Shadow KI im Unternehmen: DSGVO-Risiken, Erkennung und was wirklich hilft

In fast jedem Unternehmen nutzen Mitarbeiter KI-Tools ohne IT-Freigabe — mit echten Kundendaten, internen Dokumenten, vertraulichen Prozessen. Meistens nicht böswillig, sondern weil es niemand erklärt hat und die Tools funktionieren. Das ist Shadow KI, und sie ist ein konkretes DSGVO-Problem.

Lesezeit: ca. 6 Minuten · Stand: Juni 2026

Was Shadow KI ist — und warum sie in fast jedem Unternehmen existiert

Shadow KI ist nicht das Resultat von Böswilligkeit. Ein Support-Mitarbeiter, der komplizierte Kundenanfragen in ChatGPT eingibt, um schneller antworten zu können, tut das weil es hilft und weil niemand gesagt hat, dass es ein Problem ist. Ein Entwickler, der Copilot für ein internes Projekt nutzt, weil er damit effizienter ist, macht das aus denselben Gründen.

Die typischen Tools, die ohne Freigabe auftauchen:

Häufig genutzte Shadow-KI-Tools

  • ChatGPT / Claude — E-Mails, Kundenanfragen, Texte
  • Grammarly Business — Cloud-Sync von allem, was getippt wird
  • Notion AI — Meetingnotizen, Prozessdokumentation
  • Fireflies / Otter.ai — Gesprächsaufzeichnung mit Live-Transkription auf US-Server
  • GitHub Copilot — Repository-Kontext fließt teilweise in Suggestion-Engine ein

Warum entsteht Shadow KI?

  • Die Tools sind kostenlos oder günstig verfügbar
  • Sie funktionieren besser als die freigegebenen Alternativen
  • Es gibt keine klare Richtlinie, was erlaubt ist
  • Niemand hat erklärt, warum es ein Problem sein könnte
  • Produktivitätsdruck übertrumpft ungeklärte Datenschutzfragen

Das konkrete DSGVO-Problem

Der Kern des Problems ist Art. 44 DSGVO: Datenübertragungen in Drittländer (USA) benötigen eine ausreichende rechtliche Grundlage. Standardvertragsklauseln und Datenverarbeitungsverträge bieten OpenAI, Google, Anthropic und andere — aber nicht in Einzelabos.

Datentyp Kostenlos / Plus-Abo Enterprise-Abo (EU)
Interne Textentwürfe ohne Personenbezug Grauzone Zulässig mit DPA
Namen und E-Mails von Kunden DSGVO-Verstoß Zulässig mit DPA
Vertragsinhalte / Angebote DSGVO-Verstoß Zulässig mit DPA
Aufgezeichnete Kundengespräche DSGVO-Verstoß Einwilligung nötig
Ab Dezember 2027 kommt der EU AI Act für Hochrisiko-Systeme hinzu (Frist per Digital Omnibus verschoben von ursprünglich August 2026): Unternehmen müssen nachweisen können, welche KI-Systeme für welche Zwecke eingesetzt werden. Shadow KI macht diesen Nachweis strukturell unmöglich. Unabhängig von dieser Frist ist unkontrollierter Tool-Einsatz mit personenbezogenen Daten schon heute ein DSGVO-Verstoß.

Shadow KI erkennen — drei praktische Methoden

1

Anonyme interne Umfrage

Drei Fragen reichen: Nutzt du KI-Tools bei der Arbeit? Welche? Für welche Aufgaben? Anonymität ist entscheidend — mit Namen bekommen Sie die Antwort, die Mitarbeiter für erwünscht halten, nicht die ehrliche. Google Forms oder ein einfaches Typeform reichen aus.

2

Proxy-Log-Analyse

Wenn Ihr Netzwerk über einen Proxy läuft, sind die Ziel-Domains eindeutig identifizierbar: api.openai.com, claude.ai, api.anthropic.com, grammarly.com, fireflies.ai. Keine Überwachung der Inhalte nötig, nur der aufgerufenen Domains.

3

Kreditkartenabrechnung

Viele Mitarbeiter zahlen ChatGPT Plus (20 $/Monat) oder ähnliche Abos mit der Firmenkarte. Die Buchungen erscheinen als "OpenAI", "Anthropic" oder "Grammarly" — leicht zu identifizieren, wenn Ausgaben zentral geprüft werden.

Was wirklich hilft — und was nicht

Funktioniert nicht

  • Generelles KI-Verbot ohne Alternative — wird ignoriert oder verdeckt
  • 20-seitige Richtlinie, die niemand liest
  • Einmaliges All-Hands-Meeting ohne Nachverfolgung
  • Ausschließlich technische Sperren ohne Erklärung

Funktioniert

  • Freigegebenen Tool-Stack dokumentieren und kommunizieren
  • Klar erklären, warum bestimmte Tools nicht freigegeben sind
  • Grundregel: Interne Texte ohne Personenbezug = Grauzone. Kundendaten = nie ohne DPA
  • Schnellen Freigabeprozess für neue Tools einrichten

Eine halbe Seite mit dem freigegebenen Tool-Stack und einer einfachen Grundregel ist wirkungsvoller als ein umfangreiches Regelwerk, das niemand kennt. Das Ziel ist nicht Null-Risiko, sondern dokumentierter, vertretbarer Umgang mit KI-Tools.

Häufige Fragen

Was ist der Unterschied zwischen Shadow KI und nicht genehmigter IT generell?

Shadow IT ist der übergeordnete Begriff für alle nicht genehmigten Tools. Shadow KI ist spezifisch für KI-Anwendungen — mit dem Zusatzproblem, dass Drittlandtransfers nach Art. 44 DSGVO schon heute greifen und ab Dezember 2027 (verschoben von ursprünglich August 2026) die EU AI Act Dokumentationspflicht für Hochrisiko-Systeme hinzukommt.

Ist ChatGPT Team oder ChatGPT Enterprise dann DSGVO-konform?

Mit einem Datenverarbeitungsvertrag (DPA) und dem richtigen Plan kann der Transfer auf Standardvertragsklauseln gestützt werden. OpenAI bietet das für Business/Enterprise an. Es bleibt jedoch eine US-Übertragung — für hochsensible Daten kann eine EU-gehostete Alternative vorzuziehen sein.

Was passiert, wenn wir beim Audit Shadow KI-Nutzung festgestellt bekommen?

Ein Aufsichts-Audit ist selten der erste Schritt — Beschwerden, Anfragen oder Meldungen gehen voraus. Entscheidend ist, ob Sie reagiert haben. Wer die Nutzung kennt und einen Plan hat, ist besser positioniert als wer davon überrascht wird.

Wie viel Zeit braucht eine erste Shadow-KI-Inventarisierung?

Eine anonyme Umfrage plus Proxy-Log-Analyse ist in zwei bis drei Tagen durchführbar. Was danach fehlt, ist die Bewertung und Dokumentation: Welche Tools sind tragbar, welche müssen ersetzt werden, was braucht einen DPA. Das ist der Teil, bei dem ein externes Audit sinnvoll ist.

Verwandte Themen

Shadow KI im Unternehmen identifizieren

Der Schnellcheck gibt Ihnen in 3 Minuten eine erste Risikobewertung. Für eine strukturierte Analyse mit schriftlichem Report ist der Festpreis-Audit der nächste Schritt.

Termin buchen