Das Geschäftsgeheimnis in der Praxis
In § 1 Abs. 1 GeschGehG heißt es: „Dieses Gesetz dient dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung.“ Um die Definition des Geschäftsgeheimnisses zu erfüllen, müssen (alle) vier Voraussetzungen vorliegen. Gemäß § 2 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis
- eine Information, die weder insgesamt noch in genauer Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher
- von wirtschaftlichem Wert ist und
- Gegenstand von – den Umständen nach angemessenen – Geheimhaltungsmaßnahmen durch den rechtmäßigen Inhaber ist und
- Bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Das Geschäftsgeheimnis beinhaltet die Vorgänge innerhalb eines Unternehmens, die nicht der Öffentlichkeit zugänglich gemacht werden sollen. Diese sind nur bestimmten Mitarbeitern innerhalb eines Unternehmens bekannt und unterliegen der absoluten Verschwiegenheitspflicht. Der Inhaber eines Betriebes hat an diesen Sachverhalten den absoluten Willen zur Geheimhaltung und dieser beruht auf einem wirtschaftlichen Interesse, das auch als besonders schutzwürdig deklariert ist.
Laut der geänderten Fassung ist ein Geschäftsgeheimnis nun eine Information, „die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist.“
Im Vergleich zur bisherigen Rechtslage in Deutschland, gelten dabei teilweise strengere Anforderungen an das Vorliegen eines Geschäftsgeheimnisses. So müssen Unternehmen zum Beispiel angemessene Geheimhaltungsmaßnahmen treffen, um von dem Schutz durch das Gesetz profitieren zu können. Die Einordnung als Geschäftsgeheimnis steht der Tätigkeit von Journalisten und Hinweisgebern jedoch nicht entgegen. Denn die Ausnahmeregelungen für Journalisten und Hinweisgeber gelten für sämtliche Geschäftsgeheimnisse.
Angemessene Maßnahmen: eher präventiv
Der Begriff der Maßnahme in der Gesetzesbegründung ist vielfältig auszulegen und nicht nur auf rechtliche Maßnahmen beschränkt. Neben vertraglichen Geheimhaltungsmaßnahmen, die mehr oder weniger durchsetzbar sind, sind vor allem organisatorische und technische Maßnahmen zum Schutz von Geschäftsgeheimnissen zu ergreifen, also mehr präventiv als Schadensbegrenzung. Diese technischen und organisatorischen Maßnahmen sind aus dem Datenschutzrecht (z. B. Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO) bekannt. Dort geht es aber in erster Linie um den materiellen Datenschutz (Schutz des Rechtes auf informationelle Selbstbestimmung) und der Datensicherheit (z. B. Integrität, Vertraulichkeit, Verfügbarkeit, etc.). Weitere Empfehlungen für die Umsetzung von technischen und organisatorischen Maßnahmen liefert das BSI IT-Grundschutz-Kompendium. Hieraus können auch Maßnahmen zum Informationsschutz angewandt werden. Die technischen und organisatorischen Maßnahmen aus dem Datenschutz-Managementsystem sind auf jeden Fall eine sehr gute Grundlage und ein guter Ansatz für die im Rahmen des GeschGehG zu ergreifenden Maßnahmen bzgl. Zutritts-, Zugriffs- und Zugangskontrolle sowie Weitergabe- und Verfügbarkeitskontrolle etc.
In Abhängigkeit der Branche und des Geschäftszweckes ist das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO ein guter Ausgangspunkt zur Erhebung der zu schützenden Informationen. Werden personenbezogene Daten verarbeitet, kann man im Grundsatz von einem Schutzbedarf auch im Rahmen des GeschGehG ausgehen.
Konkrete Vorgehensweise: strukturierter Schutz
Die wichtigste Gesetzesänderung besteht wohl darin, dass Geschäftsgeheimnisse nur noch geschützt sind, wenn angemessene Geheimhaltungsmaßnahmen getroffen sind. In der Vergangenheit war es ausreichend, dass Geschäftsinformationen geheim bleiben sollten. Mit dem GeschGehG müssen Unternehmen ihre angemessenen Schutzmaßnahmen zur Geheimhaltung nachweisen können, damit Informationen auch weiterhin als Geschäftsgeheimnis Schutz genießen. Es sind also auch, aber nicht nur, interne Anweisungen und Richtlinien für Mitarbeiter erforderlich; vergleichbar mit der Nachweis- und Rechenschaftspflicht („Accountability“) aus Art. 5 Abs. 2 DS-GVO). Welche Maßnahmen genau zu treffen sind, um nachweisen zu können, dass es sich um ein Geschäftsgeheimnis handelt, sagt das Gesetz leider nicht. Allgemein gilt aber:
- Unternehmen sollten idealerweise immer und überall Geheimhaltung vereinbaren. Unabhängig davon, ob es sich um eine Geschäftsanbahnung, eine Kooperation, Arbeitsverträge oder um Dienstleistungsverträge handelt.
- Technische Maßnahmen: Hier kann man sich u. a. am Datenschutz-Managementsystem orientieren wie z. B. Maßnahmen zur Zutritts-, Zugriffs- und Zugangskontrolle.
- Organisatorische Maßnahmen: Es sollte sichergestellt sein, dass nur Beschäftigte vertrauliche Informationen kennen und Zugang zu diesen haben, die für ihre Tätigkeit benötigt werden (u. a. Zugriffsmatrix, Berechtigungskonzept).
Die Implementierung des GeschGehG sollte wie die Einführung eines anderen Managementsystems, beispielsweise im Datenschutz oder Qualitätsmanagement, angegangen werden. Auf jeden Fall ist ein strukturiertes Vorgehen erforderlich.
PDCA-Methode – regelmäßiger Verbesserungsprozess
Der PDCA-Zyklus beschreibt den vierstufigen Regelkreis des Kontinuierlichen Verbesserungsprozesses (KVP). Die Phasen sind: Plan, Do, Check, Act. Die Anwendung des Zyklus sorgt für einen kontinuierlichen und fortlaufenden Verbesserungsprozess.
Bild: PDCA-Methode (Quelle: Regina Mühlich, 2020)
Durchsetzung von Ansprüchen
Das Geschäftsgeheimnisgesetz enthält spezielle zivilrechtliche Ansprüche für den Fall einer Geschäftsgeheimnisverletzung. Als Anspruchsnehmer kommt der Inhaber des Geschäftsgeheimnisses in Betracht. Anspruchsgegner ist der Rechtsverletzer. Ist dieser ein Beschäftigter eines Unternehmens, so kann der Inhaber dieses Unternehmens als weiterer Anspruchsschuldner hinzutreten. Sofern der Rechtsverletzer aus grober Fahrlässigkeit oder mit Vorsatz, also schuldhaft, gehandelt hat, steht dem Inhaber des Geschäftsgeheimnisses ein Anspruch auf Schadensersatz des aus der Rechtsverletzung (konkret) entstandenen Schadens zu. Bei der Bemessung des Schadens kann z. B. der Gewinn berücksichtigt werden, den der Rechtsverletzer erzielt hat. Grundsätzlich kann auch Schadensersatz für immateriellen Schaden verlangt werden. Verjährungsansprüche ergeben sich u. a. nach § 61 Abs. 2 HGB.
Fazit: Das Ziel eines wirksamen Compliance-Management-Systems (CMS) sollte nicht aus den Augen verloren werden: der Schutz von Mitarbeitern, Führungskräften und Stakeholdern. Für ein erfolgreiches Compliance-System ist die Unternehmensleitung daher sehr wichtig. Maßgeblich dafür ist die Vorbildfunktion von Fach- und Führungskräften sowie der Leitungsorgane. Nicht weniger wichtig ist die Kommunikation von Werten und das kompromisslose Sanktionieren von „Non-Compliance“ durch Konsequenzen. Für den Einzelnen beispielsweise Abmahnung und Entlassung, für die ganze Organisation bedeutet dies u. a. Bußgeld und Reputationsverlust.
Compliance ist eine zentrale Voraussetzung für langfristigen und nachhaltigen unternehmerischen Erfolg. Verlässlichkeit, Kontinuität und Vertrauen können in einem Unternehmen nur bestehen, wenn sich dieses deutlich, auch nach außen, zu Compliance bekennt.