ChatGPT & KI-Basics

Schatten-KI im Unternehmen

77% der Mitarbeiter geben Firmendaten in ChatGPT ein. Was Schatten-KI ist, welche Risiken drohen und wie du in 5 Schritten eine KI-Richtlinie erstellst.

sebastian@agent-schomerus.de4 Min. Lesezeit
Schatten-KI im Unternehmen
Teilen:

77% der Mitarbeiter haben in den letzten Monaten Unternehmensdaten in KI-Tools wie ChatGPT eingegeben. 82% davon über ihren privaten Account. Nicht über eine firmeneigene, abgesicherte Lösung — sondern über das gleiche Konto, mit dem sie abends Rezepte suchen.

Das zeigt eine aktuelle Studie von eSecurity Planet. Und es ist nur die Spitze des Eisbergs.

Wenn du als Geschäftsführer oder IT-Leiter gerade denkst "Bei uns ist das bestimmt nicht so" — die Wahrscheinlichkeit spricht dagegen.

77% leaken Firmendaten — und die meisten Unternehmen wissen es nicht

Schatten-KI — also die Nutzung von KI-Tools ohne Wissen oder Genehmigung des Unternehmens — ist kein Randphänomen mehr. Laut Salesforce[1] nutzen 55% der Arbeitnehmer weltweit nicht genehmigte KI-Tools am Arbeitsplatz. Die Adecco[3]-Studie von 2026 ergänzt: Über 50% der Beschäftigten verschweigen ihrem Arbeitgeber die KI-Nutzung komplett.

Und die Daten, die dabei in fremde Systeme fliessen, sind nicht harmlos: 27,4% der ChatGPT-Eingaben enthalten laut Cyberhaven[2] sensible Unternehmensdaten. Namen, Projektdetails, Finanzzahlen, Kundendaten.

Generative KI ist mittlerweile der führende Kanal fuer Datenexfiltration aus Unternehmen — verantwortlich für 32% aller unautorisierten Datenbewegungen. Nicht Phishing-Mails. Nicht USB-Sticks. ChatGPT.

Warum Mitarbeiter heimlich KI nutzen

Das Problem ist nicht böse Absicht. Es ist Produktivitätsdruck.

KI spart laut Adecco-Studie 113 Minuten pro Tag. Wer das einmal erlebt hat, will nicht zurueck. Aber wenn es keine offiziellen Tools und keine Richtlinien gibt, greifen Mitarbeiter zu dem, was verfuegbar ist: die kostenlose ChatGPT-Version auf dem privaten Handy.

Samsung hat es 2023 auf die harte Tour gelernt. Ingenieure luden proprietären Quellcode in ChatGPT hoch. Samsung verbot daraufhin generative KI komplett. Hat das Problem gelöst? Nein. Es hat es unsichtbar gemacht.

Im Februar 2026 wurde dann ein weiterer Vorfall bekannt: Eine KI-Chat-App hatte 300 Millionen Nachrichten von 25 Millionen Nutzern auf einem offenen Server exponiert. Nicht gehackt — offen zugänglich.

Die drei größten Risiken

1. Datenschutz: Firmendaten auf fremden Servern

Die kostenlose Version von ChatGPT ist nicht DSGVO-konform. Punkt. OpenAI nutzt eingegebene Daten zur Modellverbesserung — es sei denn, du nutzt die Enterprise- oder Team-Version mit explizitem Opt-out.

Die italienische Datenschutzbehörde hat OpenAI bereits 15 Millionen Euro Bussgeld auferlegt (Dezember 2024). Meta zahlte 1,2 Milliarden Euro fär Datentransfers in die USA.

2. Compliance: EU AI Act[10] ab August 2026

Der EU AI Act wird am 2. August 2026 voll durchgesetzt. ChatGPT und Claude fallen unter "General Purpose AI" mit Transparenzpflichten. Unternehmen, die KI nutzen, müssen dokumentieren: Welche Tools, für welche Zwecke, mit welchen Daten.

Strafen: Bis 35 Millionen Euro oder 7% des globalen Umsatzes. Die EU-Kommission hat Forderungen nach einer Verzögerung explizit abgelehnt.

3. Qualität: Halluzinationen und blindes Vertrauen

KI-Modelle halluzinieren. GPT-4 liegt bei 3-5% Halluzinationsrate. Bei juristischen Recherchen: bis zu 17% falsche Zitate laut einer Stanford[6]/Yale-Studie. Das Vectara[5] Hallucination Leaderboard zeigt: Je nach Modell liegt die Rate zwischen 3% und 27%.

Wer KI-Ergebnisse ungeprüft übernimmt, riskiert nicht nur Qualitätsprobleme — sondern im schlimmsten Fall Haftungsfragen.

Was BSI[7] und BfDI empfehlen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt explizit vor unkontrolliertem LLM-Einsatz und empfiehlt:

  • Keine sensiblen Daten in öffentliche KI-Systeme eingeben

  • KI-Richtlinien für Mitarbeiter erstellen

  • Regelmäßige Risikobewertungen durchführen

  • Enterprise-Versionen mit Datenschutzgarantien bevorzugen

Der EU AI Act verlangt ab August 2026 zusätzlich Transparenzpflichten für alle Nutzer von General Purpose AI — also auch für Unternehmen, die ChatGPT oder Claude einsetzen.

KI-Richtlinie in 5 Schritten

Verbieten funktioniert nicht. Regeln schon. So gehst du vor:

1. Bestandsaufnahme Frag dein Team: Welche KI-Tools nutzt ihr? Wofür? Mit welchen Daten? Die Antworten werden dich überraschen.

2. Risikobewertung Welche Daten sind kritisch? Kundendaten, Finanzen, Personalakten — alles, was unter die DSGVO fällt, braucht besondere Regeln.

3. Tool-Auswahl Enterprise-Versionen mit Auftragsverarbeitungsvertrag (AVV), europäischen Servern und Opt-out für Trainingsdaten. ChatGPT Enterprise, Claude Team oder lokale Modelle.

4. Schulung Nicht "hier ist ein PDF". Sondern: Was darf rein, was nicht? Wie anonymisiere ich Daten? Was mache ich bei Halluzinationen? Konkret und praxisnah.

5. Monitoring Regelmäßig prüfen: Werden die Regeln eingehalten? Gibt es neue Tools, neue Risiken? Quartalsweise Review reicht für den Anfang.

Fazit: Verbieten bringt nichts — Regeln schon

Schatten-KI verschwindet nicht, wenn man sie ignoriert. Sie verschwindet, wenn es bessere Alternativen gibt.

Nur 20% der deutschen Unternehmen haben heute verbindliche KI-Regeln. Gartner[4] prognostiziert: Bis 2027 gehen über 40% der KI-Datenschutzverletzungen auf unkontrollierte generative KI zurück.

Die Frage ist nicht ob dein Unternehmen KI-Regeln braucht. Die Frage ist, ob du sie vor oder nach dem ersten Vorfall erstellst.

Im April starten wir unsere Serie "DSGVO & KI im Unternehmen" — mit konkreten Checklisten, Entscheidungsbäumen und Schritt-für-Schritt-Anleitungen. Folgt uns, um nichts zu verpassen.

Bereits erschienen in dieser Serie:

Teilen:

Quellen & Referenzen (10)

  1. 1
    Salesforce — The Promises and Pitfalls of AI at Work (2024)
    salesforce.comAbgerufen: 28.02.2026
  2. 2
    Cyberhaven — AI Adoption and Risk Report 2024
    cyberhaven.comAbgerufen: 28.02.2026
  3. 3
    Adecco Group — Global Workforce of the Future 2025
    adeccogroup.deAbgerufen: 07.03.2026
  4. 4
    Gartner — Predicts 2024: Shadow AI & Data Governance
    gartner.comAbgerufen: 28.02.2026
  5. 5
    Vectara — Hallucination Leaderboard
    github.comAbgerufen: 28.02.2026
  6. 6
    Dahl et al. / Stanford/Yale — Large Legal Fictions: Profiling Legal Hallucinations in LLMs
    arxiv.orgAbgerufen: 28.02.2026
  7. 7
    BSI — Große KI-Sprachmodelle: Chancen und Risiken
    bsi.bund.deAbgerufen: 28.02.2026
  8. 8
    Bitkom — Durchbruch bei Künstlicher Intelligenz (Sept. 2025)
    bitkom.orgAbgerufen: 28.02.2026
  9. 9
    OWASP — Top 10 for Large Language Model Applications (2025)
    owasp.orgAbgerufen: 28.02.2026
  10. 10
    EU — AI Act Verordnung (EU) 2024/1689
    eur-lex.europa.euAbgerufen: 28.02.2026

Häufig gestellte Fragen

Dürfen Mitarbeiter ChatGPT bei der Arbeit nutzen?

Grundsätzlich ja — wenn der Arbeitgeber es erlaubt und Rahmenbedingungen definiert hat. Personenbezogene Daten und Geschäftsgeheimnisse dürfen nicht in die kostenlose Version eingegeben werden.

Was ist Schatten-KI?

Die Nutzung von KI-Tools durch Mitarbeiter ohne Wissen oder Genehmigung des Unternehmens. Analog zu Shadow IT. Laut Salesforce betrifft das 55% aller Unternehmen weltweit.

Braucht mein Unternehmen eine KI-Richtlinie?

Ja. Mit dem EU AI Act (volle Durchsetzung ab August 2026) werden Regelungen gesetzlich erforderlich. Strafen bei Verstößen: bis 35 Mio. EUR oder 7% des globalen Umsatzes.

Ist ChatGPT Enterprise DSGVO-konform?

Enterprise bietet besseren Datenschutz (kein Training mit Nutzerdaten, SOC 2 Type II), aber DSGVO-Konformität erfordert zusätzlich eine Datenschutzfolgeabschätzung (DSFA), einen Auftragsverarbeitungsvertrag (AVV) und eine Rechtsgrundlage nach Art. 6 DSGVO.

Was kostet ein DSGVO-Verstoß bei KI-Nutzung?

Bis 20 Mio. EUR oder 4% des Jahresumsatzes (DSGVO). Ab August 2026 zusätzlich bis 35 Mio. EUR oder 7% des globalen Umsatzes (EU AI Act). OpenAI wurde bereits 2024 mit 15 Mio. EUR Bußgeld belegt.

Kommentare

Noch keine Kommentare. Sei der Erste!

Kommentar schreiben

Wird nicht veroefentlicht.