Geeignete Schutzmaßnahmen mit Blick auf vertrauliche und sensible Informationen sind für Unternehmen jeder Größe und Branche unabdingbar. Denn deren Verlust kann unter gewissen Umständen existenzbedrohend sein.
Mehr als vier Jahre nach Inkrafttreten des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) haben immer noch nicht alle, vor allem kleine und mittelständische Unternehmen (KMU) ihre Maßnahmen zum Geheimnisschutz an die gesetzlichen Anforderungen angepasst. Inzwischen beschäftigen sich auch die obersten Gerichte mit dem Schutz von Geschäftsgeheimnissen. Für die betroffenen Unternehmen besteht Handlungsbedarf, da der Verlust sensibler sowie vertraulicher Daten oder Informationen droht.
Hintergrund
Nach dem GeschGehG stehen einem geschädigten Unternehmen bei Rechtsverletzungen unter gewissen Umständen Ansprüche auf Unterlassung oder Schadenersatz zu. Voraussetzung ist jedoch, dass die anspruchsbegründenden Geschäftsgeheimnisse entsprechend geschützt waren und gemäß § 4 GeschGehG durch eine unerlaubte Handlung in den Besitz des Rechtsverletzers gelangt sind. Waren die vertraulichen und sensiblen Daten indes frei verfügbar, könnte es sich gemäß § 3 GeschGehG um eine erlaubte Handlung des vermeintlichen Rechtsverletzers handeln mit der Folge, dass eine Klage vor Gericht als unbegründet abgewiesen wird. Im Gegensatz zur früheren Rechtslage muss also der Inhaber eines Geschäftsgeheimnisses angemessene Geheimhaltungsmaßnahmen treffen, damit sein Geschäftsgeheimnis als solches geschützt wird.
Schutzkonzept und Schutzklassen
Daher hat sich in der Praxis in diesem Zusammenhang eine mehrstufige Herangehensweise zur Erarbeitung eines passenden Schutzkonzepts etabliert. An deren Anfang steht eine Bestandsaufnahme, bei der zunächst alle in Betracht kommenden Geschäftsgeheimnisse erfasst werden. Anschließend wird deren Relevanz mit Blick auf die Bedeutung für das Unternehmen sowie die (konkrete) Wahrscheinlichkeit einer Gefährdung, etwa durch Wirtschaftsspionage, geprüft und einer von mindestens drei Schutzklassen zugeordnet. Unter Schutzklasse 1 fallen die Top-Geschäftsgeheimnisse, deren Offenbarung bestandsgefährdende Wirkung hat. Der Schutzklasse 2 werden wichtige Geschäftsgeheimnisse zugeordnet, deren Offenlegung zu erheblichen, womöglich auch dauerhaften, aber nicht bestandsgefährdenden Nachteilen führt, während hingegen von Schutzklasse 3 diejenigen Geschäftsgeheimnisse erfasst werden, die zu vorübergehenden Nachteilen führen, sollten sie in falsche Hände gelangen.
Angemessene Schutzmaßnahmen
Zu angemessenen Geheimhaltungsmaßnahmen gehört vor allem auch, die nach Schutzklassen sortierten Geschäftsgeheimnisse zum Gegenstand einer gesonderten und entsprechend gesicherten Dokumentation zu machen. Damit ist aber erst die Grundlage für die eigentliche Arbeit geschaffen, die darin besteht, die jeweiligen Geschäftsgeheimnisse mit angemessenen Schutzmaßnahmen zu versehen, um deren Offenbarung zu verhindern. Hierbei können auch weitere Anforderungen zu berücksichtigen sein, die sich aus anderen gesetzlichen Regelungen, Marktstandards, Kunden- und Lieferantenanforderungen (zum Beispiel aus geschlossenen Geheimhaltungsvereinbarungen oder arbeitsteiligen Geschäftsprozessen) ergeben. Das bedingt sowohl eine Erfassung der bestehenden Schutzmaßnahmen als auch die Dokumentation des möglicherweise durch die Gefährdungsanalyse identifizierten Bedarfs an weiteren Maßnahmen zum Geheimnisschutz.
Technische und organisatorische Maßnahmen
Der Dschungel an möglichen Schutzmaßnahmen lässt sich mittels des bereits aus dem Datenschutz bekannten Katalogs der technischen und organisatorischen Maßnahmen (TOM) zumindest etwas strukturieren. Als technische Maßnahmen kommen etwa Zutritts-, Zugangs- und Zugriffskontrollen sowie allgemeine oder besondere Maßnahmen der Gebäude- und IT-Sicherheit in Betracht. Zu den organisatorischen Maßnahmen zählen unter anderem Schulungen, Arbeitsanweisungen und vor allem die Gewährleistung des sogenannten, in der Welt der Geheimdienste etablierten Need-to-know-Prinzips. Gemeint ist eine Beschränkung des Zugangs zu der jeweiligen vertraulichen Information auf den Personenkreis, der diese Information zur ordnungsgemäßen Erfüllung seiner Aufgaben zwingend benötigt. Schließlich gibt es noch die juristischen Maßnahmen, ob nun als Bestandteil der organisatorischen Maßnahmen oder als eigene Kategorie, ist letztlich irrelevant. Hierzu gehört zum Beispiel der Abschluss von Geheimhaltungsvereinbarungen ebenso wie die Prüfung und Gestaltung von Verträgen aller Art sowie Betriebsvereinbarungen. Weitaus wichtiger als die Aufzählung möglicher Geheimnisschutzmaßnahmen ist jedoch, dass für das jeweilige Geschäftsgeheimnis die passenden Schutzmaßnahmen getroffen werden. Hier kann eine externe Beratung oft wichtige Impulse liefern. Branchenübliche Sicherheitsstandards können Anhaltspunkte für die Angemessenheit von Geheimhaltungsmaßnahmen liefern. Gerade beim Geschäftsgeheimnisschutz gilt one size fits all eben nicht.
Vereinbarungen der Geheimhaltung
Die Geheimhaltungsvereinbarungen, gerne auch als NDA – Non-Disclosure Agreement – bezeichnet, fristeten quasi als notwendiges Übel lange Zeit ein Schattendasein. Das GeschGehG hat diesen Vertragstyp ins rechte Licht gerückt. So ist eine Geheimhaltungsvereinbarung nur dann eine angemessene Schutzmaßnahme, wenn sie in Kraft tritt, bevor geheim zu haltende Informationen geteilt werden und der Kreis der Personen, an die die vertraulichen Informationen weitergegeben werden dürfen, hinreichend klein und kontrollierbar ist. Hinzu kommt, dass nach dem GeschGehG die Entschlüsselung eines Geschäftsgeheimnisses durch ein Beobachten, Untersuchen, Rückbauen oder Testen eines Produkts oder Gegenstands (Reverse Engineering) zulässig ist, wenn das Produkt öffentlich verfügbar gemacht wurde oder es sich im rechtmäßigen Besitz des Nachbauenden befindet; dies gilt nicht, wenn Letzterer einer Pflicht zur Beschränkung des Erlangens von Geschäftsgeheimnissen unterliegt. Gerade bei Prototypen sollte deshalb der Ausschluss des Reverse Engineering vertraglich vereinbart werden. Allerdings sind Reichweite und Dauer des Reverse-Engineering-Ausschlusses in der juristischen Diskussion umstritten, etwa wenn aus dem Prototypen ein auf dem Markt verfügbares Produkt geworden ist. Daher sollte im Zweifelsfall eine Expertin oder ein Experte bei der Gestaltung entsprechender Klauseln herangezogen werden.
Arbeitsvertragliche Geheimhaltungsklauseln
Das Bundesarbeitsgericht (BAG) geht davon aus, dass für Arbeitnehmer eine nachvertragliche Pflicht zur Geheimhaltung von Geschäftsgeheimnissen besteht. Das GeschGehG lässt ausdrücklich Rechte und Pflichten aus dem Arbeitsverhältnis unberührt. Regelmäßig finden sich daher auch in Arbeitsverträgen Regelungen, die dem Arbeitnehmer, auch nach Beendigung des Arbeitsverhältnisses, die Offenbarung von sämtlichen Geschäftsgeheimnissen untersagen. Diese aufgrund ihres weiten Anwendungsbereichs auch als Catch-all-Klauseln bezeichneten Regelungen sind allerdings umstritten. So wird die AGB-rechtliche Wirksamkeit zeitlich unbeschränkter und inhaltlich abstrakter Regelungen diskutiert. Arbeitgeber sollten mit allgemein gehaltenen Geheimhaltungsklauseln daher vorsichtig umgehen und den aktuellen Diskussionsstand stets im Blick behalten.
Maßnahmen beim mobilen Arbeiten
Mobiles Arbeiten beziehungsweise Arbeiten im Homeoffice stellt spezielle Anforderungen, insbesondere an den Geschäftsgeheimnisschutz, da das Risiko eines Zugriffs Dritter auf ein Geschäftsgeheimnis – gegenüber der Arbeit im Unternehmen – weitaus höher ist. Hiervon können nicht nur eigene, sondern auch fremde Geschäftsgeheimnisse betroffen sein, wie beispielsweise das auf Basis einer Geheimhaltungsvereinbarung geteilte Geschäftsgeheimnis eines Lieferanten, an dem im Homeoffice gearbeitet wird. Die Schutzmaßnahmen müssen folglich an die erhöhte Gefährdungslage, etwa während einer Bahnfahrt, am Flughafen oder im häuslichen Arbeitszimmer, angepasst werden, sofern das mobile Arbeiten oder eine Tätigkeit im Homeoffice nicht untersagt werden kann oder soll. Zunächst sollte man auswählen, welche Geschäftsgeheimnisse für das mobile Arbeiten oder eine Arbeit im Homeoffice geeignet beziehungsweise notwendig sind. Danach sollten insbesondere die Nutzung privater Endgeräte, wie etwa Laptops, Drucker und Mobiltelefon des Arbeitnehmers, vermieden sowie Informationen nur verschlüsselt übermittelt werden. Auch muss nicht jede Datei gedruckt, kopiert oder gelöscht werden. Von besonderer Bedeutung ist auch eine regelmäßige Sensibilisierung der Belegschaft durch Schulungsmaßnahmen. Rechtlich können solche Homeoffice-spezifischen Schutzmaßnahmen durch arbeitsvertragliche Regelungen und Betriebsvereinbarungen abgesichert werden.
Regelmäßige Überprüfung
Zu guter Letzt gilt auch für das Schutzkonzept von Geschäftsgeheimnissen: So mühsam das Erstellen, so gefährlich ist auch die Annahme, dass mit dem Ablegen des Konzepts in einen Tresor das Thema Geschäftsgeheimnisschutz für alle Zeiten erledigt ist. Die zu schützenden Informationen und die dafür getroffenen Maßnahmen unterliegen einer ständigen Entwicklung und Veränderung. Zu den angemessenen Schutzmaßnahmen gehört daher auch die regelmäßige Überprüfung der getroffenen Schutzmaßnahmen auf ihre Eignung und Aktualität.
Fazit
Ohne wirksame Schutzmaßnahmen gibt es keine Geschäftsgeheimnisse. Auf diesen kurzen Nenner kann man die Regelungen des GeschGehG bringen. Für Unternehmen, die sich damit bis heute nicht befasst haben, besteht daher Handlungsbedarf, da anderenfalls ein irreparabler Verlust von Geschäftsgeheimnissen droht.
MEHR DAZU
DATEV-Datenschutzbeauftragte – Ihr persönlicher Begleiter, www.datev.de/dsb
