Das Thema
Auch nach dem weitgehenden Ende der Pandemiebeschränkungen haben sich Homeoffice und mobiles Arbeiten in einem weit größeren Umfang etabliert, als dies „vor Corona“ noch vorstellbar war. Während das Homeoffice in der Pandemiezeit für viele Unternehmen die einzige Möglichkeit zur Aufrechterhaltung ihres Geschäftsbetriebes war, haben sich das Angebot der zumindest anteiligen Tätigkeit im Homeoffice sowie die Möglichkeit des mobilen Arbeitens inzwischen zu einem wesentlichen Kriterium für die Attraktivität eines Arbeitgebers sowie die Mitarbeiterzufriedenheit entwickelt. Vor diesem Hintergrund sind Homeoffice und mobiles Arbeiten für viele Unternehmen auch weiterhin von großem Wert und auf absehbare Zeit aus der Arbeitsrealität nicht mehr wegzudenken.
Risiken für Arbeitgeber
Die Beschäftigung von Mitarbeitern im Homeoffice und das vermehrte mobile Arbeiten bringen jedoch nicht nur Positives mit sich. Neben datenschutzrechtlichen Fragestellungen sowie der Herausforderung in Bezug auf Arbeitszeiterfassung und -überwachung besteht auch für Geschäftsgeheimnisse und sonstige vertrauliche Informationen von Unternehmen wie beispielsweise Entwicklungsergebnisse, Kundenlisten, Produktideen und Vertriebsstrategien im Homeoffice ein (deutlich) erhöhtes Risiko im Hinblick auf einen möglichen unberechtigten Zugriff durch Dritte. Dieses Risiko entsteht – abstrakt betrachtet – insbesondere dadurch, dass die vertraulichen Informationen außerhalb der besonders geschützten Sphäre einer Betriebstätte des Arbeitgebers geschaffen, genutzt, vervielfältigt und/oder gespeichert werden. Typischerweise fällt das Schutzniveau in den privaten Räumlichkeiten der Mitarbeiter gegenüber den Sicherheitsstandards im Betrieb nämlich deutlich ab: Virenschutz ist gar nicht vorhanden oder aber veraltet, vertrauliche Dokumente werden für Dritte zugänglich und nicht gesichert verwahrt und geschäftliche Telefonate werden mitgehört – durch andere Personen oder gar private Sprachassistenten wie Alexa, Siri oder Google Home. Die Liste möglicher Einfallstore für Datendiebe, Betriebsspione und überneugierige Wettbewerber ist lang.
Den hieraus resultierenden Risiken müssen Unternehmen aktiv entgegenwirken. Unterlassen Sie dies, kann für die betreffenden vertraulichen Informationen der gesetzliche Schutz als Geschäftsgeheimnis vollständig entfallen. Damit können Unternehmen im „worst-case“ auch nicht mehr rechtlich gegen Verletzer dieser Geschäftsgeheimnisse vorgehen und müssen gegebenenfalls hinnehmen, wenn Dritte diese ohne Zustimmung nutzen, weitergeben oder sogar veröffentlichen.
Nachfolgend wird aufgezeigt, welche Maßnahmen die Gefahr eines Geschäftsgeheimnisverlusts bei der Beschäftigung im Homeoffice und beim mobilen Arbeiten reduzieren können und welche Gesichtspunkte es dabei aus Arbeitgebersicht zu beachten gilt:
Voraussetzung für gesetzlichen Schutz: Angemessene Geheimhaltungsmaßnahmen
Damit vertrauliche Informationen rechtlichen Schutz als Geschäftsgeheimnisse genießen, müssen sie durch das Unternehmen mit den Umständen nach „angemessenen Geheimhaltungsmaßnahmen″ vor unberechtigtem Zugriff und unberechtigter Nutzung geschützt werden. § 2 Nr. 1 b) des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) stellt dies als zwingende und im Streitfall durch das Unternehmen zu beweisende Voraussetzung für das Vorliegen eines Geschäftsgeheimnisses auf.
Trifft ein Unternehmen solche angemessenen Geheimhaltungsmaßnahmen nicht, verlieren die betreffenden vertraulichen Informationen ihre rechtliche Eigenschaft als Geschäftsgeheimnisse. Als Konsequenz bestehen dann auch keine gesetzlichen Ansprüche aus dem GeschGehG in Verletzungsfällen und damit kein rechtlicher Schutz gegenüber unbefugten Dritten.
Die Angemessenheit von Geheimhaltungsmaßnahmen bemisst sich dabei nach dem Grad der Wichtigkeit der vertraulichen Information und der Höhe des Risikos, dass diese Information „in falsche Hände gerät″. Je wichtiger eine vertrauliche Information und je höher das Risiko ist, dass diese vertrauliche Information an unberechtigte Dritte gelangt, desto mehr und strengere Geheimhaltungsmaßnahmen sind also erforderlich. Wichtige Kriterien für die Bestimmung der Angemessenheit sind dabei nach inzwischen gefestigter Rechtsprechung
- die Art der Information,
- der Wert der Information und
- die Bedeutung der Information für das Unternehmen intern und im Wettbewerbsumfeld. Zudem werden von der Rechtsprechung
- die Größe des Unternehmens,
- Branchenüblichkeiten sowie
- die Möglichkeit der Kennzeichnung und vertraglicher (Geheimhaltungs-)Regelungen
bei der Feststellung der Angemessenheit berücksichtigt.
Geheimhaltungsmaßnahmen können und müssen in der Regel sowohl im technischen als auch im organisatorischen und im rechtlichen Bereich getroffen werden.
Besondere Sorgfaltspflichten im Homeoffice und beim mobilen Arbeiten
Angesichts der gesteigerten Gefährdungslage beim Arbeiten außerhalb des Betriebes müssen Unternehmen ihren Mitarbeitern für den Umgang mit Geschäftsgeheimnissen in den eigenen vier Wänden oder unterwegs erhöhte Sorgfaltspflichten auferlegen. Dazu gehören zum Beispiel die Verpflichtung zur Benutzung eines aktuellen Virenscanners und einer Firewall, zur sicheren Verwahrung von Dokumenten und zum Ausloggen beim Verlassen des passwortgeschützten Laptops oder Computers sowie Sichtschutzfolien auf mobilen Endgeräten.
Entsprechende Verhaltenspflichten kann der Arbeitgeber seiner Belegschaft zwar in aller Regel einseitig gestützt auf sein Direktionsrecht auferlegen. Ist allerdings ein Betriebsrat gebildet, kommt diesem ein Mitbestimmungsrecht zu, wenn die fraglichen Pflichten das Verhalten der Mitarbeiter untereinander regeln sollen (sog. Ordnungsverhalten, Bsp.: Vorgaben zur Offenlegung vertraulicher Informationen gegenüber Kollegen) oder aber technische Überwachungseinrichtungen betroffen sind (z.B. Pflicht zur Nutzung bestimmter Softwaretools, die eine Überwachung der Mitarbeiter ermöglichen). Beides ist im Bereich der Geheimnisschutz-Compliance häufig der Fall. Ein allgemeines „Geheimnisschutz-Mitbestimmungsrecht“ gibt es aber nicht. Es ist vielmehr mit Blick auf die einzelne Handlungspflicht und den konkreten Regelungsgegenstand zu fragen, ob ein erzwingbares Mitbestimmungsrecht des Betriebsrats einschlägig ist oder nicht.
Sorgfaltspflichten auf drei Ebenen
Das Auferlegen entsprechend erhöhter Sorgfaltspflichten zum Schutz von Geschäftsgeheimnissen kann dabei im Idealfall auf drei Ebenen in rechtlicher und tatsächlicher Hinsicht wirken:
- Zum einen wird das Bewusstsein des Mitarbeiters für die Sensibilität von vertraulichen Informationen und die bestehenden Risiken im Homeoffice und beim mobilen Arbeiten geschärft. Dies ist ein ganz wesentlicher Aspekt – denn während eine allzu sorglose Belegschaft die größte Gefahr für die eigenen Geschäftsgeheimnisse darstellt, sind informierte und gewissenhafte Mitarbeiter das effizienteste Schutzinstrument, das sich Unternehmen wünschen können.
- Zudem treffen Unternehmen mit entsprechenden Verpflichtungen Maßnahmen, die Teil der gesetzlich vorausgesetzten „angemessenen Geheimhaltungsmaßnahmen″ sind. Auch die Rechtsprechung hat nun schon wiederholt befunden, dass klare und verständliche Leitlinien für den Umgang mit Geschäftsgeheimnissen durch die eigenen Mitarbeiter ein wichtiger Baustein der Beurteilung der Angemessenheit sind.
- Schließlich wirken auferlegte, effektive Sorgfaltspflichten – bei ihrer Einhaltung durch die Mitarbeiter – natürlich auch rein tatsächlich risikominimierend in Bezug auf den Abfluss von Geschäftsgeheimnissen im Homeoffice und beim mobilen Arbeiten.
Den Mitarbeitern auferlegte Sorgfaltspflichten beim Umgang mit Geschäftsgeheimnissen im Homeoffice und beim mobilen Arbeiten können also einen Teil der (organisatorischen) Mindestvoraussetzungen dafür darstellen, dass die betroffenen vertraulichen Informationen überhaupt erst als Geschäftsgeheimnisse rechtlichen Schutz genießen. Entsprechend bestehen auch nur dann gesetzliche Ansprüche wie etwa Unterlassungs-, Auskunfts- und Schadenersatzansprüche gegen den Verletzer, auf die sich Unternehmen im Verletzungsfall berufen können.
Regelmäßige Schulungen und Überwachung
Fast genauso wichtig wie die erstmalige – nachweisbare – Auferlegung von Sorgfaltspflichten mit Bezug zum Geschäftsgeheimnisschutz sind die regelmäßige Mitarbeiterschulung (z.B. in e-Learnings) und die Überwachung der Einhaltung der Sorgfaltspflichten. Denn nur, wenn im Verletzungsfall der Nachweis dieser Maßnahmen zweifelslos gelingt, werden diese als „angemessene Geheimhaltungsmaßnahmen“ berücksichtigt und anerkannt. Art und Umfang von Schulungen sowie Kontrollmaßnamen sollten sich dabei u.a. nach der Häufigkeit des Kontakts des Mitarbeiters mit vertraulichen Informationen sowie deren Bedeutung für das Unternehmen richten.
Die Angemessenheit der Geheimhaltungsmaßnahmen kann im Übrigen auch wieder entfallen, wenn der Arbeitgeber seinen Mitarbeitern zwar Handlungs- und Sorgfaltspflichten auferlegt hat, bei einer (z.B. durch stichprobenhafte Kontrollen festgestellten) Missachtung der Pflichten durch die Mitarbeiter aber nicht einschreitet, diese also „sehenden Auges“ fortlaufend toleriert.
Arbeitgeber sind ebenfalls in der Pflicht!
Auch wenn die eigenen Mitarbeiter beim Geheimnisschutz eine entscheidende Rolle spielen, können die nötigen Geheimnisschutzmaßnahmen nicht umfassend auf die eigene Belegschaft „abgewälzt“ werden – vielmehr ist auch der Arbeitgeber selbst in organisatorischer, technischer und rechtlicher Hinsicht gefordert. So wird es etwa bei besonders sensiblen Informationen notwendig sein, den Mitarbeitern hinreichend gesicherte mobile Endgeräte zu überlassen und die Nutzung privater Endgeräte auszuschließen. Auch das Einrichten sicherer VPN-Netzwerke für den mobilen Zugriff auf ein Unternehmensnetzwerk oder das Erzwingen einer Verschlüsslung bei Nutzung externer Datenträger dürfte mittlerweile zum anerkannten Mindeststandard gehören. Absolut zwingend ist zudem ein abgestuftes Zugangskonzept zu vertraulichen Informationen beim mobilen Arbeiten, d.h. eine technische Umsetzung des internen „Need-to-know“-Prinzips in Bezug auf Geschäftsgeheimnisse im Unternehmen.
Unerlässliche Grundvoraussetzung für einen funktionierenden Geheimnisschutz im Homeoffice und beim mobilen Arbeiten im oben dargestellten Sinne ist dabei, dass der Arbeitgeber seine bestehenden Geschäftsgeheimnisse zunächst grundsätzlich identifiziert, bestehende Schutzmaßnahmen analysiert und die Geschäftsgeheimnisse entsprechend kategorisiert hat, um überhaupt feststellen zu können, für welche Informationen besondere Maßnahmen zwingend notwendig sind und welche Daten gegebenenfalls überhaupt nicht für eine Nutzung außerhalb der Betriebstätten geeignet sind. Dieser Gedanke weist auch eine tätigkeitsbezogene Komponente auf: So müssen Unternehmen hinterfragen, ob es bei bestimmten „Hochrisiko-Jobs“ (z.B. Leiter der Forschungs- und Entwicklungsabteilung) risikoadäquat und damit angemessen ist, diesen beispielsweise das Arbeiten an öffentlichen Plätzen (Cafés etc.) zu gestatten.
Homeoffice -Vereinbarung als Mittel der Wahl
Werden Mitarbeiter im Homeoffice tätig, sollte mit diesen nach Möglichkeit eine gesonderte Homeoffice-Vereinbarung abgeschlossen werden, was schon allein zur Regelung der vielzähligen Rechtsfragen (u.a. Kostentragung, Sicherstellung Arbeits- und Gesundheitsschutz, Erfassung der Arbeitszeit, Beschäftigtendatenschutz etc.) empfehlenswert ist. Diese Homeoffice-Vereinbarung sollte den Mitarbeitern auch ausdrücklich erhöhte Sorgfaltspflichten hinsichtlich der Sicherung vertraulicher Informationen und Geschäftsgeheimnisse auferlegen. Eine solche Vereinbarung stellt eine rechtliche Geheimhaltungsmaßnahme dar, die von der Rechtsprechung bei der Frage der Beurteilung von angemessenen Schutzmaßnahmen in einem Verletzungsfall berücksichtigt wird (Anm. d. Red.: vgl. dazu auch den ‘EFAR-Beitrag “Geschäftsgeheimnisschutz im Homeoffice: Klare Richtlinien helfen“).
Wo keine zweiseitige Homeoffice-Vereinbarung zustande kommt (z.B. weil sich die Vertragsparteien bei einzelnen Aspekten nicht einigen können), sind arbeitgeberseitig zumindest erhöhte Sorgfaltspflichten aufzustellen (z.B. in Form einer Arbeitsanweisung o.ä.). Der Inhalt dieser Sorgfaltspflichten sollte dabei nicht allgemein formuliert sein, sondern den konkreten Sachverhalt in den Blick nehmen.
Zudem sollten Unternehmen ihren Mitarbeitern Leitfäden oder Informationsschreiben zur Verfügung stellen, in denen diese erhöhten Sorgfaltspflichten praktisch – bestenfalls mit anschaulichen Beispielsfällen – erklärt werden.
Fazit
Arbeitgeber stehen vor einem Dilemma: Homeoffice und mobile Arbeit sind „gekommen, um zu bleiben“ – entsprechen Arbeitgeber aber dem häufig vorgebrachten Wunsch der Mitarbeiter, die Tätigkeit außerhalb der Betriebsstätte zu verrichten, müssen sie mit einer erhöhten Gefährdungslage für die eigenen Geschäftsgeheimnisse umgehen. Unternehmen sind daher aufgefordert, den gesteigerten Risiken durch Schaffung eines adäquaten Rechtsrahmens (Homeoffice-Vereinbarung etc.) und Etablierung auch im Übrigen angemessener Geheimhaltungsmaßnahmen ganz gezielt entgegenzuwirken.