Shadow AI: Was passiert, wenn Ihre Mitarbeiter ChatGPT längst nutzen

Shadow AI: Was passiert, wenn Ihre Mitarbeiter ChatGPT längst nutzen

Ich erlebe das regelmäßig in Beratungsgesprächen. Jemand erklärt mir, das Unternehmen habe noch keine KI-Strategie. Dann fragt der Kollege daneben, ob ich die neue ChatGPT-Funktion kenne, die er seit Monaten täglich für Kundenanfragen nutzt.

Das nennt man Shadow AI. Mitarbeiter nutzen KI-Tools ohne Wissen oder Freigabe des Unternehmens. Meistens nicht aus Fahrlässigkeit, sondern weil es einfach funktioniert. Das Compliance-Risiko entsteht nicht durch böswillige Absicht, sondern durch normales, effizientes Arbeiten.

Wie verbreitet ist das wirklich?

Laut einer KPMG-Umfrage nutzt mehr als die Hälfte der Büroangestellten KI-Tools in der täglichen Arbeit. Weniger als ein Drittel der Unternehmen hat dafür eine offizielle Richtlinie. In den meisten Organisationen läuft damit ein unkontrolliertes Experiment mit echten Daten.

Die Fälle sehen immer ähnlich aus. Eine Sachbearbeiterin tippt eine Kundenanfrage in ChatGPT, um schneller zu antworten. Ein Vertriebsmitarbeiter lässt ein Angebot überarbeiten. Jemand im Marketing lädt einen Marktforschungsbericht hoch, um eine Zusammenfassung zu bekommen. Einzeln ist das harmlos. In der Summe haben Sie Kundendaten, interne Kennzahlen und möglicherweise Betriebsgeheimnisse an externe Server übermittelt, ohne Auftragsverarbeitungsvertrag, ohne DSGVO-Dokumentation, und ohne dass es jemand bemerkt hat.

Was das rechtlich bedeutet

Wenn personenbezogene Daten in ein Tool eingegeben werden, das keinen gültigen Auftragsverarbeitungsvertrag (AVV) mit Ihrem Unternehmen hat, liegt eine meldepflichtige Datenpanne vor. Nicht wenn später ein Schaden entsteht, sondern beim Vorgang selbst.

Das betrifft mehr als man zunächst annimmt. Kundendaten wie Namen, E-Mail-Adressen oder Kaufhistorien fallen darunter, genauso wie Mitarbeiterdaten und vertrauliche Geschäftsdaten. Auch Angebote oder Kalkulationen können Betriebsgeheimnisse enthalten, die nicht in Systeme von Drittanbietern gehören.

Die kostenlose ChatGPT-Version hat keinen AVV für Privatnutzer. OpenAI bietet einen für Team- und Enterprise-Kunden an, der aber aktiv abgeschlossen werden muss. Manche Anbieter nutzen eingegebene Daten für das Modelltraining, sofern man dem in den Einstellungen nicht widerspricht. Das sind Einstellungen, die die meisten Nutzer gar nicht kennen.

Warum ein Verbot das Problem nicht löst

Die Standardreaktion vieler IT-Abteilungen: ChatGPT auf der Firewall sperren.

Der Mitarbeiter, der damit täglich 30 Minuten spart, wechselt aufs Smartphone. Oder er findet ein anderes Tool. Die Aktivität verschwindet aus Ihrem Blickfeld, sie hört nicht auf. Sie haben das Compliance-Risiko nicht beseitigt, Sie haben nur die Sichtbarkeit verloren.

Das ist keine Spekulation. Shadow IT gibt es seit Jahrzehnten. Als Unternehmen begannen, Dropbox zu sperren, weil der interne Fileserver zu langsam war, wechselten Mitarbeiter auf USB-Sticks oder persönliche Google-Drive-Accounts. Das Muster wiederholt sich jetzt mit KI-Tools, nur mit höheren Datenschutzrisiken.

Mitarbeiter nutzen diese Tools, weil sie damit tatsächlich schneller arbeiten. Das ist kein Fehlverhalten. Wer keine brauchbare Alternative anbietet, kann sich nicht darüber beschweren, dass Mitarbeiter sich selbst behelfen.

Was eine funktionierende Richtlinie leisten muss

Eine KI-Richtlinie muss drei Fragen so klar beantworten, dass jeder Mitarbeiter sie ohne Suche aus dem Kopf kennt: Welche Tools sind für allgemeine Aufgaben ohne sensible Daten erlaubt? Welche haben einen AVV und dürfen für interne Daten genutzt werden? Was ist grundsätzlich verboten?

Wenn das drei Sätze auf einem internen Wiki-Eintrag sind, funktioniert die Richtlinie. Wenn man dafür erst ein 20-seitiges Dokument aufrufen muss, nicht.

Das Ziel ist keine lückenlose Kontrolle, die niemand einhält. Es ist ein klarer Rahmen, der gut gemeintes Arbeiten von echten Compliance-Verstößen trennt.

Wo anfangen

Fragen Sie Ihre Mitarbeiter direkt: Nutzen Sie KI-Tools in Ihrer Arbeit? Die Antworten werden Sie überraschen. In fast jedem Unternehmen ist die tatsächliche Nutzung deutlich höher als das, was irgendjemand offiziell weiß.

Dann kommt die Entscheidung. Enterprise-Lizenzen mit AVV, also Microsoft Copilot, ChatGPT Enterprise oder Google Workspace AI, oder Lösungen auf eigener Infrastruktur, die keine Daten nach außen senden? Beides ist möglich. Das einzige, das nicht funktioniert: das Thema auf später verschieben und darauf vertrauen, dass schon nichts passiert.

Shadow AI ist selten ein Problem mit den Mitarbeitern. Meistens ist es ein Problem damit, dass das Unternehmen ihnen noch keinen sicheren Rahmen für etwas gegeben hat, das sie sowieso schon tun.

Welche KI-Tools für welche Aufgaben in Ihrem Unternehmen sinnvoll und DSGVO-konform umsetzbar sind, zeigt der kostenlose Automations-Check in 30 Minuten.