Wie viele Kilobyte hat 1 Megabyte? Oder: der Mythos um das sichere Geschäftsgeheimnis im EDV-Zeitalter

Diese leicht scherzhaft gemeinte und für eine breite Masse in der Praxis nicht wirklich relevante Einstiegsfrage werden viele von Ihnen – eventuell auch unter Nutzung von Google – sicher beantworten können.

Doch spätestens, wenn die Ausnutzung einer Sicherheitslücke der IT von außen ins Spiel kommt, werden viele aus guten und nachvollziehbaren Gründen erst einmal abwinken! Letztlich geht aber die Entwicklung im IT-Bereich unaufhaltsam und mit so großen Schritten voran, dass man mit dem bloßen „Hausgebrauch“ nicht mehr mit- und auskommt.

Mögliche oder tatsächliche IT-Sicherheitslücken durch Fachfirmen testen und beheben zu lassen ist sicherlich der erste Schritt, der aber leider nicht immer ausreicht, denn kommt es zu einem Datendiebstahl, ist schnelles rechtliches Handeln gefragt.

Doch was sind die häufigsten Probleme aus Unternehmersicht? Wie schütze ich mich und was mache ich, wenn der „worst case“ eingetreten ist – falls ich ihn überhaupt bemerke?

Der häufigste Fall ist, dass ein Mitarbeiter sensible Daten aus dem firmeneigenen Netzwerk kopiert und entwendet. In den allermeisten Fällen geschieht dies in der Absicht der Weitergabe an andere, konkurrierende Unternehmen oder aber, um künftig in diesem Bereich auf eigener Rechnung tätig zu werden.

Hier kann und sollte, neben der strafrechtlichen (gegebenenfalls fristgebundenen) Verfolgung, durch schnelles und konsequentes zivilrechtliches Vorgehen, beispielsweise in Form von einstweiligen Verfügungen, ein Teil des Schadens vielleicht sogar noch abgewendet werden. Die einstweilige Verfügung bewirkt einen Unterlassungsanspruch. Daneben können Auskünfte vom Schädiger verlangt werden werden.

Ist es schon zur Weitergabe der Daten gekommen, sollten schnellstmöglich Optionen geprüft werden, den Schädiger oder das empfangene Unternehmer als Dritten an der Nutzung der Daten zu hindern und das Löschen, hilfsweise die Vernichtung oder Rücknahme der mit den Daten auf den Markt gebrachter Produkte verlangen. Hinzu kommt die Geltendmachung von Schadensersatzansprüchen.
Möglich werden diese schnellen Konsequenzen vor allem durch die deutlich verbesserten Auswertemöglichkeiten bestehender Server- und Netzwerkstrukturen. Wie oft und wann genau wurde eine Datei von welchem Platz des Firmennetzwerkes aus geöffnet bzw. kopiert? Gab es Veränderungen von Dateinamen und damit von Hashwerten? Wurden Dateien per E-Mail versandt? Fragen, die sich relativ einfach und vor allem beweissicher zum einen durch EDV-Dienstleiter, aber auch (deutlich kostengünstiger) durch die Strafverfolgungsbehörden klären lassen. Diese Beweisgewinnung im Strafverfahren führt zu einer vereinfachten Beweisverwertung im sich oft anschließenden Zivilverfahren.
Der Gesetzgeber hat auf diese edv-bedingte Veränderung und „Gefahrenlage“ reagiert und in April 2019 das Gesetz zum Schutz von Geschäftsgeheimnissen erlassen.

Doch neben der Wahrung der eigenen Position muss auch schnellstmöglich geprüft werden, ob nicht Aufsichtsbehörden über den Vorfall zu informieren sind, um die Verhängung von Maßnahmen gegen das eigene Unternehmen zu verhindern. Zudem könnten die abhandengekommenen Daten zu einer Informationspflicht gegenüber ggf. betroffenen Dritten führen.

„Leider“ muss sich ab heute jeder Unternehmer neben seinem Kerngeschäft sowohl tatsächlich als auch rechtlich mit der Frage beschäftigen, ob das eigene Unternehmen und die vorhandenen Daten wirksam und rechtssicher vor Eingriffen geschützt sind.

Die Festlegung von Zuständigkeiten, die Identifizierung von abgreifbarem Know-How, die Bewertung und Kategorisierung des eigenen (Schlüssel)Know-Hows, die Ergreifung von vertraglichen, technischen und organisatorischen Schutzmaßnahmen wie die Herausgabe von Mustern am Ende von Geschäftsbeziehungen, der Abschluss von vertraglichen und strafbewehrten Geheimhaltungsvereinbarungen, die Schaffung von Compliance Systemen, die Dokumentation der implementierten Schutzmaßnahmen, der Vorhalt recht- und regelmäßiger Kontrollen und Regelungen der Rechteinhaberschaft sind nur einige der zahlreichen Möglichkeiten, um das eigene Unternehmen und seine Daten zu schützen.

Alexandra Sophia Wrobel, Fachanwältin für Handels- und Gesellschaftsrecht sowie für Steuerrecht