<< zurück

03.06.2022

Schutz von Daten als Geschäftsgeheimnis (GeschGehG)

Hintergrund

Das aktuelle Weltgeschehen sorgt in den meisten Lebensbereichen für Lieferkettenprobleme (Mikrochips, Bauteile, Rohstoffe). Gezielte Maßnahmen zur Stärkung der technologischen Souveränität – insbesondere durch intelligente Lösungen in den Bereichen Produktion und Industrie 4.0. – können zur Lösung dieser Probleme beitragen. Nennenswert ist dabei der Ausbau automatisierter Systeme in verschiedenen Wirtschaftszweigen, wie im Bereich des automatisierten Fahrens, der Medizin und der industriellen Produktion.

Unter automatisierten Systemen versteht man Maschinen und Softwaresysteme, die einen vorgegebenen Handlungsablauf durchführen. Typischer Anwendungsfall im Unternehmensalltag sind Sensoren, die in Echtzeit Maschinen eines automatisierten Produktionssystems überwachen und identifizieren können, ob eine Wartung oder Fehlerbehebung erforderlich ist (sog. Predictive Maintenance). Solche automatisierten Systeme können Unternehmen einen großen wirtschaftlichen Vorteil bringen. Der Schutz automatisierter Systeme ist für Unternehmen ein unverzichtbares Know-how. So gewinnt Geschäftsgeheimnisschutz immer mehr an Bedeutung. Dies gilt vor allem auch deshalb, weil der Geschäftsgeheimnisschutz auch die vertragliche Einräumung von Nutzungsrechten an Daten fördern kann. Häufig bündeln Unternehmen ihre Kompetenzen in gemeinsamen Projekten, um große Datenmengen zu analysieren.

Auf nationaler Ebene besteht seit dem Jahr 2019 ein Schutzkonzept für Geschäftsgeheimnisse, das auf dem Geschäftsgeheimnisgesetz (GeschGehG) beruht. Das Gesetz ist Ausfluss der EU-Richtlinie 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen. Weder die Geschäftsgeheimnis-Richtlinie noch das GeschGehG regeln ausdrücklich, inwiefern sich Daten überhaupt als Geschäftsgeheimnis subsumieren lassen. Dies führt zu der Frage, inwiefern der Schutz des Geschäftsgeheimnisses beispielsweise auf Algorithmen und automatisierte Systeme Anwendung findet und wie weit der Schutz greift. Welche Schutzmaßnahmen müssen Anbieter Künstlicher Intelligenz (KI) ergreifen, um sich vor Personen zu schützen, die ihr Geschäftsgeheimnis rechtswidrig erlangt haben, es nutzen oder sogar offenlegen?  

Schutz von Algorithmen durch das GeschGehG

Das Herzstück der KI ist in der Regel der Algorithmus. Ein Algorithmus ist eine eindeutige Handlungsvorschrift zur Lösung eines Problems oder einer Klasse von Problemen. Er gibt eine Vorgehensweise vor, um ein Problem zu lösen. Um einen Algorithmus zu beschreiben, eignet sich folgendes Alltagsbeispiel: Man backt einen Kuchen nach einem bestimmen Rezept. Das Rezept ist der Algorithmus, der vom Bäcker ausgeführt wird.

Der Algorithmus ist also eine „Idee“, die einem Computerprogramm zugrunde liegt. Reine Grundsätze und Ideen werden urheberrechtlich nicht geschützt. Sie genießen in der Regel auch keinen patentrechtlichen Schutz, denn sie finden Lösungsansätze mit Hilfe der Logik. Patentfähig sind Erfindungen aber nur dann, wenn sie durch Naturkräfte gelöst werden (siehe Luther Blog: Immaterialgüterrechtlicher Schutz von Künstlicher Intelligenz).

Anders als das Urheberrecht und das Patenrecht erlaubt das Geschäftsgeheimnisgesetz eine erweiterte Anwendbarkeit. Gemäß § 2 GeschGehG ist Geschäftsgeheimnis eine Information

  • die nicht – weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile – den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist und
  • die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Als geschützte Informationen werden dabei nicht nur das technische Know-how, sondern auch jedes wettbewerbsrelevante unternehmerische Wissen erfasst (z. B. Kundeninformationen, Businesspläne, Preiskalkulationen, etc.). Ein wirtschaftlicher Wert ist außerdem nicht nur dann zu bejahen, wenn es sich bei dem Geheimnis um kommerziell verwertbare Informationen handelt, sondern es genügt, wenn die geheime Information für das Unternehmen von einem wirtschaftlichen und/oder einem unternehmerstrategischen Interesse ist (vgl. LArbG Baden-Württemberg Urteil vom 18.8.2021, 4 Sa-Ga 1/21). Nicht vom Schutzzweck umfasst sind dagegen Informationen, die

leicht zugänglich, generell bekannt, oder belanglos sind, sowie bloßen ideellen Schutzinteressen wie z. B. drohendem Ansehensverlust dienen. Da der Algorithmus das Kernelement eines automatisierten Systems sein kann, ist er für das Unternehmen von hohem wirtschaftlichem Wert. Er ist auch nicht leicht zugänglich, weil Unternehmen wohl kaum ihre erforschten Algorithmen als öffentlichen Quellcode bereitstellen würden. Algorithmen können daher nicht einfach in der jeweiligen Programmiersprache „nachgelesen“ werden. Nicht generell bekannt ist ein Algorithmus bereits aufgrund seiner Komplexität. Ohne den entsprechenden Quellcode ist dieser für einen Außenstehenden grundsätzlich eine reine Black Box. Nur in Ausnahmefällen sind die Algorithmen so wenig komplex, dass beispielsweise ihre Trainingseinheiten rekonstruiert werden können.

Das Unternehmen wird angemessene Geheimhaltungsmaßnahmen ergreifen, um die Algorithmen vor anderen Wettbewerbern zu schützen. Ausschließlich von diesen durch den Geheimnisinhaber ergriffenen Schutzmaßnahmen hängt der Schutz von Geschäftsgeheimnissen ab. Es bedarf keiner formalen Anträge oder Registereinträge, wie beispielsweise im Patenrecht.

Der Algorithmus kann damit vom Schutzbereich des Geschäftsgeheimnisgesetzes umfasst werden, soweit das Unternehmen angemessene Geheimhaltungsmaßnahmen für dessen Geheimhaltung ergreift. Gleiches gilt für auch für andere KI-Prozesse.

Umsetzung der angemessenen Schutzmaßnahmen

Die Anforderungen für angemessene Schutzmaßnahmen erfordern von den Unternehmen eine vertiefte Auseinandersetzung mit ihren Prozessen. Nur wenn diese ihre Geschäftsgeheimnisse identifizieren, dokumentieren und schützen, sind sie vom GeschGehG erfasst. Vor dem Inkrafttreten des GeschGehG reichte bereits ein erkennbarer subjektiver Geheimhaltungswille aus, der sich in objektiven Umständen manifestiert hat. Nunmehr verlangt der Gesetzgeber, dass der KI-Anbieter angemessene Schutzmaßnahmen ergreift, ohne diesen Begriff zu definieren. Dabei erfüllt die Angemessenheit der Schutzmaßnahme verschiedene Funktionen. Sie schafft nicht nur die Verbindung der Maßnahme zum Geheimnisinhaber (Zuordnungsfunktion), sondern macht aus den praktisch umgesetzten Maßnahmen ein ernsthaftes und objektives Schutzinteresse an der Bewahrung der Vertraulichkeit erkennbar (Dokumentationsfunktion). Dieses Interesse ist wiederum für die Einstufung des wirtschaftlichen Wertes der zu schützenden Information erforderlich. Zuletzt erfüllen die Schutzmaßnahmen eine Warnfunktion gegenüber dem potenziellen Verletzer. Auch wenn die Funktionen klar sind, so sind die Anforderungen an die Angemessenheit noch nicht vollständig durch die Gerichtsbarkeiten oder den Gesetzgeber konkretisiert worden. Die Rechtsprechung stellt bisher darauf ab, ob das Geheimhaltungsinteresse „sinnvoll“ und „effizient“ ist und nimmt im Übrigen eine Bewertung anhand objektiver Maßstäbe im Einzelfall vor. Dabei können Umstände wie der Wert des Geschäftsgeheimnisses für das betroffene Unternehmen, oder die Entwicklungskosten und die Entwicklungsdauer eine Rolle spielen. Schutzmaßnahmen können dabei sein:

  • Das Anvertrauen von schutzwürdigen Informationen erfolgt nur gegenüber solchen Personen, die die Informationen zur Durchführung potenziell „benötigen“ (sog. Need-to-Know-Prinzip) und solchen Personen, die zur Verschwiegenheit verpflichtet sind;
  • diese Personen müssen Kenntnis von ihrer Verschwiegenheitspflicht haben. Für die Vereinbarung von Verschwiegenheitspflichten einigen sich vertragliche Verpflichtungen (z. B. in Form eines Non-Disclosure-Agreements), Geheimhaltungsklauseln in Arbeitsverträgen und Dienstverträgen;  
  • es sollte den Mitarbeitern verboten werden, Dateien ohne Passwortschutz auf privaten Datenträgern abzufassen;
  • Zutritts- und Zugangskontrollen,
  • IT-Sicherheitsmaßnahmen;
  • Schulungen von Mitarbeitenden;
  • es sind Sicherungen gegen unbefugte Zugriffe vorzunehmen, z. B. die Sicherung von Dokumenten in Papierform gegen den Zugriff Unbefugter durch das Wegschließen.

Unternehmen müssen beachten, dass, je nach Umstand und Einzelfall, ggf. weitere Maßnahmen notwendig sind, um ein angemessenes Schutzniveau zu erreichen. Die Schutzmaßnahmen müssen individuell für jedes mögliche Betriebs- und Geschäftsgeheimnis getroffen werden.

Seit Inkrafttreten des GeschGehG ist das sog. Reverse Engineering erlaubt. Dabei werden durch Untersuchung und Beobachtung eines fertigen Produkts die einzelnen Komponenten ermittelt, um so die Funktionsweise nachahmen oder die einzelnen Elemente des Produkts weiterentwickeln zu können. Beispielsweise nutzen Cyberkriminelle Reverse Engineering, um kostenpflichtige Software leicht modifiziert auf den Markt zu bringen, indem sie die den Quellcode ermitteln. Auch in der Automobilbranche wird von Reverse Engineering Gebrauch gemacht. Moderne, vernetzte Autos speichern bzw. verarbeiten riesige Informationsmengen (z. B. Informationen zur Nutzung des Pkw und zum Fahrstil). Forscher sprechen von einem sog. Datenbus, der ständig in einem vernetzten Auto umherfährt. Allein die Autohersteller entscheiden, für wen die vom Auto generierten Daten zugänglich sind. Auch die Forschung im Automobilbereich benötigt diese Daten, um beispielsweise das automatisierte Fahren weiterzuentwickeln. Wissenschaftler machen sich daher die dem Autohersteller zur Verfügung stehenden Daten zu Nutze, indem sie den Datenfluss in einem vernetzten Auto durch das Reverse Engineering rekonstruieren, um diese für ihre eigenen Projekte zu verwenden. Um ein Reverse Engineering durch Vertrags- und Kooperationspartner auszuschließen, empfiehlt es sich dringend, ein Verbot des Reverse Engineerings vertraglich zu vereinbaren.

Implementierung eines Know-how-Schutzkonzepts

Die hohen Anforderungen an die Schutzmaßnahmen machen die Implementierung eines Know-how-Schutzkonzepts unentbehrlich. Das Schutzkonzept muss den Umständen des konkreten Betriebs- und Geschäftsgeheimnisses im Einzelfall angepasst werden. Die Unternehmer müssen kreativ und eigenverantwortlich bereits im Vorfeld mögliche Schutzlücken feststellen und diese möglichst schließen. Bereits in einem Unternehmen implementierte organisatorische, technische und rechtliche Maßnahmen im Rahmen einer datenschutzrechtlichen Compliance können dabei als Grundlage für die Implementierung des Know-how-Schutzkonzepts genutzt werden, indem sie entsprechend ergänzt und erweitert werden. Folgende Schritte können dabei befolgt werden:

Schritt 1: Das Unternehmen muss die relevanten Betriebs- und Geschäftsgeheimnisse identifizieren und diese ihrer Wichtigkeit entsprechend klassifizieren. Die besonders wichtigen „Kronjuwelen“ des Unternehmens verdienen besonderen Schutz, während nur „sensible Informationen“ ein geringeres Schutzniveau aufweisen.

Schritt 2: Als nächstes ist der Schutzbedarf im Hinblick auf die zuvor identifizierten Geschäftsgeheimnisse zu analysieren und Risiken zu identifizieren. Welche Rechtsverletzer kommen in Betracht (z. B. Konkurrenten)? Welche Szenarien sind möglich (z. B. Cyberangriffe)?

Schritt 3 und 4: Anschließend sind auf Grundlage der zuvor erfolgten Schutzbedarfsanalyse die erforderlichen organisatorischen, vertraglichen und technischen Maßnahmen konkret zu ermitteln. Für die Umsetzung können Maßnahmenpakete erstellt werden.

Schritt 5: Ist ein wirksames Schutzkonzept erstellt, ist die Arbeit nicht getan. Die Einhaltung der Maßnahmen sowie die Wirksamkeit des Schutzkonzepts sollte regelmäßig sowie anlassbezogen überprüft werden. Dabei sollten Unternehmen insbesondere Entwicklungen in der Rechtsprechung zur Angemessenheit von Geheimhaltungsmaßnahmen beobachten und konkretisierte Anforderungen schnell umsetzen.

Umfang der Abwehrrechte aus dem GeschGehG

Der Geheimnisinhaber kann gegen den Rechtsverletzer Unterlassung- und Beseitigungsansprüche geltend machen, sowie Auskunftsansprüche und Schadensersatz. Er kann die Vernichtung oder Herausgabe von Gegenständen, Dokumenten, Materialien, elektronischen Daten etc. verlangen. Dabei bedarf es nicht einmal eines Verschuldens seitens des Rechtsverletzers. Liegt ein Verschulden vor, so kann der Geheimnisinhaber zusätzlich Schadensersatz verlangen. Die Ansprüche können sowohl gerichtlich als auch außergerichtlich geltend gemacht werden.

Fazit

Das Geschäftsgeheimnisgesetz schützt Bestandteile von KI-Prozessen, wie Algorithmen, vor rechtswidrigen Zugriffen durch Dritte. Der Geheimnisinhaber muss jedoch angemessene Schutzmaßnahmen treffen, um von diesem Schutz zu profitieren. Dafür ist die Implementierung eines Schutzkonzepts unentbehrlich. Ein einmal geschaffenes Schutzkonzept hat den Vorteil, dass notwendige Geheimschutzmaßnahmen schneller und effizienter ergriffen, werden können. Das Konzept ist in der Regel auf viele Einzelfälle anwendbar und umsetzbar.

Weitere Informationen
Autor/in
Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686

Seiten
Über uns
Kompetenzen
Team
Newsroom
Karriere
Kontakt
Social Media
Facebook
Linkedin
XING
Youtube
Hinweise
Impressum
Datenschutz
Newsletter
Hier finden Sie unsere aktuellsten Newsletter >>