Eine neue EU-Richtlinie sorgt ab Mitte 2018 für weitreichende Veränderungen. Das müssen Unternehmen jetzt tun und wissen. [...]
Industrie 4.0 führt zu zunehmend digitalisierten und vernetzten Arbeits- und Fertigungsprozessen. Dabei fallen auch (aber nicht nur) maschinengenerierte Daten an. Diese werden immer häufiger dezentral gespeichert und unternehmensübergreifend weiterverarbeitet. Beispiel Predictive Maintenance: Hierbei werden Maschinendaten in großem Umfang ausgelesen und erhoben. Diese werden dann dezentral in einer Cloud gespeichert. Dort können Data Scientists auf die Daten zugreifen und diese zur weiteren Verwertung analysieren und auswerten.
Für das Unternehmen, das seinen Kunden diese Predictive-Maintenance-Leistungen anbietet, sind die Daten von besonderer, wirtschaftlicher Bedeutung. Aber auch andere maschinengenerierte Daten, etwa solche von Smart Metern, bilden Informationen ab, die für die erhebenden Unternehmen wesentlich – und damit schützenswert – sind.
Geschäftsgeheimnisse in Europa: Angleichung per Richtlinie
Geschützt sind Daten dieser Art derzeit als Betriebs- beziehungsweise Geschäftsgeheimnisse (Knowhow) im Rahmen des Wettbewerbsrechts (Geheimnisschutz). Dabei handelt es sich bei den wettbewerbsrechtlichen Vorschriften um Strafvorschriften, die den unberechtigten Abfluss von Knowhow unter Strafe stellen. Eine zivilrechtliche Zuordnung dieses Knowhows zu einem bestimmten Unternehmen als Inhaber, vergleichbar mit den gewerblichen Schutzrechten wie Patent- oder Markenrechte, findet über den Geheimnisschutz jedoch nicht statt, sondern wird vielmehr vorausgesetzt.
Geschützt sind Daten dieser Art derzeit als Betriebs- beziehungsweise Geschäftsgeheimnisse (Knowhow) im Rahmen des Wettbewerbsrechts (Geheimnisschutz). Dabei handelt es sich bei den wettbewerbsrechtlichen Vorschriften um Strafvorschriften, die den unberechtigten Abfluss von Knowhow unter Strafe stellen. Eine zivilrechtliche Zuordnung dieses Knowhows zu einem bestimmten Unternehmen als Inhaber, vergleichbar mit den gewerblichen Schutzrechten wie Patent- oder Markenrechte, findet über den Geheimnisschutz jedoch nicht statt, sondern wird vielmehr vorausgesetzt.
Aufgrund der enormen wirtschaftlichen Bedeutung betrieblichen Knowhows hat sich die Europäische Union dazu entschieden, einen einheitlichen europäischen Geheimnisschutz zu schaffen. Hierdurch soll ein einheitlicher Mindeststandard beim Schutz von Knowhow geschaffen werden. Mit der sogenannten Knowhow-Richtlinie, die bis Juni 2018 in nationales Recht umgesetzt werden muss, kommt es zu weitreichenden Veränderungen, die Unternehmen bereits jetzt zum Handeln zwingen. Zumindest wenn sie auch künftig ihr betriebliches Knowhow geschützt wissen wollen.
Die neue Definition von Geschäftsgeheimnis
Eine wesentliche Änderung liegt in der neuen Definition des Begriffs „Geschäftsgeheimnis“. Als Geschäftsgeheimnis gelten nach der EU-Knowhow-Richtlinie solche Informationen, die geheim sind, die einen kommerziellen Wert haben weil sie geheim sind, und die Gegenstand angemessener Geheimhaltungsmaßnahmen sind.
Eine wesentliche Änderung liegt in der neuen Definition des Begriffs „Geschäftsgeheimnis“. Als Geschäftsgeheimnis gelten nach der EU-Knowhow-Richtlinie solche Informationen, die geheim sind, die einen kommerziellen Wert haben weil sie geheim sind, und die Gegenstand angemessener Geheimhaltungsmaßnahmen sind.
Gerade durch letzteres Erfordernis, den angemessenen Geheimhaltungsmaßnahmen, kommt es zu einer wesentlichen Verschärfung im Vergleich zur derzeitigen Rechtslage. Denn nach der Rechtsprechung liegt ein Geschäftsgeheimnis bereits dann vor, wenn eine geheime Tatsache von kommerziellem Wert nach dem erkennbaren subjektiven Willen des Inhabers geheim gehalten werden soll. Dieser subjektive Geheimhaltungswille reicht künftig nicht mehr aus. Vielmehr verhält es sich nun so, dass eine geheime Tatsache nur dann auch geschütztes Knowhow ist, wenn sie Gegenstand angemessener Geheimhaltungsmaßnahmen ist.
Unklar ist dabei derzeit noch, was ganz konkret unter „angemessenen Geheimhaltungsmaßnahmen“ zu verstehen ist. Das wird sich wohl erst durch Gerichtsentscheidungen herauskristallisieren, sodass noch Zeit ins Land ziehen dürfte, bis diesbezüglich Rechtsklarheit und entsprechende Rechtssicherheit herrscht. Das bedeutet aber nicht, dass Unternehmen nun abwarten und eine ruhige Kugel schieben können. Vielmehr sollten sie bereits jetzt geeignete Maßnahmen treffen, um künftig überhaupt die Möglichkeit zu haben, in den Genuss des neuen Knowhow-Schutzes der Europäischen Union zu kommen.
Unternehmen sollten zu diesem Zweck möglichst frühzeitig beginnen, ein Schutzkonzept zu erarbeiten. Dabei richtet sich die Angemessenheit einer Maßnahme nach dem jeweiligen Einzelfall, beziehungsweise der geheim zu haltenden Information und verlangt gerade nicht einen absoluten Schutz. Allerdings muss auch berücksichtigt werden, dass eine einmal als angemessen angesehene Maßnahme durch Veränderungen der Umwelt bei erneuter Betrachtung nicht mehr als ausreichend angemessen angesehen werden kann.
Knowhow-Schutz setzt daher auch voraus, dass einmal etablierte Maßnahmen regelmäßig hinterfragt und einer erneuten Prüfung bezüglich ihrer Angemessenheit unterzogen werden. Steht die Angemessenheit dann in Frage, muss das Schutzkonzept den geänderten Umständen angepasst werden.
So sieht ein geeignetes Schutzkonzept aus
Ein geeignetes Schutzkonzept besteht aus einem Mix aus rechtlichen und organisatorischen Maßnahmen. Als rechtliche Maßnahmen kommen in Betracht:
die Überprüfung und Anpassung sämtlicher Verträge mit Mitarbeitern im eigenen Unternehmen (bestehen ausreichende Geheimhaltungspflichten?);
die Überprüfung und Anpassung sämtlicher Verträge mit externen Unternehmen (zum Beispiel F&E-Kooperationsverträge; Vertriebsvereinbarungen; Verträge mit Cloud-Anbietern etc.)
Ein geeignetes Schutzkonzept besteht aus einem Mix aus rechtlichen und organisatorischen Maßnahmen. Als rechtliche Maßnahmen kommen in Betracht:
die Überprüfung und Anpassung sämtlicher Verträge mit Mitarbeitern im eigenen Unternehmen (bestehen ausreichende Geheimhaltungspflichten?);
die Überprüfung und Anpassung sämtlicher Verträge mit externen Unternehmen (zum Beispiel F&E-Kooperationsverträge; Vertriebsvereinbarungen; Verträge mit Cloud-Anbietern etc.)
Als organisatorische Maßnahmen kommen in Betracht:
die Einstufung der Geschäftsgeheimnisse, abgestuft nach ihrer Bedeutung für das Unternehmen;
die Kennzeichnung der Geschäftsgeheimnisse als „geheim“ oder „vertraulich“;
die Regelung von Verantwortlichkeiten und Zugriffsrechten;
die Limitierung und Protokollierung des tatsächlichen Zugriffs (Need-to-know-Prinzip, die Protokollierung kann zudem zur schnelleren persönlichen Zuordnung bei unberechtigtem Datenabfluss beitragen);
die Schulung der Mitarbeiter über den Umgang mit Geschäftsgeheimnissen und über die Folgen bei Verstößen;
die Einrichtung technischer Schutzvorrichtungen (zum Beispiel Trennung von Netzwerk- und Server-Strukturen; Einrichtung von Firewalls; Durchführung regelmäßiger Softwareupdates; Verschlüsselung von Daten).
die Einstufung der Geschäftsgeheimnisse, abgestuft nach ihrer Bedeutung für das Unternehmen;
die Kennzeichnung der Geschäftsgeheimnisse als „geheim“ oder „vertraulich“;
die Regelung von Verantwortlichkeiten und Zugriffsrechten;
die Limitierung und Protokollierung des tatsächlichen Zugriffs (Need-to-know-Prinzip, die Protokollierung kann zudem zur schnelleren persönlichen Zuordnung bei unberechtigtem Datenabfluss beitragen);
die Schulung der Mitarbeiter über den Umgang mit Geschäftsgeheimnissen und über die Folgen bei Verstößen;
die Einrichtung technischer Schutzvorrichtungen (zum Beispiel Trennung von Netzwerk- und Server-Strukturen; Einrichtung von Firewalls; Durchführung regelmäßiger Softwareupdates; Verschlüsselung von Daten).
Da künftig nur solche Informationen als Geschäftsgeheimnis geschützt werden, besteht für Unternehmen, die kein entsprechendes Schutzkonzept umsetzen die Gefahr, dass diese Informationen mit Umsetzung der Knowhow-Richtlinie in nationales Recht von Dritten frei- und sanktionslos verwendet werden können.
* Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH. Sebastian Laoutoumai ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH.
Be the first to comment