Weil DSGVO nicht alles ist: Christoph Riesenfelder, Spezialist für Information Risk Management, im Gespräch über verpflichtende Schutzmaßnahmen für Geschäftsgeheimnisse in Österreich. Wo sich Maßnahmen zum Datenschutz und zum Schutz von vertraulichem Know-how und Geschäftsinformationen treffen.
Report: Was tut sich Neues in Bezug auf den Schutz von unternehmenskritischen Geheimnissen?
Christoph Riesenfelder: Seit Mitte Dezember 2018 ist eine in aller Stille beschlossene Novelle des Gesetzes gegen den unlauteren Wettbewerb 1984 – kurz UWG – zum Schutz von vertraulichem Know-how und vertraulichen Geschäftsinformationen, sogenannten Geschäftsgeheimnissen, in Kraft.
Die neuen Regelungen werden in ihrer Umsetzung unter anderem jene fordern, die für Informations- und IT-Sicherheit zuständig oder letztverantwortlich sind. Gleichzeitig bringen sie Vorteile für Datenschutzverantwortliche, die ihren Blick weiten und Mittel für weitere Datensicherheitsmaßnahmen lukrieren möchten.
Report: Worauf fußt diese Neuregelung?
Riesenfelder: Im Juni 2016 wurde neben der Datenschutz-Grundverordnung relativ wenig beachtet die EURL 2016/943 erlassen – salopp als Geheimnisschutz-Richtlinie oder Know-how-Richtlinie bezeichnet. Sie regelt den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb und rechtswidriger Nutzung und Offenlegung. Bis Juni 2018 war sie national anzupassen. In Österreich war dies dann im Dezember 2018 der Fall.
Report: Wieso ist es so wichtig, das Thema Geschäftsgeheimnisschutz ernst zu nehmen?
Riesenfelder: In Unternehmen gilt, dass bei einem Geheimnisverlust meist die Regel „einmal weg heißt für immer weg“ gilt. Hier geht es um den Verlust von Wettbewerbsvorteilen. Die Novelle des UWG liefert nun den Business Case, den viele Unternehmen über die DSGVO in Bezug auf Sicherheitsmaßnahmen nicht gesehen haben: den Schutz der Schlüsselinformationen des Unternehmens zu einem Zeitpunkt, zu dem diese keinen Sonderrechtsschutz genießen.
Für das einzelne Unternehmen geht es hier um die Förderung von Forschung und Innovation durch Abschreckung und Bekämpfung von Betriebsspionage und Geheimnisverrat. Erreicht werden soll dies durch rasche und wirksame Maßnahmen zur Beendigung von rechtswidrigem Erwerb und rechtswidriger Nutzung oder Offenlegung von Geschäftsgeheimnissen, also von Geheimnissen mit kommerziellem Wert. Außerdem geht es um die Abgeltung von Schäden und anderen nachteiligen Folgen für den rechtmäßigen Inhaber des Geheimnisses. Interessant ist auch, dass nun erstmals der Begriff des Geschäftsgeheimnisses präzise definiert wird.
Zwar hat es auch bisher schon Regelungen gegeben. Allerdings wurde meist auf eine Prozessführung verzichtet, da die Akteneinsicht im Verfahren dem Gegner das Geheimnis unter Umständen vollständig hätte offenlegen können. Das soll sich ebenfalls ändern: Hier könnte die Einsicht durch einen sachkundigen Dritten erfolgen, der das Geheimnis, um das es geht, bewahrt.
Report: Um welche Daten geht es dabei?
Riesenfelder: Beispielsweise geht es um technologische und kaufmännische Informationen, um Geschäftsideen, Geschäftspläne, Marketingdaten, -strategien und -konzepte, Lieferangebote, Einkaufskonditionen, Musterkollektionen oder allgemein nicht bekannte Rezepturen. Auch personenbezogene Daten können Geschäftsgeheimnisse darstellen.
Nicht umfasst sind beispielsweise belanglose Informationen oder allgemeine Erfahrungen, Wissen, Fähigkeiten und Qualifikationen von Beschäftigten.
Bild: Christoph Riesenfelder: „Maßnahmen, die bisher DSGVO-getrieben gesetzt wurden oder noch gesetzt werden müssen rechtfertigen nun einem weiteren Zweck. Das ist erfreulich.“
Report: Was bedeuten die neuen gesetzlichen Regelungen nun direkt für Unternehmen?
Riesenfelder: Gerade innovative und forschende Unternehmen profitieren von der Verwertung von beschränkt bekanntem Wissen, ihren Geschäftsgeheimnissen. Diese sind aber, wenn überhaupt, nur teilweise durch zum Beispiel Patente und Urheberrechte geschützt. Den Vorteil aus der Nutzung von vertraulichem Know-how und vertraulichen Geschäftsinformationen möchten diese Unternehmen aber umso mehr geschützt wissen, solange Sonderschutzrechte nicht greifen. Dazu müssen sie zukünftig aber auch mehr tun.
Es gilt entsprechende Maßnahmen und Verfahren zum Geschäftsgeheimnisschutz zu implementieren, und zwar unter Berücksichtigung der Verhältnismäßigkeit. Je wertvoller die Geschäftsgeheimnisse, desto umfangreicher müssen die zu setzenden Maßnahmen sein. Andernfalls besteht kein entsprechender Schutz.
Report: Können Unternehmen also auch den rechtlichen Schutz ihrer Geschäftsgeheimnisse verlieren?
Riesenfelder: Die Gerichte werden die Schutzmaßnahmen in die Beurteilung der Situation einbeziehen. Hat ein Unternehmen beispielsweise kein Klassifizierungsschema seiner Daten und Informationen und schützt diese daher unter Umständen auch nicht differenziert nach ihrem Wert, dann wird es schwierig, dieses „Systemversagen“ im Anlassfall als unerheblich dazustellen. Es geht hier, so wie bei der DSGVO, um technische und organisatorische Maßnahmen, kurz um „TOM“. Spätestens hier wird es bei Datenschutzbeauftragten und Datenschutzverantwortlichen klingeln. Die Forderung entspricht im Kern jener der DSGVO zu Daten- und IT-Sicherheit.
Hier liegt eine Chance. Denn auch personenbezogene Daten können Geschäftsgeheimnisse darstellen. Hier treffen sich die Interessen einerseits der mit Datenschutz befassten und andererseits der mit Informations- und IT-Sicherheit befassten Personen oder Stellen in Unternehmen. Schutzverletzungen personenbezogener Daten sind auch nach datenschutzrechtlichen Maßstäben zu beurteilen. Damit ist eine Zusammenarbeit dieser Funktionen unverzichtbar.
Report: Was passiert, wenn Unternehmen diese Chance nicht nützen wollen?
Riesenfelder: Dann verzichten sie auf Rechte, deren Durchsetzung nun deutlich erleichtert wird. Es gab einen Fall in Österreich, wo mangels Kennzeichnung von vertraulichen Informationen eine mitarbeitende Person vom Geheimnisverrat unter anderem deswegen freigesprochen wurde, weil sie glaubhaft darstellen konnte, diese Materialien gar nicht für Geheimnisse gehalten zu haben. Aus der Sicht des klagenden Unternehmens waren diese durchaus Geschäftsgeheimnisse — nur leider nicht überzeugend geschützt.
Report: Was bringen die Neuregelungen zum Geschäftsgeheimnisschutz den Datenschutzzuständigen?
Riesenfelder: Budgets für Sicherheitsmaßnahmen aus dem Titel DSGVO heraus sind heute weitgehend ausgeschöpft. Was tun nun pflichtbewusste Datenschutzbeauftragte, die zu vermitteln versuchen, dass dieses Thema kein Projekt ist, sondern das Unternehmen nun laufend begleiten wird? Nun, sie ziehen in Bezug auf die teilweise umfangreich notwendigen Daten- und IT-Sicherheitsmaßnahmen mit Informationssicherheits- und IT-Sicherheitsverantwortlichen im Haus unter dem Titel Geschäftsgeheimnisschutz ab sofort an einem Strang und sollten das auch gegenüber der höchsten Leitungsebene ihres Unternehmens klar kommunizieren.
Report: Bringt dies also auch Vorteile für Informationssicherheits- und IT-Sicherheitsverantwortliche?
Riesenfelder: Ja. Datenschutz verfügt über solide Rechtsgrundlagen über alle Branchen hinweg, etwa mit der DSGVO und dem Datenschutzgesetz. Informationssicherheit jedoch ist nur in wenigen Branchen gesetzlich gut verankert, beispielsweise in kritischen Infrastrukturen. Gerade in innovationsgetriebenen Umgebungen fanden sich jedoch kaum rechtliche Regelungen dazu. Das ist jetzt anders.
Report: Was sollten Unternehmen nun dazu bei Informations- und IT-Sicherheit tun?
Riesenfelder: Die zu setzenden Geheimhaltungsmaßnahmen sind abhängig von der Art des Geheimnisses, der Branche und der Organisationsgröße. Das bedeutet: Risiken erheben, bewerten und Maßnahmen zu deren Reduktion, Vermeidung oder Beseitigung planen. So wie bei der DSGVO wird also ein risikobasierter Ansatz erwartet, was aus wirtschaftlichen Gründen auch zu begrüßen ist.
Report: Welche Rolle spielt die Dokumentation von Maßnahmen?
Riesenfelder: Die gewählten Maßnahmen müssen vom schutzberechtigten Unternehmen tatsächlich und nachweisbar gesetzt werden. Papier ist geduldig und wird vor Gericht nicht genügen. Die konkrete Umsetzung ist relevant.
Report: Welche organisatorischen Schutzmaßnahmen sind zu setzen?
Riesenfelder: Beispiele sind eine Informationssicherheitspolitik und -strategie, ein Klassifikationsschema und konkrete Regeln zum Umgang mit Geschäftsgeheimnissen, Sicherheitsrichtlinien zu verschiedenen Themen, Vertraulichkeitsvereinbarungen, Awareness-Veranstaltungen, Schulungen, selektive Personalauswahl bei bestimmten Tätigkeiten, Prozesse zur Vorfallsbehandlung und Dokumentation auf unterschiedlichen Ebenen.
Report: Und technischen Schutzmaßnahmen?
Riesenfelder: Hier wären Beispiele die Verschlüsselung ruhender Daten, Berechtigungskonzepte, Geräte-PINs, starke Passwörter, PINs bei Apps, kontrolliertes Vernichten von Papier und Datenträgern, Fernlöschungsmöglichkeiten von Daten, z.B. am Smartphone und Tablet, elektronische Türschlösser, abschließbare Kästen, VPN-Verbindungen, und Verschlüsselung sonstiger Verbindungen, sichere Server zum Datenaustausch zur Vermeidung von E-Mail.
Generell dienen Budgets und Maßnahmen zum Schutz der Vertraulichkeit sowohl dem Geheimnis- als auch dem Datenschutz. Damit werden Maßnahmen nutzenbringender, die Effizienz der Maßnahmen steigt.
Eine Zusammenarbeit von Datenschutzbeauftragten und InfoSec-Verantwortlichen – CISOs und ISOs - schafft wechselseitig besseres Verständnis, vermeidet Parallelaktivitäten, erhöht die Sichtbarkeit der Thematiken und ist im Fall von Data Breaches sowieso essenziell.
Checkliste: Wie sollten Unternehmen vorgehen, um Geschäftsgeheimnisse wirksam zu schützen?
1. Schützenswerte Informationen und Know-how erfassen, strukturieren und klassifizieren
2. Informationsflüsse und Geheimnisträger erfassen
3. Schwachstellen erheben und Risiken managen
4. Technische, organisatorische und v.a. personelle Aspekte berücksichtigen
5. Regelungen schaffen und kommunizieren
6. Geheimhaltungsmaßnahmen nachweisbar setzen
7. Maßnahmen regelmäßig prüfen und neu bewerten.
8. Und vor allem: laufend dokumentieren
Zur Person
Christoph Riesenfelder ist Spezialist für Informations-, Daten- und IT-Sicherheitsmanagement sowie Datenschutz und seit über 25 Jahren in der Beratung tätig. Er hat Expertise insbesondere in den Gebieten Geheimnisschutz in Bezug auf den Schutz von Know-how, Betriebs- und Geschäftsgeheimnisse, DSGVO-Projektorganisation und -implementierung, besonders in Bezug auf die Themenfelder Data Breach, Datenschutz-Folgenabschätzung und Verarbeitungsverzeichnisführung, sowie bei der Mitarbeitersensibilisierung und -schulung.
Riesenfelder ist Mitglied der Information Security Audit and Control Association (ISACA), der American Society for Industrial Security (ASIS), der CMG-AE und Mitglied bei der ADV. Darüber hinaus ausgebildeter ISO 27001 Lead Auditor und ausgebildeter PCI DSS QSA (Prüfer für Kreditkartendatensicherheit) sowie Vortragender bei Konferenzen und Kursveranstaltungen.
Näheres unter www.riesenfelder.com