Eigentlich hätte das Geschäftsgeheimnisgesetz (GeschGehG), dessen Grundlage die EU Richtlinie (EU) 2016/943 ist, bereits im Juni 2018 zur Inkrafttreten kommen sollen. Das Inkrafttreten für Deutsches Recht erfolgte jedoch erst am 21. März 2019, als es die letzte Hürde im Deutschen Bundestag nahm. Für Unternehmen ist vor allem das Geschäftsgeheimnis in seiner Definition und den damit verbundenen Konsequenzen relevant.
Das Betriebsgeheimnis im Fokus
Das Geschäftsgeheimnisgesetz definiert die Betriebsgeheimnisse neu. Unter diesen Begriff fallen nun ausschließlich Informationen, die nicht allgemein bekannt oder leicht zugänglich sind und daher wirtschaftlich wertvoll sind. Dabei spielt es keine Rolle, ob die Gesamtheit der Informationen oder deren Zusammensetzung und Anordnung übermittelt werden. Der Geheimhaltungswunsch und daraus resultierende Geheimhaltungsmaßnahmen durch den Inhaber der Informationen sind weitere Kriterien.
Unternehmen brauchen Schutzkonzepte für hohe Ansprüche
Gegen Whistleblower, Hacker & Co. sind Geschäftsinhaber nun zu umfassenden Geheimhaltungskonzepten verpflichtet. Diese sind rechtlich, organisatorisch und technisch auf eine solide Grundlage zu stellen. Im rechtlichen Bereich sind beispielsweise Geheimhaltungsvereinbarungen möglich, die den Kreis der Informationsträger auf ein Minimum beschränken. Das gilt auch für das Personalwesen, das im Hinblick auf Informationen ein sensibler Bereich im Unternehmen ist. Technisch sind ebenfalls Regelungen zu treffen, die den Zugriff Unberechtigter auf geheime Informationen unterbinden, z.B. Verschlüsselung von E-Mails.
Parallelen zur DSGVO
Am 25. Mai 2018 ist die Datenschutz-Grundverordnung der EU in Kraft getreten. Die DSGVO darf in ihrer Umsetzung jedoch nicht zur Annahme verleiten, dass das Geschäftsgeheimnisgesetz hiermit vollständig abgedeckt ist. Die Ansätze sind verschieden, wenn auch Verfahren oft ähnlich sind. Während die DSGVO die Rechte und Daten natürlicher Personen schützt, soll das Geschäftsgeheimnisgesetz die Rechte des Unternehmens vor unbefugtem Abfluss von Informationen schützen. Dennoch bietet die DSGVO gute Orientierungspunkte z.B. bei der Umsetzung technischer und organisatorischer Maßnahmen.
Fazit: Umsetzung auf mehreren Ebenen nötig
Bisher was es ausreichend, dass Unternehmen bestimmte Informationen geheim halten möchten und diesen Geheimhaltungswillen in geeigneter Form dokumentieren. Das reicht zukünftig nicht mehr aus. Unternehmen müssen Maßnahmen umsetzen, welche dem Schutz von Geschäftsgeheimnissen dienen. Besonders schützenswerte Informationen haben folglich auch strengere Anforderungen an die getroffenen Maßnahmen zur Geheimhaltung. Das Geschäftsgeheimnisgesetz dient also dem angemessenen Schutz von Betriebsgeheimnissen und ist auf mehreren Ebenen zu verwirklichen. Personelle und organisatorische, rechtliche und technische Aspekte, die Schutzkonzepte professionell und rechtskonform gestalten, sind zu beachten. Die Nutzung von Standards kann hier hilfreich sein. Die ISO/IEC 27001 Norm, welche als internationaler Standard für Informationssicherheit gilt, ist hier eine gute Orientierung.
