IHK Magazin

Geschäftsgeheimnisse: PSST – streng geheim

Firmen müssen seit Kurzem deutlich mehr unternehmen, um ihre Geschäftsgeheimnisse wirksam zu schützen. Sie sollten möglichst schnell handeln. MELANIE RÜBARTSCH

Security guards monitoring modern CCTV cameras indoors
© ©New Africa - stock.adobe.com Zugangsbeschränkungen - eine Frage der Sicherheit

Katrin Albert sieht sich vorbereitet, was das neue Geschäftsgeheimnisgesetz anbelangt. Die 46-Jährige ist bei der ProSiebenSat.1 Media SE Senior Legal Counsel in der Abteilung Legal Affairs Entertainment und dort im Team IP Rights tätig. »Wir haben bereits ein dreigliedriges Sicherheitskonzept für Geschäftsgeheimnisse etabliert«, erklärt die Syndikusrechtsanwältin.

Zudem existiert eine Information-Security-Abteilung, die sich eigens um den Schutz von geheimem Know-how und vertraulichen Geschäftsinformationen kümmert. »Unabhängig davon haben wir unsere Maßnahmen noch einmal ganz genau mit den neuen Anforderungen abgeglichen, informieren die Geschäftsbereiche und werden eine zusätzliche Guideline mit Verhaltensregeln beim Abschluss von Vertraulichkeitsvereinbarungen im konzernweiten Intranet veröffentlichen«, berichtet Albert.

In vielen anderen, insbesondere kleineren Firmen dürften die neuen Vorschriften für deutlich mehr Unruhe sorgen. Sie stellen nämlich die bisherige Praxis zum Geheimnisschutz gehörig auf den Kopf. Wollten Betriebe bislang ihre Kundenlisten, Rezepturen, Einkaufspreise, Konstruktionspläne oder Strategiepläne vor fremdem Zugriff schützen, reichte es völlig aus, wenn der Geschäftsführer Unterlagen oder Firmenwissen als geheim einstufte beziehungsweise sich aus den Umständen ergab, dass die Infos streng vertraulich sind. »Jetzt wird eine Information per Definition erst dann zum Geschäftsgeheimnis, wenn sie durch angemessene Geheimhaltungsmaßnahmen abgesichert ist.

Reverse-Engineering

Je wichtiger das Geheimnis, desto umfangreicher müssen diese Maßnahmen sein«, erklärt der Münchner Rechtsanwalt Mathias Lejeune, der auf IT- und Wirtschaftsrecht spezialisiert ist. Im Klartext: Ohne ein vor Gericht nachweisbares Sicherheitskonzept können Firmen Ansprüche auf Unterlassung, Herausgabe oder Vernichtung von Dokumenten sowie Schadenersatz nicht mehr durchsetzen. Zudem ist Reverse-Engineering nun erlaubt: Kommt jemand rechtmäßig in den Besitz zum Beispiel eines neuen Produkts, darf er es zurückbauen, um der Konstruktion auf die Spur zu kommen.

Das Gesetz gilt seit dem 26. April 2019, eine Übergangsfrist gibt es nicht. »Jede Compliance-Abteilung und jeder Geschäftsführer muss daher dringend prüfen, ob das Unternehmen den neuen Anforderungen gerecht wird«, sagt Svenja Hartmann, Rechtsreferentin bei der IHK für München und Oberbayern. Es reiche nicht mehr, den Geheimnisschutz mehr oder weniger intuitiv zu regeln. Es müsse ein auf das jeweilige Unternehmen zugeschnittener systematischer Prozess aufgesetzt werden, der zudem angemessen dokumentiert werde.

Dieser beginnt bereits bei der internen Festlegung, was im jeweiligen Betrieb als Geheimnis gilt. Experte Lejeune rät: »Am besten, es werden explizit konkrete Personen im Unternehmen dazu bestimmt, im Rahmen für die Mitarbeiter nachvollziehbarer und entsprechend bekannt gemachter Prozesse festzulegen, was vertraulich ist.« Das könne die Geschäftsführung selbst oder der Chef der Entwicklungs- oder Projektabteilung sein. Auch Unternehmensjuristin Albert betont, dass die Geheimniseinstufung sehr strukturiert und unter Einbindung der Führungsebene erfolgen müsse. »Zum einen ist dazu ein gewisser Gesamtüberblick erforderlich, zum anderen signalisiert das im gesamten Unternehmen, dass es höchste Priorität hat.«

Maßnahmenpaket

Das Sicherheitskonzept von ProSiebenSat.1 Media folgt einem Dreiklang. Es besteht aus rechtlichen, technischen und organisatorischen Maßnahmen. Rein rechtlich sind es vor allem die Verträge, die geprüft und bei Bedarf angepasst werden müssen. »Dass Angestellte vertrauliche Informationen ertraulich behandeln müssen, ist zwar ohnehin eine Nebenpflicht des Arbeitsverhältnisses. In unseren Arbeitsverträgen sind dennoch zusätzlich Vertraulichkeitsklauseln enthalten«, sagt Albert. Eine Alternative sind projektabhängige Zusatzvereinbarungen zum Arbeitsvertrag.

Rückbau untersagen

Kooperieren Firmen mit externen Zulieferern, Geschäftspartnern oder Dienstleistern sind Non-Disclosure Agreements (Geheimhaltungsverpflichtungen) bereits heute die Regel. Ihnen kommt nun noch mehr Bedeutung zu. Wer im Rahmen von Joint Ventures zudem Prototypen oder Muster an Dritte herausgibt, sollte gut überlegen, ob er ein Reverse Engineering vertraglich untersagt. Zum technischen Schutz gehören der große Bereich der IT-Sicherheit sowie Zugangsbeschränkungen. Firmen müssen etwa – am besten per Richtlinie – definieren, wer Zugriff auf welche Dokumente erhalten soll, welche Daten nur mit Passwort versendet werden dürfen, welche Papiere in Safes aufzubewahren sind oder welche Räume nur über Codes geöffnet werden können.

Cloud Computing

»Besondere Bedeutung hat die IT-Sicherheit, wenn Geschäftsgeheimnisse im Rahmen von Cloud-Computing-Anwendungen beim Cloud-Anbieter und nicht im eigenen Unternehmen gespeichert werden sollten«, so Rechtsanwalt Lejeune. Dann seien entsprechend belastbare Vereinbarungen mit dem Cloud-Anbieter erforderlich. Zuständig für all diese Maßnahmen sind entweder die IT-Sicherheit oder die Compliance.

In das Kapitel Organisation gehört auch, die Mitarbeiter zu sensibilisieren. Das funktioniert über regelmäßige Schulungen zum Geheimnisschutz und dem Umgang mit IT, Rundschreiben und Richtlinien. »Das Bewusstsein lässt sich zusätzlich steigern, wenn man zum Beispiel variable Vergütungen auch von der Teilnahme an solchen Schulungen abhängig macht«, schlägt Lejeune vor.

Ausdrücklich erlaubt ist nun auch, dass Angestellte oder Geschäftspartner ein Geheimnis an die Öffentlichkeit bringen, sofern dies dazu dient, eine rechtswidrige Handlung oder ein berufliches oder sonstiges Fehlverhalten aufzudecken und darüber das allgemeine öffentliche Interesse zu schützen. »Dieser Paragraf ist sehr weit gefasst und nach dem reinen Wortlaut für Unternehmen nur schwer greifbar«, sagt IHK-Expertin Hartmann. Es sei daher wichtiger als bisher, Mitarbeitern Möglichkeiten zur Meldung von Fehlverhalten anzubieten, damit diese sich nicht vorschnell an Dritte wenden. Denkbar ist etwa eine WhistleblowerHotline. ProSiebenSat.1 Media hat einen anderen Weg gewählt. Albert: »Wir haben über eine externe Anwaltskanzlei eine neutrale Ombudsstelle eingerichtet.«