Das neue Geschäftsgeheimnisgesetz

Im Juni 2018 lief die Frist zur Umsetzung der europäischen Richtlinie zum Schutz von Geschäftsgeheimnissen (Geheimnisschutz-RL) in nationales Recht ab. Der Bundesgesetzgeber hatte diese Frist versäumt. Erst am 21. März 2019 wurde das Gesetz zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (Geschäftsgeheimnisgesetz, GeschGehG) vom Bundestag verabschiedet.

Was bedeutet das für Unternehmen?

Betriebs- und Geschäftsgeheimnisse sind jetzt nach den Vorschriften des neuen Gesetzes geschützt. Dieses stellt allerdings deutlich höhere Anforderungen an Unternehmen, die ihre elementar wichtigen Informationen vor Wettbewerbern und Berichterstattung schützen wollen.  Benötigt wird ein umfassendes und schlüssiges Konzept. Dazu gehören rechtliche Aspekte (Arbeitsvertragsklauseln!), sowie technische und organisatorische Maßnahmen.

Welche Vorgaben macht der Gesetzgeber?

Keine konkreten. Das ist das Problem. Um künftig nicht völlig schutzlos zu sein, ist daher zumindest eine erste Prüfung im eigenen Unternehmen anzuraten: Welches sind die elementaren Betriebs- und Geschäftsgeheimnisse höchster Schutzstufe? Welche Informationen sind von mittel- bis langfristiger Bedeutung und genießen zumindest Vertraulichkeitsstatus? Und welche Informationen sind intern, sollen also nicht nach außen gelangen? Je nach Einstufung sind unterschiedlich hohe Sicherungsmaßnahmen zu ergreifen und zu dokumentieren. Das ist zwingende Voraussetzung für den Nachweis eines angemessenen Schutzniveaus.

***

Spektakuläre Datenpannen

Täglich werden persönliche Daten, teilweise hochsensible Gesundheits- oder Finanzdaten durch kriminelle Cyberangriffe erbeutet. Oft ist sorgloser Umgang mit Zugangsdaten oder die Vergabe unsicherer Passwörter ein Problem, wie die auf Twitter veröffentlichten Daten von zahlreichen Bundestagsabgeordneten zeigen. Am wenigsten staunenswert ist dabei noch, dass der Täter ein gerade einmal 20 Jahre alter Schüler war. Aber nicht immer kann man sich durch eigene Vorkehrungen vor solchen Angriffen schützen. Das zeigen die spektakulären Angriffe auf Hotelketten wie zuletzt Marriott/Starwood, wo es zum Abfluss von 500 Millionen Datensätzen kam oder die jetzt als „Collection #1“ bekanntgewordene Datenpanne mit ca. 770 Mio. Datensätzen.

Ein Großteil der bei solchen Aktionen widerrechtlich erlangten Angaben wird zumeist in Internet-Datenbanken veröffentlicht und kann als Grundlage von Folgeangriffen dienen, mit der Gefahr immenser wirtschaftlicher Schäden.

Deshalb sollten Sie unbedingt prüfen, ob Sie Opfer einer Datenpanne sind. Das geht ganz einfach, indem Sie beispielsweise den HPI Identity Leak Checker nutzen. Dort können Sie mithilfe Ihrer E-Mailadresse prüfen, ob Ihre Daten bereits im Internet veröffentlicht wurden:

https://sec.hpi.de/ilc/

Sicherheitshalber sollten Sie denselben Test auf dieser Seite durchführen:

https://haveibeenpwned.com/

Falls Sie Opfer eines Angriffs geworden sind, sollten Sie umgehend sämtliche Passörter zu allen Onlinediensten ändern. Vor allem wenig oder gar nicht mehr benutzte Portale, Dienste usw. sollten dabei in den Blick genommen werden, da zahlreiche Folgeangriffe möglich sind, wenn erst einmal ein verwaister Account gekapert wurde.

Achten Sie bei der Vergabe neuer Passwörter darauf, dass ein hoher Sicherheitsstandard gewählt wird, d.h. keine Trivialnamen, Zahlen- oder Buchstabenfolgen, möglichst keine Wörter, die in Lexika auftauchen, willkürliche Durchmischung von Groß-/Kleinschreibung, Zahlen und Sonderzeichen verwendet werden. Auch sollten Passwörter stets nur einmalig vergeben werden und keinesfalls den Zugang zu mehreren Onlinediensten ermöglichen. Achten Sie auch auf eine Länge von möglichst 12 oder mehr Zeichen. Oft wird es sinnvoll sein, Passwörter in einem geeigneten Managementsystem zu verwalten, das dann seinerseits vor unberechtigtem Zugriff geschützte werden sollte, idealerweise durch eine sog. Zweifaktor-Authentifizierung, also Berechtigungsnachweis über ein anderes Endgerät als das gerade benutzte. Übrigens erleben ganz altmodische Notizbüchlein gerade eine Renaissance, diese lassen sich zumindest nicht online durchstöbern.

***

Bußgeldwelle?

Die befürchtete Abmahnwelle wegen angeblicher oder tatsächlicher Verstöße gegen die DSGVO ist ausgeblieben. Droht aber nun eine Bußgeldwelle der Behörden, wie es stellenweise in der Presse heißt? Wohl kaum. Zwar sind mittlerweile Bußgelder in bedeutender Höhe verhängt worden, insgesamt waren es bislang aber nur 41 Verfahren, die überhaupt mit einem Bußgeldbescheid geendet haben. Verglichen mit der Zahl an Bußgeldern im Straßenverkehr oder wegen Hygieneverstößen in der Gastronomie ist das eine völlig unbedeutende Anzahl. Selbst wenn, wie man hört, beispielsweise in Bayern noch ca. 80 Verfahren anhängig sind, ist das gemessen an der Gesamtzahl der wohl tatsächlich ahndungsfähigen Verstöße verschwindend wenig. Durch den knappen Personalschlüssel der Aufsichtsbehörden ist mit einer schnellen Ausweitung oder gar flächendeckenden Prüfungstätigkeit der Behörden auch vorerst nicht zu rechnen.

Gleichwohl ist Vorsicht geboten. Denn die Behörden haben den Mittelstand im Blick und die bisher bekannt gewordene Praxis zeigt, dass der Bußgeldrahmen in sehr ernstzunehmender Weise genutzt wird. Zwar dürfte bei vielen Verfahren ein mittlerer dreistelliger Bereich nicht überschritten worden sein, gleichzeitig wurden aber auch schon Bußgelder in Höhe von 5.000,00 € verhängt, obwohl der Sachverhalt juristisch sehr umstritten und eine Sanktion nicht unbedingt naheliegend war. Von Bußgeldbescheiden betroffene Unternehmen sollten gerade angesichts der vielfach auch auf Behördenseite noch unklaren Rechtslage die oftmals durchaus vielversprechenden Chancen einer gerichtlichen Klärung in Betracht ziehen.

***

Technisch-organisatorische Maßnahmen bei der Mailkommunikation

Bitte beachten Sie bei der Kommunikation per E-Mail, dass hier technische und organisatorische Maßnahmen zum Datenschutz (TOM) einzuhalten sind. Ein verbindlicher Standard existiert noch nicht, wird aber von der DSK gerade ausgearbeitet. Der Landesbeauftragte für den Datenschutz in Nordrhein-Westfalen hat erfreulicherweise die aus seiner Sicht wichtigsten Punkte zusammengefasst, so dass wir von folgendem Sachstand ausgehen können:

Alle E-Mails bedürfen zumindest einer Transport-Verschlüsselung (typischerweise SSL oder TLS), die seit 2014 Standard aller europäischen Provider ist – hier dürfte also kaum Handlungsbedarf bestehen, eine Überprüfung, ob die Transportverschlüsselung der Technischen Richtlinie „BSI TR-03108 Sicherer E-Mail-Transport“ entspricht, kann aber im Zweifelsfall ratsam sein

Bei der Transportverschlüsselung ist aber zu berücksichtigen, dass die E-Mails auf den Sender- und Empfänger E-Mail Servern im Klartext vorliegen und daher grundsätzlich offen einsehbar sind. Wenn also besonders schützenswerte Daten (siehe Art. 9 DSGVO und ganz konkret natürlich Konto-, Kreditkarten- und Finanzierungsdaten, Daten zum Gesundheitszustand, Beschäftigtendaten, Daten Minderjähriger usw.) per Mail verschickt werden, ist eine alleinige Transportverschlüsselung nicht ausreichend. Dann sollten zusätzliche technische und organisatorische Maßnahmen ergriffen oder dem Empfänger zumindest angeboten werden. Darunter fällt z.B. die Ende-zu-Ende-Verschlüsselung oder die Nutzung alternativer Übertragungswege. In der Praxis oft genutzt wird in diesen Fällen der Versand eines .pdf-Dokuments, das mit einem Passwort verschlüsselt wird, welches telephonisch bekanntgegeben wird. Hierbei sollte dann natürlich auf geeignete Identifizierung des Gesprächspartners geachtet werden. Vermeiden Sie außerdem den Fehler, im Betreff der E-Mail personenbezogene Daten zu verwenden.

***

Hilfe bei der Erfüllung der Informationspflichten nach Art. 13, 14 und 21 DSGVO („Datenschutzerklärung“)

Die Erfüllung der Auskunfts- und Informationspflichten nach den Artikeln 13 und 21 DSGVO stellt eines der Kernstücke des neuen Datenschutzrechts dar. In Form der sogenannten Datenschutzerklärung befindet sich mittlerweile auf fast allen Unternehmenswebseiten eine mehr oder weniger umfangreiche Erklärung, teilweise von Generatoren erzeugt, teilweise selbst und nicht immer von Fachleuten erstellt. Mit den Inhalten tun sich viele Unternehmer erwartungsgemäß schwer. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat deshalb dankenswerterweise eine Umsetzungshilfe veröffentlicht, die hier kostenlos abgerufen werden kann

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Informationspflichten-nach-der-Datenschutz-Grundverordnung/Umsetzungshilfe-Datenschutzinformationen_Stand-01_2019.pdf

Zumindest ein Abgleich der momentanen Datenschutzerklärung mit der Arbeitshilfe der Behörde sollte unbedingt erfolgen. Ob dann konkreter Anpassungsbedarf besteht, können Sie gern mit uns klären.

***

KMU und Wirtschaftsspionage

Das BMBF hat im Projekt Wirtschaftsspionage und Konkurrenzausspähung in Deutschland und Europa, kurz WISKOS, die systematische Analyse der Bedrohung kleiner und mittlerer Unternehmen (KMU) durch Wirtschaftsspionage und Konkurrenzausspähung untersuchen lassen. Das vorrangige Interesse bestand in der Herausarbeitung von Möglichkeiten zur Prävention von Know-how-Verlusten und dem Schutz vertraulicher Informationen. Die Ergebnisse sind in einer Broschüre zusammengefasst, die hier kostenlos veröffentlicht ist:

https://wiskos.de/files/pdf4/KMU_Broschuere_doi.pdf

Als kleines digitales Bonbon gibt es dort auch Warnhinweisfenster, die als Bildschirmschoner verwendet werden können,

https://wiskos.de/files/zip1/Warnhinweisfenster.jpg.zip

was ein kleiner, aber nicht zu unterschätzender Schritt zum besseren Datenschutz im Unternehmen sein kann.

***

WhatsApp in Unternehmen

Abschließend weise ich noch darauf hin, dass die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sich zur Nutzung von WhatsApp und ähnlichen Messengerdiensten in Unternehmen geäußert hat. Da die irische Datenschutzaufsichtsbehörde federführende Behörde bei der datenschutzrechtlichen Einschätzung des beliebten Messengers ist, bleibt die Mitteilung der  Bundesdatenschutzbeauftragten etwas vage. Sie enthält aber den klaren Hinweis, dass

Auf dem Gebiet der Unternehmenskommunikation Beschäftigte, soweit sie im Rahmen ihrer Tätigkeit Messenger-Dienste nutzen, mit dienstlich zur Verfügung gestellten mobilen Endgeräten ausgestattet werden sollten, um private und dienstliche Themen und Kommunikation sauber trennen zu können. Kann der Messenger-Dienst auch zur Überwachung des Standortes von Mitarbeitern oder ihrer Leistung genutzt werden, so sind solche Funktionen mit der Personalvertretung und dem betrieblichen Datenschutzbeauftragten abzuklären.

Aufgrund der Bedenken der Bundesdatenschutzbeauftragten sollten die nutzenden Stellen derzeit andere Alternativen der Kommunikation in Betracht ziehen bzw. die von Ihnen beratenen Stellen sollten zumindest die zuvor beschriebenen Aspekte berücksichtigen. Die  Empfehlung eines bestimmten Messenger-Dienstes ist ihr nicht möglich.