»Vertraulichkeit und Datenschutz bei der E-Mail-Kommunikation: Darf ich interne Dokumente mit Geschäftspartnern per E-Mail austauschen?«

Vertraulichkeit E-Mail-Kommunikation

Ja. Der Austausch ist möglich und verletzt nicht Vertraulichkeit via E-Mail, wenn …

  • der E-Mail-Account der Firma genutzt wird und
  • eine Vertragsbeziehung mit Regeln zur Vertraulichkeit besteht oder eine separate Vertraulichkeitsvereinbarung (NDA) geschlossen wurde.

Vertraulichkeit E-Mail-Kommunikation C2S2 Logo

Bitte beachten Sie:

  • Nicht gekennzeichnete Dokumente müssen als Dokumente für den internen Gebrauch behandelt werden. Eventuell sind weitere Anforderungen des Dokumentenerstellers zu beachten.

Praxisbeispiele

Der Einkauf hat Ihnen die Zusammenarbeit mit einem gelisteten Lieferanten im Rahmen eines Projekts empfohlen. Zur Vorbereitung eines ersten Besprechungstermins möchten Sie dem Projektleiter eine Präsentation über ihre internen Projekte zukommen lassen via E-Mail und Einhaltung der Regeln zur Vertraulichkeit.

Da das Dokument nicht gekennzeichnet ist, vergewissern Sie sich beim Dokumentersteller, dass das Dokumente nicht als vertraulich klassifiziert werden muss. Vorsichtshalber kennzeichnen Sie das Dokument in der Kopfzeile mit “für den internen Gebrauch” und schicken dem IT-Dienstleister die Präsentation in Form eines PDF Dokuments per E-Mail zu.

Ein Kollege empfiehlt Ihnen die Zusammenarbeit mit einen Lieferanten, mit dem er bereits in der Vergangenheit erfolgreich zusammengearbeitet hat. Zur Vorbereitung eines ersten Besprechungstermins möchten Sie dem Projektleiter eine Präsentation über ihre internen Projekte zukommen lassen.

Da das Dokument nicht gekennzeichnet ist, machen Sie sich weiter keine Gedanken und schicken dem IT-Dienstleister die Präsentation in Form eines PDF Dokuments per E-Mail zu.

Definitionen

Schutzklasse zur Vertraulichkeit, der solche Informationen zuzuordnen sind, deren unbefugtes Bekanntwerden (z.B. via E-Mail) nicht gewünscht ist, z.B. Inhalte aus dem Intranet, Konzernrichtlinien oder Projektberichte. Alle Informationen die nicht offensichtlich klassifiziert sind, werden als “zum internen Gebrauch“ gehandhabt.

Wissenswertes

Grundsätzlich gilt beim Thema Vertraulichkeit bei der E-Mail-Kommunikation als Leitlinie: Eine vertrauliche Angelegenheit sollte immer vertraulich behandelt werden.

Wichtig ist, zuerst im Unternehmen eindeutig zu definieren, welche Informationen und Dokumente wirklich vertraulich sind und diese dementsprechend zu kennzeichnen, damit es später zu keinen Unklarheiten bezüglich der Klassifizierung kommt.

Bevor diese vertraulich gekennzeichneten Daten anschließend übermittelt werden, sollte jeder Mitarbeiter das sog. „Need-to-know-Prinzip“ beachten und kritisch hinterfragen: Was muss der Geschäftspartner wirklich wissen? Welche Informationen braucht er für die Angebotserstellung oder generelle Zusammenarbeit? Welche Dokumente sind wirklich für ihn relevant?

Oftmals werden mehr Informationen freigiebig herausgegeben als von der anderen Partei tatsächlich benötigt, was die Wahrscheinlichkeit erhöht, dass Vertraulichkeit und Datenschutz auch bei der Übermittlung via E-Mail erhöht.

Datensparsamkeit ist somit stets angebracht. Diese ist nicht nur förderlich für die Vertraulichkeit, sondern steigert auch die Effizienz bei Briefings. Überflüssige Informationen werden vermieden und beeinträchtigen den Geschäftspartner nicht.

Des Weiteren empfiehlt es sich, nach Möglichkeit zertifizierte Datenräume in der Cloud zu nutzen und nur die Links zu diesen per E-Mail zu versenden. So werden zugleich riesige Datenmengen im Postfach vermieden. Grundsätzlich ist es immer wichtig, zu Beginn seinen Cloud-Anbieter/E-Mail-Provider kritisch zu betrachten und in Erfahrung zu bringen, welche Sicherheitsmaßnahmen im Hinblick auf Verschlüsselung er schon standardmäßig inkludiert hat und welche man darüber hinaus möglicherweise braucht.

Vertraulichkeitserklärung

Vertraulich zusammenzuarbeiten impliziert immer auch Verschwiegenheit; somit ist es wichtig, dass eine NDA (Non-Disclosure Agreement) von beiden Parteien unterschrieben vorliegt. Eine solche Vereinbarung zur Vertraulichkeit kann bereits vertraglich aufgrund von vorheriger Geschäftsbeziehung existieren. Besteht keine aktuelle Vertragsbeziehung mit dem (potenziellen) Geschäftspartner, muss eine NDA noch abgeschlossen werden. Diese könnte z.B. wie folgt aussehen:

Die Vertragsparteien legen gegenseitig technische, finanzielle und/oder andere Informationen, Materialien oder Daten offen, die entweder in schriftlicher, mündlicher oder in jeder anderen Form, elektronisch oder auf sonstige Weise vorliegen und die als vertraulich und gesetzlich geschützt gelten. Die Parteien sind sich darüber einig, dass die überlassenen vertraulichen Informationen ausschließlich in dem durch die Art und Weise der konkreten Kontaktaufnahme bzw. Geschäftsbeziehung begründeten Umfang verwendet werden dürfen. Eine anderweitige Verwendung bedarf der schriftlichen Zustimmung der anderen Partei. Das Recht zur Verwendung dieser Daten endet mit Ende des Vertrages unabhängig vom Beendigungsgrund.

 Als „nicht geheim“ gelten Daten,

–    welche bereits vor Offenlegung gegenüber der anderen Partei und ohne Geheimhaltungsverpflichtung rechtmäßig in ihrem Besitz waren;

–    welche ohne ihr Zutun veröffentlicht worden oder anderweitig ohne ihr Verschulden allgemein bekannt geworden sind;

–    welche ihr nach Abschluss dieses Vertrags von einem oder mehreren Dritten rechtmäßig übermittelt wurden;

–    welche schriftlich durch die offenlegende Partei gegenüber der anderen Partei freigegeben werden;

–    welche, ohne entsprechende Verpflichtungen und Beschränkungen, von der offenlegenden Partei einem Dritten zugänglich gemacht worden sind.

In der Gesetzgebung

Geschäftsgeheimnisse sind seit April 2019 erstmalig im Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) eindeutig definiert als „eine Information,

  1. die weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
  2. die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
  3. bei der ein berechtigtes Interesse an der Geheimhaltung besteht.“

(§2, Abs. 1 GeschGehG)

Das Geschäftsgeheimnisschutzgesetz hat das Ziel, besagte Geschäftsgeheimnisse vor rechtwidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung zu schützen.

Was ändert sich für die Unternehmen in der Praxis?

Es gilt wie gesagt, beim Thema Vertraulichkeit und Datenschutz bei der E-Mail-Kommunikation die Leitlinie: Eine vertrauliche Angelegenheit sollte immer vertraulich behandelt werden. Geschützt ist nur noch jenes Unternehmen, welches aktive Schutzmaßnahmen zur Geheimhaltung ergreift und diese auch nachweisen kann – dies gilt auch für die Vertraulichkeit und den Datenschutz bei der E-Mail-Kommunikation. Sind keine vorhanden, besteht im Ernstfall – im Gegensatz zu der bisherigen Regelung – kein gesetzlicher Anspruch auf Schadensersatz.

Es ist somit für jedes Unternehmen ratsam, seine Geschäftsgeheimnisse, also das, was vertraulich ist, klar zu definieren und entsprechende Maßnahmen zu ergreifen, um diese bestmöglich zu schützen. Möchte ein Unternehmen im Streitfall vor Gericht Schadensansprüche gelten machen, sollten die nachstehenden Schritte befolgt werden, um nachzuweisen, dass ausreichend Maßnahmen zum Schutz der Geschäftsgeheimnisse implementiert wurden.

3 Schritte zum besseren Schutz der Vertraulichkeit von Geschäftsgeheimnissen

Schritt 1:

Im ersten Schritt sollte ein Klassifizierungskonzept entwickelt werden, um Unterlagen und Daten nach Vertraulichkeit zu kategorisieren. Anschließend sollten alle bestehenden Unterlagen gemäß diesem Konzept nachklassifiziert werden. Hier ist wichtig, möglichst klare Vorgaben an die Vertraulichkeit zu definieren und wirklich nur die Unterlagen und Dokumente als (streng) vertraulich zu klassifizieren, die ein erhöhtes Schutzniveau erfordern.

Hierbei bieten sich folgende Klassen an:

Streng vertraulich: Schutzklasse zur Vertraulichkeit, der solche Informationen zuzuordnen sind, deren unbefugtes Bekanntwerden den Aktienkurs beeinflussen kann oder zu einem erheblichen finanziellen Verlust führen kann. Beispiele sind:

– Insiderinformationen

– neue Produkte und Preismodelle

– unveröffentlichte Finanzberichte

Vertraulich: Schutzklasse zur Vertraulichkeit, der solche Informationen zuzuordnen sind, deren unbefugtes Bekanntwerden zu einem wirtschaftlichen Schaden führen kann. Beispiele sind:

– Kunden-/Lieferantenrechnungen

– Managementreports

– Kreditwürdigkeitsprüfungen

Interner Gebrauch: Schutzklasse zur Vertraulichkeit, der solche Informationen zuzuordnen sind, deren unbefugtes Bekanntwerden nicht gewünscht ist, z.B. Inhalte aus dem Intranet, Konzernrichtlinien oder Projektberichte. Alle Informationen, die nicht offensichtlich klassifiziert sind, werden als “zum internen Gebrauch“ gehandhabt.

Offene Dokumente: Schutzklasse zur Vertraulichkeit, der solche Informationen zuzuordnen sind, die öffentlich zugänglich sind und deren Bekanntwerden zu keinem Schaden führen kann, z.B. Internetinhalte, PR-Material oder Werbung.

Schritt 2:

Im Anschluss an die Klassifizierung sollte diese direkt und verständlich an alle Mitarbeiter kommuniziert werden. Jeder im Unternehmen sollte die Anforderungen und Vorgehensweisen an die Klassifizierung in der täglichen Geschäftskommunikation kennen und befolgen. Ziel muss hier sein, dass neu entstehende Dokumente und Daten selbstständig und eigenverantwortlich gemäß dem Klassifizierungskonzept kategorisiert und entsprechend behandelt werden.

Schritt 3:

Zuletzt sollten allgemein gültige Anforderungen an die langfristige Archivierung von vertraulichen Dokumenten definiert werden. In deren Rahmen sollte eine entsprechende Möglichkeit zur Nutzung von Archivierungssystemen geschaffen werden.

Vertraulichkeit E-Mail-Kommunikation

Das komfortabelste Regelwerk aller Zeiten

  • Regeln und Handlungsoptionen intuitiv abfragen
  • Entscheidungen dokumentieren
  • Richtlinieninhalte besser verstehen

Das C2S2 Rulebook bietet Ihnen außerdem

  • Rich Media-Einbindung
  • einfache Integration in Workspaces
  • mobile Verfügbarkeit

C2S2 Rulebook Mitarbeiter Dialog Plattform

Mehr erfahren
Kontakt aufnehmen

Machen Sie Verantwortung tragbar.
Kontaktieren Sie uns.

C2S2 Logo

C2S2 GmbH
Willy-Brandt-Allee 18
53113 Bonn

+49 (228) 85 46 94 58
kontakt@C2S2.eu

Folgen Sie uns bei:

C2S2 Social MediaC2S2 Social MediaC2S2 Social Media