Das GeschGehG zwingt Unternehmen zum Handeln!

Am Donnerstag, den 21. März 2019 berät der Bundestag wohl final über den Entwurf eines Gesetzes zur Umsetzung der Richtlinie EU 2016/943, auch als Know-How-Richtlinie benannt. Dieses neue Gesetz („GeschGehG“) bringt einige wesentliche Neuerungen beim Schutz von Geschäftsgeheimnissen mit sich. Eine der wesentlichsten Neuerungen ist die nunmehr europaweit einheitliche Definition des Begriffs „Geschäftsgeheimnisses“. Zuvor gab es im deutschen Recht keine gesetzliche Definition dieses Begriffs. Vielmehr wurde der Begriff des Geschäftsgeheimnisses durch die Rechtsprechung geprägt und vorgegeben.

Die neue Definition des Geschäftsgeheimnisses

Ein Geschäftsgeheimnis ist dabei nach dem Gesetzesentwurf

eine Information, die

 a) weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer

Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von

Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist

und daher von wirtschaftlichem Wert ist und

 b) Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen

durch ihren rechtmäßigen Inhaber ist;

Aus dieser Definition resultiert, dass Unternehmen künftig zu schützende Informationen zum Gegenstand angemessener Geheimhaltungsmaßnahmen macht. Was konkrete Geheimhaltungsmaßnahmen sind und wie diese in einem Unternehmen umgesetzt werden können, sagt der Gesetzesentwurf naturgemäß nicht. Unternehmen müssen also bereits jetzt Maßnahmen ergreifen, von denen sie noch nicht wissen, ob diese im Streitfall auch von einem Gericht als „angemessene Geheimhaltungsmaßnahmen“ angesehen werden. Diese Unsicherheit darf aber nicht zum Anlass genommen werden, zunächst nicht tätig zu werden und abzuwarten, bis die ersten gerichtlichen Entscheidungen zu dieser Frage veröffentlicht werden. Vielmehr müssen Unternehmen bereits jetzt ein eigenes Schutzkonzept entwickeln, wobei auf bekannte Verfahren beispielsweise aus der IT-Sicherheit oder dem Datenschutzrecht zurückgegriffen werden kann.

Anforderungen an ein Schutzkonzept

Ein solches Schutzkonzept muss technische und organisatorische Maßnahmen zum umfassenden Schutz von Geschäftsgeheimnissen garantieren können. Das bedeutet z.B. auf technischer Seite, keinen ungeschützten Zugang zu vertraulichen oder kritischen Daten von nicht befugten Personen auf den Servern eines Unternehmensintranets.

Auf arbeitsvertraglicher Ebene müssen Personen, die mit den geschützten Geschäftsgeheimnissen in Berührung kommen, durch Geheimhaltungsvereinbarungen und Wettbewerbsverbote an der Weitergabe von Geschäftsgeheimnissen gehindert werden.

Ferner müssen Geheimhaltungsvereinbarungen mit allen Kooperationspartnern eines Unternehmens geschlossen werden, die mit den Geschäftsgeheimnissen in Berührung kommen. So kann beispielsweise ein IT-Unternehmen ein Softwareprojekt an unterschiedliche Freelancer auslagern, diese sollten hierbei aber streng auf die erforderliche Geheimhaltung verpflichtet werden.

Im Ergebnis wird man auch jede Geheimhaltungsvereinbarung den tatsächlich implementierten Sicherungsmaßnahmen anpassen müssen.

Entwicklung eines Schutzkonzeptes

Im Ergebnis sind die Anforderungen an ein Schutzkonzept immer unterschiedlich und müssen sich an das jeweilige Unternehmen und an die zu schützende Information orientieren. Es liegt auf der Hand, dass im Grundsatz von einem kleinen Startup nicht die gleichen finanziellen Maßnahmen abgerungen werden können, wie von einem weltweit agierenden Konzern. Basiert aber das Geschäftsmodell des Startups maßgeblich auf besonders kritischem Know-How, so muss auch das Startup – im Rahmen des finanziell machbaren – erhebliche Schutzvorkehrungen treffen.

Aber so unterschiedlich die Anforderungen an ein zu implementierendes Schutzkonzept auch sind, so bietet sich zur Entwicklung eines Schutzkonzeptes in der Regel ein 5-Phasen-Modell an:

Phase 1: Feststellungsphase

In einer Feststellungsphase muss überprüft werden, welche Informationen und welches Know-how im Unternehmen bestehen. Ferner sollte der Schutzbedarf des jeweiligen Geheimnisses aufgrund eines qualifizierenden Fragenkatalogs ermittelt werden. Ein solcher Fragenkatalog qualifiziert dann das jeweilige Geschäftsgeheimnis nach Vertraulichkeit und legt die Schutzstufe für das Geheimnis fest.

Phase 2: Planungsphase

Die Planungsphase bestimmt Maßnahmen, um bestehende und eventuelle Gefahren für den Verlust der in der vorherigen Feststellungsphase ermittelten Geschäftsgeheimnisse auszuschließen. Bei einer in der Planungsphase durchzuführenden Gefährdungsanalyse müssen dann Maßnahmen ausgewählt werden, die auf vertraglicher, technischer und organisatorischer Ebene garantieren, dass sich Gefahren zum Verlust von Geschäftsgeheimnissen nicht realisieren.

Phase 3: Umsetzungsphase

Die Umsetzung der vorher getroffenen Maßnahmen ist der wesentliche Bestandteil der Umsetzungsphase. Hier werden zahlreiche Abteilungen im Unternehmen an der Realisierung der jeweiligen Maßnahmen, beispielsweise der Verpflichtung zum Geheimnisschutz oder der Umsetzung von technischen und organisatorischen Maßnahmen beteiligt sein.

Phase 4: Prüfphase

Anschließend sollten die umgesetzten Maßnahmen auf ihre Wirksamkeit hin überprüft werden. Die Prüfphase zeigt hierbei im Rahmen von Audits sowie Erfahrungen den Verbesserungsbedarf am Geschäftsgeheimnisschutz auf und dient der Vorbereitung der Verbesserungsphase. Diese Phase dient insbesondere der Entdeckung von Schwachstellen, die entweder in der Vergangenheit zu einem Abfluss von Informationen geführt haben oder möglicherweise künftig führen können.

Phase 5: Verbesserungsphase

 Innerhalb der Verbesserungsphase kann dann mittels einer Kosten-Nutzen-Analyse und auf Grundlage der Prüfphase stetig an dem Schutzkonzept gearbeitet werden.

Welche Maßnahmen kommen überhaupt in Betracht?

Es gibt unzählige Maßnahmen, die für einen angemessenen Geheimnisschutz herangezogen werden können. Sämtliche Maßnahmen hier aufzuzählen, würde den Rahmen sprengen und stiftet im Ergebnis auch keinen Mehrwert, denn die Wahl der richtigen Maßnahme ist am Ende höchst individuell. Unterteilen kann man die verschiedenen Maßnahmen allerdings wohl in drei Kategorien, nämlich den rechtlichen bzw. vertraglichen Maßnahmen, den organisatorischen Maßnahmen und den technischen Maßnahmen. Aus einem Mix der verschiedenen Maßnahmen diesen Kategorien wird dann das eigene Schutzkonzept entwickelt und umgesetzt.

Als rechtliche bzw. vertragliche Maßnahmen kommen in Betracht:

  • die Überprüfung und Anpassung sämtlicher Verträge mit Mitarbeitern im eigenen Unternehmen (bestehen ausreichende Geheimhaltungspflichten?);
  • die Überprüfung und Anpassung sämtlicher Verträge mit externen Unternehmen (zum Beispiel F&E-Kooperationsverträge; Vertriebsvereinbarungen; Verträge mit Cloud-Anbietern etc.)

Als organisatorische Maßnahmen kommen in Betracht:

  • die Einstufung der Geschäftsgeheimnisse, abgestuft nach ihrer Bedeutung für das Unternehmen;
  • die Kennzeichnung der Geschäftsgeheimnisse als „geheim“ oder „vertraulich“;
  • die Regelung von Verantwortlichkeiten und Zugriffsrechten;
  • die Limitierung und Protokollierung des tatsächlichen Zugriffs (Need-to-know-Prinzip, die Protokollierung kann zudem zur schnelleren persönlichen Zuordnung bei unberechtigtem Datenabfluss beitragen);
  • die Schulung der Mitarbeiter über den Umgang mit Geschäftsgeheimnissen und über die Folgen bei Verstößen;

Als technische Maßnahmen kommen in Betracht:

  • die Einrichtung technischer Schutzvorrichtungen (zum Beispiel Trennung von Netzwerk- und Server-Strukturen; Einrichtung von Firewalls; Durchführung regelmäßiger Softwareupdates; Verschlüsselung von Daten);
  • Gebäudesicherung.

Das könnte auch interessant sein:

Die vorprozessuale Verfolgung von Ansprüchen bei der Verletzung von Geschäftsgeheimnissen.

Die Verletzung von Geschäftsgeheimnissen.

Auf der nachstehenden Unterseite haben wir von Luther eine Info-Seite zum neuen Geschäftsgeheimnisgesetz erstellt mit vielen Informationen zum Gesetzgebungsverfahren und mit einem Muster-NDA.