ChatGPT: So schützen Sie Ihre Geschäftsgeheimnisse
- 11.04.2023
- Lesezeit 3 Minuten
Large Language Models (LLM) wie beispielsweise ChatGPT kann u.a. genutzt werden, um automatisiert Texte zu generieren, Recherchen effizient zu gestalten; vielfältige weitere Anwendungen sind denkbar. Demzufolge ist damit zu rechnen, dass Mitarbeiter in Unternehmen solche Programme nutzen könnten – teils überlegt und sinnvoll, teils aber auch unbedacht und ohne wirklichen Nutzen – und dabei bewusst oder unbewusst auch Geschäftsgeheimnisse in Prompts integrieren, mit denen die KI “beauftragt“ wird.
Damit ein Geschäftsgeheimnis als solches Schutz genießt, setzt das deutsche Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) u.a. voraus, dass die fragliche Information „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen“ sein muss. Der Inhaber des Geschäftsgeheimnisses muss also aktiv Maßnahmen ergreifen, um dieses vor dem Zugriff Dritter zu schützen. Diese Maßnahmen müssen dokumentiert werden, um sie ggf. nachweisen zu können.
Geschäftsgeheimnisse können vielfältige Informationen umfassen, von bestimmten Kundendaten über Konstruktionszeichnungen, Arbeitsanweisungen, Rezepturen usw. bis hin zu kalkulatorischen Grundlagen für Preisstrategien oder Hintergrundinformationen für Marketingkampagnen.
Die Eingabe von Geschäftsgeheimnissen (oder sogar nur Teilen solcher) in Large Language Model KI führt regelmäßig dazu, dass das fragliche Geschäftsgeheimnis von der KI verwendet werden kann. OpenAI erläutert zum Beispiel ausdrücklich, dass bei einer (Non-API) Nutzung von ChatGPT oder DALL-E eingegebene Daten von OpenAI verwendet werden dürfen, es sei denn, der Nutzer erklärt einen Opt-Out. Im Rahmen einer API-Nutzung von ChatGPT ist laut Nutzungsbedingungen ein Opt-In vorgesehen. Zwar behauptet Open AI gleichzeitig nur Teile der Daten zu verwenden und große Sorgfalt bei der Sicherung von Kundendaten an den Tag zu legen - das ändert aber letztlich nichts an der Tatsache, dass ein in ChatGPT eingegebenes Geschäftsgeheimnis von OpenAI verwendet werden kann, wenn kein Opt-Out erklärt wird. Bereits aus diesem Grund besteht ein erhebliches Risiko, dass durch Eingabe eines Geschäftsgeheimnisses in ChatGPT selbiges den Schutz nach dem GeschGehG verliert.
Denn eine angemessene Maßnahme zum Schutz des Geheimnisses ist jedenfalls der ausdrückliche Opt-Out, ja „angemessene Geheimhaltungsmaßnahmen“ i.S.d. GeschGehG dürften sogar erfordern, die Eingabe von Geschäftsgeheimnissen in Softwareprodukte Dritter, die diese Geheimnisse (auch nur in Teilen) verwenden dürfen, ganz zu unterlassen. Das wiederum bedeutet, dass es auch zu solchen „angemessenen Geheimhaltungsmaßnahmen“ gehört, organisatorisch dafür zu sorgen, dass dies nicht geschieht.
Geheimnisschutz prüfen
Vor diesem Hintergrund sollten Unternehmen ihre Arbeitsverträge, internen Richtlinien und Arbeitsanweisungen zum Geheimnisschutz sowie zur erlaubten Nutzung des Internets (AUP) prüfen. Gleichzeitig und zusätzlich sollte hinterfragt werden, ob, in welchem Umfang und durch welche Mitarbeiter eine Nutzung von ChatGPT oder anderen KI-Anwendungen für das Unternehmen sinnvoll ist. Ausgehend vom Ergebnis dieser Auswertung kann als ergänzende Maßnahme zum Geheimnisschutz die Nutzung solcher KI-Tools für bestimmte Mitarbeiterkreise generell verboten werden und auch der Zugang zu diesen technisch eingeschränkt oder ausgeschlossen werden.
