Schatten-KI im Unternehmen: Warum unkontrollierte KI-Nutzung Ihr größtes DSGVO-Risiko ist

Es gibt heute kaum noch ein Unternehmen, in dem wir auf Mitarbeiter treffen, die nicht zumindest privat ChatGPT oder ein ähnliches KI-Tool nutzen. In vielen Fällen beschränkt sich das auf die private Nutzung — in einigen aber eben nicht. Und genau hier beginnt das Problem, das die meisten Unternehmen unterschätzen.

Was ist Schatten-KI?

Schatten-KI (oder „Shadow AI") beschreibt die Nutzung von KI-Tools durch Mitarbeiter ohne Wissen, Genehmigung oder Kontrolle der IT-Abteilung. Das Muster ist fast immer dasselbe: Mitarbeiter kennen ChatGPT aus der privaten Nutzung, entdecken, wie nützlich es für die tägliche Arbeit ist, und fangen an, es auch beruflich einzusetzen — ohne böse Absicht, aber mit potenziell weitreichenden Konsequenzen.

Dabei müssen gar keine Firmengeheimnisse ausgeplaudert werden. Schon alltägliche Anwendungsfälle sind problematisch:

• E-Mails formulieren: Der Mitarbeiter gibt den Kontext einer internen Diskussion ein, inklusive Namen, Projektreferenzen und Geschäftszahlen.
• Texte schreiben oder überarbeiten: Marketingtexte, Angebote oder Vertragspassagen werden in ein öffentliches KI-Tool kopiert.
• Prozessfragen klären: „Wie läuft bei uns die Freigabe für XY?" — schon enthält der Prompt interne Prozessinformationen.
• Code-Unterstützung: Entwickler geben proprietären Code in ChatGPT ein, um Fehler zu finden oder Funktionen zu ergänzen.

All diese Daten landen auf den Servern des jeweiligen Anbieters. Bei den Standardversionen von ChatGPT, Gemini und ähnlichen Tools werden sie in der Regel auf US-Servern gespeichert — und potenziell sogar für das Training zukünftiger Modelle verwendet.

Warum Schatten-KI ein DSGVO-Problem ist

Aus datenschutzrechtlicher Sicht ist unkontrollierte KI-Nutzung gleich in mehrfacher Hinsicht problematisch.

Keine Auftragsverarbeitungsvereinbarung (AVV): Wenn Mitarbeiter die kostenlose oder private Version von ChatGPT nutzen, besteht kein Vertragsverhältnis zwischen dem Unternehmen und OpenAI. Es gibt keine AVV, keine definierten technisch-organisatorischen Maßnahmen, keinen geregelten Datentransfer. Aus Sicht der DSGVO findet eine unkontrollierte Datenübermittlung in ein Drittland statt.

Kein Verzeichnis der Verarbeitungstätigkeiten: Art. 30 DSGVO verlangt, dass Unternehmen alle Verarbeitungstätigkeiten dokumentieren. Wenn die IT nicht weiß, dass Mitarbeiter KI-Tools nutzen, fehlt diese Verarbeitung im Verzeichnis — ein direkter Compliance-Verstoß.

Kein Löschkonzept: Daten, die einmal in ein öffentliches KI-Tool eingegeben wurden, lassen sich in der Regel nicht gezielt löschen. Das steht im direkten Widerspruch zum Recht auf Löschung nach Art. 17 DSGVO.

Kontrollverlust: Das Unternehmen verliert die Kontrolle darüber, welche Daten wohin fließen. Genau das ist aber die Grundanforderung der DSGVO: Der Verantwortliche muss jederzeit wissen und nachweisen können, wie personenbezogene Daten verarbeitet werden.

Das Risiko ist real — nicht hypothetisch

Schatten-KI ist kein theoretisches Szenario. Studien zeigen, dass ein erheblicher Anteil der Arbeitnehmer in Deutschland bereits KI-Tools am Arbeitsplatz nutzt — oft ohne Wissen des Arbeitgebers. Microsoft und Analysten wie Gartner warnen seit Monaten vor dem Phänomen.

Die Konsequenzen können spürbar sein: Bußgelder nach DSGVO, Verstöße gegen Vertraulichkeitsvereinbarungen mit Kunden, und im schlimmsten Fall öffentliche Datenschutzvorfälle, die das Vertrauen von Kunden und Partnern beschädigen.

Dabei ist das größte Risiko oft nicht der eine große Vorfall, sondern die Summe vieler kleiner, alltäglicher Eingaben. Hunderte Mitarbeiter, die jeweils „nur kurz" etwas in ChatGPT eingeben, erzeugen in der Summe einen erheblichen, unkontrollierten Datenabfluss.

Verbieten funktioniert nicht

Die naheliegendste Reaktion vieler Unternehmen: KI-Tools verbieten. In der Praxis funktioniert das aus mehreren Gründen nicht.

Erstens nutzen Mitarbeiter KI-Tools, weil sie damit produktiver sind. Ein Verbot bedeutet, auf einen Produktivitätsgewinn zu verzichten, den die Konkurrenz mitnimmt. Zweitens lässt sich die Nutzung von Webdiensten wie ChatGPT kaum technisch unterbinden, insbesondere wenn Mitarbeiter eigene Geräte nutzen oder mobil arbeiten. Drittens entsteht durch ein Verbot ohne Alternative genau das, was man verhindern will: Mitarbeiter nutzen die Tools trotzdem — nur eben im Verborgenen.

Die Lösung: Eine zentrale, DSGVO-konforme KI-Plattform

Der einzige nachhaltige Weg, Schatten-KI einzudämmen, ist eine offizielle Alternative bereitzustellen — eine, die zwei Dinge gleichzeitig bietet: die gleiche (oder bessere) Leistung wie die Tools, die Mitarbeiter privat kennen, und volle DSGVO-Konformität.

Zugang zu allen führenden KI-Modellen: Mitarbeiter wollen nicht auf ein schwächeres Tool umsteigen. Eine DSGVO-konforme Plattform muss GPT-4o, Claude, Gemini und andere Modelle in der gleichen Qualität anbieten wie die Originalanbieter — sonst wird sie nicht genutzt.

Sofort einsatzbereit: Je schneller eine Plattform ausgerollt werden kann, desto schneller schließt man die Schatten-KI-Lücke. Für kleinere Unternehmen sollte die Einrichtung in wenigen Minuten möglich sein — inklusive Nutzereinladungen. Für größere Organisationen braucht es einen strukturierten Onboarding-Prozess mit Demo, Testzeitraum und schrittweiser Erweiterung.

DSGVO-Arbeit bereits erledigt: Die größte Hürde für viele Unternehmen ist nicht die Technik, sondern die Compliance-Arbeit: AVV verhandeln, Datenschutz-Folgenabschätzung erstellen, Verarbeitungsverzeichnis aktualisieren. Eine gute Plattform nimmt den Kunden den Großteil dieser Arbeit ab. Die AVV ist fertig und steht bereit, die Datenschutz-Dokumentation wurde von Datenschutzbeauftragten und Fachanwälten geprüft, und die Verträge mit den Cloud-Providern und Modell-Anbietern sind bereits verhandelt.

Zentrale Kontrolle: IT-Administratoren sollten sehen können, welche Modelle genutzt werden, Nutzungsrichtlinien definieren und bei Bedarf einzelne Funktionen einschränken können — ohne die Produktivität zu bremsen.

Was Unternehmen konkret tun sollten

Der Umgang mit Schatten-KI erfordert einen pragmatischen Ansatz in drei Schritten.

Schritt 1: Bestandsaufnahme. Finden Sie heraus, welche KI-Tools in Ihrem Unternehmen bereits genutzt werden — offiziell und inoffiziell. Sprechen Sie offen mit den Teams. In den allermeisten Fällen nutzen Mitarbeiter diese Tools nicht böswillig, sondern weil sie ihre Arbeit effizienter erledigen wollen.

Schritt 2: Offizielle Alternative bereitstellen. Evaluieren Sie eine DSGVO-konforme KI-Plattform, die Ihren Mitarbeitern den gleichen Funktionsumfang bietet wie ChatGPT und Co. Achten Sie auf: persistente Datenspeicherung auf souveräner Infrastruktur, Zero Data Retention bei der Modellverarbeitung und eine geprüfte AVV.

Schritt 3: Richtlinien definieren. Erstellen Sie eine KI-Nutzungsrichtlinie, die klar regelt, welche Tools erlaubt sind, welche Daten eingegeben werden dürfen und wo die Grenzen liegen. Diese Richtlinie sollte nicht restriktiv klingen, sondern die bereitgestellte Plattform als empfohlenes Werkzeug positionieren.

Fazit: Schatten-KI ist kein IT-Problem — es ist ein Leadership-Problem

Schatten-KI entsteht nicht, weil Mitarbeiter nachlässig sind. Sie entsteht, weil Unternehmen nicht schnell genug eine sichere Alternative bereitstellen. Jeder Tag, an dem Mitarbeiter ohne offizielle KI-Lösung arbeiten, ist ein Tag, an dem potenziell Unternehmensdaten in unkontrollierte Kanäle fließen.

Die gute Nachricht: Das Problem ist lösbar — deutlich schneller und einfacher, als die meisten Unternehmen denken. Eine geprüfte AVV ist in wenigen Minuten unterzeichnet, die ersten Nutzer können sofort starten, und die DSGVO-Compliance-Arbeit, die sonst Wochen dauern würde, ist bereits erledigt.

Wer Schatten-KI ernst nimmt, verbietet nicht — sondern ermöglicht. Aber eben kontrolliert, dokumentiert und datenschutzkonform. Wenn Sie wissen möchten, wie gut Ihre Organisation für den verantwortungsvollen KI-Einsatz aufgestellt ist, gibt Ihnen unser KI-Readiness-Check in 2 Minuten eine erste Einschätzung.