Was Schat­ten-KI von klas­si­scher Schat­ten-IT unter­schei­det #

Klas­si­sche Schat­ten-IT (ein nicht geneh­mig­tes SaaS-Tool, ein pri­va­ter Drop­box-Account) war ein Daten­trans­fer-Pro­blem. Der Scha­den war begrenzt: Daten wur­den ver­scho­ben oder kopiert, aber nicht ausgelegt.

Schat­ten-KI ist ein Offen­le­gungs­pro­blem ande­rer Größenordnung.

Prompts sind kom­pri­mier­te Betriebs­ge­heim­nis­se. Eine ein­zi­ge Anfra­ge an eine Cloud-KI kann mehr über lau­fen­de Pro­jek­te, Stra­te­gien und inter­ne Struk­tu­ren preis­ge­ben als mona­te­lan­ges Mit­le­sen des Inter­net-Traf­fics. Der Prompt ent­hält Kon­text, wel­che Ver­trags­part­ner ver­han­deln gera­de, wel­ches Pro­jekt läuft in wel­chem Sta­di­um, wel­che Schwach­stel­le soll in wel­chem Pro­dukt beho­ben wer­den. Die Ant­wort ent­hält die Reak­ti­on des Unter­neh­mens darauf.

Trai­nings­da­ten-Risi­ko ist real, aber nicht das größ­te Pro­blem. Bekann­te Diens­te nut­zen unter­neh­mens­ge­ne­rier­te Prompts in der Regel nicht für das Trai­ning ihrer Model­le, zumin­dest laut AGB, zumin­dest wenn Unter­neh­mens­kon­ten mit ent­spre­chen­den Ein­stel­lun­gen genutzt wer­den. Das eigent­li­che Pro­blem liegt woan­ders: Die Daten wer­den auf Ser­vern gespei­chert, die dem US CLOUD Act und FISA 702 unter­lie­gen. US-Behör­den kön­nen auf Daten bei US-Unter­neh­men welt­weit zugrei­fen, unab­hän­gig vom Ser­ver­stand­ort und ohne, dass das Unter­neh­men infor­miert wird.

EU AI Act erzeugt Doku­men­ta­ti­ons­pflich­ten. Unter­neh­men müs­sen nach­wei­sen kön­nen, wel­che KI-Sys­te­me sie ein­set­zen, wel­che Daten dort ver­ar­bei­tet wer­den und wie Risi­ken kon­trol­liert wer­den. Schat­ten-KI-Nut­zung ist per Defi­ni­ti­on nicht doku­men­tiert, und damit nicht nach­weis­bar. Das ist kein theo­re­ti­sches Com­pli­ance-Risi­ko, son­dern ein hand­fes­tes Pro­blem bei Prüfungen.

War­um Ver­bo­te nicht funk­tio­nie­ren #

Die intui­ti­ve Reak­ti­on auf Schat­ten-KI ist ein Ver­bot. ChatGPT gesperrt, pri­va­te Accounts unter­sagt, Schu­lung KI-Nut­zung ist unzu­läs­sig” für alle Mit­ar­bei­ter. Das Ergeb­nis ist vorhersehbar.

Ers­tens: Mit­ar­bei­ter, die pro­duk­ti­ve KI-Tools ken­nen und täg­lich nut­zen, machen das wei­ter, vor­sich­ti­ger, aber nicht weni­ger. Die Nut­zung geht in den Unter­grund, die Mel­dungs­be­reit­schaft sinkt gegen null.

Zwei­tens: Unter­neh­men, die ihre Mit­ar­bei­ter nicht mit einer geprüf­ten KI-Alter­na­ti­ve ver­sor­gen, ver­lie­ren die Chan­ce, einen Pro­duk­ti­vi­täts­vor­teil intern zu struk­tu­rie­ren. Laut McK­in­sey (Super­agen­cy in the Work­place, 2025) spa­ren regel­mä­ßi­ge KI-Nut­zer durch­schnitt­lich rund 5,4 % ihrer Wochen­ar­beits­zeit. Wer die­se Stun­den nicht intern nutzt, schaut zu, wie Wett­be­wer­ber es tun.

Drit­tens: Ver­bo­te ohne Alter­na­ti­ve ver­schie­ben das Pro­blem, lösen es nicht. Der CISO einer mit­tel­gro­ßen Phar­ma signiert ein ChatGPT-Ver­bot, und zwei Wochen spä­ter läuft das­sel­be über per​ple​xi​ty​.ai, das nie­mand auf dem Radar hatte.

Die eigent­li­che Ursa­che: Kein geprüf­tes Ange­bot für sen­si­ble Daten #

Schat­ten-KI ent­steht nicht aus Bös­wil­lig­keit, son­dern aus Prag­ma­tis­mus. Mit­ar­bei­ter haben eine ech­te Auf­ga­be, ein effek­ti­ves Werk­zeug und kei­ne geneh­mig­te Alter­na­ti­ve dafür. Sie ent­schei­den sich für das Werkzeug.

Die Fra­ge, die Com­pli­ance-Ver­ant­wort­li­che stel­len müs­sen, lau­tet nicht: Wie ver­bie­ten wir Schat­ten-KI?” Son­dern: Für wel­che Daten­klas­sen haben wir noch kei­ne geprüf­te KI bereitgestellt?”

In den meis­ten Unter­neh­men gibt es drei Kategorien:

Unkri­ti­sche Daten und all­ge­mei­ne Auf­ga­ben. Über­set­zun­gen, Zusam­men­fas­sun­gen öffent­li­cher Tex­te, Bild- und Video­be­ar­bei­tung, all­ge­mei­ne Recher­ché. Hier sind Cloud-KIs oft die bes­se­re Wahl. Vie­le Unter­neh­men haben für die­se Kate­go­rie bereits eine Lösung (Micro­soft 365 Copi­lot, geneh­mig­tes ChatGPT-Unter­neh­mens­kon­to) oder könn­ten eine einrichten.

Inter­ne, nicht regu­lier­te Unter­neh­mens­da­ten, inter­ne Wiki-Inhal­te, Pro­zess­do­ku­men­ta­tio­nen, Mee­ting­no­ti­zen, nicht-regu­lier­te Pro­jek­te. Für die­se Kate­go­rie fehlt häu­fig eine geprüf­te Lösung. Cloud-KIs wären zu ris­kant, ein eige­nes Sys­tem noch nicht aufgebaut.

Sen­si­ble, regu­lier­te oder ver­trau­li­che Daten. Ver­trags­un­ter­la­gen, Per­so­nal­ak­ten, Pati­en­ten­da­ten, Kon­struk­ti­ons­da­ten, Finanz­da­ten unter /BaFin-Auf­sicht, Behör­den­vor­gän­ge. Hier schei­det Cloud-KI struk­tu­rell aus. Eine lokal betrie­be­ne RAG-Lösung ist die ein­zi­ge Archi­tek­tur, die Com­pli­ance ermöglicht.

Was kon­kret hilft #

Schritt 1: Daten­klas­sen defi­nie­ren, nicht KI-Tools verbieten. Erstel­len Sie eine Klas­si­fi­ka­ti­on, wel­che Daten in wel­chen KI-Sys­te­men ver­ar­bei­tet wer­den dür­fen. Klas­se A (öffent­lich, unkri­tisch) kann in Cloud-KI, Klas­se B (intern, nicht regu­liert) nur in geneh­mig­ten inter­nen Sys­te­men, Klas­se C (ver­trau­lich, regu­liert) aus­schließ­lich in einer lokal betrie­be­nen Lösung.

Schritt 2: Für jede Klas­se eine geneh­mig­te Alter­na­ti­ve bereitstellen. Ein Ver­bot ohne Alter­na­ti­ve für Klas­se B und C ist wir­kungs­los. Der Roll­out einer loka­len KI-Lösung für sen­si­ble Daten gibt Mit­ar­bei­tern eine lega­le und pro­duk­ti­ve Opti­on, und macht Schat­ten-KI für die­se Daten struk­tu­rell unattraktiver.

Schritt 3: Ver­ar­bei­tungs­ver­zeich­nis und KI-Richt­li­nie vervollständigen. Der EU AI Act ver­pflich­tet Unter­neh­men, KI-Nut­zung zu doku­men­tie­ren. Eine voll­stän­di­ge Daten­klas­sen-Poli­cy und ein Ein­trag im Ver­ar­bei­tungs­ver­zeich­nis für jede genutz­te KI-Lösung sind kei­ne Kür, son­dern Pflicht.

Schritt 4: EU AI Act Art. 4 umset­zen (KI-Kom­pe­tenz nach­weis­bar machen). Seit Febru­ar 2025 müs­sen Unter­neh­men nach­weis­bar sicher­stel­len, dass Mit­ar­bei­ter über aus­rei­chen­de KI-Kom­pe­tenz ver­fü­gen. Das bedeu­tet nicht, dass jeder Mit­ar­bei­ter Prompt Engi­nee­ring beherr­schen muss, aber jeder muss ver­ste­hen, wel­che Daten er in wel­che KI ein­ge­ben darf und warum.

Schritt 5: Regel­mä­ßi­ge Amnestie-Umfragen. Schat­ten-KI-Nut­zung lässt sich nur durch anony­mi­sier­te Mit­ar­bei­ter-Umfra­gen mit expli­zi­tem Straf-Aus­schluss mes­sen. Wer weiß, wie weit die Nut­zung tat­säch­lich geht, kann sie struk­tu­riert adres­sie­ren. Wer nur das mel­det, was er weiß, reagiert immer zu spät.

Schat­ten-KI-Risi­ken im Über­blick #

Risi­koBeschrei­bungBetrof­fen
Daten­leck durch PromptsVer­trau­li­che Inhal­te in Cloud-KI-PromptsAlle
US CLOUD Act / FISA 702US-Behör­den kön­nen auf Daten bei US-Unter­neh­men zugreifenAlle mit US-KI-Anbietern
EU AI Act DokumentationslückeNicht doku­men­tier­te KI-Nut­zung ist nicht nachweisbarAlle
DSGVO-Ver­stoßPer­so­nen­be­zo­ge­ne Daten ohne Rechts­grund­la­ge in Dritt­län­der übertragenAlle
DORA-Ver­stoßNicht geneh­mig­te IKT-Dritt­an­bie­ter im FinanzsektorFinanz­sek­tor
NIS2/KRITISNicht kon­trol­lier­te IT-Kom­po­nen­ten in kri­ti­schen ProzessenKri­ti­sche Infrastrukturen
Repu­ta­ti­ons­scha­denBekannt­wer­den von Daten­lecks durch KI-NutzungAlle

Häu­fi­ge Fra­gen #

Kann ich Schat­ten-KI-Nut­zung tech­nisch unterbinden? Voll­stän­dig nicht. Mit­ar­bei­ter mit Mobil­ge­rä­ten oder pri­va­ten Rech­nern kön­nen im Home­of­fice wei­ter­hin pri­va­te KI nut­zen. Netz­werk-Sper­ren auf Unter­neh­mens­ge­rä­ten sen­ken die Schwel­le, eli­mi­nie­ren das Pro­blem aber nicht. Die ein­zi­ge wirk­sa­me Stra­te­gie ist die geprüf­te Alternative.

Gilt der EU AI Act auch für Schatten-KI-Nutzung? Ja. Unter­neh­men haf­ten für den KI-Ein­satz ihrer Mit­ar­bei­ter, auch wenn die­ser ohne Geneh­mi­gung erfolgt. Die Ver­ant­wor­tung für ein KI-Sys­tem liegt beim Betrei­ber, nicht beim Endnutzer.

Wie erken­ne ich, ob in mei­nem Unter­neh­men Schat­ten-KI genutzt wird? Netz­werk-Moni­to­ring kann bekann­te KI-Diens­te sicht­bar machen. Anony­mi­sier­te Mit­ar­bei­ter­be­fra­gun­gen lie­fern ver­läss­li­che­re Zah­len. Indi­rek­te Indi­ka­to­ren: plötz­lich pro­duk­ti­ve­re Mit­ar­bei­ter ohne erklär­ba­ren Grund, Doku­men­te mit KI-typi­schen For­mu­lie­run­gen, unge­wöhn­li­che Zugriffs­mus­ter auf Unternehmensfiles.

Was ist mit Micro­soft Copi­lot, ist das kei­ne Lösung? Copi­lot ist für Micro­soft-Daten eine Opti­on, aber mit zwei Ein­schrän­kun­gen: Ers­tens unter­liegt auch Copi­lot dem US CLOUD Act. Zwei­tens respek­tiert Copi­lot Berech­ti­gungs­struk­tu­ren nur ein­ge­schränkt, ein bekann­tes Pro­blem in Unter­neh­mens­um­ge­bun­gen mit nicht sau­ber gepfleg­ten Share­Point-Rech­ten. Für regu­lier­te Daten und voll­stän­di­ge Rech­te-Durch­set­zung ist eine lokal betrie­be­ne Lösung erforderlich.

Fazit #

Schat­ten-KI lässt sich nicht durch Ver­bo­te lösen. Sie lässt sich auch nicht voll­stän­dig eli­mi­nie­ren, solan­ge Cloud-KI für all­ge­mei­ne Auf­ga­ben legi­tim und nütz­lich ist, wer­den Mit­ar­bei­ter sie nut­zen. Die Auf­ga­be für Com­pli­ance- und IT-Ver­ant­wort­li­che ist eine ande­re: kla­re Daten­klas­sen defi­nie­ren, für jede Klas­se eine geprüf­te Alter­na­ti­ve bereit­stel­len und die Nut­zung dokumentieren.

Für sen­si­ble, regu­lier­te und ver­trau­li­che Daten ist eine lokal betrie­be­ne RAG-Lösung die ein­zi­ge Archi­tek­tur, die Com­pli­ance und Pro­duk­ti­vi­tät gleich­zei­tig ermöglicht.

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.