complaid
Alle Artikel
Shadow AIDatenschutzDSGVOPraxis

Shadow AI: Das unsichtbare Risiko in deinem Unternehmen

·4 Min. Lesezeit·Complaid Redaktion

Deine Mitarbeitenden nutzen KI. Weißt du es?

Studien zeigen: Über zwei Drittel der Büroangestellten nutzen KI-Tools am Arbeitsplatz. Die Mehrheit davon ohne offizielle Freigabe oder Richtlinie des Arbeitgebers.

Das Phänomen hat einen Namen: Shadow AI — die unkontrollierte Nutzung von KI-Tools durch Mitarbeitende, ohne Wissen oder Genehmigung der Organisation.

Und es ist das neue Shadow IT. Nur gefährlicher.

Warum Shadow AI anders ist als Shadow IT

Shadow IT der 2000er war: Jemand nutzt Dropbox statt SharePoint. Ärgerlich, aber überschaubar.

Shadow AI 2025 ist: Eine Mitarbeiterin kopiert einen kompletten Arbeitsvertrag in ChatGPT, um ihn zusammenfassen zu lassen. Ein Vertriebler gibt Kundendaten samt Kontaktinfos in ein KI-Tool ein. Eine Führungskraft lässt vertrauliche Finanzdaten durch eine KI analysieren.

Die Unterschiede auf einen Blick:

| Shadow IT | Shadow AI | |-----------|-----------| | Dateien in falscher Cloud | Daten an KI-Modell gesendet | | Lokale Kopie existiert noch | Daten potenziell im Training | | Einmaliger Upload | Jeder Prompt ist ein Transfer | | Meist intern erkennbar | Von außen fast unsichtbar |

Echte Fälle, echte Risiken

Fall 1: Samsung (2023)

Mitarbeitende gaben proprietären Quellcode in ChatGPT ein. Samsung musste danach die KI-Nutzung komplett verbieten — ein Overreaction, die Produktivität kostete.

Fall 2: Anwaltskanzlei in New York (2023)

Ein Anwalt nutzte ChatGPT für einen Schriftsatz. Das Tool halluzinierte sechs Gerichtsentscheidungen, die nie existierten. Der Anwalt reichte sie als echt ein.

Fall 3: Alltag in fast jedem Unternehmen

  • HR kopiert Bewerbungsschreiben in ChatGPT → personenbezogene Daten an OpenAI
  • Marketing gibt Kundenfeedback als Kontext ein → Kundendaten in der Cloud
  • Entwickler lassen Code reviewen → potenzielle Geschäftsgeheimnisse preisgegeben

Das DSGVO-Problem

Jedes Mal, wenn ein Mitarbeitender personenbezogene Daten in ein KI-Tool eingibt, findet eine Datenverarbeitung statt. Ohne:

  • Rechtsgrundlage (Art. 6 DSGVO)
  • Auftragsverarbeitungsvertrag mit dem KI-Anbieter (Art. 28 DSGVO)
  • Datenschutzfolgenabschätzung bei hohem Risiko (Art. 35 DSGVO)
  • Information der Betroffenen (Art. 13/14 DSGVO)

Das ist nicht "best practice" — das ist geltendes Recht. Und die Bußgelder sind real: Bis zu 20 Mio. Euro oder 4% des Jahresumsatzes.

Warum Verbieten nicht funktioniert

Einige Unternehmen reagieren wie Samsung: KI komplett verbieten. Das Ergebnis?

  • Mitarbeitende nutzen KI trotzdem — nur heimlich (→ noch weniger Kontrolle)
  • Das Unternehmen verliert den Produktivitätsvorsprung durch KI
  • Talente wandern ab zu Arbeitgebern, die KI ermöglichen

Verbote lösen das Problem nicht. Sie verschieben es in den Untergrund.

Was stattdessen funktioniert

1. Sichtbarkeit schaffen

Du kannst nicht regeln, was du nicht siehst. Starte mit einer KI-Nutzungsanalyse: Welche Tools werden genutzt? Von wem? Für welche Aufgaben?

Unser Risiko-Check gibt dir in 5 Minuten eine erste Einschätzung.

2. Klare KI-Richtlinie aufstellen

Keine 50-Seiten-Policy, die niemand liest. Sondern eine pragmatische Richtlinie:

  • Erlaubte Tools (z.B. ChatGPT Enterprise mit DPA, Microsoft Copilot)
  • Verbotene Daten (personenbezogene Daten, Geschäftsgeheimnisse, Finanzdaten)
  • Prüfpflichten (KI-Output immer verifizieren)
  • Meldepflicht bei Unsicherheit

3. Mitarbeitende schulen

Die beste Richtlinie bringt nichts, wenn niemand weiß, was sie bedeutet. Schulungen müssen:

  • Praxisnah sein (echte Beispiele, nicht abstrakte Theorie)
  • Kurz sein (Module, keine Marathons)
  • Regelmäßig aktualisiert werden
  • Nachweisbar sein (EU AI Act Artikel 4!)

4. Sichere Alternativen anbieten

Wenn du KI-Nutzung verbietest ohne Alternative, gewinnst du nichts. Biete freigegebene Tools an:

  • Enterprise-Versionen mit Datenschutzvertrag
  • Lokale KI-Lösungen für sensible Daten
  • Klare "Do's and Don'ts" für jedes Tool

Shadow AI ist kein IT-Problem — es ist ein Führungsthema

Die IT-Abteilung kann Shadow AI nicht allein lösen. Es braucht:

  • Geschäftsführung, die das Thema ernst nimmt
  • HR, die Schulungen organisiert
  • Datenschutzbeauftragte, die die DSGVO-Konformität sicherstellen
  • Führungskräfte, die mit gutem Beispiel vorangehen

Fazit

Shadow AI ist Realität in fast jedem Unternehmen. Die Frage ist nicht, ob es passiert — sondern ob du es in geordnete Bahnen lenkst.

Der Weg: Nicht verbieten, sondern befähigen. Mit klaren Regeln, praxisnahen Schulungen und einer Kultur, in der Mitarbeitende KI offen und verantwortungsvoll nutzen.

Dein Unternehmen nutzt KI? Dann braucht es Regeln. Complaid hilft mit Schulung, Richtlinien und Nachweis. Risiko-Check starten →

KI-Compliance in deinem Unternehmen sicherstellen?

Complaid schult Mitarbeitende im sicheren Umgang mit KI — mit Lernpfaden, Leitplanken und dokumentierbaren Nachweisen.

Kurs ansehen →Risiko-Check starten