Früher oder später ist der Lockdown zu Ende. Die in Vergessenheit geratenen Dienstreisen und Vor-Ort-Meetings werden wieder stattfinden. Da es aber derzeit noch nicht so weit ist, sollte man sich überlegen, welche künftigen Herausforderungen die Post-Corona-Zeit nach sich ziehen wird. Aufgrund der pandemiebedingten Verschlechterung der Wirtschaftslage ist u.a. mit einem steilen Anstieg der Betriebsspionagefälle zu rechnen. Das Ziel dieses Beitrags ist es, die meistunterschätzten Gefahrenquellen sowie die datenschutzrechtlichen Lösungsvorschläge darzustellen.  

Recht

Gemäß Art 32 Abs. 1 DSGVO sind sowohl der Verantwortliche, als auch der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleisten. Neben den technischen Maßnahmen hat der europäische Gesetzgeber die Bedeutung, der mit der Datenverarbeitung beauftragten Personen, betont. Nach Art. 32 Abs. 4 DSGVO haben sowohl der Verantwortliche, als auch der Auftragsverarbeiter sicherzustellen, dass ihnen unterstellte natürliche Personen die personenbezogenen Daten nur auf Anweisung verarbeiten. Nach Art. 28 Abs. 3 lit. b DSGVO gewährleistet der Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Der Zweck der oben genannten Bestimmungen ist es, u.a. den Schutz der Geschäftsgeheimnisse seitens der zur Datenverarbeitung eingesetzten Personen sicherzustellen.

Beim Geschäftsgeheimnis (§ 2 GeschGehG) handelt es sich um eine nicht allgemein bekannte bzw. zugängliche Information, welche von wirtschaftlichem Wert ist und Gegenstand von den Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist.

Laut den Erläuterungen zum Geschäftsgeheimnisgesetz fallen darunter u.a. Herstellungsverfahren, Kunden- und Lieferantenlisten, Kosteninformationen, Geschäftsstrategien, Unternehmensdaten, Marktanalysen, Prototypen, Formeln und Rezepte.

So viel zur Rechtslage. Wie sieht es jedoch in der Praxis aus?

Risikofaktor Mensch

Im Jahr 2019 hat der IT-Dienstleister Kaspersky ein Zug-Experiment durchgeführt. Es wurde ein Tester damit beauftragt; in den von den Geschäftsreisenden hochfrequentierten Zügen zu analysieren, welche sensiblen Geschäftsinformationen problemlos eingesammelt werden können. Nach fünf Tagen und 170 analysierten Wagen waren die Experimentergebnisse wie folgt:

• 245 sensible Informationen (Name und Unternehmen von Geschäftsleuten, von Kollegen und Partnern) konnten eigesehen bzw. mitgehört werden.
• Bei nur 5% der Geschäftsnotebooks kam eine Sichtschutzfolie zum Einsatz.
• Sensible Telefongespräche (bspw. juristische Fälle) wurden oft öffentlich geführt.

Im Bericht „International Arbitration Survey: Cybersecurity In International Arbitration“ hat die Kanzlei Bryan Cave Leighton Paisner von ähnlichen Mißständen im Bereich der internationalen Schiedsgerichtsbarkeit berichtet: „Carelessness with data by tribunal members, counsel, experts or witnesses can be as dangerous as targeted attacks - mobile devices left in public places or data loaded on to USB sticks and forgotten about when the dispute ends”.

Die oben genannten Fälle sind nur die Spitze des Eisbergs. Die Themen, welche unter den Tatbestand des Geschäftsgeheimnisses fallen würden, werden oft zu Gesprächsthemen auf Konferenzen, Partys, in Pendlerzügen, in Aufzügen usw.

Betriebsspionage

Grenzen der IT-Sicherheit

Die Geschwätzigkeit eines Insiders könnte von Dritten zu Zwecken der Betriebsspionage ausgenutzt werden. Als Betriebsspionage (Konkurrenzausspähung) bezeichnet man die durch Wettbewerber oder auch unabhängige Einzelpersonen gesteuerte, betriebene oder unterstützte Ausforschung von Unternehmen. Laut der Präsentation der österreichischen Wirtschaftskammer ist in vielen Fällen die Spionage auch auf Informationsfluss bzw. Informationsweitergabe durch Mitarbeiter zurückzuführen.

In mehreren Unternehmen wird die volle Aufmerksamkeit der IT-Sicherheit gewidmet. Dabei wird aber der Risikofaktor Mensch übersehen und leider auch oft unterschätzt. Herr Dr. Trapp vom Bundesverfassungsschutz hat es im Interview mit KÖTTER Report auf den Punkt gebracht: „Es reicht nicht, die IT­-Sicherheit hochzufahren, wenn ich meine Mitarbeiterinnen und Mitarbeiter nicht ausreichend schule oder keine Zugangskontrollen in sensiblen Unternehmensbereichen einrichte“. Das Personal verfügt nämlich über schützenswertes Wissen, an welches Konkurrenten oft nur mit deren Hilfe gelangen können. Die Tatsache, dass menschliche Quellen trotz des enormen technischen Fortschritts weiterhin von Bedeutung sind, wurde von Markus Wolf in seinem Buch „Man without a face“ betätigt: „The problem with technical intelligence ist hat it is essentially information without evaluation (…) Human resources can (…) place documents and conversations in context“ (Quelle: Wolf, Man without a face, 317).

Elicitation

Diese Gefahr wurde auch vom FBI erkannt. In einer Online-Broschüre werden die US-Bürger vor der so genannten „elicitation“-Gefahr gewarnt. Es handelt sich hier um ein auf den ersten Blick lockeres Gespräch, dessen Zweck die sensiblen Unternehmensinformationen vom Gesprächspartner herauszulocken ist. Dabei werden oft menschliche Schwächen wie Neugier, Anerkennungswunsch usw. ausgenutzt. Das FBI weist auch auf die Gefahr hin, dass Betriebsgeheimnisse auch von Dritten (bspw. Freunde, Familienmitglieder Geschäftspartner) gewonnen werden können: „Often friends, family, vendors, subsidiaries, or competitors know information but may not be sensitized about what not to share“.

Social Media

Neben der verbalen Kommunikation können auch die berufsbezogenen Social-Media-Plattformen zum Problem werden. Die Initiative Wirtschaftsschutz warnt, dass viele Nutzer unbewusst sensible Informationen offenbaren, welche von Dritten missbraucht werden können. Das FBI weist in diesem Zusammenhang auch auf die bereits oben genannte elicitation-Gefahr hin.

Gegenmaßnahmen

• Bewusstsein schaffen: Die WKO sowie die Initiative Wirtschaftsschutz scheinen einig zu sein, dass die Offenlegung von Geschäftsgeheimnissen oft am mangelnden Bewusstsein der Insider liegt. Aus diesem Grund sollen die Mitarbeiter bspw. im Rahmen einer Schulung hinsichtlich des Umgangs mit unternehmensbezogenen Informationen sensibilisiert werden. Unbedingt sollen dabei solche Themen wie die unternehmensbezogene Kommunikation mit Dritten, Social-Media-Präsenz, Besuchermanagement sowie Geschäftsreisen besprochen werden. Es wäre empfehlenswert, unternehmensinterne Richtlinien zu den oben genannten Themen zu verfassen. Der Schutz der Geschäftsgeheimnisse soll auch mit den Geschäftspartnern zur Sprache gebracht werden (bspw. im Zusammenhang mit dem Abschluss einer Geheimhaltungsvereinbarung).
  
  
• Technisch-organisatorische Maßnahmen: Nachdem das schützenwerte Know-how identifiziert wurde, sollten die technisch-organisatorischen Maßnahmen (bspw. Zutritts-, Zugangs-, Zugriffs-, Datenträger-, Eingabe-, Benutzer-, Speicher-, Übertragungs-, Verfügbarkeits-, Auftrags- und Organisationskontrolle) festgelegt bzw. aktualisiert und schriftlich aufgelistet werden.

• Art 5 DSGVO: Im Art. 5 DSGVO sind u.a. die Grundsätze der Datenminimierung und Zweckmäßigkeit zu finden. Danach müssen personenbezogene Daten für festgelegte Zwecke sowie dem Zweck angemessen verarbeitet werden. Die Anwendung dieser Prinzipien auf die elektronische, sowie verbale unternehmensbezogene Kommunikation mit Dritten könnte den ersten Schritt auf dem Weg zur Daten- und Wirtschaftsschutzkonformität Ihres Unternehmens darstellen.

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.