Im Blickpunkt: Geschäftsgeheimnisschutz im Home-Office

Beitrag als PDF (Download)

Die Covid-19-Pandemie beschleunigt die Digitalisierung und verlagert Arbeitsplätze ins Home-Office. Dies birgt neben Chancen auch Risiken für unternehmenseigenes Know-how und erfordert angemessene Schutzmaßnahmen.
Das im April 2019 in Kraft getretene Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) wird nur ein Jahr später auf eine erste Bewährungsprobe gestellt: Im Zug der Covid-19-Pandemie waren Ende März 2020 bis zu 30% aller Erwerbstätigen in Deutschland ausschließlich im Home-Office tätig (Mannheimer Corona-Studie vom 10.07.2020, S. 11). Dabei fand in kürzester Zeit und für viele Unternehmen unvorhergesehen eine Verlagerung der IT-Infrastruktur und des Know-hows in private Räumlichkeiten statt. Diese Transformation der Arbeitskultur wird sicher als eine der nachhaltigen Folgen der Pandemie auch perspektivisch noch anhalten, was neben vielen Chancen auch Risiken birgt. So sind zu Hause unternehmenseigene Unterlagen, Datenträger und Laptops dem betrieblichen Herrschaftsbereich physisch entzogen, die Kommunikation findet teilweise über private Geräte statt, und der Zugang über das Heim-WLAN ersetzt das sichere Firmennetzwerk. Damit ergeben sich viele denkbare Einfallstore für Phishing-Attacken, Datenlecks und Betriebsspionage. Gleichwohl besteht bei einem etwaigen Verlust von Know-how nur dann rechtlicher Schutz nach dem GeschGehG, wenn vorher hinreichende und angemessene Geheimhaltungsmaßnahmen ergriffen wurden. Diese organisatorischen, technischen und rechtlichen Maßnahmen sollten daher in jedem Unternehmen unbedingt beachtet werden und erfahren in diesem Beitrag eine genauere Betrachtung.

Ausgangspunkt: Identifizierung von Geschäftsgeheimnissen
Zunächst sollten die verantwortlichen Akteure im Unternehmen genau wissen, welche der internen Daten auch die Voraussetzungen eines Geschäftsgeheimnisses im Sinne des GeschGehG erfüllen. Denn nach § 2 Nr. 1 lit. a GeschGehG ist nur eine solche Information speziell geschützt, die „weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist“. Ausweislich der Gesetzesbegründung (vgl. Begr. Reg-E, S. 22, zu a) zählen hierzu etwa Geschäftsstrategien, Unternehmensdaten, Marktanalysen, Kunden- und Lieferantenlisten sowie technische Informationen wie Prototypen, Formeln, Quellcodes, Algorithmen oder Rezepte. Außerdem muss der Geschäftsgeheimnisinhaber nach § 2 Nr. 1 lit. c GeschGehG „ein berechtigtes ­Interesse an der Geheimhaltung“ dieser Information haben, was nur in Einzelfällen problematisch sein dürfte. Die genaue Identifizierung und Bewertung der relevanten Geschäftsgeheimnisse ist schon deshalb unabdingbar, da die Informationen nur so vollständig Gegenstand von internen Klassifizierungs- und Sicherheitskonzepten werden können. In einem zweiten Schritt nach der Identifizierung sollte es ein integraler Bestandteil eines jeden unternehmensinternen Know-how-Managements sein, dass die Geschäftsgeheimnisse klassifiziert werden. Dabei empfiehlt sich eine Einteilung in drei Klassen: Schlüsselinformationen als Herzstück des Unternehmens (­sogenannte ­Kronjuwelen), strategisches Know-how sowie sonstige sensible Informationen von wirtschaftlichem Wert.

Angemessene Schutzmaßnahmen als Tatbestandsvoraussetzung
Darüber hinaus muss die identifizierte und klassifizierte Information nach § 2 Nr. 1 lit. b GeschGehG „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ sein. Das heißt, die bloße Einstufung als „geheim“ reicht nicht mehr aus (der subjektive Geheimhaltungswille war noch hinreichende Voraussetzung der alten Rechtslage). Vielmehr müssen tatsächliche und dokumentierbare Sicherheitsvorkehrungen proaktiv getroffen werden, die sich in organisatorische, technische und rechtliche Maßnahmen unterteilen lassen. Wie umfangreich diese im Einzelfall ausgestaltet sind, hängt zum einem von dem Geschäftsgeheimnis selbst ab und zum anderen von der Größe des Unternehmens. Jedenfalls muss besondere Vorsicht an den Tag gelegt werden, wenn sicherheitsrelevante Unterlagen – digital oder analog – mit ins Home-Office genommen werden.

Organisatorische Maßnahmen: „Need to know“-Prinzip und Home-Office-Richtlinie
Der vielfach empfohlene Klassiker unter den Maßnahmen im Bereich der internen Arbeitsorganisation ist das „Need to know“-Prinzip. Hierbei erhält auf jedes Geschäftsgeheimnis nur derjenige Personenkreis Zugriff, der diesen auch unbedingt für seine konkrete Tätigkeit im Unternehmen benötigt. Es empfiehlt sich, dafür ein Berechtigungskonzept zu entwickeln, das eine klare Zuordnung trifft und bei der Nachverfolgung von Informationsflüssen hilft. Im Zuge dessen sollte ebenfalls festgelegt werden, welche Geschäftsgeheimnisse aus welcher Klassifizierungsstufe mit ins Home-Office genommen werden dürfen oder auf welche Daten auch vom Firmenlaptop aus remote zugegriffen werden kann („Need to take home“).
Außerdem sollte eine unternehmensinterne Home-Office-Richtlinie mit Handlungsanweisungen und Sicherheitsvorkehrungen („Data-Loss-Prevention“) erstellt werden. Dadurch werden Mitarbeiter dafür sensibilisiert, welche Informationen schützenswert sind und welche Maßnahmen im Home-Office beachtet werden müssen. So sollten zu Hause zum Beispiel keine Telefonkonferenzen, in denen etwa technische Details zum neuesten Prototyp besprochen werden, auf dem Balkon oder im Garten abgehalten werden, weil ansonsten der sensible Gesprächsinhalt gegenüber Nachbarn exponiert wird. Darüber hinaus müssen sich in der Richtlinie auch Regelungen zur Nutzung privater Geräte, zu Verschlüsselung, Aktenvernichtung, Installierung fremder Software sowie zur Mitnahme von Unterlagen und Datenträgern ins Home-Office finden.

Zusätzlich zu der Richtlinie empfiehlt es sich, in regelmäßigen Abständen interne Schulungen durchzuführen, sowohl durch Cybersecurity-Experten als auch durch entsprechend qualifizierte Juristen. Denn so banal manche Empfehlungen auch klingen mögen, ein wirksamer Geheimnisschutz scheitert häufig an der Sorglosigkeit der Angestellten, die gerade in ihrer häuslichen Sphäre weniger Aufmerksamkeit bei verdächtigen IT-Aktivitäten an den Tag legen. Oder der abwanderungswillige Arbeitnehmer ist sich schlichtweg keiner Schuld und keiner Konsequenzen bewusst, während er die Gunst der Stunde im Home-Office nutzt und die Geschäftsgeheimnisse seines Arbeitgebers mitnimmt. Solchen Vorgängen gilt es mit der beschriebenen Informationspolitik im Unternehmen gezielt entgegenzutreten.
Einen weiteren wichtigen Zweck erfüllen solche Schulungen und Home-Office-Guidelines bei der gerichtlichen Durchsetzung von Ansprüchen aus dem GeschGehG. Sie dienen als vorzeigbarer Nachweis, dass mit angemessenen Schutzmaßnahmen auf die besondere Situation im Home-Office reagiert worden ist. Der Inhaber der Geschäftsgeheimnisse kann hiermit ohne großen Aufwand darlegen, dass er seiner tatbestandlichen Verpflichtung zum Schutz seines Know-hows nachgekommen ist.

Technische Maßnahmen
Selbstverständlich bedarf es zudem der Implementierung technischer Maßnahmen zum Schutz der Geschäftsgeheimnisse im Home-Office. Das beginnt bei der Einrichtung eines sicheren VPN-Clients und führt über die Verschlüsselung von E-Mails und unternehmenseigener Hardware bis hin zu einer Multifaktorauthentifizierung beim Zugriff auf besonders wichtige Schlüsselinformationen. Sowohl Videokonferenzen als auch Cloudschnittstellen mit Dritten/Kunden sollten ausschließlich über geprüfte und verschlüsselte Software eingerichtet werden. Diese Maßnahmen sollten flankiert werden von einem jederzeit erreichbaren IT-Support (je nach Größe des Unternehmens: intern oder extern), der bei Zweifelsfragen oder Phishing-Attacken eingreifen kann.

Rechtliche Maßnahmen
Schließlich sind auch rechtliche Instrumentarien von entscheidender Relevanz für einen wirksamen Geschäftsgeheimnisschutz. So verweist schon die Gesetzesbegründung zum GeschGehG explizit auf vertragliche Sicherungsmechanismen (Begr. Reg-E, S. 22, zu b). Dabei ist zunächst an eine Geheimhaltungsvereinbarung zu denken („Non-Disclosure Agreement“ – NDA). Diese kann auch zusätzlich zu einer im Arbeitsvertrag bereits bestehenden Verschwiegenheitsklausel vereinbart werden, was insbesondere bei wichtigen Know-how-Trägern im Unternehmen zu empfehlen ist. Denn oftmals sind in Arbeitsverträgen enthaltene Verschwiegenheitsklauseln zu weit gefasst („catch all“) und daher unwirksam.
Für ein gesondertes NDA spricht, dass der Arbeitnehmer hierdurch nochmals für die Schutzbedürftigkeit der betroffenen Daten insbesondere im Home-Office-Kontext sensibilisiert wird. Außerdem hat die gesonderte Vereinbarung eines NDAs den Vorteil, dass hierüber eine besondere Reichweite der Geheimhaltung geschaffen werden kann, die es vorher im Arbeitsvertrag nicht (oder nicht wirksam) gab: sachlich bezüglich konkret benannter und bezeichneter Daten, örtlich bezüglich des Home-Office und zeitlich bezüglich der Nutzungsdauer konkret bezeichneter Geschäftsgeheimnisse. Allerdings ist bei zeitlichen Nutzungsbeschränkungen von Geschäftsgeheimnissen nach dem Ausscheiden aus dem Arbeitsverhältnis höchste Vorsicht geboten. Sehr schnell wird die Schwelle zu einem nachvertraglichen Wettbewerbsverbot erreicht, das, um wirksam zu sein, die Voraussetzungen aus ­§§ 74 ff. HGB einhalten und monetär entlohnt werden muss.

Fazit und Ausblick
Prima facie mag die Arbeit im Home-Office nur positive Synergieeffekte mit sich bringen, doch bedarf es für den Geschäftsgeheimnisinhaber, wie gesehen, einer Reihe umfangreicher Maßnahmen zum Schutz seiner Geschäftsgeheimnisse. Anderenfalls droht ein unkontrollierter Abfluss von Know-how, der dem wettbewerblichen und wirtschaftlichen Erfolg des Unternehmens empfindlich schaden kann. Außerdem hängt die Möglichkeit der effektiven gerichtlichen Durchsetzung der Ansprüche aufgrund des neuen Tatbestandsmerkmals in § 2 Nr. 1 lit. b GeschGehG maßgeblich von den getroffenen Schutzmaßnahmen ab. Diese sollten daher im Rahmen eines Compliance- und Know-how-Management-Systems klar strukturiert und dokumentiert werden. Die genauen Konturen der Angemessenheit der Maßnahmen wird künftig zwar erst die Rechtsprechung zeichnen können, doch sollten Unternehmen schon jetzt präventiv tätig werden.

toenshoff@ampersand.de

Aktuelle Beiträge