Anzeige

Compliance

Das Geschäftsgeheimnis in der Praxis

In § 1 Abs. 1 GeschGehG heißt es: „Dieses Gesetz dient dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung.“ Um die Definition des Geschäftsgeheimnisses zu erfüllen, müssen (alle) vier Voraussetzungen vorliegen. Gemäß § 2 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis

  • eine Information, die weder insgesamt noch in genauer Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher
  • von wirtschaftlichem Wert ist und
  • Gegenstand von – den Umständen nach angemessenen – Geheimhaltungsmaßnahmen durch den rechtmäßigen Inhaber ist und
  • Bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Das Geschäftsgeheimnis beinhaltet die Vorgänge innerhalb eines Unternehmens, die nicht der Öffentlichkeit zugänglich gemacht werden sollen. Diese sind nur bestimmten Mitarbeitern innerhalb eines Unternehmens bekannt und unterliegen der absoluten Verschwiegenheitspflicht. Der Inhaber eines Betriebes hat an diesen Sachverhalten den absoluten Willen zur Geheimhaltung und dieser beruht auf einem wirtschaftlichen Interesse, das auch als besonders schutzwürdig deklariert ist.

Laut der geänderten Fassung ist ein Geschäftsgeheimnis nun eine Information, „die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist.“

Im Vergleich zur bisherigen Rechtslage in Deutschland, gelten dabei teilweise strengere Anforderungen an das Vorliegen eines Geschäftsgeheimnisses. So müssen Unternehmen zum Beispiel angemessene Geheimhaltungsmaßnahmen treffen, um von dem Schutz durch das Gesetz profitieren zu können. Die Einordnung als Geschäftsgeheimnis steht der Tätigkeit von Journalisten und Hinweisgebern jedoch nicht entgegen. Denn die Ausnahmeregelungen für Journalisten und Hinweisgeber gelten für sämtliche Geschäftsgeheimnisse.

Angemessene Maßnahmen: eher präventiv

Der Begriff der Maßnahme in der Gesetzesbegründung ist vielfältig auszulegen und nicht nur auf rechtliche Maßnahmen beschränkt. Neben vertraglichen Geheimhaltungsmaßnahmen, die mehr oder weniger durchsetzbar sind, sind vor allem organisatorische und technische Maßnahmen zum Schutz von Geschäftsgeheimnissen zu ergreifen, also mehr präventiv als Schadensbegrenzung. Diese technischen und organisatorischen Maßnahmen sind aus dem Datenschutzrecht (z. B. Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO) bekannt. Dort geht es aber in erster Linie um den materiellen Datenschutz (Schutz des Rechtes auf informationelle Selbstbestimmung) und der Datensicherheit (z. B. Integrität, Vertraulichkeit, Verfügbarkeit, etc.). Weitere Empfehlungen für die Umsetzung von technischen und organisatorischen Maßnahmen liefert das BSI IT-Grundschutz-Kompendium. Hieraus können auch Maßnahmen zum Informationsschutz angewandt werden. Die technischen und organisatorischen Maßnahmen aus dem Datenschutz-Managementsystem sind auf jeden Fall eine sehr gute Grundlage und ein guter Ansatz für die im Rahmen des GeschGehG zu ergreifenden Maßnahmen bzgl. Zutritts-, Zugriffs- und Zugangskontrolle sowie Weitergabe- und Verfügbarkeitskontrolle etc.

In Abhängigkeit der Branche und des Geschäftszweckes ist das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO ein guter Ausgangspunkt zur Erhebung der zu schützenden Informationen. Werden personenbezogene Daten verarbeitet, kann man im Grundsatz von einem Schutzbedarf auch im Rahmen des GeschGehG ausgehen.

Konkrete Vorgehensweise: strukturierter Schutz

Die wichtigste Gesetzesänderung besteht wohl darin, dass Geschäftsgeheimnisse nur noch geschützt sind, wenn angemessene Geheimhaltungsmaßnahmen getroffen sind. In der Vergangenheit war es ausreichend, dass Geschäftsinformationen geheim bleiben sollten. Mit dem GeschGehG müssen Unternehmen ihre angemessenen Schutzmaßnahmen zur Geheimhaltung nachweisen können, damit Informationen auch weiterhin als Geschäftsgeheimnis Schutz genießen. Es sind also auch, aber nicht nur, interne Anweisungen und Richtlinien für Mitarbeiter erforderlich; vergleichbar mit der Nachweis- und Rechenschaftspflicht („Accountability“) aus Art. 5 Abs. 2 DS-GVO). Welche Maßnahmen genau zu treffen sind, um nachweisen zu können, dass es sich um ein Geschäftsgeheimnis handelt, sagt das Gesetz leider nicht. Allgemein gilt aber:

  • Unternehmen sollten idealerweise immer und überall Geheimhaltung vereinbaren. Unabhängig davon, ob es sich um eine Geschäftsanbahnung, eine Kooperation, Arbeitsverträge oder um Dienstleistungsverträge handelt.
  • Technische Maßnahmen: Hier kann man sich u. a. am Datenschutz-Managementsystem orientieren wie z. B. Maßnahmen zur Zutritts-, Zugriffs- und Zugangskontrolle.
  • Organisatorische Maßnahmen: Es sollte sichergestellt sein, dass nur Beschäftigte vertrauliche Informationen kennen und Zugang zu diesen haben, die für ihre Tätigkeit benötigt werden (u. a. Zugriffsmatrix, Berechtigungskonzept).

Die Implementierung des GeschGehG sollte wie die Einführung eines anderen Managementsystems, beispielsweise im Datenschutz oder Qualitätsmanagement, angegangen werden. Auf jeden Fall ist ein strukturiertes Vorgehen erforderlich.

PDCA-Methode – regelmäßiger Verbesserungsprozess

Der PDCA-Zyklus beschreibt den vierstufigen Regelkreis des Kontinuierlichen Verbesserungsprozesses (KVP). Die Phasen sind: Plan, Do, Check, Act. Die Anwendung des Zyklus sorgt für einen kontinuierlichen und fortlaufenden Verbesserungsprozess.

Bild: PDCA-Methode (Quelle: Regina Mühlich, 2020)

Durchsetzung von Ansprüchen

Das Geschäftsgeheimnisgesetz enthält spezielle zivilrechtliche Ansprüche für den Fall einer Geschäftsgeheimnisverletzung. Als Anspruchsnehmer kommt der Inhaber des Geschäftsgeheimnisses in Betracht. Anspruchsgegner ist der Rechtsverletzer. Ist dieser ein Beschäftigter eines Unternehmens, so kann der Inhaber dieses Unternehmens als weiterer Anspruchsschuldner hinzutreten. Sofern der Rechtsverletzer aus grober Fahrlässigkeit oder mit Vorsatz, also schuldhaft, gehandelt hat, steht dem Inhaber des Geschäftsgeheimnisses ein Anspruch auf Schadensersatz des aus der Rechtsverletzung (konkret) entstandenen Schadens zu. Bei der Bemessung des Schadens kann z. B. der Gewinn berücksichtigt werden, den der Rechtsverletzer erzielt hat. Grundsätzlich kann auch Schadensersatz für immateriellen Schaden verlangt werden. Verjährungsansprüche ergeben sich u. a. nach § 61 Abs. 2 HGB.

Fazit: Das Ziel eines wirksamen Compliance-Management-Systems (CMS) sollte nicht aus den Augen verloren werden: der Schutz von Mitarbeitern, Führungskräften und Stakeholdern. Für ein erfolgreiches Compliance-System ist die Unternehmensleitung daher sehr wichtig. Maßgeblich dafür ist die Vorbildfunktion von Fach- und Führungskräften sowie der Leitungsorgane. Nicht weniger wichtig ist die Kommunikation von Werten und das kompromisslose Sanktionieren von „Non-Compliance“ durch Konsequenzen. Für den Einzelnen beispielsweise Abmahnung und Entlassung, für die ganze Organisation bedeutet dies u. a. Bußgeld und Reputationsverlust.

Compliance ist eine zentrale Voraussetzung für langfristigen und nachhaltigen unternehmerischen Erfolg. Verlässlichkeit, Kontinuität und Vertrauen können in einem Unternehmen nur bestehen, wenn sich dieses deutlich, auch nach außen, zu Compliance bekennt.

Regina Mühlich, Geschäftsführerin
Regina Mühlich
Geschäftsführerin, AdOrga Solutions GmbH
Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

DSGVO
Jun 16, 2020

DSGVO-Falle: Viele Gastronomen verstoßen mit Sammlung von Gästedaten gegen Datenschutz

In elf von 16 Bundesländern gilt seit Wiedereröffnung von Gastronomiebetrieben eine…
DSVGO
Mai 20, 2020

Zwei Jahre DSVGO – wichtige Lehren aus bisherigen Compliance-Projekten

Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten…

Weitere Artikel

DSGVO- Innovation

Unternehmen verzichtet aus Datenschutzgründen auf Innovationen

Im Pandemiejahr 2020 erschweren Datenschutzanforderungen vielen Unternehmen die Aufrechterhaltung ihres Betriebs. So greifen viele Unternehmen aus Datenschutzgründen nur eingeschränkt oder gar nicht auf digitale Anwendungen zur Zusammenarbeit im Homeoffice…
Datenaustausch

Datenschutz und Compliance - Datenaustausch aus dem Homeoffice

Die netfiles GmbH, ein Anbieter von virtuellen Datenräumen in Deutschland, hat die Ergebnisse ihrer aktuellen Trendstudie mit dem Titel „Datenschutz und Compliance beim Datenaustausch aus dem Homeoffice – Herausforderungen für die IT in der Corona-Krise“…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!