»СВАКС… Когда вы забатите довольно воровать настоящий лучший« (»Wenn Du gut genug bist, um das Beste zu stehlen«) – schon in den 80er Jahren wurde im Bereich der IT-Technologie fleißig kopiert und wurden fremde Geschäftsgeheimnisse genutzt, wie die auf die CPU-Platine des CVAX 78034 aufgebrachte Nachricht der Entwickler an die Ostblockstaaten beweist. Auch im IT-Outsourcing werden vertrauliche Informationen ausgetauscht – der Schutz eben dieser sollte nicht nur vertraglich, sondern auch faktisch abgesichert werden.

Ein Geschäftsgeheimnis ist nach § 2 Nr. 1 GeschGehG eine »Information, die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und die Gegenstand von (…) angemessenen Geheimhaltungsmaßnahmen (…) und bei der ein berechtigtes Interesse an der Geheimhaltung besteht«.

Somit kommt es in der Zusammenarbeit, gegebenenfalls auch schon startend mit der Anbahnung einer potenziellen späteren Geschäftsbeziehung, mit einem IT-Dienstleister darauf an,

Geschäftsgeheimnisse abzugrenzen,
den Personenkreis, der mit diesen Geschäftsgeheimnissen arbeitet, begrenzt und kontrollierbar zu halten, und
hierzu entsprechende (angemessene) Maßnahmen mit dem Provider zu vereinbaren bzw. diese aufzuerlegen.

Abgrenzung von Geschäftsgeheimnissen. Die Menge an Informationen, auf die ein IT-Dienstleister (theoretisch) Zugriff hat beziehungsweise haben kann, ist häufig schier unbegrenzt. Umso wichtiger ist dabei, mit Hilfe eines pragmatischen und auch realisierbaren Klassifizierungsschemas die »Kronjuwelen« von den Alltagsinformationen im Unternehmen klar abzugrenzen und auch durch eine entsprechende Kenntlichmachung und Ablagestrukturen die Voraussetzungen für geordnete Zugriffe im Rahmen eines Berechtigungsmanagements zu schaffen. Häufig wird ein Klassifizierungsschema mit nur wenigen Klassen verwendet, beispielsweise vier Klassen von »öffentlich« über »intern« und »vertraulich« bis »streng vertraulich«. Hierbei würden alle Informationen, die als »vertraulich« oder höher klassifiziert sind, als schützenswert herausgestellt.

Diese Abgrenzung ist auch in Bezug auf Vertraulichkeitsvereinbarungen hilfreich, da in Bezug auf den häufig genutzten Begriff »Vertrauliche Informationen« zum einen auf die Definition des Geschäftsgeheimnisbegriffs im GeschGehG und zum anderen auf das Klassifizierungsschema zurückgegriffen werden kann.

Kontrolle des Personenkreises. Im Rahmen der Vertraulichkeitsvereinbarungen sollte auch Wert darauf gelegt werden, dass die oftmals anzutreffende Catch-all-Klausel auch so formuliert ist, dass eine Eingrenzung auf die relevanten Geschäftsgeheimnisse möglich ist und nicht jede beliebige Information umfasst wird, was die Wirksamkeit solcher Klauseln aushöhlen kann (vgl., zwar bezogen auf ein Arbeitsverhältnis, aber durchaus übertragbar, LAG Düsseldorf, Urteil vom 03.06.2020 – 12 SaGa 4/20). So können hierfür die vorgenannten Klassifizierungsstufen wie auch konkrete (nicht abschließende) Beispiele genutzt werden, um eine Konkretisierung zu erreichen.

Weiterhin sollte auch der berechtigte Personenkreis abstrakt, beispielsweise über Funktionsbezeichnung oder Rollenprofil, beschrieben werden, um auch die Kontrollfunktion aufrechterhalten zu können. Eine definitive namentliche Aufzählung ist zumeist nicht notwendig oder kann bei besonders kritischen Informationen auch durch ein »Vorblatt« der Information sichergestellt werden.

Angemessene Maßnahmen zum Schutz der Informationen. Um gegebenenfalls Verletzungen des Vertraulichkeitsschutzes oder insbesondere auch den Versuch, einen Vertraulichkeitsschutz zu umgehen, nachvollziehen zu können, sollte der Dienstleister in jedem Fall verpflichtet werden,

ein Berechtigungskonzept zu erstellen und zu pflegen,
Zugriffe sowie Versuche des Zugriffs (auf besonders schützenswerte Informationen) zu protokollieren,
geeignete technische und physische Sicherheitsmaßnahmen zu ergreifen,
den Versuch eines missbräuchlichen Zugriffs aktiv zu melden und zu verfolgen und
dem Auftraggeber entsprechende Audit- und Einsichtsrechte zu gewähren.

Dabei ist auch ein Melderegime ähnlich den verpflichtenden Meldungen bei Datenschutzverletzungen ratsam, so dass der Auftraggeber im Falle eines tatsächlichen Bruchs der Vertraulichkeit auch unverzüglich informiert wird und ebenfalls entsprechende Maßnahmen ergreifen kann.

Zur Abdeckung der vorgenannten Verpflichtungen sollte auch eine angemessene Vertragsstrafe vereinbart werden. Hierzu bietet sich eine Formulierung nach dem sogenannten Hamburger Brauch an.

Insgesamt ist jedoch zu beachten, dass der Schutz der Geschäftsgeheimnisse (und damit auch die Verpflichtung der IT-Dienstleister) keinen absoluten Schutz darstellen muss, sondern sich an einem dem Wert und der Bedeutung der Information entsprechenden Niveau orientieren soll.

Fazit.Um das höhere Schutzniveau des Geschäftsgeheimnisgesetzes auch zur Wirkung bringen zu können, sollten für alle (IT-) Dienstleistungsverträge entsprechende Vertraulichkeitsvereinbarungen abgeschlossen beziehungsweise angepasst werden, so dass diese zwar umfassend die Geschäftsgeheimnisse erfassen, jedoch nicht so unbegrenzt Wirkung entfalten, dass diese nicht mehr wirksam sind. Hierzu sollte – neben der vorbeschriebenen Klassifizierung der Informationen im Unternehmen – auch ein Vertrags- und Vertraulichkeitskataster angelegt werden, um einen Überblick über die bestehenden Informationsflüsse und die dazugehörigen Regelungen zu erhalten.

Christoph Lüder (l.), Marcus Schwertz,
LEXTA CONSULTANTS GROUP, Berlin

www.lexta.com/de

Illustration: © studiostoks/shutterstock.com

145 Artikel zu „Geschäftsgeheimnisse“

AUSGABE 3-4-2021 | SECURITY SPEZIAL 3-4-2021 | NEWS | IT-SECURITY

Zukunftssichere Absicherung der IT-Infrastruktur – Gleiche Sicherheit für alle Nutzer

25. April 2021

Datenmissbrauch, Identitätsdiebstahl und Datenlecks sind für Unternehmen nicht nur sehr kostenintensiv, sie gefährden auch die sensiblen Beziehungen zu Kunden und Geschäftspartnern. Potenzielle Sicherheitslücken sind dabei nicht selten auf die Kompromittierung privilegierter Benutzerkonten zurückzuführen. Denn vielerorts wird die Vergabe und Kontrolle von IT-Berechtigungen nicht zufriedenstellend gelöst.

Christoph Lüder (l.), Marcus Schwertz, LEXTA CONSULTANTS GROUP, Berlin

145 Artikel zu „Geschäftsgeheimnisse“

Christoph Lüder (l.), Marcus Schwertz,
LEXTA CONSULTANTS GROUP, Berlin