Lehren aus DSGVO & Co.

Den Geschäftsgeheimnisschutz richtig angehen


Fortsetzung des Artikels von Teil 1

Klassifizierung der Informationen

Sind die Geschäftsgeheimnisse im Unternehmen erfasst, gilt es abzuwägen, wie relevant und schützenswert die Informationen sind. Dabei werden die Informationsarten nach dem Grad ihrer Vertraulichkeit in bestimmte Schutzklassen eingeteilt, die den Schutzbedarf widerspiegeln. Entscheidend für die Schutzbedarfsermittlung ist dabei die Frage, ob und in welchem Ausmaß ein Schaden entstehen könnte, sollten bestimmte Informationen unbefugt offengelegt oder genutzt werden.

In der Praxis hat es sich bewährt, zunächst eine vorläufige Einstufung aus dem Bauch heraus vorzunehmen, um die Organisation des Geschäftsgeheimnisschutzes zügig voranzutreiben. Diese erste, intuitiv vorgenommene Einschätzung des Schutzbedarfs wird im weiteren Verlauf – jedenfalls bevor konkrete Geheimnisschutzmaßnahmen ergriffen werden – um eine systematische Risikobeurteilung ergänzt und präzisiert.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Systematische Risikobeurteilung

Für Unternehmen, die bislang wenig Berührungspunkte mit Risikobeurteilungsmethoden hatten, empfiehlt sich an dieser Stelle eine einfache Kalkulation, die wie folgt aussehen kann:

Eintrittswahrscheinlichkeit x Schadensausmaß = Risikograd

Viele der Informationen, die benötigt werden, um die Eintrittswahrscheinlichkeit und das Schadensausmaß zu beurteilen, lassen sich unmittelbar aus dem Verzeichnis der Geschäftsgeheimnisse entnehmen. Im Anschluss werden die Eintrittswahrscheinlichkeit und das Schadensausmaß mit konkreten Werten verknüpft (zum Beispiel 1 = niedrig, 2 = mittel, 3 = hoch, 4 = sehr hoch). Aus der Multiplikation dieser beiden Werte ergibt sich ein Risikograd, der natürlich erst dann echte Aussagekraft erhält, wenn festgelegt wurde, wie das Ergebnis zu interpretieren ist (zum Beispiel 1-3 = niedrig, 4-8 = mittel, 9-16 = hoch).

Im letzten Schritt werden die bereits bestehenden risikomindernden Maßnahmen als Faktor (beispielsweise 0,25 = sehr stark, 0,5 = stark, 1 = schwach risikomindernd) mit dem Brutto-Risikograd verrechnet, um zum Netto-Risikograd zu gelangen. Dieser gibt Aufschluss darüber, ob die bestehenden Maßnahmen ausreichenden Schutz bieten oder weitere Maßnahmen erforderlich sind.

Obwohl das Verfahren denkbar einfach ist, ist es keineswegs objektiv. Das Projektteam, das die Risikobeurteilung durchführt, sollte immer im Hinterkopf behalten, dass diese nicht dazu dient, die Risikolage weichzuzeichnen – sie ist vielmehr ein Hilfsmittel auf dem Weg zu einem wirksamen Geheimnisschutz.

Auswahl angemessener Maßnahmen

Geheimnisschutz, Datenschutz
© DQS

Basierend auf den definierten Schutzklassen und den Ergebnissen der Risikobeurteilung gilt es für das Projektteam im nächsten Schritt, einen Katalog konkreter technischer und organisatorischer Maßnahmen zur Geheimhaltung zu entwickeln. Die Art des Geschäftsgeheimnisses und seiner Nutzung hat dabei maßgeblichen Einfluss darauf, wie adäquate Maßnahmen im Einzelfall konkret aussehen. Zur Wahrung der Vertraulichkeit, beispielsweise, wird in der Regel der Zugang zu Räumlichkeiten sowie der Zugriff auf Systeme, Applikationen, Dokumente und Datensätze begrenzt.

Einmal mehr stellen hier die Organisation des Datenschutzes und, sofern zutreffend, die Umsetzung von ISO 27001 hilfreiche Bezugspunkte dar: Sowohl die Auswahlkriterien als auch die daraus resultierenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten lassen sich häufig ohne Reibungsverluste auf die identifizierten Geschäftsgeheimnisse, die keine personenbezogenen Daten sind, projizieren.

Eine zu bewältigende Aufgabe

Zweifelsohne stellt das GeschGehG neue Herausforderungen an den Schutz von Geschäftsgeheimnissen. Die gesetzlichen Anforderungen wirken jedoch nur auf den ersten Blick wie ein erheblicher Mehraufwand. Denn auf Grundlage bereits bestehender Systematiken und organisatorischer Strukturen für den Datenschutz lassen sich die neuen gesetzlichen Vorgaben angemessen meistern. Ähnlich wie der Datenschutz lässt sich auch der Geschäftsgeheimnisschutz reibungslos in bestehende Managementsysteme nach ISO 9001 oder ISO 27001 integrieren.


  1. Den Geschäftsgeheimnisschutz richtig angehen
  2. Klassifizierung der Informationen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau

Anbieterkompass