Cybersicherheit und der Schutz von Geschäftsgeheimnissen

Die digitale Transformation bringt Risiken mit sich, insbesondere für die Sicherheit von Geschäftsgeheimnissen. Für Unternehmen, die in einem wettbewerbsintensiven Umfeld agieren, ist der Schutz von sensiblen Informationen eine essenzielle Grundlage ihres Erfolgs. Hier treffen Cybersicherheit und Geschäftsgeheimnisschutz aufeinander – ein Bereich, in dem Managemententscheidungen häufig über die Zukunftsfähigkeit und Integrität des Geschäftsmodells des Unternehmens entscheiden.

Die Bedeutung von Geschäftsgeheimnissen in der heutigen Wirtschaft

Geschäftsgeheimnisse umfassen eine Vielzahl von Informationen, die einen wirtschaftlichen Vorteil verschaffen können, wenn sie unzugänglich bleiben. Dazu gehören unter anderem Produktionsmethoden, strategische Pläne, oder technologische Innovationen. Der Schutz dieser Informationen ist jedoch kein statischer Prozess. Unternehmen müssen sich gegen eine Vielzahl von Bedrohungen wappnen, darunter gezielte Angriffe von Cyberkriminellen, Wirtschaftsspionage und interne Schwachstellen.

Cybersicherheit als Fundament des Geheimnisschutzes

Cybersicherheit bildet die erste Verteidigungslinie gegen den unbefugten Zugriff auf Unternehmensdaten. Angriffe wie , oder Advanced Persistent Threats (APT) zielen oft direkt auf die Kronjuwelen eines Unternehmens ab: seine Geschäftsgeheimnisse. Solche Angriffe sind nicht nur technologisch ausgefeilt, sondern nutzen auch soziale Manipulation, um Zugang zu sensiblen Informationen zu erlangen. Ohne robuste Cybersicherheitsmaßnahmen riskieren Unternehmen nicht nur finanzielle Verluste, sondern auch Reputationsschäden und regulatorische Konsequenzen.

Ein wirksames Cybersicherheitskonzept muss technische, organisatorische und menschliche Komponenten umfassen. Verschlüsselungstechnologien, Zugriffsbeschränkungen und kontinuierliche Überprüfungen der IT-Systeme sind ebenso entscheidend wie die Schulung der Mitarbeitenden. Denn die menschliche Komponente bleibt oft die Schwächste in der Sicherheitskette.

Herausforderungen durch rechtliche Anforderungen

Neben den technischen und organisatorischen Anforderungen müssen Unternehmen auch die rechtlichen Rahmenbedingungen berücksichtigen, insbesondere die Vorgaben des Geschäftsgeheimnisschutzgesetzes (GeschGehG). Dieses Gesetz verlangt, dass Unternehmen aktive Maßnahmen ergreifen, um ihre Informationen zu schützen. Dazu gehören beispielsweise klare Kennzeichnungen von sensiblen Dokumenten, vertragliche Sicherungsmechanismen mit Geschäftspartnern und interne Richtlinien.

Cybersicherheitsmaßnahmen wie die Einrichtung eines Incident-Response-Plans oder die Implementierung eines umfassenden Informationssicherheitsmanagementsystems (ISMS) sind nicht nur Best Practices, sondern zunehmend auch rechtliche Notwendigkeiten, um überhaupt einen Geschäftsgeheimnisschutz zu erreichen.


Die Rolle des Managements

Das Management spielt eine zentrale Rolle bei der Etablierung einer Kultur der Cybersicherheit. Es liegt in der Verantwortung der Geschäftsleitung, die notwendigen Ressourcen bereitzustellen, um einen angemessenen Schutz der Geschäftsgeheimnisse zu gewährleisten. Dies umfasst nicht nur Investitionen in Technologien, sondern auch die Schaffung klarer Verantwortlichkeiten innerhalb der Organisation. Ein dedizierter Geschäftsgeheimnisschutzbeauftragter kann dazu beitragen, die Umsetzung von Sicherheitsrichtlinien zu überwachen und kontinuierliche Verbesserungen zu fördern.

Prävention als oberste Priorität

Das ist längst eine Binsenweisheit: Prävention ist besser als nachheriges Reparieren. Unternehmen sollten (und je nach Anwendungsbereich: „Müssen“!) regelmäßig Risikoanalysen durchführen, um potenzielle Schwachstellen zu identifizieren, und diese in Schutzstufen kategorisieren. Je höher die Sensibilität der Informationen, desto umfangreicher müssen die Schutzmaßnahmen sein. Darüber hinaus sollten kontinuierliche Schulungen und Sicherheitsübungen durchgeführt werden, um die Belegschaft für aktuelle Bedrohungen zu sensibilisieren.

Wer Cybersicherheit vernachlässigt, riskiert nicht nur den Schutz sensibler Informationen, sondern auch rechtliche und betriebliche Konsequenzen.

Rechtsanwalt Jens Ferner

Der Einfluss des AI Act auf den Schutz von Geschäftsgeheimnissen

Ein bislang nicht im Fokus stehender, relevanter Aspekt betrifft die Anforderungen des neuen AI Act der Europäischen Union, insbesondere hinsichtlich der Informations- und Dokumentationspflichten bei KI-Systemen. Die Verordnung stellt Anbieter von General Purpose AI (GPAI) vor die Herausforderung, technische Details wie Modellarchitekturen und Trainingsdaten offenzulegen. Diese Anforderungen können mit dem Schutz von Geschäftsgeheimnissen kollidieren.

Gemäß der KI-VO müssen Anbieter detaillierte Dokumentationen erstellen und diese auf Anfrage Behörden sowie anderen Anbietern zur Verfügung stellen, die KI-Systeme basierend auf GPAI entwickeln. Insbesondere die Verpflichtung, die Architektur und Anzahl der Parameter eines Modells offenzulegen, sowie Informationen über Trainingsdaten bereitzustellen, können wirtschaftlich sensible Informationen betreffen. Während einige dieser Angaben nur allgemeiner Natur sind, können andere Informationen potenziell als Geschäftsgeheimnisse eingestuft werden, wenn sie wirtschaftlichen Wert haben und angemessene Geheimhaltungsmaßnahmen getroffen wurden.

Der Gesetzgeber erkennt das Spannungsfeld zwischen Transparenzanforderungen und Geheimnisschutz und verpflichtet die Informationsempfänger, die Vertraulichkeit der erhaltenen Daten zu wahren. Dennoch bleibt das Risiko von Missbrauch bestehen, speziell wenn Informationen an potenzielle Wettbewerber weitergegeben werden müssen. Unternehmen sollten daher sicherstellen, dass ihre Geheimhaltungsstrategien robust sind und den Anforderungen des GeschGehG entsprechen. Zusätzlich sollten die internen -Prozesse auf die neuen regulatorischen Anforderungen abgestimmt werden, um Strafen oder Reputationsverluste zu vermeiden.

Cybersicherheit und der Schutz von Geschäftsgeheimnissen - Rechtsanwalt Ferner

Cybersicherheit lässt sich heute nicht mehr isoliert betrachten. Sie ist längst kein rein technisches Thema mehr, sondern ein strategischer Bestandteil jeder Unternehmensführung. Vom Geschäftsgeheimnisschutz über Compliance bis hin zu Hinweisgebersystemen – nahezu jeder Bereich ist von Anforderungen der Cybersicherheit durchdrungen. Wer Cybersicherheit vernachlässigt, riskiert nicht nur den Schutz sensibler Informationen, sondern auch rechtliche und betriebliche Konsequenzen. Ein umfassender, integrierter Ansatz ist daher unabdingbar.

Hinweisgeberschutz und Cybersicherheit

Ein bei Unternehmen als lästig empfundener Bereich ist die Schnittstelle zwischen Cybersicherheit und rechtlichen Anforderungen ist der Hinweisgeberschutz. Seit der Verabschiedung des Hinweisgeberschutzgesetzes (HinSchG) müssen Unternehmen sicherstellen, dass ihre internen Meldesysteme nicht nur rechtskonform, sondern auch technisch abgesichert sind. Dies bedeutet, dass Meldesysteme so gestaltet sein müssen, dass sie vor unbefugtem Zugriff geschützt sind und eine kontinuierliche Verfügbarkeit bieten. Die Sicherheit dieser Systeme ist von zentraler Bedeutung, da sie die Vertraulichkeit der gemeldeten Informationen sowie die Identität der Hinweisgeber gewährleisten müssen.

Weiterhin können Hinweisgebersysteme eine zentrale Rolle bei der Identifikation und Meldung von IT-Sicherheitsvorfällen spielen. Unternehmen sind darauf angewiesen, dass Mitarbeitende potenzielle Schwachstellen oder Verstöße melden, die zu Datenschutzverletzungen oder betrieblichen Risiken führen können. Um die Nutzung solcher Systeme zu fördern, sollten Unternehmen Anonymität gewährleisten und die Belegschaft über die Bedeutung von Hinweisen sensibilisieren. Schulungen und klare Kommunikationswege sind hier entscheidend.

Ein robustes Hinweisgebersystem kann auch dazu beitragen, regulatorische Anforderungen wie die NIS-2- zu erfüllen, die eine proaktive Identifikation und Behebung von IT-Sicherheitsrisiken fordert. Indem Unternehmen ihre Hinweisgebersysteme mit ihren Cybersicherheitsprozessen verknüpfen, schaffen sie eine integrierte Strategie, die nicht nur rechtliche Vorgaben erfüllt, sondern auch betriebliche Risiken reduziert.

Ausblick

Cybersicherheit und der Schutz von Geschäftsgeheimnissen sind zwei Seiten derselben Medaille. In einer Welt, in der Daten mit dem geflügelten Wort als „Öl des 21. Jahrhunderts“ gelten, ist der effektive Schutz von sensiblen Informationen nicht nur eine Frage der Compliance, sondern auch der Wettbewerbsfähigkeit. Unternehmen, die Cybersicherheit als integralen Bestandteil ihres Geschäftsgeheimnisschutzes betrachten, sichern nicht nur ihre Innovationskraft, sondern schaffen auch Vertrauen bei Kunden und Partnern. Dabei ist zu erkennen, dass Cybersicherheit kein singuläres Thema ist, sondern viele andere Bereich durchdringt – so ist ein Geschäftsgeheimnisschutz ohne ein gelebtes Cybersecurity-Konzept gar nicht mehr denkbar.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.