/ Veröffentlicht in Allgemein

Geschäftsgeheimnis und Whistleblowing

Geschäftsgeheimnis

Geschäftsgeheimnisgesetz und EU Richtlinie zum Whistleblowing. Zwei Gesetze, die Sie als Geschäftsführer kennen müssen.

Laut einer aktuellen Umfrage sind nur 19,6 Prozent der befragten Unternehmen der Meinung, dass sie die DSGVO-Vorgaben bereits vollständig einhalten. Demnach werden sich viele Geschäftsführer weiterhin mit der Umsetzung der DSGVO Vorgaben beschäftigen müssen. Bei diesen vielfältigen und hochkomplexen Aufgaben kann es leicht passieren, dass neue Anforderungen aus Gesetzen, die keinen unmittelbaren Bezug zum Unter-nehmen haben, in der täglichen Informationsflut untergehen. Als Geschäftsführer müssen Sie sich jedoch mit dem Geschäftsgeheimnisgesetz (GeschGehG) und der EU Richtlinie zum Whistleblowing auseinandersetzen, da in beiden Gesetzen Regelungen getroffen werden, die sich auf Ihr Unternehmen auswirken. Gerade bei der EU Richtlinie zum Whistleblowing drängt die Zeit. Diese ist bis 17.12.2021 in nationales Recht umzusetzen.

 

Das müssen Sie zum GeschGehG wissen.

Geht es im Unternehmen um den Schutz personenbezogener Daten ist der Daten-schutzbeauftragte Ihr richtige Ansprech-partner. Aber im Unternehmen gibt es neben personenbezogenen Daten weitere Informationen, die für das Unternehmen wichtig, wenn nicht sogar überlebens-wichtig sind. Das können z.B. Informationen über die wirtschaftlichen Verhältnisse des Unternehmens oder Informationen zu Konstruktionszeichnungen, Programmcode von neuer Software oder Daten zu neuen Produkten sein. Werden solche Geschäfts-geheimnisse gestohlen, kann dies für das Unternehmen existentiellen Schaden verursachen. Für den Datenschutzbeauftragten sind diese Daten aber nur dann im Fokus, wenn diese Geschäftsgeheimnisse auch personenbezogene Informationen umfassen.

Worauf zielt das GeschGehG ab?

Mit dem GeschGehG will der Gesetzgeber Geschäftsgeheimnisse davor schützen, unerlaubt erlangt, genutzt oder offengelegt zu werden (§ 1 Abs. 1 GeschGehG). Das GeschGehG trifft entsprechende Re-gelungen. Daneben kann es weitere Rege-lungen geben, beispielsweise berufs- und strafrechtliche Regelungen zum Schutz von Geschäftsgeheimnissen, deren unbe-fugte Offenbarung von § 203 Strafgesetz-buch unter Strafe gestellt ist (vgl. § 1 Abs. 3 Nr. 1 GeschGehG).

Definition Geschäftsgeheimnis

Nach der Legaldefinition in § 2 Nr. 1 GechGehG ist ein Geschäftsgeheimnis eine Information,

  • die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von In-formationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
  • die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Wann kann sich ein Unternehmen auf ein Geschäftsgeheimnis berufen?

Nach der alten Rechtslage war der Geheimnisschutz bereits eröffnet, wenn – neben dem Vorliegen eines Unternehmensbezugs sowie der fehlenden Offenkundigkeit der Information – ein subjektiver Geheimhaltungswille an der Information bestand. Der BGH ging dabei davon aus, dass sich ein entsprechender Wille auch aus der Natur der geheim zu halten-den Tatsache ergeben kann. Demgemäß wurde aus einem objektiven wirtschaftlichen Geheimhaltungsinteresse ein entsprechender Geheimhaltungswille abgeleitet.

Eine Berufung auf ein Geschäftsgeheimnis ist nach der neuen Rechtslage aber nur möglich, wenn man darlegen kann, die Information auch durch nach außen hin erkennbare angemessene Geheimhaltungsmaßnahmen geschützt zu haben. Als Geschäftsführer denken Sie an dieser Stelle direkt an die techn. und organisatorischen Schutzmaßnahmen und den Art. 32 DSGVO. Whistleblower, die im Rahmen eines Hinweisgebersystems Geschäftsgeheimnisse offenbaren, sind im Übrigen durch die EU-Richtlinie zum Whist-leblowing vor strafrechtlicher Verfolgung geschützt.

Ab wann gilt das Gesetz?

Am 26. April 2019 ist das GeschGehG in Kraft getreten. Mit diesem Gesetz fasst der deutsche Gesetzgeber in Umsetzung der Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung die maßgeblichen Regelungen zum Schutz von Geschäftsgeheimnissen in einem eigenen Gesetz zusammen. Die bisherigen Regelungen zum Schutz von Geschäfts- und Betriebsgeheimnissen in den §§ 17 – 19 UWG wurden aufgehoben und in modifizierter Form in das Geschäftsgeheimnisgesetz aufgenommen.

Was bedeutet das im Unternehmen konkret?

Zunächst sollten folgende drei Schritte durchgeführt werden:

  • Bestandsaufnahme erstellen, welche Informationen im Unternehmen überhaupt als schützenswert angesehen werden, wo diese In-formationen gespeichert sind und welche Schutzmaßnahmen aktuell bestehen
  • die zu schützenden Informationen anhand ihrer Bedeutung kategorisieren
  • auf dieser Basis in einem dritten Schritt über etwaig zu ergreifende organisatorische, technische (TOM) und rechtliche Schutzmaß-nahmen (Verträge) entscheiden.

Welche Arten von Geheimhaltungsmaßnahmen konkret erfolgen müssen, hängt nach der Gesetzesbegründung von der Art des Geschäftsgeheimnisses im Einzelnen und den konkreten Umständen der Nutzung ab.

Allgemein gilt auch hier: Je wichtiger und geheimer die Information, desto höhere Anforderungen sind an das Schutzkonzept zu stellen.

Welche Schutzmaßnahmen sind umzusetzen?

In Betracht kommen nach der Gesetzesbegründung sowohl physische Zugangsbeschränkungen und Vorkehrungen (TOM) wie auch vertragliche Sicherungsmechanismen (Geheimhaltungsvereinbarungen). Solche Maßnahmen sind Ihnen als Geschäftsführer nicht unbekannt. Es ist aber nicht erforderlich, jede geheim zu halten-der Information gesondert zu kennzeichnen, sondern es können grundsätzlich Maßnahmen für bestimmte Kategorien von Informationen ergriffen werden (z.B. technische Zugangskontrollen). Ebenso können Kategorien durch allgemeine in-terne Richtlinien und Anweisungen oder auch in Arbeitsverträgen und Verträgen mit Dienstleistern vorgegeben werden.

Wann sind die Schutzmaßnahmen angemessen?

Bei der Wertung der Angemessenheit der Schutzmaßnahmen können insbesondere berücksichtigt werden:

  • der Wert des Geschäftsgeheimnis-ses und dessen Entwicklungskosten,
  • die Natur der Informationen,
  • die Bedeutung für das Unternehmen,
  • die Größe des Unternehmens,
  • die üblichen Geheimhaltungsmaß-nahmen im Unternehmen,
  • die Art der Kennzeichnung der In-formationen und vereinbarte vertragliche Regelungen mit Arbeit-nehmern und Geschäftspartnern.

Fazit

Das GeschGehG zielt unmittelbar in Ihren Aufgabenbereich als Geschäftsführer ab. Geschäftsgeheimnisse können auch personenbezogene Daten umfassen, müssen es aber nicht. Wichtig ist, dass Ihr Unter-nehmen bei der Umsetzung der Geheim-haltungsmaßnahmen zumindest auf die Prozesse und Methoden Ihres Datenschutzmanagementsystems zurückgreifen kann. Denn auch hier haben Sie den Schutzbedarf der Informationen erhoben, angemessene techn. und organisatorische Sicherheitsmaßnahmen abgeleitet und diese im Unternehmen etabliert. Auch Ihre Vertragspartner haben Sie mit Ver-trägen zur Auftragsverarbeitung verpflichtet ein angemessenes Schutzniveau um-zusetzen. Sie sollten die Unternehmens-leitung auf das neue Gesetz und den konkreten Handlungsbedarf hinweisen. Auch wenn Sie nicht unmittelbar zuständig sind. So können Sie nicht nur Ihre Fachkompetenz unter Beweis stellen und ggf. Unter-stützung anbieten, sondern auch Schaden von Ihrem Unternehmen abwehren.

 

Whistleblower: Vorschriften für EU-weiten Schutz von Informanten sind in Deutschland ab dem 17.12.2021 umzusetzen.

Hinweisgeber

Whistleblower oder Hinweisgeber, die Informationen über illegale oder schädliche Tätigkeiten offenlegen, die im beruflichen Kontext erworben wurden, sollen nach den neuen EU-Vorschriften besser geschützt werden.

Die Regeln, die seit April 2019 in Kraft sind, legen EU-weite Normen zum Schutz von Hinweisgebern fest, die Verstöße gegen das EU-Recht in einer Vielzahl von Bereichen wie öffentliches Auftragswesen, Finanzdienstleistungen, Geldwäsche, Produkt- und Verkehrssicherheit, nukleare Sicherheit, öffentliche Gesundheit, Verbraucher- und Datenschutz aufdecken. Hierbei steht in erster Linie der Schutz der Hinweisgeber vor Repressalien im Fokus. Zeitnah kommt ergänzend zu der Neuregelung zum Whistleblowing in dem neuen Geschäftsgeheimnisgesetz (GeschGehG) eine Regelung, die Whistleblowing von Sanktionen bei der Offenbarung von Geschäftsgeheimnissen ausnimmt.

Das Spannungsverhältnis zwischen der EU-Richtlinie und den sich aus der Datenschutzgrundverordnung (DSGVO) ergebenden datenschutzrechtlichen Erfordernissen für Hinweisgebersysteme, muss in den zuständigen nationalen Behörden der EU-Mitgliedstaaten aufgelöst werden. Hier sind bei der Etablierung von Hinweisgebersystemen “angemessene Datenschutzsysteme festzulegen”.

Für wen gilt die Richtlinie und wann sind die Regelungen umzusetzen?

Unternehmen mit mehr als 50 Mitarbeitern bzw. mehr als EUR 10 Mio. Umsatz sowie solche Unternehmen, für die aufgrund anderer Rechtsvorschriften eine solche Pflicht besteht (v.a. Finanzbranche), sind in Deutschland ab dem 17.12.2021 zur Einrichtung eines internen Hinweisgeber-Systems (Whistleblowing-Hotline) verpflichtet. Die Mitgliedstaaten hatten zwei Jahre Zeit, um die Vorschriften umzusetzen.

Welche Vorgaben gibt es für Whistleblowing-Hotlines?

Mit Blick auf die Sicherheit potentieller Hinweisgeber und die Vertraulichkeit der offenbarten Informationen, dürfen in Zukunft Verstöße sowohl über interne als auch externe Kanäle gemeldet werden.

Zwar gilt grundsätzlich ein dreistufiges Meldesystem:

  1. Betrieb,
  2. Behörde,
  3. Öffentlichkeit.

Im Einzelfall können Stufen aber auch übersprungen werden:

  • Der Weg zu betriebsinternen Meldestellen oder sog. firmeninternen Whistleblowing-Hotlines ist nur zwingend vorgeschrieben, wenn das Problem so auch tatsächlich wirksam angegangen werden kann und der Hinweisgeber keine Vergeltungsmaß-nahmen riskiert.
  • Anderenfalls kann er sich direkt an die zuständige nationale Behörde oder die zuständigen nationalen Organe, Einrichtungen, Ämter und Agenturen wenden oder an die der EU.
  • In bestimmten Fällen dürfen Whistleblower auch direkt an die Öffentlichkeit gehen, etwa über die Medien. Das ist denk-bar, wenn die Behörde nicht angemessen auf einen gemeldeten Missstand reagiert oder der Informant z.B. herausfindet, dass Behörde und Unternehmen kollaborieren.
  • Muss in Ihrem Unternehmen eine Whistleblowing-Hotline etabliert werden oder gibt es bereits eine, ist es Ihre Aufgabe zu prüfen ob in dieser „angemessene Datenschutzsysteme“ zum Schutz der personen-bezogenen Daten umgesetzt wurden.

Diese Sicherheitsmaßnahmen müssen Sie prüfen.

Um die Vorgaben des Art. 32 DSGVO zu erfüllen, sind beim Einsatz von Hinweisgebersystemen geeignete technische und organisatorische Maßnahmen zu treffen. Dies gilt insbesondere wegen der zwingend erforderlichen Vertraulichkeit und für die Löschungsverpflichtung. Bei interner Datenverarbeitung ist zu prüfen bei welcher Stelle die Hotline organisatorisch etabliert wird. Dies sollte bestenfalls eine unabhängige Stabsstelle im Unternehmen sein, um Interessenkonflikte von Beginn an zu vermeiden. Ist die Whistleblowing-Hotline z.B. innerhalb der Personalverwaltung etabliert, kann eine vertrauliche Be-handlung des Vorgangs nur schwerlich sichergestellt werden. Es bieten sich eher Bereiche wie Compliance oder Rechtsabteilung an. Zu den wichtigsten technischen Sicherheitsmaßnahmen gehören sachgerechte Berechtigungskonzepte, Passwort-richtlinien, aktuelle Verschlüsselungsverfahren, Protokollierung von Dateneingaben und Löschroutinen.

Es muss ausgeschlossen werden, dass Unbefugte auf Informationen aus dem Hinweisgebersystem zugreifen können. Demnach muss auch sichergestellt wer-den, dass Administratoren keinen Zugriff auf die Informationen haben. Das ist in der Regel nur mit einem 4 Augen-Prinzip (geteilte Passwörter) oder einer wirksamen Verschlüsselung der Informationen durchsetzbar.

Diese Informationspflichten sind zu beachten.

Werden bei der Meldung von Missständen personenbezogene Daten ohne Kenntnis der betroffenen Person erhoben, ist diese nach Art. 14 DSGVO insbesondere von der Speicherung, der Art der Daten, der Zweckbestimmung Verarbeitung und der Identität des Verantwortlichen und des Hinweisgebers zu informieren.

Besteht das Risiko, dass durch eine solche Information, eine Untersuchung des Vorwurfs oder die Sammlung der erforderlichen Beweise gefährdet wird, kann die Information der beschuldigten Person gem. Art. 14 Abs. 5 lit. b DSGVO so lange aufgeschoben werden, wie dieses Risiko besteht. In einem solchen Fall muss der Betroffene gem. Art. 14 Abs. 3 lit. a DSG-VO nach spätestens einem Monat informiert werden.

Zusammenarbeit mit dem Betriebsrat.

Bei der Einrichtung eines Hinweisgeber-systems ist der Datenschutzbeauftragte zwingend einzubinden. Er muss regelmäßig eine Datenschutzfolgenabschätzung (DSFA) durchführen und die Ordnungsmäßigkeit der Datenverarbeitung in Hinsicht auf alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz der Informationen prüfen. Ist in Ihrem Unternehmen ein Betriebsrat vorhanden, so ist dieser in das neue Verfahren einzubinden. Dies nicht nur wegen der einzuhaltenden Mitbestimmungsrechte des Betriebsrates, sondern auch um die relevanten datenschutzrechtlichen Themen in einer Betriebsvereinbarung zu regeln. Damit schaffen Sie nicht nur die in der DSGVO erforderliche Transparenz, sondern auch Vertrauen der Beschäftigten in das Hinweisgebersystem.

Fazit

Nach der EU-Richtlinie zu Whistleblowing müssen sich spätestens zum 17.12.2021 viele Unternehmen mit der Einrichtung eines Hinweisgebersystems auseinandersetzen. Solche Systeme bergen erhebliche Risiken für die Betroffenen, da regelmäßig sensible personenbezogene Daten verarbeitet werden. Als Geschäftsführer sollten Sie frühzeitig darauf hinwirken alle relevanten Stellen im Hause (Innenrevision, Compliance, Rechtsabteilung, Betriebs-rat) in ein solches Projekt einzubinden. Ein Hinweisgebersystem kann datenschutzkonform betrieben werden, wenn die aufgeführten Vorgaben sachgerecht umgesetzt werden.

Welche Vorteile hat ein Hinweisgebersystem für Unternehmen und Organisationen?

In einer Studie der Association of Certified Fraud Examiners wurden 2.690 Betrugsfälle, die zwischen Januar 2016 und Oktober 2017 untersucht worden sind, analysiert. 40 Prozent der Fälle wurden durch einen Hinweis aufgedeckt und mehr als jeder zweite Hinweis (53 Pro-zent) stammte von einem Mitarbeiter.

Ein Hinweisgebersystem ist das wichtigste Instrument, um von Verdachtsfällen und Verstößen frühzeitig Kenntnis zu erlangen und diese eigenständig aufzuklären. Professionell betrieben stärkt es damit das Vertrauen der Mitarbeiter, Kunden und Geschäftspartner in die Integrität und Reaktionsfähigkeit Ihres Unternehmens.

Die Vorteile eines Whistleblower-Systems:

  • Blinde Flecken erkennen: Mit einem Hinweisgebersystem lassen sich Missstände aufdecken, die ansonsten möglicherweise unentdeckt geblieben wären.
  • Prozesse optimieren: Unternehmen können Schwachstellen und Fehler identifizieren und beseitigen.
  • Finanzielle Schäden vermeiden: Mit einem Hinweisgebersystem lassen sich Straf-zahlungen oder Gerichtskosten sowie Aktienkurs- oder Verkaufseinbußen verhindern oder verringern.
  • Reputationsschäden verhindern: Dank Hinweisgebersystemen können Unternehmen negative Meldungen in der Presse und sozialen Medien vermeiden.
  • Betrüger abschrecken: Hinweisgebersysteme helfen, Betrugsfälle zu verhindern.
  • Vertrauen aufbauen: Ein Hinweisgebersystem stärkt die Integrität des Unternehmens und damit das Vertrauen der Mitarbeiter und weiterer Stakeholder.

 

So können Sie von meinen Erfahrungen konkret profitieren.

Nach meiner jahrelangen Erfahrung beim Aufbau und der Durchführung solcher Hinweisgebersysteme ist die Realisierung aller gesetzl. Anforderungen im Unternehmen nur schwerlich umzusetzen. Eine rechtssichere Umsetzung der Vorgaben ist mittels einer externen Stelle und eines Ombudsmannes wesentlich einfacher und effektiver. Hinzu kommt, dass sich interne oder externe Hinweisgeber eher an eine neutrale externe Stelle wenden als an eine interne Stelle des Unternehmens.

Ich unterstütze Sie beim Aufbau und der Optimierung ihrer Hinweisgebersysteme. Gemein-sam erarbeiten wir einen Ansatz, der sämtlichen gesetzlichen Anforderungen entspricht, auf Ihr Unternehmen abgestimmt ist und dennoch die notwendige Flexibilität besitzt. Dabei ist es unerheblich, ob Ihr Unternehmen bereits ein Hinweisgebersystem umgesetzt hat und dies zu einer „State of the Art“-Lösung für international agierende Unternehmen weiter-entwickeln möchte oder Sie einfach eine neue pragmatische Lösung implementieren möchten.

Gerne unterstütze ich Sie bei der Umsetzung aller erforderlichen Maßnahmen.

Ich biete Ihnen:

  • Analyse der Anwendung der gesetzlichen Regelungen im Rahmen Ihrer Prozesse und Unternehmenskultur.
  • Erstellung eines maßgeschneiderten Melde- und Verarbeitungsprozesses.
  • Rahmenrichtlinien zum Umgang mit Hinweisen, der Durchführung von Untersuchun-gen und zum Schutz von Hinweisgebern.
  • Einrichtung von Kanälen und Verfahren für interne Meldungen und Folgemaßnah-men.
  • Stellung des Ombudsmannes.
  • Möglichkeit zur persönlichen, schriftlichen, elektronischen und mündlichen Meldung.
  • Schutz der Identität des Hinweisgebers und Dritter, die in der Meldung erwähnt werden.
  • Empfangsbestätigung an den Hinweisgeber innerhalb von sieben Tagen.
  • Rückmeldung an den Hinweisgeber innerhalb von drei Monaten.
  • Dokumentation aller eingehenden Meldungen.
  • Maßnahmen, um jede Form von Repressalien (etwa Einschüchterung, Rufschädigung oder fristlose Kündigung) gegen den Hinweisgeber zu verhindern.

 

Nehmen Sie Kontakt auf.

Home

 

 

Tags ,