Know-how-Schutz
Welche Rolle spielt die Wahl des Cloud-Providers?
Ein einheitlicher Mindestschutz für Geschäftsgeheimnisse in Europa ist das Ziel der Richtlinie (EU) 2016/943 – auch Know-how-Schutz-Richtlinie genannt. Darin werden "angemessene Maßnahmen" zum Schutz von Geschäftsgeheimnissen gefordert. Ist die Wahl des Cloud-Providers bereits eine solche Maßnahme?
Am 18. Juli hat die Bundesregierung einen Gesetzentwurf zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung beschlossen.
Eine der Neuerungen, auf die die Münchner TÜV-SÜD-Tochter Uniscon aufmerksam macht: Geschäftsgeheimnisse gelten nur noch dann als geschützt, wenn angemessene Geheimhaltungsmaßnahmen getroffen wurden. In Betracht kommen dabei sowohl technische Zugangsbeschränkungen und Vorkehrungen als auch vertragliche Sicherungsmechanismen; die Beweislast liegt dabei beim Geheimnisinhaber.
Wer sich künftig auf den Geschäftsgeheimnisschutz berufen möchte, soll zunächst nachweisen müssen, auch dementsprechend ausreichende Sicherheitsmaßnahmen getroffen zu haben. Konkrete Vorgaben, welche Maßnahmen Unternehmen zu treffen haben, nennt die Richtlinie nicht; was als „ausreichende Maßnahmen“ verstanden werden darf, soll demnach von den Gerichten im Einzelfall entschieden werden. Es stelle sich daher die Frage, ob die Nutzung von Cloud-Diensten, die lediglich den Anforderungen der TCDP/AUDITOR-Schutzklasse 1 und 2 ensprechen, bereits als Unterlassung von Schutzmaßnahmen zu interpretieren sei.
Cloud-Security-Experte Dr. Hubert Jäger, CTO bei Uniscon, rät zu Lösungen, die per se ein hohes Maß an Datenschutz und Datensicherheit bieten können: „Wenn Daten für den Cloud-Anbieter einsehbar sind, können sie auch weitergegeben oder missbraucht werden. Vor allem Daten, die verarbeitet werden, liegen auf den Servern vieler Anbieter unvermeidlich unverschlüsselt vor und sind daher besonders gefährdet. Dort müssen besondere Schutzmaßnahmen ergriffen werden.“
Uniscon empfiehlt Unternehmen, die sich, ihre Daten und Geschäftsgeheimnisse zuverlässig schützen wollen, auf Lösungen zu setzen, bei denen ein unerwünschter Zugriff oder eine Weitergabe von Daten schon rein technisch ausgeschlossen sind. So könne durch die logische und physische Verkapselung der Server sichergestellt werden, dass niemand – auch nicht der Betreiber des Dienstes oder seine Mitarbeiter – auf die gespeicherten Daten zugreifen kann.
Passende Zertifikate gebe es derzeit noch nicht; ausgehend von dem hohen Schutzniveau, das im Rahmen der DSGVO beispielsweise für personenbezogene Daten gefordert wird, sei laut Uniscon aber davon auszugehen, dass in der höchsten Schutzklasse DSGVO-zertifizierte Cloud-Dienste auch den Anforderungen der Know-how-Schutz-Richtlinie genügen dürften.
Lesen Sie mehr zum Thema
