Im ersten Teil habe ich es angekündigt: Niemand im Haus weiß genau, welche KI-Tools die Mitarbeiter nutzen oder was sie dort eingeben. Das nennt sich Shadow AI. Darum geht es heute.
Schatten-KI. Der Name passt. Es passiert im Betrieb, ständig – nur außerhalb des Blickfelds.
Was damit gemeint ist.
Shadow AI ist jede Nutzung von KI-Tools, von der die Organisation nichts weiß. Kein Verbot wurde umgangen. Keine böse Absicht. Es hat sich einfach niemand darum gekümmert.
Und das aus einem nachvollziehbaren Grund: Die Tools sind schneller als jede Richtlinie. Wer eine Aufgabe in zehn Minuten statt zwei Stunden erledigt, fragt nicht erst die Geschäftsleitung.
Shadow AI entsteht nicht aus Ungehorsam. Sie entsteht, weil KI funktioniert – und niemand Regeln dazu aufgestellt hat.
Wie das konkret aussieht.
Der Vertrieb tippt die Kalkulation für ein Angebot in ein kostenloses KI-Tool – damit der Text schöner klingt. Die interne Marge inklusive.
Das Sekretariat lädt eine Bewerbung hoch, um eine Zusammenfassung zu bekommen. Name, Lebenslauf, Gehaltsvorstellung – auf einem fremden Server.
Die Buchhaltung lässt sich eine Auswertung mit echten Zahlen erklären. Jemand schreibt das Protokoll der Vorstandssitzung über ein privates KI-Konto, mit allen Namen.
Vier Vorgänge. Vier Mal gut gemeint. Vier Mal sind Daten das Haus verlassen, ohne dass es jemand mitbekommen hat.
Das eigentliche Problem ist nicht die Nutzung.
Ich sage es so deutlich, wie ich es meine: KI im Betrieb ist gut. Wer das liest und jetzt ein Verbot plant, hat den ersten Teil dieser Reihe nicht verstanden.
Das Problem ist nicht, dass Ihre Leute KI nutzen. Das Problem ist, dass Sie nicht wissen, welche Tools, mit welchen Daten und unter welchen Bedingungen.
Was man nicht kennt, kann man nicht steuern. Und was man nicht steuert, schützt einen nicht – wenn ein Kunde fragt, wo seine Daten gelandet sind. Oder wenn die Aufsichtsbehörde es fragt.
Und das ist kein Nischenproblem. Im Logicalis CIO Report 2026 – über tausend IT-Verantwortliche weltweit – geben nur 37 Prozent an, volle Sicht auf die KI-Tools in ihrer Organisation zu haben. 62 Prozent sagen, fehlendes Wissen zwinge sie zu Kompromissen bei der KI-Governance. In der DACH-Region klagen 72 Prozent der Befragten über fehlendes Fachpersonal. Niemand findet diese Leute. Die gute Nachricht: Für Shadow AI brauchen Sie sie auch nicht.
Das sind Konzerne mit eigener IT-Abteilung. Wenn dort zwei von drei den Überblick verlieren – wie sieht es dann in Betrieben ohne große IT-Abteilung aus?
Warum ein Verbot der falsche Reflex ist.
Der erste Impuls vieler Geschäftsleitungen: KI verbieten, bis das geklärt ist. Verständlich. Und falsch.
Ein Verbot beseitigt Shadow AI nicht. Es schickt sie nur tiefer in den Untergrund. Die Mitarbeiter nutzen die Tools weiter – nur über das private Handy, das private Konto, ohne ein Wort darüber. Der Nutzen bleibt zu groß, um darauf zu verzichten.
Wer KI verbietet, macht Shadow AI nicht kleiner. Nur unsichtbarer.
Das kenne ich aus zwanzig Jahren Datenschutz. Die IT-Abteilungen haben dasselbe vor Jahren mit privatem Surfen, Dropbox und privaten USB-Sticks erlebt. Verbieten hat nie funktioniert. Einen sicheren Weg anbieten schon.
Was wirklich hilft.
Licht ins Dunkel. Nicht durch Kontrolle, sondern durch Klarheit.
Erlaubte Tools benennen. Ein, zwei geprüfte Werkzeuge, die jeder nutzen darf. Dann muss niemand heimlich ausweichen. Wie man klug auswählt, dazu kommen wir noch.
Sagen, welche Daten rein dürfen – und welche nicht. Kundendaten, Bewerbungen, interne Zahlen: nein. Allgemeine Formulierungen, öffentliche Texte: ja. Konkret, nicht juristisch.
Einen Verantwortlichen benennen. Jemanden, den man fragen kann, ohne sich dumm zu fühlen. Das allein holt die meiste Schatten-KI ans Licht.
Dass das wirkt, ist keine Theorie. Bei der letzten Welle dieser Art – damals waren es private Geräte und Cloud-Dienste – hat ein offener, sanktionsfreier Weg die Übersicht um 40 bis 60 Prozent verbessert. Wer fragen darf, versteckt nichts.
Genau das ist eine KI-Usage-Policy. Kein dickes Dokument – eine Seite reicht oft. Das Ziel ist nicht, KI einzubremsen. Das Ziel ist, sie sichtbar und sicher zu machen.
Sie erinnern sich an das Bild aus dem ersten Teil: Regeln sind kein Hindernis. Sie sind der Sicherheitsgurt. Bei Shadow AI gilt das doppelt. Solange Sie nicht wissen, wer im Betrieb was nutzt, fahren Sie ohne Gurt – und ohne zu sehen, wie schnell.
Im nächsten Teil dieser Reihe geht es um Datenschutz beim KI-Einsatz: Welche Daten dürfen überhaupt in ein KI-Tool – und unter welchen Bedingungen ist das DSGVO-konform? Danach folgen der AI Act in der Praxis und die Anbieterprüfung.
Denn das ist keine Technik-Frage. Sie brauchen keinen KI-Spezialisten und keine eigene IT-Abteilung – Sie brauchen jemanden, der die richtigen Fragen stellt und die Regeln auf eine Seite bringt. Governance kann man sich ins Haus holen, ohne jemanden einzustellen.
Und wenn Sie wissen wollen, was in Ihrem Haus gerade ungesehen passiert: Das erste Gespräch ist kostenlos.