Shadow IT

Geschäfts-Praxis

Shadow IT — Mitarbeitende nutzen Software-Tools an der IT vorbei. Bei KI ist das 2026 das am schnellsten wachsende Compliance-Risiko in KMU.

Was Shadow KI konkret bedeutet

Klassische Shadow IT war früher die private Dropbox für Firmen-Dateien oder das Excel-Sheet auf USB. Mit KI-Tools hat sich das Risiko vervielfacht — und gleichzeitig wurde es viel schwerer zu erkennen. Typische Beispiele:

• MitarbeiterIn lädt Mandanten-Brief in ChatGPT zur Stilverbesserung
• Marketing-Praktikant nutzt Midjourney auf privatem Account für Firmen-Bilder
• Vertrieb läuft Notion AI auf Privatkonto mit allen Kundenkontakten
• Entwickler nutzt Cursor mit GPT-5 — und schiebt Quellcode mit API-Keys durch
• Geschäftsführerin fragt Claude.ai zu einem strategischen Übernahme-Plan

Keine Person hier handelt böswillig — alle wollen produktiv sein. Aber jede dieser Aktionen ist potenziell ein DSGVO-Vorfall oder Geschäftsgeheimnis-Leck.

Warum Shadow KI gefährlicher ist als klassische Shadow IT

1. Unsichtbar: Browser-basiert, kein Software-Inventar zu sehen. IT bemerkt es oft erst, wenn etwas schief geht.
2. Daten verlassen das Haus dauerhaft: Was in ChatGPT geladen wird, kann in Trainingsdaten landen (bei Free/Plus). Rückholbar ist das nicht.
3. Skaliert schnell: EinE MitarbeiterIn zeigt es einer/m KollegIn. Innerhalb von Wochen ist es im ganzen Team.
4. Mehrere Rechtsgebiete gleichzeitig: DSGVO + Berufsgeheimnis + ggf. Wettbewerbsrecht + EU AI Act.

Praxisbeispiel: Architekturbüro mit 8 MA

Aufgefallen ist es einer Kundin, die nach einem Vorgespräch eine E-Mail bekam, die sich „komisch" las — als ob KI mitgeschrieben hätte. Tat sie auch.

Recherche ergab: drei Mitarbeitende nutzten ChatGPT Free über persönliche Konten, hatten in den letzten 6 Monaten Bauanträge, Mietverträge und Mandanten-Briefe durch ChatGPT laufen lassen. Schätzung: 200+ personenbezogene Datenverarbeitungen ohne Rechtsgrundlage.

Kosten: 6.000 € Bußgeld nach Datenschutzbehörden-Audit, 3 Wochen Aufräum-Aufwand, Vertrauensverlust bei Kunden.

Wie KMU Shadow KI in den Griff bekommen

1. Anonyme Umfrage zur Bestandsaufnahme

Bevor Sie verbieten, müssen Sie wissen, was los ist. Einfache anonyme Umfrage: „Welche KI-Tools nutzt du in den letzten 4 Wochen für die Arbeit?" Sie werden überrascht sein.

2. Erlaubte Alternative anbieten — sofort

Der größte Fehler: ChatGPT verbieten ohne Alternative. Mitarbeitende wollen produktiv sein, sie werden Wege finden. Erlaubt sein muss:

• Ein zentraler Chat-Account (Claude Team oder ChatGPT Team)
• Klare Regelung welche Daten rein dürfen
• Bei sensiblen Daten: lokale KI-Alternative über Ollama

3. KI-Richtlinie schreiben und schulen

Schriftlich, konkret, mit Beispielen. Plus 30-Minuten-Schulung für alle. Das deckt EU-AI-Act-Anforderungen ab und reduziert Shadow KI um 80 %.

4. Logging und Monitoring

Bei Team-Accounts: zentrales Audit-Log. Wer hat was wann hochgeladen? Nicht zur Überwachung, sondern zur Nachverfolgung im Vorfallsfall.

5. Niedrige Eskalations-Schwelle

Mitarbeitende dürfen — und sollen — fragen, ob ein bestimmter Use Case ok ist. Wer fragt, macht es richtig. Wer aus Angst nicht fragt, geht in die Shadow KI.

Was nicht hilft

• Komplettes KI-Verbot: Untauglich. KI ist 2026 produktivitäts-relevant; Verbot treibt Mitarbeitende in Shadow KI oder kostet Wettbewerbsfähigkeit.
• Netzwerk-Blockierung: ChatGPT-Domain blocken hilft 5 Minuten — dann nutzen Mitarbeitende ihr Handy.
• Strafkultur: „Wer Shadow KI nutzt, wird abgemahnt" — führt zu Vertuschung statt Lösung.

Frühwarnzeichen für Shadow KI

• E-Mails von MitarbeiterInnen klingen plötzlich „polierter" als sonst
• Berichte enthalten KI-typische Phrasen („Insgesamt lässt sich festhalten…", „In dieser dynamischen Landschaft…")
• Plötzlich gibt es Bilder/Grafiken aus unbekannten Quellen
• Lieferzeit für Texte verkürzt sich auffällig

Das sind alles keine Beweise — aber gute Anlässe, um nachzufragen.

Verwandte Begriffe

KI-Richtlinie · DSGVO · PII · EU AI Act · Vendor Lock-in