Geschäftsgeheimnisgesetz (GeschGehG) und die Einbindung Externer

Gastbeitrag von Dr. Charlotte Lauser, Rechtsanwältin

Der Schutz personenbezogener Daten bzw. der Schutz der eigenen Unternehmens- und Geschäftsgeheimnisse erlangt dann eine erhöhte Relevanz, wenn Dritten / Externen / freien Mitarbeitern Zugriff auf Daten oder Systeme des eigenen Unternehmens gewährt wird.

Handlungsempfehlung: Einbindung freier Mitarbeiter und anderer externer Dienstleister in das eigene Datenschutz- und Geschäftsgeheimnismanagement

Seit dem 25.05.2018 gilt die DSGVO unmittelbar im deutschen Recht und regelt im Wesentlichen (flankiert durch die Landesdatenschutzgesetze und das BDSG) den Schutz personenbezogener Daten. Während die E-Privacy-Richtlinie immer noch auf sich warten lässt, wurde daneben mit Datum vom 18.04.2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) ausgefertigt. Das Gesetz dient der Umsetzung der Richtlinie EU (2016/943) zum Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigen Erwerb sowie rechtswidriger Nutzung bzw. Offenlegung.

Bereits am Namen der Richtlinie (die der Umsetzung des Schutzes von Geschäftsgeheimnisses dient), wird klar ersichtlich, dass die DSGVO (die ja bekanntlich den Schutz personenbezogener Daten zum Ziel hat), und dem neuen Geschäftsgeheimnisgesetz, der gleiche Grundgedanke inne wohnt – nämlich den Schutz von Daten vor der unbefugten Kenntnisnahme und Verarbeitung.

Während das Geheimhaltungsinteresse bzgl. der Geschäftsgeheimnisse im ureigensten Interesse der Unternehmen liegt, dient das Schutzziel der DSGVO dem Zweck, den Betroffenen durch die unbefugte Nutzung Daten durch das Nehmen bzw. durch mangelnde Sicherungsvorkehrungen seiner Daten durch das Unternehmen zu schützen. Entsprechend stellt die DSGVO an die verantwortlichen Stellen ganz bestimmte, zum Teil mit hohen Bußgeldern bewährte Anforderungen. Das GeschGehG sieht auf der anderen Seite unter bestimmten Voraussetzungen Ansprüche auf Schadenersatz des Unternehmens vor.

GeschGehG und externe Dienstleister – das sollten Sie wissen

Für Unternehmen ist es angesichts drohender Bußgelder auf der einen und möglicher Schadenersatzanspruche auf der anderen Seite von großem Interesse, beide Regelungsbereiche in Einklang miteinander in einem unternehmenseigenen Datenschutz- und Geschäftsgeheimnismanagementsystem zu organisieren. Gerade auch unter dem Gesichtspunkt, dass in vielen Geschäftsfeldern verstärkt mit Freelancern oder freien Mitarbeitern gearbeitet wird.

1. Der Zugriff freier Mitarbeiter / externer Dienstleister auf unternehmenseigene Systeme

Häufig werden in der modernen Arbeitswelt freie Mitarbeiter oder externe Dienstleister dergestalt eingegliedert, dass ihnen Zugriff auf die unternehmenseigenen Systeme, z. B. das Intranet etc., entweder von außen oder hausintern gewährleistet wird. In diesem Zusammenhang bestehen für die Unternehmen zwei Problemkreise, nämlich der mögliche Zugriff des freien Mitarbeiters / externen Dienstleisters zum einen auf personenbezogene Daten und zum anderen auf Geschäftsgeheimnisse. Beide Datensätze müssen davor geschützt werden, dass ein unbefugter Dritter von ihnen Kenntnis erlangt.Sinnvollerweise wird dies durch vertragliche Regelungen sowie durch technische und organisatorische Maßnahmen gewährleistet.

2. Vereinbarungen zum Schutz von Unternehmens- und Geschäftsgeheimnissen

Geschäftsgeheimnisse werden seit jeher durch Vertraulichkeitsvereinbarungen (sog. Non-Disclosure-Agreements, (NDAs)), die die Rechte und Pflichten der Parteien bzgl. der vertraulichen Unternehmensinformationen regeln, sichergestellt. Dem Grunde nach ändert sich an diesem Regelungsbedürfnis nichts, allerdings sind bestehende Vertraulichkeitsvereinbarungen auf Ihre Vereinbarkeit mit den Anforderungen des GeschGehG zu überprüfen und ggf. Anpassungen vorzunehmen.

3. Vereinbarung zur Wahrung der Vertraulichkeit personenbezogener Daten

Bzgl. der vertraglichen Regelungen zum Schutz personenbezogener Daten stellt sich die Situation etwas komplizierter dar. Bei den eigenen Mitarbeitern wird, wie vor der Geltung der DSGVO, mit Verpflichtungserklärungen gearbeitet. Dies ist ausreichend, dass der eigene Mitarbeiter ja automatisch ein Teil der verantwortlichen Stelle ist. Dies kann bei externen/freien Mitarbeitern oder Dienstleistern nicht ohne weiteres gesagt werden. Während zum Teil die Frage gestellt wird, ob freie Mitarbeiter als Einzelpersonen Teil der verantwortlichen Stelle sind bzw. sein können, stellt sich diese Frage bei einer externen Firma nicht. Unabhängig davon allerdings, ob man den freien Mitarbeiter als Teil der verantwortlichen Stelle sieht oder nicht, muss der Dritte, der Zugriff auf personenbezogene Daten der verantwortlichen Stelle erhält, zumindest wie ein Mitarbeiter der verantwortlichen Stelle auf die Vertraulichkeit der personenbezogenen Daten verpflichtet werden.

a) Problem der Scheinselbständigkeit

Die Verpflichtung Externer (Dienstleister)/ freier Mitarbeiter auf die Vertraulichkeit kann nur durch vertragliche Regelungen sichergestellt werden, die im Ergebnis bzgl. der Verarbeitung personenbezogener Daten zu einer strikten Weisungsgebundenheit führen. Hierdurch entsteht allerdings bei selbständig tätigen freien Mitarbeitern die Problematik der Scheinselbstständigkeit aufgrund der durch die Verpflichtung entstehenden Weisungsgebundenheit. In der Regel wird diesbezüglich vertreten, dass in der entsprechenden vertraglichen Regelung sicherzustellen ist, dass die Weisungsgebundenheit allein auf die Verarbeitung von personenbezogenen Daten beschränkt ist, und dass der freie Mitarbeiter im Übrigen weisungsunabhängig ist – Rechtsprechung zu diesem Themenkreis steht allerdings noch aus.

b) Problem der gemeinsamen Verantwortlichkeit

Soweit externe Dienstleister Zugriff auf die Systeme der verantwortlichen Stelle erhalten, stellt sich darüber hinaus die Frage, ob hierdurch eine gemeinsame Verantwortlichkeit begründet werden könnte. Je nach Konstellation, z. B. bei Handelsvertretern, kommt eine derartige gemeinsame Verantwortlichkeit durchaus in Betracht, da die Dritten dann ja auch jeweils in eigenem Interesse die Daten verarbeiten. Hier besteht in besonderem Maße Regelungsbedarf für die Unternehmen. Wenn nicht gewünscht ist, dass eine solche gemeinsame Verantwortlichkeit mit der Folge der gesamtschuldnerischen Haftung und den entsprechenden vertraglichen Regelungen entsteht, muss durch vertragliche Vereinbarungen sichergestellt werden, dass die Firma, die als Externer auf die internen Datensysteme Zugriff hat, nicht Herr der Daten wird, sondern am Ende von den Anordnungen der verantwortlichen Stelle abhängig ist. Ganz ähnlich also wie der Auftragsverarbeiter, der der externe Dienstleister ja nicht ist. Diese muss also über Zwecke, Mittel und Dauer der Speicherung am Ende bestimmen können, und zwar ganz unabhängig vom externen Dienstleister.

4. Technische und organisatorische Maßnahmen

Die Vertraulichkeit personenbezogener Daten und von Unternehmens- und Geschäftsgeheimnissen muss ergänzend zu den vertraglichen Regelungen durch technische und organisatorische Maßnahmen sichergestellt werden. Das neue Geschäftsgeheimnisgesetz bildet in diesem Zusammenhang mit seiner neuen Regelungssystematik im Ergebnis eine wertvolle Ergänzung zu Art. 32 DSGVO.

Grund hierfür ist, dass nach der neuen Systematik des GeschGehG ein Geschäftsgeheimnis davon abhängig ist, dass es als solches gekennzeichnet ist. Darüber hinaus ist ein Unternehmen verpflichtet, für Geschäftsgeheimnisse besondere technische und organisatorische Sicherungsmaßnahmen zu ergreifen – eine Terminologie, die aus Art. 32 DSGVO nur zu gut bekannt ist.

Für Unternehmen ist es daher empfehlenswert, ihre Sicherungsmaßnahmen bzgl. personenbezogener Daten mit den Sicherungsmaßnahmen im Zusammenhang mit ihren Geschäftsgeheimnissen korreliert, so dass ein einheitlicher Unternehmenssicherheitsstandard geschaffen wird.

FAZIT

Im Ergebnis kann festgehalten werden, dass sowohl in Bezug auf die Vertraulichkeit von Geschäftsgeheimnissen als auch in Bezug auf die Vertraulichkeit von Datenverarbeitungen, die durch freie Mitarbeiter oder externe Dienstleister vorgenommen werden, ein erhöhtes Maß an Regelungsbedarf besteht, um sowohl den Anforderungen der DSGVO als auch denen des Geschäftsgeheimnisgesetz Rechnung zu tragen. Ergänzend sind die Unternehmen aufgerufen zu prüfen, welchen Stand ihre jeweiligen technischen und organisatorischen Maßnahmen in diesem Zusammenhang aufweisen und ggf. angehalten, hier ein einheitlichen Sicherheitsmanagement zu entwickeln.