Vertraulichkeitsvereinbarung in kollaborativer Cloud-Umgebung

Die Situation

Seit dem Jahr 2016 besteht eine vertrauensvolle Zusammenarbeit zwischen einem OEM für komplexe Systeme (z.B. Automotive/Produktionsmaschinen) und einem Zulieferer für elektronische Steuerungen. Der OEM schätzt die Innovationskraft des Zulieferers und wünscht eine gemeinsame Entwicklungsumgebung zur Sicherstellung passender Interfaces. Die Entwicklungsumgebung wird in einem Rechenzentrum on-premise des OEM gehostet. Der Zulieferer erhält – neben anderen Zulieferern – die erforderlichen Zugangsrechte. Der OEM und die relevanten Zulieferer können als Projektteam effektiv miteinander arbeiten.

Im Rahmen der Geschäftsbeziehung wurden regelmäßig sensible Daten geteilt. Man vertraute vor dem Hintergrund strafrechtlicher Vorschriften aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) auf den angemessenen Umgang. Daneben gab es eine Vertraulichkeitsvereinbarung (NDA), die die Weitergabe von als vertraulich gekennzeichneten Daten und Informationen an andere Unternehmen untersagte.

Im Jahr 2021 meldete der OEM ein Patent an. Es handelt sich um eine Erfindung in einem anderen Produktbereich des OEM, die maßgeblich auf einer Innovation des Zulieferers beruhte. Die Patentanmeldung des OEM war für den Zulieferer „neuheitsschädlich“ i.S.d. Patentgesetzes. Eine Verwendung der Innovation im Rahmen eigener Geschäftsinteressen ist nicht mehr möglich.

Der Schaden für den Zulieferer ist erheblich. Kann er etwas dagegen unternehmen? Die Aussichten sind denkbar schlecht.

Verbesserungspotential durch IT-Verträge und IT-rechtliche Beratung

IT-Verträge, die auf eine andauernde Geschäftsbeziehung angelegt sind, müssen regelmäßig auf Anpassungsbedarf überprüft werden. Dieser kann sich aus Rechtsänderungen oder aus technischem Fortschritt ergeben. Dies ist hier unterblieben.

Am 18.4.2019 ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Bis zu diesem Zeitpunkt waren Betriebs- und Geschäftsgeheimnisse schon dann geschützt, wenn ein Geheimhaltungswille des Geschäftsinhabers bestand. Dieser musste sich nicht durch konkrete Maßnahmen manifestieren.  Es genügte, dass er sich aus der Natur der Informationen ergab.

Seit dem 18.4.2019 sind Unternehmen gezwungen, ihre Informationen durch „den Umständen nach angemessene Geheimhaltungsmaßnahmen“ zu schützen und ihren Geheimhaltungswillen damit objektiv erkennbar zu machen.

Was darunter konkret zu verstehen ist, ist auch nach mehr als drei Jahren durch die Rechtsprechung wenig geklärt. Das GeschGehG ist ein deutsches Gesetz zur Umsetzung der Geschäftsgeheimnisrichtlinie der EU. In der Begründung der Richtlinie hat die EU-Kommission das Ziel der Gesetzgebung erklärt. Das hilft hier weiter:

„Vor dem Hintergrund unzureichender oder unsicherer Rechtsmittel im Falle eines Geheimnismissbrauchs haben Unternehmen [in der Vergangenheit] oft erheblichen finanziellen Aufwand auf sich genommen, ihre Geschäftsgeheimnisse physisch zu schützen – wenn sie sie überhaupt geteilt haben. Die Geschäftsgeheimnisrichtlinie möchte im Zuge der Umsetzung der Europäischen Datenstrategie das Teilen von Informationen unter gleichzeitiger Stärkung rechtlichen Schutzes vor Missbrauch fördern. Einem leichteren rechtlichen Vorgehen gegen einen Verletzer muss jedoch [auf der anderen Seite] Rechtssicherheit gegenüberstehen. Die Möglichkeit der Rechtsverfolgung soll daran anknüpfen, dass der Geheimnisinhaber Geheimhaltungsmaßnahmen ergreift, die den sicheren Rückschluss auf Geschäftsgeheimnis zulassen.“

Was ist also zu tun:

Sie müssen Ihren Geheimhaltungswillen durch rechtliche, technische und organisatorische Schutzmaßnahmen so manifestieren, dass Dritte daraus den sicheren Schluss ziehen können, dass es sich um Ihre Geschäftsgeheimnisse handelt. Die Maßnahmen müssen der Größe Ihres Unternehmens und der Bedeutung des Geschäftsgeheimnisses für Ihr Unternehmen angemessen sein.

Die Vereinbarung eines personen- und zweckbezogenen Need-to-know-Prinzips wird dabei allgemein als Mindesterfordernis erachtet.



TRENCHANT® unterstützt Sie bei der Gestaltung Ihrer Vertraulichkeits- und Remote-Access-Vereinbarungen.

Im Falle kollaborativen Zusammenarbeitens auf einer Plattform sind im Rahmen einer Cloud Security Policy projekt- und rollenbezogene, technische Zugriffsberechtigungen dringend zu empfehlen.

Nicht angemessene Geheimhaltungsmaßnahmen können dazu führen, dass sich die Geschäftsleitung einer persönlichen Haftung aussetzt.

Mehr als 20 Jahre Erfahrung an der
Schnittstelle von Recht, Wirtschaft
und Technik.

Kontakt aufnehmen
17. Februar 2024
Data Act und KI im industriellen Umfeld – Haftungsfragen
Artikel lesen
2. Februar 2024
Die RED-Verordnung und ihre praktische Umsetzung
Artikel lesen
2. Juli 2023
Robotik und Steuerungstechnik: Umsetzung neuer Cyber-Security-Vorschriften
Gerade waren alle noch in emotionalen Höhenflügen auf der Messe "automatica", wo sie stolz ihre technischen Neuheiten vorstellten.
Artikel lesen
22. Mai 2023
KI-generierter Quellcode
KI generierter Quellcode – wem stehen die Nutzungsrechte zu?
Artikel lesen
5. Mai 2023
Der EU Data Act und die Folgen für das Design von IoT-Produkten
Die Pflicht zur Bereitstellung von Daten: Zwingt der EU Data Act Unternehmen zum Re-Design ihrer IoT-Produkte?
Artikel lesen
27. Januar 2023
Data Act – Datenregulierungs-Vorhaben der EU
Die EU-Kommission legt einen Entwurf für ein Datengesetz vor
Artikel lesen
30. November 2022
Updatepflicht für embedded Systems
Digitale-Inhalte-Richtlinie und die Warenkauf-Richtlinie der EU
Artikel lesen
25. November 2022
Agile Einführung einer Software
Fallbeispiel
Artikel lesen
25. November 2022
Vertraulichkeitsvereinbarung in kollaborativer Cloud-Umgebung
Artikel lesen
15. Mai 2022
CR 2022, 281: Nutzung von Cloud-Services im Unternehmen
Nutzung von Cloud-Services im Unternehmen – Verantwortlichkeiten für die IT-Sicherheit
Artikel lesen
15. März 2021
CR 2021, 145: Vertragsklauseln zum IT-Projektmanagement
Zentrale Weichenstellungen
Artikel lesen