Neue Ära im Geheimnisschutz: Hohe Anforderungen an Unternehmen
Gertrud Romeis und Florian Keßenich, beide Bird & Bird Hamburg
Unternehmen müssen ihre Konzepte zum Schutz von Geschäftsgeheimnissen überprüfen und sich auf die neuen Anforderungen des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) einstellen. Denn nur so können sie auch in Zukunft sicherstellen, dass ihre Geschäftsgeheimnisse davor geschützt sind, unerlaubt erlangt, genutzt oder offengelegt zu werden. Das neue Gesetz setzt die Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung um. Das GeschGehG ist bereits vom Bundestag und Bundesrat beschlossen und wird in Kürze in Kraft treten.
Was ist ein Geschäftsgeheimnis?
Mit dem GeschGehG wird der Begriff des „Geschäftsgeheimnisses“ erstmals in einem Gesetz definiert. Damit eine Information fortan als geschütztes Geschäftsgeheimnis gilt, müssen folgende Voraussetzungen erfüllt sein:
- erstens darf die Information den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, nicht allgemein bekannt oder ohne weiteres zugänglich sein,
- zweitens muss die Information einen eigenen wirtschaftlichen Wert haben und
- drittens muss das Unternehmen – und hier wird ein Schutzkonzept benötigt – die Information zum Gegenstand „von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ machen.
Was sind angemessene Geheimhaltungsmaßnahmen?
Das Gesetz beantwortet diese Frage nicht. In der Gesetzesbegründung wird auf die Möglichkeit physischer Zugangsbeschränkungen sowie vertraglicher Sicherheitsmechanismen verwiesen. Je nach Einzelfall und insbesondere Art und Wert der Information muss das Unternehmen sowohl organisatorische (z. B. Information wird nur solchen Mitarbeitern und nur in solchen Teilen zugänglich gemacht, wie diese die Information für ihre Arbeit benötigen), als auch technische (z. B. Verschlüsselung beim digitalen Versand von Informationen) und rechtliche Maßnahmen (z. B. Vertraulichkeitsvereinbarung in Arbeitsverträgen oder in Verträgen mit anderen Unternehmen) ergreifen.
Warum ein Schutzkonzept?
Die technischen, organisatorischen und rechtlichen Maßnahmen müssen ineinander greifen und zuverlässig in die Abläufe des Unternehmens integriert sein. Im Streitfall müssen Unternehmen in der Lage sein, anhand eines – am besten schriftlich dokumentierten – Konzepts zu zeigen, welche Geschäftsgeheimnisse mit welchen Maßnahmen geschützt wurden. Die aktuell schon vorhandenen Prozesse und Maßnahmen sollten in enger Zusammenarbeit von Fachabteilungen, IT-Abteilung, Datenschutzbeauftragtem und Rechtsabteilung überprüft und wo notwendig verändert und aufeinander abgestimmt werden. Je größer der Wert der Information ist, desto umfangreichere Maßnahmen sollten ergriffen werden. In rechtlicher Hinsicht ist insbesondere zu betonen, dass sog. „catch all“-Klauseln (Klauseln, die z. B. in Arbeitsverträgen die Verschwiegenheitspflicht auf sämtliche geschäftlichen und betrieblichen Tatsachen ausdehnen, die dem Arbeitnehmer während des Arbeitsverhältnisses bekannt werden) nicht mehr ausreichend sein werden. Vielmehr müssen in Geheimhaltungsvereinbarungen, z. B. mit Mitarbeitern, geheimzuhaltende Tatsachen spezifisch adressiert werden, um diese zum geschützten Geschäftsgeheimnis zu machen.
Fazit
Aus rein rechtlicher Sicht läutet das GeschGehG eine neue Ära ein. Aus praktischer Sicht hat sich weit weniger geändert. Auch aktuell schon müssen Unternehmen ihre Geschäftsgeheimnisse ausreichend durch präventive Maßnahmen zu schützen; zum einen um eine unberechtigte Entwendung zu verhindern und zum anderen um den erheblichen Beweisschwierigkeiten nach einer unberechtigten Entwendung zu begegnen. Mit dem GeschGehG erlegt der Gesetzgeber dem Inhaber eines Geschäftsgeheimnisses auf, im Einzelnen darzulegen, welche Informationen Geschäftsgeheimnisse sind und welche Maßnahmen er zu deren Schutz getroffen hat.
IT-Sicherheitsgesetz 2.0 – die wichtigsten Änderungen
Mehmet Baki Alacayir, Bird & Bird Düsseldorf
Am 27. März 2019 hat das Bundesministerium des Innern, für Bau und Heimat („BMI“) den Referentenentwurf zum IT-Sicherheitsgesetz 2.0 – (IT-SiG 2.0) veröffentlicht („Entwurf“). Dieser Entwurf enthält zahlreiche Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik („BSI-Gesetz“) und anderer Bundesgesetze (u.a. StGB, TKG und TMG), um den gestiegenen Gefahren im Bereich der Cyber- und Informationssicherheit zu begegnen. Insbesondere vor dem Hintergrund des erheblich erweiterten Anwendungsbereichs des neuen BSI-Gesetzes empfiehlt sich für die Praxis eine rechtzeitige Vorbereitung auf die neuen Regelungen. Im Folgenden ein Überblick zu den aus unserer Sicht wichtigsten Änderungen und Neuerungen:
Erweiterter Anwendungsbereich
Im Entwurf zählt die Abfallwirtschaft im BSI-Gesetz nunmehr zu den „kritischen Infrastrukturen“. Neu ist auch die Kategorie der „Infrastrukturen im besonderen öffentlichen Interesse“, die den kritischen Infrastrukturen gleichgestellt werden. Umfasst sind hier u.a. Unternehmen aus der Rüstungsindustrie, Kultur und Medien, börsliche Infrastrukturen sowie Unternehmen von erheblicher volkswirtschaftlicher Bedeutung. Es ist nicht ausgeschlossen, dass weitere Branchen (u.a. Automobil- und Chemiebranche) im finalen Gesetzestext enthalten sein werden. Darüber hinaus kann das Bundesamt für Sicherheit in der Informationstechnik („BSI“) auch sonstigen Unternehmen mit sog. „Cyberkritikalität“ im Einzelfall Pflichten auferlegen.
Erweiterte materielle Pflichten
Hinzugekommen sind zahlreiche neue Pflichten für die Adressaten des BSI-Gesetzes. Unter anderem müssen Betreiber kritischer Infrastrukturen sich beim BSI registrieren, haben eine jederzeit erreichbare Kontaktstelle zu benennen und Systeme zur Angriffserkennung zu nutzen und dem BSI bestimmte Informationen herauszugeben. Hersteller von IT-Produkten und Hersteller von sog. „KRITIS-Kernkomponenten“ sollen bei Relevanz für kritische Infrastrukturen oder Infrastrukturen im besonderen öffentlichen Interesse erhebliche Störungen der Verfügbarkeit und Integrität der Produkte an das BSI melden. Weiterhin sollen Anbieter von TK-Diensten und Telemediendiensten unter anderem auch „Data Breaches“ in eigenen Systemen sowie Fälle, in denen der eigene Dienst zur rechtswidrigen Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten genutzt wird, direkt dem BKA (zusätzlich zur Meldung bei Datenschutzbehörden) melden. Gegenüber TK-Diensteanbietern kann das BSI im Falle von Störungen des Datenverkehrs auch anordnen, den Datenverkehr einzuschränken/umzuleiten oder selbst Softwareupdates auf den betroffenen Geräten durchzuführen.
Erweiterte Kompetenzen des BSI
Das BSI erhält weitgehende Untersuchungsbefugnisse. Nach dem Entwurf darf die Behörde u.a. in allen öffentlich erreichbaren IT-Systemen Sicherheitsrisiken feststellen und auswerten sowie nach Sicherheitslücken in am Markt erhältlichen Produkten suchen. Auch wird ein (freiwilliges) IT-Sicherheitszeichen eingeführt. Damit kann ein Hersteller dokumentieren, dass sein Produkt bestimmte Sicherheitseigenschaften aufweist. In regelmäßigen Abständen sowie anlassbezogen soll das BSI überprüfen, ob die Vorgaben des IT-Sicherheitskennzeichens weiterhin eingehalten werden.
Erweiterung der Sanktionen und der Kompetenzen der Strafverfolgungsbehörden
Schließlich sieht der Entwurf Änderungen des Straf- und Strafverfahrensrechts vor. Unter anderem vorgesehen sind neue Qualifikationstatbestände für Computerstraftaten. Zudem soll der Strafrahmen von Datenstraftaten an die veränderte Gefährdungslage angepasst (d.h. angehoben) werden. Auch wird die Höhe der Bußgelder für Verstöße gegen die Pflichten aus dem BSI-Gesetz auf das DSGVO-Niveau angehoben, sodass Geldbußen von bis zu 10 bzw. 20 Mio. Euro oder von bis zu 2% bzw. 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes möglich sind. Daneben erhalten Strafverfolgungsbehörden erweiterte Handlungsbefugnisse: diese sollen unter bestimmten Voraussetzungen Zugriff auf Nutzerkonten in TK- und Telemediendiensten erhalten, einschließlich der Befugnis, diese Nutzerkonten unter der Identität des Verdächtigen im Kontakt mit Dritten zu nutzen. Schließlich wird unter bestimmten Voraussetzungen eine Herausgabepflicht des Verdächtigen hinsichtlich seiner Zugangsdaten eingeführt.