• Blog

Videokonferenzen – keep it secret. Keep it safe!

Der Gründer und Investor Cédric Waldburger spricht in einer aktuellen Folge des Gründerszene- Podcasts hörenswert über seine Unternehmungen, seine neue Venture Capital Gesellschaft  Tomahawk.VC und eine gute Unternehmenskultur im „Remote Setup“. Ein Effekt von Corona, so prognostiziert er, sei, dass wir uns alle angewöhnen werden, uns auch über wichtige Themen via ZOOM, Google Hangout und andere Tools zu unterhalten. Was aber, wenn für das Unternehmen wichtige Themen in einer Videokonferenz besprochen werden und Dritte sich – etwa via ZOOM Bombing – Zugang zu einer ZOOM Konferenz von Wettbewerbern verschaffen. So – um nur ein Beispiel zu nennen – im  Fall der Financial Times geschehen? Wer hier nicht technisch und organisatorisch vorsorgt, riskiert (nicht nur) Geschäftsgeheimnisse.

Webex, Teams, Skype, Zoom, Google Hangout – das sind nur einige der verfügbaren Videokonferenzsysteme, welche seit Corona weiter an Bedeutung gewinnen. Und es ist erst der Anfang. Die Zukunft ist Web Real Time Communication, ein Protokoll, welches im Browser eingebaut sein soll, um Videokonferenzen, Dateitransfer und das Teilen von Desktop-Bildschirminhalten einfach zu gestalten (Spehr, Software für Videokonferenzen, F.A.Z., 1. Mai 2020). Wer solche Systeme nutzt, muss sie absichern, also unter anderem durch Passwörter und Zugangskontrollen, und zwar ungeachtet datenschutzrechtlicher Vorgaben und teilweise nicht mehr nachvollziehbarer Warnungen diverser deutscher Datenschützer vor Videokonferenzsystemen (wie es der Rechtsanwalt Stephan Schmidt am 30. April 2020 auf den Punkt bringt: „So langsam wünsche ich mir ehrlich gesagt, dass sich mal ein Anbieter gerichtlich gegen die „Produktwarnungen“ einiger Datenschutzaufsichtsbehörden wehrt„).

Es geht hier um Geschäftsgeheimnisschutz.

Ohne Geheimhaltungsmaßnahmen kein Geschäftsgeheimnis

Der Schutz von Geschäftsgeheimnissen ist in Deutschland im Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) geregelt. Im Grunde gilt in anderen Ländern der EU nichts anderes, weil der Geschäftsgeheimnisschutz auf europäischen Vorgaben basiert (Know-how-Schutz-Richtlinie (EU) 2016/943). Geschäftsgeheimnis im rechtlichen Sinne kann fast alles sein, was einen positiven Wert hat: Know-how, technische und nicht-technische Informationen (wie Geschäftszahlen, Kunden, Einkaufspreise), sogar solche Geheimnisse, die zwar keinen wirtschaftlichen Wert vermitteln, deren Bekanntwerden umgekehrt aber Schaden verursachen könnte (Kalbfus, GRUR 2016, 1009, 113).

Voraussetzung für ein Geschäftsgeheimnis ist unter anderem, dass die Information „Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen“ sind. Werden im Rahmen von Videokonferenzen keinerlei Maßnahmen zum Schutz von Informationen getroffen, sind diese Informationen insoweit keine Geschäftsgeheimnisse im rechtlichen Sinne. Denn der bloße Wille, dass etwa geheim sein soll oder die Einstufung als „geheim“ genügen nicht.

Anders ausgedrückt:

Informationen eines Unternehmens, die ein Mitarbeiter eines Unternehmens im Rahmen einer von seinem Unternehmen initiierten Videokonferenz erwähnt, sind kein Geschäftsgeheimnis, solange die Geschäftsleitung keine angemessenen Geheimhaltungsmaßnahmen zum Schutz dieser Informationen in der Videokonferenz vorgenommen oder ordnungsgemäß delegiert hat (vgl. Ahrens, GeschGehG – Neue Herausforderungen für den Geschäftsführer, GWR 2019, 375).

Initiatoren von Videokonferenzen müssen für Sicherung sorgen

Freilich geht es für Unternehmen nicht nur darum, durch angemessene Geheimhaltungsmaßnahmen eigene Geschäftsgeheimnisse zu schützen. Wer als Initiator einer Videokonferenz die Besprechung nicht ausreichend technisch und organisatorisch absichert und dadurch ein Geschäftsgeheimnis seines Gesprächspartners fahrlässig offenlegt – etwa indem er als Verantwortlicher für eine Videokonferenz ZOOM Bombing ermöglicht – kann für fahrlässiges Handeln haften (§ 10 GeschGehG). Sogar der Unternehmensinhaber kann in solchen Fällen haften, selbst wenn er jede erdenkliche Maßnahme getroffen hat, um faktisch eine Verletzung der Geschäftsgeheimnisse Dritter durch seinen Arbeitnehmer (weitestgehend) zu verhindern (§ 12 GeschGehG, hierzu Leister, GRUR-Prax 2020, 145). Der sichere Einsatz von Videokonferenzsystemen ist eine Frage der Geheimnisschutz-Compliance.

Kurzum, auch und insbesondere wer die Videokonferenz initiiert, sollte für angemessene Geheimhaltungsmaßnahmen sorgen, technisch und organisatorisch. Unabdingbar für eine sichere Videokonferenz ist eine Ende-zu-Ende-Verschlüsselung (E2EE) , wie sie zum Beispiel Webex bietet (eine Software, die auch von Gerichten im Rahmen von Gerichtsverfahren genutzt wird); einen Überblick hierzu bietet der Beitrag „Ende-zu-Ende Verschlüsselung von Videokonferenzen“ von Dr. Torge Schmidt.

[ERGÄNZUNG VOM 6. Mai 2020] Soweit die Nutzung des Begriffs „Ende-zu-Ende-Verschlüsselung“ im Rahmen der Werbung für Videosoftware nun im Anschluss an unseren Beitrag im Blog eines Kollegen als wirkungsloses „Schlangenöl“ aus der Marketingabteilung (Franz) dargestellt wird, handelt es sich insoweit um eine Frage, die gegebenenfalls anhand des Gesetzes gegen den unlauteren Wettbewerb zu klären wäre. Was die Frage der angemessenen Geheimhaltungsmaßnahmen im Sinne des GeschGehG angeht, bleiben wir bei unserer Empfehlung von E2EE für Videokonferenzen und belassen es insoweit bis auf weiteres bei einem Zitat aus dem Beitrag von Schmidt, der zu folgendem Schluss kommt:

„Von den betrachteten Mehr-Personen Online-Konferenz-Diensten bietet nur WebEx von Cisco bei entsprechender Konferenzkonfiguration unter Verzicht auf damit nicht kompatible Funktionen bereits ab der kostenlosen Variante nachvollziehbar eine effektive Verschlüsselung der Mediendaten zwischen den Endgeräten der Benutzer ohne Kenntnis vom verwendeten Schlüssel, also eine „echte“ Ende-zu-Ende-Verschlüsselung, wie unter Sicherheitsgesichtspunkten gewünscht und erwartet.“

Weiterführend Informationen zur Absicherung einer Videokonferenz findet man auch im gerade veröffentlichten Kompendium „Videokonferenzsysteme“ des Bundesamt für Sicherheit in der Informationstechnik.

Der sicherste Weg

Zurück zum Ausgangsfall Financial Times und ZOOM Bombing. Auch für ZOOM gibt es Schutzmechanismen, die man auch als Gastgeber einer ZOOM-Konferenz nutzen kann und sollte. Lesenswert hierzu der Beitrag des Datenschutzexperten Stephan Hansen-Oest, ein Jurist und Pragmatiker, der nicht zu den Bedenkenträgern des Datenschutzrechts zählt, allerdings auch empfiehlt, bei ZOOM und besonders schutzbedürftigen Geschäftsgeheimnissen Vorsicht walten zu lassen.

Besonders sensible Informationen, etwa zu neuen Produkten aus Forschungs- und Entwicklungsabteilungen, sollte man im Zweifel nicht in Videokonferenzen besprechen. Insoweit stimmen wir dem Kollgen Franz zu: Die Mitglieder einer Patentabteilung eines Technologieunternehmens sollten sich nicht zwingend per Telefon oder Videokonferenz austauschen. Für alles, was im kleinen Kreis ohne Präsentationen besprochen kann und streng geheim bleiben muss, bleibt ein Spaziergang („Walking Meeting“), wie Steve Jobs und Barack Obama ihn gerne machten, wohl der sicherste Weg.

Oliver Löffel / Sebastian Laoutoumai (Gastautor)