Datendiebstahl und unerwünschter Datenabfluss betreffen nicht nur personenbezogene Daten. Studien und Untersuchungen weisen regelmäßig auf Umfang und Auswirkungen von Wirtschaftsspionage und Konkurrenzausspähung hin. Das neue Geschäftsgeheimnisschutzgesetz soll den Schutz von Geschäftsgeheimnissen verbessern und Unternehmen dabei unterstützen, zivilrechtliche Ansprüche gegen Urheber von Verletzungen durchzusetzen.
Der Bundestag hat dieser Tage dem Entwurf des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) zugestimmt, im April wird das Gesetz dem Bundesrat zur Billigung vorgelegt und soll im Lauf des Jahres 2019 in Kraft treten. Weswegen ein Gesetz für den Schutz von Geschäftsgeheimnissen?
Gemengelage beenden
Bislang werden in Deutschland vertrauliche Geschäftsinformationen und vertrauliches Know-how durch Teile aus einem ganzen Bündel von Gesetzen geschützt. Dazu gehören sehr spezielle Gesetze wie das Urheberrechtsgesetz oder das Patentgesetz, aber auch weniger spezielle wie das Gesetz gegen den unlauteren Wettbewerb sowie Paragraphen des Bürgerlichen Gesetzbuches.
Diese Gemengelage soll mit dem neuen Gesetz ein Ende finden, die Vorschriften im Gesetz gegen den unlauteren Wettbewerb sollen abgelöst und EU-weit vergleichbare Grundlagen für den Schutz von Geschäftsgeheimnissen geschaffen werden. Das neue Gesetz setzt in Deutschland die entsprechende EU-Richtlinie in nationales Recht um; Richtlinien stellen gewissermaßen eine Aufforderung an die Gesetzgeber der einzelnen EU-Staaten dar, Rechtsnormen für einen Sachverhalt zu schaffen oder zu verbessern. Konkret soll nun „ein in sich stimmiger Schutz vor rechtswidriger Erlangung, rechtswidriger Nutzung und rechtswidriger Offenlegung von Geschäftsgeheimnissen“ erreicht werden, denn „der Zugang zu Geschäftsgeheimnissen und deren Verwertung [können] einen erheblichen wirtschaftlichen Wert darstellen“.
Verbindliche Begriffsbestimmung
Eine gesetzlich festgelegte Definition des Begriffes „Geschäftsgeheimnis“ gibt es bislang nicht. Hier schafft das Gesetz Klarheit und definiert es als „eine Information, die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile […] allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist“. Entscheidend dabei: Es reicht nicht aus, dass das Unternehmen gerne hätte, dass bestimmte Informationen als Geschäftsgeheimnis zu gelten haben, die Informationen müssen sich schon an der Definition messen lassen. Zu den Geschäftsgeheimnissen können beispielsweise Kundendaten und Vertragsinhalte, Herstellungsverfahren, Rezepturen und technische Entwürfe, Geschäftsmodelle oder Finanzdaten gehören – das betriebliche Know-how unter dem Radar von Urheberrecht oder Patent also.
Unternehmen in der Pflicht
Im Unterschied zur bisherigen Situation ist der Schutz der Geschäftsgeheimnisse und folglich die Möglichkeit zur Durchsetzung von Ansprüchen an bestimmte Voraussetzungen gebunden: Geschäftsgeheimnisse müssen nach dem neuen Gesetz „Gegenstand von angemessenen Geheimhaltungsmaßnahmen“ sein: Informationen ohne Schutz gelten nicht als Geheimnisse. Die Unternehmen sind also in der Pflicht, ihre Geschäftsgeheimnisse zu identifizieren und vorbeugend technische und organisatorische Schutzmaßnahmen einzuführen. Die Maßnahmen müssen grundsätzlich geeignet sein, um interne und externe Verletzungen der Geheimhaltung zu verhindern. Das Gesetz enthält keine Angaben zu konkreten Maßnahmen; zum Spektrum dürften wie bei der DSGVO Zugangsregelungen, Verschwiegenheitsklauseln, Firewall, Zugriffsbeschränkungen, Verschlüsselung etc. gehören. Ebenfalls wie bei der DSGVO ist die Dokumentation der Schutzmaßnahmen unerlässlich, denn die Beweispflicht liegt bei den Unternehmen.
Falls nun, trotz geeigneter Geheimhaltungsmaßnahmen, eine natürliche oder juristische Person Geschäftsgeheimnisse rechtswidrig erlangt, nutzt oder offenlegt, kann der Inhaber des Geschäftsgeheimnisses Ansprüche gegen den Rechteverletzer geltend machen. Dazu gehören die Beseitigung der Beeinträchtigung durch die Rechteverletzung, die Vernichtung oder Herausgabe von Gegenständen, Dokumenten, Dateien, die das Geschäftsgeheimnis verkörpern oder enthalten, sowie Schadensersatz, sofern der Rechteverletzer Auskunftspflichten nicht nachkommt.
Fazit
Das Gesetz ist noch nicht in Kraft, dennoch sollten Unternehmen im eigenen Interesse mit der Vorbereitung starten. Dabei können sie auf das Know-how aus der Umsetzung der DSGVO zurückgreifen und analog vorgehen: Geschäftsgeheimnisse identifizieren, sich an den technischen und organisatorischen Datenschutz-Maßnahmen orientieren und nach Stand der Technik umsetzen.
