Wirksamer Geheimnisschutz nach dem GeschGehG: Was Unternehmer jetzt beachten sollten

Geschäftsgeheimnisse können vielfältig sein. Das können immaterielle Dinge, wie zum Beispiel der Suchalgorithmus von Google oder die Formel für Coca-Cola sein. Ein materielles Geschäftsgeheimnis kann zum Beispiel die effiziente Anordnung einer Fertigungsstraße sein.
Allen gemein ist jedoch, dass sie wichtig für den unternehmerischen Erfolg und daher bares Geld wert sind. Ihr Wert bringt es mit sich, dass sie von der Konkurrenz ausgespäht werden oder sogar zum Objekt von Wirtschaftsspionage gemacht werden können. Allein deutschen Unternehmen entsteht nach einer Studie des Bitkom e.V. schätzungsweise ein jährlicher Schaden von beachtlichen 43 Mrd. EUR durch Angriffe auf ihre Geschäftsgeheimnisse.

Dieser Artikel gibt Unternehmen eine Richtschnur dafür vor, wie Sie einen wirksamen Geheimnisschutz etablieren können.

Starker Schutz – gestiegene Anforderungen

Deshalb ist es nur folgerichtig, dass der Schutz von Geschäftsgeheimnissen unlängst durch eine EU-Richtlinie gestärkt und europaweit auf ein einheitliches Niveau gebracht wurde. Die deutsche Umsetzung dieser Richtlinie – das Geschäftsgeheimnisgesetz – fasst eine unübersichtliche Rechtslage zusammen und ermöglicht einen effektiven und schlagkräftigen Geheimnisschutz für Unternehmen. Der Gesetzgeber trägt damit der stetig wachsenden Bedeutung von Geschäftsgeheimnissen Rechnung.

Die Kehrseite dieser Medaille ist jedoch, dass die Anforderungen an den Geheimnisschutz durch das neue Gesetz erhöht wurden. Erstmals enthält das Gesetz eine Definition dafür, wann ein Geschäftsgeheimnis vorliegt. Nach der alten Rechtslage reichte es im Wesentlichen bereits aus, dass der Unternehmer die Information geheim halten wollte und diese nicht allgemein bekannt war. Ganz so simpel ist jedoch es nach der neuen Rechtslage nicht mehr. Die wesentliche Erweiterung ist, dass Informationen mit angemessenen Geheimhaltungsmaßnahmen geschützt werden müssen. Was das konkret bedeutet, ist von Geheimnis zu Geheimnis und Unternehmen zu Unternehmen unterschiedlich. Klar ist jedoch, dass die Unternehmen, die Ihre Geheimnisse nicht systematisch schützen und diesen Schutz gut dokumentieren keinen rechtlichen Geheimnisschutz genießen werden.

Geheimnisschutz wirksam umsetzen

Zur Umsetzung des Geheimnisschutzes empfiehlt sich ein dreistufiges Vorgehen:

  1. Risiken identifizieren
  2. Organisation des Geheimnisschutzes
  3. Maßnahmen in Bezug auf Arbeitnehmer und Geschäftspartner ergreifen

Aus der Umsetzung der Vorgaben der DSGVO lassen sich viele Parallelen zum Vorgehen in Bezug auf Geheimhaltungsmaßnahmen ziehen. So sind beispielsweise die Erstellung eines Verzeichnisses für Verarbeitungstätigkeiten oder die Datenschutzfolgenabschätzung methodisch recht ähnlich zur Implementierung eines wirksamen Geheimschutzes. Um diesen Dreiklang zu meistern, gilt es jedoch einiges zu beachten.

Risikoanalyse

Zunächst ist es für ein Unternehmen wichtig, sich klar zu machen, welche Informationen es geheim halten möchte. Das können Kundenlisten, Rezepte, Einkaufsbedingungen, Prozeduren und vieles mehr sein. Ist diese Überlegung abgeschlossen, sollten diese Geheimnisse nach Ihrer Wichtigkeit sortiert werden. Vergleichbar zu einer Datenschutzfolgenabschätzung sollten Sie nun schätzen, was die Folgen des Verlustes dieser Geheimnisse wären. Versetzen Sie sich dabei in die Perspektive eines Konkurrenten: Welche Informationen wären für diesen besonders wertvoll? Je nach Risikoprognose können die Geheimnisse dann in Kategorien eingeteilt werden.

Natürlich variieren diese Kategorien je nach Unternehmen. Man könnte diese zum Beispiel wie folgt benennen:

  • Höchste Stufe (Verlust könnte für das Unternehmen existenzbedrohende Folgen haben);
  • Mittlere Stufe (Bekanntwerden der Information würde einen dauerhaften wirtschaftlichen Schaden für das Unternehmen bedeuten);
  • Niedrigste Stufe (Abfluss der Information würde einen zeitweiligen wirtschaftlichen Nachteil bedeuten).

Größere Unternehmen sollten bei dieser Bestandsaufnahme Wert darauflegen, dass alle Abteilungen einbezogen werden. Was Research & Development geheim halten will, kann sonst schnell in einem Verkaufsprospekt des Vertriebs landen. Geheimnisschutz kann nur funktionieren, wenn er von allen Teilen insbesondere größerer Unternehmen ernst genommen wird. Denkbar ist auch, dass auf der einen Hand die IT eines größeren Unternehmens hohen Wert auf die Sicherheit der Speicher legt, auf denen Geheimnisse gesichert sind. Auf der anderen Hand helfen diese Maßnahmen aber wenig, wenn die berechtigten Nutzer unsicher oder für mehrere Accounts benutzte Passwörter nutzen.

In fast allen Bereichen eines Unternehmens können Schwachstellen liegen. Wenn im Unternehmen jede Abteilung aktiv danach gefragt wird, was sie als Geschäftsgeheimnis einstuft, kann das schon dazu führen, dass die Mitarbeiter sensibler mit solchen Informationen umgehen.

Um die Risikoanalyse zu vervollständigen, sollten mögliche Wege, auf denen Geheimnisse verloren gehen können, festgestellt werden. Sehr häufig werden Geschäftsgeheimnisse von aktuellen oder ehemaligen Mitarbeitern entwendet. Häufige Ursache für Angriffe von Outsidern ist mangelnde Sicherheit der Unternehmens-IT. Diese sollte im Rahmen der Risikoanalyse berücksichtigt werden. Bei der Erstellung einer solchen Analyse sollte man ohnehin differenziert vorgehen. Unternehmen, die Informationen großzügig unabhängig von Ihrer Wichtigkeit als Geheim einstufen, riskieren im Zweifelsfall ungeschützt dazustehen. Das Gesetz schützt ausdrücklich nur wichtige Informationen. Ist der Unterschied zwischen wichtigen und daher geheimen Informationen nicht erkennbar, wird das Gericht auch keinen Schutz gewähren können.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Organisatorische Maßnahmen ergreifen

Mit der vollständigen Analyse ist der Weg zum fertigen Geheimnisschutzkonzept schon vorgegeben. Die Eingruppierung der Geheimnisse nach Sensibilität gibt dann auch den geforderten Umfang der Schutzmaßnahmen vor. Dabei gilt: Je wichtiger das Geheimnis für das Unternehmen ist, desto stärker sollte es geschützt werden. Ein bestmöglicher Schutz wird dabei ausdrücklich nicht von den Unternehmen verlangt. Den Umständen nach effektive Maßnahmen sollen ausreichen. Das könnten sein:

  • Need-to-Know-Prinzip einführen (Zugang zu Geheimnissen nur für die Mitarbeiter, die den Zugriff tatsächlich benötigen);
  • Physische Zugangsbeschränkungen einrichten (Bereiche, in denen mit Geheimnissen hantiert wird, bekommen spezielle Zugangsberechtigungen oder auch die Sperrung der Nutzung von USB-Anschlüssen Laufwerken oder Freemail-Diensten);
  • Verbindliche Richtlinien für den sicheren Umgang mit Geschäftsgeheimnissen aufstellen und Mitarbeiter entsprechend schulen (Passwortrichtlinie; Bildschirm sperren, wenn Arbeitsplatz verlassen wird; Verbot Geschäftsgeheimnisse ohne Autorisierung an andere Mitarbeiter oder sogar Außenstehende weiterzugeben; Transport von Geschäftsgeheimnissen außerhalb des Unternehmens nur, wenn unbedingt notwendig et cetera);
  • Geheimnisse kennzeichnen (Farbliche Codierung, um Mitarbeiter an ihre Geheimhaltungspflichten zu erinnern und Außenstehenden klar zu machen, dass die fraglichen Unterlagen geschützt sind);
  • Je nach Sensibilität der Information Nutzens eigener Geräte verbieten (Restriktion von Bring-your-own-device-Ansätzen);
  • Zugangskontrollen für unternehmensfremde Personen einrichten (der Zutritt für betriebsfremde sollte strikt überwacht werden; Besucher sollten für den Geheimschutz sensible Bereiche nicht betreten dürfen; evtl. Pflicht zur Abgabe von Mobiltelefonen oder anderen aufnahmefähigen Geräten für Besucher);
  • Geheimnisschutzkoordinators benennen (dieser kann die Umsetzung und Einhaltung der praktischen Geheimschutzmaßnahmen überwachen und dokumentieren; er würde auch die Belehrung und Schulung der Mitarbeiter durchführen oder zumindest organisieren).

Dieser Katalog muss nicht in jeden Unternehmen vollständig umgesetzt werden. Einige Maßnahmen bieten allerdings schon bei geringem Aufwand ein großes Maß an Schutz. Nicht selten beschaffen sich ehemalige Mitarbeiter mit ihrem Ausscheiden aus einem Unternehmen unbefugt größere Datenmengen, in dem sie diese auf USB-Sticks oder sonstige Speichermedien kopieren. Solche Ereignisse können durch einfache und kostengünstige Vorkehrungen verhindert werden.

Maßnahmen in Bezug auf die Arbeitnehmer

Parallel zu den organisatorischen Maßnahmen für den Geheimnisschutz gilt es, die Belegschaft eines Betriebes vollständig in das Konzept einzubeziehen.

Schon bei der Auswahl neuer Mitarbeiter kann darauf geachtet werden, dass diese keine Zweifel an ihrer Seriosität aufkommen lassen. Wenn ein Strafverfahren Zweifel an der persönlichen Eignung des Bewerbers begründen kann, darf der Arbeitgeber auch nach anhängigen Strafverfahren fragen. Auch wenn man den Bewerbern nicht generell mit Misstrauen begegnen sollte, empfiehlt es sich, auf mögliche Warnsignale zu achten. Weitere Fragen zu Auslandskontakten, persönlichen oder finanziellen Verhältnissen sollten zumindest private Arbeitgeber nicht stellen. Der Bewerber müsste solche Dinge zwar bei einer Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz beantworten, jedoch nicht gegenüber einem privaten Arbeitgeber. Die Auswahl neuer Mitarbeiter ist zwar ein Teil eines effektiven Schutzkonzeptes. Wegen der für private Arbeitgeber eng gesteckten Grenzen ist sie jedoch kein besonders wichtiger Teil.

Einen viel größeren Einfluss auf wirksame Geheimhaltung hat die regelmäßige Schulung von Mitarbeitern im Umgang mit Geschäftsgeheimnissen. Idealerweise können Mitarbeiter so dafür sensibilisiert werden, dass der Erfolg oder Misserfolg ihres Arbeitgebers und damit auch ihr Arbeitsplatz von einem effektiven Schutz der Geschäftsgeheimnisse abhängt. Mitarbeitern, denen diese Zusammenhänge bewusst sind, werden viel eher dazu gewillt sein, den Geheimnisschutz ernst zu nehmen.

Geheimhaltungsvereinbarungen mit Mitarbeitern sollten, soweit sie nicht schon geschlossen wurden, Bestandteil des betrieblichen Geheimnisschutzes sein. Diese sollten auch nur das schützen, was wirklich der Geheimhaltung unterliegt. Wenn eine Geheimhaltungsvereinbarung einfach pauschal alle internen Informationen als Geheim markiert, ist sie im Regelfall kein wirksamer Schutz vor dem Verlust von Geheimnissen. Angemessene Schutzmaßnahmen sind solche Kontrakte darüber hinaus nur, wenn vereinbart wird, dass der Mitarbeiter auch nach Seinem Ausscheiden aus dem Unternehmen die Geheimhaltung wahrt.

Die Überwachung von Mitarbeitern ist hingegen nur in Ausnahmefällen sinnvoll. Zwar gibt es Software, die zum Beispiel das Versenden oder Kopieren großer Datenmengen erkennt und meldet. Eine Überwachung durch solche Software ist jedoch auch immer eine Verarbeitung personenbezogener Daten der Mitarbeiter. Diese ist in Deutschland nur zulässig, wenn sie den strengen Kriterien des § 26 BDSG und den arbeitsrechtlichen Grundsätzen entspricht. In den meisten Fällen werden solch drastische Maßnahmen nicht notwendig sein, um einen angemessen Schutz der Betriebsgeheimnisse gewähren zu können. Wenn Unternehmen an dieser Schnittstelle trotzdem zu Überwachungsmaßnahmen greifen wollen, sollten sie dies nur nach anwaltlicher Beratung tun und die betroffenen Mitarbeiter umfassend über Umfang und Gründe der Überwachung informieren.

Exkurs: Geografische Faktoren berücksichtigen

Wie stark ihre Schutzmaßnahmen sein müssen, hängt auch davon ab, wo sie ihre Geheimnisse aufbewahren. Viele große Industrienationen wie z.B. Südkorea und die USA bieten ein mit dem GeschGehG vergleichbares Schutzniveau. In vielen Ländern, ist der Schutz schlechter. Dazu zählen attraktive Märkte, wie z.B. China, Russland oder Indien. Das ist deshalb problematisch, weil die gesetzlichen Regelungen zum Geschäftsgeheimnissen die Unternehmen davon entlasten sollen, ihre Geheimnisse absolut zu schützen. Wenn eine Rechtsordnung diese Garantie nicht bietet, sind Unternehmen beim Geheimnisschutz auf sich selbst gestellt und müssen dort umso vorsichtiger agieren.

Eine gute Handreichung ist der jährlich veröffentlichte „Special 301 Report“ des Handelsbeauftragten der Vereinigten Staaten. In diesem wird – neben zahlreichen anderen Faktoren – auch der Schutz von Geschäftsgeheimnissen in Theorie und Praxis bewertet.

Die rot markierten Staaten bieten keinen hinreichenden rechtlichen Schutz von Geschäftsgeheimnissen. Name Annual Special 301 Report countries; veröffentlicht unter der CC BY-SA 3.0 Lizenz; Erstellt von User: Janbryan (Übernahme ohne Änderung)

Maßnahmen im Kontakt mit Geschäftspartnern

Nach bisheriger Rechtslage konnte die Weitergabe von Geschäftsgeheimnissen an Geschäftspartner dem Geheimnisschutz nichts anhaben, soweit diese vertraglich oder gesetzlich zur Geheimhaltung verpflichtet waren. Das gilt nach der neuen Rechtslage nicht mehr uneingeschränkt. Während die am wenigsten sensiblen Geheimnisse durch gesetzliche oder vertragliche Geheimhaltungspflichten gerade noch ausreichend geschützt sein könnten, reicht dieser Schutz für sensiblere Informationen sicher nicht aus. So oder so sollten Betriebsgeheimnisse zukünftig nicht mehr ohne ausreichende Geheimhaltungsvereinbarung herausgegeben werden.

Diese sollte dann auch die konkreten Geheimhaltungsmaßnahmen nennen. Unternehmen können so im Konfliktfall beweisen, dass ihre Geheimnisse auch bei den Partnern genau so stark geschützt wurden, wie im eigenen Betrieb.

Je nachdem, zu welchen Bereichen eines Unternehmens Dienstleister Zugriff haben, sollten diese ebenfalls zur Geheimhaltung verpflichtet werden. Das gilt sicherlich nicht für Handwerker oder Reinigungskräfte, die bestimmungsgemäß nicht mit Betriebsgeheimnissen in Kontakt kommen. Wenn Dritte jedoch direkten Zugang zu Geschäftsgeheimnissen erhalten (Serverraum, Archiv, Labor et cetera), sollten diese zur Geheimhaltung verpflichtet werden.

Solche Maßnahmen setzen natürlich eine wirksame Zugangskontrolle voraus.

Fazit

Was eine angemessene Geheimhaltungsmaßnahme ist, kann nur anhand des konkreten Einzelfalls beurteilt werden. Wie hier aufgezeigt, gibt es ein breites Spektrum an möglichen Maßnahmen. Da das Gesetz vor allem dem Schutz kleiner und mittlerer Unternehmen dient und ausdrücklich von angemessenen und nicht vollumfänglichen Schutzmaßnahmen spricht, wird kein absoluter Schutz verlangt. Es gilt jedoch ein sinnvolles Gesamtkonzept zu entwickeln und die Umsetzung aller Maßnahmen zu dokumentieren. Diese Dokumentation führt im Streitfall dazu, dass Unternehmen ihre Wettbewerbsvorteile, die auf Geschäftsgeheimnissen basieren, wirksam vor dem Zugriff der Konkurrenz schützen können.

Unternehmen, in denen die Vorgaben der DSGVO vollumfänglich umgesetzt wurden, werden weniger Aufwand betreiben müssen. Dabei sollten Unternehmen nie aus den Augen verlieren, dass der wirksame Schutz von Geschäftsgeheimnissen mitentscheiden für Ihren Erfolg oder Misserfolg ist und damit bares Geld wert ist. Gerne beraten wir Sie beim Entwerfen, Umsetzen und Dokumentieren eines Geheimhaltungskonzeptes.

Lesen Sie auch folgende Beiträge:

Das Geschäftsgeheimnisgesetz: Neue Herausforderungen, neue Maßnahmen!

Rechtsschutz gegen Geschäftsgeheimnisverletzungen: Leitfaden

Geschäftsgeheimnisgesetz: Rechtsdurchsetzung für betroffene Unternehmen

GeschGehG: Mit NDAs Geheimhaltungsvereinbarungen umsetzen?

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.