Compliance

Geschäftsgeheimnisgesetz: Jetzt schnell handeln

| Sven Oliver Behrendt

Seit Ende April gilt das Geschäftsgeheimnisgesetz. Es verpflichtet Unternehmen zu „angemessenen Geheimhaltungsmaßnahmen“, um ihr Know-how effektiv abzuschirmen. Wer seine Organisation technisch und organisatorisch nicht schnell auf die Erfordernisse des Geschäftsgeheimnisgesetzes (GeschgehG) einstellt, hat im Streitfall vor Gericht schlechte Karten. Nötig wird ein umfassendes Schutzkonzept, mit dem Unternehmen in fünf Schritten Maßnahmen für den Geheimnisschutz einführen – von Bestandsaufnahme über Planung, Umsetzung und Prüfung bis zur Optimierung.

Geschäftsgeheimnisgesetz

Am 26. April ist das vom Bundestag beschlossene Geschäftsgeheimnisgesetz in Kraft getreten. Es setzt die Know-how-Richtlinie der EU vom 8. Juni 2016 um. Ziel der europäischen Vorgabe: „Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“. Kurz: Weil Unternehmen digitale Inhalte zunehmend auch grenzübergreifend austauschen, ist es unumgänglich, betriebliches Know-how innerhalb der EU einheitlich vor unerwünschtem Zugriff zu schützen.

Durch besagte EU-Richtlinie und das deutsche Geschäftsgeheimnisgesetz (GeschgehG) verändert sich die Rechtslage gravierend. Denn im deutschen Recht ist der Begriff des Geschäftsgeheimnisses bisher nicht gesetzlich definiert. Wer unternehmensrelevantes Know-how schützen wollte, erklärte es einfach zum Geschäftsgeheimnis. In der Sprache des Rechts galt somit ein „subjektiver Geheimhaltungswille“.

Geschäftsgeheimnisse müssen angemessen geschützt werden

Das Geschäftsgeheimnisgesetz definiert den Begriff nun neu: Danach handelt es sich bei einer Information dann um ein Geschäftsgeheimnis, wenn sie geheim ist und deshalb einen wirtschaftlichen Wert hat. Darüber hinaus muss der rechtmäßige Inhaber der Information aber auch sicherstellen, dass er „angemessene Geheimhaltungsmaßnahmen“ umgesetzt hat. Mit anderen Worten: Ein Geschäftsgeheimnis gilt nur dann als rechtlich schützenswert, wenn sein Inhaber es auch nachweislich angemessen schützt – eine bloße Willensäußerung genügt nicht mehr. Allerdings bleibt der Gesetzestext im Unklaren darüber, was genau unter „angemessenen Geheimhaltungsmaßnahmen“ zu verstehen ist.

Als Inhaber eines Geschäftsgeheimnisses gilt „jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat“. Wer sich also wirksam davor schützen will, dass unberechtigte Dritte auf Geschäftsgeheimnisse zugreifen, muss Kontrollmechanismen und Dokumentationen einführen, ähnlich wie sie im Zusammenhang mit anderen juristischen Regelwerken wie GoBD und EU-DSGVO nötig wurden.

Schutzkonzept in fünf Schritten aufsetzen

Unternehmen werden also nicht umhinkommen, ein angemessenes Schutzkonzept zu erarbeiten. Wer keine entsprechenden organisatorischen, technischen und rechtlichen Maßnahmen zur Geheimhaltung nachweisen kann, kann sich auch nicht auf den Schutz durch das GeschGehG berufen. Als erstes sollten Unternehmen erfassen, welche Informationen und Daten als geheim eingestuft werden müssen. Infrage kommen neben Bilanzen und den Daten von Kunden und Lieferanten insbesondere Prototypen, Business- oder Konstruktionspläne, Rezepturen, Algorithmen, Programmcode und Dokumentationen.

Des Weiteren gilt es unbedingt sicherzustellen, dass unbefugte Personen keinen Zugang zu vertraulichen und kritischen Daten erhalten, die auf den Servern des Unternehmensintranets liegen. Darüber hinaus müssen Arbeitsverträge mit Geheimnisträgern entsprechende Geheimhaltungsvereinbarungen und Wettbewerbsverbote enthalten. Ebenso sollte ein Unternehmen Reverse Engineering vertraglich ausschließen – also die Möglichkeit, ein bestehendes System zu analysieren, sukzessive zu kopieren und auf dieser Basis sogar weiter zu entwickeln.

Experten empfehlen eine fünfstufige Vorgehensweise zum Aufbau eines Schutzkonzepts*:

Stufe 1: Bestandsaufnahme
Zu Beginn sollte ein Unternehmen überprüfen, welches Know-how in welchem Grad schützenswert ist.

Stufe 2: Planung
In diesem Stadium legen Unternehmen auf Basis einer Gefährdungsanalyse ihre organisatorischen, technischen und rechtlichen Maßnahmen zum Geheimnisschutz fest.

Stufe 3: Umsetzung
Die dafür vorgesehenen Mitarbeiter und Fachabteilungen realisieren alle beschlossenen Maßnahmen.

Stufe 4: Prüfung
Jetzt checkt das Unternehmen, wie wirksam die umgesetzten Maßnahmen bisher waren, und deckt eventuelle Schwachstellen auf.

Stufe 5: Optimierung
Schließlich gilt es, die identifizierten Schwachstellen zu beheben und Kosten und Nutzen des eigenen Schutzkonzepts zu analysieren, kontinuierlich zu überprüfen sowie bei Bedarf weiter zu verbessern.

IT-technische Sicherheit im Fokus

Um Informationen zu schützen, die als geheim eingestuft werden, sind IT-technische Maßnahmen notwendig. Welche Maßnahmen im Sinne des neuen Geschäftsgeheimhaltungsgesetzes angemessen sind, müssen Unternehmen von Fall zu Fall entscheiden, da das Gesetz keine konkreten Maßnahmen benennt. Zur Orientierung kann Artikel 32 der EU-DSGVO hilfreich sein, der Hinweise darauf liefert, wie sich personenbezogene Daten gesetzeskonform schützen lassen. Wer seine EU-DSGVO-Hausaufgaben bereits gemacht hat, kann bei der IT-technischen Umsetzung der GeschGehG-Vorschriften auf diese Erfahrungen zurückgreifen. Wer hier noch nicht aktiv wurde, muss umgehend damit beginnen, ein Schutzkonzept zu implementieren – das Gesetz gilt bereits seit Ende April 2019.

Mit ECM zum umfassenden Geheimnisschutz

Mit einem modernen und innovativen Enterprise Content Management-System lassen sich IT-technische Anforderungen an den Geheimnisschutz Compliance-konform erfüllen. Mit Hilfe des mehrfach zertifizierten ECM-Systems Doxis4 etwa können Unternehmen die gesetzlich relevanten Compliance-Anforderungen und Regularien wie EU-DSGVO und GoBD sowie interne Compliance-Vorgaben einhalten.

Daten und Informationen können durch mehrstufige Berechtigungskonzepte geschützt werden, indem sie mit Metadaten nach ihrer Schutzstufe klassifiziert werden. Wer welche Informationen in Dokumenten, Registern, elektronischen Akten und Vorgängen sehen, bearbeiten und löschen darf, legen Unternehmen mit Doxis4 genau fest. So erhalten sie einen dokumentierten Zugriffsschutz für Dokumente, Daten und Prozesse. Zudem protokolliert der Audit Trail von Doxis4 lückenlos alle Zugriffe und Veränderungen an Informationen – und kann damit als Beleg dienen, dass sie nicht manipuliert wurden.

Darüber hinaus lassen sich mit der Compliance-Lösung Doxis4 safeLock sensible Informationen vor Diebstahl, Verlust und Manipulation schützen und Compliance-konform entsprechend den geltenden Aufbewahrungsfristen revisionssicher speichern. Für besonders schützenswerte Dokumente können Unternehmen zeitlich unbegrenzte Löschsperren setzen. Zudem bietet Doxis4 safeLock höchste Sicherheit durch Software-basierten Schreibschutz auf WORM-Basis (Write Once, Read Multiple) und verhindert während der Aufbewahrungsfrist jede Änderung. So sorgt Doxis4 mit einem Bündel von Features, Funktionen und Maßnahmen dafür, Geschäftsgeheimnisse geheim zu halten.

*https://www.pt-magazin.de/de/gesellschaft/recht/das-neue-gesch%C3%A4ftsgeheimnisgesetz-blinder-fleck-im_jv3sn5hs.html

 

RechtsabteilungECM PlattformComplianceArchivierung

Das könnte Sie interessieren:

Compliance-konform mit Doxis4

Gute Gründe für eine zertifizierte ECM-Software – Compliance-konform mit Doxis4

Sie stehen vor der Einführung eines Enterprise Content Management (ECM)-Systems? Schnell befinden Sie sich in einem Wust von Gesetzesanforderungen und herstellerspezifischen Spezifikationen, die es zu beachten und erfüllen gilt! Erfahren Sie in dieser Broschüre, wie Sie diese Anforderungen erfüllen können.

Download

Zurück

Nach oben

Wie können wir helfen?

+49 (0) 228 90896-789

Ihre Nachricht hat uns erreicht!

Wir freuen uns über Ihr Interesse und melden uns in Kürze bei Ihnen.

Kontaktieren Sie uns