Shadow AI

Ausführliche Erklärung

Shadow AI beschreibt ein zunehmendes Phänomen in Unternehmen: Mitarbeitende nutzen KI-Anwendungen eigenständig, um effizienter zu arbeiten – etwa zum Verfassen von E-Mails, zur Analyse von Daten oder zum Überarbeiten von Dokumenten – ohne dass die IT-Abteilung, die Geschäftsführung oder der Datenschutzbeauftragte davon Kenntnis haben. Der Begriff ist an "Shadow IT" angelehnt, also die unkontrollierte Nutzung nicht genehmigter Software oder Cloud-Dienste. Shadow AI geht jedoch darüber hinaus, weil generative KI-Modelle nicht nur Daten speichern, sondern aktiv verarbeiten, lernen und potenziell für Training weiterverwendet werden können.

Die Verbreitung ist erheblich: Aktuelle Studien zeigen, dass zwischen 56 und 78 Prozent der Mitarbeitenden nicht freigegebene KI-Tools im beruflichen Kontext nutzen. Die Motivation ist nachvollziehbar – die Tools sind kostenlos oder günstig verfügbar, leicht zu bedienen und versprechen unmittelbare Produktivitätsgewinne. Gleichzeitig fehlt oft das Bewusstsein für die damit verbundenen Risiken: Werden Kundendaten, Finanzzahlen, Verträge oder interner Quellcode in externe Modelle eingegeben, verlässt diese Information den kontrollierten Unternehmensbereich. Damit entstehen Risiken für Datenschutzverstöße nach DSGVO, Verletzungen von Geschäftsgeheimnissen und Compliance-Probleme.

Seit August 2024 ist der EU AI Act in Kraft, der Unternehmen verpflichtet, ein vollständiges Inventar aller genutzten KI-Systeme zu führen und Hochrisiko-Anwendungen zu dokumentieren. Shadow AI macht genau das unmöglich, da die IT-Abteilung keine Kenntnis über die tatsächlich genutzten Tools hat. Zusätzlich fordert die NIS2-Richtlinie seit Ende 2025 von betroffenen Unternehmen ein umfassendes IT-Sicherheits-Risikomanagement – auch hier stellt unkontrollierte KI-Nutzung einen blinden Fleck dar. Die DSGVO verbietet zudem die Verarbeitung personenbezogener Daten durch nicht freigegebene Auftragsverarbeiter, was bei der Nutzung öffentlicher KI-Tools regelmäßig der Fall ist.

Für KMU ist Shadow AI besonders kritisch, weil oft weder dedizierte KI-Governance-Strukturen noch ausreichend Ressourcen für umfassende Kontrollen vorhanden sind. Gleichzeitig können die Folgen gravierend sein: Laut IBM-Berichten verursachen Datenschutzvorfälle im Zusammenhang mit Shadow AI durchschnittlich 670.000 US-Dollar mehr Kosten als herkömmliche Sicherheitsvorfälle. Strafen bei DSGVO-Verstößen können bis zu 4 Prozent des weltweiten Jahresumsatzes betragen.

Die Lösung liegt nicht in pauschalen Verboten, die erfahrungsgemäß nur zur Verlagerung auf private Geräte führen. Vielmehr benötigen Unternehmen transparente Bestandsaufnahmen der genutzten Tools, klare Nutzungsrichtlinien mit freigegebenen Alternativen, Schulungen für Mitarbeitende sowie technische Schutzmaßnahmen wie Data Loss Prevention für KI-Kanäle. Wer Shadow AI aktiv steuert statt zu ignorieren, kann die Produktivitätsvorteile von KI nutzen, ohne die Kontrolle über sensible Daten zu verlieren.