Geschäftsgeheimnisse

Wie funktioniert Geheimnisschutz in der Cloud?

Die Bundesregierung hat einen Entwurf für ein Gesetz zum besseren Schutz von Geschäftsgeheimnissen (GeschGehG) beschlossen: Der von Justizministerin Dr. Katarina Barley vorgelegte Gesetzentwurf setzt die EU-Richtlinie 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung um.

Ziel der Richtlinie ist ein einheitlicher Mindestschutz für Geschäftsgeheimnisse in Europa – doch was ändert sich damit eigentlich? Und was hat die Wahl eines sicheren Cloud-Dienstes damit zu tun?

Welche Neuerungen bringt die Richtlinie?

Die Bundesregierung hält sich bei der Umsetzung weitestgehend an den Vorgaben der EU-Richtlinie. Diese definiert unter anderem den Begriff des Geschäftsgeheimnisses sowie die wesentlichen Dreh- und Angelpunkte des Geheimnisschutzes. Außerdem listet sie erlaubte Handlungen sowie Handlungsverbote auf.

Eine der schwerwiegendsten Neuerungen dürfte sein, dass Geschäftsgeheimnisse nur noch dann als geschützt gelten, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. In  Betracht  kommen dabei sowohl technische Zugangsbeschränkungen und Vorkehrungen als auch vertragliche  Sicherungsmechanismen. Die Beweislast liegt dabei stets beim Geheimnisinhaber.

Wer sich also künftig auf den Geschäftsgeheimnisschutz berufen möchte, wird zunächst nachweisen müssen, auch dementsprechend ausreichende Sicherheitsmaßnahmen getroffen zu haben.

Vieles ist noch ungeklärt

Konkrete Vorgaben, welche Maßnahmen Unternehmen zu treffen haben, nennt die Richtlinie leider nicht. Was als „ausreichende Maßnahmen“ zählt, müssen die Gerichte demnach im Einzelfall entscheiden.

Es stellt sich daher die Frage, ob möglicherweise bereits die Nutzung von Cloud-Diensten, die nur den Anforderungen der TCDP/AUDITOR-Schutzklasse 1 oder 2 entsprechen, als eine Unterlassung von Schutzmaßnahmen und damit als eine Fahrlässigkeit interpretiert werden wird. Eventuelle Haftungs- oder Schadensersatzansprüche, die sich aus dem Bekanntwerden eines Geschäftsgeheimnisses für das betroffene Unternehmen ergeben würden, könnten damit hinfällig sein.

Auch ist noch zu klären, ob die Nutzung eines als unsicher einzustufenden Cloud-Dienstes eine Zuwiderhandlung gegen die in GeschGehG § 16 Abs. 2 formulierten Pflichten darstellt und daher mit einem Ordnungsgeld oder Ordnungshaft zu ahnden ist.

Die Cloud macht den Unterschied

Ich rate Unternehmen daher zu Lösungen, die per se ein hohes Maß an Datenschutz und Datensicherheit bieten können. Denn wenn Daten für den Cloud-Anbieter einsehbar sind, können sie auch weitergegeben oder missbraucht werden. Vor allem zu verarbeitende Daten liegen auf den Servern vieler Anbieter oftmals unverschlüsselt vor und sind daher besonders gefährdet.

Unternehmen, die sich, ihre Daten und ihre Geschäftsgeheimnisse zuverlässig schützen wollen, sollten daher auf Cloud-Angebote setzen, bei denen ein unbefugter Zugriff oder eine Weitergabe von Daten schon rein technisch ausgeschlossen sind. Dies ist zum Beispiel bei betreibersicheren Cloud-Diensten wie der Versiegelten Cloud der Deutschen Telekom oder Uniscons Sealed-Cloud-Dienst iDGARD der Fall. Durch die physische Verkapselung der Server ist sichergestellt, dass niemand auf die gespeicherten Daten zugreifen kann. Auch der Betreiber des Dienstes und seine Mitarbeiter sind vom Zugriff ausgeschlossen.

Passende Zertifikate, die Unternehmen bei der Wahl eines passenden Dienstes unterstützen, gibt es derzeit leider noch nicht. Ausgehend von dem hohen Schutzniveau, dass die DSGVO beispielsweise für personenbezogene Daten fordert, darf man allerdings davon ausgehen, dass DSGVO-zertifizierte Cloud-Dienste den Anforderungen der Richtlinie bzw. des GeschGehG genügen dürften.

Mit dem Projekt AUDITOR ist aktuell ein entsprechendes Zertifikat in Arbeit.

Dr. Hubert Jäger, Uniscon GmbH


Der Autor:
Dr. Hubert Jäger ist Mitgründer und Geschäftsführer der Uniscon GmbH. Der Cloud-Security-Dienstleister aus München gehört seit Sommer 2017 zur TÜV SÜD Gruppe. Seine international patentierte Sealed-Cloud-Technologie ist der Stand der Technik für sichere und rechtskonforme Datenverarbeitung

 

 

 

Sie möchten Uniscons betreibersicheren Cloud-Dienst iDGARD testen, der Ihre Daten und Geschäftsgeheimnisse sowie die Daten Ihrer Kunden zuverlässig schützt? Dann melden Sie sich an und testen Sie iDGARD 14 Tage kostenlos.

iDGARD Jetzt testen

  • Kein Risiko: Der Test läuft automatisch aus.
  • Sie brauchen bei der Anmeldung zum Test keine Zahlungsdaten angeben.

Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.


Leser dieses Artikels interessieren sich auch für folgende Inhalte:

privacyblog: Cyber-Versicherungen: Doppelt hält besser

privacyblog: Der CLOUD Act und die DSGVO

White Paper: Die Stärken der Sealed-Cloud-Technologie im geschäftlichen Umfeld

Sie möchten stets auf dem Laufenden bleiben?

Dann melden Sie sich jetzt zum Verteiler an und erhalten Sie monatlich unseren exklusiven Newsletter – mit Bedientipps und den neusten Infos rund um die Themen Datenschutz, Datensicherheit und IT-Sicherheit.