Das Geschäftsgeheimnisgesetz: Compliance und konkrete Maßnahmen
Von Regina Mühlich, AdOrga Solutions GmbH
Lange Zeit regelte das Gesetz gegen unlauteren Wettbewerb (konkret die §§ 17 ff. UWG) in Deutschland den Schutz von Betriebs- und Geschäftsgeheimnissen. Am 26. April 2019 ist das Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten. Seitdem hat sich für Unternehmen vieles verändert.
Das Gesetz zum Schutz von Geschäftsgeheimnissen und damit eine komplett neue Herangehensweise ist die Antwort auf ein sich laufend veränderndes Umfeld. Die Strafvorschriften haben sich verschärft. Gerichte gehen härter gegen Wirtschaftskriminalität vor. Dies ist auch dem Umstand geschuldet, dass Medien und die Öffentlichkeit beispielsweise von Korruption und Vorteilsnahme viel stärker Notiz nehmen als noch vor ein paar Jahren.
Richtlinien werden zu nationalem Recht
Bereits am 08. Juni 2016 verabschiedeten das Europäische Parlament und der Rat die Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen, sprich Geschäftsgeheimnisse, vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Im Gegensatz zur Datenschutz-Grundverordnung (DS-GVO), welche unmittelbar und direkt gilt, waren die Mitgliedsstaaten der Europäischen Union verpflichtet, die Regelungen in nationales Recht umzusetzen. Was auch geschah. Doch mit welchen Überlegungen und Herausforderungen haben die Unternehmen seitdem zu tun?
Compliance – neu oder nur alter Wein in neuen Schläuchen?
„Verhalten im Einklang mit geltendem Recht“ – das ist eine der gängigen Beschreibungen von Compliance. Compliance bedeutet allerdings mehr, nämlich den Grad der Einhaltung von Regeln (Regelkonformität). Wer „compliant“ (engl. für übereinstimmend) ist, hält sich nicht nur an Recht, Gesetz und Ordnung, sondern idealerweise auch an die Leitlinien und das Wertesystem der eigenen Organisation.
Der Begriff Compliance ist noch relativ jung in seiner Verwendung für die Rechtstreue von Unternehmen und Betrieben. Eine Selbstverständlichkeit ist es allerdings, dass Unternehmen Gesetze einhalten müssen. Vorstände und Geschäftsführer haben die Sorgfalt eines ordnungsgemäßen Geschäftsleiters anzuwenden (§ 93 Abs. 1 AktG; § 43 Abs. 1 GmbHG). Dies bedeutet nichts anderes, als dass sie dafür Sorge tragen müssen, dass das Unternehmen die geltenden Gesetze befolgt.
Also doch nur alter Wein in neuen Schläuchen? Die erwähnten Paragraphen des Aktiengesetzes (AktG) und des Gesetzes betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) sind schließlich nicht neu. Zumindest nicht ganz neu. Neu ist die Herangehensweise, die Aufgabe „compliant“ zu werden und zu sein. Es bedarf eines „Managementsystems“ – vor allem vor dem Hintergrund der sich ändernden Gesetze, wie beispielsweise im Datenschutzrecht die Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 oder das neue Geschäftsgeheimnisgesetz (GeschGehG) im April 2019. Die rechtlichen Risiken nehmen also zu durch:
- dynamische Änderung des regulatorischen Umfelds auf internationaler und nationaler Ebene;
- extra-territoriale Wirkung ausländischer Normen (z. B. FCPA, UK Bribery Act, Loi Sapin II);
- Ausweitung der Haftung von Unternehmen und Geschäftsleiter durch Gesetzgeber, Gerichte und Behörden.
Waren Buffet sagte „It takes 20 years to build a reputation and five minutes to ruin it. If you think about that, you’ll do things differently.” Ein Auf- und Ausbau eines Compliance-Systems ist für Unternehmen heute unerlässlich – um Risiken zu erkennen, zu minimieren und um vorzubeugen.
Unternehmerisches Handeln ist stets mit Risiko verbunden
Ob neue Produkte erfolgreich am Markt bestehen können, ob sich Investitionsentscheidungen letztlich auszahlen oder wie sich externe Rahmenbedingungen entwickeln: Vieles hängt von einer bewussten Inkaufnahme bestimmter Risiken durch die Unternehmensleitung ab, ohne die erfolgreiches Wirtschaften nicht möglich wäre.
Im Compliance geht es aber um viel mehr als „nur“ um die Einhaltung von Gesetzen, die Minimierung von Risiken und die Vermeidung von Gesetzesverstößen. Sie beinhaltet neben verpflichtenden Regeln auch solche, denen sich eine Unternehmung freiwillig unterwirft, wie z. B. ISO-Standards, Verhaltensregeln oder Verhaltenskodex (Code of Contact).
Das Geschäftsgeheimnis in der Praxis
In § 1 Abs. 1 GeschGehG heißt es: „Dieses Gesetz dient dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung.“ Um die Definition des Geschäftsgeheimnisses zu erfüllen, müssen (alle) vier Voraussetzungen vorliegen. Gemäß § 2 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis
- eine Information, die weder insgesamt noch in genauer Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher
- von wirtschaftlichem Wert ist und
- Gegenstand von – den Umständen nach angemessenen – Geheimhaltungsmaßnahmen durch den rechtmäßigen Inhaber ist und
- Bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Das Geschäftsgeheimnis beinhaltet die Vorgänge innerhalb eines Unternehmens, die nicht der Öffentlichkeit zugänglich gemacht werden sollen. Diese sind nur bestimmten Mitarbeitern innerhalb eines Unternehmens bekannt und unterliegen der absoluten Verschwiegenheitspflicht. Der Inhaber eines Betriebes hat an diesen Sachverhalten den absoluten Willen zur Geheimhaltung und dieser beruht auf einem wirtschaftlichen Interesse, das auch als besonders schutzwürdig deklariert ist.
Laut der geänderten Fassung ist ein Geschäftsgeheimnis nun eine Information, „die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist.“
Im Vergleich zur bisherigen Rechtslage in Deutschland, gelten dabei teilweise strengere Anforderungen an das Vorliegen eines Geschäftsgeheimnisses. So müssen Unternehmen zum Beispiel angemessene Geheimhaltungsmaßnahmen treffen, um von dem Schutz durch das Gesetz profitieren zu können. Die Einordnung als Geschäftsgeheimnis steht der Tätigkeit von Journalisten und Hinweisgebern jedoch nicht entgegen. Denn die Ausnahmeregelungen für Journalisten und Hinweisgeber gelten für sämtliche Geschäftsgeheimnisse. Beispiele sind u. a.:
- Kunden-, Lieferantendaten und Adressverzeichnisse sowie XING-Kontakte;
- Angebote, Preiskalkulationen, Verhandlungstaktiken und Ausschreibungsunterlagen;
- Rezepte, Stoffzusammensetzungen, Materialbeschaffenheit und Beistoffe;
- Buchführungsunterlagen, Abschlüsse, Budget und (unveröffentlichte) Bilanzen;
- Computerprogramme, Software und Tools sowie Erfahrungen mit deren Umgang;
- Geschäftsstrategien, Forecasts, Unternehmensdaten und Planungen
- Lohn- und Gehaltsdaten sowie geplanter Personalabbau und Förderungsprogramme;
- Telefondurchwahlnummern;
- Vorlagen und Vorschriften technischer Art (unmittelbar aus § 23 GeschGehG) sowie Zeichnungen.
Angemessene Maßnahmen: eher präventiv
Der Begriff der Maßnahme in der Gesetzesbegründung ist vielfältig auszulegen und nicht nur auf rechtliche Maßnahmen beschränkt. Neben vertraglichen Geheimhaltungsmaßnahmen, die mehr oder weniger durchsetzbar sind, sind vor allem organisatorische und technische Maßnahmen zum Schutz von Geschäftsgeheimnissen zu ergreifen, also mehr präventiv als Schadensbegrenzung. Diese technischen und organisatorischen Maßnahmen sind aus dem Datenschutzrecht (z. B. Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO) bekannt. Dort geht es aber in erster Linie um den materiellen Datenschutz (Schutz des Rechtes auf informationelle Selbstbestimmung) und der Datensicherheit (z. B. Integrität, Vertraulichkeit, Verfügbarkeit, etc.). Weitere Empfehlungen für die Umsetzung von technischen und organisatorischen Maßnahmen liefert das BSI IT-Grundschutz-Kompendium. Hieraus können auch Maßnahmen zum Informationsschutz angewandt werden. Die technischen und organisatorischen Maßnahmen aus dem Datenschutz-Managementsystem sind auf jeden Fall eine sehr gute Grundlage und ein guter Ansatz für die im Rahmen des GeschGehG zu ergreifenden Maßnahmen:
- Zutrittskontrolle
- Zugriffskontrolle
- Zugangskontrolle
- Weitergabekontrolle
- Verfügbarkeitskontrolle etc.
In Abhängigkeit der Branche und des Geschäftszweckes ist das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO ein guter Ausgangspunkt zur Erhebung der zu schützenden Informationen. Werden personenbezogenen Daten verarbeitet, kann man im Grundsatz von einem Schutzbedarf auch im Rahmen des GeschGehG ausgehen.
Konkrete Vorgehensweise: strukturierter Schutz
Die wichtigste Gesetzesänderung besteht wohl darin, dass Geschäftsgeheimnisse nur noch geschützt sind, wenn angemessene Geheimhaltungsmaßnahmen getroffen sind. In der Vergangenheit war es ausreichend, dass Geschäftsinformationen geheim bleiben sollten. Mit dem GeschGehG müssen Unternehmen ihre angemessenen Schutzmaßnahmen zur Geheimhaltung nachweisen können, damit Informationen auch weiterhin als Geschäftsgeheimnis Schutz genießen. Es sind also auch, aber nicht nur, interne Anweisungen und Richtlinien für Mitarbeiter erforderlich; vergleichbar mit der Nachweis- und Rechenschaftspflicht („Accountability“) aus Art. 5 Abs. 2 DS-GVO). Welche Maßnahmen genau zu treffen sind, um nachweisen zu können, dass es sich um ein Geschäftsgeheimnis handelt, sagt das Gesetz leider nicht. Allgemein gilt aber:
- Unternehmen sollten idealerweise immer und überall Geheimhaltung vereinbaren. Unabhängig davon, ob es sich um eine Geschäftsanbahnung, eine Kooperation, Arbeitsverträge oder um Dienstleistungsverträge handelt.
- Technische Maßnahmen: Hier kann man sich u. a. am Datenschutz-Managementsystem orientieren wie z. B. Maßnahmen zur Zutritts-, Zugriffs- und Zugangskontrolle.
- Organisatorische Maßnahmen: Es sollte sichergestellt sein, dass nur Beschäftigte vertrauliche Informationen kennen und Zugang zu diesen haben, die für ihre Tätigkeit benötigt werden (u. a. Zugriffsmatrix, Berechtigungskonzept).
Die Implementierung des GeschGehG sollte wie die Einführung eines anderen Managementsystems, beispielsweise im Datenschutz oder Qualitätsmanagement, angegangen werden. Auf jeden Fall ist ein strukturiertes Vorgehen erforderlich.
Erhebung – Informationen identifizieren
Kategorie 1: Kritische Informationen (sog. Schlüsselinformationen)
Kategorie 2: Strategisch wichtige Informationen
Kategorie 3: Sonstige Informationen
Abb. 1: Erhebungsbogen (Quelle: Regina Mühlich, 2020)
Planung – Regelkreis des Managementsystems
- Planung (Vorgaben: Gesetze, hier vorrangig das GeschGehG, Kunden, Lieferanten, etc.)
- Durchführung und Umsetzung (Organisation, Prozessbeschreibungen, Anweisungen)
- Überprüfung
- Anpassung
PDCA-Methode – regelmäßiger Verbesserungsprozess
Der PDCA-Zyklus beschreibt den vierstufigen Regelkreis des Kontinuierlichen Verbesserungsprozesses (KVP). Die Phasen sind: Plan, Do, Check, Act. Die Anwendung des Zyklus sorgt für einen kontinuierlichen und fortlaufenden Verbesserungsprozess.
Abb. 2: PDCA-Methode (Quelle: Regina Mühlich, 2020)
Exkurs Whistleblowing
Ausdrücklich hervorgehoben wurde bereits in der Gesetzesbegründung, dass § 5 Nr. 2 GeschGehG dem Schutz der so genannten Whistleblower dienen soll. Zunächst wurde, konsequenterweise gemäß Rechtfertigungslösung, ergänzend ausgeführt, die Regelung stelle klar, dass neben der Erlangung, die Nutzung und die Offenlegung von Informationen über rechtswidrige Handlungen und ein berufliches oder sonstiges Fehlverhalten unter den genannten Voraussetzungen gerechtfertigt sei. Es ist zu klären, ob und wenn ja, unter welchen Voraussetzungen Beschäftigte, die Kenntnis von solchen Informationen über rechtswidrige Handlungen oder sonstige Fehlverhaltensweisen haben, sich unmittelbar an Dritte, beispielsweise Aufsichtsbehörden oder gar die Staatsanwaltschaft, wenden dürfen. Am 23. Oktober 2019 trat die Richtlinie (EU) 2019/1973 des Europäischen Parlaments und des Rates zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, in Kraft.
Durchsetzung von Ansprüchen
Das Geschäftsgeheimnisgesetz enthält spezielle zivilrechtliche Ansprüche für den Fall einer Geschäftsgeheimnisverletzung. Als Anspruchsnehmer kommt der Inhaber des Geschäftsgeheimnisses in Betracht. Anspruchsgegner ist der Rechtsverletzer. Ist dieser ein Beschäftigter eines Unternehmens, so kann der Inhaber dieses Unternehmens als weiterer Anspruchsschuldner hinzutreten. Sofern der Rechtsverletzer aus grober Fahrlässigkeit oder mit Vorsatz, also schuldhaft, gehandelt hat, steht dem Inhaber des Geschäftsgeheimnisses ein Anspruch auf Schadensersatz des aus der Rechtsverletzung (konkret) entstandenen Schadens zu. Bei der Bemessung des Schadens kann z. B. der Gewinn berücksichtigt werden, den der Rechtsverletzer erzielt hat. Grundsätzlich kann auch Schadensersatz für immateriellen Schaden verlangt werden. Verjährungsansprüche ergeben sich u. a. nach § 61 Abs. 2 HGB.
Fazit: Das Ziel eines wirksamen Compliance-Management-Systems (CMS) sollte nicht aus den Augen verloren werden: der Schutz von Mitarbeitern, Führungskräften und Stakeholdern. Für ein erfolgreiches Compliance-System ist die Unternehmensleitung daher sehr wichtig. Maßgeblich dafür ist die Vorbildfunktion von Fach- und Führungskräften sowie der Leitungsorgane. Nicht weniger wichtig ist die Kommunikation von Werten und das kompromisslose Sanktionieren von „Non-Compliance“ durch Konsequenzen. Für den Einzelnen beispielsweise Abmahnung und Entlassung, für die ganze Organisation bedeutet dies u. a. Bußgeld und Reputationsverlust.
Compliance ist eine zentrale Voraussetzung für langfristigen und nachhaltigen unternehmerischen Erfolg. Verlässlichkeit, Kontinuität und Vertrauen können in einem Unternehmen nur bestehen, wenn sich dieses deutlich, auch nach außen, zu Compliance bekennt.
Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Sie ist Expertin für Datenschutz, Sachverständige für EDV und Datenschutz sowie Datenschutz-Auditorin und Compliance Officer. Als Datenschutzbeauftragte und Compliance Officer berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Im Datenschutz ist sie seit über 20 Jahren tätig. Sie ist gefragte Referentin für Seminare und Vorträge sowie Mitglied des Vorstandes des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V.