Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Kommunikationsantennen und Satellitenschüsseln auf einem Gebäudedach — Sinnbild für Informationsschutz und Geheimnisschutz-Compliance

Geheimnisschutz-Compliance: warum das Schutzkonzept nach dem GeschGehG in 2 Richtungen wirken muss

Von

6 Min.

AUF EINEN BLICK

Geheimnisschutz ist nach dem GeschGehG eine Organisationsaufgabe: Ohne den Umständen nach angemessene Geheimhaltungsmaßnahmen (§ 2 Nr. 1 lit. b GeschGehG) fehlt die Geheimnisqualität — zivilrechtliche Ansprüche aus §§ 6 ff. GeschGehG und eine Strafbarkeit nach § 23 GeschGehG (Freiheitsstrafe bis zu 3 Jahren, qualifiziert bis zu 5 Jahren) scheitern dann am Tatobjekt. Geheimnisschutz-Compliance wirkt in 2 Richtungen: Sie sichert eigene Geheimnisse und verhindert, dass fremde Geheimnisse — typischerweise über Neueinstellungen — ins Unternehmen gelangen und verwertet werden. In der 2. Konstellation können Durchsuchung, Verbandsgeldbuße nach § 30 OWiG, Aufsichtspflichtvorwürfe nach § 130 OWiG oder Einziehungsfragen entstehen; die strafverfahrensrechtliche Risikolage verlagert sich ins eigene Haus.

Geheimnisschutz als Organisationsaufgabe: die Tatbestandsanknüpfung des GeschGehG

Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) knüpft seit dem 26. April 2019 den rechtlichen Schutz an die Organisation des Inhabers. Geschäftsgeheimnis ist nach § 2 Nr. 1 GeschGehG nur eine Information, die nicht allgemein bekannt oder ohne Weiteres zugänglich, deshalb von wirtschaftlichem Wert und — entscheidend — Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen ist. Lassen sich angemessene Maßnahmen nicht darlegen, fehlt das Tatobjekt: Ansprüche aus §§ 6 ff. GeschGehG scheitern ebenso wie eine Strafbarkeit nach § 23 GeschGehG. Der Schutz entsteht nicht allein durch den Wert der Information, sondern durch ihre nachweisbar organisierte Bewachung.

Geheimnisschutz ist keine IT- oder Vertragsfrage, sondern Compliance-Gegenstand mit Leitungsverantwortung — eingebettet in die Compliance-Organisation des Unternehmens — die übergreifende Pflichtenlage zeigt der Leitfaden zum Geheim- und Sabotageschutz für die Geschäftsleitung. Die einzelnen Maßnahmen behandelt die Analyse zu den angemessenen Geheimhaltungsmaßnahmen nach § 2 GeschGehG; dieser Beitrag nimmt die Programmebene in den Blick — und eine in der Praxis regelmäßig fehlende Schutzrichtung.

Richtung 1: eigene Geheimnisse — Konzept statt Einzelmaßnahme

Die Rechtsprechung versteht die Angemessenheit als Konzeptfrage. Das OLG Hamm beschreibt sie im Flüsteraggregat-Urteil als relativen, dynamischen Maßstab nach den Einzelfallumständen aus Fachkreissicht; Wertungskriterien sind Art und Wert des Geheimnisses, das Verhältnis der Schutzkosten dazu, Unternehmensgröße und branchenübliche Sicherungen (OLG Hamm, Urt. v. 15.09.2020 – 4 U 177/19). Bezeichnend ist, woran es scheiterte: EDV-Sicherheitsrichtlinie, Zugriffsreglementierung und Geheimhaltungsvereinbarungen lagen vor — genügten aber nicht, weil Hinweisen auf eine Umgehung nicht nachgegangen und das Konzept nicht überarbeitet worden war.

Vertraglich hat das Bundesarbeitsgericht den Maßstab verschärft: Eine formularmäßige, zeitlich unbegrenzte Catch-all-Verschwiegenheitsklausel hält der Inhaltskontrolle nach § 307 Abs. 1 S. 1 BGB nicht stand; Verschwiegenheitspflichten müssen sich auf konkrete Informationen beziehen, pauschaler Vortrag zu technischen Sicherungen trägt die Angemessenheit nicht (BAG, Urt. v. 17.10.2024 – 8 AZR 172/23). Für die Programmarchitektur folgt daraus die Sequenz: Identifikation und Klassifizierung, abgestufte Maßnahmen, fortlaufende Dokumentation, turnusmäßige Überprüfung.

Die Verfahrenskonsequenz zeigt sich erst beim Abfluss: Kann das verletzte Unternehmen die Geheimnisqualität nicht substantiiert darlegen, bleibt schon der Anfangsverdacht schwach oder das Verfahren wird nach § 170 Abs. 2 StPO eingestellt. Hinzu tritt das Antragserfordernis des § 23 Abs. 8 GeschGehG: Strafantrag binnen 3 Monaten ab Kenntnis von Tat und Täter (§ 77b StGB); bei besonderem öffentlichen Interesse bleibt die Verfolgung von Amts wegen möglich. Wann sich die Anzeige lohnt und wo das Strafverfahren das Geheimnis exponiert, analysiert der Beitrag zur Strafanzeige bei Wirtschaftsspionage und Geheimnisabfluss.

Richtung 2: fremde Geheimnisse im eigenen Haus — die unterschätzte Beschuldigtenseite

Die 2. Schutzrichtung wird in vielen Compliance-Programmen übergangen: die Abwehr fremder Geschäftsgeheimnisse. Zivilrechtlich untersagt § 4 Abs. 3 GeschGehG auch den Kettenerwerb, wenn der Handelnde die rechtswidrige Herkunft kennt oder kennen müsste. Strafrechtlich ist § 23 Abs. 2 GeschGehG enger: erfasst sind Nutzung oder Offenlegung eines durch bestimmte fremde Vortaten erlangten Geheimnisses, zusätzlich mit der dort verlangten Wettbewerbs-, Eigennutz-, Drittbegünstigungs- oder Schädigungsrichtung — bei Gewerbsmäßigkeit oder den in § 23 Abs. 4 GeschGehG geregelten Auslandskonstellationen mit Freiheitsstrafe bis zu 5 Jahren.

Typischer Fall ist die Neueinstellung vom Wettbewerber: Der Mitarbeiter bringt Kundenlisten, Kalkulationen oder Konstruktionsdaten mit, Vertrieb oder Entwicklung greifen darauf zu. Beschuldigte sind der Mitarbeiter und gegebenenfalls Vorgesetzte, die die Nutzung veranlassen oder dulden; für das Unternehmen kommen — je nach Leitungsebene, Aufsichtsorganisation und Vorteilslage — Verbandsgeldbuße nach § 30 OWiG, Aufsichtspflichtvorwürfe nach § 130 OWiG oder Einziehung der Verwertungsvorteile (§§ 73 ff. StGB) in Betracht; Geldbuße und Einziehung der Taterträge schließen sich wegen derselben Tat aus (§ 30 Abs. 5 OWiG). Die Verfahrensbelastung beginnt häufig mit einer Durchsuchung beim empfangenden Unternehmen.

Ein belastbares Programm adressiert diese Richtung mit eigenen Bausteinen: Onboarding-Erklärungen, dass keine Unterlagen oder Daten früherer Arbeitgeber eingebracht oder genutzt werden; Karenzprozesse für sensible Funktionen; Herkunftsprüfung bei „Marktinformationen“ unklarer Provenienz; ein definierter Stopp-Prozess bei Verdacht — Sicherung statt Weiternutzung, Trennung der Datenbestände, Dokumentation.

Im Inbound-Fall kehrt sich die Beweisfunktion des Schutzkonzepts um: Dieselbe Disziplin, die sonst die eigene Geheimnisqualität trägt, belegt nun die Aufsicht. Onboarding-Erklärungen und ein gelebter Stopp-Prozess sind zentrale Entlastungsindizien gegen den Vorwurf unzureichender Aufsicht — vorausgesetzt, sie sind dokumentiert, geschult und im Verdachtsfall tatsächlich aktiviert.

Verfahrensdimension: dieselbe Aktenlage, 2 Rollen

Beide Richtungen treffen sich im Ermittlungsverfahren. Auf der Verletztenseite entscheidet die Dokumentation, ob der Tatvorwurf trägt; auf der Beschuldigtenseite, ob ein Vorfall als Einzelfehlverhalten oder Organisationsversagen erscheint. Geheimnisschutz-Compliance ist in beiden Rollen Beweisvorsorge — ihre Qualität wird nicht im Audit gemessen, sondern in der Akte. Davon getrennt bleibt die staatlich gelenkte Ausforschung als Staatsschutzdelikt mit eigener Verfahrensarchitektur — dazu die Analyse zum Wirtschaftsschutz bei staatlich gelenkter Spionage. Der nüchterne Befund: Ein Schutzkonzept, das nur die eigene Tür verriegelt, übersieht die Hälfte des Risikos — die strafrechtlich empfindlichere kann auf der Eingangsseite entstehen.

Häufige Fragen

Was gehört zu einem Geheimnisschutz-Compliance-Konzept nach dem GeschGehG?
Die Identifikation und Klassifizierung der schutzbedürftigen Informationen, abgestufte technische, organisatorische und vertragliche Maßnahmen, fortlaufende Dokumentation und turnusmäßige Überprüfung. Hinzu tritt die Inbound-Richtung — Vorkehrungen gegen Einbringung und Nutzung fremder Geschäftsgeheimnisse.
Wann wird das eigene Unternehmen durch fremde Geschäftsgeheimnisse zum Gegenstand von Ermittlungen?
Wenn Beschäftigte Geschäftsgeheimnisse eines Dritten — typischerweise des früheren Arbeitgebers — einbringen und diese genutzt oder offengelegt werden. § 23 Abs. 2 GeschGehG erfasst die Nutzung und Offenlegung eines durch bestimmte fremde Vortaten erlangten Geheimnisses unter den dort genannten Voraussetzungen; zivilrechtlich greift § 4 Abs. 3 GeschGehG bereits bei Kennenmüssen der rechtswidrigen Herkunft. Neben den Handelnden können dem Unternehmen — je nach Aufsichtsorganisation und Vorteilslage — Verbandsgeldbuße (§ 30 OWiG), Aufsichtspflichtvorwürfe (§ 130 OWiG), Einziehung und Durchsuchung drohen.
Wer ist im Unternehmen für die Geheimnisschutz-Compliance verantwortlich?
Geheimnisschutz ist Teil der Organisationsverantwortung der Geschäftsleitung; operative Aufgaben lassen sich delegieren, die Verantwortung für Auswahl, Organisation und Überwachung des Gesamtsystems nicht. Unzureichende Organisation kann im Schadensfall haftungs- und sanktionsrechtliche Anknüpfungspunkte gegen die Leitung schaffen.
Genügt eine Verschwiegenheitsklausel im Arbeitsvertrag als Geheimhaltungsmaßnahme?
Nein. Das Bundesarbeitsgericht hat formularmäßige, zeitlich unbegrenzte Catch-all-Klauseln für unwirksam erklärt (BAG 8 AZR 172/23); Verschwiegenheitspflichten müssen sich auf konkrete Informationen beziehen. Eine isolierte Klausel trägt die Angemessenheit nach § 2 Nr. 1 lit. b GeschGehG nicht — erforderlich ist das Zusammenspiel mit technischen und organisatorischen Maßnahmen samt Dokumentation und Pflege.

Aktuelle Analysen aus dieser Kategorie

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Newsletter

Compliance & Wirtschaftsstrafrecht

Neue Beiträge direkt in Ihr Postfach.

Kein Spam. Abbestellbar. Datenschutz

Zum Inhalt springen