Kundenlisten, Rezepturen, Konstruktionsdaten, Einkaufskonditionen, Algorithmen – das wertvollste Vermögen vieler Unternehmen steht in keiner Bilanz und ist in keinem Register eingetragen. Seit April 2019 regelt das Geschäftsgeheimnisgesetz (GeschGehG), wann dieses Know-how rechtlich geschützt ist. Die zentrale Neuerung wird bis heute unterschätzt: Schutz genießt nur noch, wer aktiv und nachweisbar schützt. Ein Unternehmen, das seine Geheimnisse nicht durch angemessene Maßnahmen sichert, steht im Prozess mit leeren Händen da – selbst wenn der Verrat offenkundig ist. Das klassische NDA bleibt wichtig, ist aber nur noch ein Baustein von mehreren.
Der Paradigmenwechsel durch das GeschGehG
Vor 2019 schützten die §§ 17 bis 19 UWG Betriebsgeheimnisse strafrechtlich; zivilrechtlich genügte im Wesentlichen ein erkennbarer Geheimhaltungswille. Das GeschGehG – die Umsetzung der EU-Know-how-Richtlinie – hat die Anspruchsgrundlagen neu geordnet und die Definition verschärft. Nach § 2 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis eine Information, die erstens geheim und deshalb von wirtschaftlichem Wert ist, die zweitens Gegenstand angemessener Geheimhaltungsmaßnahmen ihres Inhabers ist und an der drittens ein berechtigtes Geheimhaltungsinteresse besteht.
Das zweite Merkmal ist die eigentliche Zäsur: Die Angemessenheit der Schutzmaßnahmen ist Tatbestandsvoraussetzung – und der Inhaber trägt dafür die Darlegungs- und Beweislast. Gerichte prüfen konkret, welche Maßnahmen für die jeweilige Information ergriffen wurden. Wer pauschal vorträgt, „bei uns ist alles vertraulich", verliert. Die Rechtsprechung verlangt keine optimalen, aber der Bedeutung der Information entsprechende, dokumentierte Maßnahmen. Geheimnisschutz ist damit von einer Rechtsfrage zu einer Organisationsaufgabe geworden.

Angemessene Schutzmaßnahmen: das Drei-Säulen-Konzept
Am Anfang steht die Inventur: Welche Informationen sind überhaupt schützenswert? Bewährt hat sich eine Klassifizierung in zwei bis drei Schutzstufen – etwa „streng vertraulich" für die Kronjuwelen (Rezepturen, Quellcode, M&A-Pläne), „vertraulich" für sensible Geschäftsdaten (Kalkulationen, Kundenlisten) und „intern" für den Rest. Die Angemessenheit der Maßnahmen bemisst sich dann je Stufe: Für die höchste Kategorie wird deutlich mehr verlangt als für einfache Interna.
Die Maßnahmen selbst ruhen auf drei Säulen. Technisch: Zugriffsrechte nach dem Need-to-know-Prinzip, Verschlüsselung, Passwort- und Berechtigungskonzepte, Protokollierung, gesicherte Ablagen für physische Unterlagen, Besucherregelungen. Organisatorisch: Kennzeichnung vertraulicher Dokumente, Richtlinien zum Umgang mit Geheimnissen, Schulungen, Clean-Desk-Regeln, definierte Offboarding-Prozesse mit Rückgabe von Geräten und Datenträgern. Vertraglich: Verschwiegenheitsklauseln in Arbeitsverträgen, die konkret benennen, was geschützt ist, NDAs mit Geschäftspartnern, Geheimhaltungsregeln in Entwicklungs-, Zuliefer- und Beraterverträgen. Wer externe Dienstleister mit sensiblen Aufgaben betraut, sollte deren Zuverlässigkeit prüfen – nach ähnlichen Kriterien, wie sie der Beitrag zur Auswahl einer Treuhandgesellschaft beschreibt. Entscheidend ist die Dokumentation: Ein Geheimschutzkonzept, das Klassifizierung, Maßnahmen und Verantwortlichkeiten festhält, ist im Prozess das zentrale Beweismittel.

NDAs richtig formulieren: die kritischen Klauseln
Vertraulichkeitsvereinbarungen bleiben unverzichtbar – vor Verhandlungen, Pilotprojekten, Due-Diligence-Prüfungen und Entwicklungskooperationen. Ihre Qualität entscheidet sich an wenigen Punkten. Erstens die Definition: Der Gegenstand der Vertraulichkeit muss konkret beschrieben werden – Informationskategorien, Projekte, Kennzeichnungserfordernisse. Uferlose Catch-all-Definitionen („alle im Rahmen der Zusammenarbeit erlangten Informationen, unabhängig von ihrer Art") sind als AGB angreifbar und im Ernstfall kaum durchsetzbar, weil unklar bleibt, was genau verletzt wurde.
Ein NDA ersetzt keine Schutzmaßnahmen – es ist selbst eine: Ohne technisches und organisatorisches Fundament bleibt die beste Klausel wirkungslos.
Zweitens die Standardausnahmen: öffentlich bekannte Informationen, rechtmäßig von Dritten erlangte Kenntnisse, eigenständige Entwicklungen und gesetzliche Offenlegungspflichten. Drittens Zweckbindung und Weitergabe: Die Nutzung sollte auf den definierten Zweck beschränkt und die Weitergabe an Mitarbeiter und Berater nur bei entsprechender Verpflichtung erlaubt sein. Viertens die Laufzeit: Üblich sind drei bis fünf Jahre nach Ende der Zusammenarbeit; für echte Geschäftsgeheimnisse sollte die Verpflichtung ausdrücklich so lange gelten, wie die Information ein Geschäftsgeheimnis im Sinne des GeschGehG bleibt. Fünftens die Sanktion: Eine Vertragsstrafe – angemessen bemessen, gegebenenfalls nach Hamburger Brauch mit gerichtlicher Überprüfbarkeit – verschafft dem NDA Zähne, denn der konkrete Schadensnachweis ist bei Geheimnisverrat notorisch schwierig. Rückgabe- und Löschpflichten samt Bestätigung runden das Dokument ab.

Grenzen des Schutzes: Reverse Engineering und Whistleblower
Das GeschGehG hat nicht nur den Schutz konditioniert, sondern auch erlaubte Handlungen ausgeweitet. Nach § 3 Abs. 1 Nr. 2 GeschGehG ist das Beobachten, Untersuchen, Rückbauen und Testen eines Produkts erlaubt, das öffentlich verfügbar gemacht wurde oder sich rechtmäßig im Besitz des Handelnden befindet – Reverse Engineering ist damit grundsätzlich legal, sofern keine vertragliche Beschränkung entgegensteht. Unternehmen, deren Know-how im Produkt selbst steckt, sollten deshalb in Liefer-, Test- und Kooperationsverträgen ausdrückliche Reverse-Engineering-Verbote vereinbaren, wo dies interessengerecht ist.
Zweite wichtige Grenze: § 5 GeschGehG erlaubt die Offenlegung von Geschäftsgeheimnissen zum Schutz berechtigter Interessen – insbesondere zur Aufdeckung rechtswidriger Handlungen oder beruflichen Fehlverhaltens, wenn die Offenlegung geeignet ist, das allgemeine öffentliche Interesse zu schützen. Zusammen mit dem Hinweisgeberschutzgesetz bedeutet das: Whistleblower, die Missstände über die vorgesehenen Kanäle melden, lassen sich nicht über NDAs mundtot machen; Klauseln, die solche Meldungen verbieten, sind unwirksam. Auch die Ausübung von Mitbestimmungsrechten und die Information von Arbeitnehmervertretungen bleiben zulässig. Wer Geheimschutz und Compliance sauber verzahnt, vermeidet hier Konflikte, statt sie zu produzieren.
Vorgehen im Verletzungsfall
Besteht der Verdacht, dass ein Mitarbeiter Daten mitgenommen oder ein Partner Know-how zweckwidrig verwendet hat, zählt Geschwindigkeit – aber in der richtigen Reihenfolge. Erster Schritt ist die Beweissicherung: forensische Sicherung von Laptops, Log-Dateien und E-Mail-Konten (unter Beachtung des Beschäftigtendatenschutzes), Dokumentation der betroffenen Informationen und der für sie geltenden Schutzmaßnahmen. Zweiter Schritt ist die rechtliche Bewertung: Liegen die Tatbestandsvoraussetzungen des § 4 GeschGehG vor – unbefugter Zugang, unbefugte Nutzung oder Offenlegung?
Dann stehen die Instrumente der §§ 6 ff. GeschGehG bereit: Unterlassung, Auskunft über Herkunft und Abnehmer, Schadensersatz (wahlweise berechnet nach konkretem Schaden, Verletzergewinn oder Lizenzanalogie), Vernichtung und Rückruf rechtsverletzender Produkte. Bei Eilbedürftigkeit sichert die einstweilige Verfügung den Status quo; prozessual schützen die §§ 16 ff. GeschGehG das Geheimnis im Verfahren selbst vor weiterer Offenlegung. Parallel kommt eine Strafanzeige nach § 23 GeschGehG in Betracht – Freiheitsstrafe bis zu drei Jahren, in schweren Fällen bis zu fünf Jahren. Und schließlich gehört jeder Vorfall in die Rückschau: Welche Lücke hat der Täter genutzt, und welche Maßnahme schließt sie? Weitere Beiträge zu Vertrauensstellungen und Verschwiegenheitspflichten – etwa zur Abgrenzung von Vermögensverwaltung und Treuhand – finden Sie in unserem Ressort Treuhand & Recht.
Häufige Fragen
Reicht ein unterschriebenes NDA für den Schutz nach dem GeschGehG?
Nein. Das NDA ist eine vertragliche Schutzmaßnahme, aber allein selten „angemessen" im Sinne des § 2 GeschGehG. Hinzukommen müssen technische und organisatorische Maßnahmen – Zugriffsbeschränkungen, Kennzeichnung, Richtlinien –, abgestuft nach dem Wert der Information und dokumentiert in einem Geheimschutzkonzept.
Welche Geheimhaltungsmaßnahmen verlangen die Gerichte konkret?
Es gibt keinen starren Katalog; verlangt werden der Bedeutung der Information angemessene Maßnahmen. Bewährt haben sich: Klassifizierung in Schutzstufen, Need-to-know-Zugriffsrechte, Verschlüsselung, vertragliche Verpflichtung aller Personen mit Zugang, Schulungen und geregeltes Offboarding. Entscheidend ist, dass die Maßnahmen dokumentiert und tatsächlich gelebt werden.
Ist Reverse Engineering durch Wettbewerber wirklich erlaubt?
Grundsätzlich ja: Wer ein Produkt rechtmäßig erworben hat, darf es nach § 3 GeschGehG untersuchen und rückbauen. Schutz bieten vertragliche Reverse-Engineering-Verbote gegenüber Kunden, Testern und Kooperationspartnern sowie – wo möglich – technische Schutzvorkehrungen und ergänzende Schutzrechte wie Patente.
Wie lange darf ein NDA gelten?
Für allgemeine vertrauliche Informationen sind Laufzeiten von drei bis fünf Jahren nach Vertragsende üblich und unproblematisch. Für echte Geschäftsgeheimnisse kann die Verpflichtung unbefristet gelten – solange die Information die Voraussetzungen des § 2 GeschGehG erfüllt. Unbegrenzte Pauschalverpflichtungen für sämtliche Informationen sind dagegen angreifbar.