Schatten-KI: Warum unkontrollierte ChatGPT-Nutzung zum Compliance-Risiko wird
Wenn Teams KI-Tools an IT und Datenschutz vorbei einsetzen, entstehen rechtliche und operative Risiken. Eine Einordnung für Entscheider.
Mitarbeitende nutzen ChatGPT, Gemini & Co. längst — meist ohne dass die IT davon weiß. Was nach Effizienz aussieht, ist datenschutzrechtlich und unter dem EU AI Act ein wachsendes Risiko.
Was Schatten-KI für Unternehmen bedeutet
Schatten-KI bezeichnet die Nutzung von KI-Tools durch Mitarbeitende ohne Freigabe, Vertrag oder Kontrolle der IT. Studien zeigen: In rund 70 % der Unternehmen werden KI-Dienste eingesetzt, die nicht in offiziellen Tool-Listen stehen. Damit entstehen drei Risikoklassen gleichzeitig.
- Personenbezogene Daten verlassen ungeprüft die Organisation.
- Es existiert kein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
- AI-Literacy-Pflichten nach Art. 4 EU AI Act bleiben undokumentiert.
Konkretes Risiko
Ein einziger versendeter Kundendatensatz in ein öffentliches Modell ohne DPA kann eine meldepflichtige Datenpanne nach Art. 33 DSGVO auslösen.
Was Unternehmen jetzt tun sollten
Bevor neue Tools verboten werden, sollten Unternehmen den Ist-Zustand erfassen. Eine kurze, anonyme Befragung deckt 80 % der genutzten Tools auf — meist mehr, als die IT vermutet.
- Tool-Inventur: Welche KI-Dienste werden tatsächlich genutzt?
- Klassifizierung: Welche Datenkategorien fließen in welches Tool?
- Freigabeprozess: Definierte Kriterien statt Pauschalverbot.
- Schulung & Dokumentation nach Art. 4 EU AI Act.