Der „Faktor Mensch“ ist entscheidend

Effektive Umsetzung der Geheimnisschutzrichtlinie durch Einrichten eines Personalrisikomanagements

Von Martin D. Jacob

Beitrag als PDF (Download)

Einleitung

Die Umsetzung der EU-Richtlinie zum Geheimnisschutz bietet einen verbesserten Schutz von Geschäftsgeheimnissen, zwingt aber Unternehmen, ihre bisherigen Schutzkonzepte anzupassen. Wo Know-how in den Vordergrund rückt, sollte der Sinn für Personalrisiken geschärft werden. Zeit, einen Blick über den Tellerrand zu wagen und den Geheimnisschutz mit einem abgestimmten Personalrisikomanagement zu verbinden.

Der Schutz von Know-how und Geschäftsgeheimnissen rückt in Zeiten zunehmender Globalisierung und Digitalisierung stärker in den Fokus. Mit der EU-Richtlinie 2016/943 hat sich die Europäische Union entschieden, einen einheitlichen europäischen Mindestschutz für Know-how und Geschäftsgeheimnisse zu etablieren. Umgesetzt werden soll die EU-Richtlinie durch ein neues Stammgesetz (Gesetz zum Schutz von Geschäftsgeheimnissen), zu dem das BJMV kürzlich einen Referentenentwurf veröffentlicht hat.

Unternehmen erhalten durch die Umsetzung der EU-Richtlinie analog zum gewerblichen Rechtsschutz ein umfangreiches Maßnahmenpaket zivilrechtlicher Ansprüche und Verteidigungsmöglichkeiten, um ihre Geschäftsgeheimnisse effektiver vor Offenlegung zu schützen. Gleichzeitig sind die Unternehmen gezwungen, effektive Schutzmaßnahmen zur Wahrung der Geschäftsgeheimnisse zu implementieren, andernfalls bleiben ihnen die zivilrechtlichen Ansprüche und Verteidigungsmöglichkeiten verwehrt. Dies ergibt sich bereits aus der von der EU-Richtlinie übernommenen Definition des Begriffs „Geschäftsgeheimnis“, die eine wesentliche Neuerung mit sich bringt. Bislang hat die Rechtsprechung ein schützenswertes Geschäftsgeheimnis bereits dann anerkannt, wenn eine geheime Tatsache von kommerziellem Wert nach dem erkennbaren subjektiven Willen des Inhabers geheim gehalten werden soll. Mit der Umsetzung der EU-Richtlinie sollen nun nur solche Informationen als Geschäftsgeheimnis gelten, die (1.) geheim sind, (2.) einen kommerziellen Wert haben, weil sie geheim sind, und (3.) Gegenstand angemessener Geheimhaltungsmaßnahmen sind. Die Voraussetzung „angemessene Geheimhaltungsmaßnahmen“ ist praxisrelevant, denn sie bedeutet erhöhte Anforderungen an praktische Geheimhaltungsmaßnahmen. Was konkret unter „angemessenen“ zu verstehen ist, ist derzeit noch unklar und wird wahrscheinlich Gegenstand rechtlicher Auseinandersetzungen sein. Unternehmen sind daher gut beraten, einen effektiven Mix von Geheimnisschutzmaßnahmen zu implementieren.

Schutzmaßnahmen und Risikoprävention

Anpassungen der Geheimnisschutzmaßnahmen sollten, wie nachfolgend gezeigt,  auf mehreren funktionalen Unternehmensebenen erfolgen. Hervorzuheben ist dabei die personelle Ebene, die um ein auf den Geheimnisschutz abgestimmtes Risikomanagement erweitert werden kann.

Auf vertraglicher Ebene sollten zunächst bestehende und neue Verträge mit Mitarbeitern, externen Partnern und Kunden überprüft und im Hinblick auf die erhöhten Schutzanforderungen angepasst werden. Pauschale Vertraulichkeitsvereinbarungen sollten keine Verwendung finden. Stattdessen sollten vertragliche Verschwiegenheitserklärungen unter Nennung des Geschäftsgeheimnisses spezifizierte Vereinbarungen enthalten, die an den Einzelfall angepasst sind.

Auf technischer Ebene sollten technische Maßnahmen zum Schutz der Informationssicherheit und -vertraulichkeit  (Verschlüsselungstechniken etc.) in den Fokus rücken. Für die Praxis empfiehlt sich die Umsetzung eines standardisierten Informationsschutzes [etwa Information-Security-Management-System (ISMS) nach den IT-Grundschutz-Katalogen des BSI].

Im Rahmen der Unternehmensorganisation sollte der Umgang mit Geschäftsgeheimnissen optimiert werden. Dazu gehören ein Konzept zur Identifikation, Bewertung, Klassifikation, Dokumentation und Kennzeichnung von Geschäftsgeheimnissen, die gezielte Steuerung des Informationsflusses, die Beschränkung des Zugriffs auf Informationen nach dem „Need-to-know-Prinzip“ sowie die gerichtsfeste Dokumentation getroffener Schutzmaßnahmen.

Unbedingt zu empfehlen: ein qualifiziertes Personalrisikomanagement

Der personellen Ebene ist besondere Aufmerksamkeit zu schenken. Wo technische Innovationen und Know-how maßgeblich zum Unternehmenserfolg beitragen, dort rückt auch der Faktor Mensch in den Vordergrund. Er ist die wertvollste, aber auch sensibelste Unternehmensressource, und der Verlust brisanter Informationen durch eigene Mitarbeiter kann sich existenzbedrohend für ein Unternehmen auswirken. Schulungen, unternehmensinterne Richtlinien und Sensibilisierungsmaßnahmen im Rahmen von Compliancemaßnahmen können den Umgang mit Informationen und die Aufmerksamkeit für Probleme verbessern und werden zu großen Teilen bereits jetzt in Unternehmen durchgeführt. Allerdings erweisen sich diese Programme zur Prävention personalbedingter Risiken wie Wirtschaftsspionage oder Geheimnisverrat als unzureichend. Auch der überraschende Verlust von „Key-People“ (Mitarbeitern in Schlüsselpositionen) ist dadurch kaum abzuwenden. Um derartigen Risiken zu begegnen, wird vorgeschlagen, den Geheimnisschutz um ein qualifiziertes Personalrisikomanagement mit abgestimmten Frühwarnsystemen zu erweitern. Verschiedene Regelungen fordern bereits explizit die Auseinandersetzung mit den Personalrisiken (KonTraG, Basel III usw.).

Die Bewältigung von Personalrisiken ist auch immer verbunden mit der Frage nach den Ursachen. So hat sich gezeigt, dass das größte Risiko für Wirtschaftsspionage und Geheimnisverrat frustrierte Mitarbeiter darstellen, die sich demotiviert, ausgebrannt oder nicht ausreichend gewürdigt fühlen (Motivations-/Loyalitätsrisiko). Fehlende Aufstiegsmöglichkeiten und unzureichende Mitarbeiterbindung sind häufig ein Grund dafür, dass „Key-People“ das Unternehmen verlassen und essentielles Know-how verlorengeht (Austrittsrisiko). Mangelnde Qualifikation (Qualifizierungsrisiko) im Umgang mit Informationen kann ebenfalls ursächlich für den Verlust von Geschäftsgeheimnissen sein. Glücklicherweise treten diese Risiken jedoch selten spontan auf, sondern kündigen sich über einen längeren Zeitraum durch Einstellungs- und Verhaltensänderungen von Gruppen und Individuen an. Damit sind sie über Methoden der betriebswirtschaftlichen Früherkennung erfassbar.

Zum Zwecke der Risikofrüherkennung sollten daher Unternehmen ein abgestimmtes Set von quantitativen Messgrößen und qualitativen Indikatoren zur Risikoidentifikation und -bewertung  definieren. So können, um nur einige Beispiele zu nennen, Zufriedenheitsanalysen durch Mitarbeiterbefragungen in Bezug auf Führungssituation, Betriebsklima, materielle Leistungen des Unternehmens, der Bildungs- und Entwicklungsmöglichkeiten sowie den Freiraum für eigenverantwortliches Handeln Indikatoren für motivationsbedingte Risiken liefern. Messgrößen wie Fluktuationsrate kritischer Personengruppen, Entwicklung von Vergütungen, Anzahl der Fortbildungstage, Anzahl der eingereichten Verbesserungsvorschläge oder Anzahl der Verstöße gegen Regelungen können als Signale für Austritts- und Qualifizierungsrisiken klassifiziert und in ein Früherkennungskonzept integriert werden. Sind negative Entwicklungen identifiziert, können entsprechende Gegenmaßnahmen mit Mitteln des Personal(risiko)managements (Weiterbildung, Maßnahmen zur Mitarbeiterbindung etc.) eingeleitet und das Risiko der Geheimnisoffenlegung beseitigt werden.

Fazit

Effektiver Geheimnisschutz sollte für viele Unternehmen hohe Priorität haben, nicht nur um die Vorgaben der EU-Richtlinie zu erfüllen, sondern auch aus ureigenstem wirtschaftlichem Interesse. Wie es sich gezeigt hat, ist der Mensch ein wesentlicher Faktor bei der Wahrung von Geschäftsgeheimnissen. Unternehmen können daher maßgeblich davon profitieren, wenn Sie der Ressource Mensch besondere Aufmerksamkeit schenken und ein auf den Geheimnisschutz abgestimmtes Personalrisikomanagement und Frühwarnsystem installieren.

jacob@uex.de