Am 18. April 2019 ist – was von der Praxis teilweise nicht wahrgenommen wurde – das Geschäftsgeheimnisgesetz (GeschGehG) in Kraft getreten. Es löst die vorhandenen Regelungen zum Umgang mit geheimhaltungswürdigen Informationen aus dem Gesetz gegen den Unlauteren Wettbewerb (UWG) ab und setzt dabei die EU Richtlinie 2016/943 in deutsches Recht um. Mit diesem Gesetz sollen Geschäftsgeheimnisse besser vor unerlaubter Erlangung, Nutzung und Offenlegung geschützt werden. In der Gesetzesbegründung wird davon ausgegangen, dass die Umsetzung des GeschGehG besonders für klein- und mittelständische Unternehmen mit Aufwand verbunden ist. Dabei gibt es Parallelen zwischen den Anforderungen des Geheimnisschutzes und dem personenbezogenen Datenschutz. Wie können der personenbezogene Datenschutz und die DS-GVO bei der Umsetzung des GeschGehG helfen? Antworten hierauf gibt Florian Wuttke, Datenschutzbeauftragter (GDDcert EU) und Geschäftsführer der OBSECOM GmbH in Stuttgart.
DAS ZUSAMMENSPIEL VON GESCHÄFTSGEHEIMNISGESETZ UND DATENSCHUTZ: DR. RALF KITTELBERGER IM GESPRÄCH MIT DATENSCHUTZEXPERTE FLORIAN WUTTKE
WIE DEFINIERT DAS GESCHÄFTSGEHEIMNISGESETZ GEHEIMHALTUNGSWÜRDIGE INFORMATIONEN?
Dr. Ralf Kittelberger: Das GeschGehG formuliert Handlungsverbote bezüglich der Erlangung, Nutzung und Offenlegung von Geheimnissen und legt andererseits auch fest, unter welchen Bedingungen ein Geschäftsgeheimnis rechtmäßig erlangt werden darf. Bisher war die Verletzung von Geschäftsgeheimnissen nach §§ 17 bis 19 UWG von einer besonderen Absicht oder Beziehung abhängig. Wie definiert das GeschGehG geheimhaltungswürdige Informationen und wovon wird der Schutz von Geheimnissen künftig abhängig gemacht?
Florian Wuttke: Ein Geschäftsgeheimnis ist nach § 2 Nr. 1 GeschGehG jede Information, bei der ein berechtigtes Interesse an der Geheimhaltung besteht, die den relevanten Personenkreisen nicht allgemein bekannt und nicht ohne Weiteres zugänglich ist, die einen wirtschaftlichen Wert besitzt und die durch angemessene Geheimhaltungsmaßnahmen durch den Geheimnisinhaber geschützt ist.
Das Gesetz schafft mit dieser Definition einen weiteren Schutzbereich. Laut Gesetzesbegründung ist keine besondere Qualität der Information für den rechtlichen Schutz des Geheimnisses erforderlich. Der Schutz beschränkt sich nicht wie bisher auf die unerlaubte Reproduktion von geistigem Eigentum oder die unbefugte kommerzielle Verwertung einer durch Patent- und Markenrecht geschützten Information. Ebenso muss keine Vertrags- oder Wettbewerbsbeziehung zwischen dem Geheimnisinhaber und dem Rechtsverletzer bestehen. Im Gegensatz zum bisherigen Ansatz ist der Geheimnisschutz des GeschGehG also künftig an das legitime Interesse einer Geheimhaltung geknüpft und verbindet damit die Erwartung, dass diese Vertraulichkeit auch gewahrt wird (so ErwG 14 der Richtlinie 2016/943). Die Wirkung des Gesetzes hängt somit wesentlich von der tatsächlichen Geheimhaltung einer wirtschaftlich wertvollen Information ab (Dt. Bundestag, DR 19/4724, S. 20). Sind Informationen nicht angemessen geschützt, so erfahren sie auch keinen Schutz durch das GeschGehG.
VERBINDUNG ZWISCHEN GESCHÄFTSGEHEIMNISGESETZ UND DS-GVO
Dr. Ralf Kittelberger: In manchen Fällen mag der Bestand an personenbezogenen Daten ein Geheimnis darstellen, dennoch ist der Zusammenhang zwischen Geschäftsgeheimnis und dem Schutz personenbezogener Daten nicht ohne Weiteres offensichtlich. Worin besteht für Unternehmen die Verbindung zwischen GeschGehG und der DS-GVO?
Florian Wuttke: In der Tat können personenbezogene Daten wertvolle Geheimnisse sein. Nach ErwG 2 der Richtlinie 2016/943 sollen zu den Geschäftsgeheimnissen daher auch Informationen über Kunden und Lieferanten oder Erkenntnisse aus der Marktforschung gehören, die regelmäßig personenbezogene Daten einbeziehen. Obendrein können Geschäftsgeheimnisse eine rechtliche Wirkung gegenüber Personen entfalten. Automatisierte Einzelentscheidungen, Profiling oder Scoring können die Rechte und Freiheiten von Betroffenen beeinträchtigen. Hier kann das Geheimhaltungsinteresse des Geheimnisinhabers in Konflikt zu den datenschutzrechtlichen Informations- und Auskunftsansprüchen nach Art. 13 ff. DS-GVO der Betroffenen stehen.
Gemeinsamkeiten zwischen personenbezogenem Datenschutz und dem Geheimnisschutz des GeschGehG bestehen außerdem in den jeweiligen Schutzaufträgen paralleler oder sich überschneidender Datenbestände des Unternehmens. Das GeschGehG fordert in § 2 Nr. 1 lit. c) ein Geheimnis mit den Umständen nach angemessenen Geheimhaltungsmaßnahmen zu schützen. Dies korrespondiert mit Art. 5 Abs. (1) lit. f) i.V.m. Art. 25 und Art. 32 DS-GVO, wonach das Unternehmen zur Ergreifung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten verpflichtet ist. Beide Normen formulieren einen gebundenen Schutzauftrag, der entweder „von der Art des Geschäftsgeheimnisses im Einzelnen und den konkreten Umständen der Nutzung“ (Dt. Bundestag, DR 19/4724, S. 24) oder nach Art. 25 Abs. (1) DS-GVO von der Art, Umfang, den Umständen und Zwecken der Verarbeitung personenbezogener Daten sowie der Eintrittswahrscheinlichkeit und Schwere von Risiken für die Rechte und Freiheiten Betroffener abhängt. Auch müssen beide Anforderungen objektiv dem Schutzbedürfnis angemessen sein.
Weitere Gemeinsamkeiten bestehen in der Nachweispflicht für ergriffene Schutzmaßnahmen. Nach Art. 5 Abs. (2) DS-GVO muss das Unternehmen die Einhaltung von Schutzmaßnahmen für personenbezogene Daten nachweisen können. Genauso trägt der Geheimnisinhaber nach dem GeschGehG die Beweislast, dass er angemessene Geheimhaltungsmaßnahmen getroffen hat.
Es gibt jedoch auch Unterschiede in der Verbindlichkeit beider Schutzaufträge: Wo das GeschGehG nur einen frei gestaltbaren Auftrag an das Unternehmen beschreibt, formuliert die DS-GVO an den gleichen Adressaten eine rechtliche Pflicht, deren Nichteinhaltung mit Bußgeldern bedroht ist. Das Datenschutzrecht ist hier also verbindlicher als der allgemeine Geheimnisschutz.
WELCHE ROLLE SPIELT DER BETRIEBLICHE DATENSCHUTZBEAUFTRAGTE BEI DEM GESCHÄFTSGEHEIMNISGESETZ?
Dr. Ralf Kittelberger: Große Unternehmen nehmen den Geheimnisschutz bereits sehr ernst. Den kleinen und mittelständischen Unternehmen gibt das GeschGehG jedoch neue Aufgaben zum Schutz ihrer Informationen mit auf den Weg. Erfahrungsgemäß fällt es diesen Unternehmen schwer, einen Zugang zum Gesetz und der Umsetzung zu finden. Welche Rolle kann hier der betriebliche Datenschutzbeauftragte des Unternehmens spielen?
Florian Wuttke: Obwohl dem Datenschutzbeauftragten keine Aufgaben nach dem GeschGehG zugewiesen sind, kann er an dessen Umsetzung im Unternehmen mitwirken. Besonders in klein- und mittelständischen Betrieben wird dem Datenschutzbeauftragten die Erstellung und Pflege des Verarbeitungsverzeichnisses und anderer Datenschutz-Dokumentationen übertragen. Er hat somit einen fachübergreifenden Einblick und Kenntnis zu den einzelnen Datenverarbeitungen, Datenkategorien sowie Kritikalität von Unternehmensdaten. Zudem kennt er die Anforderungen der DS-GVO zur Nachweisführung von Sicherheitsmaßnahmen. Zu den Aufgaben des Datenschutzbeauftragten gehört nach Art. 39 DS-GVO die Überwachung der Einhaltung von Strategien des Verantwortlichen zum Schutz personenbezogener Daten. Mit seinen Kenntnissen zur technischen und organisatorischen Sicherheit kann er somit das Unternehmen beim Schutz von Geschäftsgeheimnissen beraten und Unterstützung bei der Dokumentation anbieten.
Im Gegenzug steht auch das GeschGehG dem Datenschutzbeauftragten unterstützend zur Seite. Bei der Rechtfertigung von Maßnahmen zum personenbezogenen Datenschutz ist dem Datenschutzbeauftragten künftig der Hinweis erlaubt, dass empfohlene Maßnahmen nicht nur dem personenbezogenen Datenschutz, sondern auch dem Geheimnisschutz zugutekommen.
WIE KANN DIE DS-GVO BEI DER AUSWAHL VON SCHUTZMASSNAHMEN FÜR DIE UMSETZUNG DES GESCHÄFTSGEHEIMNISGESETZ HELFEN
Dr. Ralf Kittelberger: Sie haben die parallelen Schutzaufträge des GeschGehG und der DS-GVO angesprochen. Das GeschGehG formuliert jedoch keine konkret umzusetzenden Maßnahmen zum Geheimnisschutz. Wie kann die DS-GVO bei der Auswahl von Schutzmaßnahmen für die Umsetzung des GeschGehG helfen und können sich Unternehmen dabei der im Zusammenhang mit der Einführung der DS-GVO erstellten Dokumentationen bedienen?
Florian Wuttke: Laut Gesetzesbegründung des GeschGehG sollen Schutzmaßnahmen der Art des Geschäftsgeheimnisses und den konkreten Umständen der Nutzung angemessen sein. Dabei kommen sowohl „physische Zugangsbeschränkungen und Vorkehrungen wie auch vertragliche Sicherungsmechanismen“ in Betracht (Dt. Bundestag, DR 19/4724, S. 24). Mangels Auslegung dieser Vorgaben durch Gerichte können für die Konkretisierung von Geheimhaltungsmaßnahmen die praktischen Erfahrungen der DS-GVO genutzt werden. Vergleichbar werden dort in Art. 32 Abs. (1) DS-GVO geeignete technische und organisatorische Maßnahmen gefordert, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Angemessen ist dabei üblicherweise weder das „teure Ergebnis neuster Forschung“ noch das „kostengünstigste Verbraucherprodukt“. Vielmehr werden darunter nach dem Stand der Technik akzeptierte Industrie-Standards angenommen, bei deren Implementierung auch die Risiken und Kosten zu berücksichtigen sind.
Im Rahmen der Umsetzung der DS-GVO sollte jedes Unternehmen die eigenen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten bereits erfasst und bewertet haben. Nach Art. 30 Abs. (1) lit. g) DS-GVO sollen Unternehmen in ihrem Verzeichnis der Verarbeitungstätigkeiten eine allgemeine Beschreibung dieser technischen und organisatorischen Maßnahmen vorhalten. Manche Unternehmen haben auch ein Schutzstufenkonzept erstellt, in dem Kategorien personenbezogener Daten in Hinblick auf Sensibilität bewertet und Schutzbedarfen zugewiesen sind. Solche Dokumente bieten eine Struktur für die weitere Analyse und können mit Datenkategorien ergänzt werden: Geheimnisse werden so erfasst, eingestuft und eine Risikoanalyse hilft, das Gefahrenpotential bei Geheimnisverrat zu bewerten. Auf dieser Grundlage ist die Umsetzung weiterer Geheimhaltungsmaßnahmen im Rahmen des GeschGehG zu planen. Schließlich sind umgesetzte Maßnahmen für die Nachweisführung zu dokumentieren.
WELCHE SCHUTZMASSNAHMEN SIND NACH DEM GESCHÄFTSGEHEIMNISGESETZ UND DER DS-GVO DENKBAR
Dr. Ralf Kittelberger: Gibt es bereits Urteile, die den Rahmen von Geheimhaltungsmaßnahmen konkretisieren? Welche einzelnen Schutzmaßnahmen wären sowohl nach dem GeschGehG und der DS-GVO denkbar?
Florian Wuttke: Gemeinsame Schutzmaßnahme kann sein, was Vertraulichkeit und Integrität von Daten zusichert. Technisch ist dies umsetzbar durch Zutritts-, Zugangs- und Zugriffskontrollen oder auch Sicherheit bei der Datenübertragung, wie z.B. Verschlüsselung. Einzelmaßnahmen zur Sicherheit und Verfügbarkeit sollen die Daten gegen Hackerangriffe im Netzwerk und unbefugte Zugriffe schützen. Dazu gehören der Einsatz einer Firewall, Einbruchserkennung und Härtung kritischer Systeme, komplexe Passwörter, dokumentierte Berechtigungskonzepte mit rollenbasierten Zugriffsrechten, restriktive Erteilung von Zugriffsrechten nur mit Freigabe des Vorgesetzten. Das BVerwG stellte mit Beschluss vom 05.03.2020 – 20 F 3.19 fest, dass der Schutz eines Geschäftsgeheimnisses auch „die Verhinderung des Zugangs zu Dateien [umfasst], aus denen sich das Geschäftsgeheimnis ableiten lässt. Dementsprechend sind auch die äußeren Merkmale von Dateien (wie Dateiname, Dateiendung, Dateityp und Dateigröße oder ähnliche Metadaten) geheimzuhalten, die Rückschlüsse auf das Geschäftsgeheimnis zulassen.“
Verschlüsselte Datenverbindungen können das Ausspähen von Daten auf dem Übertragungsweg verhindern. Dazu gehören der verschlüsselte Versand von E-Mails, Data-at-Rest-Verschlüsslung und HYOK bei verschlüsselter Datenablage in Cloud-Systemen. Zugriffsprotokolle und Audit-Trails oder Workflows mit Freigabesystemen erleichtern die Nachvollziehbarkeit von Datenänderungen und Erkennung unautorisierter Zugriffe.
Darüber hinaus sind eine Reihe vertraglicher und organisatorischer Maßnahmen denkbar: Zum Beispiel Geheimhaltungsvereinbarungen mit Beschäftigten, Kunden und Geschäftspartnern, Sensibilisierung der Beschäftigten zum Geheimnisschutz oder die Kennzeichnung von Daten als Geschäftsgeheimnis.
Eine hilfreiche Übersicht mit Definition der einzelnen Schutzebenen bietet die Anlage zu § 9 BDSG a.F., die auch heute noch von Datenschutzbeauftragten zur Einordnung von Einzelmaßnahmen verwendet wird.
