Schatten-KI im Unternehmen: die unterschätzten Gefahren und rechtlichen Risiken

Was ist „Schatten-KI"?

Von Schatten-KI (englisch „Shadow AI") spricht man, wenn Mitarbeiter eigenmächtig KI-Dienste für ihre Arbeit einsetzen, ohne dass die Geschäftsführung oder die IT davon weiß oder es freigegeben hat. Meist sind es kostenlose Cloud-Tools wie ChatGPT, Google Gemini, Microsoft Copilot oder DeepSeek – aufgerufen im Browser oder auf dem privaten Handy. Der Begriff lehnt sich an die bekannte „Schatten-IT" an: Software, die ohne Wissen der IT genutzt wird. Der Unterschied: Bei KI geben Mitarbeiter dafür aktiv Unternehmensdaten ein – und genau darin liegt das Problem.

Warum sie in fast jedem Betrieb längst Alltag ist

Schatten-KI entsteht selten aus böser Absicht, sondern aus Hilfsbereitschaft und Zeitdruck. Die Werkzeuge sind kostenlos, in Sekunden verfügbar und enorm nützlich. Wer damit eine Stunde Arbeit spart, fragt nicht erst lange um Erlaubnis.

• Kein Aufwand: Eine Anmeldung mit der privaten E-Mail genügt – vorbei an jeder Freigabe.
• Echter Nutzen: Texte, Übersetzungen, Zusammenfassungen, Code – die Ergebnisse sind oft verblüffend gut.
• Fehlende Alternative: Wo das Unternehmen kein sicheres KI-Angebot bereitstellt, greifen Mitarbeiter eben zur nächstbesten kostenlosen Lösung.

Studien gehen davon aus, dass bereits ein erheblicher Teil der Beschäftigten KI im Job nutzt – und ein Großteil davon ohne Freigabe. Die entscheidende Frage ist also nicht ob, sondern wie kontrolliert in Ihrem Unternehmen KI eingesetzt wird.

Gefahr 1: Ihre Daten verlassen unbemerkt das Haus

Jede Eingabe in einen Cloud-Chatbot wird an die Server des Anbieters übertragen – häufig außerhalb der EU. Was harmlos beginnt, wird schnell kritisch:

• Personenbezogene Daten: Kunden- und Mitarbeiterdaten, Bewerbungsunterlagen, Gesundheits- oder Vertragsdaten landen bei einem Dritten.
• Geschäftsgeheimnisse: Kalkulationen, Quellcode, Konstruktionsdaten oder Strategiepapiere gehen aus der Hand – unwiederbringlich.
• Training fremder Modelle: Je nach Anbieter und Tarif dürfen Ihre Eingaben zur Weiterentwicklung der KI verwendet werden. Ihr Wissen verbessert dann das Produkt eines Dritten.

Das Tückische: Es gibt keinen Alarm und keine Spur. Daten, die einmal eingegeben wurden, holen Sie nicht zurück.

Gefahr 2: Die rechtlichen Risiken

Schatten-KI ist nicht nur ein IT-Thema, sondern vor allem ein Haftungsthema. Verantwortlich ist das Unternehmen – auch dann, wenn ein einzelner Mitarbeiter eigenmächtig gehandelt hat.

1. DSGVO & Datenschutz: Wer personenbezogene Daten ohne Rechtsgrundlage und ohne Auftragsverarbeitungsvertrag an einen KI-Anbieter übermittelt, verstößt gegen die DSGVO. Es drohen Bußgelder von bis zu 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes sowie Meldepflichten bei Datenpannen.
2. Geschäftsgeheimnisse: Nach dem Geschäftsgeheimnisgesetz (GeschGehG) genießen Informationen nur Schutz, wenn „angemessene Geheimhaltungsmaßnahmen" getroffen wurden. Wer Geheimnisse in offene KI-Tools eingibt, kann diesen Schutz – und damit Ansprüche gegen Nachahmer – verlieren.
3. Urheber- & Lizenzrecht: KI-Ergebnisse können fremde Rechte verletzen, und an rein maschinell erzeugten Inhalten besteht in der Regel kein eigener Urheberrechtsschutz. Wer KI-Texte oder -Code ungeprüft übernimmt, trägt das Risiko.
4. EU AI Act: Die KI-Verordnung der EU verpflichtet Unternehmen schrittweise zu KI-Kompetenz, Transparenz und Risikomanagement beim KI-Einsatz. Unkontrollierte Schatten-KI lässt sich damit kaum vereinbaren.
5. Mitbestimmung: Der Einsatz von KI-Systemen kann mitbestimmungspflichtig sein – der Betriebsrat ist dann einzubeziehen. Geschieht das nicht, sind die Maßnahmen angreifbar.

Hinzu kommt die persönliche Verantwortung der Geschäftsführung: Wer keine angemessenen Organisations- und Schutzmaßnahmen trifft, riskiert im Schadensfall die eigene Haftung.

Gefahr 3: Falsche Ergebnisse ohne Kontrolle

KI-Modelle erfinden Inhalte, wenn sie etwas nicht wissen – überzeugend formuliert und doch falsch („Halluzinationen"). Fließen solche Ergebnisse ungeprüft in Angebote, Verträge, Gutachten oder Kundenkommunikation ein, entstehen Fehler, für die Ihr Unternehmen geradesteht. Bei Schatten-KI fehlt jede Nachvollziehbarkeit: Niemand weiß, welches Tool mit welchen Daten gefüttert wurde und wie verlässlich das Ergebnis ist.

Warum Verbote allein nicht funktionieren

Die erste Reaktion vieler Unternehmen ist ein pauschales Verbot. Das ist verständlich – aber wirkungslos. KI ist zu nützlich, als dass sich ihre Nutzung per Anweisung stoppen ließe; sie wandert nur noch tiefer in den Schatten, etwa auf private Geräte. Wer Schatten-KI wirklich eindämmen will, muss seinen Mitarbeitern eine bessere, sichere Alternative bieten, statt ihnen ein nützliches Werkzeug ersatzlos wegzunehmen.

Was Sie jetzt tun sollten

Drei Bausteine bringen Schatten-KI unter Kontrolle, ohne Ihre Mitarbeiter auszubremsen:

1. Klare KI-Richtlinie: Legen Sie schriftlich fest, welche Tools erlaubt sind und welche Daten niemals in eine externe KI gehören. Schaffen Sie Klarheit statt Grauzonen.
2. Schulung & Sensibilisierung: Viele Vorfälle passieren aus Unwissen. Wer die Risiken kennt, handelt vorsichtiger – das schützt mehr als jedes Verbot.
3. Eine sichere Alternative bereitstellen: Geben Sie Ihren Mitarbeitern ein freigegebenes, datenschutzkonformes KI-Angebot. Am sichersten ist eine eigene KI auf eigener Hardware: Die Modelle laufen im Haus, Ihre Daten bleiben im eigenen Netz – und niemand muss mehr heimlich auf Cloud-Tools ausweichen.

Fazit

Schatten-KI ist kein Randthema, sondern in den meisten Unternehmen bereits Realität – mit handfesten Risiken für Datenschutz, Geschäftsgeheimnisse und die persönliche Haftung der Leitung. Der Ausweg liegt nicht im Verbot, sondern in klaren Regeln und einer sicheren Alternative, die Ihre Mitarbeiter gern statt der Cloud nutzen. Wer KI ins eigene Haus holt, verwandelt ein unkontrolliertes Risiko in einen kontrollierten Wettbewerbsvorteil.