© Anikó Lessi - generiert mit KI
Wissensbox Recht

Geschäfts­geheimnis­schutz im KI-ZeitalterGeschäfts­geheimnis­schutz im KI-Zeitalter

Künstliche Intelligenz stärkt Innovation und Effizienz – vor allem, wenn vertrauliche Daten gut geschützt sind. Erfahren Sie, was als Geschäftsgeheimnis gilt und wie Sie mit klaren Maßnahmen Sicherheit und Wettbewerbsvorteile verbinden.

In einer zunehmend digitalisierten Welt, in der Technologien wie Künstliche Intelligenz (KI) eine zentrale Rolle spielen, wird der Schutz von Geschäftsgeheimnissen immer komplexer und anspruchsvoller. In unserem Beitrag klären wir, was rechtlich unter den Begriff des Geschäftsgeheimnisses gefasst wird. Außerdem stellen wir dar, welche Gefährdungslage durch den Einsatz von KI für Geschäftsgeheimnisse entsteht und fügen einen Maßnahmenkatalog zur praxisnahen Risikominderung an.

Welche Informationen fallen unter den Begriff „Geschäftsgeheimnis“?

Geschäftsgeheimnisse gehören zu den wertvollsten Ressourcen eines Unternehmens. Sie bezie-hen sich nicht nur auf technische Kenntnisse zu Prototypen oder Fabrikationsverfahren, sondern umfassen auch strategische Pläne oder interne Geschäftsprozesse, wie Hintergrundinformationen für Marketingkampagnen, Datenpools (z. B. Kunden- und Lieferantenlisten, Maschinendaten) oder die kalkulatorischen Grundlagen für die Preisstrategien des Unternehmens. Geschäftsgeheimnisse verschaffen den Unternehmen regelmäßig auch einen strategischen Vorteil, sie sichern Innovati-onsvorsprung und sorgen für eine Wertsteigerung.

Das Geschäftsgeheimnisgesetz (GeschGehG) regelt, wann Informationen als Geschäftsgeheimnis-se gelten und wie diese rechtlich geschützt sind. Nach dem GeschGehG ist ein Geschäftsgeheimnis eine Information,

  • die nicht jedem bekannt oder ohne weiteres zugänglich ist (§2 Nr. 1a GeschGehG) &
  • einen wirtschaftlichen Wert für ein Unternehmen hat (§2 Nr. 1a GeschGehG) &
  • angemessenen Geheimhaltungsmaßnahmen unterliegt (§2 Abs. 1b GeschGehG) &
  • an der ein generelles Geheimhaltungsinteresse besteht (§2 Nr. 1c GeschGehG).

Merksatz: Nur was auch tatsächlich geheim ist, unterliegt dem Geschäftsgeheimnisschutz.

Welche Risiken bestehen durch KI für Geschäftsgeheimnisse?

Der Einsatz von KI – insbesondere, wenn auf cloudbasierte externe Dienste zurückgegriffen wird – birgt Risiken für die Geheimhaltung von Geschäftsgeheimnissen. Dabei lassen sich die Risiken nach der Art und Weise des Informationsabflusses unterscheiden:

  1. Direkte Eingabe von Geschäftsgeheimnissen durch Mitarbeitende in die Systeme

    Mitarbeitende können versehentlich oder wissentlich Informationen wie Quellcodes, interne Stra-tegiepapiere oder Kundenlisten in die KI-Systeme eingeben. Diese Daten können dauerhaft in dem System verbleiben und unterliegen meist keiner vollständigen Kontrolle der Nutzer, insbesondere wenn diese durch die Anbieter der KI-Anwendungen zur Verbesserung der Systeme weiterver-wendet werden. Aufgrund der permanenten ‚Aufbewahrung‘ dieser Daten in den Systemen kann die KI durch die Kombination von Fragmenten sensible Inhalte in einem späteren Output rekon-struieren. Dadurch können unternehmensinterne Daten an andere Nutzer der KI gelangen.

  2. Rückschlüsse durch Metadaten und Mustererkennung

    Selbst wenn eingegebene Daten scheinbar harmlos scheinen, können durch Mustererkennung (Pattern Recognition) oder Metadatenanalyse Rückschlüsse von der KI auf vertrauliche Inhalte ge-zogen werden. In solchen Fällen besteht das Risiko, dass die KI auf Grundlage vorheriger Eingaben eigenständige Inhalte generiert, welche unbeabsichtigt Geschäftsgeheimnisse reproduzieren kön-nen. Besonders kritisch kann dies werden, wenn KI-Systeme direkt mit unternehmensinternen Daten trainiert wurden. Es besteht die Gefahr des sog. ‚Data Leakage‘, also der unbeabsichtigten Wieder- und Weitergabe von Geschäftsgeheimnissen.

  3. Potenzielle Wirtschaftsspionage durch automatisierte Systeme

    Außerdem können KI-gestützte Systeme zur automatisierten Informationsbeschaffung gezielt zur Wirtschaftsspionage genutzt werden. Hacker oder Konkurrenten könnten mithilfe diverser Tech-nologien systematisch nach öffentlich zugänglichen oder generell brisanten Informationen suchen. Im Fall von ‚Data Leakage‘ können diese sich ein klareres Bild von sensiblen Unternehmensdaten verschaffen. Die gewonnenen Informationen können zur Erlangung eines wirtschaftlichen Vorteils, zur Störung von Wettbewerbsverhältnissen oder im schlimmsten Fall zu erpresserischen Zwecken genutzt werden.

Praktische Handlungsempfehlungen für KMU

Aufgrund der steigenden Risiken für Geschäftsgeheimnisse durch Datenverarbeitung mittels KI stellt sich die Frage, wie diese effizient geschützt werden können. Dies gilt insbesondere, wenn ein Unternehmen KI-Anwendungen einsetzen möchte, die mit unternehmensinternen Daten arbeiten müssen (z. B. ein KI-gestütztes Wissensmanagementsystem).

Wie dargestellt, sind nach dem Geschäftsgeheimnisgesetz lediglich geheim gehaltene Informatio-nen geschützt. Werden die Informationen herausgegeben, gelten sie nicht ohne weiteres als ge-heim. Vielmehr muss ein Unternehmen vertraglich, organisatorisch und/oder technisch sicherstel-len, dass die Informationen nicht als allgemein bekannt oder zugänglich gelten. Die Informationen müssen also Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch den Informa-tionsinhaber sein (§2 Nr. 1b 1b GeschGehG). Dabei ist wichtig, dass die ergriffenen Maßnahmen im Streitfall vom Informationsinhaber nachzuweisen sind, weshalb sie gut dokumentiert werden müssen.

Als vertragliche Maßnahmen eignen sich ‚Non-Disclosure-Agreements‘ oder Verschwiegenheits-vereinbarungen, welche die geheimhaltungsverpflichteten Mitarbeitenden unterzeichnen. Ebenso sind unternehmensübergreifende Leitlinien zur KI-Nutzung denkbar, aus denen sodann konkrete Arbeitsanweisungen abgeleitet werden. Organisatorisch können Geschäftsgeheimnisse durch Zu-griffsbeschränkungen oder Schutzkonzepte abgesichert werden. Schutzkonzepte sollten Ge-schäftsgeheimnisse klar als solche kennzeichnen, bspw. durch den Zusatz ‚geheim‘ oder ‚vertrau-lich‘. Außerdem sollten KMU gerade im Zusammenhang mit KI genau regeln, wer Zugriff auf unter-nehmensinterne Daten hat und in welchem Umfang diese in KI-Systeme eingegeben werden dür-fen. Als technische Geheimhaltungsmaßnahmen kommt eine Verschlüsselung von Daten sowie die Verwendung sicherer Passwörter und Firewalls in Betracht. Selbstredend sind die Mitarbeitenden über die Gefahren sowie ergriffenen Maßnahmen aufzuklären und zu schulen. Letzteres ist zu do-kumentieren, um im Streitfall einen Nachweis in den Händen zu halten.

Lediglich wenn im Vorhinein angemessene Geheimhaltungsmaßnahmen erfolgreich implementiert sind, können Unternehmen bei einem Verstoß rechtlich gegen die Offenlegung oder Nutzung der Information durch Unberechtigte vorgehen.

Schutzmaßnahmen – Kurzkatalog

  • Kennzeichnung: Geschäftsgeheimnisse sollten klar als solche zu erkennen sein (Zusatz ‚geheim‘, ‚vertraulich‘).
  • Systemauswahl: Der Einsatz von KI sollte geprüft und das System sorgfältig ausgewählt werden. Cloudbasierte Dienste sind zu vermeiden, insbesondere wenn mehrere Unternehmen Zugriff auf dasselbe System haben.
  • Vertragsgestaltung mit KI-Dienstleistern: Verschwiegenheitsklauseln sollten grundsätzlich abge-schlossen werden.
  • Zugriffsmanagement: Die Zahl der Mitarbeitenden, die mit Geschäftsgeheimnissen mittels KI arbeiten, sollte auf ein notwendiges Minimum beschränkt sein.
  • KI-Leitlinien: In KI-Leitlinien sollte festgelegt werden, welche Informationen in welche Systeme eingegeben werden dürfen.
  • Regelmäßige Schulungen und Sensibilisierung: Mitarbeitende, die unter 4. genannte Tätigkeiten ausführen sollten in festgelegten Intervallen speziell zur Nutzung von KI geschult werden.
  • Technische Sicherheitsmaßnahmen: Technische Maßnahmen wie die Verschlüsslung von Daten sollten im ausreichenden Maß implementiert sein.

Fazit

Der rechtliche Rahmen ist klar: Das Geschäftsgeheimnisgesetz verpflichtet Unternehmen dazu, unternehmensinterne Daten aktiv zu schützen. Unternehmen sollten den grundsätz-lichen Einsatz sowie den Umfang der Nutzung von KI sorgfältig prüfen. Dieses Erfordernis ergibt sich unter anderem aus den Risiken von KI-Anwendungen für Geschäftsgeheimnis-se. Diese Risiken können beispielsweise daraus resultieren, dass das System mit eingege-benen Daten lernt. Es besteht dann die Gefahr, dass Geschäftsgeheimnisse gegenüber ei-ner im Vorhinein nicht bestimmbaren Anzahl von Personen und Unternehmen offengelegt werden und sie ihren gesetzlichen Schutz verlieren. Zugriffsbeschränkungen, Vertraulich-keitsvereinbarungen und technische Sicherheitsmaßnahmen bilden daher wichtige Säulen, um den Geschäftsgeheimnisschutz zu wahren. Werden diese Maßnahmen ergriffen, wird der Einsatz von KI nicht zum Risiko, sondern zur echten Chance für KMU.

Verwandte Beiträge

© Shai Halud - Freepik.com
Wissensbox Recht

Datennutzung und KI – Hamburger Urteil zum Urheberrecht

Datenschutz, Gesetze & Regelungen, Risk & Compliance
Ohne Trainingsdaten kein KI-Modell. Doch welche Vorgaben gelten beim Erstellen von Trainingssätzen? Und wie schützt man eigene Inhalte? Damit beschäftigte sich das Landgericht Hamburg.
© Rawpixel.com - Freepik.com
Wissensbox Recht

Ende der EU-Online-Streit­beilegungs­plattform: Was KMU jetzt wissen müssen

Gesetze & Regelungen, Risk & Compliance
Die EU stellt ihre Online-Streitbeilegungsplattform ein. Was das für Ihre Website bedeutet – und welche Fristen Sie jetzt kennen sollten.
© Jcomp - Freepik.com
Video, Wissensbox Recht

Betriebsrat und Datenschutz

Datenschutz, Recht verstehen
Wie ist das Verhältnis zwischen Mitbestimmungsrechten des Betriebsrates und dem Datenschutzrecht? Wie ist der Betriebsrat beim Thema Datenschutz eingebunden? Wir geben einen Überblick.
© Vadimsadovski - Freepik.com
Wissensbox Recht

Angemessenheitsbeschluss für die USA: EU-Kommission legt Entwurf vor

Datenschutz, Recht verstehen
Neuer EU-Angemessenheitsbeschluss soll Datenübertragung in die USA wieder ohne zusätzliche Schutzmaßnahmen ermöglichen. Wir erläutern, welche Gesetzesänderungen in den USA dies ermöglichen und wie das weitere Verfahren aussieht.
© Rawpixel.com - Freepik.com
Trendradar, Wissensbox Recht

Beschäftigtendatenschutz – so begründen Sie die Datenverarbeitung

Datenschutz, Gesetze & Regelungen, Recht verstehen
Bundesdatenschutzgesetzt oder doch DSGVO? Auf welcher Vorschrift können Sie die Verarbeitung personenbezogener Daten Ihrer Beschäftigten stützen? Der EuGH hat geurteilt.
Herstellergarantie© gesrey - Freepik.com
Trendradar, Wissensbox Recht

Pflicht der Internethändler zur Information über Herstellergarantie

Recht verstehen, Risk & Compliance
Müssen Händler, die Waren anderer online verkaufen, im Detail über die Herstellergarantie informieren? Nicht unbedingt – wir erläutern wir in diesem Beitrag, wann das der Fall ist.