Dr. Stephan Pötters, Dr. Nikolaos Gazeas
Damit in einem Unternehmen Informationen als Geschäftsgeheimnisse eingestuft werden können und um die Schutzansprüche des GeschGehG geltend machen zu können, müssen die Informationen angemessenen Geheimhaltungsmaßnahmen unterzogen werden. Bislang ist die Rechtsprechung uneinheitlich hinsichtlich der im Einzelfall erforderlichen Geheimhaltungsmaßnahmen.
Das Kammergericht Berlin meint etwa, es dürften keine überzogenen Anforderungen gestellt werden; ein Tätigwerden des Unternehmens, etwa durch Passwortschutz, reiche regelmäßig aus. Das LAG Düsseldorf legt hingegen einen strengeren Maßstab an und ließ eine bloße arbeitsvertragliche Verpflichtungsklausel nicht für einen wirksamen Geheimnisschutz ausreichen, wenn diese zu unspezifisch ist. Das OLG Düsseldorf betont, dass das Gesetz keinen optimalen Schutz oder extreme Sicherheit verlangt.
Als Mindeststandard setzte das OLG Stuttgart jedenfalls voraus, dass relevante Informationen nur Personen anvertraut werden dürfen, die sie zur Durchführung ihrer Aufgabe (potenziell) benötigen und welche zur Verschwiegenheit verpflichtet sind (sog. Need-to-know-Prinzip). Das OLG Schleswig knüpft die Angemessenheit der Schutzmaßnahmen an die konkrete Gefährdungslage. Das AG Aachen betont, dass Unternehmen im Streitfall belegen müssen, aus welchem Grund welche Mitarbeiter Zugang zu Informationen hatten. Zudem müssen die Mitarbeiter von ihrer Verschwiegenheitspflicht auch Kenntnis haben. Höchstrichterliche Leitlinien gibt es noch nicht, die weitere Entwicklung bleibt daher abzuwarten.
Ein Bündel mehrerer technisch-organisatorischer Maßnahmen, die zusammen angemessene Geheimhaltungsmaßnahmen darstellen, wird nachfolgend "Geheimnisschutzsystem" genannt.
Um dieses System zu erstellen, müssen zunächst die Arten von Geheimhaltungsmaßnahmen und die Wertung der Angemessenheit untersucht werden. Anschließend wird der Aufbau eines Geheimnisschutzsystems erläutert.
Als Arten von Geheimhaltungsmaßnahmen sind zu unterscheiden:
- Physische Zugangsbeschränkungen
- Vertragliche Sicherungsmechanismen
- Interne Richtlinien
- Anweisungen
- Klauseln in Arbeitsverträgen, insbes. Verschwiegenheitsverpflichtungen
Bei der Wertung der Angemessenheit müssen folgende Faktoren berücksichtigt werden:
- Wert des Geschäftsgeheimnisses
- Natur der Informationen
- Bedeutung für das Unternehmen
- Größe des Unternehmens
- Übliche Geheimhaltungsmaßnahmen in dem Unternehmen
- Art der Kennzeichnung der Informationen
- Vereinbarte vertragliche Regelungen mit Arbeitnehmern
Wenn ein Geheimnisschutzsystem mehrmals folgenlos umgangen worden ist, kann dies nach der Rechtsprechung indiziell gegen einen angemessenen Geheimnisschutz sprechen. Es ist daher darauf zu achten, Verstößen gegen das System nachzugehen und Sanktionen zu ergreifen bzw. das System anzupassen.
Für den Aufbau eines Geheimnisschutzsystems empfiehlt sich die Bildung eines Projektteams und die Einhaltung eines bestimmten Ablaufplans.
Maßnahmen zur Geheimhaltung
[x] Informationen, die – wenn in physischer Form aufbewahrt – mit dem Stempel "geheim" versehen bzw. – wenn in elektronischer Form vorliegend – als "geheim" markiert sind (im Folgenden: geheime Informationen) sind wie folgt zu behandeln:
- Geheime Informationen sind Informationen, die [...] aufgeführt sind. Im Übrigen nimmt der jeweilige Bereichsleiter die Kennzeichnung vor.
- Geheime Informationen dürfen nur Mitarbeitern mit einer entsprechenden Freigabe bekannt werden und von diesen nur für dienstliche Zwecke genutzt werden. Diese Freigabe haben alle Mitarbeiter der Hierarchieebene G-2 aufwärts, im Übrigen wird sie vom Chief Information Officer erteilt.
- Geheime Informationen sind – als physische Unterlagen – im eigenen Büro unter Verschluss zu halten und in elektronischer Form verschlüsselt in einem Ordner im Firmennetzwerk zu speichern, zu dem nur die Berechtigten Zugang haben. Eine Aufbewahrung außerhalb der Firmeninfrastruktur ist untersagt. Nach der Nutzung sind die geheimen Informationen unverzüglich wieder in gesicherte Aufbewahrung zu nehmen. Das Erstellen von Kopien ist auf das Nötigste zu beschränken.
- Bei Anzeichen für eine unbefugte Erlangung / Offenlegung oder Nutzung geheimer Informationen informieren Sie bitte unverzüglich den Chief Information Officer.
[x] Aufbewahrung von physischen Personalakten / Blaupausen in einem abgeschlossenen Schrank in der Personalabteilung / Entwicklungsabteilung, zu der nur die jeweiligen Mitarbeiter und die Geschäftsführung Zutritt haben, der Schlüssel wird vom Abteilungsleiter aufbewahrt und nur nach Eintragung in ein Logbuch herausgegeben.
[x] Aufbewahrung von als "streng vertraulich" gekennzeichneten elektronischen Unterlagen verschlüsselt in einem Ordner mit streng regulierten Zugangsrechten und dem Verbot, die Daten anderweitig zu speichern.