© Anikó Lessi - generiert mit KI
Wissensbox Recht

Geschäfts­geheimnis­schutz im KI-ZeitalterGeschäfts­geheimnis­schutz im KI-Zeitalter

Künstliche Intelligenz stärkt Innovation und Effizienz – vor allem, wenn vertrauliche Daten gut geschützt sind. Erfahren Sie, was als Geschäftsgeheimnis gilt und wie Sie mit klaren Maßnahmen Sicherheit und Wettbewerbsvorteile verbinden.

In einer zunehmend digitalisierten Welt, in der Technologien wie Künstliche Intelligenz (KI) eine zentrale Rolle spielen, wird der Schutz von Geschäftsgeheimnissen immer komplexer und anspruchsvoller. In unserem Beitrag klären wir, was rechtlich unter den Begriff des Geschäftsgeheimnisses gefasst wird. Außerdem stellen wir dar, welche Gefährdungslage durch den Einsatz von KI für Geschäftsgeheimnisse entsteht und fügen einen Maßnahmenkatalog zur praxisnahen Risikominderung an.

Welche Informationen fallen unter den Begriff „Geschäftsgeheimnis“?

Geschäftsgeheimnisse gehören zu den wertvollsten Ressourcen eines Unternehmens. Sie beziehen sich nicht nur auf technische Kenntnisse zu Prototypen oder Fabrikationsverfahren, sondern umfassen auch strategische Pläne oder interne Geschäftsprozesse, wie Hintergrundinformationen für Marketingkampagnen, Datenpools (z. B. Kunden- und Lieferantenlisten, Maschinendaten) oder die kalkulatorischen Grundlagen für die Preisstrategien des Unternehmens. Geschäftsgeheimnisse verschaffen den Unternehmen regelmäßig auch einen strategischen Vorteil, sie sichern Innovationsvorsprung und sorgen für eine Wertsteigerung.

Das Geschäftsgeheimnisgesetz (GeschGehG) regelt, wann Informationen als Geschäftsgeheimnisse gelten und wie diese rechtlich geschützt sind. Nach dem GeschGehG ist ein Geschäftsgeheimnis eine Information,

  • die nicht jedem bekannt oder ohne weiteres zugänglich ist (§2 Nr. 1a GeschGehG) &
  • einen wirtschaftlichen Wert für ein Unternehmen hat (§2 Nr. 1a GeschGehG) &
  • angemessenen Geheimhaltungsmaßnahmen unterliegt (§2 Abs. 1b GeschGehG) &
  • an der ein generelles Geheimhaltungsinteresse besteht (§2 Nr. 1c GeschGehG).

Merksatz: Nur was auch tatsächlich geheim ist, unterliegt dem Geschäftsgeheimnisschutz.

Welche Risiken bestehen durch KI für Geschäftsgeheimnisse?

Der Einsatz von KI – insbesondere, wenn auf cloudbasierte externe Dienste zurückgegriffen wird – birgt Risiken für die Geheimhaltung von Geschäftsgeheimnissen. Dabei lassen sich die Risiken nach der Art und Weise des Informationsabflusses unterscheiden:

  1. Direkte Eingabe von Geschäftsgeheimnissen durch Mitarbeitende in die Systeme

    Mitarbeitende können versehentlich oder wissentlich Informationen wie Quellcodes, interne Strategiepapiere oder Kundenlisten in die KI-Systeme eingeben. Diese Daten können dauerhaft in dem System verbleiben und unterliegen meist keiner vollständigen Kontrolle der Nutzer, insbesondere wenn diese durch die Anbieter der KI-Anwendungen zur Verbesserung der Systeme weiterverwendet werden. Aufgrund der permanenten ‚Aufbewahrung‘ dieser Daten in den Systemen kann die KI durch die Kombination von Fragmenten sensible Inhalte in einem späteren Output rekonstruieren. Dadurch können unternehmensinterne Daten an andere Nutzer der KI gelangen.

  2. Rückschlüsse durch Metadaten und Mustererkennung

    Selbst wenn eingegebene Daten scheinbar harmlos scheinen, können durch Mustererkennung (Pattern Recognition) oder Metadatenanalyse Rückschlüsse von der KI auf vertrauliche Inhalte gezogen werden. In solchen Fällen besteht das Risiko, dass die KI auf Grundlage vorheriger Eingaben eigenständige Inhalte generiert, welche unbeabsichtigt Geschäftsgeheimnisse reproduzieren können. Besonders kritisch kann dies werden, wenn KI-Systeme direkt mit unternehmensinternen Daten trainiert wurden. Es besteht die Gefahr des sog. ‚Data Leakage‘, also der unbeabsichtigten Wieder- und Weitergabe von Geschäftsgeheimnissen.

  3. Potenzielle Wirtschaftsspionage durch automatisierte Systeme

    Außerdem können KI-gestützte Systeme zur automatisierten Informationsbeschaffung gezielt zur Wirtschaftsspionage genutzt werden. Hacker oder Konkurrenten könnten mithilfe diverser Technologien systematisch nach öffentlich zugänglichen oder generell brisanten Informationen suchen. Im Fall von ‚Data Leakage‘ können diese sich ein klareres Bild von sensiblen Unternehmensdaten verschaffen. Die gewonnenen Informationen können zur Erlangung eines wirtschaftlichen Vorteils, zur Störung von Wettbewerbsverhältnissen oder im schlimmsten Fall zu erpresserischen Zwecken genutzt werden.

Praktische Handlungsempfehlungen für KMU

Aufgrund der steigenden Risiken für Geschäftsgeheimnisse durch Datenverarbeitung mittels KI stellt sich die Frage, wie diese effizient geschützt werden können. Dies gilt insbesondere, wenn ein Unternehmen KI-Anwendungen einsetzen möchte, die mit unternehmensinternen Daten arbeiten müssen (z. B. ein KI-gestütztes Wissensmanagementsystem).

Wie dargestellt, sind nach dem Geschäftsgeheimnisgesetz lediglich geheim gehaltene Informationen geschützt. Werden die Informationen herausgegeben, gelten sie nicht ohne weiteres als geheim. Vielmehr muss ein Unternehmen vertraglich, organisatorisch und/oder technisch sicherstellen, dass die Informationen nicht als allgemein bekannt oder zugänglich gelten. Die Informationen müssen also Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch den Informationsinhaber sein (§2 Nr. 1b 1b GeschGehG). Dabei ist wichtig, dass die ergriffenen Maßnahmen im Streitfall vom Informationsinhaber nachzuweisen sind, weshalb sie gut dokumentiert werden müssen.

Als vertragliche Maßnahmen eignen sich ‚Non-Disclosure-Agreements‘ oder Verschwiegenheitsvereinbarungen, welche die geheimhaltungsverpflichteten Mitarbeitenden unterzeichnen. Ebenso sind unternehmensübergreifende Leitlinien zur KI-Nutzung denkbar, aus denen sodann konkrete Arbeitsanweisungen abgeleitet werden. Organisatorisch können Geschäftsgeheimnisse durch Zugriffsbeschränkungen oder Schutzkonzepte abgesichert werden. Schutzkonzepte sollten Geschäftsgeheimnisse klar als solche kennzeichnen, bspw. durch den Zusatz ‚geheim‘ oder ‚vertraulich‘. Außerdem sollten KMU gerade im Zusammenhang mit KI genau regeln, wer Zugriff auf unternehmensinterne Daten hat und in welchem Umfang diese in KI-Systeme eingegeben werden dürfen. Als technische Geheimhaltungsmaßnahmen kommt eine Verschlüsselung von Daten sowie die Verwendung sicherer Passwörter und Firewalls in Betracht. Selbstredend sind die Mitarbeitenden über die Gefahren sowie ergriffenen Maßnahmen aufzuklären und zu schulen. Letzteres ist zu dokumentieren, um im Streitfall einen Nachweis in den Händen zu halten.

Lediglich wenn im Vorhinein angemessene Geheimhaltungsmaßnahmen erfolgreich implementiert sind, können Unternehmen bei einem Verstoß rechtlich gegen die Offenlegung oder Nutzung der Information durch Unberechtigte vorgehen.

Schutzmaßnahmen – Kurzkatalog

  • Kennzeichnung: Geschäftsgeheimnisse sollten klar als solche zu erkennen sein (Zusatz ‚geheim‘, ‚vertraulich‘).
  • Systemauswahl: Der Einsatz von KI sollte geprüft und das System sorgfältig ausgewählt werden. Cloudbasierte Dienste sind zu vermeiden, insbesondere wenn mehrere Unternehmen Zugriff auf dasselbe System haben.
  • Vertragsgestaltung mit KI-Dienstleistern: Verschwiegenheitsklauseln sollten grundsätzlich abgeschlossen werden.
  • Zugriffsmanagement: Die Zahl der Mitarbeitenden, die mit Geschäftsgeheimnissen mittels KI arbeiten, sollte auf ein notwendiges Minimum beschränkt sein.
  • KI-Leitlinien: In KI-Leitlinien sollte festgelegt werden, welche Informationen in welche Systeme eingegeben werden dürfen.
  • Regelmäßige Schulungen und Sensibilisierung: Mitarbeitende, die unter 4. genannte Tätigkeiten ausführen sollten in festgelegten Intervallen speziell zur Nutzung von KI geschult werden.
  • Technische Sicherheitsmaßnahmen: Technische Maßnahmen wie die Verschlüsslung von Daten sollten im ausreichenden Maß implementiert sein.

Fazit

Der rechtliche Rahmen ist klar: Das Geschäftsgeheimnisgesetz verpflichtet Unternehmen dazu, unternehmensinterne Daten aktiv zu schützen. Unternehmen sollten den grundsätzlichen Einsatz sowie den Umfang der Nutzung von KI sorgfältig prüfen. Dieses Erfordernis ergibt sich unter anderem aus den Risiken von KI-Anwendungen für Geschäftsgeheimnisse. Diese Risiken können beispielsweise daraus resultieren, dass das System mit eingegebenen Daten lernt. Es besteht dann die Gefahr, dass Geschäftsgeheimnisse gegenüber einer im Vorhinein nicht bestimmbaren Anzahl von Personen und Unternehmen offengelegt werden und sie ihren gesetzlichen Schutz verlieren. Zugriffsbeschränkungen, Vertraulichkeitsvereinbarungen und technische Sicherheitsmaßnahmen bilden daher wichtige Säulen, um den Geschäftsgeheimnisschutz zu wahren. Werden diese Maßnahmen ergriffen, wird der Einsatz von KI nicht zum Risiko, sondern zur echten Chance für KMU.

Verwandte Beiträge

Die EU hat den AI-Act zur Regulierung von KI beschlossen.© golvr - Freepik.com
Trendradar, Wissensbox Recht

Beschlossene Sache: Die Schlüsselaspekte des Artificial Intelligence Act

Gesetze & Regelungen, Recht verstehen
Der Artificial Intelligence Act ist beschlossen. Wir schauen uns den Gesetzestext und die wichtigsten Eckpunkte für mittelständische Unternehmen an.
Pur-Modell für Webseiten© pvproductions - Freepik.com
Wissensbox Recht

Pur-Abo-Modelle für Webseiten

Gesetze & Regelungen, Recht verstehen
Hinter dem Pur-Modell, auch Cookie-Paywall genannt, steht ein kostenpflichtiges Abonnement für Website-Inhalte, die oftmals redaktioneller Natur sind. Wir werfen einen Blick auf die Zulässigkeit nach DSGVO.
© Rawpixel.com - Freepik.com
Wissensbox Recht

Datenschutzkonforme Auswahl und Implementierung von KI

Datenschutz, Gesetze & Regelungen
Die Auswahl an KI-Anwendungen ist groß. Um sie rechtskonform im Unternehmen zu nutzen, gibt es einige Herausforderungen und Pflichten. Wir erklären, worauf es bei Auswahl und Einführung ankommt und geben Ihnen knappe Checklisten an die Hand.
© Freepik - Freepik.com
Wissensbox Recht

Normung für Künstliche Intelligenz: Chancen für KMU durch den AIA

Gesetze & Regelungen, Künstliche Intelligenz, Recht verstehen, Risk & Compliance
Technische Standards präzisieren die Anforderungen des Artificial Intelligence Act (AIA). Doch wie funktionieren AIA und Standards zusammen? Und warum ist es gerade für KMU entscheidend, sich an diesem Prozess zu beteiligen?
Kryptowährungen als Zahlungsmittel© master1305 - Freepik.com
Wissensbox Recht

Kryptowährungen als Zahlungsmittel

Gesetze & Regelungen, Recht verstehen
Kryptowährungen etablierten sich in den letzten Jahren neben dem klassischen Geld zunehmend als Zahlungsmittel. Wir schauen näher auf die rechtlichen Aspekte.
© Asier_Relampagoestudio - Freepik.com
Trendradar, Wissensbox Recht

Abmahnungen vermeiden – wie Sie Google Fonts korrekt einbinden

Datenschutz, Recht verstehen
Die Nutzung von Google Fonts ist weitverbreitet. Die Art der Einbindung kann jedoch entscheiden, ob eine Abmahnung wegen Verstoßes gegen den Datenschutz droht.