Ratgeber

Geschäftsgeheimnisgesetz: Das müssen Unternehmen jetzt wissen

(Bild: Shutterstock)

Lesezeit: 5 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Wer Geschäftsgeheimnisse rechtlich schützen will, muss zukünftig nachweisen, dass er Geheimhaltungsmaßnahmen getroffen hat. Dazu kann auch die Verschlüsselung von E-Mails zählen.

Bald ein Jahr ist es her, da zog mit der Datenschutzgrundverordnung (DSGVO) scheinbar urplötzlich ein Schreckgespenst durch das Land, obwohl es sich lange zuvor angekündigt hatte. Kaum ein anderes Regelwerk hat zu einer so großen Verunsicherung geführt, wie diese aus Brüssel stammende Verordnung zum Datenschutz. Bis heute ist diese Verunsicherung im Umgang mit der DSGVO nicht beseitigt, zumal die Datenschutzbehörden verstärkt flächendeckend prüfen und Bußgelder verhängen.

Das Geschäftsgeheimnisgesetz – eine schwere Geburt

In der Aufregung um die DSGVO ging fast völlig unter, dass bereits im Juni 2018 eine europäische Richtlinie zum Schutz von Geschäftsgeheimnissen (Geheimnisschutz-Richtlinie) in deutsches Recht hätte umgesetzt werden müssen. Das ist nicht geschehen. Bis heute wird in mehr oder weniger seriöser Weise versucht, die Umsetzung dieser Richtlinie in ein nationales Gesetz zu beeinflussen.

Derzeit wird gegen den aktuellen Entwurf des Gesetz zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (kurz: GeschGehG) ins Feld geführt, das neue Gesetz gefährde unter anderem die Arbeit von Journalisten. Daher solle in das Gesetz geschrieben werden, dass ein Geschäftsgeheimnis nur dann als geheim gilt, wenn es ein „berechtigtes Interesse“ des Unternehmens an der Geheimhaltung gibt. Bei solchen Forderungen wird – unter anderem – übersehen, dass die Bestimmungen des Richtlinientextes kein solches „berechtigtes Interesse“ enthalten und der deutsche Gesetzestext von diesen Bestimmungen nicht abweichen darf. Der Ausschuss des Bundestages für Recht und Verbraucherschutz hat auf seiner 39. Sitzung am 13. März 2019 den Entwurf eines Geschäftsgeheimnisgesetzes zur Annahme empfohlen.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

In einer Plenarsitzung am Donnerstag war es nun endlich soweit: Deutschland hat seine seit Juni 2018 bestehende Pflicht erfüllt und das GeschGehG verabschiedet. Was bedeutet das jetzt für Unternehmen?

Unternehmen müssen aktiv werden

Das GeschGehG zwingt Unternehmen, die ihre Geheimnisse schützen wollen, zu einem umfassenden Schutzkonzept. Unternehmen müssen Maßnahmen treffen, die zum Teil an die technischen und organisatorischen Maßnahmen erinnern, die sie aufgrund der DSGVO getroffen haben. Unternehmen, welche die DSGVO richtig umgesetzt haben, können daher bei der Implementierung von Geheimhaltungsmaßnahmen auf organisatorischer, technischer und rechtlicher Ebene möglicherweise auf vorhandenen Strukturen aufbauen. Für Unternehmen, deren Geschäft – und wo ist das nicht der Fall? – auch auf vertraulichen Informationen basiert, haben die Neuregelungen zum Geheimnisschutz damit eine vergleichbare, wenn nicht sogar größere Bedeutung und Tragweite als die DSGVO – nur eben aus einem anderen Blickwinkel: Während die DSGVO die Rechte außenstehender Dritter im Blick hat, nämlich die Rechte der von einer Datenverarbeitung betroffenen Person, soll das GeschGehG die Rechte des Unternehmens vor unbefugtem Abfluss von Informationen schützen.

Damit sich Unternehmen gegenüber Dritten auf den Schutz des Geschäftsgeheimnisgesetzes berufen können, müssen sie „den Umständen nach angemessene“ Maßnahmen zum Schutz von Geschäftsgeheimnissen ergreifen. Diese Erfordernis ist für deutsche Unternehmen neu. Bislang reichte es für den rechtlichen Schutz von Geheimnissen in Deutschland aus, dass Unternehmen bestimmte Informationen geheim halten wollten und diesen Geheimhaltungswillen nach außen in geeigneter Form dokumentierten. Das reicht künftig nicht mehr. Unternehmen müssen handfeste Maßnahmen ergreifen, die dem Schutz von Geschäftsgeheimnissen dienen. Je wichtiger eine Information für das Unternehmen ist, umso strenger sind auch die Anforderungen an die getroffenen Maßnahmen zur Geheimhaltung. Welche Maßnahmen das sind, ist immer eine Frage des Einzelfalles. Freilich macht das die Sache für viele Unternehmen nicht einfacher, sondern – um noch einmal einen Vergleich zur DSGVO zu ziehen – manchmal sogar schwieriger: Während die DSGVO in ihrem Artikel 32 zumindest Anhaltspunkte für konkrete Maßnahmen zum Schutz von personenbezogenen Daten gibt, findet man dazu nichts im GeschGehG. Gerade das führt dazu, dass Unternehmen an sich bereits gestern Maßnahmen hätten ergreifen müssen, ohne zu wissen, ob diese in Streitfällen in der Zukunft auch als angemessen und damit ausreichend anzusehen sind.

Beispiel: Verschlüsselung

Zu den technischen Schutzmaßnahmen kann die Verschlüsselung von Datenträgern und der Kommunikation zählen.

Erst Anfang März hat Marc Zuckerberg angekündigt, dass Facebook künftig mehr Angebote anbieten will, die eine Ende-zu-Ende-Verschlüsselung beinhalten. Hiermit reagiert er auf massive Kritik und die jüngsten Datenskandale. Gehen personenbezogene Daten aufgrund mangelnder oder mangelhafter Verschlüsselung verloren, ist der mediale Aufschrei groß, wird das Datenleck öffentlich bekannt. Den Abfluss von Geschäftsgeheimnissen aufgrund mangelnder oder mangelhafter Verschlüsselung bekommt oftmals aber keiner mit. Nicht selten bemerkt selbst das betroffene Unternehmen erst einmal nicht, dass es zu einem Abfluss von Geschäftsgeheimnissen gekommen ist. Obwohl aufgrund der zunehmend vernetzten Arbeit und der grenzüberschreitenden Kommunikation die Gefahren eines Angriffs von außen auf die Kommunikation steigen, ist es verwunderlich, dass nach einer Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie aus dem Jahr 2018 lediglich 72,1 Prozent der befragten KMU verschlüsselt kommunizieren.

Aus Sicht des Geheimnisschutzes kann diese Zurückhaltung größeren Schaden anrichten, als sich viele Unternehmen heute vielleicht bewusst machen. Zwar statuiert das GeschGehG keine ausdrückliche Pflicht zur unternehmensweiten Einführung von Verschlüsselungsverfahren. Aber unverschlüsselte E-Mails sind wie Postkarten: Jeder, der an ihrer Zustellung beteiligt ist, kann sie lesen.

Kurzum, angemessene Maßnahmen zum Schutz von Geschäftsgeheimnissen kann unter anderem auch die Einführung von Verschlüsselungsverfahren in der Kommunikation bedeuten. Die Bedeutung und Tragweite des Geschäftsgeheimnisgesetzes gerade in diesem Bereich scheint jedoch in vielen Unternehmen noch nicht angekommen zu sein – obwohl die Konsequenzen des Fehlens von angemessenen Geheimhaltungsmaßnahmen gravierend sind: Informationen, die nicht ausreichend geschützt sind, sind keine Geschäftsgeheimnisse im rechtlichen Sinne. Bei einem Verlust solcher Informationen kann sich das Unternehmen nicht auf den Schutz des GeschGehG berufen, egal wie wichtig die Informationen auch sein mögen und wie groß die Bedrohung eines Datenklaus für das Unternehmen ist.

Die Schritte zum Geheimnisschutz

Unternehmen sollten in einem ersten Schritt ihre geheimhaltungsbedürftigen Informationen identifizieren und in Kategorien einteilen:

1. Kategorie: Schlüsselinformationen
2. Kategorie: strategisch besonders wichtige Informationen
3. Kategorie: sonstige wettbewerbsrelevante Informationen

Daran anschließend ist es für Unternehmen ratsam, ein Schutzkonzept für diese Informationen zu entwickeln. Am Beispiel Verschlüsselung: Zumindest bei den Informationen der ersten Kategorie sollten Unternehmen darauf achten, dass diese, wenn sie Gegenstand interner oder externer Kommunikation sind, verschlüsselt kommuniziert werden. Angemessen scheint hier nur eine Ende-zu-Ende-Verschlüsselung. Beim Einsatz von Verschlüsselungsverfahren ist es freilich nicht nur wichtig darauf zu achten, dass ein sicheres Verfahren eingesetzt wird. Ebenso wichtig, wenn nicht sogar wichtiger ist es, in organisatorischer Hinsicht die eigenen Mitarbeiter zu sensibilisieren und zu schulen, wie man mit Geschäftsgeheimnisses umgeht. Und – um im Beispiel zu bleiben – wie man vertrauliche Informationen der ersten Kategorie verschlüsselt übermittelt. Unternehmensinterne Richtlinien und Schulungen können dabei helfen. Denn auch das sicherste Verschlüsselungsverfahren hilft nicht, wenn es im Unternehmen von den Mitarbeitern nicht eingesetzt wird, weil es „zu aufwendig“ ist. Und auch alle Compliance-Maßnahmen zum Schutz von Geschäftsgeheimnissen taugen tatsächlich wenig, solange Mitarbeiter von Unternehmen – wie man nicht selten beobachten kann – im ICE Telefonate führen oder im Zug an ihrem PC arbeiten und dabei sensible Informationen beziehungsweise Geschäftsgeheimnisse an interessierte Mitreisende verraten.

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Aleksandar
Aleksandar

There are some companies offering Intelligence Loss Prevention Audits (such as GeschGehG.eu) as a service aimed for the GeschGehG implementation in companies. Can a comapny ever be fully protected from a negligent whistleblowers?

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung