Hinsichtlich des bisher eher zahnlosen Schutzes von Geschäftsgeheimnissen nimmt der österreichische Gesetzgeber auf Basis europarechtlicher Vorgaben aktuell eine tiefgreifende Systemänderung vor. Da der Bestand von Geschäfts geheimnissen an vorab zu setzende Absicherungsmaßnahmen geknüpft ist, müssen Unternehmen fortan aktiv handeln, um ihr Knowhow auch in Zukunft zu schützen.
Der Gesetzgeber hat bislang "bloße" Geschäftsgeheimnisse – die nicht durch einen Sonderrechtsschutz wie Urheberrecht, Marken oder Patente umfasst sind – stiefmütterlich behandelt. So besteht derzeit keine gültige Definition, was überhaupt darunter zu verstehen und somit schutzwürdig ist. Auch ist weitgehend unklar, wie mit geheimen Informationen in Gerichtsverfahren umzugehen ist. Dies alles soll sich jetzt mit der überfälligen Umsetzung der Geheimnisschutz-Richtlinie (RL 2016/943) ändern, zu der seit kurzem ein Gesetzesentwurf vorliegt.
Klare Definition und zu setzende Maßnahmen
Der Entwurf sieht erstmals eine Definition für den Begriff des Geschäftsgeheimnisses vor. So muss die betreffende Information zunächst geheim – also weder allgemein bekannt noch zugänglich – und von einem wirtschaftlichen Wert sein. Neu ist, dass die Informationen nun auch Gegenstand angemessener Geheimhaltungsmaßnahmen sein müssen. Mit anderen Worten: Ein Geschäftsgeheimnis, mag es noch so vertrauliche und wirtschaftlich relevante Fakten enthalten, ist künftig nicht mehr geschützt, wenn das Unternehmen keine Maßnahmen zu seinem Schutz gesetzt hat. Als Beispiele für angemessene Vorkehrungen zur Aufrechterhaltung der Vertraulichkeit nennen die Gesetzesmaterialien:
- Etablierung von Verfahren, die die Weitergabe von Geschäftsgeheimnissen nur an ausgewählte vertrauenswürdige Personen sicherstellen;
- Erstellung einer Liste der Geschäftsgeheimnisse;
- IT-Sicherheitsmaßnahmen zum Schutz des Know-how;
- Mitarbeitergespräche zur Sensibilisierung für die Vertraulichkeit;
- Schaffung einer geübten Praxis (zB bestimmte Arbeitsschritte werden nur von bestimmten Personen durchgeführt);
- Festsetzen einer Unternehmenspolitik hinsichtlich des Umgangs mit Geschäftsgeheimnissen und ihre nachvollziehbare Dokumentation.
Die Beispiele des Gesetzgebers zeigen, dass ein bunter Strauß an Möglichkeiten zur Etablierung eines anerkannten Schutzsystems besteht. Welche konkreten Maßnahmen zu setzen sind, hängt von den Umständen des Einzelfalls ab, wobei nach den Gesetzesmaterialien insbesondere die Branche und Größe des Unternehmens, weiters wohl aber auch die Sensibilität des Geschäftsgeheimnisses und die Menge an zu schützendem Know-how zu berücksichtigen sind.
Daneben bringt der Gesetzesentwurf auch Erleichterung bei der Rechtsdurchsetzung in Gerichtsverfahren. Bislang müssen sich Unternehmen bei Verletzungsverfahren vor Gericht zwischen Verlust des Geheimnisses – durch Preisgabe der benötigten Information – einerseits und Unterliegen im Verfahren – bei Nichtpreisgabe der Information – andererseits entscheiden. Dies ist höchst unbefriedigend und soll nun durch Maßnahmen zur Sicherstellung der Vertraulichkeit in Prozessen verhindert werden.
Handlungsbedarf für Unternehmen
Was bedeuten die, planmäßig im Herbst in Kraft tretenden, neuen Bestimmungen konkret für das einzelne Unternehmen und welcher Handlungsbedarf leitet sich daraus ab? Dreh- und Angelpunkt zum Erhalt des nun größeren Schutzes ist die Implementierung der „angemessenen Geheimhaltungsmaßnahmen“. Das erfordert in der Praxis eine Reihe von Schritten:
- Zunächst sind die zu schützenden Geschäftsgeheimnisse zu identifizieren. Nur auf diese Weise kann - sei es intern oder extern - der Status quo geprüft und eine entsprechende Liste erstellt werden.
- Anschließend ist zu evaluieren, welche Maßnahmen zum Schutz der geheimen Informationen gesetzt wurden und ob diese ausreichend sind. Erfahrungsgemäß ist hier eher mit einem entsprechenden Anpassungsbedarf zu rechnen, zumal das Thema bisher analog zu den schwachen gesetzlichen REgelungen eher vernachlässigt wurde.
- Die Ergebnisse sind anschließend auf einer vertraglichen Ebene (Anpassung von Vertraulichkeits- und Diensterfindungsvereinbarungen; Belehrungen in Dienstverträgen) und in der gelebten Praxis (Implementierung von IT-Sicherheitsmaßnahmen; Etablierung von Abläufen im Umgang mit geheimen Informationen am Arbeitsplatz) umzusetzen. Ebenso sind dringend strukturierte Schulungen von Mitarbeitern in sensiblen Bereichen und mit Zugang zu Geschäftsgeheimnissen anzuraten.
- Alle Schritte sind entsprechend zu dokumentieren. Dies betrifft insbesondere die Geschäftsgeheimnisse an sich, aber auch die getroffenen Maßnahmen. Die Dokumentation sollte kontinuierlich erfolgen, sodass der Schutz nicht über die Jahre durch Veralterung des Schutzgegenstandes und der Maßnahmen erodiert. Nur auf diese Weise lässt sich im Konfliktfall nachweisen, dass das Unternehmen tatsächlich „angemessene Geheimhaltungsmaßnahmen“ getroffen hat, und damit die Aufrechterhaltung des Schutzes begründen.
Fazit
Insgesamt sind die neuen Regeln zum Geheimnisschutz zu begrüßen. Schließlich wird damit nun auch außerhalb des oft nicht greifenden Sonderrechtsschutzes eine bessere Absicherung von Know-how erreicht. Die daraus entstehenden Handlungspflichten werden Unternehmen zwar knapp nach Umsetzung der DSGVO vor weitere Herausforderungen und Dokumentationspflichten stellen. Die Aufarbeitung und Schutz von Geschäftsgeheimnissen ist jedenfalls ein Thema, das sich wirtschaftlich lohnt und welchem im Rahmen der Compliance ohnehin größeres Augenmerk geschenkt werden sollte. Unternehmen sollten die knappe Zeit bis zum Inkrafttreten der nun bereits absehbaren Regeln dazu nützen, die notwendigen Schritte zu setzen, um Geschäftsgeheimnisse von Anfang an zu schützen.