Unternehmensinformationen diskret behandeln

Illustration: Absmeier Geralt

Seit drei Jahren ist das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft. Ziel war es, den Schutz von Know-how, Betriebsgeheimnissen und internem Zusatzwissen europaweit auf eine neue Stufe zu heben. Doch noch immer unterschätzen viele Unternehmen den Anwendungsbereich des Gesetzes und setzen daher nur geringfügig geeignete Geheimhaltungsmaßnahmen an. Gerade bei E-Mails, dem wichtigsten Business-Kommunikationskanal und damit einem äußerst beliebten Angriffsziel von Cyberkriminellen, kann dies schwerwiegende Folgen mit sich bringen. Mit einer professionellen E-Mail-Verschlüsselung lässt sich dies verhindern – und Ihre Betriebsgeheimnisse bleiben geschützt.

Nach wie vor sind E-Mails der Hauptkommunikationskanal in Unternehmen. Nahezu jeder Mitarbeiter versendet täglich zahlreiche Nachrichten – intern an Kollegen oder auch extern an Partner, Kunden und Lieferanten. Dabei ist es wichtig zu berücksichtigen, dass nicht alle Inhalte für jeden Empfänger gedacht sind. Wenn die Inhalte einer Kommunikation besonderen Bedingungen der Geheimhaltung unterliegen, besteht nach dem GeschGehG die Pflicht, diese Bedingungen auch beim Versand von E-Mail-Nachrichten einzuhalten. Der Absender ist demnach dafür verantwortlich, dass nur befugte Empfänger die ihnen zugedachten Inhalte erhalten. Dies setzt nach Auffassung der deutschen Datenschutz-Aufsichtsbehörden im Regelfall eine Ende-zu-Ende-Verschlüsselung voraus.

Die Rechtslage

Seitdem 2019 das Geschäftsgeheimnisschutz-Gesetz verabschiedet wurde, hat der Inhaltsschutz bei der elektronischen Kommunikation eine große Bedeutung. So bezweckt das Gesetz einen umfassenden Schutz »vor rechtswidriger Erlangung, rechtswidriger Nutzung und rechtswidriger Offenlegung von Geschäftsgeheimnissen«. Dies war bis dato neben den allgemeinen zivilrechtlichen Bestimmungen nur in den Strafbestimmungen der §§ 17–19 UWG geregelt.

Das GeschGehG verpflichtet Unternehmen, einen stärkeren Schutz ihrer Geschäftsgeheimnisse zu gewährleisten, indem sie »angemessene Geheimhaltungsmaßnahmen« umsetzen. Demnach können sie sich ohne entsprechende Schutzvorkehrungen nicht auf die höheren Ansprüche nach dem GeschGehG berufen.

Von Bedeutung ist dabei besonders die Norm des § 4 Abs. 2 Nr. 2 und 3 GeschGehG: Wenn ein Vertragspartner im Zuge eines Schuldrechtsverhältnisses ein Geschäftsgeheimnis erhält, ist ihm die Nutzung oder Offenlegung dieses Geheimnisses verwehrt, wenn er damit gegen die Pflicht zur Nutzungs- oder Offenlegungsbeschränkung verstößt. Die Offenlegung ist »tatbestandlich ein aktives Tun« und begründet folglich noch keine Pflicht, gewisse technische Schutzvorkehrungen zu ergreifen, die einen ungewollten Verlust von Geheimnissen oder einen unberechtigten Zugriff durch Dritte verhindern. Das Gegenteil ist der Fall: Die Information muss Gegenstand angemessener Geheimhaltungsmaßnahmen durch den rechtmäßigen Inhaber der Information sein.

Diese Vorgehensweise des Gesetzgebers spricht nunmehr für eine verpflichtende E-Mail-Verschlüsselung, konform mit der Bestimmung des Art. 32 DSGVO.

Illustration: Absmeier

Datenschutz-konforme E-Mail-Kommunikation

Anders als viele denken, ist die Einrichtung einer E-Mail-Verschlüsselung einfach umsetzbar und mit wenig Aufwand sowie Kosten verbunden. Sie lässt sich in jedem E-Mail-Client einrichten, sodass sich für die Unternehmensmitarbeiter nichts ändert. Die Prozesse laufen automatisch im Hintergrund ab und beeinträchtigen den Nutzer nicht bei seiner Arbeit.

Mit Technologien wie S/MIME- und TLS-Verschlüsselung können Unternehmen so schnell und einfach gewährleisten, dass Nachrichten auf ihrem gesamten Versandweg von keinem anderen mitgelesen werden und so ausschließlich den gewünschten Empfänger erreichen.

Darüber hinaus lässt sich mit einer digitalen Signatur verhindern, dass Cyberkriminelle E-Mails im Namen von Mitarbeitern versenden und so an sensible Informationen gelangen können. Digitale Signaturen schaffen Integrität und Authentizität des Absenders. Dadurch kann sich der Empfänger sicher sein, dass die erhaltene Nachricht auch wirklich vom angegebenen Absender stammt.

Für eine Signatur benötigen Nutzer ein offiziell prüfbares Zertifikat, das bei anerkannten Zertifizierungsstellen beantragt werden muss.

Stephan Heimel, Prokurist & Sales Director der SEPPmail – Deutschland GmbH