Geschäftsgeheimnisgesetz – warum Unternehmen geeignete Maßnahmen treffen sollten

Autor: Franziska Kliemann
Veröffentlicht am 15. Mai 2019

Damit ein Geschäftsgeheimnis auch als solches gilt und bei Verstößen vor Gericht verteidigt werden kann, war bisher nicht viel zu tun: Der Inhaber des Geheimnisses musste die betreffenden Informationen lediglich als solche einstufen, teilweise sogar ohne eindeutige Kennzeichnung. Mit dem neuen Geschäftsgeheimnisgesetz, das nach der ursprünglichen EU-Know-how-Schutz-Richtlinie eigentlich bereits im letzten Jahr umgesetzt werden sollte, ändert sich das nun. Seit dem 26. April sind Unternehmen dazu verpflichtet, ihre Geschäftsgeheimnisse proaktiv mit geeigneten Maßnahmen zu schützen, damit der gesetzlich vorgesehene Schutz zukünftig greift. Aber was bedeutet das konkret? Die wichtigsten Fakten in aller Kürze:

Inhalt:

Was zählt eigentlich als Geschäftsgeheimnis?

Zuallererst ist natürlich wichtig, was im Zuge des neuen Gesetzes überhaupt als Geschäftsgeheimnis zählt – denn das war bisher nie klar definiert. Hier gibt der Gesetzentwurf der Bundesregierung direkten Aufschluss:

„eine Information, die

  • weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
  • Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaß-nahmen durch ihren rechtmäßigen Inhaber ist“

Als rechtmäßiger Inhaber gilt dabei

„jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat“

Welche Voraussetzungen müssen im Rahmen des Geschäftsgeheimnisgesetzes erfüllt werden?

So weit, so gut – doch welche Folgen hat diese Ausformulierung nun für Unternehmen? Während die eigentliche Definition leicht nachvollziehbar ist, taucht plötzlich eine Begrifflichkeit auf, von der zuvor noch nie die Rede war: „angemessene Geheimhaltungsmaßnahmen“. Was genau damit gemeint ist, wird im Gesetz nicht weiter erläutert. Ableiten lässt sich aber immerhin so viel: Wenn Unternehmen auch weiterhin bei möglichen Verletzungen des Geschäftsgeheimnisses das Gesetz auf ihrer Seite wissen möchten, müssen sie proaktiv Maßnahmen zum Schutz der Geheimhaltung treffen. Und je wertvoller das Geheimnis, desto umfassender der Schutz. Sonst könnte sich im Zweifelsfall die Frage stellen, ob die getroffenen Maßnahmen wirklich ausreichend und damit „angemessen“ waren. Ein wirksamer Schutz beginnt daher bereits mit der systematischen Identifizierung der vorhandenen Geschäftsgeheimnisse.

Sinnvolle erste Schritte & geeignete Maßnahmen

Welche konkreten Maßnahmen Unternehmen nun ergreifen sollten, hängt natürlich immer von der Art und dem Wert des Geheimnisses ab. Nach der Identifizierung sollten die Geschäftsgeheimnisse in Geheimhaltungsstufen kategorisiert werden. Daraus lassen sich dann je nach Stufe die jeweiligen Maßnahmen zum Schutz ableiten. Hierfür sind drei wesentliche Bereiche sinnvoll:

  1. Vertragliche Maßnahmen
    Mitarbeiter mit Zugang zu Geschäftsgeheimnissen sollten möglichst schon im Arbeitsvertrag zur Geheimhaltung verpflichtet werden. Ebenso sollten Sie sogenannte Non-Disclosure-Agreements (NDA) mit Ihren Geschäftspartnern und Dienstleistern treffen. Wichtig bei all diesen Formen der Geheimhaltungsvereinbarung ist es, zielgenau zu formulieren. Denn allgemein gehaltene Klauseln, um alle denkbaren Szenarien abzudecken, können möglicherweise als unwirksam erklärt werden.
  2. Organisatorische Maßnahmen
    Hierzu gehört beispielsweise, dass nur jene Mitarbeiter und Geschäftspartner Zugang zu Ihren Geschäftsgeheimnissen haben, die für ihre Arbeit darauf angewiesen sind. Dafür können Sie klare Regeln aufstellen, bezogen auf die verschiedene „Geheimhaltungsstufen“. Vertrauliche Informationen werden als solche gekennzeichnet, verschlossen aufbewahrt und die Mitarbeiter entsprechend sensibilisiert, betreffende Dokumente zu schützen. 
  3. Technische Maßnahmen
    Nachholbedarf gibt es womöglich auch beim Thema Sicherheit – sofern Unternehmen hier nicht bereits entsprechend aufgestellt sind. Sichere Passwörter sind demnach eine Grundvoraussetzung, um empfindliche Informationen zu schützen. Das Gleiche gilt für die Verschlüsselung der externen Kommunikation: Unverschlüsselte E-Mails – vor allem beim Versand außerhalb des geschützten eigenen Netzwerks – bieten die Vertraulichkeitsstufe einer Postkarte. Vorteilhaft ist daher ein Messenger mit integrierter Ende-zu-Ende-Verschlüsselung, sodass vertrauenswürdige Nachrichten und übermittelte Dokumente auch ohne das bewusste Zutun der betreffenden Mitarbeiter geschützt sind. Bei der Wahl des Dienstes ist es wichtig, auf die Verwendung der Metadaten durch den Anbieter zu achten. Denn diese könnten Rückschlüsse auf mögliche Angriffsvektoren zulassen, wodurch wiederum Geschäftsgeheimnisse ausgespäht werden können.

Bei der Erarbeitung der Maßnahmen hilft es vielleicht, weniger an das Gesetz zu denken, als vielmehr die Frage zu stellen: Was müssen wir als Unternehmen tun, damit wirklich niemand außerhalb des dafür bestimmten Personenkreises an die Information gelangt? 
Ähnlich wie bei der DSGVO gilt, dass getroffene Maßnahmen nachweisbar dokumentiert sein müssen. Hierfür können bereits getroffene Strukturen extrem hilfreich sein.

Weitere Besonderheiten der neuen Regelung

Neben der Nennung angemessener Maßnahmen bietet das neue Geschäftsgeheimnisgesetz einen stärkeren Schutz als bisher, da die Ansprüche bei Verstößen konkretisiert und darüber hinaus spezielle Verfahrensvorschriften eingeführt wurden. Diese sollen künftig sicherstellen, dass Geschäftsgeheimnisse im Zuge eines Gerichtsprozesses vor der weiteren Verbreitung geschützt sind.
Wesentlich bessere Bedingungen als zuvor genießen Whistleblower. Denn künftig dürfen Sie ohne Sorge vor Strafe Informationen über rechtswidrige Handlungen oder Fehlverhalten veröffentlichen – und das auch ohne, dass über die sogenannte „Gesinnungsprüfung“ die guten Absichten hinterfragt werden.
Wichtig zu wissen ist außerdem, dass Reverse Engineering nun erlaubt ist – also wenn ein Mitbewerber ein bereits auf den Markt gebrachtes Produkt legal erwirbt und auseinanderbaut, um anschließend eine exakte Kopie zu erstellen. Um das zu verhindern, können Patente einen geeigneten Schutz bieten.

Fazit: kurzfristige Herausforderung & langfristige Chance

Für den Moment ist das neue Gesetz natürlich eine Herausforderung für Unternehmen, gerade nachdem die Anforderungen der DSGVO vielerorts bereits an den Kräften gezehrt haben. Doch langfristig gesehen eröffnet sich damit die Chance auf zusätzliche Sicherheit und Wettbewerbsfähigkeit. Denn die geforderten Maßnahmen zur Geheimhaltung sind in jedem Fall sinnvoll – immerhin ist die Wahrung letztendlich wichtiger als die Chance auf einen Schadensersatz oder juristische Ansprüche. Und wo sonst womöglich auf die lange Bank geschoben wird, steht durch das Gesetz nun der Impuls zum unverzüglichen Handeln. Die DSGVO galt dem Schutz der Kunden, nun geht es um den Schutz des Unternehmens. Also nutzen Sie im Unternehmen die Gelegenheit und treffen Sie Sicherheitsmaßnahmen für all das, was das Geschäft am Laufen hält.