Seit dem Inkrafttreten des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) im April 2019 gelten wesentliche Änderungen der Rechtslage zum Geheimnisschutz in der Wirtschaft. Um von der Schutzwirkung profitieren zu können, müssen Unternehmen dokumentiert angemessene Geheimhaltungsmaßnahmen zum Schutz von Geschäftsgeheimnissen umsetzen. Security-Entscheidern bietet das Gesetz eine wesentliche Argumentationshilfe für Präventionsmaßnahmen zur Verbesserung der Informationssicherheit.
Gesetz zum Schutz von Geschäftsgeheimnissen
Das am 26. April 2019 in Kraft getretene Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) setzt die „Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ in nationales Recht um.
Bis zum Inkrafttreten der EU-Richtlinie gab es kein für alle Mitgliedsstaaten der Europäischen Union harmonisiertes Recht zum Know-how-Schutz in der Wirtschaft; bisher wurde der Schutz von Betriebs- und Geschäftsgeheimnissen in Deutschland primär über den § 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG), sowie teilweise auch über Normen wie unter anderem das Handelsgesetzbuch (HGB) und das Strafgesetzbuch (StGB) geregelt.
Wesentliche Änderungen
Das neue Gesetz schafft wesentliche Änderungen der rechtlichen Rahmenbedingungen für den Schutz vor Konkurrenzausspähung. Mit der Einführung des GeschGehG, auch als „Know-how-Schutz Richtlinie“ bezeichnet, wurde nun erstmalig ein eigenständiger rechtlicher Rahmen für den Geheimnisschutz in der Wirtschaft eingeführt. Aus Unternehmensperspektive ist hierbei insbesondere eine Besonderheit zu beachten; wurden seitens des Unternehmens nicht dokumentiert angemessene Präventionsmaßnahmen zur Informationssicherheit bzw. zum Schutz des entsprechenden Geheimnisses getroffen, liegt aus Perspektive des Gesetzgebers kein Geschäftsgeheimnis vor und die Schutzwirkung des GeschGehG verfällt.
Anforderungen an Unternehmen
Um unter den Schutzschirm des GeschGehG zu gelangen, müssen Unternehmen somit nun selbst proaktiv Präventionsmaßnahmen zur Informationssicherheit umsetzen. Das Gesetz verlangt, dass „angemessene Geheimhaltungsmaßnahmen“ ergriffen werden, damit Unternehmen tatsächlich von der Schutzwirkung des Gesetzes profitieren; hierbei kann es sich z.B. um die Etablierung und den Betrieb von Informationssicherheitsmanagementsystemen, Maßnahmen zur unternehmensweiten Klassifikation und Kategorisierung von Informationen, die Umsetzung von technischen und organisatorischen Maßnahmen sowie die Überprüfung und Anpassung von vertraglichen Regelungen zur Geheimhaltung handeln.
Von wesentlicher Bedeutung ist auch hier die Dokumentation der getroffenen Präventionsmaßnahmen; nur durch den Nachweis angemessener Informationssicherheitsmaßnahmen zum Schutz des betroffenen Geschäftsgeheimnisses ermöglicht das Gesetz bei rechtswidriger Erlangung, Nutzung oder Offenlegung von Geschäftsgeheimnissen Schadensersatz- und/oder Unterlassungsansprüche. Die dokumentierte Umsetzung von angemessenen Geheimhaltungsmaßnahmen ist nach dem GeschGehG somit zwar nicht verpflichtend, zur Geltendmachung von Ansprüchen allerdings notwendig.
Auswirkungen auf die Unternehmenssicherheit
Security-Entscheidern und Verantwortlichen für Unternehmenssicherheit bietet das GeschGehG eine wesentliche Unterstützung für die interne Kommunikation der Bedeutung von Sicherheitsmaßnahmen. Die Verabschiedung einer weiteren gesetzlichen Anforderung zur Umsetzung von Präventionsmaßnahmen zur Informationssicherheit schafft eine zusätzliche wesentliche Legitimation für die Etablierung und Weiterentwicklung von Schutzmechanismen.
Dies gilt nicht nur für Verantwortliche im Bereich IT-Security, sondern auch für Entscheider im Bereich der physischen Unternehmenssicherheit; angemessene physische Sicherheitsmaßnahmen (z.B. Standortsicherheit, Zutrittskontrolle und Besuchermanagement, Videoüberwachung, Perimetersicherheit etc.) sind wesentlicher Bestandteil ganzheitlicher Informationssicherheit.
