Das Thema
In Zeiten, in denen sich in vielen Unternehmen ein Großteil der Mitarbeiter im Homeoffice befindet, dürfen grundlegende Anforderungen an den Geschäftsgeheimnisschutz nicht vernachlässigt werden. Das neue Geschäftsgeheimnisgesetz (in Kraft seit April 2019) verlangt, dass stets „angemessene Schutzmaßnahmen“ zum Schutz der Geschäftsgeheimnisse getroffen werden. Anderenfalls kann der Schutz des Gesetzes nicht in Anspruch genommen werden.
Die Formulierung einer Homeoffice-Richtlinie kann helfen.
Warum eine Homeoffice-Richtlinie zu empfehlen ist
Eine Homeoffice-Richtlinie für Mitarbeiter klärt darüber auf, wie sich im Homeoffice verhalten werden darf. Eine solche Richtlinie ist gesetzlich nicht vorgeschrieben, sie ist aber sehr zu empfehlen.
Mit einer solchen Richtlinie kann sichergestellt werden, dass Mitarbeiter informiert und sensibilisiert sind für Themen der Arbeitsorganisation, der IT-Sicherheit, des Datenschutzes und vor allem auch des Schutzes der Geschäftsgeheimnisse des Unternehmens.
Eine Homeoffice-Richtlinie erfüllt also gleich mehrere Zwecke:
- sie schult und informiert die Mitarbeiter
- bietet den Mitarbeitern Hilfestellung in Zweifelsfragen
- entlastet damit auch die IT- und HR-Abteilungen
- sie schafft ein Bewusstsein, mit sensiblen Informationen vorsichtig umzugehen
- sie dient als Nachweis, angemessene Schutzmaßnahmen getroffen zu haben
Geschäftsgeheimnisgesetz verlangt angemessene Schutzmaßnahmen
Hintergrund für letzteres ist die im neuen Geschäftsgeheimnisgesetz vorgesehene Voraussetzung, dass geheime Informationen nur dann nach dem Gesetz zum Schutz von Geschäftsgeheimnissen geschützt sind, wenn das Unternehmen jeweils angemessene Geheimhaltungsmaßnahmen getroffen hat (siehe hierzu 10 Praxistipps für das neue Geschäftsgeheimnisgesetz).
Kommt es also dazu, dass wichtige Geschäftsgeheimnisse an Dritte geraten, muss das Unternehmen in der Lage sein, Nachweise vorzulegen, dass das betroffene Geschäftsgeheimnis auch hinreichend geschützt wurde. Nur dann sind die neuen zivilrechtlichen Abwehr- und Schadensersatzansprüche bei einer Nutzung fremder Geschäftsgeheimnisse durch Dritte sichergestellt.
Eine Homeoffice-Richtlinie mit klaren Anweisungen kann daher nicht nur faktisch den Geschäftsgeheimnisschutz wirksam ergänzen, sondern dient auch als einfach vorzulegender Nachweis für die spätere rechtliche Durchsetzung von Ansprüchen.
Was gehört typischer Weise in eine Homeoffice-Richtlinie?
Der Inhalt einer Homeoffice-Richtlinie richtet sich nach den praktischen Anforderungen und Umsetzungsmöglichkeiten des Unternehmen. Typischerweise werden dabei u.a. geregelt:
- Die Mitnahme von Unterlagen nach Hause und, wenn erlaubt, deren sichere Verwahrung
- Ausdruck von Unterlagen zu Hause und Weiterleitung von E-Mails auf private E-Mail-Konten
- Nutzung des privaten PC und weiterer privater Hardware
- Speicherung auf privaten Endgeräten und Speichermedien
- Zugang zum Homeoffice-Computer (Nutzung durch andere Familienmitglieder etc.)
- Pflicht zur Nutzung bestimmter Software und Verbot weiterer Software
- Sicherstellung vom Schutz vor Viren-, Trojanern und anderen Sicherheitseinbrüchen
- Passwortschutz und Verschlüsselung (Passwort-Richtlinie)
- Vorsichtsmaßnahmen bei TelCos und Videokonferenzen (Mithören Dritter)
- Sichere Löschung und Vernichtung von Geschäftsunterlagen
- Hinweise zu Arbeitsschutz, Datenschutz und weiteren bestehenden Regelungen zum Geschäftsgeheimnisschutz
Weitere organisatorische, technische und rechtliche Schutzmaßnahmen bei Homeoffice
Schulungen der Mitarbeiter
Mitarbeiter sollten zudem über die sichere Arbeit im Homeoffice geschult werden, nur so lässt sich sicherstellen, dass die Vorgaben der Homeoffice-Richtlinie auch verstanden und gelebt werden. Oftmals wissen Mitarbeiter gar nicht um Sicherheitsrisiken oder welche Informationen des Unternehmens geheim und wertvoll sind, welche besonderen Schutz bedürfen, gerade auch in Homeoffice-Situationen.
Aktualisierung und Ergänzung vorhandener technischer und IT-Schutzmaßnahme
Die vorhandenen Strukturen sollten einer schnellen Bewertung zugeführt und bei Bedarf durch neue geeignete Maßnahmen ergänzt werden. Dies betrifft die IT-Infrastruktur, verwendete Software und die Einführung von verschärften, an die Homeoffice-Situationen angepassten IT-Schutzmaßnahmen (VPN, Verschlüsselung, verschlüsselte Telefonie-, Video- und Chat Kommunikation, Implementierung sicherer Software, sichere Hardware für die Mitarbeiter)
Mitarbeiter-NDAs
Nicht zuletzt sollten auch vertragliche Schutzmaßnahmen überdacht und ggf. ergänzt werden. Hierzu gehören unter anderem die Anpassung oder Ergänzung von Geheimhaltungsklauseln oder der Abschluss von gesonderten Geheimhaltungsvereinbarungen mit Mitarbeitern, die mit besonders geheimen und wertvollen Geschäftsgeheimnissen zu tun haben.
Einbindung ins Geschäftsgeheimnis-Schutzkonzept des Unternehmens
Die aufgeführten Schutzmaßnahmen in Homeoffice-Situationen sollten sich in das bereits vorhandene oder im Aufbau befindliche Geschäftsgeheimnisschutz-Konzept des Unternehmens einpassen. Hierzu gehört die:
- Identifizierung des im Unternehmen vorhandenen geheimen Know-Hows und weiterer Geschäftsgeheimnisse wie Kundenlisten, Konzepte, Strategien und neue Produktideen
- die Kategorisierung der Geschäftsgeheimnisse nach Wichtigkeit und Wert
- Identifizierung der vorhandenen Schutzmaßnahmen
- die Anpassung der vorhandenen Schutzmaßnahmen
- Schaffung von organisatorischen Strukturen für eine fortlaufende Anpassung des Konzepts
- Schulung von Leitern und Mitarbeitern