Geschäftsgeheimnisgesetz - Schützen Sie schon Ihre Geschäftsgeheimnisse?
Im April 2019 ist das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Der Beitrag liefert Ihnen Tipps und Anregungen, Ihre Organisation bestmöglich zu schützen.
Bei der Umsetzung der Regelungen zum Schutz von Geschäftsgeheimnissen finden sich sehr viele Parallelen zu Umsetzungsmaßnahmen der EU-DSGVO, insbesondere solche, die sich auf ein risikobasiertes Informationssicherheitsmanagement nach Art. 32 DSGVO beziehen. Unternehmen und öffentliche Verwaltungen sollten daher Synergien identifizieren und nutzen zwischen dem schon betriebenen Aufwand zur Datenschutz-Compliance, zu etablierten Maßnahmen der Informationssicherheit und zu künftigen Maßnahmen zum Schutz von Geschäftsgeheimnissen.
Das neue Gesetz ist ein guter Anlass, die bisher eingeführten Schutzmaßnahmen kritisch zu prüfen und gegebenenfalls Schwachstellen auszumerzen. In einer Gefährdungsanalyse müssen Unternehmen zunächst erfassen, welche Informationen überhaupt geheim gehalten werden sollen und welchen Mitarbeitern sowie Geschäftspartnern welche Geschäftsgeheimnisse bekannt sind bzw. bekannt gemacht werden sollen. Eine Gefährdungsanalyse umfasst zudem die Handlungsfelder Konkurrenz- und Wirtschaftsspionage, Wirtschaftskriminalität, Competitive Intelligence sowie Cybervorfälle und Human Risks.
Sind die in der Organisation zu schützenden Informationen ermittelt und in ihrer Kritikalität bewertet, gilt es angemessene Schutzmaßnahmen zu ergreifen. Beispielsweise lassen sich schon vorhandene Prozesse und Dokumente anpassen, um den Geheimnisschutz in die bestehende Infrastruktur zum Datenschutz und zur Informationssicherheit zu integrieren.
Ergriffene Geheimhaltungsmaßnahmen sollten in regelmäßigen Abständen überprüft und bei Notwendigkeit das Schutzkonzept aktualisiert werden. Die Einführung eines Know-how-Managements kann ergänzend dazu beitragen, dass klare Verantwortlichkeiten bestehen und angemessene Maßnahmen zum Schutz der Geschäftsgeheimnisse gewährleistet sind.
Das Projektteam, das mit der Einführung der notwendigen Prozesse betraut wird, sollte Kompetenzen aus den Bereichen Risikomanagement, Datenschutz, Informationssicherheit, Arbeits- und Informationsrecht und IT-Organisation aufweisen. Infora empfiehlt eine systematische risikobasierte Vorgehensweise in Anlehnung an etablierte Standards wie ISO 27001, BSI 2.0 oder ASIS IAP GDL (2007). Auch Prozesse aus dem Geheimschutz des öffentlichen Sektors können ggfs. organisationsspezifisch adaptiert werden.
Das sollten Sie über das GeschGehG wissen
Das GeschGehG gewährt Organisationen zunächst zahlreiche Ansprüche, wenn ihre Rechte aus Geschäftsgeheimnissen verletzt werden. Dazu gehören:
- Beseitigung und Unterlassung
- Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt
- Auskunft über rechtsverletzende Produkte
- Schadensersatz bei Verletzung der Auskunftspflicht
- Haftung des Rechtsverletzers
- Abfindung in Geld
Damit jedoch Informationen einer Organisation als Geschäftsgeheimnis gelten und diese Ansprüche realisiert werden können, müssen nach dem GeschGehG zwei Voraussetzungen erfüllt sein:
- Es müssen vertrauliche Informationen sein, die geschäftlichen Wert besitzen, beispielsweise technologisches Wissen, Algorithmen, Rezepturen, Einkaufskonditionen, Kundendaten, Lieferantendaten, Source Codes oder Programmierer-Dokumentationen (§ 2 Nr. 1 a) GeschGehG).
- Darüber hinaus muss der rechtmäßige Inhaber der Information angemessene Geheimhaltungsmaßnahmen ergreifen (§ 2 Nr. 1 b) GeschGehG). Dieses stellt aus deutscher Sicht eine sehr wesentliche Rechtsänderung dar. Bisher ist der Nachweis entsprechender Schutzmaßnahmen nicht unbedingt erforderlich. Ein erkennbarer Geheimhaltungswille, der sich in objektiven Umständen ausdrückte, wurde als ausreichend angesehen. Wer sich also künftig auf ein Geschäftsgeheimnis berufen und dessen widerrechtliche Aneignung durch einen Dritten gerichtlich geltend machen will, muss das Gericht davon überzeugen, dass er angemessene Geheimhaltungsmaßnahmen umgesetzt hat. Gelingt dieses nicht, besteht die Gefahr, einen Rechtsstreit bereits aus diesem Grunde zu verlieren.
Was unter angemessenen Geheimhaltungsmaßnahmen zu verstehen ist, lässt sich nur im Einzelfall endgültig feststellen. Zum einen können es rechtliche Maßnahmen sein. Sowohl Geheimhaltungsvereinbarungen mit externen Dritten, die mit der zu schützenden Information in Berührung kommen, als auch Vereinbarungen mit Mitarbeitern werden für Organisationen immer wichtiger. Wichtig ist, dass Reverse Engineering, also der Rückbau von Produkten zur Entschlüsselung von Geheimnissen, nach der neuen Rechtslage in Zukunft zunächst zulässig sein wird und nötigenfalls einer vertraglichen Vereinbarung bedarf.
Andererseits werden auch technisch-organisatorische Maßnahmen, die bereits für Informationssicherheit und Datenschutz-Compliance innerhalb der Organisation existieren, für die Geheimhaltungsmaßnahmen bedeutsam. Hierunter fallen eine Vielzahl von Maßnahmen, wie z. B. Zugriffs- und Zugangsbeschränkungen oder Verschlüsselungen. Die IT-Compliance rückt dadurch in den Vordergrund.
Entscheidend ist, dass die Beweislast bei der Organisation liegt. Dieser Anforderung können Organisationen nur nachkommen, wenn sie ein Geheimnisschutzkonzept entwickelt und dokumentiert haben. Es gibt verschiedene Anknüpfungspunkte, die helfen, ein solches Konzept zu erstellen, beispielsweise IT-Sicherheitsleitlinien und Dokumentationen der ergriffenen Sicherheitsmaßnahmen, Verzeichnisse der Verarbeitungstätigkeiten nach Art. 30 DSGVO, Notfallmanagementkonzepte, Arbeitsanweisungen und Richtlinien zum Datenschutz und zur Informationssicherheit.
Gesetzesgrundlage
Über den Autor