Schatten-KI im Unternehmen: Das unsichtbare Compliance-Risiko

38 Prozent Ihrer Mitarbeiter haben bereits sensible Unternehmensdaten mit KI-Tools geteilt. Ohne Ihr Wissen. Ohne Genehmigung. Ohne Kontrolle.

Das ist keine Panikmache. Das ist eine IBM-Studie aus 2024.

Und genau hier beginnt das Problem, das die meisten KMUs beim EU AI Act übersehen: Sie wissen gar nicht, welche KI-Systeme in ihrem Unternehmen im Einsatz sind.

Was ist Schatten-KI?

Schatten-KI beschreibt die Nutzung von KI-Tools durch Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung. Der Mitarbeiter im Vertrieb, der Angebote mit ChatGPT formuliert. Die Marketingkollegin, die Texte mit Jasper erstellt. Der Controller, der Excel-Daten durch Claude analysieren lässt.

Niemand handelt böswillig. Alle wollen produktiver sein. Aber niemand denkt an die Konsequenzen.

Die Zahlen sind alarmierend: Laut einer aktuellen Varonis-Studie nutzen 98 Prozent der Mitarbeiter nicht genehmigte Apps darunter zunehmend KI-Tools. Zwischen 2023 und 2024 stieg die Nutzung von generativen KI-Anwendungen in Unternehmen von 74 auf 96 Prozent.

Die Tools sind da. Die Kontrolle fehlt.

Warum ist das ein EU AI Act Problem?

Der EU AI Act verlangt von Unternehmen, dass sie ihre KI-Systeme kennen, klassifizieren und je nach Risiko dokumentieren und überwachen. Artikel 4 fordert explizit KI-Kompetenz für alle Mitarbeiter, die mit KI-Systemen arbeiten.

Wie wollen Sie Compliance nachweisen für Systeme, von denen Sie nicht einmal wissen, dass sie existieren?

Das Problem geht aber tiefer. Stellen Sie sich vor, Ihr HR-Team nutzt ein KI-Tool zur Vorauswahl von Bewerbungen. Das klingt harmlos. Ist aber nach Annex III des EU AI Act ein HIGH-RISK Anwendungsfall Kategorie 4: Beschäftigung und Arbeitnehmer-Management.

Plötzlich gelten umfassende Dokumentationspflichten, Risikobewertungen, Human Oversight Anforderungen. Und niemand im Unternehmen weiß davon.

Die drei Risiken von Schatten-KI

Das erste Risiko ist Datenschutz und Datenleckage. Wenn Mitarbeiter vertrauliche Verträge, Kundendaten oder Geschäftszahlen in externe KI-Tools eingeben, verlassen diese Daten Ihr Unternehmen. Viele KI-Anbieter nutzen eingegebene Daten zum Training ihrer Modelle. Ihre Geschäftsgeheimnisse könnten in den Antworten anderer Nutzer auftauchen.

Das zweite Risiko ist Compliance-Verstöße. Ohne Inventar wissen Sie nicht, ob Sie HIGH-RISK Anwendungsfälle haben. Sie können keine Risikobewertungen durchführen. Sie können keine Schulungsnachweise erbringen. Bei einer Prüfung durch Aufsichtsbehörden stehen Sie blank da.

Das dritte Risiko betrifft Haftung und Reputation. Wenn ein KI-gestütztes Tool eine diskriminierende Entscheidung trifft, etwa bei Bewerberauswahl oder Kreditvergabe, haftet Ihr Unternehmen. Auch wenn Sie von der Nutzung nichts wussten.

Warum klassische IT-Inventare nicht reichen

Viele Unternehmen denken: Wir haben ein Software-Asset-Management. Wir wissen, was installiert ist.

Das Problem: Die meisten KI-Tools laufen im Browser. ChatGPT, Claude, Gemini, Midjourney, alles webbasierte Anwendungen. Sie tauchen in keinem Software-Inventar auf. Keine Installation, keine Lizenz, keine Spur.

Dazu kommen KI-Funktionen, die in bestehende Tools eingebettet sind. Microsoft Copilot in Office 365. KI-Assistenten in CRM-Systemen. Automatische Textvorschläge in E-Mail-Clients. Viele Mitarbeiter wissen selbst nicht, dass sie gerade KI nutzen.

Wie Sie ein AI Inventory aufbauen

Ein AI Inventory ist eine strukturierte Übersicht aller KI-Systeme und KI-Anwendungen in Ihrer Organisation. Es bildet die Grundlage für jede EU AI Act Compliance.

Der erste Schritt ist die Zielsetzung. Klären Sie vorab: Erfassen Sie alle KI-Systeme oder fokussieren Sie zunächst auf potenzielle HIGH-RISK Anwendungsfälle? Für den Anfang empfehle ich: Alles erfassen, was Sie finden. Die Klassifikation kommt später.

Der zweite Schritt ist die systematische Suche. Prüfen Sie Ihr Software-Asset-Management auf installierte KI-Anwendungen. Analysieren Sie Ihre SaaS-Abonnements, welche Tools haben KI-Funktionen? Befragen Sie Abteilungsleiter: Welche Tools nutzen Ihre Teams zur Produktivitätssteigerung? Führen Sie anonyme Mitarbeiterbefragungen durch. Prüfen Sie Spesenabrechnungen auf KI-Tool-Abonnements. Schauen Sie sich Browser-Erweiterungen an.

Der dritte Schritt ist die Dokumentation. Für jedes gefundene KI-System dokumentieren Sie: Name und Anbieter des Tools, Einsatzzweck im Unternehmen, welche Abteilung oder welche Mitarbeiter es nutzen, welche Daten eingegeben werden, ob es eine offizielle Genehmigung gibt.

Der vierte Schritt ist die Rollenbestimmung. Für jedes System klären Sie: Sind Sie Provider (haben Sie das System entwickelt oder wesentlich modifiziert) oder Deployer (nutzen Sie ein fertiges System)? Die meisten KMUs sind Deployer, aber die Pflichten sind trotzdem erheblich.

Die unterschätzte Frage: Welche Daten fließen wohin?

Ein AI Inventory ist nicht nur eine Liste von Tools. Es ist eine Übersicht über Datenflüsse.

Fragen Sie konkret: Welche Daten geben Mitarbeiter in das Tool ein? Wo werden diese Daten verarbeitet und gespeichert? Nutzt der Anbieter die Daten zum Training seiner Modelle? Gibt es einen Auftragsverarbeitungsvertrag nach DSGVO?

Gerade bei kostenlosen KI-Tools ist Vorsicht geboten. Wenn Sie nicht für das Produkt zahlen, sind Ihre Daten oft das Produkt.

Von der Bestandsaufnahme zur Risikoklassifikation

Sobald Sie wissen, welche KI-Systeme im Einsatz sind, folgt die entscheidende Frage: Welche davon sind HIGH-RISK nach EU AI Act?

Hier greift der Prozess-Layer-Ansatz, den ich in meinem Framework verwende: Nicht das Tool selbst wird klassifiziert, sondern die Kombination aus Tool und Anwendungszweck.

ChatGPT für Marketing-Texte: MINIMAL RISK. ChatGPT zur Unterstützung bei Bewerbungsauswahl: HIGH-RISK. Gleiches Tool, völlig unterschiedliche Compliance-Anforderungen.

Prüfen Sie jeden Anwendungsfall gegen die acht HIGH-RISK Kategorien des Annex III: Biometrie, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und Arbeitnehmer-Management, Zugang zu wesentlichen Diensten (Kreditscoring, Versicherungen), Strafverfolgung, Migration und Grenzkontrolle, Rechtspflege.

Für KMUs sind vor allem Kategorie 4 (Beschäftigung) und Kategorie 5 (wesentliche Dienste) relevant. Jede KI-Nutzung im HR-Bereich oder bei Kundenbewertungen verdient besondere Aufmerksamkeit.

Praktische Sofortmaßnahmen

Sie müssen nicht morgen ein vollständiges AI Governance Framework haben. Aber Sie sollten heute anfangen.

Erste Maßnahme: Kommunizieren Sie. Informieren Sie Ihre Mitarbeiter, dass der EU AI Act kommt und KI-Nutzung dokumentiert werden muss. Keine Verbote, keine Drohungen nur Information. Die meisten Mitarbeiter werden kooperieren, wenn sie den Grund verstehen.

Zweite Maßnahme: Erstellen Sie eine einfache Liste. Eine Excel-Tabelle reicht für den Anfang. Spalten: Tool-Name, Abteilung, Zweck, Datenarten, Genehmigt ja/nein.

Dritte Maßnahme: Definieren Sie einen Genehmigungsprozess. Neue KI-Tools sollten vor der Nutzung geprüft werden. Kein bürokratisches Monster, eine einfache Checkliste mit fünf Fragen reicht.

Vierte Maßnahme: Bieten Sie Alternativen. Wenn Sie Schatten-KI verbieten, ohne Alternativen anzubieten, werden Mitarbeiter kreativ. Besser: Genehmigte Tools bereitstellen, die den gleichen Nutzen bieten, aber unter Ihrer Kontrolle stehen.

Was das für Ihre EU AI Act Compliance bedeutet

Ein AI Inventory ist der erste Schritt meines 5-Phasen Frameworks NADOVO, die DISCOVER-Phase. Ohne diese Bestandsaufnahme können Sie keine Prozesse definieren, keine Risiken bewerten, keine Maßnahmen implementieren.

Die gute Nachricht: Sie brauchen kein teures Tool. Sie brauchen keine externe Beratung für sechsstellige Beträge. Sie brauchen Systematik und Konsequenz.

Starten Sie diese Woche. Fragen Sie in Ihrem nächsten Team-Meeting: Welche KI-Tools nutzt ihr eigentlich? Die Antworten werden Sie überraschen.

Fazit

Schatten-KI ist kein theoretisches Risiko. Es passiert jetzt, in Ihrem Unternehmen. 98 Prozent der Mitarbeiter nutzen nicht genehmigte Apps. Die Frage ist nicht ob, sondern welche.

Der EU AI Act macht Unwissenheit zur Compliance-Falle. Sie können sich nicht auf Pflichten vorbereiten, die Sie nicht kennen. Sie können keine Risiken managen, die Sie nicht sehen.

Ein AI Inventory ist keine bürokratische Pflichtübung. Es ist der Grundstein für verantwortungsvollen KI-Einsatz und für Ihre Rechtssicherheit ab August 2026.

Die Deadline rückt näher. Die Zeit für Ausreden ist vorbei.

Über den Autor

Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework für AI Compliance namens NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit ohne Enterprise-Budgets oder komplexe Tools.