EU-Richtlinie erhöht Anforderungen an den Schutz von vertraulichen Geschäftsinformationen und Know-how

13/12/2017

Die bis Mitte 2018 umzusetzende Geschäftsgeheimnisse-Richtlinie1 bringt zahlreiche Änderungen beim Schutz von vertraulichen Geschäftsinformationen und Know-how. Ein Kernpunkt: In Zukunft sind weiter reichende Schutzvorkehrungen als bisher zu ergreifen. Denn nur so kommt man im Fall eines Geheimnisdiebstahls in den Genuss der Rechtsschutzmöglichkeiten, die in der Richtlinie vorgesehen sind.

Geheimnisdiebstahl – ein verbreitetes Problem

Heute sind fast alle sensitiven Informationen – wie z.B. Kundendateien, Preislisten, technische Zeichnungen und Pläne – elektronisch gespeichert. Ein Diebstahl einer großen Zahl von Dokumenten ist mit nur wenigen Knopfdrücken innerhalb kurzer Zeit und ohne Aufmerksamkeit zu erregen möglich. Immer mehr Unternehmen sind daher von einem Geheimnisdiebstahl betroffen.

Richtlinie verlangt angemessene Schutzmaßnahmen

Nach der neuen Geschäftsgeheimnisse-Richtlinie kann ein Unternehmen gegen einen Geheimnisdiebstahl nur vorgehen, wenn es angemessene Geheimhaltungsmaßnahmen zum Schutz seiner Geschäftsgeheimnisse gesetzt hat. Die Richtlinie erhöht damit die Anforderungen für Geheimnisinhaber deutlich. Die bisherige österreichische Rechtsprechung stellte nämlich nur auf einen „Geheimhaltungswillen“ des Betroffenen ab. Es war bereits ausreichend, wenn sich aus dem Verhalten des Geheimnisinhabers ergab, dass die Information nur einem bestimmten Personenkreis vorbehalten sein sollte. Sicherheitslücken änderten nichts am Geheimhaltungswillen der Unternehmerin bzw. des Unternehmers.2

Die Richtlinie verlangt nunmehr über einen bloßen Willen des Geheimnisinhabers hinausgehende angemessene Geheimhaltungsmaßnahmen. Dies muss als Aufforderung an den Geheimnisinhaber gesehen werden, aktiv ausreichende Schutzvorkehrungen zu treffen. Hiermit sind sowohl vertragliche Maßnahmen wie auch technische Schutzvorkehrungen angesprochen.

Was ist in der Praxis zu tun?

Sämtliche Dienstverträge sollten dahingehend überprüft werden, ob sie ausreichende, über das Ende des Dienstverhältnisses hinausgehende Geheimhaltungsverpflichtungen enthalten und gegebenenfalls angepasst werden. Im Unternehmen sollte es auch IT-Richtlinien geben, in denen der Umgang mit vertraulichen Geschäftsinformationen und Know-how geregelt ist (z.B. keine Speicherung auf externen Datenträgern). Auch eine Schulung der Mitarbeiterinnen und Mitarbeiter im Umgang mit vertraulichen Geschäftsinformationen ist anzuraten. Wenn es in der Zusammenarbeit mit anderen Unternehmen zu einem Know-how-Austausch kommt, ist der Abschluss einer Geheimhaltungsvereinbarung (Non-Disclosure-Agreement oder „NDA“) unerlässlich.

In technischer Hinsicht sollten vertrauliche Informationen nur jenen Mitarbeiterinnen und Mitarbeitern zugänglich gemacht werden, die sie für ihre Arbeit benötigen. Dies kann in der EDV durch die Eingabe von Passwörtern oder die Einräumung von abgestuften Zugangsberechtigungen zu Inhalten erreicht werden. Gerade bei der späteren Rechtsverfolgung empfehlen sich Systeme, die protokollieren, welcher Mitarbeiter wann auf welche Inhalte zugegriffen hat. Schließlich ist es auch wichtig, das System regelmäßig auf Sicherheitslücken zu überprüfen und angemessene Maßnahmen zu setzen, um allenfalls bestehende Lücken zu beseitigen.

Welche Rechte bestehen bei Geheimnisdiebstahl?

Die Richtlinie räumt dem Geheimnisinhaber weitgehende Sanktionsmöglichkeiten ein, wie etwa ein Verbot der Herstellung und des Vertriebs rechtsverletzender Produkte, den Rückruf solcher Produkte sowie deren nachfolgende Vernichtung. Auch die Geltendmachung von Schadenersatzansprüchen wird durch die Möglichkeit der Schadensberechnung auf Basis eines hypothetischen Lizenzentgelts erleichtert. Geheimnisinhaber können diese Ansprüche aber nur geltend machen, wenn sie nachweisen können, angemessene Geheimhaltungsmaßnahmen gesetzt zu haben.

Fazit: Am besten bereits jetzt aktiv werden...

Die Richtlinie ist bis 9.6.2018 in nationales Recht umzusetzen. Auch wenn es derzeit noch keinen Gesetzesentwurf für die österreichischen Umsetzungsbestimmungen gibt, sollten Unternehmen schon jetzt ihre Vertragspraxis an die Mindeststandards der Richtlinie anpassen und geeignete organisatorische und technische Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse ergreifen sowie ihre Arbeitsverträge anpassen und unternehmensinterne IT-Richtlinien erlassen oder ergänzen. 

1Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung
2OGH 25.10.2016, 4 Ob 165/16t

Autoren

Das Photo von Gabriela Staber
Gabriela Staber
Partner