Shadow AI: Was Ihre Mitarbeiter mit ChatGPT machen, wenn niemand hinschaut
5 July 2026 · 7 Min. Lesezeit
Ihre Mitarbeiter nutzen bereits KI. Die Frage ist nicht ob, sondern mit welchen Daten. Wenn die Buchhaltung eine Gehaltstabelle in einen kostenlosen Chatbot einfügt, um das Format zu bereinigen, oder ein Jurist den Vertrag eines Kunden hochlädt, um ihn zu kürzen, haben die Daten die Firma verlassen. Das ist Shadow AI: der Einsatz von KI-Tools ohne Wissen und Kontrolle des Arbeitgebers.
Warum das überall passiert
Niemand tut das in böser Absicht. Menschen nutzen KI, weil sie Stunden an Arbeit spart und die Firma keinen sicheren Weg dafür anbietet. Wo es keinen offiziellen Weg gibt, bauen sich die Leute ihren eigenen. Dasselbe ist mit privaten E-Mail-Konten, USB-Sticks und Dropbox passiert. KI ist nur die neueste und schnellste Version desselben Problems.
Der Unterschied liegt im Ausmaß. Früher hat ein Mitarbeiter eine Datei mitgenommen. Heute passt in ein einziges Fenster die komplette Kundendatenbank, ein Finanzbericht oder eine Patientenakte, in zehn Sekunden, vom Dienstrechner, über einen ganz normalen Browser.
Was mit den eingefügten Daten wirklich passiert
Bei kostenlosen Versionen öffentlicher KI-Tools kann der eingegebene Inhalt, je nach Nutzungsbedingungen, zum Training der Modelle verwendet oder auf Servern außerhalb Ihrer Kontrolle gespeichert werden. Das bedeutet:
- Kundendaten können in Systemen Dritter landen, außerhalb der EU, ohne Auftragsverarbeitungsvertrag.
- Geschäftsgeheimnisse, Preislisten und Verträge verlassen den Perimeter der Firma ohne jede Spur in Ihren Logs.
- Bei einer Prüfung oder einem Vorfall können Sie nicht nachweisen, was wann von wem hinausgetragen wurde.
Für Firmen, die personenbezogene Daten verarbeiten, ist das nicht nur ein Sicherheitsproblem, sondern auch eine Frage der DSGVO-Konformität. Die Verarbeitung personenbezogener Daten über ein Tool ohne Vertrag ist eine Verarbeitung, die Sie nicht kontrollieren.
Warum ein Verbot nicht funktioniert
Der erste Reflex des Managements ist ein Verbot: ChatGPT an der Firewall blockieren, Problem gelöst. In der Praxis passieren zwei Dinge. Erstens weichen die Mitarbeiter aufs Handy aus oder auf ein Tool, das Sie nicht blockiert haben, und davon gibt es Hunderte. Zweitens haben Sie die Produktivität verloren, die KI real bringt, während die Konkurrenz sie behalten hat.
Ein Verbot beseitigt den Bedarf nicht, es schiebt ihn nur tiefer in den Schatten. Eine Firma, die KI „verboten" hat, hat meist mehr Shadow-AI-Nutzung als eine Firma mit klaren Regeln, weil niemand meldet, was er verwendet.
Wie man das löst: Regeln, Tool, Transparenz
Die Lösung hat drei Teile, und keiner funktioniert allein.
- Regeln: eine kurze, klare KI-Richtlinie. Was in KI-Tools eingegeben werden darf (öffentliche Informationen, generischer Text), was niemals (personenbezogene Daten, Finanzen, Verträge, Passwörter) und welche Tools freigegeben sind. Eine Seite, kein Dreißig-Seiten-Dokument, das niemand liest.
- Tool: Geben Sie den Leuten eine freigegebene Alternative. Business-Versionen der KI-Tools mit Auftragsverarbeitungsvertrag, deaktiviertem Training auf Ihren Daten und zentraler Kontenverwaltung. Wo Vertraulichkeit kritisch ist, gibt es auch lokale KI-Modelle auf Ihrer eigenen Infrastruktur, sodass Daten die Firma nie verlassen.
- Transparenz: Sichtbarkeit, was genutzt wird. Auf Netzwerk- und Geräteebene lässt sich sehen, welche KI-Dienste aus der Firma heraus verwendet werden. So beginnt das Gespräch mit den Mitarbeitern bei Fakten, nicht bei Vermutungen.
Womit Sie diese Woche anfangen können
Sie brauchen kein Sechs-Monats-Projekt, um zu starten. Ein realistischer erster Schritt sieht so aus:
- Fragen Sie das Team, ohne Sanktionen, wer was wofür nutzt. Sie bekommen ehrlichere Antworten, als Sie erwarten.
- Führen Sie eine vorläufige Drei-Punkte-Regel ein: was nicht eingegeben werden darf, welches Tool freigegeben ist, an wen man sich bei Unsicherheit wendet.
- Legen Sie ein freigegebenes Tool für den Anfang fest und richten Sie die Konten über die Firma ein, nicht über private Registrierungen.
Shadow AI ist kein Technologieproblem, sondern ein Governance-Problem. Firmen, die es ordnen, bekommen Produktivität und Kontrolle. Firmen, die es ignorieren, erfahren davon erst, wenn Daten dort auftauchen, wo sie nicht hingehören.
Wenn Sie nicht sicher sind, welche KI-Tools in Ihrer Firma bereits im Einsatz sind und mit welchen Daten, ist das genau die Art von Assessment, die wir durchführen. Melden Sie sich.
Soll das jemand für Sie regeln, ohne Drama?
INTO MSP betreut Security, Backup und IT für kleine und mittlere Unternehmen. Schritt eins: ein kurzer, unverbindlicher Check.
IT-Security → Kontakt