2019/5 | Fachbeitrag | IT-Sicherheit

Der Schutz von Geschäftsgeheimnissen: Maßnahmen zur effektiven Wahrung der eigenen Rechte

von Simone Rosenthal

Inhaltsübersicht:

Hintergrund: Das „Geschäftsgeheimnis“ und Folgen der neuen Bedeutung

Vor den Neuerungen des Geschäftsgeheimnisgesetzes wurde ein Geschäftsgeheimnis subjektiv definiert. Das, was der Informations- und Rechteinhaber als besonders schützenswert erklärte, war es auch. Dies galt selbst dann, wenn sich der Geheimhaltungswille ohne entsprechende Erklärung aus der Natur der Sache ergab. Neben diesen subjektiven Kriterien genügte eine Unternehmensbezogenheit der Information und eine fehlende Offenkundigkeit ihres Inhaltes.

Das neue Geschäftsgeheimnisgesetz fordert allerdings mehr: Wer sich (weiterhin) auf den Schutz von Geschäftsgeheimnissen berufen können will, muss diese durch objektiv erkennbare (also nach außen gerichtete) „angemessene“ Maßnahmen schützen. Eine bloße Erklärung oder gar die Berufung auf die Natur der Sache ist bei weitem nicht ausreichend. Um die Rechtsinhaberschaft nicht zu verlieren, haben Unternehmen zu berücksichtigen, dass die Angemessenheit von Maßnahmen danach variiert, wie schützenswert die Information ist. Mit anderen Worten: Je wichtiger und sensibler die Information, desto umfangreicher sollte die Schutzmaßnahme sein.

Konkrete Maßnahmen

Unternehmen müssen zur Umsetzung der neuen rechtlichen Vorgaben zügig einen Überblick darüber gewinnen, welche Informationen zu schützen sind. Dabei kann auf Vorgaben der DSGVO zurückgegriffen werden. Wurde ein danach zu führendes Verzeichnis der Verarbeitungstätigkeiten erstellt, kann darauf für einen Überblick über alle unternehmensrelevanten Vorgänge, Informationen und Daten zurückgegriffen werden. Unter Umständen folgt daraus auch, welche dieser Informationen als Geschäftsgeheimnis besonders zu schützen sind und wem (vor allem Mitarbeitern, Geschäftspartnern, Kunden) diese Informationen bekannt sind.

Dabei können besonders sensible Informationen wie Prototypen oder Source Codes hervorgehoben werden, um besonders gründlich auf ihren Schutz überprüft werden zu können. Ist demgemäß ein Überblick über alle relevanten Informationen gewonnen, so sind diese v.a. durch organisatorische, technische und rechtliche Maßnahmen zu schützen, die allesamt genau zu dokumentieren sind.

  1. Schulungen: Die Organisation im Unternehmen ist v.a. hinsichtlich der Zuständigkeitsverteilung zu konkretisieren. Im Rahmen der Umsetzung der DSGVO ist es sehr empfehlenswert, Mitarbeiter zum Umgang mit Daten und Informationen zu schulen. Im Rahmen dieser Schulungen kann zugleich auf Geschäftsgeheimnisse eingegangen werden. Diese können als solche gekennzeichnet und Maßnahmen zu ihrem Schutz vorgestellt werden.

  2. IT-Sicherheit und weiterer technischer Schutz: Zentral ist hier natürlich der Schutz vor dem Zugriff von außen, denn die Gefahren von Innen (also durch Mitarbeiter) können bereits durch Schulungen erheblich minimiert werden. Auch in diesem Zusammenhang kann es sehr hilfreich sein, wenn bereits gemäß Art. 32 DSGVO „geeignete technische Maßnahmen“ ergriffen wurden, um Daten und Informationen zu schützen. Die Vorgaben des Geschäftsgeheimnisgesetzes sollten hierdurch in der Regel gewahrt sein.

  3. Non-Disclosure Agreements: Um den Schutz des Geschäftsgeheimnisgesetzes zu genießen, ist insbesondere der Nachweis über die Rechtsinhaberschaft über eine Information von großer Bedeutung. Dazu sollten vor allem mit Mitarbeitern (neben deren arbeitsvertraglichen Verschwiegenheitspflichten) spezielle Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abgeschlossen werden. Mitarbeiter sind zwar häufig die höchste Gefahr für den Schutz von Geschäftsgeheimnissen. Diese Vereinbarungen sollten dennoch im gleichen Umfang mit Geschäftspartnern, Kunden und weiteren möglichen Informationsempfängern abgeschlossen werden.

    Neu im deutschen Recht ist zudem die Zulässigkeit des sog. Reverse Engineering (Erlangung eines Geheimnisses durch Zurückentwickeln eines Produkts), das nach bisheriger Rechtslage überwiegend als unzulässig angesehen wurde. Durch vertragliche Regelung kann das Reverse Engineering jedoch – in gewissen Grenzen – weiterhin ausgeschlossen werden. Daher sollten entsprechende Vertragsgestaltungen z.B. mit Kunden, Lizenznehmern, oder Partnern in Kooperationsverträgen getroffen werden.

  4. Dokumentation: Alle ergriffenen (organisatorischen, technischen und rechtlichen) Maßnahmen sind genauestens zu dokumentieren, denn vor Gericht trägt diejenige Partei die Beweislast, die sich auf den Geheimnisschutz beruft. Kann durch eine umfangreiche Dokumentation nachgewiesen werden, dass Maßnahmen zum Schutz entsprechender Informationen ergriffen wurden, spricht vor Gericht viel für die Rechtsinhaberschaft. Dort kann dann vor allem auf Beseitigung und Unterlassung geklagt werden. Daneben kommen Ansprüche auf Vernichtung, Herausgabe, Rückruf, Entfernung sowie Marktrücknahme der rechtsverletzenden Produkte, Dokumente, Gegenstände oder Dateien, die das Geschäftsgeheimnis enthalten oder verkörpern. Zur Durchsetzung seiner Rechte stehen dem Rechteinhaber zudem Auskunfts- und Schadensersatzansprüche zu.

Fazit: Schnelles Handeln für effektiven Schutz!

Durch umfassende Schutzmaßnahmen auf verschiedenen Ebenen können Unternehmen den Anforderungen des Geschäftsgeheimnisgesetz gerecht werden. Dabei ist es zum einen wichtig schnell zu agieren, um nicht anderen die Chance zu geben als Rechteinhaber in Erscheinung zu treten. Zum anderen ist neben Schnelligkeit auch auf Gründlichkeit und ein umfassendes Schutzkonzept zu achten. Werden dabei Mitarbeiterschulungen und Dokumentation in den Vordergrund gerückt, haben Unternehmen gute Aussichten auch den Schutz des neuen Geschäftsgeheimnisgesetzes zu genießen.

Diese Artikel könnten Sie auch interessieren

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen

Sensibles Wissen: Das neue Geschäftsgeheimnisgesetz

WISSENplus
Unternehmerisches Handeln und erfolgreiches Wirtschaften sind stets mit Risiko verbunden: Ob es um neue Produkte, externe Rahmenbedingungen oder Investitionsentscheidungen geht. Ein ernstzunehmendes Risiko sind allerdings auch Geschäftsgeheimnisse - zumindest dann, wenn sie nicht länger geheim sind. ...

Weiterlesen