Shadow AI und die Compliance-Lücke, die sich nicht von selbst schließt

Jedes Mal, wenn ein Mitarbeiter einen Kundennamen in ChatGPT einfügt, einen Lieferantenvertrag durch DeepL laufen lässt oder Copilot bittet, den Posteingang mit einem kostenlosen oder nicht freigegebenen Konto zusammenzufassen, bewegt er sich im Dunkeln — mit Tools, die das Unternehmen nicht freigegeben hat, mit Daten, die das Unternehmen nicht autorisiert hat, unter schlecht verstandenen rechtlichen Rahmenbedingungen. Das ist Shadow AI: eine stille, tägliche Gewohnheit, die zu einem der am meisten unterschätzten Compliance-Risiken in Europa geworden ist.

Ich habe das nicht als Anwalt verstanden, sondern als KI-Ingenieur. Etwa zwei Monate nachdem ich damit begonnen hatte, KI-Tools einzuführen und Richtlinien bei der Arbeit zu erstellen, erkannte ich, dass wir ein Problem hatten: In den Leitlinien, die wir mühsam an die Mitarbeiter kommuniziert hatten, fehlte etwas Grundlegendes. Niemand hatte den Unterschied zwischen „vertraulichen Daten" und „personenbezogenen Daten" erklärt — und wie wichtig dieser Unterschied beim Einsatz der leicht zugänglichen KI-Tools ist, und dass dies auch im B2B-Bereich gilt. Vor der ChatGPT-Ära reichte es den meisten von uns aus, standardisierte Büroanwendungen für die tägliche Arbeit zu nutzen. Das hat sich offensichtlich grundlegend geändert.

Die Richtlinien mussten komplett neu geschrieben werden. Nicht aktualisiert — neu geschrieben. Wir brauchten eine spezifische Sprache, die die DSGVO-Anforderungen und deren Überschneidung mit dem EU AI Act abdeckt, Beispiele, die Mitarbeiter tatsächlich anwenden können, und klare Unterscheidungen zwischen den Tools, die frei genutzt werden können, und denen, die freigegebene Enterprise-Konten erfordern. Was die Lücke sichtbar machte, war weder ein Audit noch ein Vorfall. Es waren die Freigabeanfragen. Als Mitarbeiter begannen, zu uns zu kommen, um die KI-Tools, die sie bereits nutzten — oder nutzen wollten — zu prüfen und freizugeben, zeichnete sich ein Muster ab: Die meisten hatten kein Rahmenwerk, um darüber nachzudenken, welche Daten sie mit welchen Tools teilen können. Shadow AI ist bei den meisten Unternehmen Realität, und ich kann euch sagen, dass die daraus entstehende Haftung nicht mit annähernd genug Dringlichkeit angegangen wird — besonders da kostenlose Tools sich weiter verbreiten und um aller Aufmerksamkeit konkurrieren.

Die Shadow-AI-Realität

„Shadow AI" ist der höfliche Begriff dafür. Mitarbeiter in europäischen Unternehmen nutzen KI-Tools, von denen das Unternehmen nichts weiß. Die genauen Zahlen sind schwer zu verifizieren — aber das Muster ist überall. In einer Umfrage, die von großen KI-Governance-Frameworks zitiert wird, haben nur 28 % der Organisationen formelle KI-Richtlinien. Das bedeutet, dass bei ungefähr 72 % der Unternehmen Mitarbeiter KI-Tools ohne feste Regeln, ohne genehmigte Tool-Liste und ohne Leitlinien dazu nutzen, welche Daten in einen Prompt eingegeben werden dürfen.

Das ist keine Leichtsinnigkeit. Es ist eine Fähigkeitslücke. Die Leute nutzen Tools, die sie dramatisch produktiver machen, und sie haben keinen Grund zu glauben, dass „Fasse diese E-Mail von Hans Schmidt über seine Bestellung zusammen" grundlegend anders ist als „Fasse diese E-Mail eines Kunden über eine Bestellung zusammen." Unter der DSGVO sind diese beiden Prompts jedoch kategorisch verschieden. Einer beinhaltet personenbezogene Daten. Der andere nicht.

Die Anweisung, die die meisten Unternehmen geben — „Gib keine vertraulichen Daten in KI-Tools ein" — vermischt zwei unterschiedliche rechtliche Kategorien. Vertrauliche Daten sind Betriebsgeheimnisse, proprietäre Informationen, Dinge, die durch Verträge geschützt sind. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen — unabhängig von ihrer Vertraulichkeit durch die DSGVO geschützt. Ein Mitarbeiter könnte zu dem Schluss kommen, dass die Bestellhistorie eines Kunden nicht „vertraulich" ist, und sie zusammen mit dem Namen des Kunden in einen Prompt einfügen — ohne zu wissen, dass der Name allein einen völlig separaten regulatorischen Rahmen mit einer 72-Stunden-Meldefrist auslöst, wenn etwas schiefläuft.

Zwei Gesetze. Ein KI-Prompt.

Die EU hat zwei sich überschneidende regulatorische Rahmenbedingungen geschaffen, die nun gleichzeitig für den KI-Einsatz am Arbeitsplatz gelten.

Die DSGVO (2018) ist ein Menschenrechtsgesetz. Sie gibt Einzelpersonen die Kontrolle über ihre personenbezogenen Daten und legt Pflichten für jede Organisation fest, die diese verarbeitet — unabhängig davon, wo die Verarbeitung stattfindet. Wenn dein Mitarbeiter in München die E-Mail-Adresse eines belgischen Kunden in ChatGPT eingibt, das auf Servern in Virginia läuft, gilt die DSGVO.

Der EU AI Act (2024) ist ein Produktsicherheitsgesetz. Er reguliert KI-Systeme selbst — wie sie entworfen, eingesetzt und überwacht werden — mithilfe einer vierstufigen Risikoklassifizierung. Die meisten KI-Tools am Arbeitsplatz fallen in die Kategorien „minimales Risiko" oder „begrenztes Risiko". Aber „minimales Risiko" unter dem AI Act bedeutet nicht „keine Verpflichtung unter der DSGVO." Beide Gesetze gelten für denselben Prompt, zur gleichen Zeit, jedes Mal, wenn personenbezogene Daten beteiligt sind.

Artikel 2 Absatz 7 des AI Act macht dies explizit: Er gilt „unbeschadet der DSGVO." Die Nutzung von KI zur Analyse von Kundendaten löst DSGVO-Transparenzanforderungen und Transparenzpflichten des AI Act aus. Die Nutzung von KI im HR-Bereich löst DSGVO-Artikel-22-Beschränkungen für automatisierte Entscheidungsfindung und die Hochrisiko-Klassifizierung des AI Act unter Anhang III aus. Selbst die Meldefristen bei Vorfällen unterscheiden sich: 72 Stunden unter der DSGVO, bis zu 15 Werktage unter dem AI Act.

Die KI-Kompetenzpflicht unter dem AI Act gilt bereits seit Februar 2025. Die vollständige Einhaltung für Hochrisiko-KI ist bis zum 2. August 2026 erforderlich — in fünf Monaten. Die meisten Unternehmen haben noch nicht begonnen.

Die B2B-Falle

Das ist das Missverständnis, das B2B-Unternehmen am häufigsten auf dem falschen Fuß erwischt.

Die meisten B2B-Unternehmen gehen davon aus, dass die DSGVO vor allem für den Verbraucherbereich relevant ist. Ihr sammelt keine Daten von Einzelpersonen; ihr verarbeitet Daten über andere Unternehmen. Die DSGVO kann unmöglich genauso gelten, oder?

Falsch.

Die DSGVO reguliert keine Beziehungen. Sie reguliert Daten über natürliche Personen. Die entscheidende Frage ist nicht, ob eure Beziehung B2B ist — sondern ob sich die Daten auf eine identifizierbare Person beziehen.

• info@firmenname.de — generischer Firmenkontakt, keine personenbezogenen Daten
• hans.schmidt@installateur.de — identifiziert Hans Schmidt, vollständig personenbezogene Daten
• „Schmidt Solar GmbH" — personenbezogene Daten, weil der Name des Inhabers enthalten ist
• Kontaktdaten eines selbstständigen Handwerkers — personenbezogene Daten, weil Selbstständige natürliche Personen sind

CRM-Systeme in B2B-Unternehmen sind fast vollständig mit personenbezogenen Daten gefüllt. Vertriebskontaktlisten, direkte E-Mail-Adressen, Mobilnummern, Berufsbezeichnungen in Verbindung mit Namen — all das sind personenbezogene Daten, all das fällt unter die DSGVO, und all das ist genau der Inhalt, den Mitarbeiter routinemäßig in KI-Tools einfügen, um Kommunikation zu entwerfen oder Kontoverläufe zusammenzufassen. Und das ist innerhalb bestimmter Grenzen erlaubt, wenn das KI-Tool alle erforderlichen Zertifizierungen hat und von der Compliance-Abteilung freigegeben wurde.

Was „Compliance" tatsächlich erfordert

Wenn eure Mitarbeiter KI-Tools für die Arbeit nutzen, ist hier das, was die DSGVO tatsächlich erfordert — nicht das, was die meisten Unternehmen denken.

Auftragsverarbeitungsverträge (AVV) mit jedem KI-Anbieter. Die kostenlosen und Consumer-Versionen von ChatGPT, Claude und ähnlichen Tools haben nicht die rechtlichen Verträge, die die DSGVO erfordert. Die kostenlose Version von ChatGPT für geschäftliche Zwecke mit personenbezogenen Daten zu nutzen, ist ein Compliance-Verstoß. Punkt. OpenAI wurde im Dezember 2024 vom italienischen Garante mit einer Geldstrafe von 15 Millionen Euro belegt — genau wegen Transparenz- und Rechtsgrundlagenfehlern. Die Strafe traf OpenAI. Aber ausgelöst wurde sie durch Verhalten auf Nutzerebene — die Art von Verhalten, die heute in eurem Unternehmen stattfindet.

Nur Enterprise-Tarife mit verifizierten AVVs für personenbezogene Daten. Ein AVV ist aber auch nicht das vollständige Bild. Für US-amerikanische Anbieter wie OpenAI und Anthropic braucht ihr außerdem einen Mechanismus für internationale Datentransfers — Standardvertragsklauseln oder eine EU-US-Datenschutzrahmen-Zertifizierung — und eine vertragliche Zusage, dass Kundendaten nicht zum Trainieren von Modellen verwendet werden.

Eine Datenschutz-Folgenabschätzung (DSFA) für jeden KI-Anwendungsfall. Artikel 35 verlangt eine, wenn die Verarbeitung „voraussichtlich ein hohes Risiko" mit sich bringt. Die Nutzung von KI-Tools mit personenbezogenen Daten erfüllt fast immer diese Schwelle — innovative Technologie ist ein Risikofaktor, und die meisten Deployments erfüllen mindestens zwei der acht Kriterien der EDPB. Das ist keine Option.

Die 72-Stunden-Uhr. Das Einfügen personenbezogener Daten in ein nicht autorisiertes KI-Tool — also jedes kostenlose oder Consumer-Tier-Tool — ist eine potenzielle Datenpanne im Sinne von DSGVO-Artikel 4 Absatz 12. Das Unternehmen hat 72 Stunden, um die Aufsichtsbehörde zu benachrichtigen, sobald es davon Kenntnis erlangt. Der Samsung-Vorfall, bei dem Ingenieure vertraulichen Quellcode durch das Einfügen in ChatGPT offenlegten, wurde genau deshalb zu einem Warnbeispiel, weil die Offenlegung sofort und unwiderruflich war. Bei personenbezogenen Daten ist es genauso.

Der Abteilungs-Realitätscheck

Die Risiken sind innerhalb der Organisation nicht einheitlich. Wo du sitzt, bestimmt, welche Pflichten gelten.

HR steht vor den strengsten Regeln. KI für Beschäftigungsentscheidungen — Lebensläufe sichten, Bewerber bewerten, Leistung beurteilen — wird unter dem EU AI Act Anhang III explizit als Hochrisiko eingestuft. Die Einwilligung von Mitarbeitern ist in Deutschland aufgrund des Machtungleichgewichts in Arbeitsverhältnissen in der Regel nicht gültig; ihr braucht entweder eine dokumentierte vertragliche Notwendigkeit oder eine Betriebsvereinbarung.

Vertrieb und CRM sind die häufigste Quelle von Verstößen, weil CRM-Daten fast vollständig aus personenbezogenen Daten bestehen. Die sicherste Gewohnheit ist die Verwendung von Platzhaltern in Prompts und das manuelle Einsetzen echter Namen, oder die Bereitstellung eines Anonymisierungstools — aber das erfordert, dass Mitarbeiter verstehen, warum, und nicht nur einer Regel folgen, die ihnen ohne Kontext gegeben wurde.

Logistik ist weniger offensichtlich, aber nicht ausgenommen. Lieferdaten, die mit benannten Empfängern verknüpft sind, Kontaktinformationen für die Disposition — alles personenbezogene Daten unter denselben Regeln.

IT trägt die Verantwortung für die Shadow-AI-Überwachung. Die Pflege der genehmigten Tool-Liste, die Überprüfung vorhandener Enterprise-AVVs und die Identifizierung nicht autorisierter KI-Nutzung sind alles IT-Pflichten — keine theoretischen.

Was ich wirklich gelernt habe

Ich bin als KI-Ingenieur in dieses Thema eingestiegen. Ich verstand die Technologie. Ich verstand nicht, dass jede Deployment-Entscheidung gleichzeitig eine rechtliche Entscheidung war und dass der rechtliche Rahmen komplexer war als der technische.

Was ich herausfand, war nicht, dass die Vorschriften unzumutbar sind. Das sind sie nicht. Sie existieren, weil personenbezogene Daten, die von KI-Systemen im großen Maßstab verarbeitet werden — ohne Aufsicht, ohne Rechtsgrundlage, ohne dass die betroffenen Personen davon wissen — reale Konsequenzen für reale Menschen haben. Die Vorschriften versuchen, ein echtes Problem zu lösen, das ich voll und ganz unterstütze.

Was ich herausfand, war, dass die Lücke zwischen dem, was die Vorschriften erfordern, und dem, was die meisten Unternehmen wissen, enorm ist. Es ist kein Versagen der Absicht. Es ist ein Übersetzungsversagen — zwischen Rechtstext und praktischem Verhalten, zwischen Compliance-Frameworks und den Tools, die Mitarbeiter in einer sich sehr schnell verändernden Landschaft tatsächlich nutzen.

Was teilweise half: von einem Einheitsansatz wegzugehen und abteilungsspezifische Beispiele zu entwickeln — was HR tun kann, was der Vertrieb tun kann, was die Logistik tun kann, und was keine von ihnen mit welchen Tools tun sollte.

Und trotzdem. Selbst mit klareren Leitlinien, spezifischen Beispielen pro Abteilung und genehmigten Alternativen bleibt es eine Herausforderung, dies klar genug zu kommunizieren, damit es jeder verinnerlicht. Verhaltensänderung ist langsamer als Richtlinienänderung. Diese Lücke — zwischen dem, was die Richtlinie sagt, und dem, was ein Mitarbeiter in einer Dienstagsnachmittagshektik tatsächlich tut — ist der Ort, wo das eigentliche Haftungsrisiko liegt.

Die Ironie ist, dass KI-Tools helfen können, diese Lücke zu schließen. Dasselbe Copilot, das das Compliance-Risiko schafft, kann helfen, die DSFA zu dokumentieren. Dasselbe Claude, das Mitarbeiter für Meeting-Zusammenfassungen nutzen, kann helfen, den Datenschutzhinweis zu entwerfen, der sie darüber informiert, wie ihre Daten verarbeitet werden. Aber nur, wenn jemand in der Organisation beide Seiten gut genug versteht, um diese Tools auf konforme Weise zu nutzen.

Shadow AI ist in erster Linie kein Technologieproblem. Die Tools sind nicht gefährlich. Die Unwissenheit ist es.

Und mit August 2026 fünf Monate entfernt schließt sich das Zeitfenster, diese Lücke zu schließen.

Dieser Beitrag basiert auf der Arbeit beim Aufbau von KI-Governance-Frameworks für ein mittelständisches deutsches Unternehmen, das in vier EU-Ländern tätig ist. Das Quellmaterial umfasst detaillierte DSGVO- und EU-AI-Act-Analysen, abteilungsspezifische Leitfäden und praktische Compliance-Roadmaps, die für reale Deployment-Szenarien entwickelt wurden.