Während Schatten-IT – also die Nutzung nicht autorisierter Software oder Hardware – bereits seit Längerem bekannt ist, gewinnt nun ein verwandtes Phänomen an Bedeutung: Schatten-KI. Gemeint ist der Einsatz künstlicher Intelligenz durch Mitarbeiter ohne Wissen oder Genehmigung der Unternehmensführung.

Eine aktuelle Umfrage zeigt auf, dass ein beträchtlicher Teil der Fachkräfte, insbesondere in MINT-Berufen, KI-Tools wie ChatGPT, Google Gemini oder andere generative Systeme im Arbeitsalltag nutzt, oft ohne dass dies von der IT-Abteilung oder Geschäftsleitung autorisiert wurde. Die Rede ist hier von drei von vier MINT-Fachkräften (77 Prozent). Durch einen solchen (unkontrollierten) Einsatz werden nicht nur technische, sondern vor allem rechtliche und organisatorische Fragen aufgeworfen.

Die Verbreitung von Schatten-KI

Die Motivation für den heimlichen Einsatz von KI ist nachvollziehbar. Mitarbeiter versprechen sich Zeitersparnis, höhere Produktivität oder den Zugang zu innovativen Lösungen, die das Unternehmen möglicherweise nicht bereitstellt. Der erwähnten Umfrage zufolge nutzen bereits drei von vier MINT-Fachkräften in Deutschland KI-Tools im Berufsalltag, wobei ein Viertel dies täglich tut. Doch was auf den ersten Blick wie eine pragmatische Lösung erscheint, birgt erhebliche Risiken.

Die unkontrollierte Nutzung von KI-Anwendungen kann zu Datenschutzverstößen, Compliance-Problemen und sogar zu Haftungsfragen für die Geschäftsleitung führen. Besonders brisant wird es, wenn sensible Unternehmensdaten oder personenbezogene Informationen in öffentliche KI-Systeme eingegeben werden – ein Vorgang, der rechtlich als Weitergabe an Dritte gewertet wird und damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen kann.

Schatten-IT

Wenn unkontrollierte Technologienutzung zum Compliance-Risiko wird

Die Nutzung nicht autorisierter Software oder Hardware – bekannt als Schatten-IT – ist in vielen Unternehmen nach wie vor ein unterschätztes Problem. Ob private Cloud-Dienste, selbst installierte Anwendungen oder BYOD-Geräte (Bring Your Own Device): Mitarbeiter greifen häufig auf Lösungen zurück, die nicht von der IT-Abteilung freigegeben wurden. Was oft aus Bequemlichkeit oder Effizienzdenken geschieht, kann erhebliche rechtliche und operative Konsequenzen nach sich ziehen.

Zentrales Risiko wird im Verstoß gegen Lizenz- und Datenschutzbestimmungen liegen. Werden lizenzpflichtige Programme ohne Genehmigung genutzt, drohen nicht nur Nachforderungen der Hersteller, sondern auch Vertragsstrafen oder Kündigungen von Softwareverträgen. Das ist kein theoretisches Szenario, ich habe bereits Betriebe begleiten dürfen, die hier sogar mit strafrechtlichen Ermittlungen konfrontiert waren, nachdem man auf die urheberrechtliche Abmahnung nicht wie gewünscht reagierte. Die Haftung der Geschäftsleitung ist dabei ein absolut realistisches Risiko – zivilrechtlich, wenn man es sehenden Auges duldet ohnehin; aber jedenfalls ordnungswidrigkeitenrechtlich mit §130 Abs.1 OWIG.

Besonders kritisch wird es, wenn personenbezogene Daten über ungesicherte Kanäle verarbeitet werden, etwa durch private Cloud-Speicher oder Messengerdienste. Hier besteht die Gefahr von DSGVO-Verstößen, die mit empfindlichen Bußgeldern belegt werden können. Zudem haftet die Geschäftsleitung persönlich, wenn sie keine ausreichenden Kontrollmechanismen implementiert, um Schatten-IT zu verhindern.

Ein weiteres Problem ist die mangelnde IT-Sicherheit. Ungeprüfte Anwendungen oder veraltete Systeme können Sicherheitslücken aufweisen, die Cyberangriffe begünstigen. Auch die Einhaltung von Aufbewahrungspflichten nach Handels- und Steuerrecht wird erschwert, wenn geschäftsrelevante Daten auf privaten Geräten oder in nicht autorisierten Tools gespeichert werden. Besonders in regulierten Branchen, wie dem Finanzsektor können solche Praktiken zu schweren Compliance-Verletzungen führen.

Rechtliche Fallstricke von Schatten-KI

Warum Schatten-KI die Geschäftsleitung betreffen muss: Aus Sicht der Unternehmensführung ist Schatten-KI kein rein technisches, sondern ein zentrales Compliance-Thema. Nach dem EU AI Act und den Vorgaben der DSGVO sind Unternehmen verpflichtet, den Einsatz von KI transparent und risikobasiert zu gestalten. Werden KI-Tools ohne entsprechende Richtlinien oder Auftragsverarbeitungsverträge genutzt, drohen nicht nur Bußgelder, sondern auch Reputationsschäden. Zudem haftet die Geschäftsleitung persönlich, wenn sie keine angemessenen Maßnahmen zur Risikominimierung ergreift. Ein weiteres Problem ist die mangelnde Kontrolle über die Qualität und Verlässlichkeit der KI-Ergebnisse. Ungeprüfte KI-gestützte Entscheidungen können zu Fehlern führen, die sich auf Geschäftsprozesse oder sogar auf die Einhaltung gesetzlicher Vorgaben auswirken.

Hinzu kommt, dass viele KI-Anbieter die eingegebenen Daten für eigene Trainingszwecke nutzen. Werden dabei Betriebsgeheimnisse oder Kundendaten preisgegeben, kann dies nicht nur datenschutzrechtliche Konsequenzen haben, sondern auch Wettbewerbsnachteile nach sich ziehen. Besonders kritisch ist die Situation, wenn Mitarbeiter private Accounts für dienstliche Zwecke verwenden, da dies die Trennung zwischen betrieblichen und persönlichen Daten verwischt und zusätzliche rechtliche Grauzonen schafft.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Schatten-KI als Chance für strukturierte KI-Nutzung

Offenkundig ist Schatten-KI kein Randphänomen, sondern die direkte Folge der rasanten Verbreitung künstlicher Intelligenz. Schließlich ist KI heute bereits standardmäßig in jedem Smartphone integriert. Damit ist sie nicht nur leichter verfügbar, sondern die Schwelle für die Wahrnehmung ihres Einsatzes sinkt. Unternehmen, die bei diesem Thema proaktiv handeln, können nicht nur rechtliche Risiken minimieren, sondern auch die Vorteile von KI gezielt nutzen. Um Schatten-IT samt Schatten-KI eindämmen zu können, müssen Unternehmen klare Nutzungsrichtlinien einführen, die technische und organisatorische Maßnahmen umfassen. Dazu gehören regelmäßige Schulungen, die Sensibilisierung für Lizenz- und Datenschutzfragen sowie die Bereitstellung sicherer Alternativen.

Eine transparente Kommunikation und die aktive, echte Einbindung der Mitarbeitenden in die IT-Strategie werden helfen, die Akzeptanz für betriebseigene Lösungen zu erhöhen. Letztlich geht es darum, ein Gleichgewicht zwischen Flexibilität und Kontrolle zu finden, damit aus der Schatten-IT keine rechtliche und operative Falle wird. Entscheidend ist, dass die Geschäftsleitung die Initiative ergreift und klare, praxisnahe Richtlinien entwickelt. Einfach nur zusehen und dulden reicht jedenfalls nicht aus, denn das schafft nur Szenarien für Sicherheitsrisiken und eigene Haftung. Und diese steht im Raum, mal als Organisationsdelikt als solches (§130 Abs.1 OWIG – gerichtet an die Geschäftsleitung!) aber auch in Form originärer Haftung für Rechtsfolgen, wenn man als Geschäftsleitung das Problem ignoriert oder gar duldet. Mangelnde Strategie führt an diesem Punkt zu ernsten Konsequenzen.

Wie Unternehmen Schatten-KI steuern können

Die Antwort auf Schatten-KI kann aus meiner Sicht nicht darin bestehen, KI pauschal zu verbieten, das würde im Alltag kaum mehr funktionieren: Vielmehr gilt es, klare Regeln zu schaffen, die sowohl die Chancen der Technologie nutzen als auch die Risiken begrenzen. Ein erster Schritt ist die Entwicklung einer unternehmensweiten KI-Strategie (wie von der DSK mal erläutert), die festlegt, welche Tools erlaubt sind und unter welchen Bedingungen sie eingesetzt werden dürfen. Dabei sollten nicht nur technische Aspekte, sondern auch Schulungen und Sensibilisierungsmaßnahmen im Fokus stehen. Mitarbeiter müssen verstehen, welche Daten sie in KI-Systeme eingeben dürfen und welche nicht. Zudem empfiehlt sich der Abschluss von Betriebsvereinbarungen, die den Rahmen für den KI-Einsatz verbindlich festlegen.

Weiterer wichtiger Baustein dürfte die Bereitstellung unternehmenseigener KI-Lösungen sein, die den Compliance-Anforderungen entsprechen. Durch die Einrichtung zentraler KI-Konten für Mitarbeiter lässt sich verhindern, dass private Accounts genutzt werden, und die Kontrolle über die Datenflüsse bleibt gewahrt. Regelmäßige Audits und eine offene Fehlerkultur helfen im Übrigen dabei, Schatten-KI frühzeitig zu erkennen und zu adressieren.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Hessendata, Palantir und der digitale Ermittlungsstaat (Update) - 13. Dezember 2025
Dark Factories - 13. Dezember 2025
Postlaufzeiten 2025 - 13. Dezember 2025