Praxis

Schatten-KI: Unkontrollierte KI-Nutzung im Unternehmen

Wenn Beschäftigte ChatGPT und andere KI-Tools eigenmächtig und unbemerkt nutzen, entsteht Schatten-KI. Dieser Leitfaden erklärt die Risiken, die rechtlichen Folgen und wie Sie mit Governance und klaren Richtlinien die Kontrolle zurückgewinnen.

9 Min. LesezeitAktualisiert im Januar 2026

Was Schatten-KI bedeutet

Der Begriff Schatten-KI, im Englischen Shadow AI, beschreibt die Nutzung von KI-Werkzeugen durch Beschäftigte ohne Wissen, Genehmigung oder Kontrolle der Unternehmensleitung. In Anlehnung an die bekannte Schatten-IT entstehen so KI-Anwendungen, die außerhalb der offiziellen Strukturen und Sicherheitsvorgaben des Unternehmens betrieben werden.

Typische Beispiele sind die private Anmeldung bei ChatGPT für berufliche Aufgaben, die Nutzung kostenloser Übersetzungsdienste mit vertraulichen Texten oder der Einsatz von Browser-Erweiterungen mit KI-Funktionen. Häufig geschieht dies in bester Absicht, um Arbeit zu erleichtern, jedoch ohne Bewusstsein für die damit verbundenen Risiken.

Schatten-KI verbreitet sich besonders schnell, weil viele leistungsfähige KI-Dienste kostenlos und ohne technische Hürden zugänglich sind. Studien zeigen, dass ein erheblicher Teil der Beschäftigten KI bereits am Arbeitsplatz nutzt, oft ohne dass die Unternehmensleitung davon Kenntnis hat oder klare Regeln existieren.

Definition Schatten-KI

Schatten-KI ist die Nutzung von KI-Werkzeugen durch Beschäftigte ohne Wissen, Genehmigung oder Kontrolle der Unternehmensleitung, vergleichbar mit der klassischen Schatten-IT.

Die wichtigsten Risiken

Das größte Risiko der Schatten-KI ist der unkontrollierte Abfluss vertraulicher Informationen. Geben Beschäftigte Kundendaten, Geschäftsgeheimnisse oder interne Dokumente in öffentliche KI-Dienste ein, verlassen diese Daten die Kontrolle des Unternehmens. Manche Anbieter nutzen eingegebene Inhalte zudem zum Training ihrer Modelle.

Hinzu kommt das Risiko fehlerhafter Ergebnisse. KI-Systeme können falsche Informationen erzeugen, sogenannte Halluzinationen, die ungeprüft in Angebote, Berichte oder Kundenkommunikation einfließen. Werden solche Fehler übernommen, drohen wirtschaftliche Schäden und Reputationsverluste.

Schließlich entsteht ein erhebliches Compliance-Risiko. Ohne Übersicht über die eingesetzten Werkzeuge kann das Unternehmen weder die DSGVO noch die KI-Verordnung zuverlässig einhalten. Die Pflicht zur KI-Kompetenz nach Artikel 4 lässt sich nicht erfüllen, wenn nicht einmal bekannt ist, welche Systeme tatsächlich genutzt werden.

  • Abfluss vertraulicher Daten in öffentliche KI-Dienste.
  • Übernahme fehlerhafter oder erfundener Ergebnisse.
  • Verletzung von Urheber- und Geheimhaltungsrechten.
  • Fehlende Übersicht erschwert die Einhaltung von DSGVO und KI-Verordnung.

Rechtliche Folgen

Schatten-KI kann zu Verstößen gegen die DSGVO führen, etwa wenn personenbezogene Daten ohne Rechtsgrundlage oder ohne Auftragsverarbeitungsvertrag in externe KI-Dienste gelangen. Solche Verstöße können empfindliche Bußgelder nach sich ziehen und Schadenersatzansprüche der betroffenen Personen begründen.

Auch die KI-Verordnung wird berührt. Da Artikel 4 die ausreichende KI-Kompetenz aller Nutzenden verlangt, stellt die unkontrollierte Nutzung ungeschulter Werkzeuge ein Organisationsdefizit dar. Kommt es in der Folge zu Verstößen gegen Transparenz- oder Hochrisiko-Pflichten, drohen die Sanktionen des Artikels 99.

Nicht zu unterschätzen sind die Haftungsrisiken der Leitungsebene. Geschäftsführung und Vorstand müssen eine wirksame Compliance-Organisation einrichten. Wer die Augen vor der verbreiteten Nutzung von Schatten-KI verschließt, riskiert den Vorwurf des Organisationsverschuldens und damit persönliche Haftung.

Organisationsverschulden vermeiden

Wer Schatten-KI ignoriert, riskiert Verstöße gegen DSGVO und KI-Verordnung sowie den Vorwurf des Organisationsverschuldens, der eine persönliche Haftung der Leitungsebene begründen kann.

Governance und Kontrolle

Der wirksamste Weg gegen Schatten-KI ist nicht das pauschale Verbot, sondern eine durchdachte KI-Governance. Sie schafft sichere, genehmigte Wege für die KI-Nutzung und nimmt Beschäftigten so den Anreiz, auf unkontrollierte Werkzeuge auszuweichen. Ein striktes Verbot allein verlagert die Nutzung nur weiter in den Verborgenen.

Den Ausgangspunkt bildet eine Bestandsaufnahme der tatsächlich genutzten Werkzeuge. Anschließend werden geprüfte, datenschutzkonforme Alternativen bereitgestellt und klare Zuständigkeiten für die Bewertung und Freigabe neuer KI-Dienste festgelegt. Eine zentrale Stelle behält den Überblick und dokumentiert die eingesetzten Systeme.

Governance ist ein fortlaufender Prozess. Angesichts der schnellen Entwicklung des KI-Marktes müssen Freigaben, Richtlinien und Schulungen regelmäßig überprüft und angepasst werden. So bleibt das Unternehmen handlungsfähig und compliant, ohne Innovation auszubremsen.

  • Bestandsaufnahme der tatsächlich genutzten KI-Werkzeuge.
  • Bereitstellung geprüfter, datenschutzkonformer Alternativen.
  • Klare Zuständigkeiten für Bewertung und Freigabe neuer Dienste.
  • Regelmäßige Überprüfung von Freigaben, Richtlinien und Schulungen.

Wirksame Richtlinien etablieren

Eine KI-Richtlinie übersetzt die Governance in konkrete Handlungsregeln für den Alltag. Sie legt fest, welche Werkzeuge genutzt werden dürfen, welche Daten eingegeben werden dürfen und welche Eingaben strikt untersagt sind. Insbesondere personenbezogene und vertrauliche Daten sollten in öffentlichen Diensten ausdrücklich ausgeschlossen werden.

Damit Richtlinien wirken, müssen sie verständlich, praxisnah und bekannt sein. Eine Richtlinie, die niemand kennt oder versteht, bleibt wirkungslos. Deshalb gehört zu jeder Richtlinie eine Schulung, die den Beschäftigten die Regeln vermittelt und für die Risiken sensibilisiert.

Genau hier setzt die KI-Kompetenz-Pflicht aus Artikel 4 an. Eine dokumentierte Schulung erfüllt nicht nur die gesetzliche Pflicht, sondern ist zugleich das wirksamste Mittel gegen Schatten-KI. Wer die Chancen und Risiken von KI versteht, nutzt sie verantwortungsvoll und innerhalb der vorgegebenen Bahnen.

  • Klare Regeln zu erlaubten Werkzeugen und zulässigen Eingaben.
  • Ausdrücklicher Ausschluss vertraulicher Daten in öffentlichen Diensten.
  • Verständliche, praxisnahe und bekannte Formulierung.
  • Verbindliche Schulung als Ergänzung zur Richtlinie.
Häufige Fragen

Antworten auf die wichtigsten Fragen

Aus Wissen wird Rechtssicherheit

Setzen Sie die gesetzliche Pflicht aus Artikel 4 EU-KI-VO direkt um — mit einer dokumentierten Schulung in nur 60 Minuten.