Personalarbeit 4.0: Datenschutz und Geschäftsgeheimnisschutz gehören organisatorisch zusammen!
In der Beratungspraxis werden Datenschutz und Geschäftsgeheimnisschutz als zwei unterschiedliche Baustellen behandelt. Dies ist eine Fehlentwicklung: Sie führt dazu, dass der Wert von Datenschutzmaßnahmen unterschätzt wird und sich für den Geschäftsgeheimnisschutz in vielen Unternehmen überhaupt niemand hauptzuständig fühlt.
Unternehmen ist im Regelfall zu raten, die organisatorische Verantwortung für den Daten- und Geschäftsgeheimnisschutz zusammenzufassen und ein einheitliches Schutzkonzept zu entwerfen. Die Bedeutung des Geschäftsgeheimnisschutzes sollte nicht unterschätzt werden, da Diebstahl in diesem Bereich noch zur Alltagskriminalität gehören dürfte.
Der Unterschied ist vor allem ein "juristischer"
Betrachtet man die Thematik mit der juristischen Brille, erscheinen Datenschutz und Geschäftsgeheimnisschutz als unterschiedliche Rechtsgebiete:
- Datenschutz ist eine öffentlich-rechtliche Pflicht, die das Unternehmen erfüllen muss, um Sanktionen von Seiten der Aufsichtsbehörden zu vermeiden – Geschäftsgeheimnisse schützt das Unternehmen dagegen nur im eigenen Interesse, um sich einen Wettbewerbsvorteil zu erhalten.
- Wie Datenschutz zu erfolgen hat, ist gesetzlich insbesondere in der DSGVO und im BDSG umfangreich reguliert – für die Gestaltung der Maßnahmen zum Geschäftsgeheimnisschutz gibt es hingegen keine spezifischen gesetzlichen Vorgaben, sondern nur die Obliegenheit, "angemessene Geheimhaltungsmaßnahmen" (§ 2 Nr. 1 lit. c GeschGehG) zu ergreifen.
- Die Datenschutzbeauftragten der Unternehmen sind nur für den Datenschutz zuständig – solange nichts anderes abgestimmt ist, müssen sich Datenschutzbeauftragte nicht mit Geschäftsgeheimnissen befassen.
In der Praxis geht es um dasselbe
Wenn Unternehmen Konzepte aufsetzen, um personenbezogene Daten und Geschäftsgeheimnisse zu schützen, geht ist in der Praxis dennoch vielfach um dieselben Maßnahmen (sog. technische und organisatorische Maßnahmen, TOMs, dazu eingehend hier). Kein Wunder: In beiden Fällen müssen sensible Daten vor unbefugter Einsichtnahme und Verbreitung geschützt werden. Die Maßnahmen können deshalb oft zusammengefasst werden:
- Viele Geschäftsgeheimnisse enthalten zugleich personenbezogene Daten, z.B. Listen mit Kundenansprechpartnern.
- Technische Maßnahmen, insbesondere die IT-Umgebung des Unternehmens, werden einheitlich aufgesetzt. Dies versteht sich von selbst. Der Umstand, dass die IT-Technik nicht nur personenbezogene Daten, sondern auch Geschäftsgeheimnisse schützt – die sehr viel häufiger unerlaubt gestohlen werden – dürfte für viele Unternehmen ein starkes Argument sein, strengere Konfigurationen vorzunehmen.
- Zu Abschreckungszwecken und aus Transparenzgründen sollten Mitarbeiter darauf hingewiesen werden, dass ihr Nutzerverhalten bei Zugriff auf Unternehmensdatenbanken durch Logfiles aufgezeichnet wird. Diese Abschreckung dient sowohl dem Schutz von personenbezogenen Daten als auch von Geschäftsgeheimnissen.
- Wenn Unternehmen ihre personenbezogenen Daten und Geschäftsgeheimnisse nach Vertraulichkeitsstufen kategorisieren, liegt es nahe, für alle sensiblen Daten eine einheitliche Kategorisierung zu schaffen.
- Meist empfiehlt es sich, eine einheitliche Policy zum Umgang mit personenbezogenen Daten und Geschäftsgeheimnissen zu verfassen. Weniger Policies sind oft mehr, da die Mitarbeiter sonst den Überblick verlieren und die Policies weder lesen noch ernst nehmen. Sowohl mit Blick auf geheime personenbezogene Daten als auch Geschäftsgeheimnisse sollten Mitarbeiter z.B. angewiesen werden, diese sensiblen Daten vertraulich zu behandeln, nur nach dem Need-To-Know-Prinzip zu teilen, nicht auf private Datenträger zu kopieren und grundsätzlich nur auf den vorgesehenen Speicherorten abzulegen.
- Wenn Unternehmen Schulungen zum Datenschutz durchführen, spricht viel dafür, in derselben Schulung zugleich den Geschäftsgeheimnisschutz zu thematisieren. Die Mitarbeiter sollten für beide Themen gleichermaßen sensibilisiert werden.
- Ein verbreiteter Irrtum besteht darin, der Datenschutzbeauftragte müsste sich automatisch um den gesamten Datenschutz kümmern. Zu den gesetzlichen Aufgaben des Datenschutzbeauftragten gehört jedoch nur die Überwachung und Beratung, nicht die Umsetzung von Datenschutzmaßnahmen (vgl. Art. 39 DSGVO; eingehend hierzu Singraven/Kohm in Grimm/Singraven, Digitalisierung und Arbeitsrecht, § 12.18). Unternehmen sollten einen Mitarbeiter zu bestimmen, welche die Umsetzung des Datenschutzes verantwortet und laufend optimiert. Es spricht viel dafür, diesem Mitarbeiter auch die Verantwortung für den Geschäftsgeheimnisschutz zu übertragen.
Diese Muster zum Geschäftsgeheimnis- und Datenschutz sind im Praxishandbuch Grimm/Singraven, Digitalisierung und Arbeitsrecht veröffentlicht und können bei Otto Schmidt online heruntergeladen werden:
Formular: Betriebsvereinbarung zum Umgang mit Geschäftsgeheimnissen
Formular: Datenschutzrechtliche Mitarbeiter-Information über die Verarbeitung von Beschäftigtendaten
Formular: Dienstanweisung – Daten- und Geschäftsgeheimnisschutz im Homeoffice
Formular: Geheimhaltungsverpflichtungserklärung für die Teilnahme im strategischen Leitungskreis
Formular: Datenschutzinformation zur Verarbeitung von Bewerberdaten
Der Grimm/Singraven, Digitalisierung und Arbeitsrecht behandelt die wichtigsten Trends der digitalen Transformation im Personalbereich – praxiserprobte Formulare, Muster und Vertragsklauseln zu jedem Komplex inklusive. Insgesamt behandelt das Werk in 29 Kapiteln alle wichtigen Trends, die sich im Zuge der digitalen Transformation für den Personalbereich ergeben.