AI Regulatory Intelligence — by YRproject

sachliche Einordnung · nachvollziehbar bis zur Primärquelle

Compliance-Plattform Zusammenarbeiten LinkedIn NL·EN·DE
Erläuterung

KI, Geschäftsgeheimnisse und Vertraulichkeit

Verabschiedet 2026-06-22 · ≈ 2 Min. Lesezeit · Dirk Baaijen

Vertrauliche Daten in ein externes KI-Modell einzugeben, kann den Status des Geschäftsgeheimnisses beeinträchtigen und Geheimhaltungs- oder DSGVO-Pflichten verletzen. Der Schutz hängt von Geheimhaltungsmaßnahmen ab; unkontrolliertes Teilen untergräbt ihn. Steuern Sie es per Richtlinie und Vertrag.

Kurze Antwort: Die Eingabe vertraulicher Unternehmensinformationen in ein externes (Cloud-)KI-Modell ist rechtlich risikoreich. Ein Geschäftsgeheimnis ist nur geschützt, solange es geheim ist und Sie angemessene Maßnahmen ergreifen, um dies zu wahren. Unkontrolliertes Teilen mit einem externen Anbieter — der die Eingabe möglicherweise wiederverwendet oder speichert — kann diesen Schutz beeinträchtigen und Geheimhaltungs- oder DSGVO-Pflichten verletzen.

Warum die Eingabe ein Geschäftsgeheimnis beeinträchtigen kann

Der Schutz von Geschäftsgeheimnissen (Richtlinie (EU) 2016/943) hängt von drei Voraussetzungen ab: Die Information ist geheim, hat Handelswert gerade weil sie geheim ist, und unterliegt angemessenen Geheimhaltungsmaßnahmen. Entfällt die letzte Säule — etwa indem Informationen ohne Garantien in ein externes Modell eingegeben werden, das die Eingabe speichert oder zum Training nutzt —, kann das Geheimnis seinen geschützten Status verlieren. Es geht nicht nur um tatsächliche Leckage, sondern um das Unterlassen angemessener Maßnahmen.

Vertragliche und Geheimhaltungsrisiken

Vertrauliche Informationen, die Sie von Kunden oder Partnern erhalten, fallen oft unter eine Geheimhaltungsvereinbarung (NDA). Diese NDAs beschränken in der Regel, an wen und wie Sie die Information weitergeben dürfen. Ein KI-Anbieter ist ein Dritter; das Eingeben von Informationen dort kann eine NDA verletzen, auch wenn es unbeabsichtigt geschieht. Dasselbe gilt für Quellcode, Preismodelle und unveröffentlichte Strategie.

Die DSGVO-Ebene bei personenbezogenen Daten

Enthält die Eingabe personenbezogene Daten, kommt die DSGVO hinzu. Sie benötigen eine Rechtsgrundlage, einen Auftragsverarbeitungsvertrag mit dem Anbieter und Klarheit darüber, wo die Daten verarbeitet werden und ob sie den EWR verlassen. Die Wiederverwendung von Eingaben für das Modelltraining ist eine eigene Verarbeitung, die selten von Ihrer ursprünglichen Grundlage gedeckt ist.

Der Unterschied zwischen Angeboten

Nicht jedes Angebot ist gleich. Verbraucherversionen von Chatmodellen können Eingaben standardmäßig zum Training wiederverwenden; geschäftliche und Enterprise-Varianten bieten oft vertraglich, dass Eingaben nicht zum Training genutzt und nicht gespeichert werden. Lesen Sie diese Bedingungen genau: Standardeinstellungen unterscheiden sich von bezahlten Tarifen, und eine kostenlose Testumgebung fällt selten unter dieselben Garantien. Die Beherrschbarkeit dieses Risikos beginnt mit der Wahl eines Angebots mit den richtigen vertraglichen Garantien — siehe auch RAG und Enterprise-KI-Governance.

Schatten-KI als größtes Leck

Das reale Risiko liegt oft nicht in einer bewussten Entscheidung, sondern in der Schattennutzung: Mitarbeiter, die ohne Abstimmung ein kostenloses Chatmodell öffnen und ein Angebot, einen Vertrag oder eine Kundendatei hineinkopieren. Eine einzige Handlung kann dann zugleich eine NDA, die DSGVO und die Geheimhaltungsmaßnahme aushebeln. Eine Richtlinie ohne nutzbare, genehmigte Alternative löst dies nicht — Mitarbeiter weichen auf das aus, was funktioniert. Bieten Sie daher neben dem Verbot einen sicheren Weg an.

Was zu tun ist

  • Klassifizieren Sie Informationen vor der Eingabe: öffentlich, intern, vertraulich oder geheim. Geheime und NDA-gebundene Informationen gehören nicht in ein unbeherrschtes Modell.
  • Wählen Sie ein Enterprise-Angebot mit vertraglicher Garantie, dass Eingaben nicht zum Training genutzt und nicht gespeichert werden.
  • Schließen Sie einen Auftragsverarbeitungsvertrag und prüfen Sie den Verarbeitungsort bei personenbezogenen Daten.
  • Legen Sie eine Eingaberichtlinie fest in Ihrer KI-Nutzungsrichtlinie für Mitarbeiter, mit klaren "Nicht eingeben"-Kategorien.
  • Beschränken und protokollieren Sie Zugriffe, damit Ihre angemessenen Maßnahmen nachweisbar sind.

Quellen

  1. https://eur-lex.europa.eu/eli/dir/2016/943/oj
    Richtlinie (EU) 2016/943 (Schutz von Geschäftsgeheimnissen); Schutz erfordert angemessene Maßnahmen zur Geheimhaltung der Information.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordnung (EU) 2016/679 (DSGVO); Rechtsgrundlage, Auftragsverarbeitung und Übermittlung bei personenbezogenen Daten in KI-Modellen.

Share on LinkedIn

Lesen Sie auch

W

Eine KI-Nutzungsrichtlinie für Beschäftigte: generative KI am Arbeitsplatz

Beschäftigte nutzen generative KI längst — oft ohne Regeln. Eine Nutzungsrichtlinie begrenzt die Risiken: Abfluss vertraulicher oder personenbezogener Daten, unzuverlässige Ergebnisse, IP-Fragen und Transparenz. Die KI-Kompetenzpflicht (Art. 4) macht sie zudem zum Compliance-Baustein.

A

KI-Sentimentanalyse von Beschäftigten: der schmale Grat zum Emotionsverbot

KI, die die Stimmung von Beschäftigten aus E-Mail, Chat, Umfragen oder Sprache ableitet, streift das Verbot der Emotionserkennung (Art. 5 KI-Verordnung) und die DSGVO. Aggregiert und anonym manchmal; individuelles Verfolgen so gut wie nie.

U

RAG und Enterprise-KI: Governance unternehmenseigener generativer KI

RAG koppelt ein generatives Modell an Ihre eigenen Quellen, sodass Antworten aus Unternehmensdokumenten stammen. Das senkt Erfindungen, verlagert das Risiko aber auf Zugriff, Vertraulichkeit und Herkunft. Governance heißt Quellenabgrenzung, Autorisierung, Protokollierung und menschliche Kontrolle.

Dirk Baaijen

Über diese Wissensdatenbank

Zusammengestellt und gepflegt von YRproject — Programm- und Projektsteuerung an der Schnittstelle von digitaler Transformation, KI und Regulierung. Jede sachliche Aussage ist bis zur Primärquelle nachvollziehbar. Hinter YRproject steht Dirk Baaijen Über & Methode →

Ein Projekt oder Programm? Mit YRproject arbeiten →

Das monatliche Briefing

KI-Regulierung in fünf Minuten: was sich geändert hat, was kommt und was es bedeutet. Kein Spam, jederzeit abbestellbar.

Ihre Adresse wird nur hierfür verwendet und auf eigenen Servern gespeichert.