info@consultin.net
+49 156 78 32 81 62
Esplanade 10, 85049 Ingolstadt
Shadow AI: Mitarbeiter nutzen auch inoffizielle KI-ToolsShadow AI: Mitarbeiter nutzen auch inoffizielle KI-ToolsShadow AI: Mitarbeiter nutzen auch inoffizielle KI-ToolsShadow AI: Mitarbeiter nutzen auch inoffizielle KI-Tools
  • Über uns
    • Das sind wir
    • Positionierung
    • Partnerschaften
    • Unser Vorstand
  • Unternehmen
    • Mehrwerte
    • Leistungen
      • Digital & IT Solutions
      • Human Resources
      • Marketing & Sales
      • Quality & Process Management
      • Sustainability
    • Kunden
    • Qualität
    • Projektablauf
    • Referenzen
    • Partnerschaft
  • Studierende
    • Deine Mehrwerte
    • Erfolgsgeschichten
    • Lust auf Kaffee?
    • Unsere Bereiche
      • Akquise
      • Human Resources
      • Finanzen und Recht
      • Qualitätsmanagement
      • IT
    • Netzwerke
    • Kunden
    • Bewerbungsprozess
    • Werdegang
    • FAQ
  • Bewirb dich jetzt!
  • consult.IN Persönlichkeitstest
  • consult.Blog
  • Impressum
  • Datenschutz

Shadow AI: Mitarbeiter nutzen auch inoffizielle KI-Tools

11. Juni 2026
Categories
  • consult.Blog
Tags
  • #ShadowAI #SchattenKI #BYOAI #KünstlicheIntelligenz

Stellen Sie sich vor, ein Vertriebsmitarbeiter schreibt ein Angebot für einen Großkunden. Es muss schnell gehen, also öffnet er ChatGPT, fügt die Kundendaten aus dem CRM ein und lässt den Text optimieren. Das Ergebnis ist gut. Der Kunde unterschreibt. Niemand erfährt davon.

Das Szenario ist kein Einzelfall, und auf den ersten Blick erstmal nicht besorgniserregend.

Laut einer Umfrage von IDC aus April 2025 nutzen ca. 56% der Beschäftigten in Unternehmen KI-Tools ohne offizielle Freigabe. In der Microsoft-Studie „Work Trend Index 2024“ gaben 78% der KI-Nutzer an, ihre eigenen Tools bei der Arbeit zu nutzen/mitzubringen (Bring Your Own AI – BYOAI) — weil die offiziellen Unternehmenstools zu langsam, zu unflexibel oder schlicht nicht vorhanden sind.

Shadow AI ist also überall in großem Maße gegeben, ähnlich wie es mit Shadow IT auch schon seit Jahren der Fall ist. Insbesondere die ständige Innovation, die immer bessere Modelle hervorbringt und mit der Unternehmen in der Adoption nicht mithalten können, dürfte ein großer Verursacher sein.

Das Ganze aber einfach als gegeben zu nehmen, kann auch sehr problematisch sein…

Was genau passiert mit den eingegebenen Daten?

Die meisten frei zugänglichen KI-Dienste — ChatGPT (Free/Plus), Google Gemini, Perplexity ohne Unternehmensvertrag — nutzen eingegebene Daten standardmäßig zur Modellverbesserung. Das bedeutet: Eingaben können von menschlichen Reviewern eingesehen, in Trainingsdatensätze aufgenommen und damit dauerhaft Teil des Modells werden.

Zum Selbst-Testen: Öffnen Sie ChatGPT, gehen Sie auf Einstellungen → Datenkontrolle. Ist „Verbesserung des Modells für alle“ aktiviert? In der kostenlosen Version ist das die Standardeinstellung.

Selbst wenn kein Training stattfindet: Die Daten liegen auf Servern in den USA (OpenAI, Microsoft, Google, Anthropic) und unterliegen damit dem US Cloud Act — einer US-Gesetzgebung, die amerikanischen Behörden Zugriff auf gespeicherte Daten ermöglichen kann, unabhängig davon, wo der Server physisch steht.

Im August 2025 gab es zudem einen Bug der zur Folge hatte, dass geteilte Chats mit ChatGPT über Google für jeden öffentlich einsehbar waren.

In den meisten Fällen ist es also nicht nur nicht wünschenswert seine Daten in ChatGPT & Co einzueben, sondern kann auch einen Verstoß gegen den Datenschutz, NDAs oder andere Verträge mit Kunden bedeuten. Lassen Sie uns die Risiken nochmal im Detail betrachten – wenn Sie diese jedoch bereits kennen, springen Sie einfach zum Abschnitt danach.

Drei Risikofelder

1. Kundendaten und DSGVO

Wenn ein Mitarbeiter personenbezogene Daten — Namen, E-Mail-Adressen, Vertragsdetails — in ein nicht genehmigtes Tool eingibt, liegt eine Übermittlung an einen Dritten vor. Ohne Auftragsverarbeitungsvertrag (AV-Vertrag) ist das ein DSGVO-Verstoß, für den das Unternehmen haftet.

Die möglichen Bußgelder: bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro (Art. 83 Abs. 5 DSGVO).

2. Betriebsgeheimnisse und geistiges Eigentum

Niemand will wohl geistiges Eigentum oder andere Wettbewerbsvorteile verlieren, nur weil ein Mitarbeiter die Daten in ChatGPT hochlädt.

2023 war das bei Samsung tatsächlich der Fall: Drei Ingenieure gaben vertraulichen Quellcode und interne Daten in ChatGPT ein — in zwei Fällen zur Fehlersuche, im dritten für eine Meetingzusammenfassung. Obwohl Samsung dies entdeckte und die Nutzung von ChatGPT direkt einschränkte, haben sie die Datenabfluss und Reputationsverlust nicht mehr verhindern können.

Im deutschen Mittelstand sind die Risiken vergleichbar: Konstruktionspläne, Preiskalkulationen, M&A-Überlegungen, Personalentscheidungen. Einmal in ein externes Modell eingegeben, gibt es keine technische Garantie, dass diese Information das Modell nicht dauerhaft prägt.

3. Falsche Ausgaben ohne Kontrolle

Auch wenn KI-Modelle sich in den letzten Jahren drastisch verbessert haben, tendieren sie immer noch dazu zu halluzinieren – sich also Daten auszudenken. Hier braucht es entsprechend oft gute Governance aber auch Kontext. Eine KI, die direkt im Unternehmenskontext läuft und auf interne Daten zugreifen kann, wird ein geringeres Risiko haben falsche Aussagen zu treffen als eine externe KI, die nur ein oder zwei Dateien und eine kurze Beschreibung bekommt.

Viele Unternehmen benutzen bereits sog. RAG (Retrieval-Augmented Generation) – ein KI die auf eine Datenbank von ausgewählten Daten und Dateien zugreifen kann und diese nutzt um Fragen zu beantworten. Trotzdem setzen Mitarbeiter oft noch auf externe Modelle, da die interne KI zwar das Wissen gut nutzen kann, aber womöglich in anderen Bereichen – wie z.B. Programmierung schlechter ist.

Warum Verbote nicht funktionieren

Aufgrund der beschriebenen Probleme sieht man eine Sache zunehmend öfter: ChatGPT und andere nicht zugelassene Modelle werden gesperrt, sodass man die Website gar nicht aufrufen kann.

Per se ist das erstmal ein richtiger Schritt, allerdings ist es nahezu unmöglich alle KI-Anbieter zu blocken und selbst wenn können und tun viele Mitarbeiter ihre privaten Geräte nutzen, um solche Sperren zu umgehen.

Mitarbeiter nutzen Shadow AI, weil sie produktiver werden wollen. Der leichteste Weg Shadow AI zu minimieren ist also die besten Modelle anbieten und regelmäßig Mitarbeiter fragen, welche Modelle sie noch nutzen. Dieser Optimalfall ist aber natürlich aufwand- und kostentechnisch nicht stemmbar. Trotzdem ist wohl klar wenn man bessere KI-Modelle auch intern anbietet gibt es weniger Grund für Mitarbeiter externe unregulierte KI-Modelle zu nutzen.

Die Risikoreduktion — dass geistiges Eigentum nicht abfließt und Datenschutzverstöße ausbleiben — überwiegt den Mehrpreis besserer KI-Modelle bei Weitem.

Was Sie diese Woche tun können

Zum Abschluss noch ein paar Schritte, die man theoretisch schon diese Woche nehmen kann:

  1. Fragen Sie Ihre Mitarbeiter: „Welche KI-Tools nutzt du für die Arbeit/würdest du gerne nutzen?“
  2. Prüfen Sie Ihre bestehenden Lizenzen: Hat Ihr Unternehmen Microsoft 365 Business Premium oder E3/E5? Dann ist Microsoft Copilot für Teams möglicherweise bereits inklusive oder günstig hinzubuchbar.
  3. Definieren Sie eine vorläufige Datenklassifizierung Welche Daten dürfen in KI gegeben werden und welche Art von Daten nicht.

Am Ende dürften Sie u.a. eine Liste von KI-Tools haben, die Mitarbeiter einsetzen oder gerne nutzen würden. Mit dieser Liste sollten Sie dann beantworten:

  1. Warum nutzen Mitarbeiter diese Tools?
  2. Können wir diese Tools anbieten?
  3. Welche Alternativen können wir anbieten?

So sollten Sie schnell die Anzahl der Shadow AI drastisch reduzieren können – dieses Vorgehen sollte natürlich in regelmäßigen Abständen wiederholt oder durch einen KI-Tool-Genehmigungsprozess formalisiert werden.

Wenn Sie ein Tool finden, das viele Mitarbeiter nutzen, das sie aber nicht anbieten können und für das sie keine Alternative haben, haben Sie wahrscheinlich ein großes Shadow AI Problem.

Share

Related posts

11. Juni 2026

Was Unternehmen von Bewerbern wirklich erwarten

Read more
11. Juni 2026

Quiet Hiring: Interne Talente entdecken

Read more
11. Juni 2026

Low Code für den Fachbereich – KNIME Analytics Platform

Read more
Impressum und Datenschutz
© 2026 consult.IN e. V.
All Rights Reserved.
consult.IN e.V.
Esplanade 10, 85049 Ingolstadt
info@consultin.net
+49 156 78 32 81 62

consult.IN verwendet Cookies, um Ihnen die bestmögliche Erfahrung auf unserer Website zu bieten.

Erfahren Sie mehr darüber, welche Cookies verwendet werden oder schalten Sie diese aus.

Logo consult.IN
Datenschutzübersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen, wie beispielsweise Benutzererkennung, wenn Sie zu unserer Website zurückkehren, aus und helfen uns zu verstehen, welche Bereiche der Website für Sie am relevantesten sind.

Notwendige Cookies

Notwendige Cookies sollten aktiviert bleiben, um Ihre Cookie-Präferenzen zu speichern.

Wenn Sie diesen Cookie deaktivieren, können wir Ihre Einstellungen nicht speichern. Das bedeutet, dass Sie jedes Mal, wenn Sie diese Website besuchen, Cookies erneut aktivieren oder deaktivieren müssen.

Impressum und Datenschutz

Hier finden Sie weitere Informationen über Impressum und Datenschutz