Seit April 2019 gilt in Deutschland das Gesetz zum Schutz von Geschäftsgeheimnissen (Gesch-GehG). Im Vergleich zur vorherigen Regelung, in der bereits der Wille zur Geheimhaltung ausreichte, um Informationen als Geschäftsgeheimnis zu schützen, müssen Unternehmen nun tatsächlich Maßnahmen ergreifen, um ihre Geheimnisse zu schützen. Drei Jahre nach Einführung des Gesch-GehG setzen jedoch viele Unternehmen die Anforderungen noch nicht wirksam um oder kennen diese gar nicht. Oftmals wird der breite Anwendungsbereich unterschätzt, da eine große Bandbreite an Informationen als Geschäftsgeheimnis geschützt werden kann, wie z.B. Daten aus den Bereichen Entwicklung, Fertigung, Vertrieb, Marketing und Forschung sowie Produktionsverfahren, Techniken, Rezepturen und Kunden- sowie Lieferkontakte.
Besonders relevant ist dies für die bayerische Wirtschaft, da 101 von 400 sogenannten „Hidden Champions“ aus Bayern stammen und das Erfolgsrezept oft in Innovationen liegt. Das Gesetz definiert ein Geschäftsgeheimnis als eine Information, die nicht allgemein bekannt oder ohne Weiteres zugänglich ist, einen wirtschaftlichen Wert hat, angemessene Geheimhaltungsmaßnahmen durch den rechtmäßigen Inhaber erfährt und bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Die „angemessenen Geheimhaltungsmaßnahmen“ beziehen sich auf technische und organisatorische Maßnahmen, die größtenteils im Bereich der Informationssicherheit aufgehängt sind, wie z.B. Zugriffskonzepte, IT-Sicherheitsstandards und Verschlüsselungstechnik. Ohne IT-Sicherheit kann ein Geschäftsgeheimnis weder tatsächlich noch rechtlich geschützt werden. Sobald die Daten nicht mehr geheim sind, besteht kein Schutz mehr.
Das Gesetz lässt offen, welche Maßnahmen im Detail getroffen werden müssen, da der flexible Tatbestand der Norm dem Prinzip der Verhältnismäßigkeit folgt. Es muss kein „optimaler Schutz“ gewährleistet sein, sondern im Rahmen einer umfassenden Abwägung muss der konkrete Schutzstandard im Einzelfall festgestellt werden. Hierbei sind Art, Nutzungsweise, Wert und Entwicklungskosten des Geschäftsgeheimnisses sowie die Bedeutung der Daten für das Unternehmen und die Unternehmensgröße relevant. Branchenspezifische Sicherheitsstandards gibt es im IT-Sicherheitsrecht nur im Bereich der kritischen Infrastrukturen nach § 8a Abs. 2 BSIG. Branchenübergreifend hat sich jedoch der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Messlatte herausgestellt. Eine Umsetzung des BSI-Standard 200-2 in der Variante „Basis-Absicherung“ reicht für einen angemessenen Schutz aus, sofern die IT-Systeme, die Geschäftsgeheimnisse enthalten, geschützt werden. Eine umfassende Sicherung der gesamten Unternehmens-IT, wie es die Umsetzung einer „Standard-Absicherung“ nach BSI-Standard 200-2 darstellt, ist im Sinne des Geschäftsgeheimnisschutzes also nicht notwendig, sofern sich im Rahmen eines IT-Sicherheits-Audits kein erhöhtes Gefährdungspotential ergibt.
Wenn bei der IT-Sicherheit ein Datenleck in Kauf genommen wird, ist jedenfalls kein angemessenes Schutzniveau mehr gegeben. Unternehmen dürften es nicht zulassen, dass Mitarbeiter die Geschäftsgeheimnisse auf privaten Datenträgern speichern. Personen mit Zugang zu sensiblen Geschäftsgeheimnissen, nicht nur die eigenen Mitarbeiter, sondern auch innerhalb der Wertschöpfungskette, sollten auch über Geheimhaltungs- vereinbarungen verpflichtet werden. Schon grundlegende Sicherungsmaß- nahmen in der Informationstechnologie können wertvolle Unternehmensdaten also nachhaltig sichern. Im Bereich desGeschäftsgeheimnisschutzes sollten Sie keinesfalls sparen und nur Mindest- standards erfüllen. Eine Investition in den Schutz der unternehmenseigenen Geheimnisse und Innovationen ist immer auch eine Investition in die Zukunft des Unternehmens. Auch hier gilt der allgemeine Grundsatz der Optimierung: IT-Sicherheit muss nicht „um jeden Preis“ gewährleistet werden. Schon mit 20 % Mehr-Investition kann 80 % höhere Sicherheit erzielt werden.
Unsere Empfehlungen für Sie:
- keine Speicherung auf privaten Datenträgern!
- Geheimhaltungsvereinbarungen treffen!