Startseite > Security > Den Geschäftsgeheimnisschutz richtig angehen

Lehren aus DSGVO & Co.

Den Geschäftsgeheimnisschutz richtig angehen

5. Februar 2021, 9:30 Uhr | Autor: Volker Caumanns / Redaktion: Diana Künstler

Mit Inkrafttreten des Geschäftsgeheimnisgesetzes wurde der Schutz von Betriebs- und Geschäftsgeheimnissen auf ein neues Fundament gestellt, was eine systematische Organisation desselben unabdingbar macht. Wie Firmen dabei von Erfahrungen mit der DSGVO und ISO-Zertifizierungen profitieren können.

Explizite Erlaubnis des Reverse Engineering, Schutz von Whistleblowern und Journalisten, wenn diese Informationen zur Verfolgung öffentlicher Interessen offenlegen, Haftung von Unternehmen bei Geheimnisschutzverletzungen durch Beschäftigte – das Geschäftsgeheimnisgesetz (GeschGehG), das im April 2019 in Kraft getreten ist, wartet mit einer ganzen Reihe von Neuerungen auf.

Besonders interessant: Die Neudefinition des Begriffes Geschäftsgeheimnis. Ein Geschäftsgeheimnis ist nach neuer Bestimmung eine Information, die „nicht allgemein bekannt oder ohne Weiteres zugänglich […] und daher von wirtschaftlichem Wert ist“, die „angemessenen Geheimhaltungsmaßnahmen“ unterliegt und bei der „ein berechtigtes Interesse an der Geheimhaltung besteht”. Die Definition ist insofern elegant, als dass sie im Kern besagt, dass eine Information keine qualitativen Anforderungen im Sinne einer besonderen Eigenart, Neuheit, Schöpfungshöhe oder dergleichen erfüllen muss, um schützenswert zu sein – anders als das beispielsweise beim Urheberrecht der Fall ist. In der Praxis können also Geschäftsstrategien, Forschungs- und Entwicklungsdaten, Kundenlisten oder Prototypen genauso abgedeckt sein wie Muster, Formeln, Rezepte oder Lieferantenlisten. Voraussetzung für den gesetzlichen Schutz ist jedoch, dass Unternehmen sie entsprechend klassifiziert und durch präventive und angemessene Geheimhaltungsmaßnahmen geschützt haben, der subjektive Geheimhaltungswille allein reicht also nicht mehr aus. Kurzum: Den Worten müssen Taten folgen.Was bedeutet das für Unternehmen?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Was bedeutet das GeschGehG für Unternehmen?

Wollen Unternehmen für ihre Informationen Geschäftsgeheimnisschutz beanspruchen, müssen sie diesen systematisch organisieren, das heißt

schützenswerte Informationen erfassen und nach Schutzbedarf klassifizieren sowie
geeignete technische und organisatorische Maßnahmen zum Schutz der verschiedenen Schutzklassen implementieren.

Klingt die Organisation des Geschäftsgeheimnisschutzes im ersten Moment aufwandsintensiv, so beginnt sie in der Praxis doch so gut wie nie bei null. Denn im Zuge der Umsetzung der DSGVO haben die meisten Unternehmen erst kürzlich zumindest ihre personenbezogenen Daten erfasst und technische und organisatorische Maßnahmen (TOM) zu deren Schutz getroffen. Nicht selten ist der Datenschutz auch bereits an ein allgemeines Sicherheitskonzept oder ein Qualitätsmanagementsystem nach ISO 9001 oder ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 geknüpft.

Der erste Schritt: Die Erfassung schützenswerter Informationen

Bereits hier kommen dem Projektteam die Erfahrungen aus der DSGVO-Umsetzung (sowie gegebenenfalls aus der ISO 9001- oder ISO 27001-Zertifizierung) zugute. Denn sowohl bei den personenbezogenen Daten gemäß DS-GVO als auch dem Wissen gemäß ISO 9001 und den als Werte eingestuften Informationen gemäß ISO 27001 handelt es sich in der Regel um Geschäftsgeheimnisse. Das bedeutet, dass Unternehmen, die die DS-GVO umgesetzt oder die beiden Managementsystemstandards implementiert haben, also schon über etablierte Prozesse für die systematische Aufzeichnung von Geschäftsgeheimnissen verfügen.

Insbesondere das im Rahmen der DSGVO anzulegende Verarbeitungsverzeichnis (VdV) ist geradezu prädestiniert für die Erfassung von Geschäftsgeheimnissen. Das VdV fungiert im Datenschutz als zentrales Dokumentationsinstrument. Es bildet – ausgehend von einer Analyse der Prozesse eines Unternehmens – die Basis für eine strukturierte Informationsaufnahme und erfasst, welche Arten von Daten zu welchen Zwecken und unter welchen Umständen verarbeitet werden.

Im Hinblick auf die Organisation des Geschäftsgeheimnisschutzes ist es also ein guter erster Schritt, ein vergleichbares Verzeichnis anzulegen oder das zum Zweck des Datenschutzes bereits bestehende auszuweiten. So ist das Projektteam in der Lage, umfassend zu dokumentieren, welche Informationsarten in welchen Vorgängen dem Geheimnisschutz unterliegen, um für die betreffenden Informationen später gezielte, angemessene Schutzmaßnahmen ergreifen zu können.

Urteil des LAG Düsseldorf vom 3. Juni 2020
Ein Außendienstmitarbeiter nutzte kurz nach Ausscheiden Geschäftsunterlagen des alten Arbeitgebers bei einem Wettbewerber. Das LAG Düsseldorf stellte Folgendes fest: Eine arbeitsvertragliche Geheimhaltungsvereinbarung, die sich pauschal „auf alle Angelegenheiten und Vorgänge, die im Rahmen der Tätigkeit bekannt geworden sind und bekannt werden, aber auch auf sonstige sachliche und persönliche Umstände im Unternehmen, die nicht zu den formellen Geschäfts- und Betriebsgeheimnissen gehören“ bezieht, ist zu unpräzise und damit „ungenügend im Sinne von § 2 Nr. 1 lit. b GeschGehG.“ Unterlagen, die sich wissentlich im Besitz des Arbeitnehmers befinden, müssen aktiv zurückgefordert werden. Geschieht das nicht oder wie in diesem Fall erst nach Ablauf mehrerer Monate, kann nicht von einem aktiven Geheimnisschutz gemäß § 2 Nr. 1 lit. b GeschGehG ausgegangen werden – das "dokumentiert kein wirkliches Geheimhaltungsinteresse und trifft keine angemessenen Schutzmaßnahmen.“ Für private Aufzeichnungen mit geschäftlichem Bezug gilt: Da der Arbeitgeber von diesen keine Kenntnis haben kann, kann entsprechend nicht erwartet werden, dass auf diese bezogen Geheimhaltungsmaßnahmen gemäß § 2 Nr. 1 lit. b GeschGehG getroffen werden. Nutzt der Arbeitnehmer solche privaten Aufzeichnungen zum Zwecke des Wettbewerbs, ist das ein Verstoß gegen „anständige Marktgepflogenheiten“ und somit rechtswidrig gemäß § 4 Abs. 1 Nr. 2 GeschGehG. Der Arbeitgeber kann in diesem Fall Unterlassung verlangen.

Urteil des LAG Düsseldorf vom 3. Juni 2020

Ein Außendienstmitarbeiter nutzte kurz nach Ausscheiden Geschäftsunterlagen des alten Arbeitgebers bei einem Wettbewerber. Das LAG Düsseldorf stellte Folgendes fest:

Eine arbeitsvertragliche Geheimhaltungsvereinbarung, die sich pauschal „auf alle Angelegenheiten und Vorgänge, die im Rahmen der Tätigkeit bekannt geworden sind und bekannt werden, aber auch auf sonstige sachliche und persönliche Umstände im Unternehmen, die nicht zu den formellen Geschäfts- und Betriebsgeheimnissen gehören“ bezieht, ist zu unpräzise und damit „ungenügend im Sinne von § 2 Nr. 1 lit. b GeschGehG.“
Unterlagen, die sich wissentlich im Besitz des Arbeitnehmers befinden, müssen aktiv zurückgefordert werden. Geschieht das nicht oder wie in diesem Fall erst nach Ablauf mehrerer Monate, kann nicht von einem aktiven Geheimnisschutz gemäß § 2 Nr. 1 lit. b GeschGehG ausgegangen werden – das "dokumentiert kein wirkliches Geheimhaltungsinteresse und trifft keine angemessenen Schutzmaßnahmen.“
Für private Aufzeichnungen mit geschäftlichem Bezug gilt: Da der Arbeitgeber von diesen keine Kenntnis haben kann, kann entsprechend nicht erwartet werden, dass auf diese bezogen Geheimhaltungsmaßnahmen gemäß § 2 Nr. 1 lit. b GeschGehG getroffen werden. Nutzt der Arbeitnehmer solche privaten Aufzeichnungen zum Zwecke des Wettbewerbs, ist das ein Verstoß gegen „anständige Marktgepflogenheiten“ und somit rechtswidrig gemäß § 4 Abs. 1 Nr. 2 GeschGehG. Der Arbeitgeber kann in diesem Fall Unterlassung verlangen.