Grenzen des Geschäftsgeheimnisschutzes beim Prompten
Was sagt die KI?
Vorneweg: Nein, es ist keine gute Idee eigene oder fremde Geschäftsgeheimnisse durch Eingaben (Prompts) durch die KI verarbeiten zu lassen. Das sagt auch ChatGPT selbst. Wenn man dort diese oder eine ähnliche Frage stellt, schlägt ChatGPT vor, dass man die Geschäftsgeheimnisse und andere kritische Daten vor dem Prompten am besten anonymisieren und abstrahieren solle, da keine absolute Sicherheit für die Daten bestehe. Auf die Nachfrage, ob die KI meine kritischen Daten nicht einfach selbst anonymisieren könne, antwortet die KI brav:
„Ja, ich kann dir helfen, deine Daten zu anonymisieren. Wir können sensible Informationen durch Platzhalter, Kategorien oder abstrahierte Versionen ersetzen, sodass die Kerndaten für Analysen, Fragen oder Szenarien erhalten bleiben, aber keine vertraulichen Details preisgegeben werden.Damit es funktioniert, müsstest du mir die Daten oder den Text in einer ersten Version geben. Ich zeige dir dann, wie man sie sicher anonymisiert.“
Wie schön, vielen Dank!
Das Problem mit dem Geschäftsgeheimnis
Vor Inkrafttreten des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) 2019 wurden Geschäftsgeheimnisse durch das Gesetz gegen den unlauteren Wettbewerb (UWG) geschützt. Der Schutz von Geschäftsgeheimnissen erfolgt heute in Deutschland vorrangig durch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG). Doch nicht jede Information, an der ein Geheimhaltungsinteresse besteht, stellt im rechtlichen Sinne ein Geschäftsgeheimnis dar und gibt dem Inhaber die Möglichkeit gegen Verletzer vorzugehen.
Eine Information ist rechtlich nur dann als Geschäftsgeheimnis geschützt, wenn die Information
- nicht allgemein bekannt oder ohne weiteres zugänglich und daher von wirtschaftlichem Wert ist und
- durch angemessene Geheimhaltungsmaßnahmen geschützt ist und
- ein berechtigtes Interesse an der Geheimhaltung besteht.
Werden Geschäftsgeheimnisse mittels eines Prompts in ein KI-System eingegeben, werden die eingegebenen Daten an den Anbieter des KI-Systems übermittelt und durch diesen gegebenenfalls sogar weiterverarbeitet. Dann wären die im Prompt enthaltenen Informationen zwar immer noch geheimhaltungsbedürftig, aber möglicherweise keine Geschäftsgeheimnisse mehr. Der Schutz des Geschäftsgeheimnisschutzgesetzes würde dann ins Leere laufen…
Vorgaben zur Nutzung von KI
Die Eingabe von Geschäftsgeheimnissen auf technischer Ebene wird sich wohl nur in wenigen Fällen realisieren lassen. Daher sollten Unternehmen zwangsläufig organisatorische Maßnahmen zum Umgang mit KI und Geschäftsgeheimnissen treffen, um im Zweifel darlegen zu können, dass auch diesbezüglich angemessene Geheimhaltungsmaßnahmen getroffen wurden. Dabei sollten explizite Vorgaben geschaffen werden, ob und falls ja in welchem Umfang KI-Systeme mit eigenen Geschäftsgeheimnissen, aber auch mit denen von Dritten „gefüttert“ werden dürfen.
Das unbedachte Prompten mit Geschäftsgeheimnissen Dritter kann eine Verletzung der getroffenen Vertraulichkeitsvereinbarung darstellen und zu Vertragsstrafen oder Schadensersatzansprüchen führen.
KI-Richtlinie
In der Praxis wird daher jedem Unternehmen zu empfehlen sein, mittels einer KI-Richtlinie (auch) Vorgaben zur Verarbeitung eigener und fremder Geschäftsgeheimnisse zu machen. Wir helfen Ihnen dabei gerne und freuen uns auf Ihre Anfrage!
Autor: Fabian Dechent, Rechtsanwalt
