Chief AI Officer / Insights / Schatten-KI
DSGVO 12. Mai 2026 7 Min. Lesezeit

Schatten-KI: Warum ChatGPT auf privaten Accounts Ihr größtes ungelöstes Risiko ist

Ihre Mitarbeitenden nutzen KI bereits. Nur nicht über offizielle Kanäle, sondern über ihre privaten Accounts. Was dabei passiert, wer haftet, und wie Sie das Problem lösen, ohne Akzeptanz zu zerstören.

Es gibt in fast jedem mittelständischen Unternehmen eine Tatsache, die der Geschäftsführer offiziell nicht weiß, die seine Mitarbeitenden aber alle kennen. KI wird längst genutzt. Nur eben nicht so, wie es in der Unternehmenspolitik vorgesehen ist. Eine Sachbearbeiterin in der Buchhaltung kopiert die monatliche Auswertung in ChatGPT, weil sie schneller eine Zusammenfassung schreiben will. Ein Marketingmitarbeiter generiert Bilder mit Midjourney auf seinem privaten Account. Ein Vertriebler nutzt ein KI-Tool für Lead-Recherche, das niemand offiziell freigegeben hat.

Das nennt man Schatten-KI. Und sie ist im Mittelstand 2026 die Regel, nicht die Ausnahme.

Warum Schatten-KI entsteht

Bevor wir uns mit den Risiken befassen, lohnt sich ein nüchterner Blick auf die Ursachen. Schatten-KI entsteht nicht aus böser Absicht. Sie entsteht aus drei sehr menschlichen Gründen:

Erstens: Die Mitarbeitenden wollen produktiv sein. Wenn ein Tool die eigene Arbeit in zehn statt vierzig Minuten erledigt, ist die Versuchung, es zu nutzen, gewaltig. Insbesondere wenn das offizielle Verfahren langwierig ist oder gar nicht existiert.

Zweitens: Das Unternehmen hat keine offizielle Alternative bereitgestellt. Wenn es keine freigegebene KI-Lösung gibt, suchen sich die Mitarbeitenden eine. Das ist nicht Trotz, das ist Selbsthilfe.

Drittens: Die Hemmschwelle ist niedrig. Ein ChatGPT-Account ist in 30 Sekunden eingerichtet. Eine offizielle Tool-Freigabe dauert oft Monate. Diese Asymmetrie sorgt für Schatten-Nutzung.

Was bei jeder Schatten-KI-Nutzung passiert

Sehen wir uns drei realistische Szenarien an, die sich genau so täglich in deutschen Mittelständlern abspielen. Sie sind nicht überzeichnet. Sie sind die Normalität.

01 Szenario · Buchhaltung

Eine Sachbearbeiterin erstellt einen Monatsbericht. Sie kopiert die Übersicht über offene Forderungen in ChatGPT und bittet um eine knappe Zusammenfassung für die Geschäftsleitung. Die Übersicht enthält Kundennamen, Beträge, Fälligkeitsdaten und Vermerke zu Zahlungsverzügen.

Was technisch passiert: Diese Daten werden an OpenAI in die USA übertragen, dort verarbeitet, und im kostenlosen oder Plus-Tarif sogar zum Training künftiger Modelle verwendet.

→ Unbemerkter Datentransfer von Kundendaten in ein Drittland. Ohne Rechtsgrundlage. Ohne Auftragsverarbeitungsvertrag. Ohne Information des Datenschutzbeauftragten.

02 Szenario · Vertrieb

Ein Vertriebsmitarbeiter nutzt ein KI-Tool zur Lead-Recherche. Er gibt einen LinkedIn-Profil-Link ein, das Tool erstellt automatisch eine Zusammenfassung der Person, ergänzt durch Daten aus weiteren Quellen, und schlägt eine personalisierte Ansprache vor. Das Tool kostet 39 Dollar im Monat, er bezahlt es privat.

Was technisch passiert: Persönliche Daten von Geschäftspartnern werden über einen Drittanbieter verarbeitet, der nicht in Ihrem Verarbeitungsverzeichnis steht. Sie haben keinen Vertrag mit diesem Anbieter.

→ Verstoß gegen DSGVO und gegen das Verarbeitungsverzeichnis. Im Schadensfall haftet das Unternehmen, nicht der Mitarbeiter.

03 Szenario · Marketing

Eine Marketing-Verantwortliche generiert mit Midjourney Bilder für eine Social-Media-Kampagne. Sie lädt zur Inspiration ein internes Produktfoto hoch, das nicht für die Öffentlichkeit bestimmt war. Das Foto zeigt Details der Fertigung, die unter Geheimhaltung stehen.

Was technisch passiert: Das Produktfoto wird auf den Servern eines KI-Anbieters gespeichert. Bei einigen Anbietern wird es Teil des Trainingsmaterials. Auch wenn der Anbieter behauptet, das ginge nicht: technisch kann es niemand mehr zurücknehmen.

→ Verlust von Geschäftsgeheimnissen. Verstöße gegen Geheimhaltungsvereinbarungen mit Lieferanten. Im worst case eine Compliance-Krise.

Wer haftet im Schadensfall

Eine der gefährlichsten Annahmen im Mittelstand lautet: „Wenn ein Mitarbeiter etwas Privates nutzt, dann haftet er auch privat." Das ist juristisch nicht haltbar.

Sobald ein Mitarbeitender im Rahmen seiner beruflichen Tätigkeit, mit Unternehmensdaten oder im Kontext seiner Arbeitsaufgaben, KI nutzt, geschieht die Verarbeitung im Auftrag und im Verantwortungsbereich des Unternehmens. Das gilt auch dann, wenn der Mitarbeitende den Account selbst angelegt hat, das Tool privat bezahlt und es ohne Wissen der Vorgesetzten verwendet hat.

Aus Sicht des Datenschutzrechts ist das Unternehmen der Verantwortliche. Bei einem DSGVO-Verstoß sind es Ihre Bußgelder, nicht die Ihres Mitarbeitenden. Bei einem Schadensersatzanspruch wird Ihr Unternehmen verklagt. Eine privatrechtliche Regress-Möglichkeit gegen den Mitarbeitenden besteht nur in eng begrenzten Fällen und ist praktisch selten durchsetzbar.

!
Im Streitfall ist Ihre Verteidigung schwierig. Eine Aussage wie „Wir wussten von nichts" ist juristisch nicht entlastend. Im Gegenteil: sie wird Ihnen als organisatorisches Versäumnis ausgelegt. Sie hätten Maßnahmen ergreifen müssen, um Schatten-KI zu verhindern.

Was Sie nicht tun sollten

Bevor wir zur Lösung kommen, drei Reaktionen, die wir bei Geschäftsführern oft sehen und die alle in die falsche Richtung führen:

1. KI grundsätzlich verbieten. Funktioniert nicht. Wer KI verbietet, verlagert die Schatten-Nutzung nur tiefer in die Unsichtbarkeit. Mitarbeitende, die das Tool brauchen, finden Wege. Verbote schaffen außerdem das Worst-Case-Signal: „Wir haben keine Antwort, also ist alles verboten." Akzeptanzkiller erster Klasse.

2. Alle Mitarbeiter abmahnen, die KI nutzen. Funktioniert noch weniger. Sie schaffen Misstrauen, ohne das Problem zu lösen. Die Nutzung geht weiter, nur eben heimlicher. Sie haben dann Schatten-KI plus zerstörte Kultur.

3. Hoffen, dass es schon irgendwie gut geht. Die häufigste Reaktion. Verständlich, weil das Problem komplex ist. Aber jeder Tag, an dem Schatten-KI ungeregelt weiterläuft, vergrößert die Datenmenge in fremden Systemen und Ihre Haftungsexposition.

Wie Sie das Problem in 90 Tagen lösen

Die Lösung ist nicht überraschend, sondern strukturell. Sie hat vier Schritte, die in dieser Reihenfolge angegangen werden müssen.

1

Schatten-KI erfassen, ohne zu strafen

Führen Sie eine ehrliche, anonyme oder offene Bestandsaufnahme durch. Welche KI-Tools werden tatsächlich genutzt, wofür, wie häufig, mit welchen Datenarten? Wichtig: die Bestandsaufnahme darf nicht als Disziplinarmaßnahme empfunden werden. Mitarbeitende, die mitteilen, was sie nutzen, sind Ihre wertvollsten Verbündeten, nicht Ihre Beschuldigten.

2

Offizielle Alternativen bereitstellen

Für jede legitime Nutzung gibt es eine konforme Alternative. ChatGPT Team oder Enterprise statt ChatGPT Free. Microsoft Copilot mit unternehmensinternem Datenschutz statt Privat-Account. Eine DSGVO-konforme Bildgenerierung statt Midjourney privat. Investieren Sie in Tool-Lizenzen, bevor Sie über Verbote sprechen.

3

Klare Spielregeln formulieren

Eine kurze KI-Richtlinie, höchstens drei Seiten. Welche Tools sind freigegeben, welche nicht? Welche Datenarten dürfen mit welchen Tools verarbeitet werden? Was ist explizit verboten (etwa: Kundendaten in nicht-freigegebenen Tools)? Wer ist Ansprechpartner für Fragen? Diese Richtlinie muss verständlich sein, nicht juristisch.

4

Schulen und Akzeptanz schaffen

Erklären Sie den Mitarbeitenden, warum die neuen Regeln Sinn ergeben. Nicht: „Weil die DSGVO das so verlangt." Sondern: „Weil wir Ihre Arbeit absichern wollen, ohne dass Sie als Person in Haftung geraten." Das ist ehrlich, und es funktioniert. Begleitet von einer Schulung zur konformen Tool-Nutzung schließen Sie den Kreis.

Der entscheidende Punkt

Schatten-KI ist kein Problem der Mitarbeitenden. Es ist ein Problem des Unternehmens, das keine Antwort hatte. Wer das verstanden hat, kann das Problem in 90 Tagen lösen. Nicht durch Kontrolle, sondern durch Angebot. Nicht durch Verbote, sondern durch klare Spielregeln und gute Werkzeuge.

Der Bonus: Sobald Sie das geregelt haben, gewinnen Sie eine zentrale Fähigkeit, die Sie in jeder weiteren KI-Initiative brauchen. Sie wissen, was tatsächlich passiert in Ihrem Unternehmen. Diese Transparenz ist die Voraussetzung für jede strategische KI-Entscheidung. Ohne sie tappen Sie im Dunkeln, mit ihr wird KI plötzlich steuerbar.

Praktische Konsequenz
Wenn Sie bisher noch nicht wissen, welche Schatten-KI in Ihrem Unternehmen läuft, ist das nicht peinlich, sondern normal. Aber es ist zwingend, dass Sie es bald wissen. Die Bestandsaufnahme ist der erste konkrete Schritt jedes ernsthaften CAIO-Mandats.

Was bleibt

Schatten-KI ist die unbequeme Wahrheit hinter der offiziellen KI-Strategie. Solange sie unaufgelöst bleibt, ist jede Strategie bloß Theorie. Wer sie löst, schafft die Grundlage, auf der KI im Unternehmen tatsächlich Wirkung entfalten kann.

Die gute Nachricht: Diese Lücke ist nicht teuer zu schließen. Sie ist nicht kompliziert. Sie braucht nur Entschlossenheit, eine Bestandsaufnahme und ein paar gute Werkzeuge mit konformen Lizenzen. In 90 Tagen können Sie damit durch sein.

Wissen Sie, was bei Ihnen läuft?

Eine ehrliche Bestandsaufnahme der Schatten-KI in Ihrem Unternehmen ist Teil jedes CAIO-Mandats. Sprechen Sie mit uns über ein erstes Gespräch.

Erstgespräch vereinbaren
CAO
Veröffentlicht von
Chief AI Officer
Strategische KI-Führung für den Mittelstand · Münster
Weiterlesen

Verwandte Beiträge

DSGVO 11 Min. Lesezeit

DSGVO-Folgenabschätzung für KI-Anwendungen: Eine Anleitung für den Mittelstand

Wie Sie Artikel 35 DSGVO pragmatisch erfüllen, ohne juristisches Doktorat und ohne Konzern-Aufwand.
AI Act 10 Min. Lesezeit

Artikel 4 AI Act: Warum Ihre Mitarbeiter seit Februar 2025 KI-Kompetenz nachweisen müssen

Eine Verpflichtung, die seit Februar 2025 gilt und die kaum ein Mittelständler auf dem Schirm hat.