[datensicherheit.de, 14.10.2019] Seit April 2019 gilt das neue Geschäftsgeheimnisgesetz (GeschGehG). Trotz des akuten Handlungsbedarfs haben viele Unternehmen noch nicht reagiert. Entscheidend ist das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen.

Ein ehemaliger Vertriebsmitarbeiter bedient sich wichtiger Kundendaten. Teure Rezepturen und Konstruktionszeichnungen werden gestohlen. Verständlich, dass Unternehmen ihre Geheimnisse schützen möchten. Nach dem seit April 2019 geltenden Gesetz genügt der bloße Geheimhaltungswille nicht mehr, um erfolgreich gegen einen Verletzter vorgehen zu können. Zusätzlich bedarf es dokumentierter, angemessener Geheimhaltungsmaßnahmen. Nur dann liegt laut Gesetzgeber überhaupt ein Geschäftsgeheimnis vor und damit die Grundlage für eine Klage auf Auskunft, Herausgabe, Schadensersatz oder Unterlassung.

Derartige Ansprüche können aber immer nur das Mittel einer möglichen Schadensbegrenzung sein. Denn: Ist das Know-how erst einmal in falsche Händen geraten, ist es eigentlich schon zu spät. In der Sache kommt es somit – aus der Sicht von Datenschützern – auf etwas ganz anderes an: Und zwar auf den faktischen Schutz aufgrund angemessener Geheimhaltungsmaßnahmen. Dieser stellt einen immensen Mehrwert für ein Unternehmen dar. Durch Berechtigungsstrukturen, technische und organisatorische Datensicherungsmaßnahmen oder durch Sensibilisierung kann die Wahrscheinlichkeit gesenkt werden, dass Know-how in die falschen Hände, zum Beispiel zum Wettbewerber, gelangt.

Das größte Risiko geht von Mitarbeitern aus

Eine wichtige Frage ist, an welcher Stelle eines Unternehmens Geschäftsgeheimnisse gefährdet sind, in die falschen Hände zu gelangen. Eine berechtigte Sorge ist die Industriespionage, da beispielsweise schlecht gesicherte Drucker ein beliebtes Einfallstor bieten. Eine besonders große Bedrohung stellen allerdings die sogenannten „internen Angreifer“ dar. In Zeiten häufiger Wechsel des Arbeitgebers geht nicht selten mit jedem Jobwechsel auch das Know-how gleich mit zum neuen Arbeitgeber über. Dies ist hinsichtlich der Erfahrungswerte und des Wissens im Kopf – abgesehen von ganz spezifischen Einzelfällen – auch nach dem neuen Gesetz letztlich nicht verhinderbar. Eine andere Dimension ist aber erreicht, wenn Konstruktionspläne kopiert oder Kundenlisten mit Konditionen auf einem privaten USB-Stick gespeichert werden.

Handlungsbedarf: Schutzkonzept erstellen

Nur bei dokumentierten angemessenen Geheimhaltungsmaßnahmen besteht ein Schutz für Unternehmen. Konkret bedeutet das, dass ein Management-System zum Schutz der Geschäftsgeheimnisse aufgebaut und dokumentiert werden muss. Für Unternehmen, die bereits eine passende Datenschutz-Organisation im Sinne der DSGVO aufgebaut haben, ist dies relativ zügig erledigt. Denn die Systematik ist identisch, anstatt um personenbezogene Daten geht es hier um die jeweiligen Geschäftsgeheimnisse.

Praktisch wird anhand des sog. PDCA-Zyklus (Plan – Do – Check – Act) zunächst mit Hilfe von Checklisten dokumentiert, welche Informationen das Unternehmen schützen, sprich zu Geschäftsgeheimnissen machen will. Nach der Erfassung werden die Informationen klassifiziert. Bei der anschließenden Bestimmung der Schutzmaßnahmen je nach Kritikalität können die bereits bestehenden Datensicherungsmaßnahmen (TOMs, sogenannte technische und organisatorische Maßnahmen) mitverwendet, überprüft und ergänzt werden. Wichtig ist schließlich, dass die Datensicherungsmaßnahmen regelmäßig angepasst und auf Wirksamkeit geprüft werden. In diesem Kontext sollte ein Unternehmen auch überprüfen, ob der Anstoß genutzt wird und direkt ein Informationssicherheits-Managementsystem (ISMS), z.B. entsprechend ISO/IEC 27001, aufgebaut wird. Der Vorteil hieran ist unter anderem, dass die Möglichkeit der Zertifizierung besteht.

Besondere Bedeutung bei den Datensicherungsmaßnahmen haben:

• Rollen- und Rechte- bzw. Berechtigungskonzept,
• passende, möglichst konkrete Vertraulichkeitserklärungen,
• technische Maßnahmen (Firewall, Virenschutz, etc.).

Daneben kommt es besonders auf die passenden Prozesse an. So muss zum Beispiel organisatorisch gewährleistet sein, dass der gekündigte Mitarbeiter keine Gelegenheit mehr zum Datendiebstahl hat und alle Schlüssel, Datenträger, Unterlagen etc. herausgibt.

Fazit

Das Ergreifen und Dokumentieren angemessener Geheimhaltungsmaßnahmen wie beispielhaft im Text beschrieben qualifiziert und schützt Geschäftsgeheimnisse nach dem neuen Geschäftsgeheimnisgesetz. Der bloße Geheimhaltungswille des Inhabers nach alter Rechtslage reicht nicht mehr aus. Unternehmen sind gut beraten, angemessene Schutzmaßnahmen zu entwickeln und zu dokumentieren.

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 12.04.2019
GeschGehG: Digitaler Safe für Geschäftsgeheimnisse gefordert

Ein Beitrag von unserem Gastautor Matthias Kess, CTO der Cryptshare AG

[datensicherheit.de, 07.06.2019] Vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012. Es ist meiner Meinung nach aber durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DS-GVO wird tatsächlich „gelebt“ und hat zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. „Viel Lärm um Nichts“ also? Oder doch eher „Ende gut, alles gut“? In Wahrheit ist es weder das Eine noch das Andere – wir haben in dieser „Unendlichen Geschichte“ schlichtweg unser Ziel noch nicht erreicht. Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“ (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.

DSGVO ist richtungsweisend

Eines haben die vielen Gespräche, die meine Kollegen und ich in den vergangenen Monaten geführt haben, ganz deutlich gezeigt: Die DS-GVO ist richtungsweisend, sie wird in Unternehmen gelebt – und sie hat, selbst bei Privatanwendern, zu einer enormen Sensibilisierung in Sachen Datenschutz geführt. Ähnlich wie beim Jahr-2000-Problem oder dem durch den Maya-Kalender vermeintlich prognostizierten Weltuntergang 2012 fand vor einem Jahr kein Ende der Zeitenrechnung statt.

Zwar war offensichtlich, dass Unternehmen nicht sofort belangt werden würden – wer seit dem Stichtag den Aufsichtsbehörden aber nicht belegen kann, zumindest an einer den Anforderungen entsprechenden Anpassung seiner Prozesse und Tools zu arbeiten, der handelt(e) grob fahrlässig und muss zu Recht mit Strafen rechnen. Auch nach der ersten großen Welle, kurz vor Inkrafttreten der DS-GVO (die beispielsweise dazu führte, dass wir eine spezielle Lösung für kleine Firmen mit bis zu 25 Mitarbeitern auf den Markt brachten), registrieren wir nach wie vor zahlreiche Anfragen aus den unterschiedlichsten Branchen, beispielsweise dem Gesundheitssektor mit seinen besonders sensiblen Patientendaten. Neben der Übertragung großer Datenmengen und dem Schutz vor Spionage fällt ein Stichwort dabei immer häufiger: Compliance.

Fortsetzung folgt: Handlungsdruck nimmt zu

Unternehmen sind nach wie vor in ganz unterschiedlichem Maße gewappnet. Während die Einen lieber einmal zu oft nachfragen, haben die Anderen entsprechende Maßnahmen zeit- und budgettechnisch noch immer nicht eingeplant. Das liegt daran, dass Behörden in der DACH-Region zurückhaltender agiert haben. Und genau das wird sich nun ändern, der Handlungsdruck nimmt zu. Nach dem Stichtag waren Behörden eher in beratender Funktion aktiv und boten bei Anfragen eine „stützende Schulter“, viele Datenschutzbeauftragten verhielten sich – auch wegen Personalmangels – eher reaktiv. Nun werden sie die Unterstützung bei Beratungsanfragen immer stärker zugunsten von Sanktionen zurücknehmen.

Was ohnehin nicht heißt, dass bisher alles ruhig geblieben wäre: Im Juli 2018 stahlen Cyber-Kriminelle Passwörter, E-Mail-Adressen und Pseudonyme von über 300.000 verifizierten Nutzern bei einem Chat-Portal und veröffentlichten die Daten im Internet. Für die Betroffenen war die Datenpanne sehr ärgerlich, dem deutschen Anbieter kam sie teuer zu stehen. Er erhielt als erstes Unternehmen eine Strafe nach der Datenschutz-Grundverordnung und musste ein Bußgeld in Höhe von 20.000 Euro zahlen. Er hatte die Daten seiner Kunden nicht verschlüsselt, sondern im Klartext gespeichert.

Bild: Cryptshare AG

Matthias Kess, CTO der Cryptshare AG

Umfrage: Viele Unternehmen hatten bereits Probleme mit der Datensicherheit

Einer aktuellen repräsentativen Forsa-Befragung im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zufolge hatten viele deutsche Unternehmen bereits Probleme mit der Datensicherheit, jeder 25. Mittelständler meldete eine Datenpanne. Wie teuer ein Verstoß werden kann, zeigen die Rekordstrafen in Portugal und vor allem Frankreich, wo die Datenschutzaufsicht ein Bußgeld von 50 Millionen Euro gegen den US-Konzern Google verhängte.

Nebeneffekt der verschärften Datenschutz-Vorschriften: Die Nachfrage nach Cyber-Versicherungen gegen Internetkriminalität steigt. Diese Versicherungen können übrigens eine gute Sache sein, wenn noch einige Ergänzungen folgen und wenn Unternehmen die IT-Security dadurch nicht auf die leichte Schulter nehmen. Daher sollten sich die Beitragshöhen an verschiedenen Sicherheitsstandards orientieren: Wie bei Zahnversicherungen, die bei regelmäßiger Prophylaxe günstiger werden. Und nur wenn anerkannte Tools – wie beispielsweise für die von der DS-GVO geforderte E-Mail-Verschlüsselung – eingesetzt werden, kann der Vertrag zustande kommen.

Unendliche Geschichte: Vom Schreckgespenst zum Exportschlager

Parallel zeigt sich: Der Datenschutz nach Vorbild der europäischen Verordnung wird zum „Exportschlager“. Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach konkreten Lösungen. Ende des vergangenen Jahres hatte Apple-CEO Tim Cook die Verordnung ausdrücklich als Basis für einen weltumspannenden Datenschutz gelobt, vor Kurzem forderte Facebook-Chef Mark Zuckerberg weltweite Internet-Regulierung nach ihrem Vorbild.

Noch gibt es ein vergleichbares Gesetz auf dortiger Bundesebene nicht. Doch mit Kalifornien und Vermont haben die ersten Bundesstaaten neue Datenschutzgesetze nach europäischem Vorbild erlassen. Der „California Consumer Privacy Act“ soll 2020 in Kraft treten, im Zentrum steht der Schutz der Verbraucher beim Umgang mit personenbezogenen Informationen. Das Besondere am CCPA ist, dass er von einer Bürgerinitiative ausging – deutlicher kann ein Signal für das Bürgerinteresse an einem funktionierenden Datenschutzsystem nicht sein.

Ich bleibe dabei: Die Bundesebene in den USA muss und wird nachziehen – und das wird die IT-Branche und ihre Kunden weltweit nachhaltig beeinflussen. Fortsetzung folgt…

Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“. Es sollte 2018 im Schatten der DS-GVO ebenfalls umgesetzt werden und trat nun mit Verzögerung Ende April in Kraft. Unternehmen, die bei der Umsetzung der DS-GVO-Anforderungen gründlich gearbeitet haben, haben hierfür wertvolle Vorarbeit geleistet. Wer Geschäftsgeheimnisse rechtlich schützen will, muss nachweisen, dass er Geheimhaltungsmaßnahmen getroffen hat – wie die Verschlüsselung von E-Mails.

Weitere Informationen zum Thema:

datensicherheit.de, 21.11.2018
Angriffe auf Krankenhäuser über E-Mails: Problem ist Teil der Lösung

datensicherheit.de, 03.06.2019
Unternehmen und DSGVO: Mangelndes Wissen und viel zusätzliche Arbeit

datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

[datensicherheit.de, 12.04.2019] Laut einer Meldung der procilon GROUP wurde am 12. April 2019 vom Bundesrat das „Gesetz zum Schutz von Geschäftsgeheimnissen“ (GeschGehG) gebilligt. Damit sei nun die „Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“ in deutsches Recht umgesetzt. Was sich hinter diesem neuen Gesetz verbirgt, erläutert Rechtsanwalt Hagen Albus, Geschäftsführer der jurcons GmbH, in seiner Stellungnahme gegenüber Andreas Liefeith von procilon.

Handlungsbedarf – denn ohne Schutz kein Geheimnis

Kern seiner Betrachtung seien „vorrangig die Auswirkungen des Gesetzes auf Unternehmen aus Sicht der Informationssicherheit“. Aus juristischer Sicht werde hier eine Lücke geschlossen, „auf die wir in der Praxis des Öfteren gestoßen sind“.
Ein Firmeninhaber z.B., der sich um das besondere und einzigartige Wissen seiner Firma sorgt, habe in der Vergangenheit Know-How, wie Rezepturen, Konstruktionszeichnungen aber auch die firmeninterne Kalkulation in einem Safe gelagert. „Dieser stand nicht selten auch noch im Chef-Zimmer.“ Mitarbeiter mit Zugriff auf diese Unterlagen seien sorgfältig ausgewählt und zu besonderer Verschwiegenheit verpflichtet worden. Heute fänden sich solche Geschäftsgeheimnisse oftmals ungesichert auf irgendwelchen Servern oder in der „Cloud“. „Mitarbeiter jeglicher Couleur können sie einsehen oder kopieren.“ Nicht selten würden vertrauliche Unterlagen unverschlüsselt in einer E-Mail an Geschäftspartner oder Kunden geschickt.
Albus: „Ob man dann noch von Geheimnissen sprechen kann, ist also fraglich. Aus juristischer Sicht stellt sich dann die Frage: Kann ich jemanden zur Rechenschaft ziehen, der eine öffentlich zugängliche Information weitergibt? Oder knapp formuliert: kein Schutz, kein Geheimnis.“

Whistleblowing: Drei-Stufen-Modell soll Eskalation vermeiden

Genau hierbei sei für ihn eine Motivation der Gesetzgebung zu sehen. Es würden die rechtlichen Rahmenbedingungen für die Digitalisierung in der Industrie und Mittelstand in Sachen Verantwortung und Strafbarkeit definiert. Im übertragenen Sinn könne man auch sagen: „Wir reden über digitales Hausrecht und den digitalen Hausfriedensbruch.“
Moralische Kategorien spielten für ihn hier im Rahmen der rechtlichen Bewertung „eine untergeordnete Rolle“: Ob es sich beim sogenannten Whistleblowing etwa um eine Offenlegung von Geschäftsgeheimnissen, eine begründbare, wertvolle Information für die Öffentlichkeit handelt oder überspitzt formuliert nur um eine Denunziation, würden die jeweiligen Einzelfälle zeigen und letztendlich die Gerichte entscheiden müssen.
Bei vernünftigem Vorgehen biete das inzwischen diskutierte dreistufige Meldesystem die Chance, eine Eskalation zu vermeiden. „Ich hoffe doch sehr, dass sich dieses so bezeichnete Drei-Stufen-Modell auch durchsetzen wird. Damit wäre einem großen Teil der Debatte aus meiner Sicht die Schärfe genommen“, so Albus. Die eingangs dargestellten Betrachtungen würden bei den aktuellen und emotional geführten Debatten hierzu leider mitunter übersehen.

Im übertragenen Sinn schreibt GeschGehG „digitalen Safe“ vor

Bedauerlicherweise werde im Gesetz die Einhaltung der IT-Sicherheit nicht direkt erwähnt. „Hier unterscheidet es sich doch erheblich von neueren Gesetzen, wie z.B. dem Bundesdatenschutzgesetz – neu – oder der KRITIS-Verordnung. Allerdings findet sich im GeschGehG die Formulierung ,angemessenen Geheimhaltungsmaßnahmen‘.“
Heute lege kaum noch ein Firmeninhaber das besondere Wissen in den Wand-Safe, „wie das vielleicht in der Gründerzeit üblich war, denn das Wissen existiert fast ausschließlich digital“. Im übertragenen Sinn schreibe das Gesetz also einen „digitalen Safe“ vor – und nach dem Gesetz seien Geschäftsgeheimnisse nur noch die dort geschützt abgelegten Daten. Den wiederum könne man nur mit Bauplänen aus der Informationssicherheit herstellen.
„Übertragen heißt das dann, es liegen Daten mit einem hohen Schutzbedarf vor, die man nach ‚dem Stand der Technik‘ durch angemessene technische und organisatorische Maßnahmen (TOM) schützen muss“, erläutert Albus.

Geschäftsgeheimnisse mit gleicher Sorgfalt wie personenbezogene Daten behandeln!

In den vergangenen Jahren habe man gemeinsam mit eigenen Kunden aufgrund unterschiedlicher Auslöser eine Reihe von Erfahrungen gesammelt. Nicht zuletzt liege in einer zunehmend digitalisierten Welt die Konvergenz von Informationssicherheit und Datenschutz auf der Hand. „Hier hilft unsere ganzheitliche Betrachtungsweise der Themen. Am Ende geht es doch darum, Geschäftsgeheimnisse mit der gleichen Sorgfalt wie personenbezogene Daten zu behandeln.“
Auf der anderen Seite habe das IT-Sicherheitsgesetz dazu beigetragen, dass KRITIS-Unternehmen den ISO 2700x als Sicherheitsstandard etabliert hätten. Auf demselben Standard, ergänzt um einige Branchenspezifika, etabliere sich in der Automobilindustrie der VDA-ISA (TISAX). Dies sei ein sehr gutes Beispiel, wie die sensiblen Daten von Prototypen, also Geschäftsgeheimnise durch einen einheitlichen IT-Sicherheitsstandard besser geschützt werden könnten. Albus: „Und mit dem BSI-Grundschutz gibt es eine Blaupause für den öffentlichen Dienst.“
Unabhängig davon, ob man nur eine Zertifizierung oder ein Testat anstrebt, das Vorgehensmodell zur Erreichung einer besseren Informationssicherheit, also der Bauplan für den digitalen Safe, sei ähnlich. Technologie zur Datenverschlüsselung oder Identity- und Access-Management seien dabei feste Bestandteile.

Weitere Informationen zum Thema:

procilon GROUP
GeschGehG – Gesetz zum Schutz von Geschäftsgeheimnissen

Bundesrat, 12.04.2019
Beschluss / Neue Regeln für den Schutz von Geschäftsgeheimnissen

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

datensicherheit.de, 28.01.2019
Datendiebstahl und Co: Wären Ihre Daten im Ernstfall sicher?