In a Nutshell | 07.07.26
KI-Tools als Bedrohung für Geschäftsgeheimnisse: Was müssen Unternehmen beachten?
Unternehmen setzen KI-Tools wie ChatGPT, Claude, Gemini oder DeepL inzwischen routinemäßig ein – zur Textgenerierung, Übersetzung oder Datenanalyse. Was dabei häufig übersehen wird: Mit jedem Prompt, der vertrauliche Informationen enthält, verlässt möglicherweise ein Geschäftsgeheimnis die Sphäre des Unternehmens.
Gegen die damit verbundenen rechtlichen Risiken müssen Unternehmen Vorsorge treffen. Denn während KI-Tools mittlerweile fest in den Arbeitsalltag integriert sind, hinkt das Bewusstsein für die damit verbundenen Geheimhaltungsrisiken oftmals noch hinterher.
Das Wichtigste in Kürze:
- Wer vertrauliche Unternehmensinformationen in externe KI-Anwendungen eingibt, riskiert den Verlust des Geschäftsgeheimnisschutzes nach dem Geschäftsgeheimnisgesetz (GeschGehG) – mit zivilrechtlichen und arbeitsrechtlichen Folgen.
- Unternehmen, die keine klaren KI-Nutzungsrichtlinien etablieren, gefährden die Schutzfähigkeit ihrer Geschäftsgeheimnisse insgesamt.
- Spiegelbildlich drohen Haftungsrisiken, wenn beim Einsatz von KI fremde Geschäftsgeheimnisse – etwa von Kunden oder Kooperationspartnern – verarbeitet werden. Compliance-Konzepte müssen daher beide Perspektiven abdecken.
Wie Geheimnisse durch die KI-Nutzung abhandenkommen können
Anschaulich geworden ist das Risiko durch einen Vorfall beim Technologiekonzern Samsung im Mai 2023: Ingenieure hatten vertrauliche Quellcodes und interne Besprechungsnotizen über Produktstrategien in ChatGPT eingegeben. Da OpenAI, der Betreiber von ChatGPT, sich in seinen Nutzungsbedingungen das Recht vorbehalten hatte, Nutzereingaben für das KI-Training zu verwenden, lagen diese Informationen anschließend bei OpenAI und konnten so für Trainingszwecke genutzt werden. Samsung reagierte mit einem unternehmensweiten Verbot der Nutzung von KI-Tools.
Ähnliche Risiken bestehen bei KI-gestützten Übersetzungsdiensten wie DeepL oder Google Translate: Auch hier werden eingegebene Texte auf externe Server übermittelt und können für Trainingszwecke genutzt werden.
Geschäftsgeheimnisrechtliche Bewertung: Bleibt der Schutz erhalten?
Informationen werden nach dem GeschGehG als Geschäftsgeheimnisse geschützt, wenn sie nicht allgemein bekannt – also geheim – sind, aufgrund dieser Geheimheit einen wirtschaftlichen Wert haben und der Geheimnisinhaber angemessene Geheimhaltungsmaßnahmen getroffen hat. Sobald eine dieser Voraussetzungen entfällt, geht der Schutz verloren.
Ob der Schutz eines Geschäftsgeheimnisses durch die Übermittlung an ein KI-Tool erlischt, hängt zunächst davon ab, ob die Information dadurch allgemein bekannt oder ohne Weiteres zugänglich wird. Das ist beim Eingang in eine KI-Trainingsdatenbank in der Regel nicht der Fall: Eine gezielte Rekonstruktion des Inputs durch andere Nutzer ist angesichts der Funktionsweise moderner KI-Systeme kaum vorhersehbar und damit unwahrscheinlich.
Heikler ist die sich anschließende Frage, ob der Inhaber in solchen Fällen weiterhin einen hinreichenden Geheimnisschutz durch angemessene Geheimhaltungsmaßnahmen gewährleisten kann. Entscheidend ist eine Gesamtbetrachtung aller ergriffenen sowie unterlassenen Schutzmaßnahmen. Verheerend wirkt sich dabei ein systematisches Desinteresse aus: Wer die KI-Nutzung seiner Mitarbeiter bewusst und ohne jede Instruktion zulässt, keine Richtlinien aufstellt und bekannte Verstöße duldet, riskiert den Verlust des gesetzlichen Schutzes. Umgekehrt kann sich ein Unternehmen entlasten, wenn ein Mitarbeiter sich nur in einem Einzelfall weisungswidrig verhält oder dafür sogar technische Schutzmaßnahmen überwindet.
Als potenzielle Rechtsverletzer kommen vor allem die Mitarbeiter selbst in Betracht, die Geheimnisse unbefugt offenlegen – unabhängig davon, ob ihnen bewusst ist, dass es sich um ein Geschäftsgeheimnis handelt. Neben geschäftsgeheimnisrechtlichen Ansprüchen drohen arbeitsrechtliche Konsequenzen bis hin zur fristlosen Kündigung.
Der KI-Anbieter selbst haftet dagegen in aller Regel nicht. An einer eigenen Zugriffshandlung fehlt es, da die Informationen nicht durch den Anbieter selbst, sondern über den zwischengeschalteten KI-Nutzer erlangt werden, was für eine Haftung nicht ausreicht. Der Anbieter hat keinen maßgeblichen Einfluss darauf, welche Inhalte Nutzer eingeben und ob dies erlaubterweise geschieht.
Spiegelbildliches Risiko: Verletzung fremder Geschäftsgeheimnisse durch KI-Einsatz
Umgekehrt können Unternehmen selbst zum Rechtsverletzer werden, wenn sie oder ihre Mitarbeiter beim Einsatz von KI-Tools Geheimnisse Dritter verarbeiten – etwa Informationen von Kunden oder Kooperationspartnern. Bestehen insoweit vertragliche Geheimhaltungspflichten, ist deren Übermittlung an externe KI-Systeme grundsätzlich verboten.
Gelangt ein fremdes Geschäftsgeheimnis unerlaubt in die Trainingsdatenbank einer KI, ist nicht auszuschließen, dass es bei einem passenden Prompt eines anderen Nutzers als Output wieder zum Vorschein kommt. Eine Haftung des Unternehmens droht vor allem dann, wenn die betreffenden Informationen im Rahmen einer Vertragsbeziehung übermittelt wurden und vertragliche Geheimhaltungspflichten die Weitergabe an Dritte, einschließlich KI-Tools, untersagen. Vor diesem Hintergrund sollten Unternehmen im Umgang mit fremden Geheimnissen stets dieselbe Sorgfalt walten lassen wie beim Schutz ihrer eigenen vertraulichen Informationen.
Folgerungen und Empfehlungen für die Praxis
Unternehmen sollten KI-bezogene Risiken für ihre Geschäftsgeheimnisse systematisch adressieren. Zu einem wirksamen Schutzkonzept gehören insbesondere:
- Klare interne Richtlinien zum Umgang mit KI-Tools, einschließlich Verboten oder Einschränkungen für Anwendungen, bei denen besondere Risiken bestehen
- Regelmäßige Schulungen und dokumentierte Risikohinweise für Mitarbeiter
- Technische Maßnahmen, etwa datenschonende Einstellungen (z. B. dass eingegebene Daten nicht für das KI-Training genutzt werden) oder der Erwerb von Unternehmenslizenzen mit strikteren Geheimhaltungsvorgaben als bei den kostenfreien Versionen
- Soweit möglich, vertragliche Vorgaben zur Wahrung der Vertraulichkeit gegenüber KI-Anbietern, Lieferanten und neuen Mitarbeitern
- Ein Compliance-Konzept, das auch den Umgang mit Geschäftsgeheimnissen Dritter erfasst
Diese Mandanteninformation beinhaltet lediglich eine unverbindliche Übersicht über das in ihr adressierte Themengebiet. Sie ersetzt keine rechtliche Beratung. Als Ansprechpartner zu dieser Mandanteninformation und zu Ihrer Beratung steht gerne zur Verfügung:
FAQ
- Verliert ein Unternehmen seinen Geheimnisschutz, wenn ein Mitarbeiter ein Geschäftsgeheimnis an eine KI-Anwendung übermittelt?
- Wie können Unternehmen KI zur Optimierung ihrer Prozesse nutzen, ohne ihre Geschäftsgeheimnisse zu gefährden?
- Was ist mit „datenschonenden Einstellungen“ gemeint?
- Wer haftet, wenn ein Mitarbeiter versehentlich Geheimnisse in ein KI-Tool eingibt?
- Haftet der KI-Anbieter (z.B. OpenAI) für die Nutzung eingegebener Geheimnisse?