Checkliste für IP, Daten und Geschäftsgeheimnisse für Start-ups nach der Umsetzung des AI Acts

Pine IP Firm
14.5.2026

Die Strategie für geistiges Eigentum für KI-Startups endet nicht mehr mit "Können wir unser Modell patentieren?". Mit dem Inkrafttreten des "Gesetzes zur Förderung der Entwicklung und vertrauenswürdigen Schaffung von künstlicher Intelligenz usw." am 22. Januar 2026 sind KI-Dienste in eine Phase eingetreten, in der neben dem technologischen Schutz auch Datenherkunft, Transparenz, Sicherheit, das Management von Geschäftsgeheimnissen und Outsourcing-Verträge geprüft werden müssen.

Insbesondere für generative KI, KI, die in sensiblen Bereichen wie Gesundheitswesen, Finanzen, Personalwesen, Bildung und Transportwesen eingesetzt wird, oder für SaaS-basierte KI-Dienste, die kontinuierlich Kundendaten für das Training nutzen, können IP und Compliance von Anfang an nicht getrennt betrachtet werden. Patente sind ein Mittel zur Offenlegung von Technologie und zur Sicherung von Rechten, während Geschäftsgeheimnisse ihren Wert durch Nichtoffenlegung behalten. Trainingsdaten und Richtlinien für den Modellbetrieb bestimmen das Risiko eines Unternehmens zwischen diesen beiden.

Dieser Artikel bietet eine praktische Checkliste für KI-Unternehmen, die sie vor der Produkteinführung überprüfen sollten.

Drei Vermögenswerte, die zuerst unterschieden werden müssen

KI-Unternehmen verfügen oft über eine Mischung von Vermögenswerten mit unterschiedlichen Merkmalen.

Erstens: Technologien, die offengelegt werden können. Dazu gehören Technologien wie spezifische Modellstrukturen, Datenvorverarbeitungsmethoden, Techniken zur Verbesserung der Inferenzgeschwindigkeit und branchenspezifische Anwendungssysteme, die patentiert werden können. Dieser Bereich erfordert eine Prüfung, ob vor der Offenlegung ein Patent angemeldet werden soll.

Zweitens: Technologien, deren Wert mit der Offenlegung sinkt. Diese Kategorie umfasst Modelltrainingspipelines, Datenkennzeichnungsstandards, Know-how zur Hyperparameter-Optimierung, Prompt-Ketten, Bewertungssätze und kundenspezifische Optimierungsregeln. Dieser Bereich sollte zunächst auf sein Potenzial zur Verwaltung als Geschäftsgeheimnis bewertet werden.

Drittens: Externe Vermögenswerte, die das Unternehmen nicht frei nutzen kann. Dazu gehören gecrawlete Daten, vom Kunden bereitgestellte Daten, Open-Source-Code, externe APIs, öffentliche Datensätze, von Partnern erstellte Module und experimenteller Code, der von Mitarbeitern mit persönlichen Konten erstellt wurde. Dieser Bereich erfordert eine anfängliche Überprüfung der Eigentumsverhältnisse und Nutzungsbedingungen.

KI-Streitigkeiten entstehen typischerweise, wenn die dritte Kategorie von Vermögenswerten so behandelt wird, als wäre sie die erste oder zweite. Die Aussage "Wir haben es trainiert, also gehört es uns" ist erst dann aussagekräftig, wenn Probleme im Zusammenhang mit Verträgen, Lizenzen, personenbezogenen Daten, Urheberrechten und Geschäftsgeheimnissen geklärt sind.

Zu prüfende Punkte nach dem KI-Basisgesetz

1. Feststellen, ob unser Dienst nahe an High-Impact-KI liegt

Das KI-Basisgesetz schreibt ein separates Managementsystem für KI vor, die das menschliche Leben, die physische Sicherheit und die Grundrechte erheblich beeinträchtigen kann. Die Durchführungsverordnung schreibt auch die Bestätigung von Anwendungsbereichen wie Energie, Trinkwasser, Gesundheitswesen, Medizinprodukte, Kernenergie, Strafverfolgung/Verhaftung, Rekrutierungs-/Kreditprüfung, Transportwesen, öffentliche Dienstleistungen und Bildung vor.

Selbst wenn ein Startup seinen Dienst als "einfachen Empfehlungsservice" betrachtet, können Probleme im Zusammenhang mit High-Impact-KI auftreten, wenn tatsächliche Kunden ihn für Rekrutierungs-, Kreditantrags-, Versicherungs-, medizinische oder Bildungsbewertungen verwenden. Daher ist es ratsam, die zulässigen und verbotenen Anwendungsbereiche der KI sowie den Umfang der Kundenverantwortung in Produktbeschreibungen und Verträgen klar abzugrenzen.

Checklistenfragen:

  • Verwendet der Kunde diese KI-Ergebnisse für menschliche Rekrutierung, Kreditanträge, Diagnosen oder Sicherheitsbewertungen?
  • Sind die KI-Ergebnisse nahe an automatisierten Entscheidungen oder handelt es sich um Referenzmaterialien?
  • Verfügt der Kunde über Protokolle und Erläuterungsmaterialien zur Interpretation und Überprüfung der Ergebnisse?
  • Übertreibt die Produktbeschreibung die tatsächlichen Funktionen?

2. Erstellung einer Datentabellentabelle für Trainingsdaten

KI-Unternehmen benötigen oft eine Datentabellentabelle mehr als technische Dokumentation. Eine Datentabellentabelle ist kein aufwendiges Dokument, sondern vielmehr eine Tabelle, die zusammenfasst, welche Daten woher stammen und unter welchen Bedingungen sie verwendet werden.

Die minimal erforderlichen Elemente sind wie folgt:

Punkt Zu prüfende Details
Datenname Interner identifizierbarer Name
Quelle Selbst generiert, vom Kunden bereitgestellt, öffentliche Daten, gekaufte Daten, gecrawlt, ausgelagerte Lieferung
Nutzungsgrundlage Vertrag, Nutzungsbedingungen, Lizenz, Zustimmung, Rechtsgrundlage
Erlaubter Umfang Training, Verifizierung, Anzeige innerhalb des Produkts, Weiterverkauf, Bereitstellung für Dritte
Beschränkungen Nicht-kommerzielle Nutzung, Namensnennung, Verbot der Weiterverbreitung, Verbot des Modelltrainings usw.
Status personenbezogener Daten Enthalten, de-identifiziert, anonymisiert, nicht enthalten
Reaktion auf Löschungsanfragen Möglichkeit der Entfernung nach Kündigung durch den Kunden oder Anfrage des Rechteinhabers

Ohne diese Tabelle können Erklärungen während der Due Diligence für Investoren, Kunden-Sicherheitsüberprüfungen, Proof-of-Concepts (PoCs) großer Unternehmen oder bei der Einführung im öffentlichen Sektor ins Stocken geraten. Insbesondere "öffentlich verfügbare Daten" und "Daten, die frei für das Training verwendet werden können" sind keine Synonyme.

3. Aufnahme des Eigentums an generativen KI-Ausgaben in Verträge

In Arbeitsabläufen, die generative KI nutzen, ist das Eigentum an der Ausgabe oft nicht spezifiziert. Wenn ein externer Anbieter Benutzeroberflächen, Marketingtexte, Code, Bilder oder Berichte erstellt, die von KI generiert wurden, kann die Unklarheit darüber, wer die Ausgabe nutzen kann und in welchem Umfang, zu zukünftigen Problemen führen.

Der Vertrag sollte die folgenden Klauseln enthalten:

  • Verfügbarkeit der Nutzung von KI-Tools
  • Ob Geschäftsgeheimnisse oder personenbezogene Daten des Kunden eingegeben werden können
  • Haftung, wenn die Ausgabe Elemente enthält, die Rechte Dritter verletzen
  • Rechte zur Änderung, Wiederverwendung oder Erstellung abgeleiteter Werke aus der Ausgabe
  • Offenlegung von Lizenzen für verwendete Open-Source-Software und externe Modelle
  • Ob die Wiederverwendung von Trainingsdaten in gelieferten Produkten untersagt ist

Die bloße Aufnahme von Klauseln, die die KI-Nutzung verbieten, ist möglicherweise nicht praktikabel. Wichtiger ist es, zu definieren, "welche Daten nicht enthalten sein dürfen" und "welche Informationen offengelegt werden müssen, wenn sie verwendet werden".

4. Unterscheidung zwischen Geschäftsgeheimnissen und patentierbaren Erfindungen

Für KI-Technologie ist es nicht immer der beste Ansatz, alles zu patentieren. Patente werden auf der Grundlage der öffentlichen Offenlegung erteilt, während Geschäftsgeheimnisse auf Nichtoffenlegung beruhen. Daher muss auch innerhalb desselben KI-Dienstes eine Unterscheidung getroffen werden.

Gegenstand der Patentprüfung:

  • Wenn die Modellstruktur oder die Trainingsmethode technische Effekte erzeugt
  • Wenn ein Datenverarbeitungsfluss vorliegt, der ein spezifisches Industrieproblem löst
  • Wenn sie mit technischen Konfigurationen wie Hardware, Sensoren, Steuerung, Diagnose oder Sicherheit kombiniert wird
  • Wenn Wettbewerber die Implementierung bis zu einem gewissen Grad durch Beobachtung des Produkts ableiten können

Gegenstand des Managements von Geschäftsgeheimnissen:

  • Datenbereinigungsstandards
  • Kennzeichnungsanleitung
  • Prompt-Vorlagen und Bewertungssätze
  • Kundenspezifische Tuning-Parameter
  • Fehlerprotokolle und operatives Know-how
  • Preisalgorithmen und interne Benchmarks

Um etwas als Geschäftsgeheimnis zu verwalten, müssen Zugangskontrollen, Exportbeschränkungen, Vertraulichkeitskennzeichnungen, Protokollverwaltung, Rückruf von ausscheidenden Mitarbeitern und NDAs mit Partnern effektiv umgesetzt werden. Die bloße Erwägung, etwas sei "wichtig", reicht nicht aus.

5. Separate Verwaltung von Open Source und externen APIs

KI-Produkte werden oft durch die schnelle Integration von Open-Source-Modellen, Vektordatenbanken, Frameworks, Bewertungstools und externen APIs erstellt. Das Problem entsteht, wenn Bibliotheken, die in der PoC-Phase verwendet wurden, ohne Änderung in kommerzielle Produkte integriert werden.

Vor der Markteinführung sollten mindestens folgende Punkte überprüft werden:

  • Liste der verwendeten Open-Source-Software
  • Arten jeder Lizenz
  • Ob Änderungen vorgenommen wurden
  • Ob das Produkt als Distribution oder SaaS geliefert wird
  • Ob Installationsdateien oder Container an Kunden bereitgestellt werden
  • Verpflichtungen zur Offenlegung des Quellcodes, zur Namensnennung oder zur Bereitstellung von Lizenzkopien
  • Ob die Bedingungen externer APIs die Speicherung, das erneute Training oder den Weiterverkauf von Ausgaben zulassen

Die Offenlegung von Open-Source-Software und die Einhaltung von Lizenzpflichten werden noch kritischer, wenn On-Premise-Lösungen oder SDKs an Unternehmenskunden geliefert werden.

Interne Checkliste vor der Markteinführung

  • Gibt es eine Datentabellentabelle?
  • Sind die Nutzungsbedingungen klar darüber, ob Kundendaten für das Training verwendet werden?
  • Sind Eigentum und Haftung für generative KI-Ausgaben im Vertrag enthalten?
  • Wurde die Anwendbarkeit auf High-Impact-KI geprüft?
  • Wurden technische Daten vor der Patentanmeldung offengelegt?
  • Gibt es Zugangs- und Exportkontrollen für Daten, die als Geschäftsgeheimnisse verwaltet werden?
  • Wurde eine Liste von Open-Source-Lizenzen erstellt?
  • Gibt es Bestimmungen für die Rechteübertragung für Code und Modelle, die von externen Entwicklern erstellt wurden?
  • Übertreibt das dem Kunden zur Verfügung gestellte Erläuterungsmaterial die tatsächlichen Funktionen?
  • Sind die Nutzungsbedingungen aktualisiert, um die Haftung für Ausfälle, Fehler oder Halluzinationen widerzuspiegeln?

Häufig gestellte Fragen

Können KI-Modelle selbst geschützt werden?

Anstatt das Modell selbst zu schützen, kann der Schutz Aspekte wie die Modellstruktur, Trainingsmethoden, Datenverarbeitungsflüsse, Systemkonfigurationen, die spezifische Industrieprobleme lösen, und technische Mittel zur Verbesserung der Inferenzgeschwindigkeit oder -genauigkeit umfassen. Es muss jedoch zwischen Aspekten unterschieden werden, die bei Offenlegung leicht replizierbar sind, und solchen, die geheim gehalten werden müssen.

Reichen die Nutzungsbedingungen aus, um Kundendaten für das Training zu verwenden?

Die Nutzungsbedingungen sind lediglich ein Ausgangspunkt. Je nach Art der Daten können Probleme im Zusammenhang mit personenbezogenen Daten, Geschäftsgeheimnissen, Urheberrechten und vertraglichen Vertraulichkeitsverpflichtungen entstehen. Für B2B-Dienste ist es sicherer, die Nutzung interner Kundendaten für das Retraining durch separate Zustimmung oder Verträge zu regeln.

Können generative KI-Ausgaben sofort kommerziell vom Unternehmen genutzt werden?

Dies hängt von den Nutzungsbedingungen des verwendeten KI-Tools, dem Eigentum an den Eingabedaten, der Ähnlichkeit der Ausgabe und der Rechtezuweisung in Outsourcing-Verträgen ab. Insbesondere Logos, Charaktere, Werbebilder, Code und Datensätze erfordern eine gesonderte Prüfung.

Praktische Vorschläge von Pine IP Firm

Vor der Produkteinführung müssen KI-Unternehmen Patentierbarkeit, Datenverwendungsrechte, das Management von Geschäftsgeheimnissen, Open-Source-Lizenzen und Kundenverträge ganzheitlich betrachten. Die Konzentration auf nur einen Bereich kann dazu führen, dass tatsächliche Risiken übersehen werden.

Pine IP Firm bietet Strategien zur Unterscheidung zwischen Technologien, die offengelegt, und solchen, die vertraulich behandelt werden sollen, indem sie nicht nur die Patentierbarkeit von KI-Technologie, sondern auch die Struktur von Daten, Geschäftsgeheimnissen und Verträgen prüft.