Das Thema
In Zeiten, in denen sich in vielen Unternehmen ein Großteil der Mitarbeiter im Home Office befindet, dürfen grundlegende Anforderungen an den Geschäftsgeheimnisschutz nicht vernachlässigt werden. Das neue Geschäftsgeheimnisgesetz (in Kraft seit April 2019) verlangt, dass stets „angemessene Schutzmaßnahmen“ zum Schutz der Geschäftsgeheimnisse getroffen werden. Anderenfalls kann der Schutz des Gesetzes nicht in Anspruch genommen werden.
Die Formulierung einer Home Office Richtlinie kann helfen.
Warum eine Home Office Richtlinie zu empfehlen ist
Eine Home Office Richtlinie für Mitarbeiter klärt darüber auf, wie sich im Home Office verhalten werden darf. Eine solche Richtlinie ist gesetzlich nicht vorgeschrieben, sie ist aber sehr zu empfehlen.
Mit einer solchen Richtlinie kann sichergestellt werden, dass Mitarbeiter informiert und sensibilisiert sind für Themen der Arbeitsorganisation, der IT-Sicherheit, des Datenschutzes und vor allem auch des Schutzes der Geschäftsgeheimnisse des Unternehmens.
Eine Home Office Richtlinie erfüllt also gleich mehrere Zwecke:
- sie schult und informiert die Mitarbeiter
- bietet den Mitarbeitern Hilfestellung in Zweifelsfragen
- entlastet damit auch die IT- und HR-Abteilungen
- sie schafft ein Bewusstsein, mit sensiblen Informationen vorsichtig umzugehen
- sie dient als Nachweis, angemessene Schutzmaßnahmen getroffen zu haben
Geschäftsgeheimnisgesetz verlangt angemessene Schutzmaßnahmen
Hintergrund für letzteres ist die im neuen Geschäftsgeheimnisgesetz vorgesehene Voraussetzung, dass geheime Informationen nur dann nach dem Gesetz zum Schutz von Geschäftsgeheimnissen geschützt sind, wenn das Unternehmen jeweils angemessene Geheimhaltungsmaßnahmen getroffen hat (siehe hierzu 10 Praxistipps für das neue Geschäftsgeheimnisgesetz).
Kommt es also dazu, dass wichtige Geschäftsgeheimnisse an Dritte geraten, muss das Unternehmen in der Lage sein, Nachweise vorzulegen, dass das betroffene Geschäftsgeheimnis auch hinreichend geschützt wurde. Nur dann sind die neuen zivilrechtlichen Abwehr- und Schadensersatzansprüche bei einer Nutzung fremder Geschäftsgeheimnisse durch Dritte sichergestellt.
Eine Home Office Richtlinie mit klaren Anweisungen kann daher nicht nur faktisch den Geschäftsgeheimnisschutz wirksam ergänzen, sondern dient auch als einfach vorzulegender Nachweis für die spätere rechtliche Durchsetzung von Ansprüchen.
Was gehört typischer Weise in eine Home Office Richtlinie?
Der Inhalt einer Home Office Richtlinie richtet sich nach den praktischen Anforderungen und Umsetzungsmöglichkeiten des Unternehmen. Typischerweise werden dabei u.a. geregelt:
- Die Mitnahme von Unterlagen nach Hause und, wenn erlaubt, deren sichere Verwahrung
- Ausdruck von Unterlagen zu Hause und Weiterleitung von E-Mails auf private E-Mail-Konten
- Nutzung des privaten PC und weiterer privater Hardware
- Speicherung auf privaten Endgeräten und Speichermedien
- Zugang zum Home Office Computer (Nutzung durch andere Familienmitglieder etc.)
- Pflicht zur Nutzung bestimmter Software und Verbot weiterer Software
- Sicherstellung vom Schutz vor Viren-, Trojanern und anderen Sicherheitseinbrüchen
- Passwortschutz und Verschlüsselung (Passwort-Richtlinie)
- Vorsichtsmaßnahmen bei TelCos und Videokonferenzen (Mithören Dritter)
- Sichere Löschung und Vernichtung von Geschäftsunterlagen
- Hinweise zu Arbeitsschutz, Datenschutz und weiteren bestehenden Regelungen zum Geschäftsgeheimnisschutz
Weitere organisatorische, technische und rechtliche Schutzmaßnahmen bei Home Office
Schulungen der Mitarbeiter
Mitarbeiter sollten zudem über die sichere Arbeit im Home Office geschult werden, nur so lässt sich sicherstellen, dass die Vorgaben der Home Office Richtlinie auch verstanden und gelebt werden. Oftmals wissen Mitarbeiter gar nicht um Sicherheitsrisiken oder welche Informationen des Unternehmens geheim und wertvoll sind, welche besonderen Schutz bedürfen, gerade auch in Home Office Situationen.
Aktualisierung und Ergänzung vorhandener technischer und IT-Schutzmaßnahme
Die vorhandenen Strukturen sollten einer schnellen Bewertung zugeführt und bei Bedarf durch neue geeignete Maßnahmen ergänzt werden. Dies betrifft die IT-Infrastruktur, verwendete Software und die Einführung von verschärften, an die Home Office Situationen angepassten IT-Schutzmaßnahmen (VPN, Verschlüsselung, verschlüsselte Telefonie-, Video- und Chat Kommunikation, Implementierung sicherer Software, sichere Hardware für die Mitarbeiter)
Mitarbeiter-NDAs
Nicht zuletzt sollten auch vertragliche Schutzmaßnahmen überdacht und ggf. ergänzt werden. Hierzu gehören unter anderem die Anpassung oder Ergänzung von Geheimhaltungsklauseln oder der Abschluss von gesonderten Geheimhaltungsvereinbarungen mit Mitarbeitern, die mit besonders geheimen und wertvollen Geschäftsgeheimnissen zu tun haben.
Einbindung ins Geschäftsgeheimnis-Schutzkonzept des Unternehmens
Die aufgeführten Schutzmaßnahmen in Home Office Situationen sollten sich in das bereits vorhandene oder im Aufbau befindliche Geschäftsgeheimnisschutz-Konzept des Unternehmens einpassen. Hierzu gehört die:
- Identifizierung des im Unternehmen vorhandenen geheimen Know-Hows und weiterer Geschäftsgeheimnisse wie Kundenlisten, Konzepte, Strategien und neue Produktideen
- die Kategorisierung der Geschäftsgeheimnisse nach Wichtigkeit und Wert
- Identifizierung der vorhandenen Schutzmaßnahmen
- die Anpassung der vorhandenen Schutzmaßnahmen
- Schaffung von organisatorischen Strukturen für eine fortlaufende Anpassung des Konzepts
- Schulung von Leitern und Mitarbeitern