Revival der robots.txt?

Über Sinn oder Unsinn der robots.txt gibt es verschiedene Ansichten, mitunter weil sie von manchen Web-Crawlern ignoriert wird. Wenn Sie in der Pflicht sind, als Verantwortlicher eines Unternehmens bestimmte Inhalte im Web vor Ausbeutung durch Suchmaschinen mit künstlicher Intelligenz zu schützen, kann die Verwendung der robots.txt ein Baustein sein:

Im Rechtsstreit über Urheberrechtsverletzungen wegen Inhalten, die ein Large Language Model zusammenstellt und ausgibt, kann es hilfreich sein, zu belegen, dass bestimmte Seiten von der Indexierung ausgenommen waren, weil man diese Inhalte nicht im Web an anderer Stelle wiederfinden wollte, gerade weil man ihnen besonderen urheberrechtlichen Wert beimisst.

Will ein fertigendes technisches Unternehmen zum Beispiel besonders detaillierte technische Beschreibungen nicht in Antworten einer fremden KI sehen, so ist es zu raten, eine inhaltlich einfacher gestaltete Web-Seite zu generieren, über die der Nutzer zu einer komplexen Seite der Webpräsenz des Unternehmens gelangt. Dem suchenden Roboter kann dann vorgeschrieben werden, die einfache – nicht aber die komplexe Seite zu crawlen. Sinnvoller wäre es noch, alle urheberrechtlich geschützte Inhalte von besonders hohem Wert in einem Verzeichnis zusammenzufassen und in der robots.txt z.B. so auszuschließen:

User-agent: *
Disallow: /diesesverzeichnis/

Die Kopie der einschlägigen Vermerke in der robots.txt helfen dem Rechtsanwalt im Verletzer-Prozess gegen KI-Anwendungs-Anbieter.

Und – ja der Anwalt weiß: Die Begeisterung bei den für SEO Verantwortlichen wird nicht steigen, wenn besonders „unique“ Inhalte vom crawlen ausgenommen werden sollen. Wer gegen diese Ausnahmen ist, sollte dann aber wenigstens die KI-Suchmaschinen-Ergebnisse dahingehend überwachen, ob Zitate über die Herkunft der Inhalte (richtig) aufgeführt werden.

Und der Chef verantwortet die KI

Zu den Pflichten der Vorstände und Geschäftsführer zählt die Überwachung des Unternehmensablaufs. Nachdem Hacks und Angriffe auf Unternehmensinfrastrukturen immer weiter zunehmen (oder zumindest mehr in das öffentliche und juristische Interesse rücken), gehört der Bereich der IT–Sicherheit zu den wichtigen zu überwachenden Gegenständen. Es geht nicht nur um die Abschottung gegen Angriffe von außen und es wird auch seltener ein Informationsdieb mit dem Fotoapparat über Zäune springen. Aber gerade die Verlockungen für Mitarbeiter am eigenen Arbeitsplatz neue Technik zu verwenden, die als künstliche Intelligenz bezeichnet wird, ist eine Gefahr. Die Unternehmensführer müssen sich klarmachen:

KI ist nicht „irgendeine Intelligenz“ im Netz. Sie beruht auf riesigen Datenmengen, die mittlerweile besser als früher verknüpft und rechnerisch verarbeitet werden können. Diese Datenmengen müssen von der KI beschafft werden. Auch und gerade aus Unternehmen und auch und gerade mit BYOD/eigenen Geräten der Mitarbeiter.

Die Mitarbeiter müssen die Funktionsweise der sogenennten KI verstehen. Ihnen muss klar sein, dass jede Anfrage Datenspuren hinterlässt. Nicht umsonst schreibt Snapchts my AI in hier: „Außerdem solltest du vermeiden, vertrauliche oder sensible Informationen mit My AI zu teilen.“ Die Möglichkeiten, die GPT 4 o bieten wird, um Lernen zu vereinfachen, kann als Spur hinterlassen, was als Lerndefizit beim Nutzer besteht. An solchem Wissen über Schwächen hat die Konkurrenz gelegentlich auch strategisches Interesse.

Unternehmensführer, die sich nicht mit den Hinweisen des BSI (und Verweisen auf gemeinsam mit anderen Staaten erarbeiteten Guidelines) auseinandersetzen, sind also künftig vermutlich häufiger in die persönliche Haftung zu nehmen.

Wo Unternehmen ihr eigenes KI – Modell trainieren, muss klar sein, dass eine Eingabe mit sinnlosen Daten (data poisoning) ein ernst zu nehmender Angriff im Wettbewerb ist. Ist Mist in der eigenen KI, kann diese nicht mehr zur Entscheidungsfindung entlastend herangezogen werden, siehe dazu Beispielhaft der Wortlaut des Aktiengesetzes:

§ 93 AktG Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- oder Geschäftsgeheimnisse, die den Vorstandsmitgliedern durch ihre Tätigkeit im Vorstand bekanntgeworden sind, haben sie Stillschweigen zu bewahren.

Soweit die Gesetzesnorm: Erkennbar ist daraus auch, dass das Vorstandsmitglied nicht in irgendeine fremde KI Betriebs- oder Geschäftsgeheimnisse eingeben darf. Die Praxis wird spannend werden.

AI and GPT for all?

Was in Deutschland seit Jahrzehnten z.B. am DFKI in Saarbrücken erforscht wird, „geht jetzt mainstream“ seit openai et alt. Large Language Models sieht der Jurist als spannende Themen – dabei geht es weniger um das ferne Szenario (dazu kann man den Film Matrix im Hinterkopf behalten), sondern es zeigen sich aktuelle juristische Haftungsthemen.

Wie intelligent und zuverlässig die künstliche Intelligenz ist, die mittelständischen Wirtschaftsunternehmen zugänglich ist, werden wir in der Praxis erfahren. Vermutlich wird sich das Erscheinungsbild von Unternehmen im Web (und drumrum elektronisch) drastisch verändern. Nutzer werden einfachere und schnellere Informationsvermittlung zu Produkten, deren Handhabung und Reparatur erwarten. Herausforderungen dabei liegen in der umfassenden Bereitstellung von präzisen, richtigen und nicht verwässerten Informationen. Für die Unternehmensführung – und grundsätzlich wegen der Überwachungspflicht nicht nur für den CTO – bedeutet das, dass Dritten und Mitarbeitern nicht gestattet wird, GPTs mit allen möglichen Daten zu trainieren.

Vordringlichste Aufgabe aller führenden Mitarbeiter ist den mit der IT Befassten klarzumachen, welche KI verwendet werden darf/soll und welche Systeme und Anbieter hinter der verwendeten KI stehen und wohin Daten abfließen. Und: was man dazu im Unternehmen nicht weiß und vor Einsatz herausfinden muss. Außerdem ist es wichtig, stets die Auswahl der Daten zu überwachen, mit denen die Modelle trainiert werden.

Geschäftsführer und Vorstände müssen erkennen, dass binnen Sekunden Haftungsrisiken entstehen, wenn den GPTs Daten zum Training als Scan-Material freigegeben werden, die unter Geheimhaltung stehen und deren Verbleib ungeklärt ist.

Auf ein deutsches Gütesiegel für Künstliche Intelligenz werden viele nicht warten wollen. Die Risiken des „volle Kraft voraus“ sind aber offensichtlich:

GPT schreibt deine E-Mail? Und auch die deines Konkurrenten?

(eine der Fragen)

Aus der juristischen, insbesondere anwaltlichen Warte wird verstanden, dass die Entwicklung künstlicher Intelligenz zu immensen Möglichkeiten und Geschäftschancen für Unternehmen führt. Der Trend setzt Marktteilnehmer unter Druck, KI einzusetzen. Ein ungeplanter Einstieg, ohne die Auswirkungen zu kalkulieren, welche fehlerhafte oder unberechtigt vermittelte Daten hervorrufen, ist extrem haftungsträchtig. Das Thema Datensicherheit bleibt aktuell: Don´t let them spy using AI.

Da meldet sich keiner?

Wenn plötzlich keiner mehr antwortet, ist das meist kein gutes Zeichen, das der Handels- oder sonstige geschäftsmäßige Vertragspartner setzt. Was also tun? Neben eigenen Ermittlungsschritten ist es möglich bei der Behörde nachzufragen. Kommen bei Gewerbebetrieben dort Zweifel auf, ob sie zuverlässig geführt werden, kann die Gewerbeaufsicht einschreiten und prüfen, ob eine Untersagung ausgesprochen werden muss. Die entsprechenden Vorschriften befindet sich in der Gewerbeordnung, insbesondere:

Gewerbeordnung § 35: Gewerbeuntersagung wegen Unzuverlässigkeit

(1) Die Ausübung eines Gewerbes ist von der zuständigen Behörde ganz oder teilweise zu untersagen, wenn Tatsachen vorliegen, welche die Unzuverlässigkeit des Gewerbetreibenden oder einer mit der Leitung des Gewerbebetriebes beauftragten Person in bezug auf dieses Gewerbe dartun, sofern die Untersagung zum Schutze der Allgemeinheit oder der im Betrieb Beschäftigten erforderlich ist. 

Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Was kommt da in NIS 2, insbesondere in Kapitel 4, auf Unternehmen zu?

Das wissen wir nicht sicher, aber der Rechtsrahmen ist abgesteckt. Hier in der Richtlinie können Sie nachlesen, was der Gesetzgeber umzusetzen hat.

Spannend ist z.B. die Bildungspflicht der Organe und der Mitarbeiter wesentlicher und wichtiger Einrichtungen. Es sollen regelmäßig Schulungen angeboten werden, um „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“

Artikel 3 zeigt übrigens, wer als wesentlich und wichtig gilt.

Sie gründen eine GmbH? An diese Rechtsgebiete denken!

Man muss es nicht Business Judgement Rule nennen. Sagen wir hier mal „Verstand der Geschäftsführung, der informiert die Lage einschätzt“ dazu. Informiert bedeutet oft: Je mehr man vorher weiß, desto besser.

Als künftiger Geschäftsführer einer GmbH werden Sie mit einer Vielzahl von Rechtsgebieten mit und ohne Rechtsberatung dazu befasst sein. Auf die Frage welche Gebiete und Rahmenbedingungen zum Start des Geschäftsbetriebs eines Unternehmens hervorzuheben sind, kann man antworten:

Gesellschaftsrecht (dazu auch etwas Registerrecht) – Kennzeichenrecht (insbesondere Markenrecht) – Arbeitsrecht (darin auch das Tarifvertragsrecht) – Wettbewerbsrecht (insbesondere die Compliance bei der Eigendarstellung und das sonstige UWG-konforme Verhalten, z.B. bei Werbung) – Datenschutzrecht (die Organisation des jungen Unternehmens nach DSGVO-Aspekten) – Steuerrecht (Die Erfüllung der Pflichten der AO, KStG) – natürlich auch das Vertragsrecht (AGB-Recht, Handelsrecht, evtl. auch internationales Handelsrecht wie CISG) – Haftungsrecht des Geschäftsführers (mit etwas Versicherungsrechtsthematik: D&O)

Das ist natürlich nur eine persönliche und generelle Einschätzung. Lesen Sie als neuer Geschäftsführer dazu nach oder lassen Sie sich frühzeitig beraten.

Der GF (und nicht nur er) aus der Quarantäne

Zur Sorgfaltsflicht des ordentlichen Kaufmanns gehört es, dass er das Unternehmen überwacht und informiert, abwägend, steuert. Dies kann im Falle von zwingend verfügter Corona-bedingter Quarantäne schwierig sein, trotz Home-Office-Möglichkeiten und moderner Kommunikations-Elektronik. Aufgabe der Geschäftsführung ist, sich vor einer Reise in ein Risikogebiet zu informieren, welche COVID-bezogenen und insbesondere Quarantäne-Regelungen existieren und welche nach der Rückkehr zu erwarten sind. Es geht u.a. um die Fragen:

In welche Regionen/Länder geht die Reise?

Welche Durchreiseländer sind zu berücksichtigen?

Wie ist die Ansicht des RKI: Stehen die Länder/Regionene auf der Liste der Risikogebiete?

Welche schnellen Test-Möglichkeiten bestehen? (Flughäfen, Hausarzt verfügbar, sonstige Testzentren)

Welche Behörde gibt frei?

Trotz negativem Test: Welche Hindernisse sind bekannt? Wie ist die Freigabe von der Quarantäne nach Einreise zu erhalten?

Für die Praxis ist es wichtig zu wissen, dass nicht alle Ordnungsämter die Autobahn-Tests, i.e. die negativen Ergebnisse von PCR-Tests auf Raststätten, akzeptieren. Im Raum Schwäbisch Gmünd z.B. wurden Tests der Fa. eurofins LifeCodexx GmbH, Konstanz, der Teststelle Hochfelln im Landkreis Traunstein (Österreich-Einreise) in mehreren Fällen nur mit ärztlicher Bestätigung akzeptiert.

Die zum Zeitpunkt der Veröffentlichung geltende Verordnung zur Quarantäne-Pflicht regelt in § 1II: Ein ärztliches Zeugnis im Sinne dieser Verordnung muss die Voraussetzungen des § 1 Absatz 2 der Verordnung des Bundesministeriums für Gesundheit zur Testpflicht von Einreisenden aus Risikogebieten vom 6. August 2020 (BAnz AT 07.08.2020 V1) in der jeweils geltenden Fassung (TestpflichtVO) erfüllen. Als ein ärztliches Zeugnis nach Satz 1 gilt auch die Bescheinigung eines fachärztlich geführten Testlabors. Ob das Testlabor fachärztlich geführt ist, kann nicht immer sofort erkannt werden. Die eurofins-Hotline konnte dazu z.B. am 7.9.2020 keine genaue Auskunft geben.

Auch ist ratsam mit einem Arzt zu klären, ob der Konsum von Halspastillen, Nasenspray oder Alkohol sich auf das Testergebnis auswirken kann, bzw. das Testergebnis zeitlich verzögert. Der Presse waren Hinweise dazu zu entnehmen, dass diese Stoffe im Testverfahren zu Verzögerungen führen.

Geheimnisschutz: E2E im Conferencing

Mittelständische Unternehmen nehmen die Herausforderungen der Situation an – dazu zählt oft auch die Auswahl eines Tools für Online-Conferencing. Obwohl viel darüber geschrieben wird und viele Konferenzen über unterschiedliche Anbieter stattfinden, sind die Auswahlkriterien nicht leicht zu erfassen. Der gemäß gesetzlicher Anforderung sorgfältig handelnde Kaufmann muss viele Aspekte bedenken, wie

Verfügbarkeit und Dienstqualität,
Kosten,
Verständlichkeit des Nutzer-Interfaces
,
Kenntnisse der Mitarbeiter, die z.B. zur schnellen Eingewöhnung und Problembehebung beitragen können.

Kommt es zum Thema Sicherheit, insbesondere dem Schutz vor Ausspähung, wird es „ungemütlich aufwändig“ bei der Betrachtung der Angebote. Für wirksamen Geheimnisschutz sind wichtig:

Die Nutzung von Verschlüsselungsstandards (z.B. AES, TLS) und
die Gewährung der Durchgängigkeit der Verschlüsselung
(E2E oder nicht)

Die E2E-Thematik ist wesentlich: Es reicht nicht aus, sich damit zu befassen, ob eine Verschlüsselungstechnik angewendet wird. Der anzustrebende Schutz des Geschäftsgeheimnisses wird nur gesichert sein, wenn eine Verschlüsselung von einem Ende zum anderen Ende der Übertragungsleitung stattfindet. Diese end-to-end oder E2E-Verschlüsselung lässt nicht zu, dass ein Diensteanbieter (d.h. auch ein dort eingeschleuster Mitarbeiter ) geheime Inhalte abgreift. Anmerkung: Als Jurist kennt man die Diskussion um E2E von der Einführung der Technik des elektronischen Anwaltspostfachs beA.

Insbesondere ist darauf hinzuweisen, dass geprüft werden muss, ob E2E-Verschlüsselung Anwendung findet und für welche Dienste des Dienstleisters das der Fall ist – denn es ist nicht sichergestellt, dass eine E2E-Verbindung, die für den Austausch von Texten über ein Team-Modul angewendet wird, auch für den Videokonferenz-Kontakt in der Team-Software genutzt wird.

Fazit:
Die Frage der Unternehmensführung an die eigene Abteilung IT/Technik/Security oder an externe Dienstleister muss primär die effektive Verschlüsselung von Medien-Daten zwischen Endgeräten betreffen, zumindest dort wo Geheimnisschutz notwendig ist. Anderenfalls droht die Organhaftung wegen mangelhafter Organisation. Aus juristischer Sicht ist davor zu warnen Geschäftskommunikation zwischen Mitarbeitern vorschnell als trivial (und nicht schutzwürdig) zu bewerten. Inwieweit einfache Kommunikationsinhalte interessant für Angreifer sein können, lässt sich aktuellen Berichten entnehmen. Auch kleinere Unternehmen müssen diese Gefährdungsszenarien in ihre Erwägungen einstellen.


IT: Ihr Vertragspartner ist KRITIS?

Werk- und Dienstleister der IT-Branche für kritische Infrastrukturen stehen vielen Regelwerken gegenüber, die ihr Vertragspartner erfüllen muss. In den Sektoren

  • Energie,
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser und Ernährung,
  • Finanz- und Versicherungswesen

sind ab einer gewissen Unternehmensgröße des Kunden von ihm Sicherheitsvorkehrungen (u.a.) im Hinblick auf die IT zu treffen. Was bedeutet das für den Vertragspartner:

Wie sonst im Werkvertragsrecht, wenn nichts abweichendes geregelt ist, gilt es (mindestens) den Stand der Technik zu erreichen. Für die Betreiber kritischer Infrastrukturen gibt es dazu spezielle Anforderungen. Die Basis der KRITIS-Einordnung und der Pflichten sind das IT-Sicherheitsgesetz und die Rechtsverordnung dazu:
IT Sicherheitsgesetz
Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)

Branchenspezifische Sicherheitsstandards (B3S) spielen eine besondere Rolle als Maßstab des zu erfüllenden Sicherheitslevels/des geforderten Standes der Technik. Einige B3S finden sie hier:
B3S Verzeichnis

Die Unternehmensführung des Vertragspartners eines Unternehmens im Bereich kritischer Infrastrukturen soll vorsorglich – zur Meinung von Rechtsstreitigkeiten – bei Vertragsannahme und der Ausführung davon ausgehen, dass die „eingekauften“ Leistungen zur Erfüllung der KRITIS-Pflichten tauglich sind. Beide Vertragsparteien müssen sich über die einschlägigen Normen bewusst werden, z.B. auch aus DIN, ISO, DKE, ISO/IEC oder abzuleiten aus B3C.

Zu beachten ist, dass spezielle Bereiche wie der TK-Netzbetrieb Sonderregelungen unterliegen. Dazu ist auf die IT-Sicherheitskataloge der Bundesnetzagentur hinzuweisen:
Sicherheitskataloge BNA

Dazu zählt z.B. der IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz. In dessen Rahmen fällt die Vorgabe, dass der Anlagenbetreiber die Konformität seines Informationssicherheits-Managementsystem (ISMS) mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat einer akkreditierten Zertifizierungsstelle nachweisen muss. Im Zitat:

Dementsprechend haben Betreiber von Energieanlagen, die durch die BSI- Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, ein ISMS zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt.

Zum Standard: Abstract in EN

Künftiger Differenzierungsbedarf bei Corona-Regelungen

Zahlreiche Unternehmer fühlen sich durch die Corona-Regelungen in ihrer Freiheit eingeschränkt und sehen den Bestand der Betriebe gefährdet. Es geht rechtlich um den Schutzgedanken, der in den Artikeln 12 und Art. 14 des Grundgesetzes festgeschrieben ist, im Einzelnen um das „Recht am eingerichteten und ausgeübten Gewerbebetrieb“.

Tatsächlich bestehen an der Grundlage der Corona-Verordnung der Regierung des Landes Baden-Württemberg Zweifel. Massive Eingriffe in Grundrechte von Bürgern stehen in der Demokratie berechtigterweise unter dem Parlamentsvorbehalt. Der Verwaltungsgerichtshof Mannheim hat in einem einstweiligen Verfahren Bedenken an der Verordnungsgrundlage geäußert. Er entscheidet gemäß § 4 des Ausführungsgesetzes zur Verwaltungsgeichtsordnung Baden-Württemberg über Normenkontrollanträge:

§ 4 Normenkontrollverfahren
DER Verwaltungsgerichtshof entscheidet in der Besetzung von fünf Richtern im Rahmen seiner Gerichtsbarkeit über die Gültigkeit von Satzungen und Rechtsverordnungen der in § 47 Abs. 1 Nr. 1 VwGO genannten Art sowie von anderen im Range unter dem Landesgesetz stehenden Rechtsvorschriften.

Auch wenn bisherige juristische Angriffe gegen die Verordnung im einstweiligen Rechtsschutz wenig erfolgreich waren, ist der Zeitablauf zu berücksichtigen und damit die wachsende Möglichkeit der Exekutive, den Grundrechen zur Geltung zu verhelfen. Sachverhalte sind zweckorientiert, evtl. branchenspezifisch, aufzuarbeiten und aktives Einrichten von Gesundheitssicherungen (auch organisatorische) durch Unternehmer muss erkannt werden und entsprechende Ausnahmen von Pauschalverboten ermöglicht werden. Die Verhältnismäßigkeit des Eingriffs in Grundrechte erfordert, dass staatlich angeordnete Maßnahmen angemessen sind. Maßnahmen mit präventiver Wirkung sind dem Gesetzgeber zum Gesundheitsschutz zwar möglich. Wenn der Präventionszweck aber anders sichergestellt werden kann, muss die Verordnung eine hinreichende Öffnungsklausel vorsehen. Sonst könnte das Unrecht durch den Gesetzgeber zu Amtshaftungsansprüchen führen, wenn grundrechtliche Schutzpflichten durch den Gesetzgeber verletzt wurden, die dem Staat zu schützen gerade obliegen oder wenn eine evidente Pflichtverletzung vorliegt.