Datenschutz und Datensicherheit in Zeiten von Covid-19

Share on facebook
Facebook
Share on twitter
Twitter

Vermeiden Sie böse und teuere Fehler

Die Bunderegierung fordert, dass von zu Hause aus gearbeitet wird, wo immer es möglich ist. Aber das ist nicht gleichbedeutend mit „absoluter Narrenfreiheit“ für die Beschäftigten, wenn es um das Thema Datenschutz geht. Auch in dieser Situation gilt es besonnen zu agieren und die Mitarbeiter für das Thema zu sensibilisieren und den verantwortungsvollen und sicheren Umgang mit Firmen- und Kundendaten sicherzustellen. Diese Daten sind das Heiligtum des Unternehmens und ein zu lascher und unvorsichtiger Umgang damit kann extreme Auswirkungen auf die Zukunft Ihres Unternehmens haben. Das gilt es dringend zu vermeiden.

Schnell-Check “Home Office für meine Mitarbeiter”

Sind in den Arbeitsverträgen meiner Mitarbeiter Regelung zur Arbeit im Homeoffice getroffen?

Ja: Prüfen Sie ob diese Regelungen auch längere Zeiten im Home Office abdecken.
Nein: Holen Sie das Einverständnis der Arbeitnehmer ein bzw. ergänzen Sie die Arbeitsverträge um einen Passus zum Home-Office.

Haben Sie mit allen Mitarbeitern eine Vereinbarung zum Datenschutz im Home-Office getroffen?

Ja: Super. Prüfen Sie bitte, ob dies Vereinbarungen aktuell sowie inhaltlich und rechtlich korrekt formuliert sind.
Nein: Erstellen Sie eine DSGVO-Regelung zum Home Office.

Habe ich meinen Arbeitnehmer mit technischen Vorkehrungen zur Arbeit im Homeoffice ausgestattet? 
Dazu gehören insbesondere:

  • eine ausreichend stabile und schnelle Internetverbindung
  • die telefonische Erreichbarkeit über eine Büronummer
  • Ein Arbeits-Computer, dessen Software auf aktuellem Stand ist
  • Anweisungen und Hinweise zu Passwörtern und Datensicherheit im Home-Office

Ja: Prüfen Sie ob diese Regelungen auch längere Zeiten im Home Office abdecken.
Nein: Sorgen Sie für die entsprechenden Voraussetzungen und das notwendige technische Equipment, sowie die notwenidgen Dinge wie ggf. einen neuen PC oder Notwebook mit einer gesicherten Arbeitsumgebung und Internetanbindung

Wir die ALN helfen ihnen gerne gemeinsam mit unserem Partner der EXO3 GmbH bei der Umsetzung aller notwendigen Aufgaben, sowie bei der Beschaffung und Anbindung eines Home-Office Arbeitsplatzes für ihre Mitarbeiter. Rufen sie uns an, oder kontaktieren sie uns.

Schutz von Geschäftsgeheimnissen und Knowhow

Share on facebook Facebook Share on twitter Twitter Im April 2019 ist in Deutschland das „Gesetz zum Schutz von Geschäftsgeheimnissen“ in Kraft getreten. Dieses Gesetz gibt Unternehmern neue Möglichkeiten, aber auch neue Aufgaben beim Schutz ihres Knowhows. Wurde in der Vergangenheit in erster Linie über Urheberrechte, Marken, Designs und Patente diskutiert, die Unternehmen schützen konnten, befasst sich es das neue Gesetz nun mit dem Schutz von Knowhow in Form von Kundenlisten, Geschäftszahlen, Strategien, Algorithmen etc. Um diesen Knowhow-Schutz in Anspruch nehmen zu können, müssen Unternehmen intern allerdings entsprechende Maßnahmen umsetzen, um den neuen Anforderungen und auch damit einhergehenden Pflichten gerecht zu werden.

Was versteht das neue Gesetz unter „Geschäftsgeheimnissen“?

Der deutsche Gesetzgeber verstht darunter eine Information,
  • die geheim ist, weil sie weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich ist
  • und von wirtschaftlichem Wert ist, weil sie geheim ist
  • und der Gegenstand von den Umständen nach angemessenen Schutzmaßnahmen ist
  • und an der ein berechtigtes Interesse an der Geheimhaltung besteht.
Geschützt sind damit weiterhin Informationen im weitesten Sinne, also kaufmännische Informationen („Geschäftsgeheimnisse“) und technisches Know-how („Betriebsgeheimnisse“), wobei diese Unterscheidung nicht mehr weiter von Bedeutung ist. Gemeint sind Informationen wie Verfahren, Konstruktionspläne, Algorithmen, Prototypen, Rezepturen, Kundenlisten, Business-Pläne, Werbestrategien usw. Das Merkmal „geheim“ ist hier allerdings ein relativer, kein absoluter Begriff. Entscheidend ist nicht, wer die Information geschöpft bzw. „ins Leben gerufen“ hat, sondern wer den Zugang dazu hat und sie schützt. Besteht die Information aus mehreren Bestandteilen, wobei jeder Bestandteil für sich bekannt ist, bedeutet das nicht automatisch im Umkehrschluss, dass auch die Gesamtinformation deswegen offenkundig und damit kein Geschäftsgeheimnis mehr ist – wie bei einem Puzzle kann die genaue Anordnung und Zusammensetzung der Einzelteile entscheidend sein. So kann beispielsweise eine Kundenliste auch dann eine geheime Information darstellen, wenn alle darin enthaltenen Kundendaten einzeln im Internet recherchierbar sind. Die geheime Information muss im Übrigen nicht zwingend einen materiellen Wert bzw. Vermögenswert haben – es ist ausreichend, dass ihre Offenbarung den Geheimnisinhaber schädigen kann. So können auch solche Informationen nach dem GeschGehG geschützt sein, deren Wert bisher noch gar nicht klar ist wie nicht veröffentlichte Forschungsergebnisse, neue technische Erkenntnisse, Datensammlungen etc.

Wer ist Inhaber von Geschäftsgeheimnissen?

Auch wer „Inhaber“ eines Geschäftsgeheimnisses sein kann, wird im GeschGehG definiert:  „Jede natürliche oder juristische Person, die die rechtmäßige Kontrolle über ein Geschäftsgeheimnis hat.“ Da es – anders als z.B. im Urheberrecht – nicht entscheidend darauf ankommt, wer die Information generiert bzw. geschöpft hat, sondern wer diesbezüglich die rechtmäßige Kontrolle, also insbesondere auch den Zugang dazu hat, kommen vor allem in arbeitsteilig agierenden Unternehmen und Betrieben durchaus mehrere Personen grundsätzlich als potentielle Geheimnisinhaber in Betracht. Zu denken ist hier insbesondere an Unternehmen, in denen verschiedene Abteilungen/ Gewerke an einem Projekt arbeiten, z.B. das neue Automodell, das entworfen, gefertigt und mit Vorrichtungen zur Datensammlung versehen sowie ggf. später „ausgelesen“ oder repariert wird. In arbeitsteiligen Organisationen soll dabei eine Wissenszurechnung stattfinden, sodass z.B. Beschäftigte im Hinblick auf die Erledigung ihrer Aufgaben sog. „Wissensmittler“ der Geschäftsleitung sein können. Es wird interessant sein zu sehen, wie die deutsche Rechtsprechung das unbestimmte Kriterium der „rechtmäßigen Kontrolle“ auslegen wird.

Was sind angemessene Geheimhaltungsmaßnahmen?

Was den „Umständen nach angemessene Geheimhaltungsmaßnahmen“ sind, ist eine weitere unbestimmte Variable in der gesetzlichen Definition des Geschäftsgeheimnisses – von dieser hängt jedoch viel ab. Denn eine Information – so wichtig sie für ein Unternehmen bzw. dessen Erfolg auch praktisch sein mag – ist kein Geschäftsgeheimnis im Sinne des GeschGehG, wenn der Inhaber sie nicht angemessenen Geheimhaltungsmaßnahmen unterwirft bzw. dies im Streitfall nicht nachweisen kann. Das Ergreifen von angemessenen Schutzmaßnahmen ist damit erforderlich, um überhaupt in den Anwendungs- und damit Schutzbereich des GeschGehG zu gelangen. Nach der Intention des Gesetzgebers soll demjenigen der Rechtsschutz durch das GeschGehG verwehrt sein, der seinen Vertraulichen Informationen nicht gerecht wird, beispielsweise indem er die objektiv naheliegenden, kostengünstigen Maßnahmen zum Schutz seiner Geschäftsgeheimnisse nicht ergreift. Der Maßstab bei der Betrachtung, welche Maßnahme im Einzelfall angemessen ist, soll objektiv sein – ein optimaler und lückenloser Schutz wird dabei jedoch wohl nicht verlangt. Fraglich ist an dieser Stelle aber, ob der Geheimnisschutz auch dann versagt wird, wenn unbeabsichtigte Sicherheitslücken zur Offenlegung der geheimen Informationen führen. Es ist jeweils anhand der Umstände des Einzelfalls zu ermitteln, welche Arten von vertraulichen Informationen überhaupt vorliegen, ob und wie sich diese ggf. kategorisieren und dann entsprechend durch angemessene Maßnahmen schützen lassen. Das wird in den meisten Fällen auch eine Identifikation von typischen Bedrohungslagen umfassen. Ob Sie sich dabei an den inzwischen kursierenden Kategorien („sensible Informationen, wichtige Informationen, Kronjuwelen“) orientieren oder eigene Kategorien bilden, bleibt Ihnen überlassen.

Mögliche Ansprüche aus dem GeschGehG

Nach dem GeschGehG können Ansprüche geltend gemacht werden auf:
  • Unterlassung und Beseitigung (z.B. Rückruf, Vernichtung etc.),
  • Auskunft (z.B. bezogen auf rechtsverletzende Produkte, Verkörperungen des Geheimnisses, „verratende“ Personen),
  • Schadenersatz,
  • Abfindung

Fazit

Ob der Volksmund mit seiner Annahme „Was lange währt, wird endlich gut“ hier recht behält, wird sich noch zeigen. Zu begrüßen ist das Bestreben des Gesetzgebers, die Vorschriften für den Geheimnisschutz zu konsolidieren und europaweit wie auch international zunehmend anzugleichen. Auch die stärkere Betonung der Eigenverantwortung der Unternehmen für den Schutz ihrer vertraulichen Informationen, die mit den Datenschutzthemen zum Teil Hand in Hand gehen dürften, ist ein Schritt in die richtige Richtung. Ob die geschaffene Zuständigkeit für Geheimnisschutzsachen tatsächlich zu einer weniger fragmentierten Rechtsdurchsetzung führen wird, erscheint fraglich – können die „special effects“, die das GeschGehG gewährt, in anderen, zum Teil mit dem Geheimnisschutz inhaltlich zusammenhängenden Angelegenheiten wie Urheber-, Marken-, Patentstreitigkeiten nicht gezündet werden.

DSVGO: Mehr Arbeit für Datenschützer

Working business team
Working business team
Rear view of coworkers discussing various diagrams at business meeting

Ob Friseure, Ärzte, Handwerker, Geschäftsinhaber oder Betreiber von Vereins-Webseiten: Sie alle müssen sich mit der neuen Datenschutz-Grundverordnung befassen. Die Datenschutzbehörden der Länder müssen in diesen Tagen viel Beratungsarbeit leisten. 

Einen guten Monat nach dem Inkrafttreten der Datenschutz-Grundverordnung haben die Datenschutzbehörden in Bremen und Hannover viel zu tun. “Wir spüren einen deutlichen Anstieg des Beratungsbedarfs und der Anfragen”, sagte Johannes Pepping, Sprecher der niedersächsischen Datenschutzbeauftragten. Das verdeutlicht ein Blick auf die Zahlen. Im ersten Quartal gab es 1300 Beschwerden und Anfragen, im zweiten Quartal waren es bis Ende vergangener Woche rund 3700. Auch die Bremer Datenschützer merken ein starkes Informationsinteresse seit einigen Wochen.

Anfragen müssen zur Bearbeitung zeitlich aufgeteilt werden

“Anfang Mai hat es geknallt, weil da viele aufgewacht sind, die vorher noch nicht aufgewacht waren”, sagte Landesdatenschutzbeauftragte Imke Sommer. Die Anfragen kämen aus den verschiedensten Bereichen, besonders aus dem Bereich Gesundheit mit Nachfragen aus Arztpraxen, von kleinen Unternehmen, von Schulen und Betreibern von Internetseiten, sagte Pepping. Die Leute wollen demzufolge wissen, wie sie sich angesichts der neuen Datenschutzverordnung verhalten sollen.

Arztpraxen informieren sich zum Beispiel darüber, wie sie ihre Patienten über die Datenverarbeitung informieren müssen. Betreiber von Webseiten wollen wissen, in welcher Form sie Cookies einsetzen dürfen oder wie sie ihre Datenschutzerklärung formulieren müssen. “Kleine Betriebe und Vereine möchten herausfinden, ob sie jetzt einen Datenschutzbeauftragten benennen müssen”, sagte Pepping.

Die telefonischen Anfragen seien so zahlreich, dass sie nur noch am Vormittag möglich seien, damit die Mitarbeiter am Nachmittag schriftliche Anfragen beantworten können. “Sonst würden sie in manchen Bereichen nur noch am Telefon hängen”, sagte Pepping.