Mit ca. 10-monatige Verspätung wurde jetzt auch in Deutschland die Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (EU-Geheimnisschutzrichtlinie) umgesetzt.
Die Neuregelung gilt seit dem 26.4.2019.
Was gilt als Geschäftsgeheimnis?
Von besonderer Bedeutung ist bereits, dass das GeschGehG einheitlich festlegt, was ein Geschäftsgeheimnis ist. Nämlich nach § 2 Nr. 1 GeschGehG
„jede Information,
a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht.“
Die Voraussetzungen aus a), b) und c) müssen kumulativ, also alle nebeneinander vorliegen. Es genügt nicht, dass tatsächlich ein Geheimnis vorliegt. Die Information also nicht allgemein bekannt oder ohne weiteres zugänglich ist. Zusätzlich muss der Inhaber des Geheimnisses auch angemessene Geheimhaltungsmaßnahmen ergreifen. Und es muss ein berechtigtes Interesse an der Geheimhaltung bestehen.
Aktuell beschränkt er sich im Wesentlichen auf die Straftatbestände aus dem UWG und im Zivilrecht auf die Regelung des § 4 Nr. 3 c UWG und das allgemeine Deliktsrecht.
Zwar besteht die Möglichkeit, durch Vertraulichkeitsvereinbarungen einen zusätzlichen Schutz zu generieren. Die gerichtliche Durchsetzung im Fall der Fälle ist aber aktuell regelmäßig schwierig.
Unbedingt notwendig: Angemessene Geheimhaltungsmaßnahmen und deren Dokumentation
Es kann daher jedem Unternehmen nur eindringlich geraten werden, zu prüfen, ob es seine Geschäftsgeheimnisse angemessen schützt. Denn ohne angemessenen Schutz ist es zumindest rechtlich nach dem GeschGehG ansonsten kein Geschäftsgeheimnis mehr.
Was dabei konkret angemessen ist, hängt von jeweiligem Einzelfall ab. Als grobe Richtschnur kann man sagen, dass die Schutzmaßnahmen immer strengerer werden müssen, je wichtiger ein Geschäftsgeheimnis für ein Unternehmen ist.
Und natürlich sind auch die Möglichkeiten des jeweiligen Unternehmens zu berücksichtigen. Also strengere Anforderungen an Geheimhaltungsmaßnahmen bei Großkonzernen als bei kleinen Unternehmen. Unabhängig von der Größe des Unternehmens ist aber unbedingt zu empfehlen, die jeweils angewandten Schutzmaßnahmen auch zu dokumentieren. Denn nur so kann in einer gerichtlichen Auseinandersetzung die diesbezügliche bestehende Beweislast erfüllt werden.
Welches Handeln wird von den Verboten im GeschGehG erfasst?
Was erlaubt und was verboten ist, bestimmt das GeschGehG in den §§ 3 & 4. Erlaubt ist beispielsweise gem. § 3 Abs. 1 Nr. 2 ausdrücklich das sogenannte Reverse-Engineering, also der Erkenntnisgewinn durch Untersuchung oder sogar Rückbau eines Produkts. Dies gilt natürlich nur, soweit das Produkt nicht durch andere Schutzrechte (z. B. ein Patent oder Design) geschützt ist.
Hinsichtlich der verbotenen Handlungen in § 4 ist dessen Abs. 2 Nr. 3 in der Praxis von besonderer Bedeutung. Er verbietet die Nutzung und Offenlegung eines Geschäftsgeheimnisses, wenn hierdurch gegen eine Verpflichtung verstoßen wird, das Geschäftsgeheimnis nicht offenzulegen.
Der Verstoß gegen eine Vertraulichkeitsvereinbarung hat somit von nun an nicht nur die in dieser selbst festgelegten Rechtsfolgen, sondern es liegt nun auch ein Verstoß gegen das Gesetz vor.
Empfehlung an Unternehmen zur Umsetzung der Anforderungen des Geschäftsgeheimnisgesetzes
- In einem ersten Schritt systematische alle Informationen erfassen, die geheim sind (Definition aus § 2 Nr. 1 a) GeschGehG).
- Anschließend diese Geheimnisse entsprechend der Bedeutung der Geheimhaltung für das Unternehmen kategorisieren.
- Im nächsten Schritt die für jede Kategorie angemessenen Schutzmaßnahmen installieren. Hier sind sowohl faktische Schutzmaßnahmen (Zugriffsbegrenzungen etc.) als auch rechtliche Schutzmaßnahmen (Vertraulichkeitsregelungen) anzuwenden.
- Abschließend die getroffenen Schutzmaßnahmen und deren Einhaltung zu Beweiszwecken fortlaufend und dauerhaft dokumentieren.
Im Laufe des IT-Lebens wachsen Unmengen an Datenbeständen an. Es sind meist unstrukturierte, räumlich verteilte Daten in Share Point, auf File Servern, in E-MailSystemen etc.
1 TB unstrukturierte Daten:
- 1,1 Mio. Dateien
- 53 Mio. Seiten Din A4
- 106.000 Pakete Papier
- 7,5 km Leitz-Ordner
Datenklassifizierung ist der Prozess, in dem strukturierte oder unstrukturierte Daten analysiert und aufgrund der Dateityps und ihres Inhalts in Kategorien eingeordnet werden.
- Schafft Transparenz über die Inhalte.
- Gibt den Wert und den Schutzbedarf der Daten wieder.
- Ermöglicht das zeitnahe löschen nicht mehr benötigter Daten.
- Verhindert den unbemerkten Verlust von Daten.
- Ermöglicht das Nutzen der Daten.
- Ist das zentrale, steuernde Element und Trigger für Aktionen.
- Ermöglicht eine Automation und einen geregelten Umgang mit Daten.
In diesen Fällen gibt es Schnittmengen mit der ISO 27001 und dem § 32 DSGVO.
Wir beraten Sie gerne.