass Geschäftsgeheimnisse von Unbefugten erlangt, genutzt oder offengelegt werden. Die sogenannten Handlungsverbote untersagen zum Beispiel das unbefugte Kopieren von Dokumenten, Dateien oder Gegenständen, die das Geschäftsgeheimnis enthalten – oder aus denen es sich ableiten lässt.
Ebenso verboten ist „jedes sonstige Verhalten, das unter den jeweiligen Umständen nicht dem Grundsatz von Treu und Glauben unter Berücksichtigung der anständigen Marktgepflogenheiten entspricht.“ Darunter fallen insbesondere Sachverhalte, in denen die offenlegende Person gegen vertragliche Pflichten verstößt. Dies kann insbesondere im Beschäftigungsverhältnis der Fall sein. Ein Beispiel: Ein Beschäftigter hat grundsätzlich einen befugten Zugang zu dem Geschäftsgeheimnis, offenbart es aber entgegen der arbeitsvertraglichen Pflichten.
In einigen Fällen ist die Erlangung des Geschäftsgeheimnisses erlaubt: bei eigenständiger Entdeckung oder Schöpfung oder unter bestimmten Umständen durch Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts, etwa wenn dieses öffentlich verfügbar gemacht wurde.
Barbara Scheben
Partner, Audit, Regulatory Advisory, Head of Forensic, Head of Data Protection
KPMG AG Wirtschaftsprüfungsgesellschaft
Weitreichende Ansprüche für Inhaber des Geschäftsgeheimnisses
Der Inhaber des Geschäftsgeheimnisses kann gegen den sogenannten Rechtsverletzer verschiedene Ansprüche geltend machen – etwa die Beseitigung der Beeinträchtigung und Unterlassung. Zudem kann der Inhaber verlangen, dass der Rechtsverletzer die Dokumente, Dateien oder Gegenstände vernichtet oder herausgibt, die das Geschäftsgeheimnis enthalten oder verkörpern.
Weiterhin besteht Anspruch auf:
- Rückruf und die Entfernung aus Vertriebswegen
- die Vernichtung und Rücknahme der rechtsverletzenden Produkte
- Schadensersatz, Auskunft sowie auf Schadensersatz bei Verletzung der Auskunftspflicht
Öffentlichkeitswirksame Verfahren
Nicht nur der Rechtsverletzer selbst steht im Fokus des Gesetzes. Ist dieser nämlich Beschäftigter oder Beauftragter eines Unternehmens, so bestehen die genannten Ansprüche auch gegen den Inhaber dieses Unternehmens. Dies sollte im Rahmen der Unternehmensgovernance berücksichtigt werden.
Bemerkenswert ist auch: Urteile über Rechtsstreitigkeiten, die Geschäftsgeheimnisse betreffen, können auf Kosten der unterliegenden Partei öffentlich bekannt gemacht werden. Dies gilt in beide Richtungen. Sowohl der obsiegende Inhaber des Geschäftsgeheimnisses als auch der zu Unrecht in Anspruch Genommene, nur vermeintliche Rechtsverletzer, können diese Regelung für sich nutzen.
Strafrechtliche Relevanz
Das Gesetz zum Schutz von Geschäftsgeheimnissen entfaltet auch strafrechtliche Relevanz. So besteht neben den zuvor genannten zivilrechtlichen Ansprüchen das Risiko von Geld- oder Freiheitsstrafen von bis zu drei Jahren, insofern gegen die Handlungsverbote verstoßen wird. In bestimmten Fällen, etwa wenn der Täter gewerbsmäßig handelt, droht sogar eine Freiheitsstrafe von bis zu fünf Jahren. Auch der Versuch ist strafbar. Die Vorschriften der Paragrafen 17 bis 19 des „Gesetzes gegen den unlauteren Wettbewerb“ (UWG) werden mit Inkrafttreten des Gesetzes aufgehoben.
Ausnahmen für Hinweisgeber
Im Rahmen der Verbots-, Erlaubnis- und Ausnahmestruktur des Gesetzes ist eine wichtige Ausnahme hervorzuheben, nämlich diejenige für Hinweisgeber. So fällt nach dem Gesetzestext die Erlangung, Nutzung oder Offenlegung eines Geschäftsgeheimnisses unter bestimmten Umständen nicht unter die Handlungsverbote: Nämlich, wenn dies zur Aufdeckung einer rechtwidrigen Handlung oder eines beruflichen oder sonstigen Fehlverhaltens dient – und wenn die Erlangung, Nutzung oder Offenlegung geeignet ist, das allgemeine öffentliche Interesse zu schützen.
Die Regelung erfasst also nicht nur die Aufdeckung von Straftaten, sondern auch sonstiges Fehlverhalten, das möglicherweise unethisch, aber eben nicht rechtswidrig oder strafbar ist. Auslandsaktivitäten, die zum Beispiel in dem betreffenden Land nicht rechtswidrig sind, wie Kinderarbeit oder gesundheits- oder umweltschädliche Produktionsbedingungen, werden in der Gesetzesbegründung als Anwendungsfälle genannt.
Harmonisierung mit EU-Whistleblower-Richtlinie
In subjektiver Hinsicht fordert die Ausnahme, dass der Hinweisgeber in der Absicht handelt, das öffentliche Interesse zu schützen. Es soll sich dabei um ein Motiv handeln, das auf einen Missstand hinweist, um zu einer gesellschaftlichen Veränderung beizutragen. Dies zu beurteilen kann ein schmaler Grat sein – denn das öffentliche Interesse muss nur das dominierende, nicht aber das ausschließliche Motiv sein. Klar ist nur, dass die Nutzung als Druckmittel oder aus Rache nicht anerkannt wird, wie in der Gesetzesbegründung zu lesen ist.
Mit dem „Gesetz zum Schutz von Geschäftsgeheimnissen“ wird die Information Governance für Unternehmen eine zunehmend wichtigere Rolle spielen. Die Frage, welche Geschäftsgeheimnisse wie und vor wem (auch intern) zu schützen sind, wird in den Fokus gerückt. Zudem erfordert die Ausnahme für Hinweisgeber eine Harmonisierung mit den geplanten Regelungen einer EU-Whistleblower-Richtlinie. Hier wird sich die Frage stellen, ob sich der Hinweisgeber gleich an die Öffentlichkeit wenden darf oder er zunächst interne Wege beschreiten muss.
Was Unternehmen nun tun sollten
Das Gesetz zum Schutz von Geschäftsgeheimnissen ist auf dem Weg, die Umsetzung der EU- Hinweisgeber-Richtlinie ebenso. Beide Regelungen wirken sich in vielfältiger Weise auf die Unternehmensgovernance aus. Viele Fragen sind noch ungeklärt. Insbesondere die Diskussion um den Schutz von Whistleblowern wird immer komplexer. Unternehmen sollten sich daher frühzeitig mit diesen Themen befassen. Neben der Einrichtung eines geeigneten Hinweisgebersystems sollten sie ihre Risikoanalyse anpassen, die Information Governance adjustieren und entsprechende Mitigationsmaßnahmen einleiten.