Vertraulichkeitsvereinbarung in kollaborativer Cloud-Umgebung
Die Situation
Seit dem Jahr 2016 besteht eine vertrauensvolle Zusammenarbeit zwischen einem OEM für komplexe Systeme (z.B. Automotive/Produktionsmaschinen) und einem Zulieferer für elektronische Steuerungen. Der OEM schätzt die Innovationskraft des Zulieferers und wünscht eine gemeinsame Entwicklungsumgebung zur Sicherstellung passender Interfaces. Die Entwicklungsumgebung wird in einem Rechenzentrum on-premise des OEM gehostet. Der Zulieferer erhält – neben anderen Zulieferern – die erforderlichen Zugangsrechte. Der OEM und die relevanten Zulieferer können als Projektteam effektiv miteinander arbeiten.
Im Rahmen der Geschäftsbeziehung wurden regelmäßig sensible Daten geteilt. Man vertraute vor dem Hintergrund strafrechtlicher Vorschriften aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) auf den angemessenen Umgang. Daneben gab es eine Vertraulichkeitsvereinbarung (NDA), die die Weitergabe von als vertraulich gekennzeichneten Daten und Informationen an andere Unternehmen untersagte.
Im Jahr 2021 meldete der OEM ein Patent an. Es handelt sich um eine Erfindung in einem anderen Produktbereich des OEM, die maßgeblich auf einer Innovation des Zulieferers beruhte. Die Patentanmeldung des OEM war für den Zulieferer „neuheitsschädlich“ i.S.d. Patentgesetzes. Eine Verwendung der Innovation im Rahmen eigener Geschäftsinteressen ist nicht mehr möglich.
Der Schaden für den Zulieferer ist erheblich. Kann er etwas dagegen unternehmen? Die Aussichten sind denkbar schlecht.
Verbesserungspotential durch IT-Verträge und IT-rechtliche Beratung
IT-Verträge, die auf eine andauernde Geschäftsbeziehung angelegt sind, müssen regelmäßig auf Anpassungsbedarf überprüft werden. Dieser kann sich aus Rechtsänderungen oder aus technischem Fortschritt ergeben. Dies ist hier unterblieben.
Am 18.4.2019 ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Bis zu diesem Zeitpunkt waren Betriebs- und Geschäftsgeheimnisse schon dann geschützt, wenn ein Geheimhaltungswille des Geschäftsinhabers bestand. Dieser musste sich nicht durch konkrete Maßnahmen manifestieren. Es genügte, dass er sich aus der Natur der Informationen ergab.
Seit dem 18.4.2019 sind Unternehmen gezwungen, ihre Informationen durch „den Umständen nach angemessene Geheimhaltungsmaßnahmen“ zu schützen und ihren Geheimhaltungswillen damit objektiv erkennbar zu machen.
Was darunter konkret zu verstehen ist, ist auch nach mehr als drei Jahren durch die Rechtsprechung wenig geklärt. Das GeschGehG ist ein deutsches Gesetz zur Umsetzung der Geschäftsgeheimnisrichtlinie der EU. In der Begründung der Richtlinie hat die EU-Kommission das Ziel der Gesetzgebung erklärt. Das hilft hier weiter:
„Vor dem Hintergrund unzureichender oder unsicherer Rechtsmittel im Falle eines Geheimnismissbrauchs haben Unternehmen [in der Vergangenheit] oft erheblichen finanziellen Aufwand auf sich genommen, ihre Geschäftsgeheimnisse physisch zu schützen – wenn sie sie überhaupt geteilt haben. Die Geschäftsgeheimnisrichtlinie möchte im Zuge der Umsetzung der Europäischen Datenstrategie das Teilen von Informationen unter gleichzeitiger Stärkung rechtlichen Schutzes vor Missbrauch fördern. Einem leichteren rechtlichen Vorgehen gegen einen Verletzer muss jedoch [auf der anderen Seite] Rechtssicherheit gegenüberstehen. Die Möglichkeit der Rechtsverfolgung soll daran anknüpfen, dass der Geheimnisinhaber Geheimhaltungsmaßnahmen ergreift, die den sicheren Rückschluss auf Geschäftsgeheimnis zulassen.“
Was ist also zu tun:
Sie müssen Ihren Geheimhaltungswillen durch rechtliche, technische und organisatorische Schutzmaßnahmen so manifestieren, dass Dritte daraus den sicheren Schluss ziehen können, dass es sich um Ihre Geschäftsgeheimnisse handelt. Die Maßnahmen müssen der Größe Ihres Unternehmens und der Bedeutung des Geschäftsgeheimnisses für Ihr Unternehmen angemessen sein.
Die Vereinbarung eines personen- und zweckbezogenen Need-to-know-Prinzips wird dabei allgemein als Mindesterfordernis erachtet.
TRENCHANT® unterstützt Sie bei der Gestaltung Ihrer Vertraulichkeits- und Remote-Access-Vereinbarungen.
Im Falle kollaborativen Zusammenarbeitens auf einer Plattform sind im Rahmen einer Cloud Security Policy projekt- und rollenbezogene, technische Zugriffsberechtigungen dringend zu empfehlen.
Nicht angemessene Geheimhaltungsmaßnahmen können dazu führen, dass sich die Geschäftsleitung einer persönlichen Haftung aussetzt.
Mehr als 20 Jahre Erfahrung an der
Schnittstelle von Recht, Wirtschaft
und Technik.