Vom unzulässigen Download zur Industriespionage

Dr. H.-Christian Heyn, Thomas Eckert,

Unternehmerische Geheimnisse sind häufig die entscheidende Existenzgrundlage eines Unternehmens. Dies gilt sowohl für Kundenlisten als auch für technische Fertigkeiten oder Anwendungen.

Flankieren sollte man Geheimhaltungsverpflichtungen bzw. nachvertragliche Wettbewerbsverbote zudem unbedingt durch vertragliche Regelungen, durch die man sich die Rechte an den Arbeitsergebnissen des jeweiligen Arbeitnehmers bzw. Kooperationspartners einräumen lässt. Auch hier sind natürlich die durch zwingende gesetzliche Regelungen gesteckten Grenzen insbesondere des Arbeitnehmererfinderrechts zu beachten.

Sicherungsmaßnahmen technischer und organisatorischer Art

So notwendig die vorstehend angesprochenen juristischen Sicherungsmaßnahmen auch sind: Mindestens ebenso wichtig sind technische und organisatorische Sicherungsmaßnahmen, die einer unbefugten Geheimniserlangung und -verwertung entgegenwirken. Diese sollten ggfs. in innerbetrieblichen IT-Sicherheitsrichtlinien näher konkretisiert werden.

Als Beispiele für entsprechende technische und organisatorische Maßnahmen sind die durch das BDSG in Anlage zu § 9 Satz 1 geforderten Maßnahmen zu nennen. Jedes Unternehmen egal welcher Gesellschaftsform und Größe ist dem BDSG verpflichtet, hat entsprechende Verfahrensverzeichnisse vorzuhalten und kann damit bereits das vorhandene Datenschutzniveau analysieren bzw. verbessern. Unter gewissen Umständen bietet sich auch die Einführung eines IT-Risiko-Managementsystem, z.B. nach ISO 27001, an.

Auch die Verschlüsselung von E-Mails und, natürlich nur im arbeitsrechtlich zulässigem Umfang, die Überwachung von Mitarbeitern beispielsweise durch Registrieren aller ein- und ausgehenden E-Mails sollten betrachtet werden. Darüber hinaus sollte man sich über den Umfang der Nutzung von ‘Home Offices’ Gedanken machen. Da diese Home Offices meist nur ei-ner schwachen Security-Policy unterliegen und unzureichend auf Veränderungen überwacht werden, gibt es äußerst hoch einzustufende Risiken.

Nur drei gravierende Beispiele: Die Konkurrenz bekommt einen Einblick in Know-how oder Kundendaten. Ein Notebook wird gestohlen und die auf der Festplatte gespeicherten Daten sind unverschlüsselt. Die Kundendaten werden durch eine Havarie zerstört und es gibt keine Datensicherung für eine Rekonstruktion.

Nur wenn ganzheitlich alle erforderlichen technischen sowie organisatorischen Maßnahmen umgesetzt werden, wird das Datenschutzniveau im Unternehmen erhöht. In der Praxis werden meist aus Unkenntnis nur punktuelle Maßnahmen umgesetzt, die in der Folge den Nutzen in Frage stellen. Sollte die entsprechende Fachkunde im Unternehmen nicht vorhanden sein, ist die Inanspruchnahme von sachkundigen Stellen mehr als empfehlenswert.

Nur ein effektives, den jeweiligen Unternehmensbesonderheiten angepasstes Zusammenspiel zwischen den vorstehend dargestellten juristischen und technischen Maßnahmen des Geheimnisschutzes vermag zu einem hinreichend befriedigenden Geheimnisschutzniveau verhelfen. In vielen Unternehmen wird es zudem sowohl aus arbeitsrechtlichen Gründen als auch aus praktischen und psychologischen Gründen nicht ohne weiteres möglich sein, von heute auf morgen von einem schwachen Geheimnisschutz zu einem strengen Geheimnisschutzregiment zu wechseln. Hier bedarf es strategischer Konzepte, wie man mittel- bis langfristig ein hinreichendes Geheimnisschutzniveau erreichen kann. Letztlich muss mit Augenmaß und Fingerspitzengefühl ein effizientes Geheimnisschutzmanagement, das technische und juristische Schutzmaßnahmen miteinander kombiniert, aufgebaut werden.