← Alle Insights

Geschäftsgeheimnisse und KI den Wissensabfluss verhindern.

Wenn ein Mitarbeiter einen vertraulichen Vertragsentwurf, eine Kalkulation oder den Quellcode eines Kernprodukts in ein öffentliches KI-Tool kopiert, um sich eine Zusammenfassung oder eine Verbesserung erstellen zu lassen, fühlt sich das produktiv an. Rechtlich kann es teuer werden. Das Geschäftsgeheimnisgesetz schützt vertrauliche Informationen nur dann, wenn das Unternehmen angemessene Geheimhaltungsmaßnahmen ergriffen hat. Wer Firmenwissen unkontrolliert in fremde Systeme gibt, riskiert genau diesen Schutzstatus zu verlieren, mit der Folge, dass im Streitfall kein wirksamer rechtlicher Anspruch mehr besteht. Dieser Beitrag erklärt, warum der Schutz von Geschäftsgeheimnissen aktiv erarbeitet werden muss, welche Risiken bei der KI-Nutzung konkret entstehen und mit welchen organisatorischen und technischen Maßnahmen Unternehmen die produktiven Vorteile von KI nutzen können, ohne den Geheimnisschutz aufs Spiel zu setzen. Es geht nicht darum, KI zu verbieten, sondern sie so einzubetten, dass Wissensabfluss und Rechtsverlust gar nicht erst entstehen.

Warum Geheimnisschutz aktiv verdient werden muss.

Anders als beim Patent oder beim Urheberrecht entsteht der Schutz eines Geschäftsgeheimnisses nicht automatisch. Das Geschäftsgeheimnisgesetz knüpft den Schutz an drei Bedingungen: Die Information muss geheim sein, einen wirtschaftlichen Wert gerade wegen ihrer Geheimhaltung haben und durch angemessene Geheimhaltungsmaßnahmen geschützt werden.

Der dritte Punkt ist der entscheidende und der, an dem viele Unternehmen scheitern. Wer keine erkennbaren Maßnahmen zum Schutz nachweisen kann, verliert den rechtlichen Status, selbst wenn die Information objektiv wertvoll und vertraulich ist. Im Streitfall vor Gericht ist die erste Frage des Gegners regelmäßig: Welche Schutzmaßnahmen hatten Sie denn?

Genau hier wird die KI-Nutzung relevant. Wenn vertrauliche Informationen routinemäßig in externe Tools fließen, deren Betreiber sie speichern oder weiterverwenden könnten, lässt sich nur schwer behaupten, man habe angemessene Maßnahmen getroffen. Der Schutz erodiert nicht durch einen einzelnen dramatischen Vorfall, sondern durch die alltägliche, ungeregelte Praxis.

Wo der Wissensabfluss konkret passiert.

Der Abfluss vertraulicher Informationen über KI-Tools geschieht selten böswillig. Er entsteht aus Bequemlichkeit und Unwissenheit. Typische Einfallstore sind erstaunlich banal:

Das Problem ist die Kombination aus Häufigkeit und Unsichtbarkeit. Jeder einzelne Vorgang erscheint harmlos, in der Summe entsteht ein systematischer Abfluss. Und anders als bei einem klassischen Datenleck merkt niemand, dass etwas das Haus verlassen hat.

Der Unterschied zwischen privaten und Enterprise-Diensten.

Nicht jede KI-Nutzung ist gleich riskant. Entscheidend ist, was mit den eingegebenen Daten geschieht. Hier unterscheiden sich die Angebote erheblich, und dieser Unterschied ist die wichtigste Stellschraube für den Geheimnisschutz.

Bei vielen kostenlosen oder privaten Verbraucherdiensten ist nicht garantiert oder sogar ausdrücklich vorgesehen, dass Eingaben zur Verbesserung der Modelle weiterverwendet werden. In diesem Fall verlassen vertrauliche Informationen die Kontrolle des Unternehmens vollständig. Geschäftliche oder Enterprise-Tarife bieten dagegen häufig vertragliche Zusicherungen: keine Nutzung der Eingaben für das Training, Verarbeitung in bestimmten Regionen, Löschfristen, abgesicherte Mandantentrennung.

Für Unternehmen heißt das praktisch: Die kostenlose, private Nutzung sensibler Inhalte ist der riskanteste Fall und sollte ausgeschlossen sein. Geschäftliche Verträge mit klaren Zusicherungen, idealerweise mit Datenverarbeitung in der EU und vertraglich ausgeschlossener Trainingsnutzung, sind die Basis dafür, KI überhaupt mit vertraulichen Daten einsetzen zu dürfen.

Angemessene Schutzmaßnahmen, die der Status verlangt.

Was genau angemessen ist, hängt vom Wert der Information und der Größe des Unternehmens ab, das Gesetz fordert keine absolute, sondern eine verhältnismäßige Sicherung. Für die KI-Nutzung haben sich einige Bausteine als praktikabel und gerichtsfest erwiesen:

Diese Maßnahmen wirken doppelt: Sie reduzieren den tatsächlichen Abfluss, und sie sind zugleich der Nachweis angemessener Geheimhaltung, den das Gesetz fordert. Beides zusammen bewahrt den Schutzstatus.

Die Richtlinie, die im Alltag tatsächlich gelebt wird.

Eine Richtlinie, die niemand kennt oder versteht, schützt weder vor Abfluss noch vor Rechtsverlust. Der häufigste Fehler ist ein seitenlanges Dokument im Intranet, das einmal verschickt und nie gelesen wird. Wirksam wird eine Regel erst, wenn sie konkret, kurz und im Arbeitsfluss präsent ist.

Bewährt hat sich eine einfache Ampellogik: Welche Datenkategorien dürfen in welche Tools? Grün für unkritische, interne Inhalte in freigegebenen Diensten, gelb für Fälle mit Rückfrage, rot für streng vertrauliche Informationen, die niemals in externe Tools gehören. Diese Logik lässt sich auf einer Seite darstellen und merken.

Wichtig ist außerdem ein realistischer Umgang mit der Schatten-IT. Wenn Mitarbeiter produktive Tools nutzen wollen und keine erlaubte Alternative finden, weichen sie auf private Dienste aus, genau das, was vermieden werden soll. Eine gute Richtlinie verbietet nicht nur, sondern bietet einen klar freigegebenen, geschäftlich abgesicherten Weg an, der genauso bequem ist.

Verträge, Mitarbeiter und der Ausscheidensfall.

Der Geheimnisschutz hat eine vertragliche Dimension, die über die KI-Tools hinausgeht. Vertraulichkeitsvereinbarungen mit Mitarbeitern und Dienstleistern sollten ausdrücklich die Nutzung von KI-Tools mit vertraulichen Daten regeln, sonst klafft eine Lücke zwischen der allgemeinen Verschwiegenheitspflicht und der konkreten neuen Praxis.

Ein besonders heikler Moment ist das Ausscheiden von Mitarbeitern. Wer während seiner Tätigkeit Firmenwissen in private KI-Accounts eingegeben hat, hinterlässt eine Spur, die das Unternehmen nicht kontrolliert. Klare Regeln, dass dienstliche Inhalte ausschließlich in geschäftlichen, vom Unternehmen verwalteten Accounts verarbeitet werden, sind deshalb auch ein Baustein für den geordneten Austritt.

Gleiches gilt für die Zusammenarbeit mit externen Partnern, Agenturen oder Freelancern. Wenn diese KI-Tools nutzen, um an Aufträgen zu arbeiten, fließt das anvertraute Wissen unter Umständen in deren Systeme. Vertragliche Vorgaben, welche Tools mit welchen Daten genutzt werden dürfen, schließen diese Lücke.

Grenzen und ehrliche Abwägung.

Vollständige Kontrolle ist eine Illusion. Selbst mit guten Maßnahmen lässt sich nicht jede unbedachte Eingabe verhindern, und übertriebene Restriktionen führen zur Schatten-IT, die das eigentliche Risiko erhöht. Die ehrliche Abwägung lautet deshalb nicht Sicherheit gegen Produktivität, sondern eine vertretbare Balance, die beides ermöglicht.

Auch der rechtliche Schutz hat Grenzen. Selbst bei vorbildlichen Maßnahmen lässt sich ein abgeflossenes Geheimnis praktisch kaum zurückholen, der Schutz hilft im Nachhinein, verhindert aber den Schaden nicht. Prävention bleibt deshalb wichtiger als die Aussicht auf einen späteren Anspruch.

Realistisch ist ein Reifegrad-Ansatz: Erst die kritischsten Informationen und die riskantesten Tools absichern, dann schrittweise nachschärfen. Ein Mittelständler muss nicht am ersten Tag eine konzernreife Klassifizierung haben. Er sollte aber wissen, welche seiner Informationen wirklich schützenswert sind, und für genau diese eine klare, gelebte Regel haben. Eine anwaltliche Begleitung bei der Ausgestaltung der Schutzmaßnahmen ist gerade bei wertvollen Geheimnissen empfehlenswert.

Sie wollen KI produktiv einsetzen, ohne den rechtlichen Schutz Ihrer Geschäftsgeheimnisse zu verlieren? Unverbindlich anfragen — wir prüfen Ihre aktuelle Nutzung, identifizieren die kritischen Datenflüsse und entwickeln eine pragmatische Richtlinie samt technischer Absicherung, die im Alltag wirklich gelebt wird.