Report: Das vergessene Geschäftsgeheimnis

Geistiges Eigentum im Fokus der Angreifer, aber nicht der Unternehmen

Durch Diebstahl, Spionage und Sabotage entstehen der deutschen Wirtschaft enorme Schäden. Dabei haben es Datendiebe auch auf geistiges Eigentum abgesehen. So wurden Patente oder Forschungsinformationen im Jahr 2021 bei 18 Prozent der befragten Unternehmen gestohlen, ein Plus von elf Prozentpunkten gegenüber den Jahren 2018/2019, wie eine Studie des Digitalverbandes Bitkom ergab. Darüber hinaus wurden auch Finanzdaten (29 Prozent) und kritische Geschäftsinformationen wie Marktanalysen (19 Prozent) erbeutet.

Offensichtlich besteht nicht nur Bedarf, personenbezogene Daten zu schützen, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt. Innovative Unternehmen sind zunehmend unlauteren Praktiken ausgesetzt, die auf eine rechtswidrige Aneignung von Geschäftsgeheimnissen abzielen, wie Diebstahl, unbefugtes Kopieren, Wirtschaftsspionage oder Verletzung von Geheimhaltungspflichten, so steht es in der EU-Richtlinie über den „Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“.

Neuere Entwicklungen, wie die Globalisierung, das zunehmende Outsourcing, längere Lieferketten und der verstärkte Einsatz von Informations- und Kommunikationstechnologien, tragen zu einer Erhöhung des von derartigen Praktiken ausgehenden Risikos bei, so die Richtlinie weiter.

Trotzdem scheint der Schutz der Geschäftsgeheimnisse bei vielen Unternehmen immer noch kein Thema zu sein, obwohl es das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) zur Umsetzung der EU-Richtlinie schon seit 2019 gibt.

Fahrlässiger Know-how-Schutz

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) wies nun darauf hin, dass auch nach drei Jahren Geltung des Geschäftsgeheimnisschutz-Gesetzes viele Unternehmen die Anforderungen an den Schutz nicht kennen oder nicht wirksam umsetzen.

Inzwischen liegen auch Gerichtsurteile vor. RA Karsten Bartels, stellvertretender TeleTrusT-Vorstandsvorsitzender, erklärte dazu: „Es zeigt sich, dass der gesetzliche Schutz von Know-how Zähne hat. Während es nach dem alten Recht oft schwierig war, darzulegen und zu beweisen, dass ein Geheimnis rechtswidrig verwendet worden ist, erleichtert die neue gesetzliche Grundlage diesen Schritt erheblich.“

Aber dennoch: Viele Unternehmen unterschätzen den breiten Anwendungsbereich des Gesetzes und damit die Vielfältigkeit der Informationen, die geschützt werden können. Zudem zeigt sich eine Herausforderung auf anderer Ebene, so TeleTrusT.

Der Schutz des Geschäftsgeheimnisses setzt voraus, dass die Geheimnisse im Unternehmen auch tatsächlich geschützt werden. Es sind also technische und organisatorische Maßnahmen, sogenannte angemessene Geheimhaltungsmaßnahmen, zu ergreifen und nachweisbar zu dokumentieren, wenn der Schutz gegenüber Dritten in Anspruch genommen werden soll. „Gibt es diese Maßnahmen nicht im gesetzlichen Umfang oder können sie im Verfahren nicht nachgewiesen werden, wird der Prozess verloren“, betonte Bartels.

Entsprechend sollte die Informations- und IT-Sicherheit einmal mehr in den Blickpunkt einer jeden Geschäftsführung rücken, denn ohne IT-Sicherheit lässt sich ein Geschäftsgeheimnis weder tatsächlich bewahren noch rechtlich schützen. Leider sieht die Unternehmenspraxis anders aus.

Unternehmen müssen aktiv sein im Geschäftsgeheimnisschutz

Rechtlich gesehen hat es ein Unternehmen weitgehend selbst in der Hand, welche Informationen als Geschäftsgeheimnis dem gesetzlichen Schutz unterfallen sollen, erläutert der Digitalverband Bitkom. Allerdings muss das Unternehmen dafür auch aktiv werden. Es muss Geheimhaltungsmaßnahmen ergreifen, die dem Wert der geschützten Information und deren Bedeutung für das Unternehmen angemessen sind. Der Wille zur Geheimhaltung von Informationen muss durch Geheimhaltungsmaßnahmen dokumentiert werden und damit nach außen erkennbar sein.

Zur praktischen Umsetzung empfahl Bitkom, dass zunächst die geheimhaltungsbedürftigen Informationen im Unternehmen identifiziert sowie nach Schutzbedarf und Offenbarungsrisiko klassifiziert werden. Der getroffenen Klassifizierung könnten dann vertragliche Maßnahmen (z. B. Geheimhaltungsvereinbarungen), organisatorische Maßnahmen (z. B. Benutzerregelungen) und/oder technische Maßnahmen (z. B. Passwortschutz, Verschlüsselung) zugeordnet werden.

Dabei sollte auch berücksichtigt werden, inwieweit die Informationen für Geschäftsbeziehungen mit Kunden verfügbar sein müssen. Zudem sollten schützenswerte Informationen als vertraulich gekennzeichnet werden.

Gerichte sorgen für weitere Klarheit

Der teilweise fahrlässige Schutz der Geschäftsgeheimnisse hat ohne Zweifel auch damit zu tun, dass sich Unternehmen nicht darüber im Klaren sind, dass eine Information nur dann ein Geschäftsgeheimnis ist, wenn sie „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist“, so das Gesetz.

Damit unterscheidet sich der Geschäftsgeheimnisschutz unter anderem vom Datenschutz. Auch im Datenschutz sind angemessene Schutzmaßnahmen erforderlich, doch selbst wenn diese fehlen und das Unternehmen damit selbst den Datenschutz verletzt, bleiben personenbezogene Daten eben personenbezogene Daten und damit schützenswert.

Damit Unternehmen mehr Klarheit über den notwendigen Schutz ihrer Geschäftsgeheimnisse erlangen, lohnt es sich, die relevanten Gerichtsurteile anzusehen. Dort findet man zum Beispiel:

„Der Schutz von Geschäftsgeheimnissen umfasst nicht nur das Verbot des unbefugten Zugriffs auf den Inhalt von Dateien, die das Geschäftsgeheimnis enthalten, sondern auch bereits die Verhinderung des Zugangs zu äußeren Merkmalen von Dateien (wie Dateiname, Dateiendung, Dateityp, Dateigröße), aus denen sich das Geschäftsgeheimnis ableiten lässt.“ (Bundesverwaltungsgericht)

Angemessene Geheimhaltungsmaßnahmen werden vorausgesetzt

„Bei privaten Aufzeichnungen eines Arbeitnehmers über Kundenbesuche und Kundendaten handelt es sich ebenso um Geschäftsgeheimnisse wie bei Kundenlisten mit Kundendaten und Absatzmengen. Dies gilt auch auf der Grundlage des GeschGehG. Dieses setzt dabei angemessene Geheimhaltungsmaßnahmen voraus. Ohne solche Maßnahmen fehlt es am Geschäftsgeheimnis. Angemessene Geheimhaltungsmaßnahmen können auch in vertraglichen Vereinbarungen liegen. Ungenügend ist eine Vereinbarung, die schlicht alle Angelegenheiten und Vorgänge, die im Rahmen der Tätigkeit bekannt werden, für geheimhaltungsbedürftig erklärt und dies ausdrücklich auch auf solche Vorgänge bezieht, die keine Geschäftsgeheimnisse sind.“ (Landesarbeitsgericht Düsseldorf)

„Die Frage, ob der Geheimnisinhaber angemessene Geheimhaltungsmaßnahmen getroffen hat, ist nach objektiven Maßstäben zu bemessen. Als Mindeststandard ist zu fordern, dass relevante Informationen nur Personen anvertraut werden dürfen, die die Informationen zur Durchführung ihrer Aufgabe (potentiell) benötigen und die zur Verschwiegenheit verpflichtet sind. Zudem müssen diese Personen von der Verschwiegenheitsverpflichtung in Bezug auf die fraglichen Informationen Kenntnis haben. Weitere Maßnahmen sind den Umständen nach zu ergreifen, wobei eine Gesamtbetrachtung vorzunehmen ist.“ (OLG Stuttgart)

Es zeigt sich: Unternehmen sollten den Schutz ihrer Geschäftsgeheimnisse genauso in den Fokus nehmen wie den Datenschutz, andernfalls gibt es keinen Geschäftsgeheimnisschutz. Der offensichtliche Bedarf an Aufklärung zum Geschäftsgeheimnisschutz zeigt sich auch in den Gerichtsurteilen, die es inzwischen dazu gibt.

Oliver Schonschek

Recent Posts

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Stunden ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

11 Stunden ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

1 Tag ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

1 Tag ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

2 Tagen ago

Pentesting: Vom Luxus zum Standard

Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.

4 Tagen ago