GeschGehG: Digitaler Safe für Geschäftsgeheimnisse gefordert

Rechtsanwalt Hagen Albus kommentiert das neue vom Bundesrat verabschiedete „Gesetz zum Schutz von Geschäftsgeheimnissen“

[datensicherheit.de, 12.04.2019] Laut einer Meldung der procilon GROUP wurde am 12. April 2019 vom Bundesrat das „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) gebilligt. Damit sei nun die „Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ in deutsches Recht umgesetzt. Was sich hinter diesem neuen Gesetz verbirgt, erläutert Rechtsanwalt Hagen Albus, Geschäftsführer der jurcons GmbH, in seiner Stellungnahme gegenüber Andreas Liefeith von procilon.

Handlungsbedarf – denn ohne Schutz kein Geheimnis

Kern seiner Betrachtung seien „vorrangig die Auswirkungen des Gesetzes auf Unternehmen aus Sicht der Informationssicherheit“. Aus juristischer Sicht werde hier eine Lücke geschlossen, „auf die wir in der Praxis des Öfteren gestoßen sind“.
Ein Firmeninhaber z.B., der sich um das besondere und einzigartige Wissen seiner Firma sorgt, habe in der Vergangenheit Know-How, wie Rezepturen, Konstruktionszeichnungen aber auch die firmeninterne Kalkulation in einem Safe gelagert. „Dieser stand nicht selten auch noch im Chef-Zimmer.“ Mitarbeiter mit Zugriff auf diese Unterlagen seien sorgfältig ausgewählt und zu besonderer Verschwiegenheit verpflichtet worden. Heute fänden sich solche Geschäftsgeheimnisse oftmals ungesichert auf irgendwelchen Servern oder in der „Cloud“. „Mitarbeiter jeglicher Couleur können sie einsehen oder kopieren.“ Nicht selten würden vertrauliche Unterlagen unverschlüsselt in einer E-Mail an Geschäftspartner oder Kunden geschickt.
Albus: „Ob man dann noch von Geheimnissen sprechen kann, ist also fraglich. Aus juristischer Sicht stellt sich dann die Frage: Kann ich jemanden zur Rechenschaft ziehen, der eine öffentlich zugängliche Information weitergibt? Oder knapp formuliert: kein Schutz, kein Geheimnis.“

Whistleblowing: Drei-Stufen-Modell soll Eskalation vermeiden

Genau hierbei sei für ihn eine Motivation der Gesetzgebung zu sehen. Es würden die rechtlichen Rahmenbedingungen für die Digitalisierung in der Industrie und Mittelstand in Sachen Verantwortung und Strafbarkeit definiert. Im übertragenen Sinn könne man auch sagen: „Wir reden über digitales Hausrecht und den digitalen Hausfriedensbruch.“
Moralische Kategorien spielten für ihn hier im Rahmen der rechtlichen Bewertung „eine untergeordnete Rolle“: Ob es sich beim sogenannten Whistleblowing etwa um eine Offenlegung von Geschäftsgeheimnissen, eine begründbare, wertvolle Information für die Öffentlichkeit handelt oder überspitzt formuliert nur um eine Denunziation, würden die jeweiligen Einzelfälle zeigen und letztendlich die Gerichte entscheiden müssen.
Bei vernünftigem Vorgehen biete das inzwischen diskutierte dreistufige Meldesystem die Chance, eine Eskalation zu vermeiden. „Ich hoffe doch sehr, dass sich dieses so bezeichnete Drei-Stufen-Modell auch durchsetzen wird. Damit wäre einem großen Teil der Debatte aus meiner Sicht die Schärfe genommen“, so Albus. Die eingangs dargestellten Betrachtungen würden bei den aktuellen und emotional geführten Debatten hierzu leider mitunter übersehen.

Im übertragenen Sinn schreibt GeschGehG „digitalen Safe“ vor

Bedauerlicherweise werde im Gesetz die Einhaltung der IT-Sicherheit nicht direkt erwähnt. „Hier unterscheidet es sich doch erheblich von neueren Gesetzen, wie z.B. dem Bundesdatenschutzgesetz – neu – oder der KRITIS-Verordnung. Allerdings findet sich im GeschGehG die Formulierung ,angemessenen Geheimhaltungsmaßnahmen‘.“
Heute lege kaum noch ein Firmeninhaber das besondere Wissen in den Wand-Safe, „wie das vielleicht in der Gründerzeit üblich war, denn das Wissen existiert fast ausschließlich digital“. Im übertragenen Sinn schreibe das Gesetz also einen „digitalen Safe“ vor – und nach dem Gesetz seien Geschäftsgeheimnisse nur noch die dort geschützt abgelegten Daten. Den wiederum könne man nur mit Bauplänen aus der Informationssicherheit herstellen.
„Übertragen heißt das dann, es liegen Daten mit einem hohen Schutzbedarf vor, die man nach ‚dem Stand der Technik‘ durch angemessene technische und organisatorische Maßnahmen (TOM) schützen muss“, erläutert Albus.

Geschäftsgeheimnisse mit gleicher Sorgfalt wie personenbezogene Daten behandeln!

In den vergangenen Jahren habe man gemeinsam mit eigenen Kunden aufgrund unterschiedlicher Auslöser eine Reihe von Erfahrungen gesammelt. Nicht zuletzt liege in einer zunehmend digitalisierten Welt die Konvergenz von Informationssicherheit und Datenschutz auf der Hand. „Hier hilft unsere ganzheitliche Betrachtungsweise der Themen. Am Ende geht es doch darum, Geschäftsgeheimnisse mit der gleichen Sorgfalt wie personenbezogene Daten zu behandeln.“
Auf der anderen Seite habe das IT-Sicherheitsgesetz dazu beigetragen, dass KRITIS-Unternehmen den ISO 2700x als Sicherheitsstandard etabliert hätten. Auf demselben Standard, ergänzt um einige Branchenspezifika, etabliere sich in der Automobilindustrie der VDA-ISA (TISAX). Dies sei ein sehr gutes Beispiel, wie die sensiblen Daten von Prototypen, also Geschäftsgeheimnise durch einen einheitlichen IT-Sicherheitsstandard besser geschützt werden könnten. Albus: „Und mit dem BSI-Grundschutz gibt es eine Blaupause für den öffentlichen Dienst.“
Unabhängig davon, ob man nur eine Zertifizierung oder ein Testat anstrebt, das Vorgehensmodell zur Erreichung einer besseren Informationssicherheit, also der Bauplan für den digitalen Safe, sei ähnlich. Technologie zur Datenverschlüsselung oder Identity- und Access-Management seien dabei feste Bestandteile.

Weitere Informationen zum Thema:

procilon GROUP
GeschGehG – Gesetz zum Schutz von Geschäftsgeheimnissen

Bundesrat, 12.04.2019
Beschluss / Neue Regeln für den Schutz von Geschäftsgeheimnissen

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

datensicherheit.de, 28.01.2019
Datendiebstahl und Co: Wären Ihre Daten im Ernstfall sicher?