Geraten Geschäftsgeheimnisse ungewollt in fremde Hände, können Unternehmen seit dem 26.04.2020 dagegen mit den Mitteln des Geschäftsgeheimnisgesetzes (GeschGehG) vorgehen. Zuvor muss das Unternehmen ein geeignetes Geheimnisschutzkonzept umgesetzt haben. Dabei kann es sich nicht auf bestehende Datenschutzkonzepte verlassen, jedoch deren Synergieeffekte nutzen.
Geschäftsgeheimnisse sind nur tatsächlich geschützte Informationen
Nach dem GeschGehG ist eine Information ein Geschäftsgeheimnis, wenn sie allgemeinen unbekannt oder unzugänglich ist. Zudem muss ein berechtigtes Interesse an ihrer Geheimhaltung bestehen und es bedarf einer angemessenen Maßnahme zum Schutz dieser Information. Dazu reicht die Bezeichnung einer Information als „vertraulich“ nicht mehr aus. Unternehmen können sich daher nur auf das GeschGehG berufen, wenn sie entsprechende Sicherheitsmaßnahmen ergriffen haben.
Unternehmenseigene Maßnahmen zum Schutz von Geheimnissen
Zur Umsetzung von angemessenen Schutzmaßnahmen müssen unternehmensinterne Geheimnisschutzkonzepte erarbeitet werden.
Zunächst muss der Schutzbedarf der betroffenen Informationen festgelegt und nach Geheimhaltungsstufen klassifiziert werden. Sodann sind
- angemessene vertragliche Maßnahmen (Vertraulichkeitsvereinbarungen mit unterschiedlicher Reichweite),
- organisatorische Maßnahmen (Berechtigungskonzepte für Informationszugriff nach dem „Need-to-know-Prinzip“) und
- technisch-organisatorische Geheimhaltungsmaßnahmen
zu ergreifen. Diese müssen ausdrücklich den Schutz von geheimen Informationen bezwecken. Für die Umsetzung soll eine für den Geheimnisschutz zuständige Person verantwortlich sein.
Reicht ein bestehendes Datenschutzkonzept aus?
In vielen Unternehmen existiert bereits ein Datenschutzkonzept. Aufgrund dieses Konzeptes sind gemäß der DSGVO bereits geeignete technische-organisatorische Maßnahmen zum Schutz von personenbezogenen Daten implementiert worden. Daher stellt sich die Frage, ob diese Datenschutzkonzepte auch als Geheimnisschutzkonzepte ausreichen.
Schutzniveau und Schutzziel unterscheiden sich
Dabei ist allerdings zu berücksichtigen, dass sich Schutzzweck und -niveau der Datenschutz- und der Geheimnisschutzmaßnahmen unterscheiden.
Datenschutzmaßnahmen schützen vor unrechtmäßiger Verarbeitung
Datenschutzkonzepte sollen das Risiko eines Schadens durch unbeabsichtigte oder unrechtmäßige Verarbeitung von personenbezogenen Daten minimieren. Die Befugnis, diese Daten zu verarbeiten, ergibt sich dabei ausschließlich aus dem Datenschutzrecht. Dabei ist das erforderliche Niveau, auf dem personenbezogene Daten geschützt werden, immer einzelfallabhängig.
Geschäftsgeheimnisse sollen nicht publik werden
Der Schutz von Geschäftsgeheimnissen soll hingegen unbefugte Offenlegungen oder unbefugten Zugang zu geschützten Informationen verhindern. Das Schutzniveau dieser Maßnahmen ist ebenso einzelfallabhängig. Es orientiert sich an dem Risiko eines Schadens durch die Preisgabe von essentiellen Informationen.
Entscheidend ist jedoch, dass Geschäftsgeheimnisse nicht unbedingt personenbezogene Daten enthalten müssen, sondern viel häufiger aus reinen Unternehmensinformationen bestehen. Personenbezogen wäre z.B. eine Kundenliste, wenn sie Angaben zum Ansprechpartner enthält. Gleichzeitig stellt eine solche Liste meist auch ein Geschäftsgeheimnis dar. Würden keine Namen der Ansprechpartner genannt, sondern ausschließlich (nicht personenbezogene) Unternehmensbezeichnungen, wäre zwar die DSGVO nicht mehr anzuwenden, ein Geschäftsgeheimnis liegt meist dennoch vor.
Synergieeffekte nutzen
Die daten- und geheimnisschützenden Maßnahmen verfolgen daher verschiedene Schutzziele. Daraus ergeben sich unterschiedliche Anforderungen an die notwendigen Maßnahmen. Da allerdings auch Überschneidungen bestehen, können die Datenschutzmaßnahmen einzelfallbezogen um weitere Maßnahmen zum Schutz der Geschäftsgeheimnisse ergänzt werden. Dabei gilt es Synergieeffekte zu nutzen. Dies gilt insbesondere für Fragen der Datensicherheit, welche unabhängig vom Personenbezug der Daten gewährleistet werden muss.
Unsere erfahrenen Anwälte sind Ihnen gerne bei der Erstellung von Datenschutzkonzepten sowie Geheimnisschutzkonzepten behilflich. Kontaktieren Sie uns!
Weiterlesen:
Coronavirus und Datenschutz: Was müssen Unternehmen jetzt in Bezug auf Mitarbeiter, Kunden und Homeoffice beachten?