Mit dem im April 2019 erlassenen Geschäftsgeheimnisgesetz hat der Gesetzgeber eine neue Grundlage für den Schutz von Betriebs- und Geschäftsgeheimnissen geschaffen. Unternehmen können bei der Umsetzung von den Erfahrungen aus der DSGVO-Umsetzung und eventuellen ISO-Zertifizierungen profitieren.

Im Mittelpunkt des neuen Geschäftsgeheimnisgesetzes steht eine elegante Neudefinition des Begriffs Geschäftsgeheimnis – als einer Information, die »nicht allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist« und die »angemessenen Geheimhaltungsmaßnahmen« unterliegt. Das bedeutet, dass eine Information keine qualitativen Anforderungen im Sinne einer besonderen Eigenart, Neuheit oder Schöpfungshöhe erfüllen muss, um schützenswert zu sein. Geschäftsstrategien, Forschungsdaten, Kundenlisten und Rezepte können alle gleichermaßen abgedeckt sein. Um gesetzlichen Schutz zu genießen, muss das Unternehmen sie aber klassifiziert und durch präventive, angemessene Maßnahmen geschützt haben. Erst durch die Klassifizierung und die Schutzmaßnahmen wird der Wert dokumentiert. Taten zählen, nicht Worte.

Was das für Unternehmen bedeutet. Unternehmen, die Geschäftsgeheimnisschutz beanspruchen wollen, müssen diesen also systematisch organisieren, indem sie schützenswerte Informationen erfassen, klassifizieren und durch geeignete technische und organisatorische Maßnahmen schützen. Das klingt nach hohem Aufwand. Die Praxis zeigt aber, dass diese Organisation so gut wie nie bei Null beginnt: Die meisten Unternehmen haben mit der Umsetzung der DSGVO zumindest ihre personenbezogenen Daten erfasst und Maßnahmen zu deren Schutz getroffen. Vielfach ist der Datenschutz sogar schon in ein allgemeines Sicherheitskonzept oder Qualitätsmanagementsystem nach ISO 9001 oder ein ISMS nach ISO 27001 eingebunden.

Erfassung schützenswerter Informationen. Schon beim ersten Schritt der Organisation des Geschäftsgeheimnisschutzes – der Erfassung schützenswerter Informationen – kommen den Projektteams ihre Erfahrungen zugute: Bei personenbezogenen Daten gemäß DSGVO (und auch beim Wissen gemäß ISO 9001 und den als Werte eingestuften Informationen gemäß ISO 27001) handelt es sich meist um Geschäftsgeheimnisse. Unternehmen, die die DSGVO umgesetzt haben oder die Managementsystemstandards anwenden, verfügen also über etablierte Prozesse für die systematische Aufzeichnung von Geschäftsgeheimnissen.

Gerade das im Rahmen der DSGVO anzulegende Verarbeitungsverzeichnis (VdV) drängt sich förmlich auf, um für die Erfassung der Geschäftsgeheimnisse genutzt zu werden. Ein guter erster Schritt ist daher, ein ähnliches Verarbeitungsverzeichnis anzulegen oder das bestehende VdV auszuweiten. Dies ermöglicht es dem Team zu dokumentieren, welche Informationsarten in welchen Vorgängen dem Geheimnisschutz unterliegen, und angemessene Schutzmaßnahmen zu ergreifen. Zudem ist das VdV eine wertvolle Hilfe, um einen verbindlichen Rahmen für die Verwendung der Informationsarten zu entwickeln, und liefert wertvolle Erkenntnisse zu potenziellen Schwachstellen.

Die Risikobeurteilung mit einer einfachen Formel vornehmen:
Eintrittswahrscheinlichkeit x Schadensausmaß = Risikograd

Klassifizierung der Informationen. Sind die Geschäftsgeheimnisse erfasst, gilt es zu klären, wie relevant und schützenswert die Informationen sind. Dabei werden die Informationsarten bestimmten Schutzklassen zugewiesen. Die zentrale Frage ist dabei, ob und mit welchem Ausmaß ein Schaden entstehen könnte, wenn Informationen unbefugt offengelegt oder genutzt werden. Für Unternehmen, die wenig Erfahrung mit Risikobeurteilungsmethoden haben, empfiehlt sich eine einfache Kalkulation wie diese:

Eintrittswahrscheinlichkeit x Schadensausmaß = Risikograd

Viele der Informationen, die benötigt werden, um die Eintrittswahrscheinlichkeit und das Schadensausmaß zu beziffern, lassen sich aus dem Verzeichnis der Geschäftsgeheimnisse entnehmen. Die Verantwortlichen müssen lediglich überlegen, welche Risikoquellen auf diese Schwachstellen einwirken könnten und welche Auswirkungen eine Geheimnisschutzverletzung hätte.

Anschließend werden für Eintrittswahrscheinlichkeit und Schadensausmaß konkrete Werte (etwa 1 = niedrig bis 4 = katastrophal) bestimmt. Aus deren Multiplikation ergibt sich ein Risikograd, der dann noch zu gewichten ist (etwa 1-3 = geringes, 4-8 = mittleres, 9-16 = hohes Risiko). Im letzten Schritt wird der Brutto-Risikograd mit bestehenden, risikomindernden Maßnahmen verrechnet (als Faktor; etwa 0,25 = sehr starke, 0,5 = weniger starke, 1 = schwache Risikominderung), um einen Netto-Risikograd zu erhalten.

Auswahl angemessener Maßnahmen. Im nächsten Schritt werden konkrete technische und organisatorische Maßnahmen zur Geheimhaltung entwickelt. Auch hier bietet die DSGVO mit ihren Maßnahmen zum Schutz personenbezogener Daten eine probate Vorlage: Klassischerweise werden zur Wahrung der Vertraulichkeit etwa die Zutritte zu Räumlichkeiten, der Zugang zu Systemen und Applikationen sowie der Zugriff auf Dokumente und Datensätze begrenzt. In vielen Fällen lassen sich dabei die im Zuge der Organisation des Datenschutzes oder, sofern zutreffend, der Umsetzung von ISO 27001 ergriffenen technischen und organisatorischen Maßnahmen ohne größere Umstände auf die identifizierten Geschäftsgeheimnisse ausrollen.

Erst durch die Erfassung, Klassifizierung und die Schutzmaßnahmen wird der Wert von Geschäftsstrategien, Forschungsdaten, Kundenlisten und Rezepten dokumentiert.

Fazit. Das GeschGehG stellt neue Herausforderungen an den Schutz von Geschäftsgeheimnissen. Auf den ersten Blick wirken die gesetzlichen Anforderungen wie ein erheblicher Mehraufwand. Doch auf Grundlage bestehender Systematiken und organisatorischer Strukturen für den Datenschutz lassen sich die neuen gesetzlichen Vorgaben angemessen meistern. Der Geschäftsgeheimnisschutz kann ebenso wie der Datenschutz reibungslos mit bestehenden Managementsystemen nach ISO 9001 oder ISO 27001 verwoben und in ein integriertes Managementsystem eingefügt werden.

Volker Caumanns,
Auditor der DQS GmbH und
Fachreferent für Datenschutz
und Informationssicherheit

Illustrationen: © shutterstock.com, DQS GmbH

34 Artikel zu „GeschGehG“

NEWS | WHITEPAPER

Whitepaper: Produkt-Compliance-Kompetenzen etablieren

3. Oktober 2020

Der Entzug von Produktzertifikaten oder die kostspielige Anpassung von Produkten, die Gefährdung von Audits und Zertifizierungen oder empfindliche zivil- bzw. strafrechtliche Maßnahmen – all das sind mögliche Konsequenzen, wenn Unternehmen die Produkt-Compliance unzureichend umsetzen. Sicherzustellen, dass alle rechtlichen Vorgaben korrekt eingehalten werden, wird allerdings eine immer anspruchsvollere Aufgabe – insbesondere aktuell in der Automobilbranche. Zurückzuführen…

Mit dem im April 2019 erlassenen Geschäftsgeheimnisgesetz hat der Gesetzgeber eine neue Grundlage für den Schutz von Betriebs- und Geschäftsgeheimnissen geschaffen. Unternehmen können bei der Umsetzung von den Erfahrungen aus der DSGVO-Umsetzung und eventuellen ISO-Zertifizierungen profitieren.

Volker Caumanns, Auditor der DQS GmbH und Fachreferent für Datenschutz und Informationssicherheit

Illustrationen: © shutterstock.com, DQS GmbH

34 Artikel zu „GeschGehG“

Volker Caumanns,
Auditor der DQS GmbH und
Fachreferent für Datenschutz
und Informationssicherheit