In der modernen Wirtschaft macht technisches und geschäftliches Know-how häufig einen großen Teil des Unternehmenswertes aus. Dennoch ist Unternehmens-Know-how – für viele Unternehmen überraschend – oft nur unzureichend geschützt. Die flächendeckende Einführung mobilen Arbeitens verschärft dieses Problem. Der folgende Beitrag soll Orientierung geben, worauf jetzt zu achten ist.
Schutzanforderungen an Geschäftsgeheimnisse
Seit Beginn der Corona-Pandemie wird die Arbeit aus dem Home-Office oder von unterwegs in vielen Unternehmen akzeptiert und unterstützt. Die Möglichkeit mobilen Arbeitens erfordert es jedoch, Regelungen zum Schutz von Geschäftsgeheimnissen auf den Prüfstand zu stellen (vgl. zu den datenschutzrechtlichen Herausforderungen bereits unseren Blog-Beitrag vom 22. März 2022). Als Geschäftsgeheimnisse geschützt sind nämlich seit Inkrafttreten des Geschäftsgeheimnisgesetzes (GeschGehG) im April 2019 nur aufgrund berechtigter Interessen schützenswerte, nicht allgemein bekannte oder zugängliche Informationen von wirtschaftlichem Wert, die Gegenstand angemessener Geheimhaltungsmaßnahmen des Unternehmens sind (vgl. bereits unsere Blogbeiträge vom 8. April 2021 und vom 8. Februar 2021). Die meisten Unternehmen haben ihre arbeitsvertraglichen Vereinbarungen und internen Richtlinien bereits vor Inkrafttreten des GeschGehG im Jahr 2019 an die neue Rechtslage angepasst und technische und organisatorische Vorkehrungen zum Schutz von geschäftlichem oder technischem Know-how implementiert. Häufig haben sie dabei den Trend zum mobilen Arbeiten noch nicht berücksichtigt, der erst im Zusammenhang mit der Pandemie Fahrt aufgenommen hat.
Arbeitsvertragliche Nebenpflicht zum Schutz von Geschäftsgeheimnissen
Unabhängig von einer ausdrücklichen Regelung im Arbeitsvertrag sind Arbeitnehmer bereits aufgrund einer arbeitsvertraglichen Nebenpflicht (§ 241 Abs. 2 BGB) verpflichtet, Geschäfts- und Betriebsgeheimnisse zu wahren und nicht unbefugten Dritten zu überlassen. Bei Verstößen drohen eine Abmahnung, in besonders schweren Fällen oder im Wiederholungsfall sogar eine Kündigung, und die Geltendmachung von Schadenersatz- und Unterlassungsansprüchen. Darüber hinaus steht bei besonders schweren vorsätzlichen Verstößen die Verwirklichung von Straftatbeständen steht im Raum (§ 23 GeschGehG, § 203 StGB).
Angemessene Geheimhaltungsmaßnahmen als Voraussetzung für den Schutz von Know-how
Ob ein im vorgenannten Sinne geschütztes Geschäftsgeheimnis überhaupt vorliegt, hängt seit Inkrafttreten des GeschGehG am 26. April 2019 jedoch auch davon ab, ob der Arbeitgeber angemessene Geheimhaltungsmaßnahmen in Bezug auf die fragliche Information getroffen hat. In Betracht kommen technische, organisatorische und rechtliche Maßnahmen. Im Streitfall trägt der Arbeitgeber die Darlegungs- und Beweislast für die Angemessenheit dieser Geheimhaltungsmaßnahmen.
Entwicklung eines Schutzkonzepts
Zur Entwicklung eines angemessenen Schutzkonzepts sind zunächst verschiedene Kategorien schutzwürdigen Know-hows nach Wichtigkeit, Risikolage und Form zu identifizieren. Unterschieden werden können streng geheime Informationen, deren Bekanntwerden existenzbedrohend wäre, wichtige Informationen, deren Bekanntwerden einen dauerhaften wirtschaftlichen Nachteil verursachen könnte, und sensible Informationen, deren Bekanntwerden mit einem kurzfristigen wirtschaftlichen Nachteil verbunden sein könnten (OLG Schleswig vom 28. April 2022 – 6 U 39/21).
Im zweiten Schritt werden für die unterschiedlichen Kategorien passende Schutzmaßnahmen auf rechtlicher, organisatorischer und technischer Ebene bestimmt. Als technische Maßnahmen kommen bspw. physische Zugangshürden (wie räumliche Zugangssicherungen, verschließbare Aktenschränke) und IT-Sicherheitsmaßnahmen wie Passwortschutz und Authentifizierungsverfahren in Betracht. Organisatorische Maßnahmen umfassen u.a. Schulungen von betroffenen Mitarbeitern, die Aufsplittung von Wissen auf mehrere Mitarbeiter und Sicherheitsüberprüfungen. Rechtliche Maßnahmen sind bspw. kollektiv- oder arbeitsvertragliche Regelungen und Weisungen. Zu beachten ist aber, dass allgemein gehaltene arbeitsvertragliche Regelungen, die sich auf alle während des Arbeitsverhältnisses erhaltenen betrieblichen Informationen erstrecken (sog. Catch-all-Klauseln), keine angemessene Geheimhaltungsmaßnahme sind; es bedarf vielmehr konkreter und transparenter Regelungen (vgl. Arbeitsgericht Aachen vom 13. Januar 2022 – 8 Ca 1229/20).
Im letzten Schritt sind Schutzkonzepte regelmäßig zu überprüfen und an neue Arbeitswirklichkeiten anzupassen. Schutzkonzepte, die geänderten Arbeitsumständen keine Rechnung mehr tragen, sind keine angemessenen Maßnahmen zum Schutz von Geschäftsgeheimnissen; der Schutz von Informationen als Geschäftsgeheimnis entfällt.
Anpassung bestehender Schutzkonzepte an die Besonderheiten mobiler Arbeit
Mobiles Arbeiten birgt gegenüber der Arbeit im Unternehmen oft erhöhte Risiken für das Know-how von Unternehmen. Unbefugte Dritte können leichter Zugriff auf vertrauliche Informationen nehmen, ob in Papierform oder digital, oder vertrauliche Gespräche mithören. Zugangsbeschränkungen, die im Betrieb zum Schutz von Informationen errichtet worden sind, müssen u. U. durch andere technische Vorkehrungen im Homeoffice ersetzt und durch neue organisatorische Maßnahmen und vertragliche Absprachen flankiert werden. Es empfiehlt sich, in gesonderten Schulungen das Bewusstsein von Mitarbeitern für spezifischen Risiken mobilen Arbeitens für Unternehmens-Know-how zu schärfen. Auch sollte geprüft werden, ob Sichtbeschränkungen wie Schutzfolien auf Laptops und Aktenhüllen benötigt werden und die Nutzung privater Datenträger und Regeln zum Passwortschutz neu bestimmt werden müssen. Die Prüfung kann auch zu dem Ergebnis führen, dass keine angemessenen Schutzmaßnahmen zur Verfügung stehen und der Umgang mit besonders sensiblen Daten mobiles Arbeiten ausschließt. Insbesondere bei PC-gebundenen Arbeitsplätzen kann die Anpassung eines bestehenden Schutzkonzepts mitbestimmungspflichtig sein. Demgegenüber ist die Entscheidung des Arbeitgebers, mobile Arbeit überhaupt einzuführen oder sie nur für bestimmte Arbeitsplätze, Bereiche oder Beschäftigtengruppen vorzusehen, mitbestimmungsfrei.
Fazit
Technisches und geschäftliches Know-how von Unternehmen ist durch mobiles Arbeiten erhöhten Risiken der Offenbarung ausgesetzt. Damit Unternehmen den Schutz von Informationen als Geschäftsgeheimnisse nicht verlieren, müssen bestehende Schutzkonzepte regelmäßig auf den Prüfstand gestellt und technische, organisatorische und rechtliche Schutzmaßnahmen bei Bedarf angepasst werden.