Am 13. März 2019 stimmte der Ausschuss für Recht und Verbraucherschutz in Berlin mehrheitlich für das Geschäftsgeheimnisgesetz (GeschGehG) ab – und das nur knapp zehn Monate nachdem die Datenschutz-Grundverordnung (DSGVO) nicht nur in der deutschen Unternehmenslandschaft für jede Menge Aufregung gesorgt hat. Nachdem mit der DSGVO die Rechte Dritter in den Fokus gerückt wurden, sollen in Zukunft also auch Geschäftsgeheimnisse einen besseren Schutz erfahren.
Dem Gesetzestext zufolge ist ein “Geschäftsgeheimnis eine Information, die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist”. Das GeschGehG “dient dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung”.
Ansprüche bei Rechtsverletzung, die sich aus dem GeschGehG ergeben, können gemäß §§ 6 bis 14 sein:
- Beseitigung und Unterlassung
- Vernichtung, Herausgabe, Rückruf, Entfernung und Rücknahme vom Markt
- Auskunft über rechtsverletzende Produkte, Schadensersatz
- Anspruchsausschluss bei Unverhältnismäßigkeit
- Abfindung in Geld
- Haftung des Inhabers eines Unternehmens
- Herausgabeanspruch nach Eintritt der Verjährung
- Missbrauchsverbot
Was das Geschäftsgeheimnisgesetz für Unternehmen bedeutet
Die Verabschiedung des GeschGehG sollte Unternehmen natürlich in erster Linie Anlass zur Freude bereiten – liegt der Schutz von Geschäftsgeheimnissen doch in ihrem Interesse. Um jedoch überhaupt in den Schutzbereich des GeschGehG zu fallen – das heißt im Falle einer (vermeintlichen) Verletzung überhaupt Ansprüche geltend machen zu können – muss ein Unternehmen laut GeschGehG “angemessene Maßnahmen zum Schutz von Geschäftsgeheimnissen treffen”. Bis auf Zugangskontrollen und vertragliche Geheimhaltungsverpflichtungen nennt der Gesetzgeber allerdings keine weiteren konkreten Maßnahmen in seinem Gesetzestext. Eins kann aber auf jeden Fall nicht schaden...
Die E-Mail-Verschlüsselung
Feststeht: Die Verschlüsselung von E-Mails sollte eigentlich nicht erst jetzt zum Thema in deutschen Führungsebenen werden. Denn bereits die DSGVO hat E-Mail-Verschlüsselung (theoretisch) für die meisten Unternehmen zur Pflicht gemacht. Laut Artikel 32 der Verordnung sollen personenbezogene Daten nämlich pseudonymisiert und verschlüsselt werden.
Willst du mehr zum Thema E-Mail-Verschlüsselung erfahren? Dann lohnt sich ein Blick in unser Whitepaper “Für mehr Sicherheit im E-Mail-Verkehr: E-Mail Security”.
Unserer Meinung nach hat die E-Mail-Verschlüsselung definitiv ihre Daseinsberechtigung, da gerade im geschäftlichen E-Mail-Verkehr tagtäglich abermillionen personenbezogene Daten versendet und empfangen werden. Bleiben diese unverschlüsselt, kann – ähnlich zu einer Postkarte – prinzipiell jeder mitlesen. Der Status Quo zeigt, dass die E-Mail-Verschlüsselung in Deutschland jedoch noch einiges an Nachholbedarf hat: Nur 13,5 % der Deutschen setzte im März 2018 auf E-Mail-Verschlüsselung – das ergab eine Umfrage von WEB.de und GMX. Auf die Frage, warum die Nutzer ihre E-Mails bislang nicht verschlüsseln, verwies fast die Hälfte der befragten Unternehmen (46,6 %) auf einen zu hohen Aufwand. Dabei ist die E-Mail-Verschlüsselung mit S/MIME-Zertifikaten alles andere als aufwendig.
E-Mail-Verschlüsselung dank S/MIME-Zertifikaten
Hinter der Abkürzung S/MIME verbergen sich die sogenannten Secure/Multipurpose Internet Mail Extensions. Mit ihrer Hilfe können Nutzer nicht nur E-Mails problemlos verschlüsseln, sondern diese obendrein auch noch digital signieren. Alles, was dafür notwendig ist, ist, dass Absender wie auch Empfänger ein S/MIME-Zertifikat im Einsatz haben und bereits im E-Mail-Austausch standen (eine Nachricht genügt).
Für die E-Mail-Verschlüsselung kommt zunächst ein öffentlicher Schlüssel zum Einsatz. Bevor dieser verschlüsselt wird, geht im ersten Schritt die symmetrische Verschlüsselung aller Daten, die sich im Klartext der E-Mail befinden, vonstatten. Die Verschlüsselung des öffentlichen Schlüssels erfolgt danach über das S/MIME-Zertifikat des Empfängers, welches der E-Mail aus einem gewissen Grund angehängt wird: Die Verschlüsselungssoftware des Empfängers erkennt nämlich erst dadurch, welcher private Schlüssel benötigt wird und entschlüsselt die E-Mail so für ihn.
Das Geschäftsgeheimnisgesetz muss von allen gelebt werden
Alle Bemühungen helfen nichts, wenn die Kollegen die E-Mail-Verschlüsselung im Berufsalltag nicht nutzen. Denn Cyber Security geht alle etwas an – nicht nur die Führungsetage. Beachte dabei: Änderungen bzw. Richtlinien sollten für den Einzelnen nicht zu aufwendig in der Umsetzung sein. Falls du eine Schulung planst, solltest du diese unbedingt individualisiert durchführen, um auf die Bedürfnisse und die Kenntnisstände einzelner Mitarbeiter bzw. Teams eingehen zu können.
Die E-Mail-Verschlüsselung ist natürlich nur eine von vielen Maßnahmen, die es angesichts des neuen GeschGehG umzusetzen gilt – dafür aber eine relativ einfache. Im Angebot von InterNetX findest du für diesen Zweck S/MIME-Zertifikate der Marke GlobalSign in gleich vier Variationen: PersonalSign 1 für den allgemeinen Einsatz, PersonalSign 2 zur Repräsentierung der eigenen Person, PersonalSign 2 Pro für eine Person, die ein Unternehmen repräsentiert, sowie PersonalSign 2 Department für eine Abteilung.
