Risiko und Compliance
Das neue Geschäftsgeheimnisgesetz und digitale Schutzkonzepte
Seit Ende April 2019 ist das neue Geschäftsgeheimnisgesetz in Kraft. Weil verglichen mit der früheren Rechtslage die Anforderungen an das Vorliegen eines Geschäftsgeheimnisses gestiegen sind, sollten deutsche Unternehmen jetzt dringend klären, welche Schutzmaßnahmen sie – soweit noch nicht geschehen – umsetzen müssen, wenn sie von dem neuen Gesetz profitieren wollen. Dieser Beitrag beleuchtet die neuen Anforderungen und digitale Schutzkonzepte.
Datendiebstahl, Wirtschaftsspionage und Sabotage führen nach Schätzungen von Branchenverbänden zu jährlich etwa 50 Milliarden Euro Schäden für die deutsche Wirtschaft. Gerade in Zeiten der digitalen Transformation und zunehmender digitaler Innovation spielt daher der Schutz gegen Cyber Crime für viele Unternehmen eine große Rolle. In der Vergangenheit waren Betriebs- und Geschäftsgeheimnisse nach deutschem Recht durch die Strafnormen § 17 bis § 19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) und zivilrechtliche Schadensersatz- und Unterlassungsasprüche aus § 823 und § 1004 BGB geschützt – dies aber wurde von vielen als unzureichend empfunden. Denn um die Ansprüche durchzusetzen, mussten Geschäftsgeheimnisse in einem Zivilprozess offengelegt werden.
Deutlich mehr Ansprüche bei Geheimnisverletzungen
Seit dem 26. April 2019 hat sich die Rechtslage verändert und aufgrund der europäischen Richtlinie zum Schutz von Geschäftsgeheimnissen (Richtlinie (EU) 2016/943) auch den Vorgaben in anderen EU-Ländern angepasst. Kommt es zu Verletzungen von Geschäftsgeheimnissen, stehen dem Inhaber nun deutlich mehr Ansprüche zur Verfügung als zuvor:
- Beseitigung
- Unterlassung
- Auskunft
- Schadensersatz
- Vernichtung
- Herausgabe
- Rückruf
- Entfernung
- Rücknahme
Zudem ist nun gesetzlich geregelt, dass der Inhaber des Geschäftsgeheimnisses zwischen drei Arten der Schadensberechnung wählen kann: Lizenzanalogie, Abschöpfung des Verletzergewinns und konkrete Vermögenseinbuße.
Angemessene Geheimhaltungsmaßnahmen erforderlich
Was für Unternehmen zunächst positiv klingt, erfordert jedoch aktives Tätigwerden. Denn der neue Schutz kommt nicht von allein, weil Informationen nun nur dann geschützt sind, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. Das heißt: anders als bisher werden Informationen jetzt nicht mehr schon als geheim eingestuft, wenn sie aus Sicht des Unternehmens unter Verschluss gehalten werden sollen und sich aus der Natur der Information ein entsprechender Wille zur Geheimhaltung ergeben könnte. Vielmehr muss das Unternehmen nachweislich angemessene Maßnahmen zur Geheimhaltung getroffen haben, was sich wie folgt umsetzen lässt:
1. Organisatorische Schutzmaßnahmen
Wer von dem neuen Geschäftsgeheimnisgesetz profitieren möchte, muss zum Schutz der vertraulichen Informationen zunächst einmal organisatorische Voraussetzungen schaffen. Dazu gehört es, klare Verantwortlichkeiten intern zu regeln: wer hat Zugang zu Geschäftsgeheimnissen und wer steuert operativ den Umgang mit ihnen? Es sollte ein kleiner Kreis von Mitarbeitern namentlich definiert und ein Know-how Beauftragter nebst Stellvertreter ernannt werden.
Zudem ist zu regeln, wer Zugang zu den geheimen Informationen hat und im Rahmen des datenschutzrechtlich Zulässigen zu dokumentieren, wer wann was abgerufen bzw. eingesehen hat. Dazu sollte ein Berechtigungskonzept entwickelt werden, in dem auf einer „need to know“ Basis geregelt wird, wer auf welche Informationen zugreifen darf. Bereiche mit besonders sensiblen Informationen (z.B. die Entwicklungsabteilung) sollten ggf. durch bauliche und personelle Schutzmaßnahmen separiert werden.
Zu den organisatorischen Maßnahmen gehören auch Kennzeichnungen von geheimen Informationen sowie regelmäßige Schulungen von Mitarbeitern, die mit Geschäftsgeheimnissen in Kontakt kommen.
2. Technische Schutzmaßnahmen
Darüber hinaus müssen Unternehmen ausreichende technische IT-Sicherheitsmaßnahmen ergreifen, wozu insbesondere die Folgenden gehören:
- Zwei-Faktor-Authentifizierung
- Verschlüsselung von Daten und Verbindungen
- Viren- und Malwareschutz
- Sichere Benutzer-Administration mit aktiver Sperrmöglichkeit durch den Administrator
- Personalisierte Nutzerkennungen und Passwortschutz
- Technische Trennung von Privat- und Firmenendgeräten
Auf Ebene der Geschäftsführung bzw. des Vorstands und des Aufsichtsrats können sich beispielsweise Board Portale als technische Schutzmaßnahmen eignen. Zudem lassen sich Ableitungen aus der Norm DIN ISO/IEC 27001 treffen, denn darin sind die Anforderungen u.a. an das Aufstellen, Umsetzen, Betrieb, Überwachung und Bewertung von dokumentierten Informationssicherheit-Managementsystemen fixiert.
3. Rechtliche Schutzmaßnahmen
Die größten Risiken für Geschäftsgeheimnisse gehen oftmals von den eigenen Mitarbeitern aus, wenn sie beispielsweise das Unternehmen verlassen. Eindämmen lassen sich diese Risiken neben den organisatorischen und technischen Maßnahmen durch vertragliche Vertraulichkeitsverpflichtungen im Arbeitsvertrag. Um in einem etwaigen Gerichtsverfahren einen effektiven Schutz sicherzustellen und keine Unwirksamkeit zu riskieren, sollten die von der Verpflichtung erfassten Informationen in den Klauseln hinreichend bestimmt sein. Nicht geeignet dazu sind sog. catch-all-Klauseln, die alle während des Arbeitsverhältnisses bekannt gewordenen Geschäftsgeheimnisse als geheim einstufen. Vielmehr sollte spezifisch für den jeweiligen Arbeitsbereich und anhand von Berechtigungen und Kennzeichnungen (siehe organisatorische Maßnahmen) geregelt werden, welche Information vertraulich ist. Deshalb sollten Arbeitgeber bzw. Personalabteilungen nun für jeden einzelnen Mitarbeiter klären, wie der jeweilige Arbeitsvertrag durch eine Ergänzungsvereinbarung mit einer wirksamen Vertraulichkeitsverpflichtung anzupassen ist.
Dies gilt auch für Kooperations- bzw. Geschäftspartner, die mit einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement/NDA) entsprechend verpflichtet werden sollten.
In beiden Fällen sollte eine angemessene Vertragsstrafe vereinbart werden, die zur Wirksamkeit der Klausel vorsehen sollte, dass der Inhaber des Geschäftsgeheimnisses anhand der Umstände des Einzelfalls zunächst einseitig bestimmen darf, wie hoch die Vertragsstrafe ist und dies im Streitfall durch ein Gericht überprüft werden kann.
Schließlich sollte für jeden Einzelfall geklärt werden, wie lang die Vertraulichkeitsverpflichtung gilt. Dazu ist mit Blick auf Arbeitnehmer oder Geschäftsführer/Vorstände zwingend eine zeitliche Beschränkung vorzusehen, die maximal zwei Jahre ab Ausscheiden betragen darf. Ansonsten käme die Pflicht zur Vertraulichkeit faktisch einem Wettbewerbsverbot gleich.
Relevant für Unternehmen mit technischen Produkten oder Services ist darüber hinaus die Neuerung, dass das sog. Reverse Engineering (also die Erlangung eines Geschäftsgeheimnisses durch Zurückentwickeln eine Produkts) nun nach neuer Rechtslage zulässig ist. Um dies auszuschließen, müssen betroffene Unternehmen im Verhältnis zu ihren Kunden, Lieferanten, Kooperationspartnern oder Lizenznehmern das Reverse Engineering explizit vertraglich ausschließen. Hierzu sollten die bestehenden Verträge überprüft und ggf. durch Ergänzungsvereinbarungen angepasst werden.
Zusammenfassung
Wohlgemerkt: die beschriebenen Maßnahmen sind keine neuen gesetzlichen Vorschriften, die ein Unternehmen erfüllen muss und bei Nichtbefolgung zu Strafen führen. Wer sich aber von dem Schutz des neuen Geschäftsgeheimnisgesetzes profitieren und sich darauf berufen möchte, muss die noch erforderlichen Maßnahmen ergreifen. Denn sofern es zu einer Verletzung von Geschäftsgeheimnissen kommt und Ansprüche durchgesetzt werden sollen, muss das verletzte Unternehmen vor Gericht darlegen und beweisen, welche angemessenen Geheimhaltungsmaßnahmen es zum Schutz der Geschäftsgeheimnisse getroffen hat. Nur so lässt sich ein effektives Schutzlevel sicherstellen.
Board Portal Buyer’s Guide
With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.
VORGESTELLTE BLOGS
17. Mai 2023
Die zehn größten Fehler von Compliance-Beauftragten beim Management von Drittparteien (und was man dagegen tun kann)
Seien wir ehrlich: Die Verwaltung von Drittparteien kann eine Herausforderung sein. Jeden Tag beklagen die Compliance-Beauftragten das Versagen ihrer Drittpartei-Prüfungen. Man hört Kommentare wie: „Es funktioniert einfach nicht. Das Unternehmen hasst das Verfahren und versucht, es zu umgehen. Es gibt Zahlungen an Drittparteien, die überhaupt nicht überprüft worden sind. Die…
24. März 2023
Robustes Präventionsmanagement von Drittparteirisiken
Unternehmen verlassen sich heute aus einer Vielzahl von Gründen auf Drittparteien (Lieferanten, Dienstleister, Berater) um die Effizienz ihres Unternehmens zu steigern, um neue Fähigkeiten oder Technologien einzubringen oder um ein Produkt zu verbessern, um nur einige zu nennen. Diese Abhängigkeiten sind mit der Zunahme von Remote-, Hybrid- und Büroarbeitsplätzen noch…
28. Februar 2023
Das Richtige tun: Warum Ethik- und Compliance-Management im Jahr 2023 eine Priorität sein muss
Das Jahr 2022 war für Risiko- und Compliance-Experten besonders herausfordernd, da die russische Invasion in der Ukraine zu weitreichenden Sanktionen gegen russische Unternehmen und Einzelpersonen führte, die sofort umgesetzt wurden. Organisationen arbeiteten schnell daran, Beziehungen zu sanktionierten Unternehmen oder Einzelpersonen zu identifizieren und zu beenden, um das Risiko von Compliance-Verstößen…
© 2023 Diligent Corporation