Betriebs- und Wirtschaftsspionage, Diebstahl von Geschäftsgeheimnissen sind branchenübergreifend auf der Tagesordnung. In vielen Fällen wird die kriminelle Energie der Täter durch mangelnde IT- und Informationssicherheit begünstigt. Auch wenn Geschäftsgeheimnisse auf den ersten Blick nicht viel mit personenbezogenen Daten zu tun haben lohnt es sich, Synergien des Datenschutzes für diese schützenswerten Daten und Unternehmenswerte zu nutzen. Durch die rechtzeitige Konsultation Ihres Datenschutzbeauftragten im Vorfeld, kann dieser dazu beitragen, Ihre „geheimen“ Daten dank geeigneter technischer und organisatorischer Maßnahmen (toMs) mit abzusichern.
Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG, auch Geschäftsgeheimnisgesetz genannt) wurde am 18.04.2019 erlassen, also fast ein Jahr nach der DS-GVO, allerdings still und leise, ohne viel Aufsehen zu erregen. Dabei sind die Anforderungen dieses Gesetzes sehr anspruchsvoll: rechtlich, technisch und organisatorisch.
Was zählt zu Geschäftsgeheimnissen?
Auf den Nenner gebracht sind das gem. § 2 Abs. 1 b GeschGehG:
Informationen, die geheim sind, also nicht öffentlich zugänglich oder allgemein bekannt. Sie haben einen wirtschaftlichen Wert und müssen vom rechtmäßigen Inhaber angemessenen Geheimhaltungsmaßnahmen unterliegen.
Das hört sich logisch an, die Umsetzung des GeschGehG ist jedoch für viele „rechtmäßige Inhaber“ (Geschäftsführung, Unternehmer, Erfinder) eine neue, nicht zu unterschätzende Herausforderung, da die Geheimhaltungsmaßnahmen technisch und rechtlich einen sehr hohen Anspruch haben.
Datenschutz gibt es nicht erst seit Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 und Geschäftsgeheimnisse nicht erst seit April 2019. Diese Themen begleiten uns schon seit Jahrzenten, es sind die neuen Anforderungen, die wir bei der Umsetzung berücksichtigen müssen.
Es gibt eine Vielzahl „geheimer“ Dokumente im Unternehmen: Gehaltsabrechnungen, Geschäftsbriefe, Kalkulationen, Konditionen bei Lieferanten, Entwicklungsdokumente, Erfindungen, Technologie Papiere, Marktstudien, Rezepturen, Know-how und sonstige Dateien und Unterlagen auf Servern, USB-Sticks und in Schubladen . Diese „Geheimnisse“ dürfen nicht mit Patenten oder Urheberrechten verwechselt werden, für diese gelten besondere Schutzrechte.
Die Auswahl, welche Informationen nach der o.g. Definition als GEHEIM oder Schützenswerte Information gelten muss i.d.R. die Geschäftsführung treffen.
Pflichten der Geschäftsführung
Die Tatsache, dass Geschäftsgeheimnisse geschützt werden müssen ist nicht nur aus technisch organisatorischer Unternehmersicht verständlich. Die Verantwortlichen des Unternehmens müssen dafür Sorge tragen, dass die Geheimnisse nicht nur besonders geschützt werden, sondern Sie müssen auch den Nachweis erbringen, dass die Umsetzung der Schutzmaßnahmen auch dem technischen Stand der Dinge entspricht und rechtlich auf sicheren Füßen steht. Ansonsten kann es zu Schwierigkeiten bei der Durchsetzung des Rechts gegenüber dem Täter kommen.
Einen pauschalen Maßnahmenkatalog über notwendige Sicherheitsmaßnahmen gibt es nicht, das macht dieses Verfahren aufwendig. Jeder Sachverhalt muss individuell geprüft, bewertet und mit Maßnahmen hinterlegt werden.
Die Schutzwürdigkeit des Geheimnisses muss bewertet werden, um die entsprechenden, adäquaten Geheimhaltungsmaßnahmen zu treffen. Je geheimer eine Information ist, desto höher ist die angemessene Geheimhaltungsmaßnahme zu gestalten. Dabei spielen die Faktoren wirtschaftlicher Wert, Wettbewerbsvorteil durch die Information, Gefährdung der Information und Aufwand für die Geheimhaltung der Information eine bestimmende Rolle. Das bedeutet, wir benötigen hierzu ein weiteres Konzept, ein Konzept der Geheimhaltungsinformationen und -maßnahmen, um einen gezielten Schutz und Kontrolle der Schutzmechanismen zu gewährleisten.
Welches Risiko besteht?
Cyberangriffe (WannaCry, Spectre, Meltdown), Phishing Attacken, Spoofing, Datenklau durch Mitarbeiter oder unbemerkter Datenabfluss passieren immer nur den anderen. Solange im eigenen Unternehmen nichts passiert, wähnt man seine Geschäftsgeheimnisse sicher. Doch weit gefehlt.
Was ist, wenn solche „geheimen“ Dokumente/Informationen durch unzureichende Zugriffsberechtigungen, schlecht gewartete IT Infrastruktur oder fahrlässige Mitarbeitenden offen, für eine Vielzahl von Nutzern zugänglich ist? Richtig, dann sind diese Informationen nicht mehr „geheim“(§2 Abs.1 b GeschGehG).
Die geheimen Informationen sind in den Händen unbefugter Dritter und die Durchsetzung der Rechte (Auskunfts-, Unterlassungs- und Schadensersatzansprüche) in Bezug auf das GeschGehG werden in diesen Fällen nicht erfolgreich durchzusetzen sein, da die Informationen eben nicht den „angemessenen Geheimhaltungsmaßnahmen“ unterlagen.
Der monetäre Schaden durch Spionage und Datenklau wird in Deutschland auf jährlich 50-100 Mrd. geschätzt.[1]
[1] Houdeau, D. & Rose, O. (2015). Industrie 4.0 – Wie sichert man Produktionsketten gegen Wirtschaftsspionage ab? Forschungszentrum Cyber Defence – Universität der Bundeswehr München, München.
Die Probleme kennen
Die Anzahl der Verdachtsfälle und Vorfälle in KMU beträgt ca. 11%. In größeren Unternehmen sogar 18%.[2] Gründe für den ungewollten Abfluss von Betriebs- und Geschäftsgeheimnissen sind überwiegend mangelnde Sicherheitsvorkehrungen. In der gleichen Studie des Fraunhofer ISI „Spione in der Produktion“ wird eine erschreckende Zahl genannt: 41% der Unternehmen haben demnach „überhaupt“ keine(!) Schutzmaßnahmen gegen ungewollten Informationsabfluss“ getroffen. [3]
Neben den bekannten Zutritts-, Zugangs- oder Zugriffskontrollen werden in der DS-GVO im Art. 32 noch weitere Schutzmaßnahmen im technischen und organisatorischen Bereich genannt, welche die IT Sicherheit, nicht nur in Bezug auf personenbezogene Daten nachweisbar (siehe Rechenschaftspflicht) verbessern. Man kann davon ausgehen, das Unternehmen, die sich spätestens seit dem 25. Mai 2018 mit dem Thema Datenschutz befassen, somit auch einen Beitrag zur Sicherheit ihrer Geschäftsgeheimnisse leisten.
Genau an dieser Stelle leisten wir Datenschützer einen Zusatzbeitrag für die Sicherheit der Geschäftsgeheimnisse. Im Rahmen der regelmäßigen Datenschutzberatung helfen wir unseren Kunden durch die Entwicklung von technischen wie auch organisatorischen Maßnahmen die Sicherheit im Bereich IT / ITK zu erfassen, verbessern und die Wirksamkeit zu überprüfen.
Was können Sie tun, um Ihre Geschäftsgeheimnisse zu schützen?
Aus meiner Praxis als Datenschützer möchte ich an dieser Stelle nur die wichtigsten Schritte nennen, um Synergien aus dem Datenschutz zu nutzen. Das ganze Thema ist nicht trivial, aber mit Werkzeugen und Methoden des Datenschutzes realisierbar. Für die technische Umsetzung müssen IT oder IT Sicherheitsbeauftragte unterstützen und implementieren.
1. Überblick verschaffen
Zuerst werden die Kategorien von Geschäftsgeheimnissen definiert. Wir kennen das aus dem Bereich der Klassifikation der Schutzbedürftigkeit von Informationen (Geheimhaltungsstufen wie z.B.: confidential, top secret). Ähnlich wie beim Erstellen eines Löschkonzepts erleichtert eine saubere Klassifizierung die spätere Definition der Maßnahmen bezüglich des Schutzkonzepts.
2. Maßnahmen zum Schutz festlegen
Ähnlich wie im Datenschutz werden die Vorgaben zur Datensicherheit (Art. 32 DS-GVO), kurzum die technischen und organisatorischen Maßnahmen (toMs) festgelegt:
technische Maßnahmen sind Schutzversuche, die im weitesten Sinne physisch umsetzbar sind:
- Umzäunung des Geländes
- Sicherung von Türen und Fenstern
- bauliche Maßnahmen allgemein
- Werkschutz, Alarmanlagen, Videoüberwachung
oder Maßnahmen die in Soft- und Hardware umgesetzt werden, wie etwa
- Berechtigungskonzept / Zugriffsrechte
- Passwortrichtlinie
- Protokollierung
- Verschlüsselung, VPN
organisatorische Maßnahmen sind Schutzversuche, die durch Verfahrens- und Vorgehensweisen umgesetzt werden:
- Besuchermanagement
- Schutzkonzept
- Lösch-/Vernichtungskonzept
- Datenschutzmanagement
- Datenschutzaudits[4]
Je nach Geheimhaltungsstufe sind unter Berücksichtigung des Stands der Technik und den Implementierungskosten entsprechende Maßnahmen zu definieren. Der Vorteil der Vorgehensweise liegt darin, dass die toMs einer regelmäßigen Überprüfung durch ihren Datenschutzbeauftragten unterliegen und auch Veränderungen zeitnah erfasst und umgesetzt werden, um Sicherheitslücken zu minimieren.
3. Umfassende und ausreichende Dokumentation
Die Nachweispflicht in dokumentierter Form zieht sich durch alle organisatorischen Bereiche eines Unternehmens. Für das GeschGehG ist es wichtig, Nachweise und Maßnahmen aus Beweisgründen zu erstellen, vorzuhalten und vor Veränderung, Manipulation oder Löschen zu sichern. Und schon wieder ist der Datenschutz gefragt. Als Dokumentationsgrundlage kann auch das Verarbeitungsverzeichnis (Art. 30 DS-GVO) herangezogen werden.
4. Absichern von Geschäftsgeheimnissen durch Verträge und Vereinbarungen
Vertraulichkeitsvereinbarungen mit Mitarbeitern, Freelancern, Dienstleistern abschließen bzw. auf die neuen Anforderungen hin ändern und die neue Gesetzeslage berücksichtigen (Regelungen der §§ 17-19 UWG wurden durch das GeschGehG abgelöst).
Fazit
Datensicherheit, Informationssicherheit und Datenschutz darf nicht isoliert betrachtet werden, sondern als Gesamtverbund für alle schützenswerten Bereiche eines Unternehmens. Dabei sind viele Schnittstellen, intern wie extern, zu berücksichtigen. Insbesondere der technische Stand, die Entwicklung und auch die Art und Weise, wie und wo wir unsere Daten heute und in Zukunft bearbeiten (Cloud Computing, Home Office …).
Wer sich sowieso schon mit der Umsetzung der DS-GVO befasst, kann die gewonnen Erkenntnisse, Methoden und Werkzeuge des Datenschutzes auf die Sicherung von Geschäftsgeheimnissen übertragen und nutzen.
Letztendlich obliegt die Entscheidung der Geschäftsführung, welche Geschäftsgeheimnisse sie mit welchen Methoden schützen möchte.
Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.
Von Marco Kurz
Bildquelle: Bild von Annaba Algeria auf Pixabay
[1] Houdeau, D. & Rose, O. (2015). Industrie 4.0 – Wie sichert man Produktionsketten gegen Wirtschaftsspionage ab? Forschungszentrum Cyber Defence – Universität der Bundeswehr München, München.
[2]/3 https://www.isi.fraunhofer.de/content/dam/isi/dokumente/modernisierungproduktion/erhebung2015/PI_72_Wirtschaftsspionage.pdf,
[4] Quelle: Technische und Organisatorische Maßnahme im „Datenschutz-Wiki“ 21.7.2019