Immer wieder nehmen Mitarbeitende vertrauliche Informationen beim Wechsel der Arbeitsstelle mit. Häufig geschieht dies durch Weiterleitung der vertraulichen Informationen per E-Mail. Diese Verstöße können Arbeitgeber zu einer fristlosen Kündigung berechtigen. Flankierend hierzu machen Arbeitgeber i.d.R. auch Ansprüche nach dem sog. Geschäftsgeheimnisgesetz („GeschGehG“) geltend. Das Bundesarbeitsgericht („BAG“) hat sich nun dazu geäußert, welche Anforderungen an den Schutz von Geschäftsgeheimnissen zu stellen sind, damit diese Schutz genießen (BAG, Urteil vom 17.10.2024 – 8 AZR 172/23 – openJur).
Der Fall
Ein Mitarbeiter versandte per E-Mail technische Informationen an einen Wettbewerber seines Arbeitgebers. Der Arbeitgeber verlangte daraufhin vom ehemaligen Mitarbeiter die Unterlassung der Mitteilung bzw. Weitergabe entsprechender Informationen. Zur Begründung verwies der Arbeitgeber auf das Geschäftsgeheimnisgesetz, da er die betroffenen Informationen durch eine arbeitsvertragliche Geheimhaltungsklausel sowie durch technische Schutzmaßnahmen abgesichert habe.
Die Entscheidung
Die Klage blieb jedoch ohne Erfolg. Nach Ansicht des BAG genügte weder die verwendete Geheimhaltungsklausel noch der Vortrag zu den ergriffenen Maßnahmen den Anforderungen, um von einem effektiven Geheimnisschutz nach dem GeschGehG ausgehen zu können.
Damit eine Information ein Geschäftsgeheimnis sein kann, bedarf es gewisser Geheimhaltungsmaßnahmen. Diese hängen von der Art des Geschäftsgeheimnisses im Einzelnen und den konkreten Umständen der Nutzung ab. In Betracht kommen sowohl Zugangsbeschränkungen als auch vertragliche Sicherungsmechanismen.
Der Arbeitsvertrag des Mitarbeiters sah vor, dass er „über alle Betriebs- und Geschäftsgeheimnisse sowie alle sonstigen ihm im Rahmen der Tätigkeit zur Kenntnis gelangenden Angelegenheiten und Vorgänge der Gesellschaft Stillschweigen [zu] bewahren“ habe, dies auch ohne zeitliche Einschränkung über das Ende des Arbeitsverhältnisses hinaus. Dass eine solche, häufig noch in alten Arbeitsverträgen verwendete Klausel unwirksam ist, liegt auf der Hand. Denn sie erfasst bereits auch solche Informationen, die der Arbeitgeber selber an die Öffentlichkeit bringt, etwa durch Pressemitteilungen und schränkt darüber hinaus den Arbeitnehmer in seiner grundrechtlich geschützten Berufsfreiheit ein. Das BAG betrachtete eine solche „Catch-All“-Klausel daher als unwirksam.
Der Arbeitgeber konnte zudem nicht hinreichend zu den ergriffenen technischen Sicherungsmaßnahmen und einer angemessenen IT-Sicherheit vortragen. Die hierbei vom Arbeitgeber zu ergreifenden Geheimhaltungsmaßnahmen hängen von der Art des Geschäftsgeheimnisses im Einzelnen und den konkreten Umständen der Nutzung ab. In Betracht kommen etwa Zugangsbeschränkungen bzw. die Einrichtung eines Kontrollsystems. Solche technischen Geheimhaltungsmaßnahmen konnte der Arbeitgeber nur pauschal und nicht ausreichend substantiiert vortragen, sodass das BAG von keinen ausreichenden technischen Sicherungsmaßnahmen ausging.
Bewertung:
Wer Geschäftsgeheimnisse sichern will, darf sich nicht auf allgemeine Verschwiegenheitsklauseln oder unspezifische Hinweise auf IT-Sicherheit verlassen. Vielmehr muss der Schutz konkret, nachvollziehbar und dokumentiert sein. Andernfalls riskiert der Arbeitgeber, dass es sich bei der Information nicht um ein schutzwürdiges Geschäftsgeheimnis handelt.
Diese Anforderungen erinnern stark an die nach der DSGVO zu treffenden, sog. technisch-organisatorischen Maßnahmen („toM“). Auch hier genügt es nicht, allgemein auf Sicherheitsstandards zu verweisen. Vielmehr verlangt die DSGVO, dass toMs nachweisbar eingeführt und regelmäßig überprüft werden. Unternehmen, die personenbezogene Daten ohne ein tragfähiges Schutzkonzept verarbeiten, riskieren Bußgelder. Nach Art. 5 Abs. 2 DSGVO ist dies auch entsprechend der Rechenschaftspflicht nachzuweisen. Die Entscheidung zeigt, dass die Einhaltung datenschutzrechtlicher Erfordernisse, insbesondere technische Sicherungsmaßnahmen, zum Geheimnisschutz beitragen und, bei sorgfältiger Dokumentation, ein sich daraus ergebender Geheimnisschutz im Prozess auch bewiesen werden kann. Dies ist ein mehr als willkommener Nebeneffekt einer sauberen DSGVO-Dokumentation.