Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Gesetz · DE

GeschGehG — Geschäftsgeheimnisgesetz

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.10A.5.11A.5.12A.5.13A.5.14A.5.15A.5.18A.5.19A.5.20A.5.32A.6.2A.6.3A.6.5A.6.6A.8.10A.8.11A.8.12A.8.24 DE

Ein Maschinenbauer verklagt einen ehemaligen Entwickler, der mit detaillierten CAD-Daten zu einem Wettbewerber gewechselt ist. Das Gericht weist die Klage ab — die Daten lagen ungeschützt auf einem Netzlaufwerk, zu dem 60 Beschäftigte Zugriff hatten, NDAs gab es nicht, eine Klassifizierung fehlte. Ohne dokumentierte angemessene Geheimhaltungsmaßnahmen entfällt der gesetzliche Schutz, selbst wenn der Diebstahl offensichtlich ist.

Das Geschäftsgeheimnisgesetz (GeschGehG) hat 2019 die alte Regelung im UWG abgelöst und die EU-Richtlinie 2016/943 in deutsches Recht überführt. Es schützt Geschäftsgeheimnisse zivilrechtlich, knüpft den Schutz aber an eine aktive Schutzanstrengung des Rechteinhabers — und macht damit Informationssicherheit zur Voraussetzung des Rechtsschutzes.

Wer ist betroffen?

Jede Organisation, die wirtschaftlich wertvolle Informationen geheim halten will. Das Gesetz adressiert branchenübergreifend jeden Inhaber eines Geschäftsgeheimnisses:

  • Industrieunternehmen — Konstruktionsdaten, Produktionsverfahren, Materialrezepturen, Lieferantenkonditionen.
  • Software- und Tech-Unternehmen — Quellcode, Algorithmen, Trainingsdatensätze, Roadmaps.
  • Beratungs- und Dienstleistungsunternehmen — Methodiken, Mandantendaten, Preiskalkulationen.
  • Forschungseinrichtungen — unveröffentlichte Forschungsergebnisse, Versuchsdesigns.
  • Vertriebsorganisationen — strukturierte Kundendaten, CRM-Auswertungen, Pipeline-Daten.

Erfasst werden auch Hinweisgeber (Whistleblower) — § 5 GeschGehG schützt die Aufdeckung rechtswidriger Praktiken oder beruflichen Fehlverhaltens. Der Hinweisgeberschutz ist seit dem HinSchG 2023 weiter konkretisiert.

Was verlangt das Gesetz?

Das GeschGehG ist auffallend kurz, aber wirkungsmächtig. Die für die Informationssicherheit zentralen Punkte:

  • Definition (§ 2) — eine Information ist Geschäftsgeheimnis, wenn sie geheim ist, wirtschaftlichen Wert besitzt, durch angemessene Maßnahmen geschützt wird und ein berechtigtes Geheimhaltungsinteresse besteht. Alle vier Voraussetzungen müssen kumulativ vorliegen.
  • Verletzungshandlungen (§ 4) — unerlaubte Erlangung, Nutzung oder Offenlegung. Auch der Erwerb in Kenntnis vorheriger Verletzung ist erfasst.
  • Erlaubte Handlungen (§ 3) — eigenständige Entdeckung, Reverse Engineering an rechtmäßig erworbenen Produkten, Erlangung im Rahmen der Informations- oder Konsultationsrechte von Beschäftigtenvertretungen.
  • Whistleblower-Schutz (§ 5) — Aufdeckung rechtswidriger Praktiken zur Wahrung berechtigter Interessen ist zulässig.
  • Ansprüche (§§ 6–8) — Beseitigung, Unterlassung, Vernichtung, Auskunft, Schadenersatz. Die Geheimhaltung im Prozess ist über §§ 16 ff. abgesichert.
  • Strafbarkeit (§ 23) — vorsätzliche Verletzung mit Freiheitsstrafe bis drei Jahre, in besonders schweren Fällen bis fünf Jahre.

Die Anforderung „angemessene Geheimhaltungsmaßnahmen” ist der Hebel der Informationssicherheit. Ohne sie greift kein einziger der Anspruchstatbestände.

In der Praxis

Geschäftsgeheimnis-Register als Pflicht-Artefakt. Eine pauschale Behauptung „alle internen Daten sind geheim” hält keinem Gericht stand. Praxisbewährt: ein Verzeichnis konkret benannter Geschäftsgeheimnisse mit Klassifizierungsstufe, betroffenen Systemen, Personenkreis mit Zugriff und dokumentierten Schutzmaßnahmen. Das Register wird mindestens jährlich überprüft.

NDAs als laufenden Bestand pflegen. Vertraulichkeitsvereinbarungen mit Beschäftigten, Dienstleistern, Kunden und Partnern sind die rechtliche Komponente angemessener Schutzmaßnahmen. Die Vereinbarungen müssen aktuell, gegengezeichnet und auffindbar sein. Eine NDA, die niemand wiederfindet, ist im Streitfall wertlos.

Off-Boarding mit Geheimhaltungsfokus durchziehen. Der mit Abstand häufigste Verletzungsfall: ausscheidende Beschäftigte nehmen Daten mit. Strukturierte Off-Boarding-Prozesse mit Geräterückgabe, Account-Deaktivierung, Datenträger-Audit und förmlicher Erinnerung an die nachvertragliche Verschwiegenheit sind die wichtigste operative Maßnahme.

Mapping zu ISO 27001

Das ISO-27001-Annex-A bildet das GeschGehG-Schutzkonzept fast vollständig ab. Wer ein zertifiziertes ISMS betreibt und die Schutzmaßnahmen dokumentiert, hat den Nachweis angemessener Geheimhaltungsmaßnahmen weitgehend erbracht.

Direkt relevante Kontrollen:

Typische Audit-Befunde

  • Kein Geschäftsgeheimnis-Register — die Organisation kann nicht benennen, welche Informationen sie konkret schützen will. Im Ernstfall fehlt die Grundlage für jeden Anspruch.
  • NDAs sind veraltet oder nicht auffindbar — alte Standardvereinbarungen, keine zentrale Ablage, keine systematische Pflege bei Vertragsverlängerungen.
  • Klassifizierung unsystematisch — sensible Dokumente sind nicht als „vertraulich” oder „geheim” gekennzeichnet, eine Klassifizierungsrichtlinie fehlt.
  • Ungerechtfertigt breite Zugriffsrechte — sensible Datenbereiche sind für ganze Abteilungen zugänglich, ohne dass das fachlich begründet wäre.
  • Off-Boarding lückenhaft — Geräte werden nicht zurückgegeben, Accounts bleiben aktiv, USB-Transfers vor Austritt werden nicht geprüft.
  • Schulungspflicht ignoriert — Beschäftigte wissen nicht, dass es ein Geschäftsgeheimnis-Konzept gibt, geschweige denn, was darunter fällt.

Quellen

Abgedeckte ISO-27001-Kontrollen

A.5.10 Akzeptable Nutzung von Informationswerten A.5.11 Rückgabe von Werten A.5.12 Klassifizierung von Informationen A.5.13 Kennzeichnung von Informationen A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.18 Zugriffsrechte A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.32 Geistige Eigentumsrechte A.6.2 Beschäftigungsbedingungen A.6.3 Sensibilisierung und Schulung A.6.5 Verantwortlichkeiten bei Beendigung A.6.6 Vertraulichkeitsvereinbarungen A.8.10 Löschung von Informationen A.8.11 Datenmaskierung A.8.12 Verhinderung von Datenleckagen A.8.24 Einsatz von Kryptographie

Häufig gestellte Fragen

Was ist ein Geschäftsgeheimnis nach GeschGehG?

Eine Information, die nicht allgemein bekannt oder leicht zugänglich ist, einen wirtschaftlichen Wert hat (gerade weil sie geheim ist), Gegenstand angemessener Geheimhaltungsmaßnahmen ist und an deren Geheimhaltung ein berechtigtes Interesse besteht (§ 2 Nr. 1 GeschGehG). Alle vier Voraussetzungen müssen erfüllt sein. Fehlt die angemessene Geheimhaltungsmaßnahme, gibt es keinen rechtlichen Schutz — selbst bei offenkundigem Diebstahl.

Was sind angemessene Geheimhaltungsmaßnahmen?

Das Gesetz nennt keinen Katalog. Die Rechtsprechung orientiert sich an einem mehrstufigen Modell: Klassifizierung der Information, Zugriffskontrolle, vertragliche Absicherung (NDAs, Wettbewerbsverbote), technische Schutzmaßnahmen, Awareness und Schulung, Nachweisbarkeit. Was angemessen ist, hängt vom Wert der Information und der Branche ab — die Schutzmaßnahmen für die Rezeptur eines Pharmaprodukts sind höher als die für eine Kundenliste.

Was ist mit Reverse Engineering?

§ 3 GeschGehG erlaubt das Reverse Engineering an rechtmäßig erworbenen Produkten ausdrücklich. Das ist die größte praktische Änderung gegenüber der alten UWG-Rechtslage. Wer eine Produkterkenntnis nicht durch Reverse Engineering offenlegen will, muss sie vertraglich (NDA, Lizenz) oder technisch (Verschlüsselung, Tamper-Resistance) absichern.