Geschäftsgeheimnisse besser schützen – ansonsten geht der Rechtsschutz verloren

datenpannen fehlversendungen

Seit dem 18. April diesen Jahres ist das Gesetzt zum Schutz von Geschäftsgeheimnissen (GeschGehG) in deutsches Recht transformiert. Damit ist nicht mehr nur der Schutz von personenbezogenen Daten, sondern auch von Betriebsdaten geregelt. Für Unternehmen resultieren daraus einschneidende Änderungen, die noch nicht in allen Firmen angekommen ist. Dabei wäre es wichtig sich intensiv mit dem Gesetz zu beschäftigen!

Unternehmen müssen Datenschutzmaßnahmen überprüfen

Es legt nämlich nicht nur fest, was unter ein Betriebs- oder Geschäftsgeheimnis fällt, sondern bietet nur noch rechtlichen Schutz, wenn Unternehmen bestimmte Geheimhaltungs- und Datenschutzmaßnahmen getroffen haben. Das neue Gesetz sollte für jedes Unternehmen der Anlass sein die eigenen Schutzvorkehrungen eingehend zu prüfen, denn es genießt nur noch derjenige Schutz, der seine Betriebsgeheimnisse gesichert hat.
Mit dem GeschGehG wird eine EU-Richtline in nationales Recht umgesetzt. Ziel ist der Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung. Laut der GeschGehG ist ein Geschäftsgeheimnis nun eine Information, „die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist und daher von wirtschaftlichem Wert ist.“ Auch muss ein Geschäftsgeheimnis Gegenstand von „angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ sein.

Rechtsschutz nur mit Sicherheitsmaßnahmen

Bei einem geklauten Fahrrad hat nur derjenige eine Chance auf Schadensersatz oder vor Gericht, der sein Fahrrad auch abgeschlossen hat. Wer es einfach so auf der Straße stehen lässt handelt fahrlässig. Genauso werden Unternehmen vor Gericht Probleme bekommen, wenn sie bei sich zum Beispiel Datenklau feststellen und nicht für ausreichenden Schutz der Daten gesorgt haben. Unternehmen müssen also aktiv werden und angemessene Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse treffen, um im Falle einer rechtswidrigen Nutzung oder Offenlegung Unterlassungs- oder Schadensersatzansprüche geltend machen zu können.
Zu den neuen Anforderungen der Schutzmaßnahmen gehörten unter anderem organisatorische und technische Maßnahmen, wie etwa die Einordnung von Arbeitnehmern nach bestimmten „Geheimhaltungsstufen“ oder das Einführen von Zugriffsbeschränkungen, Passwörtern und Zugangscodes. Es sollten aber auch eindeutige vertragliche Regelungen zum Schutz und zur Nutzung von Betriebsgeheimnissen getroffen werden, die sich auf Offenlegungen innerhalb eines Unternehmens oder gegenüber Dritten bestehen.

Dokumentation des Konzepts für Datenschutz

Außerdem sollten Unternehmen ihr Schutzkonzept umfassend dokumentieren, um angemessene Geheimhaltungsmaßnahmen nachweisen zu können. Mein Rat dazu: Je bedeutender und geheimer Daten und die daraus resultierenden Informationen sind, desto höhere Anforderungen sind an das Schutzkonzept zu stellen.
Das GeschGehG bedeutet für Unternehmen also einen gewissen Aufwand, denn es wird ein höherer Gehemnisschutz in technischer, organisatorischer und rechtlicher Hinsicht verlangt. Insgesamt ist das Gesetz aber ein Fortschritt für Unternehmen, denn sie profitieren von einem deutlich verbesserten Rechtsschutz und haben eine größere Absicherung – vorausgesetzt sie werden aktiv und kümmern sich darum.

Grundsätzlich ist zu sagen, dass mit dem GeschGehG endlich der immer weiter steigenden Bedeutung von Geschäftsgeheimnissen in einer globalen Wirtschaftswelt Rechnung getragen wird, wie sie nun mal in einer modernen Wissens- und Datengesellschaft existiert.

Die DSGVO wirkt – es gibt aber noch viel zu tun!

1 Jahr DSGVO

Vor gut einem Jahr ist die DSGVO in Kraft getreten und der allgemeine Tenor in der deutschen Öffentlichkeit ist leider eher negativ. Zu kompliziert, sorgt nur für Probleme und schwierig umzusetzen sind die häufigsten Vorurteile. Das ist eine falsche Darstellung, die leider eine abschreckende Wirkung hat. Dabei ist es für Unternehmen unerlässlich, sich mit dem wichtigen Thema Datenschutz zu beschäftigen.

Die negative Darstellung der DSGVO finde ich sehr ärgerlich, denn dadurch ist der Datenschutz immer noch ein Thema, das in Unternehmen zu langsam ankommt. Es wird nicht ernst genug genommen oder Unternehmer sind abgeschreckt sich damit zu beschäftigen. Und dabei ist das Thema Datensicherheit für jedes Unternehmen ein existentiell wichtiger Bereich.

Unternehmen müssen den Datenschutz stärker priorisieren

Über die Einführung der DSGVO ist die Problematik von eklatanten Sicherheitslecks beim Datenschutz in Unternehmen erst aufgedeckt worden und eine Sensibilisierung hat eingesetzt. Diese Sicherheitslecks resultieren meistens aus veralteter EDV und überholten Softwareprogrammen. Viele Unternehmen haben sich vor Investitionen in die Aktualisierung ihrer EDV gescheut und damit die Türen für Sicherheitslücken weit geöffnet. Das aber nicht so wahrgenommen.

Die Sensibilisierung für das Thema Datenschutz hat aber dank der DSGVO begonnen und die Umsetzung ist gar nicht so kompliziert! Ich habe zum Beispiel aus den Anforderungen der DSGVO eine Reihe von technisch-organisatorischen Maßnahmen (TOMs) entwickelt, über die alle Probleme erkannt und gelöst werden können. In meinen TOMs habe ich 97 Punkte festgelegt, über die der Sicherheitsstandard in Unternehmen definiert wird. Das fängt schon mit der Schlüsselregelung für die Büroräume oder mit der Auswahl des Putzpersonals an und zieht sich bis zu den Passwortregeln oder dem Rollen- und Rechtesystem. Das sind wichtige Punkte, die oftmals weder von der IT-Abteilung noch von der Geschäftsführung beachtet werden.

Die Umsetzung der DSGVO geht zu langsam voran

Bei allen Fortschritten im letzten Jahr geht die Umsetzung in den Unternehmen allerdings immer noch viel zu langsam voran. Oft läuft alles noch nach dem Motto „Das machen wir mal nebenbei“ und so ist es kein Wunder, dass erst 46 Prozent der Unternehmen in Deutschland DSGVO-konform sind. Das muss ernster genommen werden. Und der Aufwand ist viel niedriger als man denkt: Wenn man die Mängel im technisch-organisatorischen Bereich in einem Stück abstellt macht das den Aufwand 2/3 kleiner, als wenn das stückchenweise passiert. Unterbrechungen im Ablauf sind einfach ineffizient und sollten vermieden werden.

Sehr ärgerlich finde ich es auch, dass momentan Politiker fordern den Geltungsbereich der DSGVO nicht mehr auf den Mittelstand und kleine Unternehmen anzuwenden. Das ist kontraproduktiv und könnte den Schwung, den wir beim Thema Datensicherheit haben wieder verlangsamen. Es ist wichtig klarzustellen, dass Datenschutz für jedes Unternehmen äußerst wichtig ist – egal welche Größe es hat.

Datenschutz muss zum Standard in Unternehmen werden

Datensicherheit und der Schutz personenbezogener Daten muss zu einer Standard-Aufgabe für jedes Unternehmen werden. So wie das Anlegen des Sicherheitsgurts beim Auto fahren inzwischen eine Selbstverständlichkeit ist über die die wenigsten noch nachdenken. Das gilt auch für jedes Auto und nicht nur für die großen Limousinen. In einem Kleinwagen ist es genauso wichtig.

Ein weiterer wichtiger Punkt zu mehr Datensicherheit ist die Weiterbildung der IT-Mitarbeiter. Hier müssen die Unternehmensleiter etwas investieren. Die Anforderungen an diese Mitarbeiter werden nämlich immer größer und das Thema entwickelt sich schnell weiter. Gerade im Bereich Netzsicherheit. Ein Budget für die Investitionen in die IT und die Mitarbeiter sollte ein Automatismus in den Unternehmen sein.

Aufmerksamkeit für das Thema Datensicherheit verstärken

Mein Resümee nach einem Jahr DSGVO ist also, dass wir alle dankbar sein sollten das damit das Thema Datensicherheit und der Schutz personenbezogener Daten in Deutschland endlich stärker ins Bewusstsein der Unternehmen gerückt ist. Es war höchste Zeit die Aufmerksamkeit darauf zu lenken. Nun müssen wir noch daran arbeiten, dass es nicht als so kompliziert und schwierig umzusetzen wahrgenommen wird. Denn eins ist klar: Um das Thema Datensicherheit kommt kein Unternehmen herum!

 

Lesen Sie dazu auch meinen Artikel zum Schutz von Geschäftsgeheimnissen (GeschGehGz), das am 1. April 2019 in Kraft getreten ist.

 

 

 

DSGVO News, 8 Monate nach der Einführung sind wenig Betriebe vorbereitet

DSGVO nach 8 MOnaten

Die DSGVO ist nun seit 8 Monaten anwendbar und ich möchte Ihnen eine kurze Übersicht geben.
Zuerst einmal möchte ich allen Kunden für gute Zusammenarbeit danken. Leider war ich Aufgrund der hohen Anfragen von Betroffenen meiner Kunden nicht so schnell mit den Auditierungen wie geplant. Auf der anderen Seite war das Setup des Datenschutzmanagements in den Betrieben auch nicht ganz einfach. Verantwortlichkeiten mussten geklärt werden und Datenströme personenbezogener Daten ermittelt und beurteilt werden. Auch die Anforderungen an die IT und die Bemühungen der Umsetzung konnten in der Regel nicht zeitnah umgesetzt werden. Ich danke Ihnen nochmals für Ihre Geduld.

DSGVO und Abmahnungen nach UWG:
Eine wichtige Entscheidung der Gerichte im Zusammenhang mit der DSGVO ist wohl, dass die nicht Einhaltung der DSGVO nun auch in diversen Abmahnungen auftaucht und als Verstoß gegen das UWG geltend gemacht werden kann. Es gibt zwar vereinzelte Gerichte, die bei diesen Fällen anders entschieden haben aber letztlich hat nun ein OLG (Hamburg) zugestimmt, dass diese Abmahnungen rechtsgültig sind. Das heißt, dass ein Mitbewerber eine Abmahnung mit Unterlassungserklärung Aufgrund eines Verstoßes gegen die DSGVO als wettbewerbswidrig abmahnen kann. Ein Beispiel hierfür wäre zum Beispiel ein fehlenden SSL Zertifikat auf Webseiten auf denen personenbezogene Daten eingegeben werden können oder eine nicht korrekte Datenschutzerklärung. Leider sind die Abmahnungen an Unternehmen damit in den letzten 3-4 Monaten sprunghaft angestiegen. Bei nötigen Änderungen an Ihrer Webseite halte ich Sie informiert.

ePrivacy und faulige Coockies: 
Viel Wirbel gab es auch um diverse Anbindung an die Social-Media Kanälen und auch Google Dienste, die in viele Firmenwebseiten eingebunden sind. Firmen sind praktisch mitverantwortlich für den Datenschutz der Nutzer Ihrer Social-Media Profile und müssen an verschiedenen Stellen deutlich darauf hinweisen. Leider ist die Geschichte hier auch noch nicht zu Ende, da uns nach der DSGVO noch die ePrivacy Verordnung ins Haus steht (2020). Zu diesem Thema erhalten Sie in Kürze noch einen gesonderten Newsletter.

Behörden verhängen erste Bußgelder wegen Verstößen gegen DSGVO:
Bundesweit ergingen bisher in 41 Fällen Bußgeldbescheide wegen DSGVO-Verstößen. Vor allem kleine Unternehmen sind auf die neuen Regeln offenbar nicht vorbereitet.
Auf der Behördenseite nehmen die Aktivitäten zur DSGVO deutlich Fahrt auf. Verschiedene Datenschutzbehörden der Bundesländer haben Stichprobenweise Fragebogen an Betriebe geschickt, um den Stand der DSGVO Umsetzung abzufragen. Die Anzahl der Beschwerden bei Behörden ist nicht nur in Deutschland explodiert. Erste Zahlen beschreiben über 40.000 ernst zu nehmende Beschwerden und 20.000 Eigenmeldungen von Datenpannen in Firmen in ganz Europa.

Die deutschen Datenschutzbehörden rüsten auf:
Bisher liegen noch nicht aus jeder Landesbehörde Zahlen vor. „Die Anzahl der Beschwerden hat sich gegenüber dem Jahr 2017 um 30 Prozent erhöht, die Anzahl der Beratungen hat sich mehr als verdoppelt, die Anzahl der gemeldeten Datenpannen im Jahr 2018 hat sich mit 774 mehr als verzehnfacht“, teilte etwa der Landesdatenschützer von Baden-Württemberg, Stefan Brink, dem Handelsblatt auf Anfrage mit.
Alles in Allem wird die DSGVO langsam ernst genommen und viele Unternehmen nutzen die Gelegenheit, um Ihre IT deutlich sicherer zu gestalten, was nicht nur dem Schutz personenbezogener Daten dienlich ist, sondern auch der Absicherung des Geschäftsinhaltes.

Stand der DSGVO Umsetzung bei ca. 72%
Auch bei meinen Kunden gab es diverse Datenpannen und wie bereits erwähnt sehr viele Anfragen von Betroffenen. Die Erfüllung aller AV Vertragsanforderungen war neben den Auditterminen der größte Brocken meiner Arbeit. Die Abstimmung der einzelnen Parteien und die Vielfallt der unterschiedlichen AV Vertragsmuster ist aufwendig.

In der Gesamtheit aller Kunden Betriebe ist der Status der Umsetzung der DSGVO im Durschnitt bei 72% und damit schon deutlich besser als der Durschnitt aller bundesdeutschen Betriebe (46%), nach ersten Umfragen des Handelsverbandes. Eine Statistik dazu veröffentliche ich im Februar in meinem Blog. Ich danke Ihnen für das entgegengebrachte Vertrauen und dieses gute Ergebnis.

DSGVO Hilfe für KMU und Vereine

Letzten Monat haben wir mit dem Bau der Workshop Plattform DSBOK AKADEMIE begonnen. Die DSGVO Workshop Plattform soll kleine und mittelständische Betriebe, Arztpraxen, Vereine und sonstige Einrichtungen mit nicht mehr als 9 Mitarbeitern unterstützen. Die Umsetzung der Datenschutzgrundverordnung macht insbesondere kleineren Firmen zu schaffen.  Bis zum Frühjahr 2019 entsteht unter www.dsbok-akademie.de eine Online Workshop Plattform, mit der Firmeneigentümer Ihre Firma auf die DSGVO vorbereiten und die wichtisgten Anforderungen umsetzten und protokollieren.

DSGVO Online Schulungssystem

dsgvo online schulungssystem

Der Verantwortliche, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, muss die Verarbeitung gemäß DSGVO sicherstellen. Dies geschieht in der Regel unter anderem durch Schulungen  sowie durch die Verschwiegenheitserklärungen der Mitarbeiter. Ist die Firma verpflichtet einen Datenschutzbeauftragten zu benennen, ist dieser gemäß Art. 39 der DSGVO sich um die Sensibilisierung und Schulung der Mitarbeiter zu kümmern. Die Schulung selber kann, muss aber nicht vom Datenschutzbeauftragten durchgeführt werden. Letztlich ist der Verantwortliche hierfür zuständig.

Die Sensibilisierung und Schulung von Mitarbeitern ist oft ein kostspieliges Unterfangen, insbesondere wenn die Mitarbeiter über mehrere Städte verteilt sind.

Hierfür haben wir ein DSGVO Online Schulungssystem entwickelt, mit dem Sie ganz einfach Ihre Mitarbeiter online Schulen können. Die Mitarbeiter können sich zu jeder Zeit online auf dem DSGVO Schulungssystem anmelden und die nötigen Schulungen online erledigen. Am Ende gibt es einen kleinen Test, der beliebig oft wiederholt werden kann. Damit erbringen Sie als Firma den Nachweis, dass Sie Ihre Mitarbeiter sensibilisiert und geschult haben. Die Schulungen sollten 1 Mal pro Jahr wiederholt werden und neue Mitarbeiter sollten zu Beginn Ihrer Tätigkeit mit dem DSGVO Online Schulungssystem geschult werden. Dies kann man praktischer Weise mit dem generellen On-bording geschehen.

Unser DSGVO Online Schulungssystem können Sie auch nutzen, wenn Sie uns nicht als externer Datenschutzbeauftragter benannten haben.

Zu unserem DSGVO Online Schulungssystem kommen Sie hier:
DSGVO Online Schulungssystem

Eine Anfrage zur Nutzung für Ihre Mitarbeiter finden Sie hier:
Anfrage Nutzung DSGVO Schulungsplattform