E-Mailversand von Geschäftsgeheimnissen nur bei Verschlüsselung!?

Informationen sind nach § 2 Nr. 1 lit. b) GeschGehG nur dann als Geschäftsgeheimnis geschützt, wenn der rechtmäßige Inhaber sie zum Gegenstand von „den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ macht. In der digitalen Arbeitswelt stellt sich daher die Frage, welche Anforderungen an den Versand von Informationen via E-Mail zu stellen sind.

Ausgangslage

Das OLG Düsseldorf hat sich im Frühjahr mit der Frage befasst, ob der Versand einer Information im Wege unverschlüsselter E-Mailkommunikation die Information offenkundig gemacht hat (Az. I-15 U 37/20). Dabei verneinte das Gericht die Annahme einer Offenkundigkeit auf der Grundlage, dass ein E-Mailversand nicht zu einer allgemeinen Bekanntheit der Information führe und unter Einsatz lauterer Mittel nicht ohne Weiteres auf den E-Mailverkehr zugegriffen werden könne. Aufgrund der Besonderheiten des Sachverhaltes hatte sich das Gericht in dem Rechtsstreit ausdrücklich nicht mit den Anforderungen zu befassen, die § 2 GeschGehG nunmehr aufstellt. Der Fall zeigt aber, dass der unverschlüsselte E-Mailversand nicht nur die Voraussetzungen des § 2 Nr. 1 lit. a) GeschGehG, sondern vielmehr auch die Frage des Vorliegens angemessener Geheimhaltungsmaßnahmen nach § 2 Nr. 1 lit. b) GeschGehG betrifft.

Zugriffsmöglichkeiten auf E-Mailnachrichten

Der Umgang mit (möglichen) Geschäftsgeheimnissen im E-Mailverkehr birgt besondere Gefahren für die Geheimhaltung einer Information. Ein Austausch von E-Mails findet im Wege eines mehrteiligen technischen Verfahrens statt, in den neben Absender und Empfänger auch Dritte eingreifen können. In den Versand einer E-Mail sind sowohl die handelnden natürlichen Personen als auch auf technischer Ebene die verschiedenen E-Mailsoftwareprogramme, die eingesetzte Hardware und insbesondere verschiedene Server eingebunden. Zur Offenlegung und Wahrnehmung des Nachrichteninhalts können Dritte daher verschiedene Angriffspunkte nutzbar machen.

Um unbefugten Zugriff technisch zu verhindern, bietet sich der Versand im Wege verschlüsselter E-Mailnachrichten an. Dabei ist sind zwei Wege der Verschlüsselung zu unterscheiden, die Transportverschlüsselung und die Ende-zu-Ende Verschlüsselung (vgl. genauer auch auf der Seite des Bundesamts für Sicherheit in der Informationstechnik). Die Transportverschlüsselung wird mittlerweile automatisch, also ohne Einsatz und teils ohne Kenntnis der Nutzer, von der Mehrheit der E-Mailprovider eingesetzt. Sie verschlüsselt die E-Mail auf den verschiedenen Zwischenabschnitten ihres Transportwegs. Dieser verläuft allerdings nicht unmittelbar vom Absender zum Empfänger, sondern über verschiedene Knotenpunkte der eingebundenen Server. Die E-Mail ist dann ausschließlich auf dem „Transportweg“ zwischen diesen Abschnitten verschlüsselt. Eine Verschlüsselung beim Empfänger, Absender oder zum Zeitpunkt des Speicherns auf einem der verschiedenen Knotenpunkte findet nicht statt. Dritte können im Wege eines sog. „Man-in-the-Middle-Angriffs“ an diesen Stellen auf die Nachricht zugreifen und sie in unverschlüsselter Form wahrnehmen.

Anders funktioniert die sog. Ende-zu-Ende Verschlüsselung. Diese betrifft nicht die Transportabschnitte, sondern die E-Mail selbst. In diesem Fall verschlüsselt der Absender (bzw. dessen lokale Software) die Nachricht, welche der Empfänger schließlich entschlüsselt. Die Verschlüsselung hält dabei auf dem gesamten Transportweg zwischen Empfänger und Absender an und der Zugriff auf den Inhalt der Nachricht fällt Dritten deutlich schwerer (ausführlichere Hinweise zu den Unterschieden der Verschlüsselungstechnik finden Sie auf Digitalisierung & Recht).

Anforderungen an die Angemessenheit

Fraglich ist nun, wann und in welchem Umfang eine Verschlüsselung von E-Mailnachrichten sicherzustellen ist. § 2 Nr. 1 lit. b) GeschGehG sieht vor, dass abhängig vom Einzelfall angemessene Geheimhaltungsmaßnahmen zu wählen sind. Diese Einzelfallabwägung ist anhand der Maßgabe objektiver Bewertungsmaßstäbe vorzunehmen und setzt weder einen „optimalen Schutz“ noch „extreme Sicherheit“ voraus (so auch das OLG Düsseldorf, U.v. 11.03.2021, Az.: 15 U 6/20 [nicht veröffentlicht]; zu den Bewertungsmaßstäben vgl. auch den vorherigen Beitrag).

Im konkreten Zusammenhang mit der Verschlüsselung von E-Mails könnte auch eine Anlehnung an die Parallelbewertung zur Verschlüsselung von E-Mails, die personenbezogene Daten enthalten, auf Grundlage des Datenschutzrechtes erfolgen (mehr dazu können Sie bei Digitalisierung & Recht lesen).

Einen weiteren Orientierungspunkt bietet die Verschlusssachenanweisung des Bundes (VSA). Sie dient dem materiellen Geheimnisschutz in Bundesbehörden und -einrichtungen. Die Bundesländer haben eigene, aber einheitliche Anweisungen für die Landesbehörden erlassen. Die VSA stellt ein Stufensystem auf, welches die Anforderungen, die an Geheimhaltungsmaßnahmen zu stellen sind, aufstellt. § 55 Abs. 1 VSA sieht dabei vor, dass alle Verschlusssachen bei elektronischem Versand zu verschlüsseln sind.

Auch im Umgang mit Geschäftsgeheimnissen sollte daher stets eine Verschlüsselung erfolgen. Die Auswahl der konkreten Technik ist an der Bedeutung des Geheimnisses auszurichten. Der Einsatz einer Transportverschlüsselung sollte der Normalfall sein. Kommt den Geschäftsgeheimnissen eine größere Bedeutung zu, ist eine Ende-zu-Ende-Verschlüsselung einzusetzen. Schließlich ist zu hinterfragen, ob bei besonders wichtigen Geheimnissen ein Versand per E-Mail überhaupt erfolgen sollte. Bei den „Kronjuwelen“ sind möglicherweise auch in Zeiten der digitalisierten Arbeitswelt andere Übermittlungswege angemessen.

Fazit

Im Stand der Technik scheint sich der Einsatz einer Transportverschlüsselung mittlerweile durchgesetzt zu haben. Die Verschlüsselung erfolgt dabei bei Einsatz eines entsprechenden Providers automatisch, ohne dass der individuelle Absender eigene technische Abläufe in die Wege leiten muss. Der Versand schon „unwichtiger“ Geschäftsgeheimnisse sollte dabei zur Einhaltung der Anforderungen des § 2 Nr. 1 lit. b) GeschGehG stets eine Transportverschlüsselung enthalten.

Hingegen scheint es derzeit noch nicht üblich, dass in jedem Fall eine durchgängige Verschlüsselung im Wege der technisch aufwändigeren Ende-zu-Ende-Verschlüsselung erforderlich ist. Bei Versand von besonders wichtigen Geschäftsgeheimnissen, der „Kronjuwelen“, dürfte diese Verschlüsselung hingegen zu erwarten sein. Damit die Geheimhaltungsmaßnahmen auch in einem etwaigen Gerichtsverfahren nachweisbar sind, sollten diese auch hinreichend protokolliert werden.