Ri 03/2020: down the rabbit hole.

Ri 03/2020: Navigation

Ri 03/2020: Beitrag

Rumpelstilzchen und die Kunst wie ein Geheimnis ein Geheimnis bleibt

Das neue GeschGehG und die Anforderungen an die IT-Infrastruktur

Mirjam H. Steinfeld

I.  Einleitung

Beinahe jedes Märchen hat einen wahren Kern[1] und so wussten schon die Gebrüder Grimm, dass ein Geheimnis nur dann einen Wert hat, wenn „keiner“ (also niemand Unbefugtes) dieses Geheimnis kennt.

In der Geschichte des Rumpelstilzchens hilft dieses der armen Bauerstochter die Gemahlin des Königs zu werden. Als Lohn hierfür fordert es ihr Erstgeborenes, hat dann aber Mitleid mit der Bauerstochter – nunmehr Königin – und bietet ihr Verschonung an, sofern sie seinen Namen erraten kann. Die kluge Königin schickt einen Boten aus, der den Namen erkunden möge. Dieser sieht, nach drei Tagen Suche, tatsächlich ein „lächerliches Männlein“ um ein Feuer tanzen und dabei singen:

„Heute back ich,

Morgen brau ich,

Übermorgen hol ich der Königin ihr Kind;

Ach, wie gut ist, dass niemand weiß,

dass ich Rumpelstilzchen heiß!“

Als die Königin das Männlein mit ihrer Erkenntnis konfrontiert, entfährt es diesem:

„Das hat dir der Teufel gesagt, das hat dir der Teufel gesagt!“

Rumpelstilzchens Erzürnung und Verwunderung ist nachvollziehbar. War es doch offenkundig der Ansicht, dass niemand – mit Ausnahme des Teufels – sein Geheimnis hätte aufdecken können.

Ganz offenkundig, handelte es sich bei seinem Namen auch um ein Geheimnis, da dieses nicht ohne weiteres bekannt war. Auch wollte Rumpelstilzchen, dass sein Name ein Geheimnis bleibt. Allerdings muss konstatiert werden, dass das laute Herausschreien des Geheimnisses, auch wenn dies vor kleinem Haus „an einen hohen Berg um die Waldecke, wo Fuchs und Has sich gute Nacht sagen“ geschieht, zweifelsohne keine angemessene Geheimhaltungsmaßnahme ist.

Viele Unternehmen verhalten sich wie das gute alte Rumpelstilzchen. Denn obwohl sie ihren wirtschaftlichen Erfolg auf ihren Geheimnissen gründen, so ist oftmals festzustellen, dass auch sie – durch die zugrundeliegende (IT-)Infrastruktur – ihre Geheimnisse wie um ein Feuer tanzend herausschreien. Das neue Geschäftsgeheimnisgesetz (GeschGehG) allein wird ohne seine umsichtige Umsetzung an dieser Situation nicht viel ändern können.

Im Folgenden soll daher aufgezeigt werden, wie Unternehmen ihre Geheimhaltungsinteressen anhand der Anforderungen des GeschGehG umsetzen können bzw. sollten. Dabei soll sich auf die IT-Infrastruktur konzentriert werden, denn was zu Grimm’s Zeiten der Bote und das Feuer vor dem kleinen Haus waren, das sind heute „Datendiebe“[2] und das vermeintlich sichere Unternehmensnetzwerk.

___STEADY_PAYWALL___


II. Das neue Geschäftsgeheimnisgesetz (GeschGehG)

1. Historie

Bis zum 26. April 2019 wurde in Deutschland der Schutz von Geschäftsgeheimnissen ausschließlich über das Gesetz gegen den unlauteren Wettbewerb (UWG) geregelt. Im Wege der Umsetzung der europäischen Geschäftsgeheimnis-Richtlinie ((EU) 2016/943)[3] wurde nunmehr ein ganz eigenes Gesetz, das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), geschaffen.[4]


2. Definitionen

Der Begriff des Geschäftsgeheimnisses wird hierdurch erstmals wie folgt legaldefiniert (§ 2 Nr. 1 GeschGehG):

Geschäftsgeheimnis [ist] eine Information

a) die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und

b) die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und

c) bei der ein berechtigtes Interesse an der Geheimhaltung besteht; […].

Alle drei Voraussetzungen müssen kumulativ, d.h. nebeneinander vorliegen, damit der Inhaber des Geschäftsgeheimnisses von den im GeschGehG verankerten Rechten profitieren kann.

Die erste und die letzte Voraussetzung a) und c) stellen dabei keine wesentliche Änderung zur früheren Rechtslage unter dem UWG dar, auch hier formulierte die Rechtsprechung bereits das Erfordernis eines Geheimhaltungswillen.[5] Neu ist die zweite Voraussetzung der angemessenen Geheimhaltungsmaßnahmen (b), mithin der Geheimhaltungsakt[6]. Diese Voraussetzung bietet in der Praxis erhebliche Sprengkraft.

So reicht es nun nicht mehr aus, dass Rumpelstilzchen will, dass sein Geheimnis niemand erfährt, wenn es dieses gleichzeitig in die Welt hinausruft. Nach dem neuen GeschGehG muss es nun auch angemessene Geheimhaltungsmaßnahmen treffen. Andernfalls ist sein Geheimnis nur eine bloße Information.   

Damit stellt sich der Umgang und die Unterscheidung zwischen Informationen und Geheimnissen nunmehr wie folgt dar:

Abb. 1: Prüfung Geschäftsgeheimnis (eigene Abb.)

Damit der Inhaber des Geschäftsgeheimnisses[7] sich der Verletzung desselben überhaupt erwehren kann, muss er also

  1.      angemessene Geheimhaltungsmaßnahmen implementiert haben und
  2.      diese Implementierung auch nachweisen können.

Liegen diese Voraussetzungen vor, stehen dem Inhaber des Geschäftsgeheimnisses bei den folgenden Verletzungshandlungen verschiedene Abwehr[8]– und Schadensersatzrechte zur Verfügung:[[10]

Abb. 2: Verletzungshandlungen (eigene Abb.)

Von diesen Verletzungshandlungen sind die sog. „Erlaubten Handlungen“ ausgenommen. (§ 3 GeschGehG). Diese liegen dann vor, wenn das Geschäftsgeheimnis durch eigenständige Entdeckung oder Schöpfung ( § 3 Abs. 1 Nr. 1 GeschGehG), durch „Reverse-Engineering[11]“ (§ 3 Abs. 1 Nr. 2 GeschGehG) oder die rechtmäßige Ausübung der Rechte von Arbeitnehmervertretern (§ 3 Abs. 1 Nr. 3 GeschGehG) erlangt wird.

Somit soll das GeschGehG vor diesen erlaubten Handlungen (§ 3 GeschGehG) nicht schützen. Um allerdings den Schutz vor den unerlaubten Handlungen (§ 4 GeschGehG) zu erlangen, müssen die Geschäftsgeheimnisinhaber zunächst die Anforderungen erfüllen.


3.  Anforderungen

Bei der Voraussetzung der „angemessenen Geheimhaltungsmaßnahme“ handelt es sich – im rechtstechnischen Sinne – um eine Obliegenheit.[12] Dies bedeutet, dass es für den Inhaber der Information zwar keine Rechtspflicht gibt, der Voraussetzung zu entsprechen. Tut er dies allerdings nicht, so verliert er den Geheimnisschutz, was u.a. eine erhebliche Haftungsgefahr für die Geschäftsleitung birgt[13]. Die bisherige Rechtsprechung forderte[14]  zwar auch einen Geheimhaltungswille, jedoch musste sich dieser nicht in – dokumentierten – Maßnahmen äußern.[15]

Wie sich aus dem Wortlaut selbst ergibt, muss eine „angemessene“, nicht jedoch eine „absolut wirksame oder unüberwindbare Schutzmaßnahme“ sein.[16] Folglich besteht eine erhebliche Unklarheit, und damit ein einhergehendes (unternehmerisches) Risiko, bei der Beantwortung der Frage, was als „angemessen“ zu betrachten ist. Eine Frage, die sich nicht im Allgemeinen, sondern stets nur am konkreten Einzelfall beantworten lässt.

Zunächst können hierfür die sich aufdrängenden[17] und vom Gesetzgeber benannten Kriterien[18] herangezogen werden:

Abb. 3: Bewertungsmaßstäbe für die Angemessenheit der Maßnahme (eigene Abb.)

Bereits für den ersten Schritt der Angemessenheitsbetrachtung ist es somit notwendig, dass zunächst einmal herausgearbeitet wird, was überhaupt ein Geschäftsgeheimnis ist. Es müssen daher – unternehmensweit – abschließend alle Informationen die Geschäftsgeheimnisse sind, als solche identifiziert werden.[19] Hierbei bietet sich die folgende Dreiteilung an:[20]

Abb. 4: Unterscheidung von Informationen und Geheimnissen (eigene Abb.)

Insbesondere die Informationen, welche im Unternehmen verbleiben sollen, sollten sodann in einem zweiten Schritt gekennzeichnet[21], bewertet und kategorisiert werden.[22] Hierfür bietet sich eine weitere Dreiteilung an:[23]

Abb. 5: Kategorisierung der Informationen (eigene Abb.)

In einem dritten Schritt sollten sodann für die einzelnen Geheimnisse passende, mithin angemessene, Schutzmaßnahmen getroffen werden.[24] Für Auswahl der angemessenen Schutzmaßnahme darf der Fokus jedoch nicht ausschließlich auf der Einordnung des Geschäftsgeheimnisses selbst liegen. Genauso wichtig ist die Einbeziehung der konkreten Risiken.[25] Dabei ist, wie bei jeder Risikobetrachtung, sowohl die Eintrittswahrscheinlichkeit, die Schadenshöhe (jeweils niedrig, mittel und hoch) und die Szenarien, welche überhaupt erst zum Schadenseintritt führen können, zu berücksichtigen.

Somit wäre für Rumpelstilzchen zu konstatieren, dass – im Falle des Bekanntwerdens seines Namens – die Schadenshöhe als hoch, wenn nicht sogar essenziell zu betrachten wäre. Da es alleine seinen Namen kennt, ist das einzig mögliche Szenario, dass es seinen Namen kundtut. Sofern es dies an einem entlegenen Ort tut, so wäre die Eintrittswahrscheinlichkeit als niedrig einzustufen. Doch nicht nur im Märchen, sondern auch im echten Leben zeigt sich, dass die Wahrscheinlichkeit nur etwas darüber aussagt, wie sehr mit einem bestimmten Ausgang zu rechnen ist. Sie sagt nichts darüber, ob ein Ereignis am Ende auch tatsächlich eintritt.

So wäre Rumpelstilzchens Unglück (und nicht nur seines)[26] durch eine einfache Schutzmaßnahme abzuwenden gewesen: Reden ist Silber, Schweigen ist Gold!

In den meisten anderen Fällen, drängt sich die richtige Schutzmaßnahme nicht gleichermaßen direkt auf. Diese möglichen Schutzmaßnahmen können in drei Kategorien unterteilt werden:


a)  Organisatorische Maßnahmen

Die „einfachste“ und zugleich bedeutendste organisatorische Maßnahme ist das „need to know“-Prinzip.[27] D.h., dass nur diejenigen (Mitarbeiter) Zugang zu den Informationen erhalten, die sie unbedingt benötigen. Denn ein Geheimnis ist „eine Kenntnis, die auf einen bestimmten Personenkreis beschränkt ist.“[28] Sofern also die Information einem unbeschränkten, wenn auch „nur“ unternehmensbezogenen, Personenkreis bekannt ist, so kann es sich nicht um ein Geheimnis i.S.d. GeschGehG handeln. Selbst dann nicht, wenn das Unternehmen ein Interesse daran hat, dass diese Information nicht öffentlich bekannt wird. Damit sichergestellt werden kann, dass auch nur die Personen Zugang erhalten, die ihn benötigen, bedarf es einer zugrundeliegenden Struktur, die eine klare Verteilung von Verantwortlichkeiten und Zuständigkeiten[29] bedingt.

Ein weiterer wesentlicher Aspekt wird sein, ob und wie Arbeitnehmern gestattet wird, Informationen des Arbeitgebers auf privaten Geräten (und sei es „nur“ das private Mobiltelefon) speichern dürfen.[30]

Weitere organisatorische Maßnahmen sind beispielsweise die Kennzeichnung der Geschäftsgeheimnisse sowie die Schulung der Mitarbeiter im Umgang mit den Informationen,[31] damit diese mit sensiblen Informationen auch entsprechend umgehen und – gleich unserem Rumpelstilzchen – Geheimnisse nicht im öffentlichen Raum besprechen.[32] Hierzu gehört auch, dass Mitarbeiter bei veränderter Aufgabenwahrnehmung (horizontaler oder vertikaler Wechsel) explizit hinsichtlich der nunmehr geltenden Regeln geschult werden sowie allgemein die Erstellung und Kommunikation von Richtlinien.[33] Auch die ausscheidenden Mitarbeiter sollten im Rahmen sog. Exit-Interviews[34] auf fortbestehende Pflichten hingewiesen werden. Ein weiteres Element der Schulung sollte zweifelsohne die Aufklärung sein, was Whistleblowing bedeutet und wann und wie es ausgeübt werden kann.

Ab einer gewissen Größe bzw. Komplexität des Unternehmens bietet sich auch die Schaffung der Stelle eines Geheimschutzbeauftragten[35] an, der sowohl für die Prüfung der Umsetzung der einzelnen Schutzmaßnahmen als auch für die Schulungen der Mitarbeiter zuständig wäre. 


b)  Rechtliche Maßnahmen

Nachdem durch die organisatorischen Maßnahmen festgelegt wurde, wer Zugang zu den geschützten Informationen erhalten darf, gilt es, diese Geheimnisträger besonders zu verpflichten.[36] Dabei liegt der primäre Fokus selbstverständlich auf den eigenen Mitarbeitern. Aber auch Zulieferer, Kunden und sonstige Geschäftspartner[37], die hiervon Kenntnis erlangen (müssen), sollten durch individuelle Geheimhaltungsvereinbarungen (auch genannt: Non-Disclosure Agreement, NDA) besonders verpflichtet werden. Hier sollte insbesondere die Möglichkeit geprüft werden, auf vertraglicher Ebene Reverse-Engineering[38] auszuschließen.[39] Alle diese Geschäftspartner sollten zudem auf die Einhaltung entsprechender Sicherheitsstandards (bspw. ISO/SAE DIS 21434 für den Bereich „Automotive“) hin verpflichtet werden,[40] wobei sich hier zwingend ein Audit-Recht ausbedungen werden sollte. Im Rahmen dieses Audit-Rechts muss dann wiederum auf die gegenseitigen Geheimhaltungsinteressen geachtet und ein entsprechender vertraglicher Ausgleich gefunden werden.

Sofern überlegt wird, eine derartige Rechtsverletzung gerichtlich geltend zu machen, so sei der Vollständigkeit halber angemerkt, dass dies erst nach reiflichen und strategischen Überlegungen geschehen sollte. So muss unbedingt vorher über das „Ob“, kann vielleicht im Rahmen einer außergerichtlichen Einigung eine tragfähige Lösung gefunden werden, als auch über das „Wie“ der Geltendmachung, z.B. von Schadensersatz- oder Unterlassungsansprüchen vor den Zivilgerichten oder der Stellung einer Strafanzeige mit anschließendem Strafverfahren, entschieden werden. Pauschale Ausführungen sind nicht dienlich. Es sei jedoch darauf hingewiesen, dass der Geheimnisschutz vor dem – eigentlich öffentlichen – Gerichtsverfahren vor ganz eigenen Herausforderungen steht.[41] So erschließt es sich von selbst, dass Rumpelstilzchen nicht damit geholfen wäre, wenn nun auch noch in einer öffentlichen Gerichtsverhandlung erörtert werden würde, dass es Rumpelstilzchen heißt und ob es nun wirklich der Teufel war, der es der Königin verraten hat.


c) Technische Maßnahmen

Selbst wenn erfolgreich geklärt wurde wer was darf und was den Geheimnisträgern droht, wenn sie sich nicht an die Vereinbarungen halten, muss dennoch sichergestellt werden, dass auch diejenigen von dem Geschäftsgeheimnis ferngehalten werden, die kein Interesse (mehr) daran haben, sich an die „Spielregeln“ zu halten.[42]

Eine wesentliche technisch-organisatorische Maßnahme sind die „einfachen“ physischen Zugriffsbeschränkungen, welche nicht vernachlässigt werden dürfen.[43] Dies beinhaltet Regelungen und Maßnahmen hinsichtlich der Betretung des Grundstücks oder einzelner Bereiche, die Begleitung von Besuchern,[44] das Verbot der Mitnahme Fotografie fähigen Geräten, Video-Überwachung,[45] etc.

Im Jahr 2020 werden die allerwenigsten Geschäftsgeheimnisse um ein Feuer tanzend herausgerufen. Vielmehr sind diese Informationen Kern- bzw. Herzstück des Unternehmens[46] und werden daher täglich benutzt. Und eben diese Nutzung erfolgt heutzutage digital,[47] weshalb auch die technischen Maßnahmen sich – mit wenigen Ausnahmen – auf diesen Bereich konzentrieren (sollten).

Abhängig von der Einstufung des jeweiligen Geheimnisses kann daher bereits ein einfacher Passwortschutz, eine Firewall oder ein entsprechendes Zugriffsmanagement ausreichend sein. Es kann ebenso gut aber auch ein komplexes Sicherheitssystem vonnöten sein, um der Wertigkeit des Geheimnisses zu entsprechen. Wie komplex dieses Sicherheitssystem sein muss, hängt insbesondere von der Größe des Unternehmens und dem individuellen Risiko ab.

Dieses Sicherheitssystem sollte, unabhängig von der Größe und/oder Komplexität, folgende Eigenschaften aufweisen:[48]

  1. Vertraulichkeit
  2. Integrität[49]
    • Nicht-Abstreitbarkeit/Verbindlichkeit[50]
    • Authentizität
  3. Verfügbarkeit

Diese Eigenschaften können durch das Beachten nachstehender Prinzipien erreicht werden:[51]

  1. Erlaubnis (fail-safe defaults): grundsätzlich ist jeder Zugriff verboten, es sei denn es besteht eine explizite Erlaubnis.[52]
  2. Vollständigkeit (complete mediation): jeder Zugriff ist auf seine Zulässigkeit zu prüfen, d.h. eine einmalige Überprüfung (bspw. bei Öffnung einer Datei) ist nicht ausreichend, die Zulässigkeit muss vollständig und fortwährend überprüft werden.[53]
  3. Need-to-know: ist das „Prinzip der minimalen Rechte“[54]: jedes Subjekt soll nur genau die Zugriffsrechte erhalten, die es zur Erfüllung seiner Aufgaben benötigt.
  4. Akzeptanz (economy of mechanism): Um die Benutzerakzeptanz zu gewährleisten, müssen die eingesetzten Sicherheitsmechanismen einfach zu nutzen sein, so dass sie routinemäßig angewendet werden können.[55]
  5. Offener Entwurf (open design):[56] die beim Entwurf des Systems angewendeten Verfahren und Mechanismen sollen offengelegt werden (no security through obscurity), da die Sicherheit eines Systems nicht von dessen Geheimhaltung abhängen darf.
  6. Sicherheitskern (security kernel): die sicherheitsrelevanten Systemteile werden zusammengefasst und von den übrigen Teilen isoliert.[57]

Bereits an dieser Stelle sollte auffallen, dass die zuvor genannten Prinzipien eine erhebliche Deckungsgleichheit mit den Anforderungen (s.o. II. C.) nach dem GeschGehG bieten.


d) Dokumentation

Schließlich noch müssen eben diese Maßnahmen umgesetzt und auch dokumentiert werden. Wie jedoch bereits zur Frage der Angemessenheit ausgeführt wurde, fordert das GeschGehG bzw. die zugrundeliegende EU-Richtlinie nicht den absoluten, ja noch nicht einmal den „bestmöglichen“[58] Geheimnisschutz. Daraus folgt, dass auch hinsichtlich der Dokumentation kein überbordendes „Bürokratiemonster“ geschaffen werden sollte, welches die Unternehmen jedweden Schutzes beraubt, es sei denn diese können für jede Zeile ihres geheimen Programmiercodes ein 100seitiges Schutzkonzept vorlegen.

Nichtsdestotrotz wird man (d.h. die sich damit im Zweifelsfall zu befassenden Richter) von den Unternehmen eine Dokumentation erwarten, aus der sich die oben näher beschriebene Analyse, Abwägung und Umsetzung des Geheimnisschutzes ergibt.


III.  IT-Infrastrukturen

Da die meisten Geschäftsgeheimnisse in digitaler Form vorliegen (s.o.) folgt daraus, dass die meisten der „angemessenen“ Maßnahmen im (informations)technischen Bereich greifen müssen, um der digitalen Bedrohungslage gerecht zu werden.

Diese lässt sich aktuell wie folgt konkretisieren: In den vergangenen zwei Jahren ist jedes dritte Unternehmen Opfer von Datendiebstahl, von Industriespionage oder Sabotage betroffen gewesen. [59] Zwar hat es der Großteil der Angreifer auf Kommunikations- und Finanzdaten abgesehen, es geraten jedoch auch weitere Geschäftsgeheimnisse zunehmend in deren Fokus.[60]

Sofern die IT mit ihrem Personal, ihrer Ausstattung und ihren Befugnissen auf dem Stand der Technik ist, sollte die Einführung der nötigen Maßnahmen nach dem GeschGehG keine größeren Schwierigkeiten bereiten. Tatsächlich sieht die Realität, nicht nur, aber insbesondere bei den deutschen KMUs,[61] ganz anders aus.


1.  Übliche IT-Infrastruktur

Die IT hat, seit sie in Unternehmen existiert, einen steten Wandel durchlaufen. Diente sie zunächst nur der reinen Kostensenkung und Vereinfachung bzw. Beschleunigung von Geschäftsprozessen, so ist das Unternehmen heute ohne sie nicht mehr funktionsfähig.[62]

Allerdings hat die IT nicht in jedem Unternehmen die – durch den Wandel notwendige – Strukturanpassung mitgemacht. Vielfach ist die IT „organisch“ mitgewachsen, wobei ihre Stellung innerhalb des Unternehmens in den 1970 Jahren stehen geblieben ist. Hieraus erwachsen sog. Silos oder auch Insellösungen[63], die sich Jahrzehnte später nicht so einfach integrieren lassen. Hinzu kommt die Wahrnehmung der IT im Unternehmen als die lediglich Infrastruktur und technische Komponenten zur Verfügung stellende Abteilung. Mit der Folge, dass (teilweise) jede Abteilung ihre eigene IT-„Strategie“ hat, jedenfalls ihre eigenen Bedürfnisse festlegt und entsprechend die Ressourcen alloziert.[64]

  • Dies führt regelmäßig dazu, dass innerhalb eines Unternehmens
  • mehrere IT-Systeme konkurrieren, welche nicht in der Lage sind miteinander zu kommunizieren, oftmals
  • ein mangelnder Überblick über die vorhandenen Strukturen (Geräte, Nutzer, Netze, etc.) vorliegt[65] sowie
  • keine übergeordnete systemische Vergabe von Zugriffsrechten und
  • kein Informations- oder Wissensmanagement erfolgt.

Die Antwort auf die Frage, ob die gegenwärtigen Sicherheitsmaßnahmen angemessen i.S.d. GeschGehG sind, würde kein belastbares Ergebnis bringen. Vielmehr wäre mit der „simplen“ Frage zu beginnen, wo überhaupt welche Informationen liegen.

Sofern keine ganzheitliche Struktur vorliegt, bedeutet dies, dass jede Information einzeln identifiziert, verortet, klassifiziert, geschützt und all dies dokumentiert werden müsste. Dieser vielschichtige Prozess müsste bei jeder neuen Information wiederholt werden, ohne dass je die Sicherheit bestünde, dass alle (wichtigen) Informationen erfasst wurden.

Die (partielle) Einhaltung des Standes der Technik erfüllt darüber hinaus (partiell) nur das Mindestmaß von Schutz. Vom Einsatz einer Firewall kann also noch nicht auf ein Geschäftsgeheimnis i.S.d. GeschGehG geschlossen werden. Vielmehr müssen weitere Maßnahmen hinzutreten. Erfüllt ein Unternehmen noch nicht einmal dieses Mindestmaß an Schutz, so ist bereits ein Geschäftsgeheimnis i.S.d. GeschGehG ausgeschlossen, unabhängig von eventuellen weiteren Maßnahmen.


2. IT-Infrastruktur neu und nachhaltig denken

Sofern ein Unternehmen nicht oder nicht mehr zu den „Verknöcherten“ gehören will, stellt die Herausforderung GeschGehG eine weitere Gelegenheit[66] dar, um überkommene IT-Strukturen neu zu denken. Für die Schaffung, Wartung und Überwachung von sensiblen Informationen bietet sich die Einführung eines Informationssicherheitsmanagementsystems (ISMS) an.[67]

Dabei ist es überhaupt nicht notwendig, hierfür das Rad neu zu erfinden.[68] Im Gegenteil, in Deutschland existieren zwei etablierte, konkurrierende Modelle: Zum einen der BSI Grundschutz[69] und zum anderen die ISO 27001 (und Anhänge). Beide Modelle verfolgen das gleiche Ziel mit unterschiedlichen Ansätzen. Daneben existiert natürlich noch eine Vielzahl von hybriden Modellen, die sich aus Elementen beider Modelle bedienen. Dabei ist der Kreativität grundsätzlich keine Grenze gesetzt.

Nicht zu unterschätzen ist auch der Vorteil der Zertifizierung. Sowohl nach dem BSI-Grundschutz[70] als auch nach der ISO 27001 ist eine Zertifizierung möglich. Es wird nun vermutet, dass die zertifizierten Prozesse und Maßnahmen auch tatsächlich nachhaltig bis ins letzte Detail umgesetzt wurden, insbesondere weil die Zertifikate alle drei Jahre durch eine Nachprüfung verlängert werden müssen.[71] Ein Fehler steht dem Schutz des GeschGehG dann nicht entgegen. Schließlich wird ein absoluter Schutz des Geschäftsgeheimnisses nicht gefordert, lediglich die Angemessenheit der Schutzmaßnahmen. Dass ein Angreifer einen Fehler oder eine sonstige Schwachstelle ausnutzt, steht der Qualifizierung als Geschäftsgeheimnis also nicht entgegen.

Ein Unternehmen mit einer nachhaltig gedachten IT wird es stets leichter haben, sich an Veränderungen in der Geschäftswelt (bspw. Technologiewandel), Umwelt (bspw. Heimarbeit aufgrund einer Pandemie) oder im Unternehmen (bspw. neue Produkte oder Lieferketten) anzupassen.[72]


IV. Fazit

Der mit dem GeschGehG notwendige Schutz von geheimen Informationen lässt sich also nicht en passant erledigen. Tätigwerden und tätig bleiben sind gefragt. Auch wenn das Ergreifen „angemessener Geheimhaltungsmaßnahmen“ im Sinne des GeschGehG nur eine Obliegenheit ist, so verliert doch der, der ihr nicht nachkommt, den wertvollen Geheimnisschutz. Und schafft möglicherweise sogar eine erhebliche Haftungsgefahr für die Geschäftsleitung.

Im besten Falle werden die Inhaber von Geschäftsgeheimnissen vom Rumpelstilzchen zum „fleißigen Schneiderlein“ und erledigen bei dieser Gelegenheit gleich „siebene auf einen Streich“.

V

V


[1]  https://www.deutsche-maerchenstrasse.com/maerchen-sagen-legenden (zuletzt abgerufen am 09.12.2020).

[2]  Die Begrifflichkeit „Dieb“ ist an dieser Stelle ungenau, soll jedoch aufgrund der Vielzahl von möglichen Angreifern, Angriffsvektoren und -Zielen im Folgenden verwendet werden, da zumindest das Ziel in allen Fällen Informationen bzw. Daten sind.

[3]  Amtsblatt der EU L 157/1-18 vom 15.06.2016.

[4]  BGBl. 2019 I 466.

[5]  Erbs/Kohlhaas/Diemer, 232. EL August 2020 Rn. 13, UWG § 17 Rn. 13.

[6]  Kalbfus: Angemessene Geheimhaltungsmaßnahmen nach der Geschäftsgeheimnis-Richtlinie, GRUR-Prax 2017, 391 (391); Scholtyssek/Judis/Krause: Das neue Geschäftsgeheimnisgesetz – Risiken, Chancen und konkreter Handlungsbedarf für Unternehmen, CCZt 2020, 23 (23 f.).

[7]  Wer der tatsächliche Inhaber ist, hängt von einer Vielzahl von Faktoren ab, so z.B. der Art des Geheimnisses (bspw. Kundendaten oder eine Erfindung) und natürlich der rechtlichen Gestaltung. Zur weiteren Lektüre hier: Klein/Wegener: Wem gehören Geschäftsgeheimnisse?, GRUR-Prax 2017, 394.

[8]  Scholtyssek/Judis/Krause: Das neue Geschäftsgeheimnisgesetz – Risiken, Chancen und konkreter Handlungsbedarf für Unternehmen, CCZt 2020, 23 (23 f.).

[9]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (445).

[10]  Angelehnt an: Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (445).

[11]  Scholtyssek/Judis/Krause: Das neue Geschäftsgeheimnisgesetz – Risiken, Chancen und konkreter Handlungsbedarf für Unternehmen, CCZt 2020, 23 (25).

[12]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (443)..

[13]  Dann/Markgraf: Das neue Gesetz zum Schutz von Geschäftsgeheimnissen, NJW 2019, 1774 (1775); Gabel/D.- Langen/ Stier: Rechtshandbuch Cyber-Security, 2019, S. 515.

[14]  Dann/Markgraf: Das neue Gesetz zum Schutz von Geschäftsgeheimnissen, NJW 2019, 1774 (1775); Gabel/D.- Langen/ Stier: Rechtshandbuch Cyber-Security, 2019, S. 515.

[15]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (443).

[16]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (444); Kalbfus: Angemessene Geheimhaltungsmaßnahmen nach der Geschäftsgeheimnis-Richtlinie, GRUR-Prax 2017, 391 (392).

[17]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (444).

[18]  Entwurfsbegr., BT-Drs. 19/4724, 24 f.

[19]  Kalbfus: Angemessene Geheimhaltungsmaßnahmen nach der Geschäftsgeheimnis-Richtlinie, GRUR-Prax 2017, 391(392).

[20]  Ann: Geheimnisschutz – Kernaufgabe des Informationsmanagements im Unternehmen, GRUR 2014, 12 (13).

[21]  Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (358).

[22]  Kalbfus: Angemessene Geheimhaltungsmaßnahmen nach der Geschäftsgeheimnis-Richtlinie, GRUR-Prax 2017, 391(392).

[23]  Burghardt-Richter/Bode: Geschäftsgeheimnisschutzgesetz: Überblick und Leitfaden für Unternehmen zur Wahrung ihrer Geschäftsgeheimnisse, BB 2019, 2697 (2700).

[24]  Kalbfus: Angemessene Geheimhaltungsmaßnahmen nach der Geschäftsgeheimnis-Richtlinie, GRUR 2019, 391 (392).

[25]  Burghardt-Richter/Bode: Geschäftsgeheimnisschutzgesetz: Überblick und Leitfaden für Unternehmen zur Wahrung ihrer Geschäftsgeheimnisse, BB 2019, 2697 (2700); Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (357); Scholtyssek/Judis/Krause: Das neue Geschäftsgeheimnisgesetz – Risiken, Chancen und konkreter Handlungsbedarf für Unternehmen, CCZt 2020, 23 (27).

[26]  https://www.zeit.de/wissen/gesundheit/2018-01/psychologie-emotionen-gefuehle-reden-leiden-uebertreibung (abgerufen am 12.12.2020).

[27]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (444); Ann, C.: Geheimnisschutz – Kernaufgabe des Informations­managements im Unternehmen, GRUR 2014, 12 (12); Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (357).

[28]  http://brockhaus.de/ecs/enzy/article/geheimnis-recht (aufgerufen am 2020-07-05).

[29]  Kalbfus: Angemessene Geheimhaltungsmaßnahmen nach der Geschäftsgeheimnis-Richtlinie, GRUR-Prax 2017, 391 (392).

[30]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (444); Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (354).

[31]  Voigt/Herrmann/Grabenschröer: Das neue Geschäftsgeheimnisgesetz – praktische Hinweise zu Umsetzungsmaßnahmen für Unternehmen, BB 2019, 142 (145).

[32]  Anders Budras: Technologieschutz in Unternehmen: Verrat in der U-Bahn, FAZ v. 11.09.2013, https://www.faz.net/aktuell/karriere-hochschule/recht-und-gehalt/technologieschutz-in-unternehmen-verrat-in-der-u-bahn-12561742.html#void (zuletzt abgerufen am 09.12.2020).

[33]  Scholtyssek/Judis/Krause: Das neue Geschäftsgeheimnisgesetz – Risiken, Chancen und konkreter Handlungsbedarf für Unternehmen, CCZt 2020, 23 (28).

[34]  Burghardt-Richter/Bode: Geschäftsgeheimnisschutzgesetz: Überblick und Leitfaden für Unternehmen zur Wahrung ihrer Geschäftsgeheimnisse, BB 2019, 2697 (2700); Ann: Geheimnisschutz – Kernaufgabe des Informations­managements im Unternehmen, GRUR 2014, 12 (15).

[35]  Burghardt-Richter/Bode: Geschäftsgeheimnisschutzgesetz: Überblick und Leitfaden für Unternehmen zur Wahrung ihrer Geschäftsgeheimnisse, BB 2019, 2697 (2700); Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (359); Voigt/Herrmann/Grabenschröer: Das neue Geschäftsgeheimnisgesetz – praktische Hinweise zu Umsetzungsmaßnahmen für Unternehmen, BB 2019, 142 (144)..

[36]  Partsch/Rump: Auslegung der „angemessenen Geheimhaltungsmaßnahme“ im Geschäftsgeheimnis-Schutzgesetz, NJW 2020, 118 (118); Voigt/Herrmann/Grabenschröer: Das neue Geschäftsgeheimnisgesetz – praktische Hinweise zu Umsetzungsmaßnahmen für Unternehmen, BB 2019, 142 (144).

[37]  Ohly: Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441 (444); Partsch/Rump: Auslegung der „angemessenen Geheimhaltungsmaßnahme“ im Geschäftsgeheimnis-Schutzgesetz, NJW 2020, 118 (121).

[38]  Ermittlung des Geschäftsgeheimnisses durch Analyse des Produktes und „Rückbaus“ in dessen Einzelteile, so dass das Wissen vorliegt, wie aus Einzelteilen das finale Produkt selbstständig herzustellen ist.

[39]  Voigt/Herrmann/Grabenschröer: Das neue Geschäftsgeheimnisgesetz – praktische Hinweise zu Umsetzungsmaßnahmen für Unternehmen, BB 2019, 142 (145 f.).

[40]  Voigt/Herrmann/Grabenschröer: Das neue Geschäftsgeheimnisgesetz – praktische Hinweise zu Umsetzungsmaßnahmen für Unternehmen, BB 2019, 142 (146).

[41]  Hauck: Geheimnisschutz im Zivilprozess – was bringt die neue EU-Richtlinie für das deutsche Recht?, NJW 2016, 2218 (2221).

[42]  Partsch/Rump: Auslegung der „angemessenen Geheimhaltungsmaßnahme“ im Geschäftsgeheimnis-Schutzgesetz, NJW 2020, 118 (121); Voigt/Herrmann/Grabenschröer: Das neue Geschäftsgeheimnisgesetz – praktische Hinweise zu Umsetzungsmaßnahmen für Unternehmen, BB 2019, 142 (145).

[43]  Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (357); Partsch/Rump: Auslegung der „angemessenen Geheimhaltungsmaßnahme“ im Geschäftsgeheimnis-Schutzgesetz, NJW 2020, 118 (121).

[44]  Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (358).

[45]  Burghardt-Richter/Bode: Geschäftsgeheimnisschutzgesetz: Überblick und Leitfaden für Unternehmen zur Wahrung ihrer Geschäftsgeheimnisse, BB 2019, 2697 (2701).

[46]  Ann: Geheimnisschutz – Kernaufgabe des Informations­managements im Unternehmen, GRUR 2014, 12 (12).

[47]  BSI: BSI-Standard 200-2 IT-Grundschutz-Methodik, S. 11.

[48]  BSI: BSI-Standard 200-2 IT-Grundschutz-Methodik, S. 11; Gabel/Wimmer/Mechler: Rechtshandbuch Cyber-Security, 2019, S. 270; Eckert, C.: IT-Sicherheit, 10. Aufl. 2018, S. 264.

[49]  BSI: BSI-Standard 200-2 IT-Grundschutz-Methodik, S. 11.

[50]  Tiemeyer/Schmidt: Handbuch IT-Management, 7. Aufl. 2020, S. 814.

[51]  Eckert: IT-Sicherheit, 10. Aufl. 2018, S. 255.

[52]  Eckert: IT-Sicherheit, 10. Aufl. 2018, S. 255.

[53]  Eckert: IT-Sicherheit, 10. Aufl. 2018, S. 255.

[54]  Eckert: IT-Sicherheit, 10. Aufl. 2018, S. 255.

[55]  Eckert: IT-Sicherheit, 10. Aufl. 2018, S. 255.

[56]  Eckert: IT-Sicherheit, 10. Aufl. 2018, S. 256.

[57]  Eckert: IT-Sicherheit, 10. Aufl. 2018, S. 256.

[58]  Kalbfus: Angemessene Geheimhaltungsmaßnahmen nach der Geschäftsgeheimnis-Richtlinie, GRUR-Prax 2017, 391 (392); Maaßen: „Angemessene Geheimhaltungsmaßnahmen“ für Geschäftsgeheimnisse, GRUR 2019, 352 (360).

[59]  Bitkom: Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt Studienbericht 2020, S. 9.

[60]  Bitkom: Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt Studienbericht 2020, S. 13.

[61]  BSI: Leitfaden zur Basis-Absicherung nach IT-Grundschutz, S. 5.

[62]  Tiemeyer/Tiemeyer: Handbuch IT-Management, 7. Aufl. 2020, S. 16 f.

[63]  Tiemeyer/Tiemeyer: Handbuch IT-Management, 7. Aufl. 2020, S. 23.

[64]  Tiemeyer/Tiemeyer: Handbuch IT-Management, 7. Aufl. 2020, S. 34.

[65]  Tiemeyer/Tiemeyer: Handbuch IT-Management, 7. Aufl. 2020, S. 40, 798.

[66]  Das GeschGehG ist weder das erste noch das letzte Gesetz, welches spezielle Anforderungen an die IT eines Unternehmens stellt. Die hochregulierte Bankenbranche unterliegt in Deutschland dank KWG und MaRisk (insb. AT 7.2) bereits der Pflicht, ein ISMS zu führen. Ähnlich hält es sich auch mit allen nach dem ITSiG Verpflichteten, ganz abgesehen von den bereits bestehenden Pflichten nach den Art. 24, 25 und 30 EU-DSGVO, den §§ 4-6, 8 und 10 ff. GWG u.v.m.

[67]  Gabel/Wimmer/ Mechler: Rechtshandbuch Cyber-Security, 2019, S. 297; Kuhrau, Ri 2020, 117 ff.

[68]  Kuhrau, Ri 2020, 117 ff.

[69]  https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html (zuletzt abgerufen am 09.12.2020).

[70]  BSI: Zertifizierte IT-Sicherheit, S. 8 ff.

[71]  BSI: Zertifizierte IT-Sicherheit, S. 22.

[72]  Tiemeyer/Tiemeyer: Handbuch IT-Management, 7. Aufl. 2020, S. 27.

Titelbild: © Romolo Tavani, Adobe Stock, Nr. 211657921