Synergien im Datenschutz und beim Schutz von Geschäftsgeheimnissen

Fachbeitrag

In diesem Beitrag werden die Überschneidungen und Synergien zwischen dem Schutz der Geschäftsgeheimnisse durch das Geschäftsgeheimnisgesetz und dem Datenschutz in der DSGVO beschrieben.

Worin liegen die Überschneidungen zwischen Datenschutz und dem Schutz von Geschäftsgeheimnissen?

Grundsätzlich schützt die DSGVO personenbezogene Daten nach Art. 4 Nr. 1 DSGVO Dritter, wohingegen das GeschGehG den Schutz von unternehmenseigenen Geschäftsgeheimnissen im Blick hat.

Überschneidungen zwischen Datenschutz und dem Schutz von Geschäftsgeheimnissen gibt es unter anderem immer dann,

  • wenn personenbezogene Daten Teil des Geschäftsgeheimnisses sind, wie bei einer Kunden- und Lieferantenliste,
  • wenn es um die angemessenen Geheimhaltungsmaßnahmen geht.

Was sind Geschäftsgeheimnisse?

Bei Geschäftsgeheimnissen handelt es sich um Informationen, deren nachfolgende Merkmale kumulativ vorliegen müssen:

  • wirtschaftlicher Wert, der sich aus der Geheimheit gem. § 2 Nr. 1 lit. a GeschGehG ergibt
  • die geheim oder nicht offenkundig sind, d.h. nicht allgemein bekannt oder zugänglich gem. § 2 Nr. 1 lit. a GeschGehG
  • berechtigtes Geheimhaltungsinteresse des Geheimnisinhaber, d.h. derjenige, der die rechtmäßig die Kontrolle über das Geheimnis ausübt
  • Schutz mit angemessenen Geheimhaltungsmaßnahmen gem. § 2 Nr. 1 lit. b GeschGehG.

Typische Geschäftsgeheimnisse sind, z.B. Formeln, Rezepte, Herstellungsverfahren, Geschäftsstrategien, Marktanalysen, Kosteninformation und Geschäftsstrategien.

Der Schutz von Geschäftsgeheimnissen der Unternehmen ist Ausfluss der Eigentumsgarantie nach Art. 14 Abs.1 GG bzw. der Berufsfreiheit nach Art. 12 Abs. 1 GG aber auch der gesetzlichen Verpflichtung der Geschäftsleitung, z.B. nach § 42 Abs. 2 GmbHG im Rahmen der Risikovorsorge für einen unternehmensinternen Geheimnisschutz zu sorgen. Dieser Schutz der Geschäftsgeheimnisse steht bei Personenbezug, z.B. bei einer Kunden- oder Lieferantenliste, im Spannungsfeld mit dem Recht auf informationelle Selbstbestimmung des Betroffenen.

Das unternehmensinterne Geheimnisschutzkonzept

Seit dem GeschGehG reicht ein erkennbarer subjektiver Geheimhaltungswille allein, der sich nach außen z.B. in Form einer Kennzeichnung mit „Vertraulich“ zeigt, nicht mehr aus. Vielmehr müssen von der Person, die rechtmäßig die Kontrolle über das Geheimnis ausübt, angemessene Geheimhaltungsmaßnahmen § 2 Nr. 1 lit. b GeschGehG getroffen werden. Hierzu gehört ein unternehmensinternes Geheimnisschutzkonzept, welches zum einen

  1. eine für den Geheimnisschutz im Unternehmen verantwortliche Person,
  2. den Schutzbedarf der Informationen und die Klassifizierung der Informationen (Geheimhaltungsstufen),
  3. geeignete
    • vertragliche Maßnahmen: Vertraulichkeitsvereinbarungen mit unterschiedlicher Reichweite
    • organisatorische Maßnahmen: Berechtigungskonzept für Zugriff (Need-to-Know-Prinzip)
    • angemessene technische und organisatorische Geheimhaltungsmaßnahmen § 2 Nr. 1 lit. b GeschGehG

festlegt.

Wichtig ist, dass die angemessene technische und organisatorische Maßnahme nicht nur allgemein im Unternehmen besteht, sondern die schützenswerte Information genau dieser Schutzmaßnahme im Schutzkonzept unterworfen ist.

Angemessene technische und organisatorische Geheimhaltungsmaßnahmen

In Bezug auf diese angemessenen Geheimhaltungsmaßnahmen nach § 2 Nr. 1 lit. b GeschGehG, die immer auch der Datensicherheit und im Fall von Personenbezug der geheimen Information auch dem Datenschutz dienen, ist zu klären, ob diese angemessenen Geheimhaltungsmaßnahmen den Vorgaben nach Art. 32, 24 DSGVO entsprechen, d.h. in Ihrer Schutzwirkung identisch sind.

Geeignete technische-organisatorische Maßnahmen

Art. 24 Abs. 1 S. 1 DSGVO legt dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) die Pflicht auf, geeignete technisch-organisatorische Maßnahmen (TOM) nach Art. 32 Abs. 1 DSGVO zum Schutz personenbezogener Daten zu treffen, damit die Datenverarbeitung datenschutzkonform erfolgt. Diese datenschutzrechtlich erforderlichen TOMs stellen immer auch eine Geheimhaltungsmaßnahme nach § 2 Nr. 1 lit. b GeschGehG dar. Nach Art. 32 Abs. 2 DSGVO, der Beurteilungskriterien für Art. 32 Abs. 1 Hs.1 aufstellt, muss ein angemessenes Schutzniveau erreicht werden. Hierbei ist einzelfallbezogen auf die Risiken der Datenverarbeitung abzustellen. Bei betroffenen natürlichen Personen ist zu klären, inwieweit sich ein Schadensrisiko (physisch, materiell, immateriell) für diese Person aus der Verarbeitung ergibt.

Angemessene Geheimhaltungsmaßnahmen

Bleibt zu klären was eine angemessene Geheimhaltungsmaßnahme im Sinne des GeschGehG ist. Ein 100%iges Schutzniveau für die Daten muss weder im Sinne der DSGVO noch im Sinne des GeschGehG erreicht werden. Das Schutzniveau der Informationen richtet sich nach dem konkreten Risiko für das Unternehmen, z.B. bei essentiellen Geschäftsgeheimnissen ist das Risiko größer und daher auch die zu treffenden Geheimhaltungsmaßnahmen höher. Sowohl nach der DSGVO als auch nach dem GeschGehG wird somit der Einzelfall in Bezug auf angemessene Maßnahmen betrachtet.

Unterschiedliche Schutzziele und -niveau

Das angemessene Schutzniveau in Art. 32 Abs. 2 DSGVO ist in der Ergänzung des Art. 32 Abs. 1 Hs. 1 DSGVO jedoch nicht identisch mit den angemessenen Schutzmaßnahmen nach dem GeschGehG. In Art. 32 Abs. 2 DSGVO sind als mögliche Risiken der Datenverarbeitung, die unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust oder Veränderung oder die unbefugte Offenlegung bzw. der unbefugte Zugang benannt.

Eine unbeabsichtigte oder unrechtmäßige Beeinträchtigung durch Verlust, Vernichtung oder Veränderung des Betroffenen liegt bereits dann vor, wenn die Beeinträchtigung aus Versehen erfolgt und hierbei gegen risikomindernde gesetzliche Vorschriften verstoßen wird. Im Falle des Schutzes von Geschäftsgeheimnissen geht es meist um die unbefugte Offenlegung oder den unbefugten Zugang zu den geschützten Informationen. Bei der Frage, ob der Verantwortliche unbefugt war, die personenbezogenen Daten zu übermitteln oder den Zugang zu gewähren, wird im Hinblick auf einheitliche Bedingungen im Binnenmarkt nur auf die datenschutzrechtliche Befugnis abgestellt. Andere Pflichten zur Geheimhaltung, wie das GeschGehG bleiben hierbei außer Betracht. Für das angemessene Schutzniveau in Art. 32 Abs. 1 DSGVO und die angemessenen Geheimhaltungsmaßnahmen in § 2 Nr. 1 lit. b GeschGehG gelten daher unterschiedliche Regelungsziele und Bedingungen. Zwar haben diese eine gemeinsame Schnittmenge, sind aber nicht identisch.

Auf bestehende Datenschutzmaßnahmen kann einzelfallbezogen mit weiteren angemessenen Schutzmaßnahmen zum Schutz der Geschäftsgeheimnisse aufgesetzt werden. Es kommt daher darauf an, die geschaffenen Datenschutzstrukturen zu nützen und Synergien mit dem Geheimnisschutz zu realisieren.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.