Daten treiben die Geschäftsmodelle von immer mehr Unternehmen. Umso erstaunlicher ist es, dass der Schutz vertraulicher Informationen oft vernachlässigt wird. Das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) zwingt Unternehmen nun dazu, aktiv angemessene Sicherheitsvorkehrungen zu treffen. Wir erklären Ihnen, wie Sie mit einem Informationssicherheits-Managementsystem (ISMS) Geschäftsgeheimnisse in Zukunft angemessen schützen – und was Sie sofort für eine bessere Informationssicherheit tun können.
Die neuen Anforderungen des Gesetzes zum Schutz von Geschäftsgeheimnissen
Am 26. April 2019 löste das Gesetz zum Schutz von Geschäftsgeheimnissen die bisherigen Regelungen zum Verrat von Geschäfts- und Betriebsgeheimnissen im Gesetz gegen den unlauteren Wettbewerb (UWG) ab. Konkret wurden die Regelungen in §§ 17 bis 19 UWG durch die neuen Geschäftsgeheimnisregelungen ersetzt.
Das Gesetz birgt eine grundlegende Veränderung, die viele Unternehmen in Zugzwang setzt. Die Definition des Geschäftsgeheimnisses gem. § 2 Abs. 1 GeschGehG umfasst nun die Voraussetzung, dass eine Information angemessen geschützt werden muss. Andernfalls fällt sie nicht unter den Anwendungsbereich des GeschGehG. Es reicht demnach nicht mehr aus, dass Geschäftsinformationen nach dem subjektiven Willen des Geheimnisinhabers geheim bleiben sollten.
Geschäftsgeheimnisse sind also nur noch dann rechtlich geschützt, wenn vom Inhaber angemessene Geheimhaltungsmaßnahmen zum Schutz der Information getroffen wurden. Will man sich auf ein Geschäftsgeheimnis berufen, muss man dazu nachweisen können, dass den Umständen entsprechend angemessene Geheimhaltungsmaßnahmen getroffen wurden.
Aus dem gesetzlichen Zwang ergeben sich zugleich verschiedene Chancen für Unternehmen. Zum einen sorgt die Umsetzung der höheren Anforderungen an den Schutz geheimer Informationen dafür, dass insgesamt weniger Datenlecks auftreten. Unternehmen können durch bessere Absicherung Cyberangriffe, Innentäter und sonstigen Datendiebstahl abwehren. Beachtliche Nebeneffekte erhöhter Informationssicherheit sind, dass schmerzhaft hohe Bußgelder durch Aufsichtsbehörden vermieden werden und der gute Name erhalten bleibt.
Zum anderen genießt ein Unternehmen, das seine Geschäftsgeheimnisse angemessen schützt, weitreichende Ansprüche gegen Verletzer. Neben dem Anspruch auf Beseitigung, Unterlassung, Auskunft sowie Schadensersatz, kann der Inhaber des Geschäftsgeheimnisses auch die Vernichtung oder Herausgabe, den Rückruf des Produkts, dessen Entfernung aus den Vertriebswegen, dessen Vernichtung oder die Rücknahme vom Markt erwirken. Dabei verbietet das GeschGehG explizit Verstöße gegen Vertraulichkeitsvereinbarungen, was den Schutz solcher Vereinbarungen deutlich erhöht.
Planloser Schutz von Geschäftsgeheimnissen birgt Gefahren
Da Informationen im Unternehmen allgegenwärtig sind, fällt es vielen Organisationen schwer angemessene Schutzmaßnahmen zu treffen und diese durchzusetzen sowie zuverlässig weiterzuentwickeln. Unbedachte Datenschlupflöcher, wie z.B. der Verlust von Laptops oder mobilen Endgeräten, Bring your own device, zugängliche Papiermülltonnen, offene Netzwerke und Cloud-Leaks vermindern oft und teilweise unbemerkt den angemessenen Schutz von Informationen im Sinne des GeschGehG.
Planlos beschlossene Vorkehrungen können jedoch zu weitreichenden Sicherheitsrisiken führen und damit die getroffenen Bemühungen konterkarieren. Beispielsweise sorgen unpraktische Dokumentverschlüsselungsvorgaben oft dafür, dass Mitarbeiter Dokumente ausdrucken und ungesichert lagern. Für die Weiterentwicklung und Kontrolle der Maßnahmen fühlt sich meist niemand zuständig, von der Dokumentation für Beweiszwecke ganz zu schweigen. Dieses Vorgehen bietet rechtlichen Risiken Tür und Tor.
Planvoller Schutz von Geschäftsgeheimnissen mit einem ISMS
Um den Umgang mit Daten vollumfassend auszuleuchten ist ein Informationssicherheits-Managementsystem nach ISO 27001 Gold wert. Die genannte Norm ist ein international anerkannter Standard zur sicheren Verarbeitung von Informationen im Unternehmen. Sie hilft dabei für jede Art von Datenverarbeitung realistische Schutzmaßnahmen zu treffen, ohne unnötig an operativer Flexibilität einzubüßen. Zudem schafft ein ISMS klare Zuständigkeiten, fundierte Risikobewertungen zu unternehmenswichtigen Informationen, Überprüfung der Sicherheitsmaßnahmen, Planung und Kontrolle von Ressourcen sowie Fachkompetenz, Mitarbeiteraufklärung und belastbare Dokumentation.
Aber wie bewerkstelligt man es mittels ISMS die weite Informationslandschaft eines Unternehmens ganzheitlich zu betrachten? Der pflichtmäßig zu durchlaufende Plan-Do-Check-Act Zyklus (PDCA-Zyklus) ist der Schlüssel, um wirksame Informationssicherheitsmaßnahmen zu gewährleisten:
- Plan: Die Informationssicherheit, Maßnahmen und Ziele werden abstrakt festgelegt, um ein widerspruchsfreies Sicherheitskonzept aufzustellen.
- Do: Maßnahmen werden vom Konzept abgeleitet, implementiert und in der Organisation aktiv gelebt.
- Check: Regelmäßige Kontrollen stellen sicher, dass abstrakte Konzepte richtig definiert sind und die Implementierung von Maßnahmen sachgerecht erfolgte.
- Act: Auf Basis festgestellter Mängel, werden Korrekturmaßnahmen zur Behebung getroffen.
Quickfixes zum Schutz Ihrer geheimen Informationen
Ein ISMS einzuführen dauert seine Zeit. Sollten Sie sich ad-hoc behelfen müssen, empfehlen wir die folgenden Quickfixes:
- Alle Informationen erfassen, die im Unternehmen als schützenswert erachtet werden (Definition aus § 2 Nr. 1 a) GeschGehG);
- Den erfassten Informationen Schutzklassen zuordnen;
- Für jede Schutzklasse angemessene Schutzmaßnahmen installieren. Hier sind sowohl technische und organisatorische Maßnahmen als auch vertragliche Schutzmaßnahmen (Vertraulichkeitsverpflichtungen und Geheimhaltungsvereinbarungen) anzuwenden;
- Getroffene Maßnahmen fortlaufend dokumentieren;
- Sofern Sicherungsmaßnahmen mit der Zeit überholt sind, sollten sie gegen wirksamere Lösungen ersetzt werden.
Potentielle technische und organisatorische Sicherungsmaßnahmen sind:
- Verabschiedung stimmiger IT-Sicherheitsrichtlinien;
- Zugangsbeschränkung (z.B. angemessener Passwortschutz);
- Gezielte Berechtigungsvergabe und -entziehung;
- Checklisten zu ausgegebener IT-Hardware und Nutzeraccounts;
- Umgang mit Testdaten;
- Verschlüsselung von Daten im Ruhezustand und im Transport;
- Virenschutz, Firewalls und Backups;
- Physische Sicherung des Gebäudes und Informationsverarbeitungsanlagen;
- Handhabung und Entsorgung von Datenträgern und
- Regelmäßige Audits der Sicherungsmaßnahmen
Mittel- und langfristig kann allerdings nur ein ISMS nach ISO 27001 zuverlässig gewährleisten, dass zielgenau und tatsächlich umfassend Sicherungsmaßnahmen getroffen, eingehalten und fortlaufend entwickelt werden.
Fazit: Sofort loslegen, dann systematisch aufbauen
Das GeschGehG zwingt Unternehmen dazu, wirksame und angemessene Schutzmaßnahmen zu treffen, um die Information im Ernstfall verteidigen zu können. Die Einführung von Sicherheitsvorkehrungen sollte jedoch systematisch und dokumentiert erfolgen. Nach einigen Ad-hoc-Verbesserungen sollte möglichst auf die Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 gesetzt werden.
Lassen Sie jetzt Ihre Datensicherheit nach ISO 27001 zertifizieren. Unser externer Informationssicherheitsbeauftragter führt Sie bis zur erfolgreichen Zertifizierung.