Am 21.03.2019 hat der Bundestag beschlossen die EU-Richtlinie „EU 2016/943“ mit dem „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) umzusetzen, welches am 26.04.2019 in Kraft getreten ist.
Der Zweck dieses neuen Gesetzes ist es, dass Unternehmen Ihre Geschäftsgeheimnisse – also deren Know-How und Informationen – rechtlich schützen können und straf-, sowie zivilrechtlich besser gegen rechtswidrige Erlangungen, Nutzungen und Offenlegungen vorgehen können. Ein Datengeheimnis im Sinne des alten § 5 Bundesdatenschutzgesetz bestand mit Einführung der Datenschutzgrundverordnung nicht mehr. Somit waren nur noch die §§ 17-19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) seit dem 25. Mai 2018 anwendbar.
Geschäftsgeheimnisse spiegeln sich naturgemäß im Datenschutz und der Datensicherheit in Unternehmen wider.
Im Gesetzesentwurf des Bundestages wird ein gewisser Handlungsbedarf für kleine Unternehmen beschrieben, da mit Einführung des GeschGehG erstmals Informationen die nicht geschützt sind, nicht mehr als Geschäftsgeheimnisse gelten und somit nicht in den Wirkungsbereich des neugeschaffenen Gesetzes fallen.
Unternehmer sollten daher nun Voraussetzungen in Form von Geheimhaltungsmaßnahmen schaffen. Welche konkreten Maßnahmen dies sind, lässt der Gesetzgeber allerdings offen. Klar scheint aber zu sein, das diese in etwa analog zu den technischen und organisatorischen Maßnahmen im Sinne des Artikels 32 der Datenschutzgrundverordnung stehen. Wer also heute schon die Sicherheit seiner Verarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen durch geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten angepasst hat, kann diese als Grundlage für Geheimhaltungsmaßnahmen verwenden. Eine weiterer Handlungsbedarf ergibt sich aus dem Artikel 5 des neugeschaffenen Gesetzes: dieser bestimmt, dass die o.g. Paragraphen des UWG aufgehoben werden – somit ist eine textliche Anpassung der Mitarbeiterverschwiegenheitsverpflichtungen unausweichlich.
Eine Klassifizierung der Daten nach Geheimhaltungsbedürftigkeit und dazugehöriger Anpassung der Maßnahmen inkl. eines Schutzkonzeptes sollte jedes Unternehmen ferner durchführen.
Auf eine Verschlüsselung von E-Mails und Anhängen mit personenbezogenen Daten bzw. Geschäftsgeheimnissen sei in diesem Kontext ausdrücklich hinzuweisen. Eine unverschlüsselte E-Mail ist mit einer Postkarte vergleichbar und könnte somit nun als eine nicht getroffene Geheimhaltungsmaßnahme gelten. Damit könnte eine richterliche Entscheidung, ob eine unverschlüsselte E-Mail als nicht getroffene Maßnahme gilt, negativ ausfallen und weitere rechtliche Schritte eines Unternehmers erschweren.
Sogenannte berufsrechtliche Schweigepflichten nach § 203 StGB bleiben von dem Gesetz zum Schutz von Geschäftsgeheimnissen unberührt.
Über den Autoren:
Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.