Schutz von Geschäftsgeheimnissen – mögliche Sofortmaßnahmen

Protection of trade secrets - possible immediate measures

Trade secrets according to § 26b UWG demand appropriate secrecy measures. In this article we give a brief – non conclusive - overview of possible Protective Measures.

  • Evaluierung

Als erste Sofortmaßnahme zur Feststellung, welche Maßnahmen zu treffen sind, sollten die Vorgänge im Unternehmen und die im Unternehmen vorhandenen Informationen evaluiert werden.

Dafür müssen Sie hinterfragen, welche unternehmensinternen Informationen für Konkurrenzunternehmen besonders wichtig sind und der Verlust welcher Informationen für Ihr Unternehmen den größten Schaden nach sich ziehen würde.

Wenn diese erste Evaluierung der vorhandenen Informationen vorliegt, können die Informationen nach Wichtigkeit weiter unterteilt werden und dann anhand dieser Unterteilung die notwendigen Maßnahmenkataloge und Richtlinien erstellt werden.

Zu unterteilen sind v.a. nachstehende Kategorien:

  • streng geheim (sehr hohes Schadenspotential; zB Passwörter, Prototypen, etc.)
  • geheim (erhebliches Schadenspotenzial; zB Informationen, die Vertraulichkeitsvereinbarungen unterliegen, Lieferantenkonditionen, Kundenlisten, etc.)
  • interne Informationen (geringes Schadenspotenzial; zB Organigramme, Urlaubskalender, etc.)
  • öffentlich bekannte Informationen

 

  • Erstellung von Richtlinien und Maßnahmenkatalogen

Auf Basis dieser Erkenntnisse können die weiteren Handlungsanweisungen und internen Richtlinien erstellt werden. In diesem Zusammenhang sollte geprüft werden, welche Schutzmaßnahmen bereits eingehalten werden und wo noch Verbesserungsbedarf besteht. Diese Erkenntnisse sollten unbedingt in Richtlinien und Handlungsanweisungen gegossen (und von den Mitarbeitern unterschrieben) werden, damit im Bedarfsfall dem Gericht gegenüber unverzüglich nachgewiesen werden kann, dass und welche konkreten Geheimhaltungsmaßnahmen getroffen wurden. Dieser Nachweis ist wichtig, um im Streitfall darlegen zu können, dass ein Geschäfts- bzw. Betriebsgeheimnis nach § 26b UWG verletzt wurde.

Mit nachstehender Auflistung wollen wir einen Denkanstoß für mögliche Maßnahmen anbieten. Die Auflistung ist jedoch nicht vollständig, weil die Maßnahmen auf die Bedürfnisse des jeweiligen Unternehmens und die geheim zu haltenden Maßnahmen zugeschnitten werden müssen. Vor allem hinsichtlich der IT sind die Maßnahmen nur kursorisch aufgezählt, weil wir nicht Fachmann auf diesem Gebiet sind.

  • Prüfen, ob das Unternehmen alle Rechte am Know-how hat (Welche Vereinbarungen mit externen Dienstleistern gibt es? Welche Vereinbarungen bestehen bezüglich Diensterfindungen? Sind alle Muster, Marken, Patente in der erforderlichen Reichweite angemeldet, etc.?)
  • Werden vertrauliche Informationen physisch und elektronisch getrennt aufbewahrt? Wie werden die physisch aufbewahrten Informationen gesichert?
  • Ist der Zugang zum Unternehmen für Betriebsfremde beschränkt und kontrolliert?
  • Sind ausreichende Vertraulichkeitsvereinbarungen mit Dritten abgeschlossen? Ist der Inhalt der geheim zu haltenden Informationen genau definiert? Ist – falls notwendig – die Decompilierung von Source Codes ausgeschlossen und das Reverse Engineering in diesen Vereinbarungen verboten?
  • Welche Geheimhaltungspolicies gibt es bei der IT (Verschlüsselungen von Notebooks und Datensticks, etc., sichere Mails, keine Daten in Clouds speichern, Clear Desk-Policy, ausreichender Passwortschutz (2-Faktoridentifikation); Welche Passwortpolicy gibt es (genaue Definition wer wozu Zugang hat)?
  • Ist es verboten, mit Computern, auf denen Administratorzugänge gespeichert sind, im Internet zu surfen (allenfalls zweiten Benutzer anlegen)?
  • Ist es verboten, Geschäftsgeheimnisse in Clouds abzulegen?
  • Gibt es Weisungen, ständige Backups und Updates zu machen (die IT ständig auf dem aktuellen Stand zu halten)?
  • Gibt es Anweisungen für Vervielfältigung, Weitergabe, Übermittlung, Vernichtung, Speicherung und Aufbewahrung geheimer Daten? Sie geheime Informationen als solche für die Dienstnehmer erkennbar? Gibt es Anweisungen, wie sich der Dienstnehmer unterwegs hinsichtlich der Daten zu verhalten hat?
  • Welche arbeitsvertraglichen Absicherungen bestehen? Bestehen Geheimhaltungsvereinbarungen auch über das Ausscheiden von Mitarbeitern hinaus? Gibt es ein Aufklärungsblatt für die Mitarbeiter? Werden von Mitarbeitern Richtlinien zur Informationssicherheit unterschrieben (was gilt beispielsweise bei öffentlichem Telefonieren mit Kunden, öffentliches Arbeiten im Zug am PC, etc.)? Wird von ausscheidenden Mitarbeitern nochmals eine Geheimhaltungsvereinbarung zur Bekräftigung unterfertigt? Wird beim Ausscheiden eines Mitarbeiters sichergestellt, dass er keine geheimen Informationen mitnimmt? Wie verhält es sich mit BYOD (bring your own device)? Gibt es Weisungen gegenüber Mitarbeitern, die Unternehmens-IT samt Handy nicht privat zu nutzen und auch keine private IT zu nutzen? Gibt es eine Richtlinie zu Installation von Programmen, etc.? Gibt es eine Richtlinie zu öffentlichen Postings von Mitarbeitern? Gibt es Schulungen, laufende Kontrollen der Mitarbeiter zur Informationssicherheit? Werden bei Ausscheiden des Mitarbeiters sofort alle Zugänge gesperrt, etc.?
  • Wie werden Prototypen gesichert?
  • Werden geschlossene Papierentsorgungsbehälter verwendet? Werden geheime Informationen geschreddert?
  • Werden geheime Informationen als solche gekennzeichnet?
  • Sind die geheimen Informationen beschränkt auf die Mitarbeiter, die die Informationen für die Arbeit benötigen? Ist der Zugang überwacht und protokolliert?
  • Werden Veröffentlichungen von Mitarbeitern vorab genehmigt, um unbeabsichtigte Offenbarungen hintanzuhaltenden (zB bei Messen, etc.)?
  • Werden Informationen an den Betriebsrat als vertraulich bezeichnet?
  • etc.

 

Auf Basis der Erkenntnisse aus der Evaluierung der vorhandenen Daten und der bestehenden und noch umzusetzenden Informationssicherheitsmaßnahmen sind – wie bereits ausgeführt – die weiteren Handlungsanweisungen und internen Richtlinien zu erstellen. Nach deren Umsetzung sollten diese dann jedenfalls auch regelmäßig evaluiert und deren Einhaltung kontrolliert werden.