Das GeschGehG darf kein Geheimnis bleiben

Informationen werden Geschäftsgeheimnisse

von - 15.10.2021
Wie aber sehen angemessene Geheimhaltungsmaßnahmen nun aus? Wie macht man als Unternehmen wertvolle Informationen zu rechtlich einwandfreien Geschäftsgeheimnissen?
„Als Maßnahmen kommen technische (zum Beispiel sichere Passwörter, Verschlüsselung der Kommunikation), organisatorische (zum Beispiel Zugangsbeschränkungen und -kontrollen), aber auch vertragliche Maßnahmen (zum Beispiel Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf Verschwiegenheit, Aufnahme von Vertraulichkeitsklauseln in Verträgen mit Geschäftspartnern) in Betracht“, erklärt der Bitkom-Experte Thomas Kriesel. „Um einen grundlegenden vertraglichen Schutz begründen zu können, hat Bitkom eine entsprechende Aktualisierung in seine AGB-Branchenempfehlungen aufgenommen.“ Sie sind zu finden unter www.bitkom.org/Presse/Presseinformation/Geschaeftsgeheimnisschutz-Bitkom-passt-Branchen-AGB-an-neue-Gesetzeslage-an.
Die Angemessenheit der Maßnahmen ist auch deshalb wichtig, weil Unternehmen dann keinen übertriebenen oder aber zu niedrigen Schutz realisieren. „Maßgeblich ist das Schutzniveau der Geheimnisse. Die Geheimnisse mit den höchsten Risiken werden idealerweise mit Maßnahmen nach dem Stand der Technik geschützt“, empfiehlt Rechtsanwalt Karsten U. Bartels. „Zum Stand der Technik haben wir im Teletrust einen eigenen Arbeitskreis und eine inzwischen sehr gut etablierte Handreichung.“ Diese steht unter www.teletrust.de/publikationen/broschueren/stand-der-technik.
Für das Verfahren zur Definition der Geheimhaltungsmaßnahmen rät Christian Koch: „Um die Anforderungen des GeschGehG gewinnbringend umzusetzen, empfiehlt sich ein mehrstufiges Vorgehen: Zunächst ist im Unternehmen das potenziell relevante Know-how zu identifizieren, und zwar entlang des gesamten Wertschöpfungsprozesses von Entwicklung bis Vertrieb. Ist das relevante Know-how identifiziert, sollte es kategorisiert werden. Was ist echtes Schlüssel-Know-how, was strategisch wichtiges Know-how, was ,nur‘ sonstiges wettbewerbsrelevantes Wissen?“
Koch zieht erneut eine Parallele zum Datenschutz: „Nach Vornahme dieser Einteilung können dann geeignete Schutzmaßnahmen gefunden und implementiert werden. Eine Orientierung gibt auch hier das Datenschutzrecht mit den dort geforderten technischen und organisatorischen Maßnahmen (TOM).“
Rechtsanwalt Christian Koch
Kleymann, Karpenstein & Partner mbB
Foto: Stephan Keiner
Das GeschGehG enthält eigene Rechtsbruchtatbestände, wie die aus dem Wettbewerbsrecht übernommene ,Vorlagenfreibeuterei‘.
Auch ein Informationssicherheitsmanagement-System kann bei der ausstehenden Umsetzung helfen: „Um die Umsetzung der gesetzgeberischen Vorgaben für KMUs zu erleichtern, setzt sich Networker NRW dafür ein, das Konzept ISIS 12 für ein Informationssicherheitsmanagement-System (ISMS), welches speziell für die Bedürfnisse von öffentlichen Stellen und KMUs entwickelt wurde, in Nordrhein-Westfalen bekannt zu machen, um nicht nur auf die geänderte Rechtslage, sondern zugleich auch auf einen pragmatischen Lösungsansatz aufmerksam zu machen“, so IT-Recht-Fachanwalt Stefan Sander.

Fazit & Ausblick

Auch wenn Geschäftsgeheimnisschutz und Datenschutz eine andere rechtliche Natur haben, so lassen sich doch viele Parallelen im Vorgehen nutzen.
Wer also bereits ­erfolgreich die Datenschutz-Grundverordnung eingeführt hat, der sollte nicht zögern, seine Prozesse auf das Geschäftsgeheimisgesetz zu er­weitern und anzupassen. Allerdings hat laut einer Bitkom-­Studie erst jedes fünfte Unternehmen (20 Prozent) die DSGVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert.
Für die Compliance im Datenschutz und Geschäftsgeheimnisschutz bleibt also noch viel zu tun.
Tipps zum Geschäftsgeheimnisgesetz
  • Erfassung aller im Unternehmen als geheimhaltungsbedürftig angesehenen Informationen
  • Einteilung dieser Informationen in verschiedene Geheimhaltungskategorien nach ihrer Wichtigkeit und wirtschaftlichen Bedeutung für das Unternehmen
  • Entwicklung von Schutzmaßnahmen für jede Geheimhaltungskategorie, wie „Need to know“-Prinzip, eindeutige Kennzeichnung von geheimhaltungsbedürf­tigen Informationen, Schaffung von zugangsgesicherten Räumlichkeiten, In­stallation von Alarmanlagen und Videoüberwachung, Verwendung von speziellen Verschlüsselungen und Passwörtern, Einrichtung von Gruppenberechtigungen sowie weitere IT-Sicherheitsmaßnahmen wie etwa Firewalls, Verbot der Nutzung privater Speichermedien, Abschluss von geeigneten Vertraulichkeitsvereinbarungen mit Arbeitnehmern, Kunden, Lieferanten und Kooperationspartnern
  • Maßnahmen im Rahmen des Geheimnisschutzkonzepts schriftlich niederlegen (beweisfähige Dokumentation)
  • Empfehlung, zumindest eine für den Geheimnisschutz im Unternehmen verantwortliche Person zu benennen
  • Sensibilisierung aller Beschäftigten für Geschäftsgeheimnisschutz
Seite
  1. Teil: Das GeschGehG darf kein Geheimnis bleiben
  2. Teil: Informationen werden Geschäftsgeheimnisse
Verwandte Themen

Mehr zum Thema