Wie funktioniert Geheimnisschutz in der Cloud?
Die Bundesregierung hat ein Gesetz zum besseren Schutz von Geschäftsgeheimnissen (GeschGehG) erlassen:
Der von Justizministerin Dr. Katarina Barley vorgelegte Gesetzentwurf setzt die EU-Richtlinie 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung um. Anwendung findet das Gesetz seit April 2019.
Ziel der Richtlinie ist ein einheitlicher Mindestschutz für Geschäftsgeheimnisse in Europa – doch was ändert sich damit eigentlich? Und was hat die Wahl eines sicheren Cloud-Dienstes damit zu tun?
Welche Neuerungen bringt die Richtlinie?
Die Bundesregierung hält sich bei der Umsetzung weitestgehend an den Vorgaben der EU-Richtlinie. Diese definiert unter anderem den Begriff des Geschäftsgeheimnisses sowie die wesentlichen Dreh- und Angelpunkte des Geheimnisschutzes. Außerdem listet sie erlaubte Handlungen sowie Handlungsverbote auf.
Eine der schwerwiegendsten Neuerungen dürfte sein, dass Geschäftsgeheimnisse nur noch dann als geschützt gelten, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. In Betracht kommen dabei sowohl technische Zugangsbeschränkungen und Vorkehrungen als auch vertragliche Sicherungsmechanismen. Die Beweislast liegt dabei stets beim Geheimnisinhaber.
Wer sich also künftig auf den Geschäftsgeheimnisschutz berufen möchte, wird zunächst nachweisen müssen, auch dementsprechend ausreichende Sicherheitsmaßnahmen getroffen zu haben.
Schutz von Geschäftsgeheimnissen: Vieles ist noch ungeklärt
Konkrete Vorgaben, welche Maßnahmen Unternehmen zu treffen haben, nennt die Richtlinie leider nicht. Was als „ausreichende Maßnahmen“ zählt, müssen die Gerichte demnach im Einzelfall entscheiden.
Es stellt sich daher die Frage, ob möglicherweise bereits die Nutzung von Cloud-Diensten, die nur den Anforderungen der TCDP/AUDITOR-Schutzklasse 1 oder 2 entsprechen, als eine Unterlassung von Schutzmaßnahmen und damit als eine Fahrlässigkeit interpretiert werden wird. Eventuelle Haftungs- oder Schadensersatzansprüche, die sich aus dem Bekanntwerden eines Geschäftsgeheimnisses für das betroffene Unternehmen ergeben würden, könnten damit hinfällig sein.
Auch ist noch zu klären, ob die Nutzung eines als unsicher einzustufenden Cloud-Dienstes eine Zuwiderhandlung gegen die in GeschGehG § 16 Abs. 2 formulierten Pflichten darstellt und daher mit einem Ordnungsgeld oder Ordnungshaft zu ahnden ist.
Die Cloud macht den Unterschied
Ich rate Unternehmen daher zu Lösungen, die per se ein hohes Maß an Datenschutz und Datensicherheit bieten können. Denn wenn Daten für den Cloud-Anbieter einsehbar sind, können sie auch weitergegeben oder missbraucht werden. Vor allem zu verarbeitende Daten liegen auf den Servern vieler Anbieter oftmals unverschlüsselt vor und sind daher besonders gefährdet.
Unternehmen, die sich, ihre Daten und ihre Geschäftsgeheimnisse zuverlässig schützen wollen, sollten daher auf Cloud-Angebote setzen, bei denen ein unbefugter Zugriff oder eine Weitergabe von Daten schon rein technisch ausgeschlossen sind. Dies ist zum Beispiel bei betreibersicheren Cloud-Diensten wie der Versiegelten Cloud der Deutschen Telekom oder uniscons Sealed-Cloud-Dienst idgard® der Fall. Durch die physische Verkapselung der Server ist sichergestellt, dass niemand auf die gespeicherten Daten zugreifen kann. Auch der Betreiber des Dienstes und seine Mitarbeiter sind vom Zugriff ausgeschlossen.
Passende Zertifikate, die Unternehmen bei der Wahl eines passenden Dienstes unterstützen, gibt es derzeit leider noch nicht. Ausgehend von dem hohen Schutzniveau, dass die DSGVO beispielsweise für personenbezogene Daten fordert, darf man allerdings davon ausgehen, dass DSGVO-zertifizierte Cloud-Dienste den Anforderungen der Richtlinie bzw. des GeschGehG genügen dürften.
Mit dem Projekt AUDITOR ist aktuell ein entsprechendes Zertifikat in Arbeit.
Der Autor: Dr. Hubert Jäger ist Mitgründer und ehemaliger Geschäftsführer der uniscon GmbH. Der Cloud-Security-Dienstleister aus München gehört seit Sommer 2017 zur TÜV SÜD Gruppe. Seine international patentierte Sealed-Cloud-Technologie ist der Stand der Technik für sichere und rechtskonforme Datenverarbeitung.
Dieser Artikel erschien erstmals im September 2018 und wurde Anfang 2021 aktualisiert.
Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.
Haben wir Sie neugierig gemacht? Sie wollen idgard® selbst ausprobieren? Erstellen Sie jetzt einen kostenlosen Probe-Account!