Datenschutz und Cybersecurity

Der Schutz nicht personenbezogener Daten: quo vadis?

Verfasst von

Dr. Jan-Peter Ohrtmann

Derzeit wird der gesetzliche Rahmen im Datenschutz, insbesondere in Form der Datenschutz-Grundverordnung (DSGVO), intensiv diskutiert. Die DSGVO schützt, ebenso wie die sie flankierende künftige ePrivacy-Verordnung, lediglich personenbezogene Daten. Der Schutz anderer, nicht personenbezogener Daten spielt demgegenüber in der öffentlichen Wahrnehmung eine eher geringe Rolle. Dabei sind die Möglichkeiten der Nutzung von Informationen im Allgemeinen und die Verpflichtung zu deren Schutz für Wirtschaft und öffentliche Hand von essenzieller Bedeutung. Gerade die Sorge um einen Rückgang der Wettbewerbsfähigkeit im Bereich künstliche Intelligenz (KI) befeuert die Diskussion um den erforderlichen rechtlichen Rahmen. Rechtlich handelt es sich bei den Regelungen zum Umgang mit nicht personenbezogenen Daten um eine Splittermaterie, die unterschiedlichste Akteure betrifft und dabei mehrere Schutzrichtungen verfolgt. Der folgende Beitrag gibt einen Überblick über die jüngeren Entwicklungen.

Die NIS-Richtlinie und ihre Umsetzung

Die aus dem Jahr 2016 stammende Richtlinie (EU) 2016/1148 des EU-Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU (sogenannte NIS-Richtlinie) fordert die Mitgliedsstaaten auf, nationale Sicherheitsanforderungen zu erlassen, um IT-Sicherheitsrisiken entgegenzuwirken.

Durch das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) wurde im Juli 2015 erstmals ein umfassendes Gesetz zum Schutz vor Cyberangriffen geschaffen, das unter anderem die Betreiber von Telemedien auch in Bezug auf nicht personenbezogene Daten zur IT-Sicherheit verpflichtet (§ 13 Abs. 7 Nr. 1, Nr. 2 lit. b TMG). Kern dieses Artikelgesetzes, das zahlreiche Vorschriften änderte, war die Erweiterung der Befugnisse und Aufgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch Änderung des BSI-Gesetzes, wodurch die Versorgungssicherheit der Bevölkerung durch eine Normierung von Mindeststandards zum Schutz von IT-Systemen sichergestellt werden soll. Adressiert sind hiervon Betreiber kritischer Infrastrukturen.

Im Wege der BSI-Kritisverordnung wurden Adressaten aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr bestimmt. Diese für das Gemeinwesen wichtigen Unternehmen müssen branchenspezifische Standards zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme einhalten. Darüber hinaus unterliegen sie in Hinblick auf ihre IT-Sicherheit der Prüfung durch das BSI und sind verpflichtet, IT-sicherheitsrelevante Vorfälle zu melden.

Richtlinie zum Schutz von Geschäftsgeheimnissen und ihre Umsetzung

Innovative Unternehmen sind heute technisch sehr ausgereiften Bedrohungen ausgesetzt, die auf eine rechtswidrige Aneignung von Geschäftsgeheimnissen abzielen – wie Diebstahl, unbefugtes Kopieren oder Verletzung von Geheimhaltungspflichten – und ihren Ursprung innerhalb oder außerhalb der EU haben können. Die Richtlinie (EU) 2016/943 des EU-Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung – häufig als Know-how-Richtlinie bezeichnet – soll einen europaweit einheitlichen Schutz vor Geheimnisverrat und Wirtschaftsspionage fördern.

Geschäftsgeheimnisse unterliegen aufgrund ihrer Art nicht immer dem besonderen Schutz durch Spezialgesetze wie etwa das Patent- oder das Urheberrechtsgesetz. Die Richtlinie, die Maßgaben für die Rechtmäßigkeit von Geschäftsgeheimniserwerb und -offenlegung sowie die Behandlung von Geschäftsgeheimnissen in Gerichtsverfahren aufstellt, fordert die Mitgliedsstaaten auf, für einen effektiven Rechtsschutz dieser Geschäftsgeheimnisse zu sorgen. Am 18. Juli 2018 wurde der Regierungsentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung veröffentlicht.

Zentraler Bestandteil des Artikelgesetzes ist der in Art. 1 geregelte Entwurf eines Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG-E). In den §§ 3–5 GeschGehG-E werden die erlaubten und unerlaubten Handlungen im Zusammenhang mit Geschäftsgeheimnissen beschrieben. In den §§ 6–14 GeschGehG-E sind Ansprüche des Geheimnisinhabers gegen den Rechtsverletzer geregelt. Neben Beseitigungs-, Unterlassungs-, Auskunfts- und Schadensersatzansprüchen kann unter anderem die dauerhafte Entfernung der rechtsverletzenden Produkte aus den Vertriebswegen und deren Vernichtung verlangt werden (§ 7 GeschGehG-E). In den §§ 12–22 GeschGehG-E finden sich Besonderheiten für das Verfahren in Geschäftsgeheimnisstrafsachen, welche insbesondere der Wahrung der betroffenen Geheimnisse dienen.

Open Data

Seit einiger Zeit gibt es Bestrebungen – auch gerade der öffentlichen Hand –, Daten für die Entwicklung von Geschäftsmodellen zur freien Nutzung bereitzustellen. Am 18. Mai 2017 verabschiedete der Bundestag das Gesetz zur Änderung des E-Government-Gesetzes (EGovG), das sogenannte Open-Data-Gesetz. Nach dem neuen § 12a EGovG sind Bundesbehörden verpflichtet, die von ihnen erhobenen Rohdaten zu veröffentlichen. So legt das Bundesministerium für Bildung und Forschung beispielsweise regelmäßig Daten aus den Bereichen Bildung, Wissenschaft, Forschung, Entwicklung und Innovation offen. Diese Verwaltungsdaten können von jedermann uneingeschränkt genutzt und weiterverarbeitet werden. Gleichwohl sieht das Gesetz zahlreiche Ausnahmen vor, etwa aus Gründen der nationalen und öffentlichen Sicherheit, der statistischen Geheimhaltung oder aufgrund der Betroffenheit schutzbedürftiger Belange polizeilicher Stellen.

Im Koalitionsvertrag vereinbarten die Regierungsparteien eine Überarbeitung dieses Open-Data-Gesetzes, um den Nutzen der behördlichen Verwaltungsdaten für Wirtschaft und Bürger weiter zu verbessern. Diese Reform ist nach aktuellen Angaben der Bundesregierung jedoch erst nach der Evaluation des ersten Open-Data-Gesetzes geplant. Ein entsprechender Gesetzesentwurf ist daher nicht vor 2021 zu erwarten.

Freier Datenverkehr in der EU

Neue digitale Techniken, wie sie als Cloud-Computing, Big Data, KI und Internet der Dinge bekannt sind, sollen maximale Effizienzsteigerungen, Größeneinsparungen und die Entwicklung neuer Dienste ermöglichen. Begrenzt wird dieses Potenzial jedoch durch zahlreiche Lokalisierungsbeschränkungen der Mitgliedsstaaten. So schreibt etwa § 146 Abs. 2 der Abgabenordnung vor, dass steuerrechtlich relevante Bücher und Aufzeichnungen grundsätzlich in Deutschland aufbewahrt, also im Falle einer digitalen Buchführung gespeichert werden müssen.

Auf europäischer Ebene hat die EU-Kommission im Herbst 2017 einen Vorschlag für eine Verordnung über den freien Verkehr nicht personenbezogener Daten eingebracht. Der Vorschlag, der Teil der Strategie für einen digitalen Binnenmarkt ist, soll Lokalisierungsbeschränkungen innerhalb der Union minimieren und dadurch die Rechtsunsicherheiten und Wertschöpfungsdefizite, die mit diesen einhergehen, reduzieren. Nach der zentralen Norm, Art. 4 Abs. 1 des Verordnungsvorschlags, sind lokale Beschränkungen der Datenverarbeitung nur zulässig, wenn sie aus Gründen der öffentlichen Sicherheit gerechtfertigt sind. Die Mitgliedsstaaten müssen innerhalb von zwei Jahren nach Geltungsbeginn der Verordnung dafür sorgen, dass sämtliche übrigen Lokalisierungsbeschränkungen aufgehoben werden.

Dieser Zeitpunkt könnte relativ schnell kommen: Nachdem die Verordnung das Europäische Parlament passiert hatte, nahm der Rat am 9. November 2018 die Position des Parlaments an. Da die Verordnung nach einer Übergangszeit von nur sechs Monaten unmittelbar in den Mitgliedsstaaten gelten soll, könnten viele Lokalisierungsbeschränkungen bereits im Sommer 2021 aufgehoben sein. Mitgliedsstaatliche Beschränkungen, die nicht der öffentlichen Sicherheit dienen, sind dann europarechtswidrig und dürfen somit nicht angewendet werden.

Fazit

Der Schutz und die Nutzung nicht personenbezogener Daten ist in Zeiten globaler Wirtschaftsspionage sowie zunehmender Mitarbeiterfluktuation gerade auch für die Innovationskraft von Unternehmen elementar. Die gesetzlichen Regelungen sind zum Teil technologieneutral. So sieht etwa der Entwurf des Gesetzes zum Schutz von Geschäftsgeheimnissen keine Schutzziele und insbesondere keine konkreten Schutzmaßnahmen vor. Zum Teil wird hingegen dezidiert auf die zentralen Schutzziele der IT-Sicherheit hingewiesen und es werden entsprechende Mindeststandards normiert und behördliche Auditierungen vorgenommen. Das Monitoring und die Implementierung der diesbezüglichen Vorgaben in ihre Infrastrukturen wird die Unternehmen und die öffentliche Hand verstärkt beschäftigen.

Angesichts der Schwierigkeit, zwischen personenbezogenen und nicht personenbezogenen Daten sowie zwischen teilweise ähnlichen Pflichten wie Informations- oder Sicherheitspflichten zu unterscheiden, ist es oftmals sinnvoll, den Umgang mit Informationen rechtsgebietsübergreifend zu handhaben. Dazu gehört etwa die Einführung von Datenschutz- und Informationssicherheits-Managementsystemen (DSMS/ISMS) mit Schutzstufen für Informationen, Vorgaben zum Umgang mit Datenvorfällen oder technischen Maßnahmen. Aber auch die Einführung von Datenschutz- und Informationssicherheitsbeauftragten (DPO/ISO) und die regelmäßige Fortbildung der Mitarbeiter im Umgang mit Informationen fallen in diesen rechtsgebietsübergreifenden Maßnahmenkatalog.