Transcription
Risk BulletinDezember 2016Know-how-RichtlinieNeue Anforderungen an denSchutz von GeschäftsgeheimnissenDie sogenannte Know-how-Richtlinie soll Unternehmen besser vor Geheimnisverrat und Wirtschaftsspionage schützen. Gleichzeitig stellt sieneue Anforderungen an den Schutz von Geschäftsgeheimnissen.Die neue EU-Richtlinie zum Schutzvon Geschäftsgeheimnissen undKnow-how zielt darauf ab,Unternehmen vor Geheimnisverratund Wirtschaftsspionage zuschützen und grenzüberschreitendeInnovationen im europäischenBinnenmarkt zu fördern. Gleichzeitig01stellt die Richtlinie neueAnforderungen an den Schutz vonGeschäftsgeheimnissen. Es gilt: DieRichtlinie schützt nur den, der dieAnforderungen erfüllt. Geschütztwerden nur Informationen, dieGegenstand angemessenerGeheimhaltungsmaßnahmen sind.Unternehmen müssen zukünftigbeweisbare Geheimhaltungsmaßnahmen treffen, umRechtsschutz zu erlangen.
Risk BulletinZweck der Richtlinie ist ein wirkungsvoller undeuropaweit einheitlicher Schutzvor Geheimnisverrat und Wirtschaftsspionage.Worum geht es?Im April 2016 hat das europäischeParlament die Richtlinie 2016/943über den Schutz von Geschäftsgeheimnissen verabschiedet. Sie istvon den nationalen Gesetzgebernbis zum 9. Juni 2018 umzusetzen.Zweck der Richtlinie ist einwirkungsvoller und europaweiteinheitlicher Schutz vorGeheimnisverrat und Wirtschaftsspionage. Hierdurch sollen Anreizefür grenzüberschreitendeKooperationen geschaffen undEuropa als Wirtschafts- undInnovationsstandort gestärktwerden.Unterschiede auf. In Deutschlandgibt es bislang kein speziellesGesetz für den Schutz vonGeschäftsgeheimnissen. DieRegelungen sind über mehrereGesetze verstreut. Nur in denFällen, in denenGeschäftsgeheimisse als geistigesEigentum geschützt sind, z.B. alsPatente, Geschmacksmuster,Gebrauchsmuster oderurheberrechtliche Werke, bestehtein ausreichendes Maß anRechtssicherheit. Mit der Richtliniesoll europaweit ein einheitlicherRechtsschutz auf hohem Niveaugewährleistet werden.Hintergrund der Richtlinie istfolgender:Inhalt der RichtlinieKurz zusammengefasst sindfolgende Inhalte der Richtliniebesonders interessant: Der Begriffdes Geschäftsgeheimnisses wird inArtikel 2 Abs. 1 der Richtlinie neudefiniert. Geschäftsgeheimnisse sindalle Informationen,Zentrale Bedeutung vonGeschäftsgeheimnissenFür Unternehmen ist der Schutz vonGeschäftsgeheimnissen vonzentraler Bedeutung. Dies betrifftzum einen technische Innovationenund Know-how als entscheidendeFaktoren für dieWettbewerbsfähigkeit und denMarkterfolg von Unternehmen. Zumanderen besteht großes Interessedaran, vertrauliche kaufmännischeInformation, wie Kunden- undLieferantendaten, Businesspläne,Bilanzen und Marktstrategien vonder Öffentlichkeit und derKonkurrenz abzuschirmen.Verschärfte BedrohungslageDer zentralen Bedeutung derGeschäftsgeheimnisse steht eineverschärfte Bedrohungslagegegenüber: Faktoren wieGlobalisierung, Digitalisierung,Outsourcing, komplexereGeschäftsmodelle und längereLieferketten erhöhen das Risiko,dass Dritte unbefugt Zugriff aufGeschäftsgeheimnisse erlangen.Bisherige SituationGeschäftsgeheimnisse sind bislangeuropaweit nicht einheitlichgeschützt. Die nationalenRegelungen in den EUMitgliedsstaaten weisen erhebliche02 die nicht allgemein bekanntoder ohne Weitereszugänglich, also geheimsind und von kommerziellem Wert,weil sie geheim sind und Gegenstand angemessenerGeheimhaltungsmaßnahmendes Geheimnisträgers sind.
Risk BulletinZudem legt die Richtlinie in denArtikeln 3 bis 5 fest, wann Erwerb,Nutzung und Offenlegung vonGeschäftsgeheimnissen rechtmäßigund wann diese rechtswidrig sind.Wichtig für Unternehmen ist indiesem Zusammenhang, dass dasReverse Engineering, also dieUntersuchung, Entschlüsselung oderder Rückbau eines öffentlichverfügbar gemachten oderrechtmäßig erworbenen Produkts,nun ausdrücklich als rechtmäßigerachtet wird. Werden Produkteüber Reverse Engineering kopiert,bleibt in Zukunft wohl nur derRückgriff auf gewerblicheSchutzrechte wie das Urheberrecht.Weiterhin regelt die Richtlinie in denArtikeln 6 und 10 bis 15, welcheRechtsschutzmöglichkeiten fürInhaber von Geschäftsgeheimnissenbei rechtswidrigem Erwerb sowierechtswidriger Nutzung undOffenlegung bestehen. NebenUnterlassung und Schadensersatzsollen weitere Maßnahmen wieVernichtung, Rückruf, Beseitigungund Beschlagnahme gerichtlichdurchgesetzt werden können. Neuist, dass nach Artikel 14 Absatz 2der Richtlinie die Höhe desSchadensersatzes nun auf zweifacheWeise berechnet werden kann. Zumeinen kann ein tatsächlichentstandener Schaden ersetztwerden. Die andere Möglichkeit derBerechnung orientiert sich daran,wieviel der Verletzer hätte zahlenmüssen, um auf legalem Wege dievertrauliche Information zu erhaltenoder zu nutzen (Lizenzanalogie).Dies erleichtert es Unternehmen, imProzess einenSchadensersatzanspruchdurchzusetzen, da ein konkreterSchaden im Falle der Lizenzanalogienicht bewiesen werden muss.Schließlich wird in Artikel 9 derRichtlinie der Umgang mitGeschäftsgeheimnissen ingerichtlichen Verfahren geregelt.Um zu verhindern, dassGeschäftsgeheimnisse im gerichtlichen Verfahren an die03Öffentlichkeit gelangen, soll derKreis derjenigen beschränktwerden, die Zugang zu solchenVerfahrensdokumenten oderAnhörungen haben, dieGeschäftsgeheimnisse beinhalten.Strengere Anforderungen anGeheimhaltungsmaßnahmenBislang sind Unternehmen imWesentlichen durch § 17 desGesetzes gegen UnlauterenWettbewerb (UWG) vorGeheimnisverrat durch Beschäftigtewährend des Beschäftigungsverhältnisses und vor Wirtschaftsspionage geschützt. Nach dieserVorschrift sind nicht offenkundigeBetriebsinterna geschützt, wenn einGeheimhaltungsinteresse bestehtund ein Geheimhaltungswilleerkennbar ist. Die Anforderungender Gerichte an die Erkennbarkeitdes Geheimhaltungswillens sindallerdings sehr gering. Ein solcherWille wird im Regelfall vermutet,selbst wenn keine objektivenGeheimhaltungsmaßnahmengetroffen wurden.Die neue Richtlinie geht einenanderen Weg. Wie bereits imAbschnitt „Inhalt der Richtlinie“dargestellt, liegt nach dem neuenRecht nur dann ein Geschäftsgeheimnis vor, wenn die betreffendeInformation Gegenstandangemessener Geheimhaltungsmaßnahmen des Geheimnisträgersist. Dies hat zur Folge, dassUnternehmen in einem gerichtlichenVerfahren konkret vortragen undbeweisen müssen, welcheGeheimhaltungsmaßnahmen zumSchutz der jeweiligen Informationgetroffen wurden.In welchem Fall welcheGeheimhaltungsmaßnahmenangemessen sind, ergibt sich indesweder aus der Richtlinie, noch ausihrer Begründung. Die konkreteUmsetzung der Richtlinie unterliegtdaher einiger Rechtsunsicherheit.Jedoch ist davon auszugehen, dassdas Rad nicht neu erfunden werdenwird. Der nationale Gesetzgeberdürfte sich bei der Konkretisierungan Maßnahmen orientieren, diebereits aus dem IT- undDatenschutzbereich bekannt sind.Bei der Beurteilung der Frage, obsie auch angemessen sind, ist imkonkreten Einzelfall unter anderemauf die Schutzbedürftigkeit dervertraulichen Information und diedrohenden Risiken iche objektive und beweisbareMaßnahmen zum Schutz vonGeschäftsgeheimnissen könnensowohl vertraglicher, als auchtechnischer und organisatorischerArt sein.VertraglicheGeheimhaltungsmaßnahmenIm Umgang mit Kooperationspartnern oder Dritten sind closure Agreements) geeignete Maßnahmen zum Schutz vonunternehmensinternen Geschäftsgeheimnissen und Know-how. Auchbei diesen Vereinbarungen ist essinnvoll, den Schutzgegenstand klarabzugrenzen und erlaubte Nutzungen zu definieren. Zudem bietet essich an, Vereinbarungen zur Rückgabe oder Vernichtung verkörperterInformationen nach dem Ende derZusammenarbeit oder des Projektszu schließen.Um die Gefahren des ReverseEngineering zu reduzieren, kannVertragspartnern der Nachbau desProduktes vertraglich untersagtwerden. Ist Gegenstand desVertrages eine Software, sind beieinem vertraglichen ReverseEngineering-Verbot jedoch dieEinschränkungen des Urhebergesetzes zu beachten, diebestimmte Formen desBeobachtens, Untersuchens undTestens von Computerprogrammenerlauben.Auf vertraglicher Ebene sind aucharbeitsvertragliche Geheimhaltungsvereinbarungen ein wirksames
Risk BulletinMittel, um im Hinblick aufBeschäftigte im Unternehmen nichtoffenkundige Betriebsinterna zuschützen. Bei der Formulierungentsprechender Klauseln ist daraufzu achten, dass diese ausreichenddetailliert und differenziert sind undsich an den konkreten Geheimhaltungsinteressen desUnternehmens orientieren. Klauseln,die den Arbeitnehmer dazuverpflichten, über sämtlichebetrieblichen AngelegenheitenStilschweigen zu bewahren, sindnach der Rechtsprechungunwirksam. NachvertraglicheWettbewerbsklauseln oder Klauseln,die zur Stillschweigen nachBeendigung des Arbeitsverhältnissesverpflichten, dürfen nach derRechtsprechung überdies dasberufliche Fortkommen desBeschäftigten nicht übermäßigbeschränken.Bei allen vertraglichenVertraulichkeitsvereinbarungen istdringend zu empfehlen, geeigneteRechtsfolgen im Falle vonVertraulichkeitsverletzungen zuformulieren. Sanktionsandrohungenschaffen wirksame Anreize für denVertragspartner, seineVertraulichkeitsverpflichtungeneinzuhalten. Als Sanktionen sindinsbesondere Vertragsstrafen undKündigungsrechte denkbar.Technische und organisatorischeGeheimhaltungsmaßnahmenAuf technischer undorganisatorischer Ebene sindebenfalls diverseGeheimhaltungsmaßnahmendenkbar, die aus den BereichenDatenschutz und IT-Sicherheitbekannt sind. So sindZutrittsbeschränkungen zumUnternehmensgelände undinnerhalb des Unternehmenssinnvoll, um zu verhindern, dassDritte unberechtigt Räumlichkeitenbetreten. In digitaler Formgespeicherte Informationen solltendurch ausreichende Maßnahmen wieZugangssperren oder eineabgesicherte Netzwerkarchitektur04vor unbefugtem Zugang geschütztwerden. Zudem sollte der Zugriffauf vertrauliche Informationenbeschränkt sein auf Personen, diedie Informationen zur Erfüllung ihrerAufgaben benötigen. Hierzu könnenabgestufte Zugriffsberechtigungenvergeben werden, welche in einementsprechenden Zugriffskonzeptdefiniert sein sollten. Der Zugriffsollte zudem dokumentiert werden.Die Weitergabe von vertraulichenInformationen innerhalb desUnternehmens oder an Dritte sollteausreichend dokumentiert undkontrolliert werden.Sicherheitsmaßnahmen im Rahmender Informationsweitergabe wie z.B.Verschlüsselung oder Passwortschutz können die Gefahrunberechtigten Zugriffs reduzieren.Auch ein Verbot der Nutzungprivater Speichermedien kann einegeeignete Maßnahme sein, um zumeinen die Sicherheit der IT-Systemezu gewährleisten und zum anderenden unerwünschten Abfluss vonInformationen zu verhindern,insbesondere bei Ausscheiden einesMitarbeiters. Schließlich ist essinnvoll, die Mitarbeiter mithilfe vonHandreichungen oder Schulungenfür die Thematik Schutz vonGeschäftsgeheimnissen zusensibilisieren. Um die Beweisführung im Prozess zu erleichtern,sollten sämtliche Geheimhaltungsmaßnahmen dokumentiertwerden.SchutzkonzeptEs kann sich anbieten, imUnternehmen ein Konzept zumSchutz von Geschäftsgeheimnissenzu etablieren, vergleichbar miteinem Informationssicherheitsmanagementsystem (ISMS) imBereich IT-Sicherheit. Im Rahmeneines solchen Konzepts solltezunächst evaluiert werden, welcheInformationen im Unternehmenvorliegen und wie geheimhaltungsbedürftig sie sind. Sodann bietet essich an, die Informationen nachihrer Schutzbedürftigkeit zustrukturieren, Risiken zu evaluierenund zu überlegen, mit welchenMaßnahmen den Risiken begegnetwerden kann. In die Entwicklungdes Konzepts sollte auch die Frageeinbezogen werden, ob bestimmtegesetzliche, vertragliche oderunternehmensinterneAnforderungen an den Schutz derInformationen bestehen. Ausgehendvon den Ergebnissen dieserInventarisierung, Strukturierungund Analyse kann ein Konzepterarbeitet werden, das konkretetechnische und organisatorischeMaßnahmen zum Schutz vonvertraulichen Informationenvorsieht. Bei der Umsetzung desKonzepts ist es ratsam, Prozesse zuimplementieren, mit denenVerletzungen desGeheimnisschutzes erkannt undanalysiert werden können.Festgelegte Leitlinien zum Konzeptbieten Beschäftigten desUnternehmens klare Vorgaben zumUmgang mit Geschäftsgeheimnissen. Bestehende Konzeptesollten laufend überprüft undverbessert werden. Um den Schutzder Geschäftsgeheimnisse vorGericht beweisen zu können,empfiehlt es sich, das Konzept unddie Maßnahmen schriftlich zudokumentieren.Themenübergreifendes Konzeptund ManagementWie die Ausführungen zu denGeheimhaltungsmaßnahmen zeigen,besteht eine erhebliche Sachnähezu den Anforderungen in denBereichen Datenschutz und ITSicherheit. In der Praxis wird esvielfach zu Überschneidungen beiden Schutzmaßnahmen derjeweiligen Bereiche kommen. Vordiesem Hintergrund solltenUnternehmen erwägen, den Schutzvon Informationen ganzheitlich undthemenübergreifend anzugehen. EinGesamtkonzept bietet Unternehmendie Chance, durch kombinierte undeinheitliche HerangehensweiseRisiken zu minimieren,Entwicklungs- und Umsetzungsaufwand zu reduzieren und Prozessezu optimieren.
Risk BulletinFazitDie EU-Richtlinie zum Schutz vonGeschäftsgeheimnissen und Knowhow öffnet Raum für einenvereinfachten und verbessertenSchutz von Geschäftsgeheimnissen.Der damit einhergehenden Pflichtzum Einsatz angemessenerGeheimhaltungsmaßnahmen könnenUnternehmen mit vertraglichensowie technischen undorganisatorischen Maßnahmenbegegnen. Hierbei ist darauf zuachten, dass die Maßnahmenausreichend dokumentiert werden,um Beweisschwierigkeiten zuvermeiden. Es bietet sich an, für dieBereiche Geheimnisschutz,Datenschutz und IT-Sicherheit eineinheitliches Konzept zu entwickelnund zu implementieren.Die EU-Richtliniezum Schutz vonGeschäftsgeheimnissen undKnow-how öffnetRaum für einenvereinfachtenund verbesserten Schutz vonGeschäftsgeheimnissen.05Ihr Ansprechpartner:Dr. Söntje Julia Hilberg LL.M.Head of IT-LawTel: 49 30 25468 228Mobile: 49 170 7663 353Email: shilbe[email protected] redaktioneller Unterstützung vonMaria Leutloff
Risk BulletinDeloitte Legal Rechtsanwaltsgesellschaft mbH („Deloitte Legal”) als verantwortliche Stelle i.S.d. BDSG ist die Rechtsberatungspraxis der DeloitteGmbH Wirtschaftsprüfungsgesellschaft („Deloitte”). Deloitte Legal und, soweit gesetzlich zulässig, Deloitte und die mit ihr verbundenen Unternehmennutzen Ihre Daten im Rahmen individueller Vertragsbeziehungen sowie für eigene Marketingzwecke. Sie können der Verwendung Ihrer Daten fürMarketingzwecke jederzeit durch entsprechende Mitteilung an Deloitte, Business Development, Kurfürstendamm 23, 10719 Berlin, oder [email protected] widersprechen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.Deloitte Legal bezieht sich auf die Rechtsberatungspraxen der Mitgliedsunternehmen von Deloitte Touche Tohmatsu Limited, deren verbundene Unternehmen oder Partnerfirmen, die Rechtsdienstleistungen erbringen.Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited („DTTL“), eine „private company limited by guarantee“ (Gesellschaft mit beschränkterHaftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch „Deloitte Global“ genannt) erbringt selbst keine Leistungen gegenüber Mandanten.Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/UeberUns.Deloitte erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuerberatung, Financial Advisory und Consulting für Unternehmen undInstitutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk vonMitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und unterstützt Kundenbei der Lösung ihrer komplexen unternehmerischen Herausforderungen. Making an impact that matters – für mehr als 244.000 Mitarbeiter vonDeloitte ist dies gemeinsames Leitbild und individueller Anspruch zugleich.Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerechtzu werden, und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder die Deloitte GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das„Deloitte Netzwerk“) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen desDeloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat.Stand 12/2016
Die neue EU-Richtlinie zum Schutz von Geschäftsgeheimnissen und Know-how zielt darauf ab, Unternehmen vor Geheimnisverrat und Wirtschaftsspionage zu schützen und grenzüberschreitende Innovationen im europäischen Binnenmarkt zu fördern. Gleichzeitig stellt die Richtlinie neue Anforderungen an den Schutz von Geschäftsgeheimnissen. Es gilt: Die
