Kontakt

Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
Fax unter
+49 711 86040 01

Neues Geschäftsgeheimnisgesetz: Anforderungen an die IT-Sicherheit

Fachbeiträge

Die IT spielt eine zentrale Rolle beim Schutz des eigenen Know-Hows und der Einhaltung der notwendigen Maßnahmen des Geschäftsgeheimnisgesetzes (GeschGehG). Um einen wirksamen Schutz von Geschäftsgeheimnissen und wertvollem Know-How sicherzustellen, bedarf es neben organisatorischen und technischen Maßnahmen auch einer Schulung und Sensibilisierung der eigenen Mitarbeiter.

 

Jedes Unternehmen muss Geheimnisschutz proaktiv vorantreiben   

 

Betriebliches Know-How stellt in vielen Branchen den entscheidenden Vermögenswert eines Unternehmens dar. Der gerichtlich durchsetzbare Schutz dieser Werte wird bereits seit dem 26. April 2019 durch das neue GeschGehG geregelt. Zur gerichtlichen Durchsetzung von Ansprüchen muss das Know-How nun durch „den Umständen entsprechende angemessene Geheimhaltungsmaßnahmen“ geschützt werden. Mit anderen Worten: Hat sich der Unternehmer nicht ausreichend selbst um den Schutz seines Know-Hows bemüht, schützt ihn auch das GeschGehG nicht. Dies gilt unabhängig von der Größe des Unternehmens.

 

Für alle Unternehmen ist entscheidend, wirksame Maßnahmen zu ergreifen, um einerseits die eigenen Geschäftsgeheimnisse, das Know-How, aktiv zu schützen, andererseits im Falle einer Verletzung aber auch gerichtlich vorgehen zu können.

 

Welche Maßnahmen muss mein Unternehmen treffen?

 

Das GeschGehG enthält eine sog. Angemessenheitsklausel, wonach jedes Unternehmen die für sich „angemessenen“ Geheimhaltungsmaßnahmen ergreifen muss. Die Regelung stellt einerseits eine Erleichterung für Unternehmen dar: Danach müssen also nicht die  bestmöglichen Geheimhaltungsmaßnahmen getroffen werden, sondern „lediglich“ angemessene.

 

Andererseits schafft die Regelung aber auch einen großen Unsicherheitsfaktor, weil jedes Unternehmen vor der Frage steht, was im konkreten Fall „angemessen“ ist, welche Risiken in Kauf genommen werden dürfen und welche nicht. Hinzu kommt, dass die Frage der Angemessenheit im Fall eines Prozesses durch das Gericht beantwortet wird. Es gilt also für jedes Unternehmen, individuell zu bewerten, welche Anforderungen an den Geheimnisschutz zu stellen sind, und diese Anforderungen regelmäßig mit dem abzugleichen, was die Rechtsprechung in vergleichbaren Fällen entschieden hat. Bevor sich eine gefestigte Rechtsprechung gebildet hat, müssen hier Kriterien wie der Wert des zu schützenden Know-Hows für das jeweilige Unternehmen, die möglichen Gefährdungen und die Effizienz einzelner Schutzmaßnahmen in der konkreten Situation als Maßstab dienen.

 

Die IT-Infrastruktur muss in jedem Fall geschützt werden

 

Häufig stellt die IT eines Unternehmens im Bereich des Geheimnisschutzes die Achillesferse dar und muss in jedem Fall Gegenstand von Schutzmaßnahmen sein.

 

Die Vergangenheit zeigt, dass nicht der aufwändige Hacker-Angriff aus der Ferne das Haupteinfallstor für Know-How-Dienbstahl ist. Häufiger sind eigene Mitarbeiter Täter oder zumindest (unfreiwillige) Gehilfen beim Geheimnisverlust. „Social Engineering“ bzw. „Social Hacking“ sind hier einschlägige Stichwörter. Dabei handelt es sich um Manipulations- bzw. Intrusionstechniken, die am Verhalten der betriebseigenen Mitarbeiter ansetzen. Know-How wird hier nicht „rein digital“ erbeutet, sondern Mitarbeiter werden gezielt und ohne es selbst zu bemerken dahin manipuliert, Geheimnisse preiszugeben oder bei einem Know-How-Diebstahl mitzuwirken.

 

Angemessene Geheimhaltungsmaßnahmen müssen daher zunächst an den kritischen Punkten ansetzen, auf die die eigenen Mitarbeiter und Geschäftspartner direkt zugreifen können. Erst danach sind Überlegungen über ein aufwändiges technisches Schutzkonzept vor externen Angriffen notwendig.

 

Schulung und Sensibilisierung von Mitarbeitern

 

In den meisten Fällen sind sich Mitarbeiter gar nicht bewusst, dass sie gerade Steigbügelhalter bei einem Know-How-Diebstahl sind. Die Schulung und Sensibilisierung von Mitarbeitern in Bezug auf die rechtliche Bedeutung der IT-Sicherheit stellt deswegen eine wichtige Grundvoraussetzung dar, um angemessene Geheimhaltungsmaßnahmen umzusetzen.

 

Gegenstand dieser Schulung sollte der umsichtige Gebrauch der betriebseigenen IT sein. Ferner muss das Bewusstsein geschärft werden, wie gerade Mitarbeiter Angriffsziel im Rahmen von „Social Hacks“ bzw. „Social Engineering“ sein können. Die möglichen Angriffsszenarien sind hier zahllos: Nicht passwort-geschützte PC-Arbeitsplätze, keine regelmäßige Änderung von Passwörtern bzw. die Verwendung desselben Passworts sowohl für den PC-Arbeitsplatz als auch für sämtliche privaten Zwecke, die Verwendung „gefundener“ oder „geschenkter“ USB-Sticks oder die Antwort auf nicht einwandfrei identifizierbare E-Mails, das alles sind nur die offensichtlichsten der vielen Angriffswege. Auf diese Weise gelangen Dritte dank der „Mithilfe“ der Mitarbeiter eines Unternehmens auch ohne besonders ausgefeilte „Hacker-Fähigkeiten“ leicht an wertvolles Know-How.

 

Organisation der hauseigenen IT

 

Auch Mitarbeitern, die bewusst Geheimnisse oder Know-How entwenden möchten, kann durch verschiedene Maßnahmen entgegengetreten werden: Die hauseigene IT sollte durch ein Berechtigungsmanagement jedem Mitarbeiter nur die Zugriffsrechte auf die lokale IT-Infrastruktur einräumen, die er für die Erledigung ihm aufgetragener Arbeiten benötigt. Der Vollzugriff auf alle auf dem eigenen Server liegenden Dateien muss der Geschäftsführung und der IT-Abteilung vorbehalten sein.

 

Auch die Verwendung privater IT-Geräte sollte, soweit dies umsetzbar ist, technisch ausgeschlossen werden. So kann beispielsweise im Rahmen des Home Office darauf geachtet werden, dass Zugriff auf die Unternehmens-IT lediglich mit dem Firmenlaptop ermöglicht wird. Die Einwahl von privaten (mobilen) IT-Geräten ins firmeneigene WLAN ist ebenfalls auszuschließen.

 

Technische Maßnahmen zum Schutz der hauseigenen IT

 

Durch eine sicherheitsorientierte Organisation der Haus-IT sowie die Schulung und Sensibilisierung von Mitarbeitern können Unternehmen schon ohne großen Aufwand ein Schutzniveau erreichen, das den Know-How-Diebstahl erschwert.

 

Dies stellt aber nur den ersten Schritt zu „angemessenen Geheimhaltungsmaßnahmen“ im Sinne des GeschGehG dar. Eine weitere Möglichkeit, angemessene Maßnahmen durchzuführen, stellt die Implementierung technischer Einrichtungen dar, die die IT vor Angriffen schützen. Es ist selbstverständlich stets die aktuellsten Versionen der genutzten Software zu verwenden. Ein effektives Instrument angemessener Geheimhaltungsmaßnahmen kann auch sein, erfolgte Dateizugriffe und Datenströme zu überwachen und aufzuzeichnen. Unregelmäßigkeiten sowie Indikatoren auf einen stattfindenden Know-How-Diebstahl können so frühzeitig erfasst bzw. in der Vergangenheit liegende Taten rekonstruiert und möglicherweise eingetretene Schäden begrenzt werden. Bei der Überwachung von Mitarbeiterverhalten sind stets die arbeits- und datenschutzrechtlichen Bestimmungen zu beachten, weswegen die Umsetzung solcher Maßnahmen im Einzelfall mit der Rechtsabteilung des Unternehmens abgestimmt werden sollte.

 

Im letzten Schritt kann es je nach Größe des Unternehmens und der dazugehörigen IT erforderlich werden, die hauseigene IT durch spezielle Sicherheitssysteme vor „Angriffen aus der Ferne“ zu schützen.

 

Frühzeitiges Handeln und Maßnahmen dokumentieren

 

Welche Maßnahmen im Einzelfall zu treffen sind, um „angemessen“ zu handeln und so im Schadensfall in den Genuss des gerichtlichen Schutzes zu kommen, muss für jedes Unternehmen gesondert bewertet werden. Orientierung bieten hier vor allem Erfahrungswerte aus der datenschutzrechtlichen Beratungspraxis, in der sich konkrete technische und organisatorische Maßnahmen schon seit vielen Jahren herausgebildet haben, um (personenbezogene) Daten angemessen zu schützen.

 

Unternehmen sollten die notwendigen Maßnahmen nun zeitnah einleiten und entsprechend dokumentieren.  Denn der gerichtliche Schutz hängt jetzt davon ab, dass dem Gericht die Umsetzung angemessener Maßnahmen nachgewiesen werden kann. Bei der Dokumentation sollten Unternehmen darauf achten, Art, Umfang sowie Zeitpunkt und Intention von Schutzmaßnahmen so festzuhalten, dass die Anforderungen des Geschäftsgeheimnisgesetzes erfüllt werden.

 

 

Zurück