Das neue GeschGehG zum Schutz von vertraulichem Know-how und von Geschäftsgeheimnissen zwingt Unternehmen zum Handeln.
Geschäfts- und Betriebsgeheimnisse müssen konsequenter geschützt werden! Die zweijährige Umsetzungszeit der Richtlinie (EU) 2016/943, ähnlich wie bei der EU-DSGVO, ist abgelaufen.
Die Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung wurde durch ein neues Stammgesetz umgesetzt, welches einen einen europäischen Mindeststandard zum zivilrechtlichen Schutz von Geschäftsgeheimnissen vorlegt.
Durch den Entscheid der Bundesregierung die EU-Richtlinie in nationales Recht zu überführen entstand ein komplett neues „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG, das Neuregelungen bündelt, anstatt lediglich Anpassungen bestehender Vorschriften vorzunehmen. Dies war notwendig, da die zum Schutz von Geschäftsgeheimnissen bislang herangezogenen Normen die Richtlinie nicht adäquat abdeckten. In § 2 des Entwurfs wird analog zu Artikel 2 der RL ein Geschäftsgeheimnis als eine „Information, die … Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist;“ definiert.
Durch die neue Richtlinie wird ein in sich stimmiger Schutz vor rechtswidriger Erlangung, rechtswidriger Nutzung und rechtswidriger Offenlegung von Geschäftsgeheimnissen erreicht. Wege und Hürden der Rechtsverfolgung werden im Detail festgelegt. Mit der Umsetzung der RL (EU) 2016/943 soll eine Annäherung des Wirtschaftsgutes „Geschäftsgeheimnis“ an diese klassischen Vollrechte des geistigen Eigentums erfolgen.
Das bislang oft erst nachträglich bezeichnete „Geschäftsgeheimnis“, ist nach der neuen Richtlinie nur noch dann ein Geschäftsgeheimnis, wenn es durch geeignete bzw. angemessene Schutzmaßnahmen auch wirksam geschützt wurde. Diese neue Definition erfordert nicht nur eine konsequente Überarbeitung der Sicherheitskonzepte, sondern auch eine konsequente Ausrichtung der internen Compliance-Richtlinien. Gerade mittelständische Unternehmen müssen sich hinsichtlich Know-how Schutz neu aufstellen.
Den Schutz der Geschäftsgeheimnisse mittels ganzheitlicher Sicherheitsarchitektur sicherstellen!
Für die Wirtschaft sind genau diese „angemessenen Geheimhaltungsmaßnahmen“ in ihrer Schutzausrichtung relevant, da hier vor allem mittelständische und Klein(st)unternehmen ihre Prozesse überprüfen müssen, wollen sie unter den Schutzbereich des Gesetzes fallen.
Laut Statistischem Bundesamt gab es 2,4 Millionen kleine und mittlere Unternehmen (KMU), von denen zwei Millionen Kleinstunternehmen mit bis zu zehn Mitarbeitern sind. Der Entwurf nimmt an, dass etwa 20 Prozent der Kleinstunternehmen über Informationen verfügen, bei denen ein Geheimnisschutz in Betracht kommt und von diesen etwa ein Viertel Maßnahmen treffen müssen, um in den Schutzbereich des Gesetzes zu fallen.
Allerdings sind viele KMUs sich der Möglichkeit der Wirtschaftsspionage nur bedingt bewusst, wobei letztlich jedes Unternehmen Geschäftsgeheimnisse zu wahren hat.
Wie wiederum die Geschäftsgeheimnisse zu sichern sind, hängt vom Einzelfall ab. Allerdings ist die ganzheitliche Betrachtung der unternehmerischen Sicherheitsarchitektur angebracht, denn bereits die RL und der Gesetzentwurf benennen Möglichkeiten zur Erlangung von Geheimnissen, etwa durch unbefugtes Kopieren von Dokumenten, Gegenständen, Materialien, Stoffen oder elektronischen Dateien.
Die Vielzahl der Möglichkeiten erfordert auch von KMUs, sich entsprechende grundlegende Gedanken über den Zugriff auf womöglich sensible Daten zu machen. Dies ist eben nicht nur auf IT-spezifische Bereiche beschränkt, sondern fängt etwa bereits beim Perimeterschutz zum Betriebsgelände an, beim Zutritt zu Gebäuden und Räumen und beim Zugriff auf Materialen am Arbeitsplatz.
Unter Konzepte für den Zugangs- und Zutrittsregelungen fallen aber nicht nur die eigenen Mitarbeiter, sondern auch Besucher, Lieferanten und externe Dienstleister. Gerade hier kommt es auf aufeinander abgestimmte Maßnahmen an, denn oftmals haben Dienstleister verschiedene Privilegien beim physischen und IT-gestützten Zugang zu Informationen.
Im Kern geht es darum, die „Geschäftsgeheimnisse“ wirksam zu schützen und im Rahmen einer ganzheitlichen Sicherheitsarchitektur und eines Sicherheitskonzeptes geeignete und nachhaltig wirksame organisatorische, aber auch bauliche und technisches Sicherheitsmaßnahmen einzurichten und diese gerichtsfest zu dokumentieren.
Erst durch geeignete Schutzmaßnahmen können die Erfolgsaussichten eines möglichen Gerichtsverfahrens wegen Geheimnisverrats deutlich gesteigert werden.
- Erste Maßnahme ist die Einrichtung von Geheimhaltungsstufen. Alle Geschäftsgeheimnisse müssen z. B. als „Öffentlich“ „Vertraulich“, „Geheim“ oder „Streng geheim“ eingestuft und gekennzeichnet werden.
- Der Umgang mit geheimen Informationen oder Unterlagen muss klar geregelt und kontrolliert werden.
- Geheimnisträger und der Nichtgeheimnisträger müssen bestimmt werden. Ihre „Rolle“ im Umgang mit Geschäftsgeheimnissen muss klar – entsprechend der oben genannten Geheimhaltungsstufen – organisiert werden. Auch hier gilt das Motto „Weniger ist Mehr“.
- Der zugeordnete „Rolle“ muss in einem eindeutigen Berechtigungskonzept für Zugriff, Druck, Kopieren, Einsicht, Versenden, usw. nicht nur logisch, sondern auch physisch organisiert und eingerichtet werden.
- Verträge, besonders auch die Arbeitsverträge müssen überprüft und angepasst werden. Sicherheitszonen, Zugangszonen und Zugangsberechtigungen müssen eingerichtet werden.
- Clean Desk muss ins Blut übergehen.
- Mitarbeiter von Dienstleistern mit Zugang zu sensiblen Bereichen müssen sicherheitsüberprüft sein.
- Eine nachhaltige Sicherheitskultur muss entstehen!
Den Wertbeitrag zum Unternehmenserfolg eindeutig belegen
Mit dem Fokus auf Nachhaltigkeit sollten die Kosten für die Schutzmaßnahmen in eine gesamtwirtschaftliche Betrachtung (SECURITY CONTROLLING) einfließen, um auf diesem Weg den Wertbeitrag zum Unternehmenserfolg eindeutig zu belegen.
Der Aufwand, Geschäftsgeheimnisse als solche zu benennen und Mitarbeiterklauseln zu vereinbaren, wird sich in Grenzen halten. Schwieriger wird es mit der Umsetzung von Maßnahmen, die Einhaltung der Compliance sicherzustellen. Doch hier sollten sich Unternehmen im Rahmen einer Risikobewertung fragen, ob der Verlust sensibler Daten nicht weit höher zu bewerten ist, als die Implementierung eines gesamtheitlichen Sicherheitskonzeptes, das letztlich das wirtschaftliche Überleben eines Unternehmens zum Ziel hat.
Beitragsbild: © iStock.com / artJazz