loader image

——— aus der werkstatt

Business

Shadow AI: Wenn Mitarbeitende KI-Tools heimlich nutzen, und was du als Chef tun solltest

  • Alex Januschewsky
  • zuletzt aktualisiert: 26. März 2026
  • Lesezeit: 7 Minuten
digitalhandwerk als bevorzugte Google Quelle auswählen
Darum geht es in diesem Artikel
// tts Artikel anhören
// ki-zusammenfassung Diesen Artikel zusammenfassen mit:
Gemini Claude Perplexity ChatGPT

Stell dir vor: Dein bester Vertriebsmitarbeiter sitzt am Freitagnachmittag und muss noch schnell ein Angebot rausschicken. Der Abgabetermin brennt, das Textbaustein-Dokument ist hoffnungslos veraltet, und du bist nicht erreichbar. Also tut er das, was inzwischen Millionen von Menschen täglich tun: Er öffnet ChatGPT, kopiert den Namen des Kunden, die Projektzusammenfassung, die internen Kalkulationsgrundlagen und ein paar Details aus der letzten E-Mail-Kommunikation hinein, und lässt sich einen Angebotstext generieren.

Das Angebot geht raus. Es ist gut. Der Kunde ist zufrieden.

Was niemand gemerkt hat: Firmendaten, Kundeninformationen und interne Kalkulation wurden gerade an einen US-amerikanischen Server übertragen. Ohne Auftragsverarbeitungsvertrag. Ohne DSGVO-Prüfung. Ohne dass du auch nur im Entferntesten Bescheid weißt.

Willkommen in der Welt von Shadow AI.

Was Shadow AI eigentlich ist

Shadow AI ist kein neues Konzept. Es ist die logische Fortsetzung von „Shadow IT“, also der Nutzung nicht genehmigter Softwaretools im Arbeitsalltag. Nur dass KI-Tools eine andere Qualität mitbringen: Sie verarbeiten Sprache, verstehen Kontext, und sie brauchen Eingaben, um zu funktionieren. Diese Eingaben sind in professionellen Zusammenhängen fast immer sensibel.

Der Begriff selbst bezeichnet alle KI-gestützten Anwendungen, die Mitarbeitende ohne Wissen, Genehmigung oder Steuerung durch die Unternehmensführung für ihre Arbeit einsetzen. ChatGPT, Gemini, Claude, Perplexity, Midjourney, und hunderte Nischen-Tools, die sich in Browsertabs und Smartphone-Apps verstecken.

Warum passiert das? Nicht aus böser Absicht, sondern aus einer ganz menschlichen Logik: Die Werkzeuge sind da, sie funktionieren, sie sparen Zeit. Und wenn niemand etwas Besseres anbietet, oder schlimmer: wenn jemand einfach verbietet, ohne eine Alternative zu liefern, dann findet der Pragmatismus seinen eigenen Weg.

In KMU mit 3 bis 30 Mitarbeitenden ist dieser Effekt besonders ausgeprägt. Kein dediziertes IT-Team, keine formellen Prozesse für Tool-Evaluierung, dafür aber Mitarbeitende, die jeden Tag mit realem Arbeitsdruck konfrontiert sind und längst gemerkt haben, dass ein guter Prompt manchmal eine Stunde Arbeit ersetzt.

Die 3 konkreten Risiken, die du kennen musst

1. DSGVO-Verletzung durch Datenweitergabe an externe KI-Dienste

Das ist das offensichtlichste und gleichzeitig am meisten unterschätzte Risiko.

Wenn dein Mitarbeiter Kundendaten, Projektzusammenfassungen oder personenbezogene Informationen in ein KI-Tool eingibt, das außerhalb der EU betrieben wird, findet eine Drittlandübertragung statt. Die DSGVO regelt genau, unter welchen Bedingungen das legal ist: Es braucht entweder einen Angemessenheitsbeschluss, geeignete Garantien oder einen gültigen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter.

Die kostenlose oder Consumer-Version von ChatGPT? Hat keinen solchen Vertrag. Die kann OpenAI vertragsrechtlich sogar für Trainings nutzen, wenn du das nicht in den Einstellungen deaktivierst.

Für dich als Unternehmensinhaber bedeutet das: Du kannst im Ernstfall für Datenschutzverletzungen haftbar gemacht werden, die du gar nicht veranlasst hast. Die Aufsichtsbehörden akzeptieren „Ich habe das nicht gewusst“ als Argument nicht. Im Gegenteil: Das Nichtwissen wird als organisatorisches Versagen gewertet.

2. Unkontrollierte KI-Outputs in der Kundenkommunikation

KI-generierte Texte sind gut. Manchmal sehr gut. Aber sie sind nicht unfehlbar, und sie spiegeln nicht immer die tatsächliche Faktenlage deines Unternehmens wider.

Was passiert, wenn ein Mitarbeiter ein KI-generiertes Angebot rausschickt, das falsche Preise enthält? Oder eine Leistungsbeschreibung, die ihr so gar nicht erbringen könnt? Was, wenn die KI eine rechtlich relevante Formulierung gewählt hat, die euch bindet?

In einem geregelten Prozess würde das auffallen. Beim heimlichen Einsatz von Shadow AI gibt es keine Qualitätskontrolle, keinen zweiten Blick, kein Korrektiv. Der Output geht direkt in die Außenwelt.

3. Was mit internem Wissen in den Modellen passiert

Das ist der Teil, den die wenigsten durchdenken: Wer garantiert dir, dass die spezifischen Details, die dein Mitarbeiter heute in ChatGPT eingegeben hat, nicht irgendwann Teil eines Trainings-Datensatzes werden?

Bei Consumer-Versionen vieler Tools ist das je nach Einstellung durchaus möglich. Das bedeutet nicht, dass deine Firmendaten morgen öffentlich auftauchen. Aber es bedeutet, dass interne Prozesse, Kalkulationsmethoden, Kundenlisten oder strategische Überlegungen in einem System landen, auf das du keinen Zugriff, keine Kontrolle und keine Löschmöglichkeit hast.

Für Unternehmen, die auf ihr Know-how als Wettbewerbsvorteil angewiesen sind, ist das kein theoretisches Problem.

Warum Verbote nicht funktionieren

Ich sage es direkt: Wenn du jetzt denkst, du schickst morgen früh eine E-Mail mit „ChatGPT-Nutzung ist ab sofort verboten“, dann wirst du damit genau das Gegenteil erreichen.

Deine Mitarbeitenden hören nicht auf, KI-Tools zu nutzen. Sie hören auf, darüber zu reden.

Das ist der Worst Case für Shadow AI in KMU und DSGVO-Compliance: Du weißt nicht mehr, was passiert. Die Nutzung geht in den Untergrund, und damit verlierst du jeden Ansatz von Steuerbarkeit.

Verbote ohne Alternativen erzeugen nicht Compliance, sondern Scheinkompliance. Die Leute klicken auf „Ja, ich habe die Richtlinien gelesen“ und öffnen im nächsten Tab ChatGPT.

Was funktioniert: Führung. Transparenz. Klare Rahmenbedingungen, die die Realität des Arbeitsalltags respektieren und gleichzeitig die Risiken adressieren.

Der pragmatische 4-Schritte-Plan für KI-Governance im KMU

Kein Konzernhandbuch, keine 80-seitige Policy. Das hier ist umsetzbar an einem einzigen Nachmittag.

Schritt 1: Geprüfte Tools definieren

Lege fest, welche KI-Tools in deinem Unternehmen offiziell genutzt werden dürfen. Nicht „alle verboten außer X“, sondern: „Das sind eure Werkzeuge, die ich geprüft habe.“

Prüfkriterien:

  • Gibt es einen gültigen AVV mit dem Anbieter?
  • Werden Daten für Training genutzt, und kann das deaktiviert werden?
  • Wo werden die Daten verarbeitet (EU oder Drittland)?
  • Gibt es eine Business/Enterprise-Version mit stärkeren Datenschutzgarantien?

Das muss keine wochenlange Due Diligence sein. Für die meisten KMU reichen 2 bis 3 geprüfte Tools.

Schritt 2: Kurze Nutzungsregeln schreiben

Eine einseitige Übersicht, keine Rechtsprosa. Was darf rein in KI-Prompts, was nicht?

Grobe Kategorisierung, die in der Praxis funktioniert:

  • Kein Problem: Allgemeine Textentwürfe, interne Brainstormings, Code ohne Firmenbezug, Recherche
  • Mit Vorsicht: Kundenkorrespondenz (immer gegenlesen), Angebote (Fakten prüfen)
  • Nicht in Consumer-KI: Personenbezogene Daten, Kundenlisten, Kalkulation mit echten Zahlen, vertragliche Formulierungen

Das passt auf eine DIN-A4-Seite. Oder in eine Pinned Message im Teamkanal.

Schritt 3: Ein Schulungsnachmittag

Kein Pflichtwebinar, keine E-Learning-Plattform. Ein gemeinsamer Nachmittag, bei dem du zeigst, welche Tools ihr nutzt, warum bestimmte Regeln gelten, und vor allem: wie die Tools richtig eingesetzt werden.

Der Effekt ist zweifach: Deine Mitarbeitenden verstehen die Risiken, weil sie erklärt werden, nicht verordnet. Und sie lernen, wie sie die KI-Tools besser nutzen. Das ist ein echter Mehrwert für beide Seiten.

Schritt 4: Regelmäßiges Check-in

Nicht quartalsweise Sicherheitsaudit, sondern einmal im Monat fünf Minuten im Team-Meeting: Welche neuen Tools haben Leute gefunden? Was hat gut funktioniert? Was war problematisch?

Das hält das Thema lebendig, ohne es zur Belastung zu machen. Und du bekommst früh mit, wenn sich neue Nutzungsmuster entwickeln, bevor daraus ein Compliance-Problem wird.

DSGVO-konforme Alternativen: Was du deinem Team anbieten kannst

Du musst nicht auf KI verzichten. Du musst die richtigen Werkzeuge wählen.

Microsoft Copilot mit EU-Datengrenzen ist für Unternehmen, die bereits im Microsoft-365-Ökosystem arbeiten, ein sinnvoller Einstieg. Microsoft hat die sogenannte „EU Data Boundary“ eingeführt, die sicherstellt, dass Daten europäischer Kunden innerhalb der EU verarbeitet und gespeichert werden. Das ist kein Freifahrtschein, aber es ist eine deutlich stärkere Ausgangslage als die Consumer-Version von ChatGPT.

Lokale Modelle via Ollama sind die radikalste Datenschutz-Option: Die KI läuft auf eurem eigenen Rechner oder Server, kein Byte verlässt euer Netzwerk. Tools wie Llama oder Mistral, betrieben über Ollama, sind technisch anspruchsvoller einzurichten, aber für sensible Daten das Mittel der Wahl. Für KMU, die einen technikaffinen Mitarbeiter oder einen externen IT-Dienstleister haben, ist das heute durchaus realisierbar.

Der Punkt ist: Es gibt Alternativen. Und wenn du deinem Team geprüfte, datenschutzkonforme Werkzeuge gibst, verschwindet der Hauptgrund für Shadow AI.

Transparenz ist kein Kostenfaktor, sie ist ein Wettbewerbsvorteil

Ich arbeite täglich mit KI-Tools. Ich weiß, wie mächtig sie sind, und ich weiß, wie leicht es ist, in der Schnelligkeit des Arbeitsalltags die Risiken auszublenden.

Aber ich weiß auch, was passiert, wenn ein Unternehmen proaktiv mit dem Thema umgeht: Die Mitarbeitenden vertrauen dem Rahmen. Die Kunden vertrauen dem Unternehmen. Und du als Inhaber schläfst nachts besser, weil du weißt, was in deinem Betrieb passiert.

Shadow AI in KMU und DSGVO-Compliance ist kein Thema für Konzerne mit Compliance-Abteilungen. Es ist ein Thema für jeden Betrieb mit einem einzigen Mitarbeiter, der einen Laptop hat und ein Arbeitsproblem zu lösen versucht.

Du musst nicht alles kontrollieren. Aber du musst den Rahmen setzen.

Das ist Führung.

Hinweis zur KI-Nutzung: Themen und Thesen stammen von mir, KI hilft bei Struktur und Rechtschreibung. Redaktionelle Verantwortung bleibt vollständig bei mir. Wie dieser Blog entsteht →

Bitte bewerte meinen Blog! Danke vielmals!

about.me
Alex Januschewsky – Zertifizierter KI-Beauftragter und Werbefachmann
Alex Januschewsky
ISO 42001 Anthropic Claude Google Cloud AI Prompt Engineering Automatisierung MVP Alumni

Alex Januschewsky ist Werbefachmann, zertifizierter KI-Beauftragter (ISO 42001, EU AI Act-Konformität) und Microsoft MVP Alumni. Seit 1989 in Werbung und Design aktiv, spezialisiert auf den professionellen Einsatz von Generativer KI: kreativ, strategisch, praxisnah. Seit über 30 Jahren entwickle ich Kommunikation, die nicht auf Hype setzt, sondern auf echte Wirkung. Klar, klug und mit einem tiefen Verständnis für Technologie und Sprache. In diesem Blog teile ich Ideen, Impulse und erprobtes Wissen für Unternehmer, Entscheider und KI-Enthusiasten, die mehr wollen als Schlagwörter und bunte Versprechen.

LINKEDIN

LinkedIn Newsletter

Jeden Artikel direkt in deinem LinkedIn-Feed. Kein Extra-Abo, kein Spam. Einfach folgen und du bekommst neue Beiträge automatisch.

LinkedIn Newsletter folgen
NEWSLETTER
WHATSAPP

WhatsApp Channel

Was gerade wirklich in der KI passiert, bekommst du nicht im Feed, sondern im KI-Kompass. Ich kuratiere, teste, filtere. Du bekommst nur das, was es wert ist, gelesen zu werden.

Zum WhatsApp-Channel
COMMUNITY
Alex Januschewsky, Prompt Rocker, wohnhaft in Salzburg, tätig in Österreich
// let's talk

Lass uns reden.

Erstgespräch kostenlos. Immer.

Du weißt noch nicht genau, wo du anfangen sollst? Gut. Genau dafür ist das Erstgespräch da. Wir klären in 30 Minuten, ob und wie KI in deinem Betrieb wirklich Sinn macht.

Kein Pitch. Keine Agenda. Nur ein ehrliches Gespräch zwischen zwei Menschen, die wissen wollen, ob es passt.

Erstgespräch anfragen Wer ist Alex?
Derzeit verfügbar für neue Projekte in Österreich & DACH

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

The reCAPTCHA verification period has expired. Please reload the page.

——— aktuelle zahlen

543
Artikel
zum Thema KI
79.2
Stunden
gesamte Lesezeit
55+
KI-Tools
für Kunden evaluiert
13
Zertifikate
KI-Qualifikationen

——— Die letzen Beiträge

——— Unterstütze mich

Dir gefällt digitalhandwerk?

Ich stecke sehr viel Zeit, Geld und Herzblut in meine Webseite. Wenn dir mein Blog weiterhilft, freue ich mich riesig über eine kurze Bewertung auf Google. Es dauert nur eine Minute und hilft mir sehr, mehr Menschen zu erreichen!

Jetzt auf Google bewerten