Zu den Pflichten der Vorstände und Geschäftsführer zählt die Überwachung des Unternehmensablaufs. Nachdem Hacks und Angriffe auf Unternehmensinfrastrukturen immer weiter zunehmen (oder zumindest mehr in das öffentliche und juristische Interesse rücken), gehört der Bereich der IT–Sicherheit zu den wichtigen zu überwachenden Gegenständen. Es geht nicht nur um die Abschottung gegen Angriffe von außen und es wird auch seltener ein Informationsdieb mit dem Fotoapparat über Zäune springen. Aber gerade die Verlockungen für Mitarbeiter am eigenen Arbeitsplatz neue Technik zu verwenden, die als künstliche Intelligenz bezeichnet wird, ist eine Gefahr. Die Unternehmensführer müssen sich klarmachen:

KI ist nicht „irgendeine Intelligenz“ im Netz. Sie beruht auf riesigen Datenmengen, die mittlerweile besser als früher verknüpft und rechnerisch verarbeitet werden können. Diese Datenmengen müssen von der KI beschafft werden. Auch und gerade aus Unternehmen und auch und gerade mit BYOD/eigenen Geräten der Mitarbeiter.

Die Mitarbeiter müssen die Funktionsweise der sogenennten KI verstehen. Ihnen muss klar sein, dass jede Anfrage Datenspuren hinterlässt. Nicht umsonst schreibt Snapchts my AI in hier: „Außerdem solltest du vermeiden, vertrauliche oder sensible Informationen mit My AI zu teilen.“ Die Möglichkeiten, die GPT 4 o bieten wird, um Lernen zu vereinfachen, kann als Spur hinterlassen, was als Lerndefizit beim Nutzer besteht. An solchem Wissen über Schwächen hat die Konkurrenz gelegentlich auch strategisches Interesse.

Unternehmensführer, die sich nicht mit den Hinweisen des BSI (und Verweisen auf gemeinsam mit anderen Staaten erarbeiteten Guidelines) auseinandersetzen, sind also künftig vermutlich häufiger in die persönliche Haftung zu nehmen.

Wo Unternehmen ihr eigenes KI – Modell trainieren, muss klar sein, dass eine Eingabe mit sinnlosen Daten (data poisoning) ein ernst zu nehmender Angriff im Wettbewerb ist. Ist Mist in der eigenen KI, kann diese nicht mehr zur Entscheidungsfindung entlastend herangezogen werden, siehe dazu Beispielhaft der Wortlaut des Aktiengesetzes:

§ 93 AktG Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- oder Geschäftsgeheimnisse, die den Vorstandsmitgliedern durch ihre Tätigkeit im Vorstand bekanntgeworden sind, haben sie Stillschweigen zu bewahren.

Soweit die Gesetzesnorm: Erkennbar ist daraus auch, dass das Vorstandsmitglied nicht in irgendeine fremde KI Betriebs- oder Geschäftsgeheimnisse eingeben darf. Die Praxis wird spannend werden.