AUF EINEN BLICK
Ein Geschäftsgeheimnis genießt den Schutz des GeschGehG nur, wenn das Unternehmen „den Umständen nach angemessene Geheimhaltungsmaßnahmen“ getroffen hat (§ 2 Nr. 1 lit. b GeschGehG). Dieses Merkmal ist konstitutiv: Fehlt es, liegt schon kein Geschäftsgeheimnis vor — mit der Folge, dass zivilrechtliche Ansprüche (Unterlassung und Beseitigung nach § 6 GeschGehG, Schadensersatz nach § 10 GeschGehG) ebenso am fehlenden Tatobjekt scheitern können wie die Strafbarkeit nach § 23 GeschGehG (Freiheitsstrafe bis zu 3 Jahren, in besonders schweren Fällen bis zu 5 Jahre). Verlangt sind tatsächlich umgesetzte technische, organisatorische und rechtliche Vorkehrungen sowie ein dokumentiertes Geheimschutz-Management — die bloße Absicht, etwas geheim zu halten, genügt seit 2019 nicht mehr.
Wenn ein Mitarbeiter zum Wettbewerber wechselt und Konstruktionsdaten, Kalkulationen oder Kundenlisten mitnimmt, greift das betroffene Unternehmen reflexhaft zum Geschäftsgeheimnisgesetz. Doch der Schutz steht und fällt mit einer Vorfrage, die in der Aufregung des Abgangs oft übersehen wird: Lag überhaupt ein Geschäftsgeheimnis im Sinne des Gesetzes vor? Diese Frage entscheidet nicht nur über Unterlassungs- und Schadensersatzansprüche, sondern auch darüber, ob eine Strafanzeige nach § 23 GeschGehG Aussicht auf Erfolg hat — oder von vornherein ins Leere geht. Genau hier setzt die Analyse aus der Verteidigerperspektive an: Sie prüft zuerst das Tatobjekt, bevor sie über Tathandlung und Schaden spricht.
Rechtsrahmen: Das konstitutive Tatbestandsmerkmal
Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) ist am 26. April 2019 in Kraft getreten und hat die zuvor maßgeblichen §§ 17–19 UWG abgelöst. Mit ihm hat sich die Logik des Geheimnisschutzes grundlegend verschoben.
Nach früherem Recht stand der Geheimhaltungswille des Inhabers stärker im Vordergrund. Geschützt war eine Information, die nicht offenkundig war und an der ein erkennbares Geheimhaltungsinteresse bestand. Objektiv umgesetzte Schutzmaßnahmen waren als eigenständiges Tatbestandsmerkmal nicht erforderlich.
Diese Sichtweise ist überholt. Der Geheimhaltungswille allein genügt seit dem GeschGehG nicht mehr.
§ 2 Nr. 1 GeschGehG definiert das Geschäftsgeheimnis über drei kumulative Voraussetzungen: Die Information darf (a) nicht allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert sein, sie muss (b) Gegenstand den Umständen nach angemessener Geheimhaltungsmaßnahmen sein, und es muss (c) ein berechtigtes Interesse an der Geheimhaltung bestehen. Fehlt nur eine dieser Voraussetzungen, ist die Information kein Geschäftsgeheimnis.
Das Merkmal lit. b ist der Dreh- und Angelpunkt. Maßgeblich ist die Sicht eines objektiven, verständigen Betrachters aus den einschlägigen Fachkreisen — nicht mehr der innere Wille des Inhabers. Aus einer Haltung ist eine Handlungspflicht geworden.
Aktuelle Rechtsprechung zu angemessenen Geheimhaltungsmaßnahmen
Die maßgebliche höchstrichterliche Klärung hat das Bundesarbeitsgericht geliefert. Im Urteil BAG 8 AZR 172/23 (BAG, Urt. v. 17.10.2024 – 8 AZR 172/23) klagte ein Hersteller von Abfüllmaschinen gegen einen langjährigen ehemaligen Mitarbeiter auf Unterlassung. Der Anspruch scheiterte — unter anderem daran, dass es an angemessenen Geheimhaltungsmaßnahmen fehlte.
Zwei Aussagen des Senats sind für die Praxis zentral. Erstens trägt derjenige, der sich auf ein Geschäftsgeheimnis beruft, die volle Darlegungs- und Beweislast: Er muss vortragen, welche Maßnahmen er getroffen hat, und zusätzlich deren Angemessenheit im konkreten Einzelfall belegen. Zweitens ist die Angemessenheit eine Tatfrage, die das Revisionsgericht nur eingeschränkt überprüft — die Würdigung der Tatsacheninstanz hat damit erhebliches Gewicht.
Inhaltlich bestätigte das BAG eine Linie, die zuvor schon das OLG Stuttgart und das OLG Hamm gezogen hatten. Im Urteil OLG Hamm 4 U 177/19 (OLG Hamm, Urt. v. 15.09.2020 – 4 U 177/19), bekannt als „Flüsteraggregat“, hat das Gericht die Angemessenheit als flexibles, am Verhältnismäßigkeitsgedanken ausgerichtetes Tatbestandsmerkmal beschrieben. Bemerkenswert war das Ergebnis: Obwohl die Klägerin eine EDV-Sicherheitsrichtlinie, einen reglementierten Zugriff und Geheimhaltungsvereinbarungen mit Lizenznehmern nachwies, reichte dies dem Gericht im konkreten Fall nicht.
Die Wertungskriterien hat das OLG Stuttgart in 2 U 575/19 (OLG Stuttgart, Urt. v. 19.11.2020 – 2 U 575/19) zusammengefasst: Wert und Entwicklungskosten des Geheimnisses, Natur der Information, Bedeutung für das Unternehmen, Unternehmensgröße, branchenübliche Maßnahmen, Art der Kennzeichnung und die vertraglichen Regelungen mit Arbeitnehmern und Geschäftspartnern. Je wertvoller das Geheimnis, desto höher die Anforderungen.
Die drei Ebenen der Geheimhaltungsmaßnahmen
Aus der Rechtsprechung lässt sich ein Maßnahmenrahmen auf 3 Ebenen ableiten. In der Praxis trägt selten eine Ebene allein; ein belastbarer Geheimnisschutz entsteht regelmäßig erst aus dem Zusammenspiel technischer, organisatorischer und rechtlicher Maßnahmen. Welche Tiefe das Gesetz verlangt, bestimmt sich nach dem Einzelfall und dem Wert der Information.
Technische Maßnahmen
Gemeint ist mehr als ein Passwort. Das OLG Stuttgart hat das Speichern von Dateien mit Geschäftsgeheimnissen auf privaten, nicht passwortgeschützten Datenträgern als äußerst kritisch bewertet — schon weil ein Zugriff Dritter bei Mitbenutzung oder Weiterverkauf nicht auszuschließen ist. Der Geheimnisinhaber begibt sich damit der Kontrolle über seine Daten. Erforderlich sind ein Berechtigungskonzept, Zugriffsbeschränkungen, Verschlüsselung sensibler Bestände und Regelungen zum Umgang mit externen Datenträgern.
Organisatorische Maßnahmen: das Need-to-know-Prinzip
Den Mindeststandard bildet das Need-to-know-Prinzip: Zugriff auf eine geschützte Information darf nur haben, wer sie zur Erfüllung seiner Aufgabe benötigt. Das OLG Stuttgart hat dies als Mindeststandard formuliert — relevante Informationen dürfen nur Personen anvertraut werden, die sie potenziell benötigen und die zur Verschwiegenheit verpflichtet sind.
Daraus folgt: Hatte ein deutlich über das Erforderliche hinausgehender Personenkreis Zugriff, spricht dies regelmäßig gegen angemessene Geheimhaltungsmaßnahmen und kann den Geheimnisschutz im Einzelfall entfallen lassen. Ein abgestuftes Berechtigungskonzept, das festlegt, welche Person auf welche Information zugreifen darf, ist deshalb keine Kür, sondern ein zentraler Baustein.
Rechtliche Maßnahmen: die Verschwiegenheitsverpflichtung
Die vertragliche Verpflichtung der Mitarbeitenden zur Verschwiegenheit ist die dritte Säule. Hier liegt zugleich die häufigste Fehlerquelle.
Eine pauschale Generalklausel — die sogenannte Catch-all-Klausel, die den Arbeitnehmer zeitlich unbegrenzt zum Stillschweigen über sämtliche internen Vorgänge verpflichtet — ist nach gefestigter Rechtsprechung unwirksam. Das LAG Köln hat eine solche Klausel in 2 SaGa 20/19 (LAG Köln, Urt. v. 02.12.2019 – 2 SaGa 20/19) nach § 138 BGB für unwirksam erklärt; das BAG hat dies in 8 AZR 172/23 für inhaltsgleiche Klauseln über § 307 Abs. 1 S. 1 BGB bestätigt. Auch das ArbG Aachen ist dieser Linie in 8 Ca 1229/20 (ArbG Aachen, Urt. v. 13.01.2022 – 8 Ca 1229/20) gefolgt.
Eine tragfähige nachvertragliche Verschwiegenheitsklausel sollte sich auf einzelne, konkret bestimmte Geschäftsgeheimnisse beziehen und die Reichweite der Pflicht sachlich wie zeitlich nachvollziehbar begrenzen. Will ein Unternehmen die Verwertung von Wissen zeitlich befristet verhindern, weist das BAG auf den gesetzeskonformen Weg hin: ein nachvertragliches Wettbewerbsverbot nach §§ 74 ff. HGB gegen Karenzentschädigung. Die Catch-all-Klausel ist kein Ersatz dafür.
Typische Ermittlungs-Szenarien beim Mitarbeiterwechsel
Wechselt ein Mitarbeiter zum Wettbewerber und nimmt Daten mit, entstehen typischerweise zwei parallele Verfahrensstränge.
Zivilrechtlich verlangt das ehemalige Unternehmen häufig Unterlassung nach § 6 GeschGehG und — bei Vorliegen der weiteren Voraussetzungen — Schadensersatz nach § 10 GeschGehG, der vorsätzliches oder fahrlässiges Handeln des Rechtsverletzers voraussetzt. Strafrechtlich folgt häufig eine Strafanzeige nach § 23 GeschGehG. Da es sich nach § 23 Abs. 8 GeschGehG um ein relatives Antragsdelikt handelt, setzt die Verfolgung grundsätzlich einen Strafantrag voraus — es sei denn, die Staatsanwaltschaft bejaht ein besonderes öffentliches Interesse.
Bei körperlich mitgenommenen Unterlagen, Datenträgern oder Geräten können neben § 23 GeschGehG je nach Sachverhalt auch Eigentums- oder Vermögensdelikte wie Diebstahl (§ 242 StGB) oder Unterschlagung (§ 246 StGB) in Betracht kommen. Die bloße Kopie digitaler Daten ist davon zu unterscheiden: Sie erfüllt diese Tatbestände mangels körperlicher Sache regelmäßig nicht und ist anhand anderer Tatbestände sowie der konkreten Zugriffs- und Berechtigungslage zu prüfen. Bei leitenden Angestellten mit Vermögensbetreuungspflicht steht zusätzlich Untreue (§ 266 StGB) im Raum. Diese Delikte folgen eigenen Voraussetzungen und entfallen nicht automatisch mit dem GeschGehG-Schutz.
Der entscheidende Befund für beide Stränge ist derselbe: Ohne angemessene Geheimhaltungsmaßnahmen fehlt das Geschäftsgeheimnis — und damit die Grundlage sowohl der zivilrechtlichen Ansprüche nach §§ 6, 10 GeschGehG als auch der Strafbarkeit nach § 23 GeschGehG.
Verteidigungsstrategien und unternehmensseitige Konsequenzen
Aus der Tatobjekt-Logik ergeben sich Konsequenzen in beide Richtungen — für die Verteidigung des Beschuldigten und für das Unternehmen, das seinen Schutz absichern will.
Für die Verteidigung im Verfahren nach § 23 GeschGehG ist die Angemessenheit der Maßnahmen der erste und oft tragfähigste Prüfstein. Da der Geheimnisinhaber die Darlegungs- und Beweislast trägt, lässt sich der Tatvorwurf bereits an dieser Stelle erschüttern: Konnte das Unternehmen ein konkretisiertes, auf die einzelnen Geheimnisse abgestelltes Geheimschutz-Management nachweisen — oder beruft es sich auf eine unwirksame Catch-all-Klausel und pauschale IT-Sicherheit? Gelingt dieser Angriff, kann der Tatvorwurf bereits auf Tatobjektsebene scheitern — noch bevor Vorsatz, Bereicherungsabsicht oder Schädigungsabsicht entscheidend werden.
Für das Unternehmen folgt daraus die spiegelbildliche Aufgabe. Geheimnisschutz ist Beweissache, nicht Behauptungssache. Das LAG Köln verlangt ein Geheimschutz-Management, das belegen kann, welche Geheimnisse wie und wie lange welchem Schutz unterlagen und welche Personen mit ihnen in Kontakt kamen. Wer diese Dokumentation erst im Prozess rekonstruieren muss, hat regelmäßig verloren.
Praktisch bedeutet das: ein abgestuftes Compliance-Management-Konzept, dessen Intensität sich am Wert der jeweiligen Information orientiert, kombiniert mit konkret gefassten Verschwiegenheitsklauseln und einer laufenden Dokumentation. Das BAG hat in 8 AZR 172/23 ausdrücklich auf die Pflicht zur kontinuierlichen Überprüfung und Anpassung des Konzepts hingewiesen — ein einmal aufgesetztes Berechtigungskonzept altert.
Praktisches Vorgehen bei Durchsuchung, Vorladung und Anzeige
Wird gegen einen Beschuldigten wegen § 23 GeschGehG ermittelt, beginnt das Verfahren häufig mit einer Durchsuchung beim neuen Arbeitgeber oder beim Beschuldigten selbst, gerichtet auf die Sicherstellung der mitgenommenen Daten. In dieser Phase ist Zurückhaltung in der Sache geboten: Angaben zur Herkunft und zum Status der Daten können den Tatvorwurf erst stützen.
Für das anzeigende Unternehmen verschiebt sich die Perspektive. Eine Strafanzeige, die auf einem nicht belastbaren Geheimnisschutz aufbaut, droht mit der Einstellung des Verfahrens nach § 170 Abs. 2 StPO zu enden — und kann zivilrechtlich nachteilig zurückwirken, wenn der angezeigte Mitarbeiter seinerseits gegen das Vorgehen vorgeht. Die Belastbarkeit des Geheimschutz-Managements ist deshalb vor jeder Anzeige zu prüfen, nicht erst danach.
Die zentrale Weichenstellung liegt damit zeitlich vor dem Verfahren. Sie entsteht in dem Moment, in dem das Unternehmen seine Geheimhaltungsmaßnahmen einrichtet und dokumentiert — oder eben nicht.
