Datenschutz verstehen – Das Geschäftsgeheimnis-Gesetz (GeschGehG)
Unbemerkt aber mit fast einem Jahr Verspätung ist am 26.04.2019 in Deutschland das neue Geschäftsgeheimnis-Gesetz in Kraft getreten. Der deutsche Gesetzgeber hat hiermit die EU-Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen umgesetzt. Somit sind die §§17 – 19 des Gesetzes gegen den unlauteren Wettbewerb weggefallen. Durch die alten Paragraphen des UWGs wurde vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung von vertraulichen Geschäftsinformationen geschützt.
In diesem Beitrag erfahren Sie insbesondere welche Anforderungen das GeschGehG für Unternehmen mit sich bringt. Bitte beachten Sie das Hinweise, Muster und sonstige Informationen immer individuell für Ihr Unternehmen angepasst und betrachten werden müssen.
Was sind Geschäftsgeheimnisse?
Erstmalig wird das Geschäftsgeheimnis definiert durch den § 2 Nr.1 GeschGehG, demnach ist ein Geschäftsgeheimnis eine Information, die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist.
Des Weiteren ist ein Geschäftsgeheimnis Gegenstand von den Umständen nach angemessenen Geheimhaltungs-Maßnahmen durch ihren rechtmäßigen Inhaber und ebenfalls besteht bei einem Geschäftsgeheimnis ein berechtigtes Interesse an der Geheimhaltung. Inhaber eines Geschäftsgeheimnisses kann jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat, sein. Zusammenfassend ist ein Geschäftsgeheimnis also:
- nicht allgemein bekannt oder ohne weiteres zugänglich;
- ein wirtschaftlicher Wert, weil es geheim ist;
- durch angemessene Geheimhaltungsmaßnahmen geschützt und
- der Inhaber muss ein berechtigtes Interesse an der Geheimhaltung haben.
Was ändert sich für Unternehmen?
Die größte Schwierigkeit für Unternehmen ist mit Sicherheit, erst einmal herauszufinden was überhaupt Geschäftsgeheimnisse für das jeweilige Unternehmen sind. Zusätzlich müssen für jedes Geschäftsgeheimnis angemessene Schutzmaßnahmen ergriffen und dokumentiert werden, damit das Unternehmen Ansprüche bei Rechtsverletzungen geltend machen kann. Folgende Ansprüche bei Rechtsverletzungen können geltend gemacht werden:
Zu beachten ist allerdings, dass die Ansprüche nach den §§ 6 bis 8 Absatz 1 GeschGehG ausgeschlossen sind, wenn die Erfüllung im Einzelfall unverhältnismäßig wäre, unter Berücksichtigung insbesondere der Aufzählung 1-7 aus § 9 GeschGehG.
Wann haftet ein Unternehmen?
Das GeschGehG beschreibt in den §§ 3-4 die zutreffenden Fälle von Verbots- und Erlaubnistatbeständen. So darf ein Geschäftsgeheimnis nicht erlangt werden durch:
- unbefugten Zugang zu unbefugter Aneignung oder unbefugtes Kopieren von Dokumenten, Gegenständen, Materialien, Stoffen oder elektronischen Dateien, die der rechtmäßigen Kontrolle des Inhabers des Geschäftsgeheimnisses unterliegen und die das Geschäftsgeheimnis enthalten oder aus denen sich das Geschäftsgeheimnis ableiten lässt. (§ 4 Abs. 1 GeschGehG)
- jedes sonstige Verhalten, das unter den jeweiligen Umständen nicht dem Grundsatz von Treu und Glauben unter Berücksichtigung der anständigen Marktgepflogenheit entspricht.
Für Unternehmen wird der Fall der indirekten Haftung gem. § 4 Abs. 3 GeschGehG besonders relevant sein. In dem Fall der indirekten Haftung führt alleine die Handlung eines Mitarbeiters, der das Geschäftsgeheimnis erlangt hat, zur Haftung. Für die Praxis bedeutet es insbesondere, dass Mitarbeiter besonders zu verpflichten sind, gerade ein Wechsel zu einem Mitbewerber, kann hier kritisch werden. Wer gegen das GeschGehG verstößt muss mit einer Freiheitsstrafe bis zu drei Jahren oder mit einer angemessenen Geldstrafe rechnen gem. § 23 GeschGehG.
Reverse Engineering gemäß GeschGehG
Ja, Reverse Engineering ist nun offiziell erlaubt. Gemäß § 3 GeschGehG ist es nun erlaubt, durch die eigenständige Entdeckung oder Schöpfung sowie das Beobachten, Untersuchen, Rückbauen oder Testen von Produkten, ein Geschäftsgeheimnis zu erlangen. Das Geschäftsgeheimnis-Gesetz unterscheidet also zwischen zwei Varianten des Reverse Engineering:
- Ein Produkt wurde öffentlich verfügbar gemacht (z.B. Produkt ist im Verkauf erhältlich).
- Ein Produkt befindet sich im rechtmäßigen Besitz des Rückbauenden (z.B. im Rahmen einer Kooperation) und dieser unterliegt keiner Pflicht zur Beschränkung.
Unternehmen sollten nun bewusst entscheiden, welche beteiligten Parteien einen Prototypen eines Produktes erlangen dürfen. Es gibt des Weiteren eine Möglichkeit durch die Verschwiegenheitserklärung (NDA) eine Ausschlussklausel für das Reverse Engineering zu entwerfen. Ist ein Produkt nicht öffentlich verfügbar, ist Reverse Engineering zukünftig dennoch zulässig, sofern der Rückbauende das Produkt rechtmäßig im Besitz hat und keiner Beschränkung hinsichtlich des Reverse Engineerings unterliegt. Das neue GeschGehG stellt damit ausdrücklich klar, dass es in Fällen, in denen ein Produkt nicht öffentlich verfügbar ist, aber in den rechtmäßigen Besitz des Rückbauenden gelangt ist, eine Möglichkeit der Beschränkung des Reverse Engineering gibt.
Besteht kein ausdrückliches Verbot des Reverse Engineering, kann ein solches regelmäßig aus den üblichen Geheimhaltungsregelungen abgeleitet werden. Aus diesem Grund sollte jedes Unternehmen zukünftig ausdrücklich ein Verbot der Tätigkeit des Reverse Engineerings in das entsprechende Regelwerk aufnehmen.
Geheimhaltungs-Maßnahmen nach GeschGehG
Unternehmen sollten beachten, dass ohne angemessene Geheimhaltungsmaßnahmen kein Schutz der Geschäftsgeheimnisse greift. Daher sollten Unternehmen unbedingt eine Matrix erstellen, von verschiedenen Geheimhaltungsstufen und deren Schutzbedarf, Kommunikationskanälen und die daraus resultierenden Geheimhaltungsmaßnahmen. Hierzu ist es sehr ratsam einige individuelle Beispiele auszuarbeiten, damit die Mitarbeiter des Unternehmens anhand dieser Beispiele ein gewisses Verständnis gegenüber Geschäftsgeheimnissen aufbauen.
Darüber hinaus sollten auch alle Vertragspartner der Unternehmen dazu verpflichtet werden, angemessene Geheimhaltungsmaßnahmen zu treffen. Denn dadurch werden auch die weitergegebenen vertraulichen Informationen geschützt.
NDA gemäß GeschGehG
Unternehmen sollten die bisherigen Verpflichtungserklärungen individuell erweitern, ggf. auch für das Reverse Engineering. Grundsätzlich könnte eine Verpflichtungserklärung auf die Vertraulichkeit wie folgt erweitert werden:
Checkliste GeschGehG
Unternehmen sollten sich bei jedem Anlass zum Thema des GeschGehG folgende Fragen stellen, um schnell einen Status zu identifizieren:
- Gibt es eine Risikoklassifizierung von Informationen?
- Welche Maßnahmen zum Schutz der Informationen treffen wir als Unternehmen?
- Gibt es Verfahren zur Identifikation von Schutzlücken / neuen Schutzbedarfen?
- Wie ist das alles dokumentiert?
- Gibt es aktuell Schutzlücken oder als problematisch identifizierte Bereiche?

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.