Adacor - IT Security

3 Maßnahmen wie Unternehmen ihre Geschäftsgeheimnisse schützen

3. Juli 2019 von Lars Wagner

Unternehmen müssen ihre Betriebs- und Geschäftsgeheimnisse ausreichend schützen. Besonderes Augenmerk liegt hierbei auf dem betrieblichen Know-how, welches auch als Herzstück des Unternehmens bezeichnet wird. Denn Wissen trägt erheblich zum Unternehmenswert bei und schafft Wettbewerbsvorteile. Was ein Geschäftsgeheimnis ist und welche Sicherheitsmaßnahmen zum Schutz geeignet sind, regelt das neue Geschäftsgeheimnisschutzgesetz (GeschGehG). Es trat am 26. April in Kraft. Die Richtlinien bringen diverse Pflichten mit sich, aber auch etliche Möglichkeiten, um angemessene Schutzmaßnahmen im Unternehmen zu etablieren.

Wir zeigen wie Unternehmen ihre Betriebs- und Geschäftsgeheimnisse ausreichend schützen!

Wir zeigen wie Unternehmen ihre Betriebs- und Geschäftsgeheimnisse ausreichend schützen!

Was ist neu beim Geschäftsgeheimnisschutzgesetz?

Das neue Gesetz orientiert sich an den Vorgaben der Richtlinie des Europäischen Parlamentes und Rates (EU) 2016/943. Diese regelt den Schutz von vertraulichem Know-how sowie Geschäftsinformationen (Geschäftsgeheimnissen) vor rechtswidrigem Erwerb und rechtswidriger Nutzung und Offenlegung. Nach bisheriger Rechtsprechung war eine Geheimhaltungsabsicht ausreichend, damit ein rechtlich geschütztes Geschäftsgeheimnis vorlag. Jetzt müssen Unternehmen angemessene Schutzmaßnahmen ergreifen und diese schriftlich dokumentieren. Wie ein angemessener Schutz im Einzelfall auszusehen hat, hängt von der Art des jeweiligen Geheimnisses ab. So gelten laut Gesetz beispielsweise unverschlüsselte E-Mails nicht mehr als Geschäftsgeheimnis, selbst wenn sie als geheim oder vertraulich gekennzeichnet werden.

Was sind eigentlich Geschäftsgeheimnisse?

Geschäftsgeheimnisse sind sensible und schützenswerte Informationen, die Personen, Prozesse und Tätigkeiten des Unternehmens betreffen. Für das Vorliegen eines Geschäftsgeheimnisses sind zwei Voraussetzungen relevant: Zum einen muss die Information einen wirtschaftlichen Wert besitzen, zum anderen darf sie bei Personen, die üblicherweise mit der Art dieser Informationen umgehen, nicht allgemein bekannt oder einfach zugänglich sein. Für eine genaue Festlegung, welche Informationen der Geheimhaltung bedürfen, empfiehlt sich das Verifizieren in drei Schritten:

  1. Identifizieren
    Welche Informationen werden im Unternehmen erzeugt und genutzt? Der Fokus bei der Überprüfung liegt hier auf folgenden Informationen: Kundendaten, Bilanzen, Daten über Lieferfirmen, Kalkulationen, Pläne, Rezepturen, Algorithmen, Source Codes oder die Dokumentationen der Programmierer.
  2. Bewerten
    Welche von den identifizierten Informationen sind schützenswert, weil sie ein Alleinstellungsmerkmal oder eine besondere Bedeutung für die Geschäftsprozesse haben? Hier wird auch der Personenkreis erfasst (Mitarbeitende oder Geschäftspartnern), der Geschäftsgeheimnisse kennt oder dem diese bekannt gemacht werden sollen. Was ein Geheimnis sein soll, ist letztlich von der individuellen Entscheidung des jeweiligen Unternehmens abhängig.
  3. Schützen
    Welche Maßnahmen sind zum Schutz des Know-hows notwendig? Hier reicht die alleinige Einstufung als „vertraulich“ oder „Geschäftsgeheimnis“ nicht aus. Vielmehr müssen tatsächliche Sicherungsmaßnahmen im Sinne des GeschGehG ergriffen werden, um rechtlich als Geschäftsgeheimnis zu gelten.

Managed Kubernetes Hosting von Adacor

Wir unterstützen Sie ganz nach Ihren Bedürfnissen

  • Kubernetes Cluster individuell bereitgestellt
  • CI/CD Pipeline maßgeschneidert aufgebaut
  • Übernahme des Cluster- & Container-Managements

Jetzt mehr erfahren!

Wie entwickeln Sie für Ihr Unternehmen passende Schutzmaßnahmen?

Neue Impulse gefällig?

Nix verpassen: Abonniere den Adcaor Newsletter!

Nein, Danke.

Um die Information als Geheimnis zu schützen, müssen Unternehmen technische und organisatorische Maßnahmen ergreifen. Betriebe, die im Rahmen der Europäischen Datenschutzgrundverordnung (EU-DSGVO) bereits entsprechende organisatorische, technische und rechtliche Maßnahmen implementiert haben, sind im Vorteil und können an den vorhandenen Strukturen anknüpfen.

Organisatorische Maßnahmen

Bei der Entwicklung von organisatorischen Maßnahmen empfiehlt sich die Einhaltung des Need-to-know-Prinzips. Durch die Erstellung sowie regelmäßige Prüfung und Anpassung eines Rollen- und Berechtigungskonzepts erhält nur der Personenkreis Zugriff auf die Information, der diese tatsächlich benötigt. Darüber hinaus unterstützen Schulungen die Sensibilisierung der Mitarbeitenden. Diese sollten ein Bewusstsein dafür entwickeln, was schützenswert ist, um die entsprechenden Maßnahmen treffen zu können. So sollte bei dem Telefonieren in der Bahn und Unterhaltungen in Restaurants oder weiteren öffentlichen Orten selbstverständlich sein, keine Geschäftsgeheimnisse preiszugeben. Auch das Handling von Whiteboards, auf dem Geschäftsgeheimnisse dokumentiert sind, sollte besprochen werden.

Technische Maßnahmen

Die technischen Maßnahmen sollten neben einer verschlüsselten Speicherung und Übertragung von elektronisch dokumentierten Geschäftsgeheimnissen, auch Zugangsbeschränkungen sowie physische Sicherheit umfassen. Sobald eine Information als Geheimnis eingestuft wird, reicht es nicht sie nur so zu bezeichnen, sondern sie muss tatsächlich als Geheimnis behandelt werden. Die Umsetzung entsprechender Maßnahmen sollte sichergestellt werden. Dazu zählt eine verschlüsselte Kommunikation, eine Festplattenvollverschlüsselung sowie die Transportverschlüsselung, welche die sichere Datenübertragung zwischen Homeoffice und Firmennetz gewährleistet. Ebenso zählt das Sperren des Bildschirms beim Verlassen des Arbeitsplatzes, ein Blickschutz sowie die sichere Lagerung und Vernichtung von dokumentierten Geschäftsgeheimnissen zu den möglichen Maßnahmen.

Rechtliche Maßnahmen

Rechtliche Maßnahmen beinhalten zum Beispiel als Ergänzung zu den arbeitsvertraglichen Nebenpflichten zur Verschwiegenheit den Abschluss konkreter Geheimhaltungsvereinbarungen mit den Beschäftigten. In umso mehr Geschäftsgeheimnissen ein Mitarbeitender eingeweiht ist, desto präziser sollte die Geheimhaltungsvereinbarungen formuliert werden. Auch Geschäftspartner sollten vertraglich zum Geheimnisschutz verpflichtet werden. Zudem ist es vorteilhaft, die Geheimhaltungsmaßnahmen schriftlich zu dokumentieren, sie in regelmäßigen Abständen zu überprüfen und gegebenenfalls zu aktualisieren. Dadurch wird die Darlegungs- und Beweispflicht des Inhabers des Geschäftsgeheimnisses im Streitfall sichergestellt.

Auslagerung von Geschäftsgeheimnissen bietet Vorteile

Als professioneller Cloud- und Hosting-Dienstleister trägt Adacor die Verantwortung für die Datensicherheit der Kunden. Der Schutz von persönlichen Daten und Geschäftsgeheimnissen ist für uns eine grundlegende Voraussetzung für eine vertrauensvolle Zusammenarbeit mit unseren Kunden. Deshalb kann die Auslagerung von Systemen an Adacor bei dem Schutz von Geschäftsgeheimnissen helfen. Der sichere Betrieb von IT-Systemen ist aufwändig und braucht entsprechende Experten. Cloud- und Hosting-Dienstleister müssen durch umfassende Sicherheitsmaßnamen sowohl den Schutz der Rechenzentren als auch des Netzwerkes und die Produktsicherheit gewährleisten. Unternehmen, die ihre Daten an einen solchen Dienstleister auslagern, profitieren von dem hohen Sicherheitsniveau. Ebenso können Synergieeffekte entstehen, indem Geschäftsgeheimnisse geschützt und DSGVO konforme Datenlagerung- und Verarbeitung gewährleistet werden.

Der Stand unserer organisatorischen und technischen Maßnahmen ist bereits gesetzeskonform. Weitere rechtlichen Maßnahmen, die wir entsprechend dem GeschGehG eingeführt haben, sind die Ausweitung von Zugangskontrollen und Geheimhaltungspflichten. Darüber hinaus haben wir bei Adacor ein Information Security Management etabliert, welches sich kontinuierlich mit der Entwicklung und Einhaltung von Sicherheitsmaßnahmen beschäftigt. Beim Vorgehen hinsichtlich interner Geheimnisse beachten wir das Need-to-know-Prinzip. Das heißt, bei Adacor haben wir ein klar formuliertes Rollen- und Berechtigungskonzept entwickelt, das wir in unseren Sicherheitsrichtlinien schriftlich fixiert haben. Darüber hinaus sensibilisieren wir die Kolleginnen und Kollegen in regelmäßigen Schulungen für den Umgang mit Geschäftsgeheimnissen.

Fazit: Unternehmen sollten jetzt handeln

Das neue Geschäftsgeheimnisgesetz verbessert den bestehenden Schutz von Geschäftsgeheimnissen und erhöht die Rechtssicherheit. Allerdings sollten Unternehmen jetzt handeln. Erst wenn sie alle Schutzmaßnahmen eingeleitet haben, die erforderlich sind, um ein Geschäftsgeheimnis als geheim zu klassifizieren, fällt dieses unter den Schutz des Gesetzes. Es empfiehlt sich daher für Unternehmen zeitnah entsprechende technische, organisatorische und rechtliche Maßnahmen auszuarbeiten und diese schriftlich zu dokumentieren, um auch im Streitfall die Darlegungs- und Beweispflicht zu erfüllen. Zudem kann die Zusammenarbeit mit einem Cloud- und Hosting-Dienstleister den Schutz erhöhen und Maßnahmen erleichtern. IT-Sicherheit ist kein Zustand, sondern ein Prozess, den Unternehmen durch Auslagerung an vertrauensvolle Cloud- und Hosting-Dienstleister vereinfachen können.

Verwandte Artikel