Das Betriebsgeheimnis in seiner bisherigen Form könnte offenbar durch einen Gesetzesentwurf der Bundesregierung ausgehebelt werden, wie Branchenexperten befürchten. Demnach dient das Betriebsgeheimnis künftig nur dann als solches, wenn es entsprechend geschützt ist – und zwar nachweislich. Falls nicht, ist das Aneignen des Geschäftsgeheimnisses durch eine dritte Person straffrei. Darauf machten die IT-Sicherheitsexperten von PSW Group Consulting vor Kurzem (www.psw-consulting.de) aufmerksam.

Nach gegenwärtiger Rechtslage galten an das Betriebsgeheimnis keine allzu hohen Anforderungen. Waren Unterlagen beispielsweise ausdrücklich als Betriebsgeheimnis gekennzeichnet, konnte man vom Willen zur Geheimhaltung ausgehen. Auf Grundlage der EU-Richtlinie 2016/943, die am 05.07.2016 in Kraft trat, brachte die Bundesregierung nun einen neuen Gesetzesentwurf ein, mit dem das Betriebsgeheimnis erstmals gesetzlich definiert wird. Zudem soll es Unternehmen ermöglicht werden, gegen etwaige Verletzungen des Betriebsgeheimnisses gesetzlich vorzugehen.

„Das klingt erst einmal sehr gut, jedoch fordert diese neue Situation Unternehmen auf, Geschäftsgeheimnisse zu sichern. Dafür sind vor allem technisch-organisatorische Maßnahmen notwendig. Allerdings existieren noch keine konkreten Definitionen darüber, wie Assets geschützt werden müssen, damit sie als Betriebsgeheimnis gelten“, kritisiert Christian Heutger, Geschäftsführer von PSW Group Consulting. Unternehmen müssen sich laut ihm demnach jetzt darauf einstellen, ihre Bemühungen um den Schutz des Betriebsgeheimnisses nachzuweisen.

Christian Heutger, Geschäftsführer von PSW Group Consulting. Bild: PSW Group

Christian Heutger, Geschäftsführer von PSW Group Consulting. Bild: PSW Group

Neben technisch-organisatorischen Maßnahmen seien dies auch vertragliche Punkte. „Im ersten Schritt sollten Unternehmen prüfen, ob technische Zugriffsbeschränkungen, organisatorische Schutzmaßnahmen wie Zugriffskontrollen sowie rechtliche Schutzmaßnahmen, etwa Patentanmeldungen oder geschützte Urheberrechte, existieren“, rät der IT-Sicherheitsexperte. Es verstehe sich dabei von selbst, dass die Schutzmaßnahmen angemessen sein sollten: „Je schützenswerter Informationen oder Know-how sind, umso höher muss die Schutzmaßnahme ausfallen.“

Zudem müssten auch die Mitarbeiter mit ins Boot geholt werden, die sich mit vertraulichen Informationen befassen und über deren hohe Schutzbedürftigkeit informiert werden. Dabei sollen beispielsweise Vertraulichkeitsvereinbarungen helfen. Sind Dritte eingebunden, gehen also beispielsweise auch Dienstleister, Zeitarbeiter oder andere Vertragspartner mit dem Betriebsgeheimnis um, sollten auch sie Vertraulichkeitsvereinbarungen unterzeichnen. „Bitte dabei nicht den nachvertraglichen Schutz von Betriebsgeheimnissen vergessen. Diese müssen auch nach Ende einer vertraglichen Zusammenarbeit gewahrt bleiben“, macht Heutger aufmerksam.

Neben diesen Basis-Elementen empfiehlt der Experte außerdem eine Informationsrichtlinie aufzusetzen, die den Schutzbedarf von Informationen definiert, sowie ein aktuelles und effizientes Access Rights Management (ARM) zum Schutz sensibler Daten vor unberechtigtem Zugriff im Unternehmen zu etablieren. Zudem sei es ratsam, ein Monitoring der IT-Infrastruktur nicht nur im eigenen Unternehmen, sondern auch in Drittparteien innerhalb des eigenen Business-Ökosystems durchzuführen.

„Awareness-Schulungen sind für sämtliche Mitarbeiterinnen und Mitarbeiter ratsam, die sich mit Daten befassen. Dadurch machen Unternehmen ihre Mitarbeiter zum Teil des Sicherheitskonzepts. Denn die besten technischen Sicherheitsvorkehrungen nützen wenig, wenn der Faktor Mensch weiterhin das größte Sicherheitsrisiko darstellt, also beispielsweise wenn Mitarbeiter eigene Geräte an der unternehmensinternen IT-Infrastruktur anschließen, Informationen versehentlich weitergeben oder Daten nicht ordnungsgemäß vernichten“, so Heutger.

Weitere Informationen stehen unter www.psw-consulting.de/blog/2019/03/06/ist-mein-betriebsgeheimnis-noch-sicher/ zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.