Seit 2019 gilt das neue Geschäftsgeheimnisgesetz (GeschGehG). Demnach sind Geschäftsgeheimnisse nur dann geschützt, wenn Unternehmen präventiv rechtliche und technisch-organisatorische Schutzmaßnahmen getroffen haben. Auch Metadaten können unter den Schutz fallen. Deshalb zeigen wir Ihnen, welche Aspekte Sie zukünftig beachten müssen.
Kooperationen können Risiken bergen
Unternehmen sind auf Kooperationen angewiesen, um innovativ und wettbewerbsfähig bleiben zu können. Dabei gilt es in der Zusammenarbeit mit Partnern die eigenen Geschäftsgeheimnisse zu wahren. Bei Geschäftsgeheimnissen geht es etwa um Informationen zu Herstellungsprozessen und -rezepten, Computerprogramme und -knowhow, Buchführungsunterlagen und Geschäftsstrategien.
Eine Offenbarung an der falschen Stelle könnte deutliche Wettbewerbsnachteile mit sich bringen. Wettbewerber können entscheidende Details aus Forschung und Entwicklung erfahren. Finanzielle Informationen verraten, wie stabil ein Unternehmen ist. Geplante Entwicklungen oder Übernahmen können gefährdet werden, sollten sie Konkurrenten bekannt werden.
Geschäftsgeheimnisse wahren
Für das Geschäftsgeheimnis gibt es in der Europäischen Union erst seit 2016 mit der Richtlinie 2016/943 rechtliche Regeln zum Schutz vertraulichen Wissens und Geschäftsinformationen. Damit können Unternehmen Schadensersatz oder die Entfernung von Waren auf Marktplätzen erwirken. Bei der Ermittlung der Schadenshöhe kann der Gewinn berücksichtigt werden, den die Wirtschaftskriminellen erzielt haben. Umgesetzt wurden die europäischen Regeln 2019 in Deutschland mit dem Geschäftsgeheimnisgesetz (GeschGehG).
Demnach können auch Metadaten als Geschäftsgeheimnis behandelt werden, zu denen der Dateiname, die Dateigröße, der Dateityp und sogar die Dateiendung gehören. Denn je mehr Metadaten miteinander verknüpft werden, desto eher lassen sich aus ihnen Geschäftsgeheimnisse ableiten. Einzelne Metadaten sind demnach nicht unbedingt vom Schutz betroffen.
Schutzmaßnahmen für Geschäftsgeheimnisse
Geschäftsgeheimnisse sind nach dem GeschGehG anders als früher nur dann geschützt, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. Das bedeutet, dass interne Anweisungen und Richtlinie für Mitarbeiter vorliegen müssen. Um welche Maßnahmen es sich handelt, sagt das Gesetz nicht. Gemeint sind damit präventive rechtliche sowie organisatorische und technische Maßnahmen zur Schadensbegrenzung wie sie aus dem Datenschutzrecht sowie den IT-Sicherheitsstandards des Bundesamts für Sicherheit in der Informationstechnik (BSI) bekannt sind. Bereits getroffene Maßnahmen nach der Datenschutzgrundverordnung (DSGVO) sind allerdings nicht ausreichend, wenn sich Geschäftsgeheimnisse auf Daten ohne Personenbezug beziehen.
Unternehmen nutzen für Kooperationen oftmals Cloud-basierte Kooperationsplattformen, die Arbeitsabläufe reibungslos unterstützen. Für Angriffe über das Internet gilt die Faustregel der IT-Sicherheit: Je aufwändiger sich ein Unternehmen gegen Angreifer schützt, desto höher werden die Kosten eines Angriffs. Damit kann ein Unternehmen mögliche Geschäftsrisiken reduzieren und den Angreifer eventuell von weiteren Attacken abbringen. Dabei sind folgende Aspekte wichtig:
Verschlüsselung: Die Datenübertragung und -ablage werden mit kryptografischen Mitteln geschützt: Eine starke Authentifizierung gewährleistet, dass nur Berechtigte auf die Dokumente zugreifen können. Dies kann zeitlich limitiert bzw. jederzeit auch wieder geändert werden.
Zugriffsrechte: Datenschutzregeln sind so in das System integriert, dass die Daten immer nur für einen bestimmten Verarbeitungszweck für bestimmte Personen für einen bestimmten Zeitraum zur Verfügung stehen. Der Zugriff auf die Dokumente kann individuell gestaltet werden. So können sie beispielsweise nur zum Lesen bereitstehen, nicht gespeichert, ausgedruckt oder weitergeleitet werden. Vertrauliche Inhalte werden vor dem Zugriff des technischen Personals geschützt, etwa vor Mitarbeitern des Rechenzentrums oder internen Systemadministratoren.
Protokollierung: Nutzungsaktivitäten werden revisionssicher protokolliert und ermöglichen so einen prüfbaren Nutzungs- und Bearbeitungsablauf. Das Unternehmen erhält ein Feedback darüber, wie intensiv Dokumente genutzt werden.
Stand der Technik: Die eingesetzten Sicherheitsmaßnahmen sind up-to-date und auf dem neuesten Stand der Technik. Dies ist wichtig, weil neue Sicherheitslücken tagtäglich bekannt werden. Die Systeme sind zertifiziert, das heißt, sie setzen aktuelle und anerkannte Standards für Datenschutz und -sicherheit um.
Fazit
Damit also ein Geschäftsgeheimnis auch rechtlich geschützt werden kann, sind zwingend rechtliche sowie technisch-organisatorische Maßnahmen notwendig. Werden diese nicht in ausreichendem Maße getroffen, könnte es schwierig werden, Schadensersatz zu erwirken. Deshalb sollten Sie den Austausch von sensiblen Informationen immer absichern. Brainloop unterstütz Sie bei der Umsetzung einer sicheren IT-Umgebung.
Geschrieben von Limor Gersch
Compliance, Digitalisierung, Informationssicherheit
This could also be of interest:
