Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Montag, Oktober 14, 2019 13:52 - noch keine Kommentare
GeschGehG: Das neue Geschäftsgeheimnisgesetz
Erst angemessene Schutzmaßnahmen machen Geschäftsgeheimnisse schützenswert
[datensicherheit.de, 14.10.2019] Seit April 2019 gilt das neue Geschäftsgeheimnisgesetz (GeschGehG). Trotz des akuten Handlungsbedarfs haben viele Unternehmen noch nicht reagiert. Entscheidend ist das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen.
Ein ehemaliger Vertriebsmitarbeiter bedient sich wichtiger Kundendaten. Teure Rezepturen und Konstruktionszeichnungen werden gestohlen. Verständlich, dass Unternehmen ihre Geheimnisse schützen möchten. Nach dem seit April 2019 geltenden Gesetz genügt der bloße Geheimhaltungswille nicht mehr, um erfolgreich gegen einen Verletzter vorgehen zu können. Zusätzlich bedarf es dokumentierter, angemessener Geheimhaltungsmaßnahmen. Nur dann liegt laut Gesetzgeber überhaupt ein Geschäftsgeheimnis vor und damit die Grundlage für eine Klage auf Auskunft, Herausgabe, Schadensersatz oder Unterlassung.
Derartige Ansprüche können aber immer nur das Mittel einer möglichen Schadensbegrenzung sein. Denn: Ist das Know-how erst einmal in falsche Händen geraten, ist es eigentlich schon zu spät. In der Sache kommt es somit – aus der Sicht von Datenschützern – auf etwas ganz anderes an: Und zwar auf den faktischen Schutz aufgrund angemessener Geheimhaltungsmaßnahmen. Dieser stellt einen immensen Mehrwert für ein Unternehmen dar. Durch Berechtigungsstrukturen, technische und organisatorische Datensicherungsmaßnahmen oder durch Sensibilisierung kann die Wahrscheinlichkeit gesenkt werden, dass Know-how in die falschen Hände, zum Beispiel zum Wettbewerber, gelangt.
Das größte Risiko geht von Mitarbeitern aus
Eine wichtige Frage ist, an welcher Stelle eines Unternehmens Geschäftsgeheimnisse gefährdet sind, in die falschen Hände zu gelangen. Eine berechtigte Sorge ist die Industriespionage, da beispielsweise schlecht gesicherte Drucker ein beliebtes Einfallstor bieten. Eine besonders große Bedrohung stellen allerdings die sogenannten „internen Angreifer“ dar. In Zeiten häufiger Wechsel des Arbeitgebers geht nicht selten mit jedem Jobwechsel auch das Know-how gleich mit zum neuen Arbeitgeber über. Dies ist hinsichtlich der Erfahrungswerte und des Wissens im Kopf – abgesehen von ganz spezifischen Einzelfällen – auch nach dem neuen Gesetz letztlich nicht verhinderbar. Eine andere Dimension ist aber erreicht, wenn Konstruktionspläne kopiert oder Kundenlisten mit Konditionen auf einem privaten USB-Stick gespeichert werden.
Handlungsbedarf: Schutzkonzept erstellen
Nur bei dokumentierten angemessenen Geheimhaltungsmaßnahmen besteht ein Schutz für Unternehmen. Konkret bedeutet das, dass ein Management-System zum Schutz der Geschäftsgeheimnisse aufgebaut und dokumentiert werden muss. Für Unternehmen, die bereits eine passende Datenschutz-Organisation im Sinne der DSGVO aufgebaut haben, ist dies relativ zügig erledigt. Denn die Systematik ist identisch, anstatt um personenbezogene Daten geht es hier um die jeweiligen Geschäftsgeheimnisse.
Praktisch wird anhand des sog. PDCA-Zyklus (Plan – Do – Check – Act) zunächst mit Hilfe von Checklisten dokumentiert, welche Informationen das Unternehmen schützen, sprich zu Geschäftsgeheimnissen machen will. Nach der Erfassung werden die Informationen klassifiziert. Bei der anschließenden Bestimmung der Schutzmaßnahmen je nach Kritikalität können die bereits bestehenden Datensicherungsmaßnahmen (TOMs, sogenannte technische und organisatorische Maßnahmen) mitverwendet, überprüft und ergänzt werden. Wichtig ist schließlich, dass die Datensicherungsmaßnahmen regelmäßig angepasst und auf Wirksamkeit geprüft werden. In diesem Kontext sollte ein Unternehmen auch überprüfen, ob der Anstoß genutzt wird und direkt ein Informationssicherheits-Managementsystem (ISMS), z.B. entsprechend ISO/IEC 27001, aufgebaut wird. Der Vorteil hieran ist unter anderem, dass die Möglichkeit der Zertifizierung besteht.
Besondere Bedeutung bei den Datensicherungsmaßnahmen haben:
- Rollen- und Rechte- bzw. Berechtigungskonzept,
- passende, möglichst konkrete Vertraulichkeitserklärungen,
- technische Maßnahmen (Firewall, Virenschutz, etc.).
Daneben kommt es besonders auf die passenden Prozesse an. So muss zum Beispiel organisatorisch gewährleistet sein, dass der gekündigte Mitarbeiter keine Gelegenheit mehr zum Datendiebstahl hat und alle Schlüssel, Datenträger, Unterlagen etc. herausgibt.
Fazit
Das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen wie beispielhaft im Text beschrieben qualifiziert und schützt Geschäftsgeheimnisse nach dem neuen Geschäftsgeheimnisgesetz. Der bloße Geheimhaltungswille des Inhabers nach alter Rechtslage reicht nicht mehr aus. Unternehmen sind gut beraten, angemessene Schutzmaßnahmen zu entwickeln und zu dokumentieren.
Geschäftsgeheimnis
Nach der alten Rechtslage war noch von „Betriebs- und Geschäftsgeheimnissen“ die Rede. Das GeschGehG kennt nur den Begriff des Geschäftsgeheimnisses und definiert ihn in § 2 Nr. 1 GeschGehG wie folgt: Eine Information,
- die geheim ist (nicht allgemein bekannt bei Kreisen, die üblicherweise mit solchen Informationen umgehen, und nicht ohne weiteres zugänglich),
- die von wirtschaftlichem Wert ist (geschützt wird nur ein wirtschaftliches Geheimhaltungsinteresse),
- die mit angemessenen Geheimhaltungsmaßnahmen geschützt wird, und
- bei der ein berechtigtes Interesse an der Geheimhaltung besteht.
Die Informationen können dabei sowohl technischer als auch kaufmännischer Natur sein. Das bedeutet, dass sowohl kaufmännische Informationen wie z.B. Kundenlisten, Daten von Zulieferern, Bilanzen, Marktanalysen und Geschäftsstrategien, als auch technisches Know-How, wie z.B. Algorithmen, Formeln, Prototypen, Verfahren, Pläne, Source Codes und Rezepturen geschützt werden können.
Genügte nach alter Rechtslage der bloße Geheimhaltungswille des Inhabers, verliert ein Geschäftsgeheimnis nunmehr seinen Schutz, wenn es nicht Gegenstand angemessener Schutzmaßnahmen ist. Entscheidend ist daher das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen.
Whistleblower werden durch das Geschäftsgeheimnisgesetz geschützt. Solange die Offenlegung des Geschäftsgeheimnisses durch den Whistleblower sich auch nur zum Schutz des öffentlichen Interesses eignet, macht er sich im Falle eines Geschäftsgeheimnisverrats nicht strafbar.
Das Geschäftsgeheimnisgesetz ist ergänzend zum existenten gewerblichen Rechtsschutz über Patent-, Marken-, Designrecht etc. zu sehen. Unterhalb dieser geschützten Rechte existieren viele Informationen, die geheim bleiben sollen, insb. im kaufmännischen Bereich. Im technischen Bereich ist in diesem Zusammenhang zu berücksichtigen, dass auf Märkten mit scharfem Preiswettbewerb häufig auf den Patentrechtsschutz verzichtet wird, weshalb der Geschäftsgeheimnisschutz dann greifen muss.
„Reverse Engineering“, also die Untersuchung, der Rückbau und das Testen von öffentlich verfügbar gemachten Produkten und Gegenständen, ist nun zulässig. Dies zeigt, dass stets geprüft werden sollte, ob nicht doch ein Schutz durch gewerbliche Schutzrechte wie Patentierung sinnvoll ist.
Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).
Weitere Informationen zum Thema:
datensicherheit.de, 12.04.2019
GeschGehG: Digitaler Safe für Geschäftsgeheimnisse gefordert
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren