Was ist ein Betriebs- oder Gesch\u00e4ftsgeheimnis? Das hat bislang jeder von uns ganz klar wie folgt beantwortet: Eine Information, \u00fcber die ich als Unternehmer oder \u00fcber die meine Firma verf\u00fcgt und die irgendwie von \u2013 vielleicht sogar herausragender \u2013 Bedeutung f\u00fcr meinen Betrieb bzw. meine Gesch\u00e4ftst\u00e4tigkeit ist und die ich nicht ohne Not \u00f6ffentlich machen w\u00fcrde. Spezielle Kenntnisse und Know-how in technischen Fragen, Strategien, mein \u00fcber viele Jahre erarbeitetes Wissen um M\u00e4rkte und Kundenkontakte zum Beispiel. Informationen also, die Basis und Assets des Betriebs sind oder sein k\u00f6nnen und die deshalb von besonderem Wert sind, jedenfalls f\u00fcr mein Unternehmen.<\/p>\n
Und solche vertraulichen Informationen sind nat\u00fcrlich durch geltendes Recht gesch\u00fctzt, die darf mir keiner \u201ewegnehmen\u201c und ohne meine Zustimmung verwenden, weitergeben oder \u00f6ffentlich machen. Selbstverst\u00e4ndlich!<\/p>\n
Selbstverst\u00e4ndlich? Nicht mehr. Weit gefehlt!<\/p>\n
Durch eine Gesetzes\u00e4nderung, vielmehr die Verabschiedung eines v\u00f6llig neuen Gesetzes, hat der deutsche Gesetzgeber in Umsetzung einer EU-Richtlinie aus 2016 in diesem Fr\u00fchjahr die Voraussetzungen f\u00fcr einen solchen Schutz geheimer Informationen neun geregelt. Gem\u00e4\u00df dem neuen Gesetz zum Schutz von Gesch\u00e4ftsgeheimnissen, dem sog. Gesch\u00e4ftsgeheimnisgesetz (oder kurz GeschGehG), muss der Inhaber solch vertraulicher Informationen diese mittels angemessener Ma\u00dfnahmen zum Geheimnisschutz gegen unbefugte Kenntnisnahme oder Nutzung sichern. Der Geheimnisschutz durch das Gesetz kommt also nicht mehr quasi von alleine, sondern bedarf eines aktiven Zutuns des Geheimnistr\u00e4gers. Sonst verliert er den Schutz durch das Gesetz.<\/p>\n
Was hei\u00dft das nun konkret? Nun, der Inhaber solcher Informationen muss Schutzma\u00dfnahmen implementieren, die \u2013 vergleichbar den technisch-organisatorischen Ma\u00dfnahmen, die wir aus dem Datenschutz kennen \u2013 im Verh\u00e4ltnis zum Wert des Geheimnisses, der Gr\u00f6\u00dfe des Unternehmens, der Kosten und der \u00dcblichkeit der Ma\u00dfnahmen angemessen sind. Das l\u00e4sst sich nicht pauschal bestimmen, sondern muss auf den Einzelfall angepasst werden.<\/p>\n
In Betracht kommt zun\u00e4chst, die Vertraulichkeit der betreffenden Information deutlich zu kennzeichnen, entweder auf der jeweiligen Information, z.B. auf dem Dokument, welches das Gesch\u00e4ftsgeheimnis abbildet, oder jedenfalls f\u00fcr Kategorien von Informationen. Damit kann niemand, der irgendwie Kenntnis von der Information bekommt, behaupten, ihm sei die besondere Schutzw\u00fcrdigkeit als Gesch\u00e4ftsgeheimnis nicht bewusst gewesen \u2013 die Kennzeichnung begr\u00fcndet somit die berechtigte Annahme bzw. Erwartung des Geheimnistr\u00e4gers, dass die Vertraulichkeit gewahrt wird.<\/p>\n
Genauso funktioniert als Ma\u00dfnahme die explizite vertragliche Regelung des Geheimnisschutzes, zum Beispiel mittels Abschluss von Geheimhaltungsvereinbarungen (Non-Disclosure Agreements) \u2013 idealerweise bevor irgendwelche relevanten Informationen ausgetauscht werden. Denn auf die nicht vorhandene Befugnis zum Erwerb oder zur Nutzung etc. des Geheimnisses, etwa durch einen Vertrag, stellt das Gesetz gerade ab.<\/p>\n
Ferner ist zu empfehlen eine (dokumentierte und durchgesetzte!) Beschr\u00e4nkung des Zugangs zum Gesch\u00e4ftsgeheimnis allein f\u00fcr jene Personen, etwa Mitarbeiter in einem Projekt, welche die Information zwingend zur Erledigung ihrer Aufgaben ben\u00f6tigen (\u201eneed-to-know\u201c-Prinzip). Last but not least sollten auch rein technische Schutzma\u00dfnahmen nicht fehlen, also typische Aspekte der IT-Sec wie Passwortschutz, Firewalls, Anti-Viren-Programme usw.<\/p>\n
Diese Auflistung ist allerdings nicht abschlie\u00dfend, es kommt \u2013 wie gesagt \u2013 auf den einzelnen konkreten Fall und seine besonderen Umst\u00e4nde an. Hier wird \u00fcber die Zeit auch die Rechtsprechung Fallgestaltungen und Schutzma\u00dfnahmen entwickeln. Solche Ma\u00dfnahmen m\u00fcssen aber so oder so beizeiten implementiert und vor allen auch dokumentiert und regelm\u00e4\u00dfig aktualisiert, \u00fcberpr\u00fcft werden, vergleichbar den TOMs im Datenschutz.<\/p>\n
Gar nichts tun ist ab jetzt jedenfalls keine Option mehr.<\/p>\n
Andererseits gibt mir das GeschGehG aber auch neues, brauchbares \u201eWerkzeug\u201c an die Hand, falls doch einmal ein Hack passiert: Ein ganzes B\u00fcndel an Anspr\u00fcchen auf Unterlassung, Beseitigung, Auskunft oder Schadensersatz. Ganz zu schweigen von den Vorteilen eines auf europ\u00e4ischer Ebene weitgehend harmonisierten Geheimnisschutzes, der sich noch dazu an international lange etablierten Vorbildern und Ma\u00dfgaben orientiert. Das hilft im internationalen Gesch\u00e4ftsverkehr!<\/p>\n