Compliance und Datenschutz Shadow AI: Die künstliche Intelligenz, die niemand freigegeben hat

Anbieter zum Thema

CADFEM Germany GmbH

Esker Software Entwicklungs-und Vertrieb

Yorizon GmbH & Co. KG

Viele Unternehmen beschäftigen sich derzeit mit dem Einsatz von künstlicher Intelligenz. Idealerweise werden Leitlinien entwickelt, Tools evaluiert und Freigabeprozesse definiert. In der Praxis entsteht ein Teil der Nutzung jedoch parallel dazu – als Shadow AI.

Künstliche Intelligenz ist im Unternehmensalltag angekommen: Texte werden mit generativen Tools erstellt, Präsentationen automatisiert, Daten ausgewertet – schnell und oft ohne Abstimmung. Die Hürde ist niedrig, der Nutzen unmittelbar. Was als pragmatische Lösung beginnt, wird schnell Teil der täglichen Arbeit. Für solche Konstellationen hat sich der Begriff „Shadow AI“ etabliert. Gemeint ist die Nutzung von KI-Anwendungen durch Mitarbeiter außerhalb der vorgesehenen Prozesse – oft spontan, ohne zentrale Steuerung und ohne formale Freigabe.

Shadow AI ist kein isoliertes IT-Problem, sondern Ausdruck fehlender Klarheit im Umgang mit einer neuen Technologie.

Melanie Ludolph, Rechtsanwältin bei Fieldfisher

Warum Shadow AI entsteht

Die Gründe sind naheliegend. Viele Mitarbeiter nutzen KI-Tools bereits privat und übertragen diese Nutzung in den Arbeitskontext. Gleichzeitig entwickelt sich das Angebot schneller, als interne Freigaben Schritt halten können. Zwischen verfügbaren und freigegebenen Lösungen entsteht so eine Lücke. Hinzu kommt: Freigegebene Tools sind nicht immer so flexibel oder schnell verfügbar wie die Alternativen. Wer effizient arbeiten will, greift dann auf das zurück, was unmittelbar funktioniert.

Zwischen Nutzen und fehlender Steuerung

Für Unternehmen ist das ambivalent. Der Einsatz von künstlicher Intelligenz kann die Produktivität deutlich steigern – entzieht sich aber gleichzeitig den vorgesehenen Steuerungsmechanismen. Deshalb wird die Nutzung nicht freigegebener Anwendungen in der Praxis häufig geduldet: Der Nutzen ist sichtbar, die vollständige Kontrolle schwer durchsetzbar. Gleichzeitig gilt: Unternehmen sollten sich nicht von einzelnen Anforderungen treiben lassen. Auch bei anderen IT-Systemen würde niemand jede gewünschte Lösung ungeprüft zulassen.

Generative KI

GenAI: Risiken nehmen zu durch Schatten-KI und BYOS

Das eigentliche Risiko von Shadow AI

Das Risiko liegt weniger in den Tools selbst als in ihrer konkreten Nutzung. Wenn Mitarbeiter sensible Informationen in externe Systeme eingeben, Ergebnisse ohne Einordnung weiterverwenden oder Inhalte übernehmen, deren Herkunft unklar ist, entstehen Risiken, die sich im Nachhinein nur schwer kontrollieren lassen. Shadow AI ist damit kein isoliertes IT-Problem, sondern Ausdruck fehlender Klarheit im Umgang mit einer neuen Technologie.

Der Versuch, Ordnung herzustellen

Viele Unternehmen reagieren darauf mit Verboten oder technischen Einschränkungen. In der Praxis bleibt das oft nur begrenzt wirksam. Denn der Bedarf an schnellen, unterstützenden Lösungen verschwindet nicht – er verlagert sich. Statt einzelne Tools zu verbieten, braucht es eine strategische Entscheidung: Welche Rolle soll KI im Unternehmen spielen – und welche nicht? Erst daraus ergibt sich, welche Anwendungen sinnvoll sind und unter welchen Bedingungen sie genutzt werden können. KI ist dabei keine reine IT- oder Datenschutzfrage. Sie betrifft zentrale Geschäftsprozesse und damit auch Verantwortung und Haftung. Entsprechend gehört sie in die Steuerung des Unternehmens.

Die Nutzung nicht freigegebener KI lässt sich technisch begrenzen. Entscheidend ist jedoch, dass Unternehmen festlegen, wie sie genutzt werden darf – und nicht erst reagieren, wenn Probleme entstehen.