Mit der UWG-Novelle 2018 (BGBl I 2018/109 vom 28.12.2018) wurde die Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) der Europäischen Union (RL (EU) 2016/943) in Österreich umgesetzt. Fehlende oder lückenhafte Geheimhaltungsmaßnahmen von Unternehmen  führen seither zum Verlust von Ansprüchen gegen die Verletzter von  Betriebs- und Geschäftsgeheimnissen.

Bisher gab es für Betriebs- und Geschäftsgeheimnisse keine eigene Definition. Die Rechtsprechung hat in der Vergangenheit Tatbestandselemente herausgearbeitet, wonach ein Geschäftsgeheimnis dann vorliegt, wenn die geheimzuhaltenden Informationen nicht offenkundig sind, ein Geheimhaltungswille daran besteht, sie wirtschaftliche Geheimhaltungsinteressen betrifft und eine Betriebsbezogenheitaufweist (vgl. 4 Ob 165/16t).

Für die Annahme eines Betriebs- und/oder Geschäftsgeheimnises war es daher bisher ausreichend, dass die betriebsbezogene Information nicht ohnehin bekannt und nach dem Willen der Verantwortlichen geheim zu halten war.

Der nunmehr neu eingeführte § 26b Abs 1 UWG definiert ein Geschäftsgeheimnis legal als eine geheime Information, die gerade dadurch, dass sie geheim ist, von kommerziellem Wert und Gegenstand von den Umständen entsprechenden und angemessenen Geheimhaltungsmaßnahmen ist.

Während die übrigen Begriffe inhaltlich grundsätzlich mit jenen von der Rsp - vor Umsetzung der Geschäftsgeheimnis-Richtlinie  - herausgearbeiteten Tatbestandselementen korrespondieren, wird durch die Umsetzung der Richtlinie in Österreich nun von Unternehmen zusätzlich verlangt, geeignete Geheimhaltungsmaßnahmen zu treffen.

Im Umkehrschluss bedeutet dies, dass Unternehmer, die es verabsäumen, ausreichende und angemessene Schutzvorkehrungen für sensible Betriebsinformationen zu schaffen, Gefahr laufen,  Unterlassungs-, Beseitigungs- und bei Verschulden auch Schadenersatzansprüche gegen Verletzter von  Betriebs- und Geschäftsgeheimnissen, zu verlieren.

Als geeignete Maßnahmen zur Geheimhaltung werden in den Erläuterungen zur Richtlinie beispielsweise IT-Sicherheitsmaßnahmen, Mitarbeitergespräche, das Einschränken von Informationen auf bestimmte vertrauenswürdige Personenkreise bzw eine entsprechende Unternehmenspolitik genannt.

Dass die gesetzten Maßnahmen angemessen sind und dem Stand der Technik entsprechen, muss der Unternehmer nachweisen. Im Zuge eines Gerichtsverfahrens wird dies von einem Sachverständigen im Nachhinein zu beurteilen sein.

Unternehmer, die ihre Ansprüche daher für den Ernstfall wahren wollen, sind gehalten, ihre bisherigen Maßnahmen zu überprüfen und gegebenenfalls Sicherheitslücken (kontinuierlich) aufzuspüren und zu schließen sowie eine diesbezügliche nachvollziehbare Dokumentation über Geheimhaltungsmaßnahmen zu führen.

Generell wird gelten: Je größer ein Unternehmen ist, desto umfangreichere Schutzmaßnahmen dürfen erwartet werden.

 

Beitrag von Mag. Mario Karl Steglehner