Angemessene Maßnahmen zur Geheimhaltung nach dem GeschGehG
Das Gesetz zum Schutz von Geschäftsgeheimnissen (abgekürzt GeschGehG) soll den Schutz von Know-how in Unternehmen verbessern. Die Schutzlücke ist bei IT- Unternehmen im Bereich der Softwarebranche evident. Aktuell geschützt ist eigentlich nur die konkrete Form im Code, nicht aber das Know-how, das zu seiner Erstellung geführt hat. Das GeschGehG besagt nun: Wenn angemessene Schutzmaßnahmen getroffen werden, dann ist der Rechteinhaber gut geschützt. Unterbleiben solche Maßnahmen, gibt es praktisch keinen Schutz.
Bevor sich jetzt gleich Widerstand gegen das Thema bildet, weil es schon wieder administrativen Aufwand erzeugt und auch gegenüber den Angestellten nicht gut „zu verkaufen“ ist: Auf die Dauer wird kein Unternehmen an dem Thema vorbeikommen. Wer schon einmal einen NDA abgeschlossen hat, wird bemerkt haben, daß nach dem Inhalt der meisten NDA´s die Umsetzung angemessener Maßnahmen zum Schutz von Geschäftsgeheimnissen gefordert wird. Es sei gleich zu Beginn gesagt: Wer die DSGVO meistert, meistert auch die Anforderungen des GeschGehG.
Bei der Beantwortung, was denn angemessene Maßnahmen zur Wahrung von Geschäftsgeheimnissen sind, kann man sich an dem Sicherheitsüberprüfungsgesetz (SÜG) und der Verschlusssachenanweisung (VSA) für den öffentlich-rechtlichen Sektor orientieren.
Der Prozess folgt einem aus der DSGVO und dem ITS bekannten Dreisatz: Feststellung des Ist-Zustands, Feststellung der Risiken und schließlich das Ergreifen angemessener Technischer und Organisatorischer Maßnahmen.
I Klassifikation des Schutzbedarfs
Die Informationen, die zu schützen sind, sind formal zu klassifizieren. Die Faktoren hierbei sind die Möglichkeit, welche Einsparungen oder welchen Ertrag das Geheimnis hat (oder umgekehrt: Was geschieht, wenn die Konkurrenz dieses Geheimnis kennt) oder welcher Aufwand und welche Zeit ein Dritter bräuchte, um das Know-how zu erlangen oder gewerblich zu verwerten. Es reichen eigentlich zwei Kategorien, aber vier sind besser:
Klasse 1: Wenn diese Informationen der Konkurrenz / der Öffentlichkeit zur Verfügung stehen, hat das eine existenzbedrohende Dimension.
Klasse 2: Wenn diese Informationen der Konkurrenz / der Öffentlichkeit zur Verfügung stehen, bedeutet dies einen dauerhaften wirtschaftlichen Schaden.
Klasse 3: Wenn diese Informationen der Konkurrenz / der Öffentlichkeit zur Verfügung stehen, bedeutet dies einen kurzfristigen Schaden.
Klasse 4: Wenn diese Informationen der Konkurrenz / der Öffentlichkeit zur Verfügung stehen, ist das nicht so schlimm.
Die vierte Dimension kann man sich eigentlich sparen. Aber nur eigentlich, denn wenn man der Versuchung unterliegt, schlicht alle Informationen eines Unternehmens als geheim zu qualifizieren, setzt man sich dem Verdacht aus, daß man sich bei der Etablierung von Maßnahmen keine ausreichende Mühe gegeben hat. Außerdem nehmen die eigenen Mitarbeiter einen Geheimnisschutz nicht ernst, der sich auf „alles“ bezieht. Genau aus diesem Grund übrigens dürften die NDA´s alter Herkunft, nach deren Inhalt „alle“ Informationen streng zu schützen waren und eben nicht zwischen wichtigen oder unwichtigen Informationen unterschieden wird, …..
Teil IIb
Risiken und Maßnahmen
