Dein Team nutzt ChatGPT mit Firmendaten. Wahrscheinlich seit Monaten.
Vor einigen Wochen hatte ich ein Gespräch mit einem IT-Leiter aus dem Maschinenbau. Er war sicher: sein Unternehmen nutzt keine externen KI-Tools, alles läuft intern. Dann fragte ich, ob ich kurz mit dem Support-Team reden dürfte.
Fünfzehn Minuten später zeigte mir eine Mitarbeiterin, wie sie ChatGPT nutzt, um komplizierte Kundenanfragen zu paraphrasieren und schneller zu beantworten. Mit dem echten Kundennamen. Der echten Problembeschreibung. Dem echten Ticketinhalt.
Sie hatte das seit Monaten so gemacht. Sie wusste nicht, dass das ein Problem sein könnte. Niemand hatte ihr gesagt, dass es eines ist.
Das ist Shadow-KI. Und es passiert gerade in fast jedem Mittelstandsunternehmen.
Was Shadow-KI ist – und warum es passiert
Shadow-KI ist jeder Einsatz von KI-Tools ohne IT-Freigabe, ohne Datenschutzprüfung und ohne Wissen der Unternehmensführung.
Die häufigsten Werkzeuge:
- ChatGPT / Claude / Gemini – für E-Mails, Texte, Analysen
- Grammarly Business – für Korrekturen, oft mit Cloud-Sync
- Notion AI, Otter.ai, Fireflies – für Meetingnotizen und Zusammenfassungen
- GitHub Copilot – für Entwickler (mit Codebasis-Kontext)
- DeepL Pro – für Übersetzungen, teils mit Speicherung
Warum nutzen Mitarbeiter diese Tools ohne Genehmigung? Weil sie funktionieren. Weil sie schnell sind. Weil sie das Leben leichter machen. Und weil niemand sie je gefragt hat, ob das in Ordnung ist.
„Aber wir haben doch eine IT-Richtlinie.“
Eine Richtlinie, die niemand kennt, schützt niemanden.
Das Risiko – größer als die meisten denken
DSGVO-Perspektive. Wenn eine Mitarbeiterin Kundendaten in ChatGPT eingibt, werden diese Daten an OpenAI’s Server in den USA übertragen. Die DSGVO erlaubt das nur unter spezifischen Bedingungen: Standardvertragsklauseln, dokumentierte Risikoabwägung, entsprechende Einträge im Verarbeitungsverzeichnis.
OpenAI bietet Standardvertragsklauseln an – aber nur über das Unternehmensprogramm (ChatGPT Team oder Enterprise). Das normale Einzelabo und die kostenlose Version geben dir diese Garantien nicht.
Mit anderen Worten: Wenn dein Mitarbeiter das normale ChatGPT-Abo für Firmendaten nutzt, hast du einen DSGVO-Verstoß – unabhängig von seiner Absicht.
EU AI Act-Perspektive. Ab Dezember 2027 (verschoben von ursprünglich August 2026) musst du als Betreiber nachweisen können, welche KI-Systeme in deinem Unternehmen für welche Zwecke eingesetzt werden. Shadow-KI macht das unmöglich. Du kannst nicht dokumentieren, was du nicht weißt.
Was passiert, wenn du bei einer Prüfung nicht nachweisen kannst, welche KI-Tools in welchen Prozessen eingesetzt werden? Das wird als Dokumentationsmangel gewertet – und Dokumentationsmängel sind im Streitfall fast immer eine schwache Position.
Haftungsperspektive. Wenn durch ein Shadow-KI-Tool ein Datenleck entsteht oder ein Kunde nachweislich benachteiligt wird, bist du als Unternehmen haftbar – nicht der Mitarbeiter. Die Frage „Haben Sie das genehmigt?“ ist zweitrangig. Die relevante Frage ist: „Haben Sie die nötige Kontrolle ausgeübt, um das zu verhindern?“
Wie verbreitet ist Shadow-KI wirklich?
Ich arbeite nicht mit Marketingstudien. Aber ich sage dir, was ich in meiner Arbeit sehe:
In jedem Unternehmen mit mehr als zehn Mitarbeitern, das ich in den letzten zwei Jahren beraten habe, gab es nicht freigegebene KI-Nutzung. Ohne Ausnahme.
Die Frage ist nicht mehr ob – die Frage ist, mit welchen Daten und mit welchem Risiko.
Wie du Shadow-KI in deinem Unternehmen erkennst
Es gibt keine perfekte Methode. Aber drei Ansätze, die ich empfehle:
Direkt fragen – anonym. Eine einfache interne Umfrage mit drei Fragen: „Nutzt du KI-Tools bei der Arbeit? Welche? Für welche Aufgaben?“ Die Anonymität ist entscheidend – sonst bekommst du die Antwort, die die Leute für erwünscht halten, nicht die Wahrheit.
Netzwerk-Log-Analyse. Wenn dein IT-Team Zugriff auf Proxy-Logs hat, kann es sehen, welche Domains von Unternehmensgeräten angefragt werden. `api.openai.com`, `claude.ai`, `grammarly.com` – diese Domains sind leicht zu identifizieren.
Tool-Audit via Kreditkartenabrechnung. Viele Mitarbeiter zahlen ihr ChatGPT-Abo mit der Firmenkreditkarte. Das steht dann in den monatlichen Ausgaben, oft unter „OpenAI“ oder „Anthropic“.
Was du tun solltest – und was nicht
Was nicht funktioniert: Verbote.
Du kannst ChatGPT nicht wegdiskutieren. Wenn du alle KI-Tools verbietest ohne Alternative, nutzen deine Mitarbeiter sie trotzdem – nur versteckter. Das macht das Problem größer, nicht kleiner.
Was funktioniert: Freigegebener Stack + klare Kommunikation.
Definiere, welche Tools deine Mitarbeiter nutzen dürfen, für welche Daten und unter welchen Bedingungen. Erkläre kurz, warum – nicht als Vorwurf, sondern als Information: „Das Tool ist nicht freigegeben, weil eure Kundendaten auf US-Servern landen und wir dafür keine Rechtsgrundlage haben. Hier ist die freigegebene Alternative.“
Eine einfache Grundregel für den Anfang:
| Datentyp | Kostenlose/private KI erlaubt? | Enterprise-KI mit EU-Vertrag erlaubt? |
|---|---|---|
| Interne Dokumente ohne Personenbezug | Ja, mit Vorsicht | Ja |
| Anonymisierte Kundenanfragen | Ja, mit Vorsicht | Ja |
| Personenbezogene Kundendaten | Nein | Nur nach DSGVO-Prüfung |
| Vertrauliche Geschäftsdaten (Finanzen, M&A) | Nein | Nein |
Was du dokumentieren musst.
Wer darf welche Tools für welche Zwecke nutzen? Das muss schriftlich festgehalten sein – keine 20-seitige Policy, eine halbe Seite reicht als Ausgangspunkt. Diese halbe Seite ist dein Nachweis, wenn jemand fragt.
Das ist kein einmaliges Aufräumen
Shadow-KI ist kein Problem, das du löst und dann abhakst. Neue Tools kommen ständig dazu, die Mitarbeiter probieren sie aus, der Freigabeprozess muss mithalten.
Was du brauchst: eine klare Zuständigkeit („wer prüft neue Tools?“), einen kurzen Freigabeprozess („wie lange dauert es bis zur Antwort?“), und ein gepflegtes Dokument („welche Tools sind aktuell freigegeben?“).
Das klingt nach mehr Aufwand als es ist. Der Kern ist simpel – wenn er einmal steht, läuft er mit wenig Aufwand weiter.
Weitere Schritte
Wenn du wissen willst, wie gut du aktuell aufgestellt bist:
→ KI-Compliance-Schnellcheck – 8 Fragen, erste Einordnung
Vertiefende Seite zu Shadow KI – mit DSGVO-Tabelle, konkreten Erkennungsmethoden und was wirklich hilft:
→ Shadow KI im Unternehmen: Risiken, Erkennung und Gegenmaßnahmen
Wenn das Thema bei dir akuter ist und du die Shadow-KI-Situation im Unternehmen strukturiert angehen willst:
→ KI-Compliance Audit – Scope und Festpreis
Zum EU AI Act im Detail – was die Pflichten für Betreiber bedeuten und wann du in welche Kategorie fällst:
→ EU AI Act: Was Mittelständler jetzt konkret tun müssen
Und zur DSGVO-Infrastrukturseite – was der US Cloud Act mit deinen Daten zu tun hat:
→ AWS Frankfurt schützt nicht: Warum dein KI-System DSGVO und US CLOUD Act verletzt


