Geheimnis beruflich

Wie bleibt ein Geheimnis in der Cloud gewahrt?

Geheimnis über Geheimnis – im Privatleben, im Unternehmen, im Amt. Doch das Geheimnis bleibt nicht wirklich geheim, wenn es im Internet ganz vertraulich dem Anwalt per Mail mitgeteilt oder ein Dokument dem Verhandlungspartner per File-Sharing übermittelt wird. Aufgrund der aktuellen technischen Bedingungen können Dritte Kenntnis darüber erlangen. Deshalb müssen Geheimnis-Träger, also diejenigen, die aus Berufsgründen mit einem Geheimnis umgehen, bei Cloud-Diensten eine besondere Sicherheitsvorsorge treffen. Haben Sie das gewusst?

Welches Geheimnis ist gesetzlich geregelt?

  1. Das Privatgeheimnis, das den persönlichen Lebensbereich eines Menschen betrifft. Sei es, dass dieser Mensch unter einer Krankheit leidet oder eine Klage erwägt… Geheimnisträger wie Ärzte oder Anwälte, denen er sich anvertraut, unterliegen der Geheimhaltungs- und Schweigepflicht (nach § 203 StGB).
  2. Der Begriff Unternehmensgeheimnis, das das betriebliche „Know-how“ betrifft, verstehen Juristen sehr weit. Es erfasst alle Tatsachen, die mit dem Betrieb in Zusammenhang stehen, an deren Schutz und Geheimhaltung ein berechtigtes Interesse des Unternehmens besteht und die nach dem Willen des Unternehmensinhabers auch geheim bleiben sollen (§ 203 StGB). Ein Betriebs-Geheimnis ist dabei unabhängig vom Patent-, Marken- oder Urheberrecht.
  3. Unter einem Amts-Geheimnis wird eine bestimmte Erkenntnis oder eine Tatsache verstanden, die nur für einen eng eingegrenzten Personenkreis verfügbar gemacht werden darf. Deshalb unterliegt sie der Geheimhaltungspflicht. Generell gilt für alle Beamten die Verschwiegenheitspflicht (§ 61 BBG, Bundesbeamtengesetz und § 39 BRRG, Beamtenrechtsrahmengesetz). Wer als Amtsträger seine Geheimhaltungspflichten verletzt und dadurch wichtige öffentliche Interessen gefährdet, wird gemäß § 353 b StGB mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft.

Anwälte, Wirtschaftsprüfer, Ärzte, Psychologen, Finanzberater, Beamte, Prokuristen, Geschäftsführer Datenschutzbeauftragte… sie alle gehören zu Geheimnisträgern und müssen neben den für andere Stellen geltenden Datenschutzgesetzen auch das strenge, nicht dem Grundsatz der Verhältnismäßigkeit unterliegende Gesetz zur Verletzung von Privatgeheimnissen (§ 203 StGB) folgen.

Wann ist ein Dienst für Geheimnisträger geeignet?

Für Geheimnisträger muss ein Cloud-Dienst also besondere Anforderungen erfüllen, um die Geheimhaltung der Daten zu gewährleisten. So muss von Anfang an geregelt sein,

  • wer Zugriff auf die abgelegten Daten in der Cloud hat.
  • wer sie einsehen darf.
  • dass Dritte oder der Cloud-Anbieter weder Zugriff auf Inhalte noch auch die anfallenden Metadaten haben darf.

Auch muss offengelegt sein,

  • wie die internen Prozesse ablaufen, wie sie gestaltet sind und ob, beziehungsweise wie sie abgesichert sind.
  • ob die Daten verschlüsselt sind.

Zum Beispiel müssen Daten, die ein Geheimnis offenbaren könnten, unbedingt verschlüsselt werden, um die Identität desjenigen zu schützen, der dieses Geheimnis hat. Werden solche Daten jedoch verarbeitet, ist eine Versiegelung unumgänglich.

Lesen Sie, wie eine solche Versiegelung aussieht.

Schutzklasse 3

Damit Geheimnisse gewahrt bleiben, muss ein Geheimnisträger eine Cloud beauftragen, die den hohen technischen Anforderungen zum Datenschutz entspricht. Dies selbst zu recherchieren überfordert viele Geheimnis-Träger.

Im Trusted Cloud Datenschutzprofil (TCDP), das vom Bundesministerium für Wirtschaft und Energie mithilfe aller maßgeblichen Datenschutz-Stellen erarbeitet wurde, sind für ein Geheimnis die Anforderungen für ein Zertifikat mit der Schutzklasse 3 ausschlaggebend. Für Geheimnisträger gilt also: In die Cloud darf ein Geheimnis nur, wenn der beauftragte Dienst all jene Maßnahmen umsetzt, die der Schutzklasse 3 entsprechen.

So berechnen Sie den Schutzbedarf Ihrer Daten!