Direkt zum Inhalt wechseln

Seit April ist es in Kraft, das neue deutsche Gesetz zum Schutz von Geschäftsgeheimnissen. Dieses Gesetz hat auch unmittelbare Auswirkungen auf den Schutz von Kundenlisten und Adressverteilern.Wer einen umfassenden Schutz erreichen möchte, muss handeln.

Das Geschäftsgeheimnisschutzgesetz setzt eine EU-Richtlinie in Deutschland um und gilt seit dem 26. April 2019. Durch das GeschGehG wird der Schutz von vertraulichen Informationen in Unternehmen einheitlich und umfassend geregelt. Die bisherigen Regelungen zum strafrechtlichen Schutz von Geschäftsgeheimnissen wurden aufgehoben.

Das E-Mail-Marketing ist dabei aus zwei Richtungen betroffen. Zum einen muss handeln, wer eigene Adressdatenbanken als Geschäftsgeheimnis weiterhin effektiv schützen möchte. Zum anderen werden viele Kunden von E-Mail-Marketing-Dienstleistern auf den Abschluss neuer Vertraulichkeitsvereinbarungen drängen.

Als Geschäftsgeheimnis geschützte Information

§ 2 Nr. 1 GeschGehG definiert, (nur) welche Informationen als Geschäftsgeheimnis geschützt sind.

Als Geschäftsgeheimnis ist danach eine Information geschützt, die

den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, nicht allgemein bekannt oder ohne weiteres zugänglich ist,
daher von wirtschaftlichem Wert ist,
Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Wesentlicher Unterschied zur bisherigen Rechtslage ist, dass nicht mehr ein einigermaßen schlecht fassbarer Geheimhaltungswille ausreichend (und notwendig) ist, sondern angemessene Geheimhaltungsmaßnahmen ergriffen werden müssen. Der rechtmäßige Inhaber des Geheimnisses muss den Umständen nach angemessene – im Zweifel nachweisbare – Geheimhaltungsmaßnahmen treffen, um den Schutz des Geschäftsgeheimnisses für sich beanspruchen zu können. Fehlen diese, so gibt es auch keinen gesetzlichen Schutz gegen Zugriff. Dann ist die Information im Zweifel nicht gegen Übernahme geschützt.

Bezogen auf den E-Mail-Adressverteiler heißt dies, dass diese als Geschäftsgeheimnis nur geschützt sind, wenn konkrete Maßnahmen zur Geheimhaltung getroffen worden sind.

Angemessene Geheimhaltungsmaßnahmen

Da Voraussetzung für den Schutz als Geschäftsgeheimnis das Bestehen angemessener Schutzmaßnahmen ist und die Beweislast für deren Vorliegen im Zweifel bei dem Unternehmen liegt, müssen die Maßnahmen nicht nur vorhanden, sondern auch in ausreichendem Umfang dokumentiert sein. Man unterscheidet drei Formen von Geheimhaltungsmaßnahmen:

  • vertragliche Maßnahmen (z.B. Vertraulichkeitsvereinbarungen)
  • organisatorische Maßnahmen (z.B. Festlegung von Verantwortlichen, Berechtigungskonzept) und
  • technische und physische Schutzvorrichtungen (z.B. Firewall, Safe, Passwortschutz).

Die Bewertung der Angemessenheit einer Geheimhaltungsmaßnahme erfolgt nicht nach starren Kategorien, sondern anhand einer einzelfallabhängigen Berücksichtigung verschiedener Faktoren:

  • Wert der Information,
  • Grad des Wettbewerbsvorteils durch die geheime Information
  • möglicherweise bestehende Schwierigkeiten bei der Geheimhaltung und
  • konkrete Gefährdung der Information.

Streng genommen muss dann für jede vertrauliche Information eine Risikobetrachtung vorgenommen und jeweils Schutzmaßnahmen in vertraglicher, organisatorischer und technischer Art festgelegt, ungesetzt und dokumentiert werden.

Je nachdem, wie bedeutend der Adressverteiler für das Unternehmen ist (für einen Flash Sale Anbieter womöglich wichtiger als für eine Anwaltskanzlei), müssen also Schutzmaßnahmen getroffen werden. So muss schon aus Datenschutzsicht dafür gesorgt werden, dass ein unbefugter Zugriff auf den Verteiler von außen nach menschlichem Ermessen ausgeschlossen ist. Personen und Unternehmen, die auf den Verteiler zugreifen können sollen, etwa weil sie das E-Mail-Marketing besorgen, sollten über Vertraulichkeitsvereinbarungen auf Verschwiegenheit verpflichtet werden.

Geheimnisschutzkonzept

Damit vertrauliche Informationen in Unternehmen nicht untergehen, ist empfehlenswert, eine Typisierung anhand häufig auftretender Fallgestaltungen vorzunehmen und ein kleines Geheimnisschutzkonzept zu erstellen.

Dabei empfiehlt es sich zunächst, alle Geschäftsgeheimnisse in der gesamten Kette des Wertschöpfungsprozesses (Entwicklung, Marketing, Vertrieb, Kundenbetreuung, Management) zu sammeln, zu kategorisieren (nach Thema und Schutzwürdigkeit) und sodann ein unternehmensinternes Berechtigungs- und Maßnahmenkonzept zu errichten.

Das Konzept sollte beispielsweise auch die personelle Zuständigkeit für die Einrichtung angemessener Geheimhaltungsmaßnahmen für die einzelnen Kategorien der Geschäftsgeheimnisse festlegen. Weiter ist auch die Einrichtung regelmäßiger Kontrollmaßnahmen durch die zuständige Person denkbar, wie etwa in Form von regelmäßigen Evaluierungen des erforderlichen Schutzes (vor und nach Marktplatzierung, Sondierung neuer Geschäftsgeheimnisse in der jeweiligen Abteilung etc.).

Wie ein Schutzkonzept aussehen kann, erläutert meine Kollegin Julia Holterhus aus unserem IP-Team in einem Webinar, das hier kostenfrei nachgehört werden kann:

Verletzungen von Geschäftsgeheimnissen und Folgen

Die maßgebliche Verbotsnorm des GeschGehG ist § 4 GeschGehG. Danach ist das Erlangen von Geschäftsgeheimnissen durch unbefugten Zugang oder auf sonstige Weise verboten (Abs. 1). Ebenso untersagt ist die Nutzung oder Offenlegung von unzulässig erlangten Informationen (Abs. 2 Nr. 1). Das Gleiche gilt für die Nutzung von Geschäftsgeheimnissen, die zwar auf zulässige Weise erlangt wurden (etwa von Beschäftigten oder Dienstleistern), aber unter Verstoß gegen eine Geheimhaltungsverpflichtung verwendet werden (Abs. 2 Nr. 2). § 4 Abs. 3 weitet den Verbotstatbestand auf Personen aus, die zwar selbst keinen Verstoß gegen eine Geheimhaltungsverpflichtung begehen, die Information auf dem Weg vom Inhaber durch eine Verletzung erlangt oder offengelegt wurden und die Person davon Kenntnis hatte oder hätte haben müssen. Häufigster Anwendungsfall dürfte die Nutzung von Geschäftsgeheimnissen von Wettbewerbern im Anschluss an eine unbefugte Erlangung durch Dienstleister oder Beschäftigte sein.

Wird eine verbotene Handlung vorgenommen, kommen je nach Verletzungshandlung verschiedene Ansprüche in Betracht, diese reichen von Unterlassungsansprüchen, über Vernichtungsansprüchen zum Schadensersatz.

Fazit

Das neue Geschäftsgeheimnisschutzgesetz führt zu Handlungsbedarf auch im Online-Marketing. Wer Adresslisten und Kundendatenbanken als Geschäftsgeheimnis schützen möchte, muss konkrete Schutzmaßnahmen ergreifen. Dies sind einerseits technische und organisatorische Maßnahmen zum Schutz der Daten. Andererseits bedarf es des Abschlusses von Vertraulichkeitsvereinbarungen mit all jenen, die in Kontakt mit den sensitiven Informationen kommen.