Das GeschGehG darf kein Geheimnis bleiben

Eigentlich sollte ein Gesetz kein Geheimtipp sein. Das gilt vor allem dann, wenn es in dem Gesetz um die viel beschworenen Kronjuwelen geht, um die Informationen, die eine besonders hohe Relevanz für Fortbestand und Erfolg eines Unternehmens haben.

Bei dem Geschäftsgeheimnisgesetz, kurz GeschGehG, handelt es sich aber offensichtlich noch nicht um recht­liche Vorgaben, die zum Allgemeinwissen in den Unternehmen gehören. Selbst viele Wirtschaftsverbände tun sich auf Anfrage schwer, ihre Erfahrungen zu der bisherigen Umsetzung des Geschäftsgeheimnisgesetzes mitzuteilen. Vielfach ist der Grund: Es gibt kaum Erfahrungen dazu.

Dabei verzichten Unternehmen auf einen wichtigen Schutz für ihre Betriebsgeheimnisse, denn wer die Vor­gaben des GeschGehG nicht umsetzt, kann auch von den dort geregelten Rechten keinen Gebrauch machen. So geht es in dem Gesetz um den „Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“, zweifellos ein Schutz, der kaum einem Unternehmen nicht wichtig sein dürfte.

Doch viele Unternehmen tun dies ungewollt: Laut GeschGehG ist ein Geschäftsgeheimnis eine Information, die insbesondere „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist“. Das bedeutet einfach gesprochen: Wer sein Geschäftsgeheimnis nicht angemessen schützt, hat keines.

Rechtsanwalt Karsten U. Bartels, stellvertretender Vorsitzender des Bundesverbands IT-­Sicherheit (Teletrust) und Leiter der Teletrust-AG „Recht“ ­berichtet über die Erfahrungen seines Verbandes: „Die Unternehmen tun sich immer noch schwer damit, belastbare Geschäftsgeheimnis-Schutzkonzepte zu erstellen.“

Das allerdings hat rechtliche Folgen: „Ohne ein solches Konzept wird der Nachweis der angemessenen Geheimhaltungsmaßnahme gerichtlich nicht gelingen und der Prozess kann nicht gewonnen werden”, so der Rechtsexperte ­Bartels.

Ähnliches hat auch das IT- und Mediennetzwerk Networker NRW zu berichten: „Die Erfahrung der Mitglieder von Networker NRW zum Geschäftsgeheimnisgesetz geht dahin, dass KMUs von der massiven Änderung der Rechtslage mit Inkrafttreten des Geschäftsgeheimnisgesetzes nahezu gar keine Notiz genommen haben“, erklärt Rechtsanwalt Stefan Sander, Partner der auf IT- und Datenschutzrecht spezialisierten Kanzlei SDS Rechtsanwälte Sander Schöning PartG mbB. „Der Bedarf an Aufklärungsarbeit ist nach wie vor riesig, um die Unternehmen dafür zu sensibilisieren, dass sie nur noch de facto über sensible Informationen, aber nicht mehr über ,Geschäftsgeheimnisse‘ im rechtlichen Sinne verfügen, wenn sie ihre Informationen nicht mit mindestens angemessenen Geheimhaltungsmaßnahmen schützen.“

Stefan Sander bestätigt den Eindruck, dass das GeschGehG noch ein gut gehütetes Geheimnis zu sein scheint: „Dass die Einstufung als Geschäftsgeheimnis ,kraft Natur der Sache‘, weil eine Information erkennbar geheimhaltungsbedürftig ist, vom Gesetzgeber abgeschafft wurde, ist fast allen Entscheidern im Bereich von KMUs unbekannt geblieben“.

Auch Rechtsanwalt Christian Koch, Kleymann, Karpenstein & Partner mbB und Mitglied der Fachgruppe IT-­Sicherheit im Bundesverband IT-Mittelstand (BITMi), berichtet von einem schleppenden Verfahren: „Die Umsetzung gestaltet sich insgesamt eher zäh, da das Geschäftsgeheimnisgesetz im Schatten der Datenschutz-Grundverordnung (DSGVO) fast unbemerkt von der breiteren Öffentlichkeit eingeführt wurde. Dabei handelt es sich auch um die Umsetzung einer Richtlinie der Europäischen Union, die durch die verspätete Umsetzung in Deutschland schon länger geltendes Recht ist. Da das GeschGehG nur wenig bekannt ist, kommt die Umsetzung nur langsam in Gang.“

Mangelnde Bekanntheit ist jedoch nicht das einzige Problem bei der Umsetzung: „Ein zweiter Bremsfaktor ist, dass nun erstmalig im deutschen Recht der Begriff des ,Geschäftsgeheimnisses‘ definiert wird und nicht auf willkürlicher Festlegung beruht. Lang gehütete Geschäftsgeheimnisse mancher Unternehmen sind danach nämlich plötzlich keine mehr”, so der wichtige Hinweis von Rechtsanwalt Koch.

Doch es gibt einen Silberstreif am Horizont der Geschäftsgeheimnisse: „Es ist festzustellen, dass überall dort, wo das Geschäftsgeheimnisgesetz bekannt ist, die Umsetzung gut vorankommt. Das liegt unter anderen daran, dass die DSGVO mit ihren hohen Bußgelddrohungen die Unternehmen dazu gezwungen hat, alle internen Prozesse datenschutzrechtlich auf den Prüfstand zu stellen.“

Offensichtlich haben die Bemühungen zur Umsetzung der DSGVO einen positiven Nebeneffekt für die Implementierung des GeschGehG in den Unternehmen: „Tatsächlich laufen die Anforderungen an den Schutz von Geschäftsgeheimnissen sehr stark parallel zu den Anforderungen des Datenschutzes, sodass hier durch Synergieeffekte sehr viel sehr schnell umgesetzt werden konnte. Hierin liegt nach unserer Erfahrung ein wirklicher Mehrwert für die Unternehmen”, kommentiert Christian Koch als Vertreter des BITMi.

Doch es gibt auch Stimmen, die Geschäftsgeheimnisse von Datenschutz und IT-Sicherheit eher getrennt sehen wollen. „Geschäftsgeheimnisschutz ist klar abzugrenzen von Datenschutz, und auch die Berührungspunkte mit IT-Security sind gering“, meint Thomas Kriesel, Bereichsleiter Steuern, Unternehmensrecht und -finanzierung beim Digitalverband Bitkom. „Vielmehr geht es um den Schutz von Know-how, das sich ein Unternehmen durch eigene Investitionen und eigene Innovationstätigkeit erarbeitet hat. Geschäftsgeheimnisse sind daher eher in die Reihe gesetzlicher Schutzrechte des geistigen Eigentums (zum Beispiel Patent- und Urheberrechte) einzuordnen als in den Kontext von Daten- und IT-Sicherheit.“

Aber auch Thomas Kriesel sieht speziell Handlungsbedarf bei Geschäftsgeheimnissen: „Anders als Schutzrechte des geistigen Eigentums sind Geschäftsgeheimnisse nicht bereits als solche gesetzlich geschützt, sondern der gesetzliche Schutz entsteht erst, wenn der Geheimnisinhaber angemessene Geheimhaltungsmaßnahmen ergriffen hat. Die Konkretisierung dieses unbestimmten Rechtsbegriffs ‚angemessene Geheimhaltungsmaßnahmen‘ war lange Zeit umstritten, inzwischen kommt die Praxis aber – soweit ersichtlich – damit zurecht.“

Wie aber sehen angemessene Geheimhaltungsmaßnahmen nun aus? Wie macht man als Unternehmen wertvolle Informationen zu rechtlich einwandfreien Geschäftsgeheimnissen?

„Als Maßnahmen kommen technische (zum Beispiel sichere Passwörter, Verschlüsselung der Kommunikation), organisatorische (zum Beispiel Zugangsbeschränkungen und -kontrollen), aber auch vertragliche Maßnahmen (zum Beispiel Verpflichtung der Mitarbeiterinnen und Mitarbeiter auf Verschwiegenheit, Aufnahme von Vertraulichkeitsklauseln in Verträgen mit Geschäftspartnern) in Betracht“, erklärt der Bitkom-Experte Thomas Kriesel. „Um einen grundlegenden vertraglichen Schutz begründen zu können, hat Bitkom eine entsprechende Aktualisierung in seine AGB-Branchenempfehlungen aufgenommen.“ Sie sind zu finden unter www.bitkom.org/Presse/Presseinformation/Geschaeftsgeheimnisschutz-Bitkom-passt-Branchen-AGB-an-neue-Gesetzeslage-an.

Die Angemessenheit der Maßnahmen ist auch deshalb wichtig, weil Unternehmen dann keinen übertriebenen oder aber zu niedrigen Schutz realisieren. „Maßgeblich ist das Schutzniveau der Geheimnisse. Die Geheimnisse mit den höchsten Risiken werden idealerweise mit Maßnahmen nach dem Stand der Technik geschützt“, empfiehlt Rechtsanwalt Karsten U. Bartels. „Zum Stand der Technik haben wir im Teletrust einen eigenen Arbeitskreis und eine inzwischen sehr gut etablierte Handreichung.“ Diese steht unter www.teletrust.de/publikationen/broschueren/stand-der-technik.

Für das Verfahren zur Definition der Geheimhaltungsmaßnahmen rät Christian Koch: „Um die Anforderungen des GeschGehG gewinnbringend umzusetzen, empfiehlt sich ein mehrstufiges Vorgehen: Zunächst ist im Unternehmen das potenziell relevante Know-how zu identifizieren, und zwar entlang des gesamten Wertschöpfungsprozesses von Entwicklung bis Vertrieb. Ist das relevante Know-how identifiziert, sollte es kategorisiert werden. Was ist echtes Schlüssel-Know-how, was strategisch wichtiges Know-how, was ,nur‘ sonstiges wettbewerbsrelevantes Wissen?“

Koch zieht erneut eine Parallele zum Datenschutz: „Nach Vornahme dieser Einteilung können dann geeignete Schutzmaßnahmen gefunden und implementiert werden. Eine Orientierung gibt auch hier das Datenschutzrecht mit den dort geforderten technischen und organisatorischen Maßnahmen (TOM).“

Auch ein Informationssicherheitsmanagement-System kann bei der ausstehenden Umsetzung helfen: „Um die Umsetzung der gesetzgeberischen Vorgaben für KMUs zu erleichtern, setzt sich Networker NRW dafür ein, das Konzept ISIS 12 für ein Informationssicherheitsmanagement-System (ISMS), welches speziell für die Bedürfnisse von öffentlichen Stellen und KMUs entwickelt wurde, in Nordrhein-Westfalen bekannt zu machen, um nicht nur auf die geänderte Rechtslage, sondern zugleich auch auf einen pragmatischen Lösungsansatz aufmerksam zu machen“, so IT-Recht-Fachanwalt Stefan Sander.

Auch wenn Geschäftsgeheimnisschutz und Datenschutz eine andere rechtliche Natur haben, so lassen sich doch viele Parallelen im Vorgehen nutzen.

Wer also bereits ­erfolgreich die Datenschutz-Grundverordnung eingeführt hat, der sollte nicht zögern, seine Prozesse auf das Geschäftsgeheimisgesetz zu er­weitern und anzupassen. Allerdings hat laut einer Bitkom-­Studie erst jedes fünfte Unternehmen (20 Prozent) die DSGVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert.

Für die Compliance im Datenschutz und Geschäftsgeheimnisschutz bleibt also noch viel zu tun.