Während die meisten Unternehmen mittlerweile die technischen und organisatorischen Anforderungen des Datenschutzrechts beachten, fristet der Schutz ihrer Geschäftsgeheimnisse in der Praxis häufig noch ein Schattendasein. Dies gilt insbesondere für kleinere Unternehmen und Start-Ups, denen häufig nicht bewusst ist, dass der Schutz solcher Geheimnisse nach dem Geheimnisschutzgesetz an spezifische Voraussetzungen geknüpft ist. Welche Voraussetzungen dies sind und wie Sie diese unter Nutzung von Synergieeffekten Ihrer Datenschutzorganisation sicherstellen können, erfahren Sie hier.

Was regelt das Geheimnisschutzgesetz und wofür ist es wichtig?

Das Know-how von Unternehmen ist von maßgeblicher Bedeutung für seinen Wert und für den Preis, den es am Markt für seine Leistungen verlangen kann. Weite Teile dieses Wissens (z.B. Kunden- und Lieferantenlisten, Kosteninformationen, Geschäftsstrategien, Unternehmensdaten, Marktanalysen) erfüllen jedoch typischerweise nicht die Voraussetzungen, um als gewerbliches Schutzrecht (Patent, Gebrauchsmuster, eingetragenes Design), Kennzeichen (Marke, Unternehmenskennzeichen, Werktitel) oder urheberrechtlich geschützt zu sein. Das gesetzliche Recht, Dritte von der Nutzung dieses Wissens auszuschließen, kann ein Unternehmen deshalb regelmäßig nur unter den Voraussetzungen des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) erlangen.

Das GeschGehG gewährt dem Inhaber des Geschäftsgeheimnisses einen sehr weitreichenden Schutz (siehe zu den Einzelheiten auch hier). Wird ein Geschäftsgeheimnis rechtswidrig erlangt, genutzt oder offengelegt, hat das Unternehmen Ansprüche auf Beseitigung und Unterlassung, Vernichtung, Herausgabe und Rückruf, Auskunft und Schadensersatz (§§ 6 bis 10 GeschGehG). Die Geheimnisse können im Rahmen der Durchsetzung solcher Ansprüche durch Geheimhaltungsanordnungen des Gerichts (§ 16 GeschGehG) vor einer Kenntnisnahme durch die Öffentlichkeit geschützt werden. Und da es sich beim GeschGehG um die Umsetzung der EU-Richtlinie 2016/943 handelt, sind diese Rechte wie auch die Schutzvoraussetzungen in anderen Mitgliedsstaaten der EU sehr ähnlich, wenn auch nicht identisch (vgl. dazu etwa hier).

Unter welchen Voraussetzungen ist ein Geheimnis geschützt?

Um diese Rechte geltend machen zu können, müssen nach § 2 Ziffer 1 GeschGehG die folgenden Voraussetzungen gegeben sein (und vom Unternehmen ggfls. bewiesen werden können):

  • Die Information muss geheim, also weder allgemein bekannt noch sonst ohne weiteres zugänglich sein;
  • Die geheime Information muss einen wirtschaftlichen Wert haben;
  • Der Inhaber muss angemessene Geheimhaltungsmaßnahmen treffen
  • und der Inhaber muss ein berechtigtes Interesse an der Geheimhaltung haben (woran es vornehmlich in Fällen eines rechtmäßigen Whistleblowings fehlen kann, vgl. § 5 GeschGehG, siehe dazu aber auch das OLG Schleswig, Urteil vom 28. April 2022, Az. 6 U 39/21.   

Was hat das mit dem Datenschutz im Unternehmen zu tun?

Auf den ersten Blick sind der Geheimnisschutz und der Datenschutz zwei unterschiedliche Rechtsgebiete, die sich weder im Hinblick auf die Schutzvoraussetzungen noch die Pflichten des „Geheimnisträgers“ und die Folgen einer Rechtsverletzung überschneiden. Das Datenschutzrecht schützt nicht Unternehmen, sondern natürliche Personen („Betroffene“) und sein Gegenstand sind – unabhängig von ihrem wirtschaftlichen Wert – nur Daten mit Personenbezug, die sich also auf eine bestimmte, zumindest identifizierbare Person beziehen.

Bei näherer Betrachtung stellt man jedoch schnell fest, dass es im Tatsächlichen zahlreiche Schnittmengen gibt zwischen (i) den technisch-organisatorischen Maßnahmen, die ein Unternehmen gem. Art. 32 DSGVO zum Schutz personenbezogener Daten treffen muss und (ii) den angemessenen Geheimhaltungsmaßnahmen, die nach § 2 Ziffer 1 GeschGehG Voraussetzung für den Schutz eines Geschäftsgeheimnisses sind. Wenn Ihr Unternehmen also bereits über eine gelebte Datenschutzorganisation verfügt, so können Sie diese Organisationsstrukturen nutzen, um zugleich den Schutz Ihrer Geschäftsgeheimnisse zu gewährleisten.

Praxistipps für Unternehmen

Vertraulichkeitsvereinbarungen

Sie verpflichten Ihre Beschäftigten auf das sog. Datengeheimnis und schließen mit Ihren Dienstleistern Auftragsverarbeitungsverträge ab? Prima – denken Sie aber zusätzlich daran, bei dieser Gelegenheit zusätzlich Vertraulichkeitsvereinbarungen (Non-Disclosure Agreements, „NDA“) zu treffen.

Achten Sie dabei darauf, den Gegenstand der Tätigkeit bzw. der Zusammenarbeit möglichst präzise zu beschreiben und vermeiden Sie sog. Catch-all-Klauseln. Ein NDA, das eine umfassende, ausnahmslose Vertraulichkeit hinsichtlich aller dem Vertragspartner offengelegten Informationen zum Gegenstand hat, ist im Zweifel nach § 138 BGB oder § 307 BGB unwirksam und diese Unwirksamkeit kann zur Folge habe, dass es an angemessenen Geheimhaltungsmaßnahmen gerade fehlt. Vereinbaren Sie stattdessen einen Modus zur regelmäßigen konkretisierenden Ergänzung der Vereinbarung, um Änderungen oder Erweiterungen des Tätigkeitsbereichs Ihres Vertragspartners Rechnung tragen zu können. Nutzen Sie Ihre Prozesse der Pflege und Aktualisierung Ihrer datenschutzrechtlichen Verfahrensverzeichnisse, um die Notwendigkeit solcher Ergänzungen Ihrer Geheimhaltungsvereinbarungen frühzeitig zu antizipieren.

Berechtigungsmanagement

Sie verfügen über ein datenschutzrechtliches Berechtigungskonzept und ein zentralisiertes Berechtigungsmanagement durch Ihre IT-Abteilung? Sehr gut – aber wenden Sie dieselben Grundsätze (welcher Mitarbeiter hat wirklich ein need-to-know?) und dieselbe IT-Infrastruktur auch auf Ihre Geschäftsgeheimnisse an!

Wenn Sie die gängigen Hyperscaler-Clouddienste nutzen, so stehen Ihnen zahlreiche Möglichkeiten zur Verfügung, geheimhaltungsbedürftige Informationen als solche zu klassifizieren, über technische Richtlinien Ihr Zugriffskonzept zu erzwingen und den ungewollten Abfluss von Informationen durch Data Loss Prevention Software zu verhindern.

Verschlüsselung

Sie nutzen Provider mit Sitz in Drittstaaten außerhalb des Europäischen Wirtschaftsraumes (insbesondere den USA) und beschäftigen sich bereits mit der Implementierung zusätzlicher Schutzmaßnahmen, um solche Datentransfers nach Maßgabe der Schrems-Rechtsprechung des EuGH rechtfertigen zu können? Hervorragend – gehen Sie diesen Weg aber auch dann weiter, sollte die EU-Kommission den neuen Angemessenheitsbeschluss für Datentransfers in die USA erlassen.

Viele US-Provider gehen bereits dazu über, dem Kunden die Möglichkeit der Verschlüsselung seiner Daten mit einem eigenen Kundenschlüssel zu ermöglichen (Bring your own key-encryption, „BYOK“). Eine solche BYOK-Verschlüsselung sollten Sie trotz der damit verbundenen Kosten jedenfalls für besonders bedeutsame Geschäftsgeheimnisse in Betracht ziehen – auch weil US-Provider in ihren NDA keine Vertragsstraferegelungen akzeptieren.

TOM-Konzepte und TOM-Listen

Sie verfügen bereits über ein TOM-Konzept und eine TOM-Liste, um die von Ihnen zum Schutz personenbezogener Daten getroffenen Maßnahmen zu dokumentieren? Sehr gut, denn Gegenstand solcher TOM werden typischerweise auch Sicherungen gegen den unbefugten physischen Zugang zu Ihren Betriebsstätten und Datenverarbeitungsanlagen sein, welche zugleich zu den angemessenen Schutzmaßnahmen i.S.d. GeschGehG zu zählen sind.

Sie sollten diese TOM ohnehin einer regelmäßigen Überprüfung unterziehen – hierbei können Sie dann zugleich prüfen, ob sie auch (noch) zum Schutz Ihrer Geschäftsgeheimnisse ausreichen.

Kosten und wirtschaftlicher Wert

Das GeschGehG schützt nur Informationen mit wirtschaftlichem Wert. Zwar gibt es hierfür keine bestimmte Wertgrenze, so dass auch Informationen mit nur geringem wirtschaftlichen Wert geschützt sind. Spätestens aber dann, wenn Sie tatsächlich Schadensersatzansprüche geltend machen müssen, ist es von erheblicher Bedeutung, den Wert Ihres Geschäftsgeheimnisses begründen zu können.

Ein wertbestimmender Faktor können dabei die Investitionen in den Schutz Ihres Geschäftsgeheimnisses vor dem Zugriff Dritter sein. Es kann deshalb in der Praxis sinnvoll sein, diese Zusammenhänge auch bei der Bilanzierung solcher Kosten bzw. des Geschäftsgeheimnisses in den Blick zu nehmen.