Seit April 2019 gilt das Geschäftsgeheimnisgesetz. Es verpflichtet Unternehmen zu „angemessenen Geheimhaltungsmaßnahmen“, um ihr Know-how effektiv abzuschirmen. Wer seine Organisation technisch und organisatorisch nicht auf die Erfordernisse des Geschäftsgeheimnisgesetzes (GeschGehG) eingestellt hat, hat im Streitfall vor Gericht schlechte Karten. Nötig wird ein umfassendes Schutzkonzept, mit dem Unternehmen in fünf Schritten Maßnahmen für den Geheimnisschutz einführen – von Bestandsaufnahme über Planung, Umsetzung und Prüfung bis zur Optimierung.

Am 26. April ist das vom Bundestag beschlossene Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten. Es setzt die Know-how-Richtlinie der EU vom 8. Juni 2016 um und dient dem Schutz von Geschäftsgeheimnissen.

Was ist ein Geschäftsgeheimnis?

Ein Geschäftsgeheimnis ist eine Information, die nicht allgemein bekannt ist, sondern auf die nur ein unternehmensinterner Personenkreis Zugriff hat. Dabei handelt es sich aus kaufmännischer Sicht um schützenswerten Inhalt wie etwa Kundenlisten, Umsätze, Marktstrategien oder geplante Patentanmeldungen. Dagegen bezieht sich das Betriebsgeheimnis eher auf technisches Wissen wie Rezepturen, Baupläne und Algorithmen.

Grundlage des Geschäftsgeheimnisgesetzes

Das Geschäftsgeheimnisgesetz legt keine neuen Anforderungen fest, sondern verankert die schon zuvor geltenden EU-Richtlinien vom 8. Juni 2016 erstmalig im deutschen Gesetz. Ziel der europäischen Vorgabe: „Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“. Kurz: Weil Unternehmen digitale Inhalte zunehmend auch grenzübergreifend austauschen, ist es unumgänglich, betriebliches Know-how innerhalb der EU einheitlich vor unerwünschtem Zugriff zu schützen.

Durch besagte EU-Richtlinie und das deutsche Geschäftsgeheimnisgesetz (GeschGehG) verändert sich die Rechtslage. Denn im deutschen Recht war der Begriff des Geschäftsgeheimnisses bisher nicht gesetzlich definiert. Wer unternehmensrelevantes Know-how schützen wollte, erklärte es einfach zum Geschäftsgeheimnis. In der Sprache des Rechts galt somit ein „subjektiver Geheimhaltungswille“.

Das Geschäftsgeheimnisgesetz definiert den Begriff "Geschäftsgeheimnis" neu: Danach handelt es sich bei einer Information dann um ein Geschäftsgeheimnis, wenn sie geheim ist und deshalb einen wirtschaftlichen Wert hat. Darüber hinaus muss der rechtmäßige Inhaber der Information aber auch sicherstellen, dass er „angemessene Geheimhaltungsmaßnahmen“ umgesetzt hat. Mit anderen Worten: Ein Geschäftsgeheimnis gilt nur dann als rechtlich schützenswert, wenn sein Inhaber es auch nachweislich angemessen schützt – eine bloße Willensäußerung genügt nicht mehr. Allerdings bleibt der Gesetzestext im Unklaren darüber, was genau unter „angemessenen Geheimhaltungsmaßnahmen“ zu verstehen ist.

Wer ist für die Umsetzung verantwortlich?

Als Inhaber eines Geschäftsgeheimnisses gilt „jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat“. Wer sich also wirksam davor schützen will, dass unberechtigte Dritte auf Geschäftsgeheimnisse zugreifen, muss Kontrollmechanismen und Dokumentationen einführen, ähnlich wie sie im Zusammenhang mit anderen juristischen Regelwerken wie GoBD und EU-DSGVO nötig wurden.

Unternehmen kommen nicht umhin, ein angemessenes Schutzkonzept zu erarbeiten. Wer keine entsprechenden organisatorischen, technischen und rechtlichen Maßnahmen zur Geheimhaltung nachweisen kann, kann sich auch nicht auf den Schutz durch das GeschGehG berufen.

Ermitteln Sie die Geschäftsgeheimnisse

Als erstes sollten Unternehmen erfassen, welche Informationen und Daten als geheim eingestuft werden müssen. Infrage kommen neben Bilanzen und den Daten von Kunden und Lieferanten insbesondere Prototypen, Business- oder Konstruktionspläne, Rezepturen, Algorithmen, Programmcode und Dokumentationen.

Etablieren Sie Datenschutzsysteme

Des Weiteren gilt es unbedingt sicherzustellen, dass unbefugte Personen keinen Zugang zu vertraulichen und kritischen Daten erhalten, die auf den Servern des Unternehmensintranets liegen.

Verankern Sie Geheimhaltungsvereinbarungen in Verträgen

Darüber hinaus müssen Arbeitsverträge mit Geheimnisträgern entsprechende Geheimhaltungsvereinbarungen und Wettbewerbsverbote enthalten. Ebenso sollte ein Unternehmen Reverse Engineering vertraglich ausschließen – also die Möglichkeit, ein bestehendes System zu analysieren, sukzessive zu kopieren und auf dieser Basis sogar weiter zu entwickeln.

Experten empfehlen eine fünfstufige Vorgehensweise zum Aufbau eines Schutzkonzepts zur Einhaltung des Geschäftsgeheimnisgesetzes*:

Stufe 1: Bestandsaufnahme
Zu Beginn sollte ein Unternehmen überprüfen, welches Know-how in welchem Grad schützenswert ist.

Stufe 2: Planung
In diesem Stadium legen Unternehmen auf Basis einer Gefährdungsanalyse ihre organisatorischen, technischen und rechtlichen Maßnahmen zum Geheimnisschutz fest.

Stufe 3: Umsetzung
Die dafür vorgesehenen Mitarbeiter und Fachabteilungen realisieren alle beschlossenen Maßnahmen.

Stufe 4: Prüfung
Jetzt checkt das Unternehmen, wie wirksam die umgesetzten Maßnahmen bisher waren, und deckt eventuelle Schwachstellen auf.

Stufe 5: Optimierung
Schließlich gilt es, die identifizierten Schwachstellen zu beheben und Kosten und Nutzen des eigenen Schutzkonzepts zu analysieren, kontinuierlich zu überprüfen sowie bei Bedarf weiter zu verbessern.

Um Informationen zu schützen, die als geheim eingestuft werden, sind IT-technische Maßnahmen notwendig. Welche Maßnahmen im Sinne des Geschäftsgeheimhaltungsgesetzes angemessen sind, müssen Unternehmen von Fall zu Fall entscheiden, da das Gesetz keine konkreten Maßnahmen benennt. Zur Orientierung kann Artikel 32 der EU-DSGVO hilfreich sein, der Hinweise darauf liefert, wie sich personenbezogene Daten gesetzeskonform schützen lassen. Wer seine EU-DSGVO-Hausaufgaben bereits gemacht hat, kann bei der IT-technischen Umsetzung der GeschGehG-Vorschriften auf diese Erfahrungen zurückgreifen. Wer hier noch nicht aktiv wurde, muss umgehend damit beginnen, ein Schutzkonzept zu implementieren – das Gesetz gilt bereits seit Ende April 2019.

Mit einem modernen und innovativen Enterprise Content Management-System lassen sich IT-technische Anforderungen an den Geheimnisschutz Compliance-konform erfüllen. Mit Hilfe des mehrfach zertifizierten ECM-Systems Doxis etwa können Unternehmen die gesetzlich relevanten Compliance-Anforderungen und Regularien wie EU-DSGVO und GoBD sowie interne Compliance-Vorgaben einhalten.

Daten und Informationen können durch mehrstufige Berechtigungskonzepte geschützt werden, indem sie mit Metadaten nach ihrer Schutzstufe klassifiziert werden. Wer welche Informationen in Dokumenten, Registern, elektronischen Akten und Vorgängen sehen, bearbeiten und löschen darf, legen Unternehmen mit Doxis genau fest. So erhalten sie einen dokumentierten Zugriffsschutz für Dokumente, Daten und Prozesse. Zudem protokolliert der Audit Trail von Doxis lückenlos alle Zugriffe und Veränderungen an Informationen – und kann damit als Beleg dienen, dass sie nicht manipuliert wurden.

Darüber hinaus lassen sich mit der Compliance-Lösung Doxis safeLock sensible Informationen vor Diebstahl, Verlust und Manipulation schützen und Compliance-konform entsprechend den geltenden Aufbewahrungsfristen revisionssicher speichern. Für besonders schützenswerte Dokumente können Unternehmen zeitlich unbegrenzte Löschsperren setzen. Zudem bietet Doxis safeLock höchste Sicherheit durch Software-basierten Schreibschutz auf WORM-Basis (Write Once, Read Multiple) und verhindert während der Aufbewahrungsfrist jede Änderung. So sorgt Doxis mit einem Bündel von Features, Funktionen und Maßnahmen dafür, Geschäftsgeheimnisse geheim zu halten.

*https://www.pt-magazin.de/de/gesellschaft/recht/das-neue-gesch%C3%A4ftsgeheimnisgesetz-blinder-fleck-im_jv3sn5hs.html