Schatten-KI im Unternehmen: Risiken erkennen und Chancen nutzen

25.07.25
Von Westfalen

Pascal

Auf einen Blick: Schatten-KI – was Entscheider:innen jetzt wissen müssen

💡 10 % der Beschäftigten nutzen KI heimlich.

💡 Bei Verstößen droht persönliche Haftung der Geschäftsführung (§43 GmbHG).

💡 Der EU AI-Act erfordert eine dokumentierte, risikobasierte Strategie.

💡 Ohne KI-Richtlinie sind Datenschutz- und Compliance-Probleme vorprogrammiert und Innovations-Potenziale verschenkt.

💡 In 4 Schritten kommen Sie zur KI-Strategie

KI: Die Realität in Unternehmen

Im Rahmen unserer Beratung zur Verfahrensdokumentation und Nachhaltigkeit fragen wir mittlerweile standardmäßig ab, welche KI-Tools im Unternehmen genutzt werden. Hier erfahren wir meistens entweder von einer eher unregulierten KI-Nutzung (“alle machen es so wie sie wollen”) oder der Vermutung, dass einige Leute womöglich heimlich KI nutzen.

Eine aktuelle Bitkom-Studie zeigt, dass bereits 10% der Erwerbstätigen in Deutschland KI beruflich ohne Wissen ihrer Führungskraft nutzen – Tendenz stark steigend.

Was ist Schatten-KI und warum ist sie ein wachsendes Problem?

Unter Schatten-KI versteht man die Nutzung von KI-Tools oder -Anwendungen durch Mitarbeitende ohne Genehmigung. Der Begriff ist angelehnt an die „Schatten-IT“, bei der Mitarbeitende nicht autorisierte Software oder Hardware im Unternehmen einsetzen. Typische Beispiele für Schatten-KI im Unternehmenskontext sind:

✅ Die Nutzung von ChatGPT für das Verfassen von E-Mails, Berichten oder Präsentationen

✅ Der Einsatz von KI-Bildgeneratoren wie DALL-E oder Midjourney für Marketingmaterialien

✅ Die Verwendung von KI-Übersetzungstools für internationale Korrespondenz

✅ Der Einsatz von KI-Codeassistenten wie GitHub für Programmieraufgaben

✅ Die Nutzung von KI-Analysetools für Datenauswertungen

Die Gründe, warum Mitarbeitende zu heimlicher KI-Nutzung greifen, sind vielfältig. Laut der Bitkom-Studie 2025 nennen 59% der Befragten Zeitersparnis als größten Vorteil von KI am Arbeitsplatz. Weitere 56% schätzen die Freiräume für wichtigere Aufgaben, und 48% nutzen KI für schnellere Problemanalysen.

So verbreitet ist die heimliche KI-Nutzung

Die offizielle KI-Nutzung in deutschen Unternehmen liegt laut Statistischem Bundesamt bei etwa 20% (Stand: November 2024). Diese Zahl erscheint im internationalen Vergleich niedrig und spiegelt die oft zitierte deutsche Zurückhaltung bei digitalen Innovationen wider.

Gleichzeitig zeigt die aktuelle Bitkom-Studie vom Mai 2025 ein anderes Bild auf individueller Ebene:

10% der Erwerbstätigen nutzen KI beruflich ohne Wissen des Arbeitgebers (2024: 5%)

45% der Erwerbstätigen nutzen KI beruflich mit Wissen des Arbeitgebers (2024: 22%)

74% der Befragten nutzen KI privat (2024: 39%)

Besonders bemerkenswert ist der Anstieg der heimlichen KI-Nutzung von 5% auf 10% innerhalb eines Jahres – eine Verdopplung, die das wachsende Risiko der Schatten-KI im Unternehmen verdeutlicht.

Während die offizielle KI-Nutzung in deutschen Unternehmen noch verhalten ist, experimentieren immer mehr Mitarbeitende auf eigene Faust mit KI-Tools, oft ohne Wissen ihrer Arbeitgeber und ohne Beachtung möglicher Risiken.

Psychologische Sicherheit: Warum Mitarbeitende zur Schatten-KI greifen

Die Gründe für die heimliche KI-Nutzung liegen oft tiefer als nur im Wunsch nach mehr Effizienz. Ein entscheidender Faktor ist die psychologische Sicherheit im Unternehmen – also das (messbare) Gefühl der Mitarbeitende offen kommunizieren und Risiken eingehen können, ohne negative Konsequenzen befürchten zu müssen.

So können Mitarbeitende befürchten, dass der offizielle Einsatz von KI zu höheren Leistungserwartungen führt. Sie nutzen dann KI-Tools heimlich, um ihre Produktivität zu steigern, ohne dass dies zu neuen Standards führt.

Andere Mitarbeitende fühlen sich unsicher im Umgang mit neuen Technologien. Die heimliche Nutzung ermöglicht ihnen, zu experimentieren und Erfahrungen zu sammeln, ohne sich bloßzustellen.

Bereits eine Unternehmenskultur mit hoch ausgeprägter psychologischer Sicherheit kann Schatten-KI maßgeblich vorbeugen und weiteren Nutzen bringen – hierzu später mehr.

Rechtliche Fallstricke: Vom AI-Act, über Geschäftsführenden-Haftung bis zum Datenschutz

Die unregulierte Nutzung von KI-Tools birgt erhebliche rechtliche Risiken, die durch neue Regulierungen wie dem AI-Act noch verschärft werden. Der AI-Act ist die erste umfassende KI-Regulierung weltweit und tritt seit 2025 stufenweise in Kraft. KI-Systeme werden hier in verschiedene Risikoklassen eingeteilt:

⭕ Verbotene KI-Praktiken: Bestimmte KI-Anwendungen sind grundsätzlich verboten, z.B. Social Scoring oder manipulative KI.

⭕ Hochrisiko-KI: Für KI-Systeme mit hohem Risiko (z.B. in der Personalverwaltung oder Medizin) gelten strenge Anforderungen an Transparenz, Dokumentation und Risikomanagement.

⭕ KI mit begrenztem Risiko: Hier gelten Transparenzpflichten, z.B. die Kennzeichnung KI-generierter Inhalte.

⭕ KI mit minimalem Risiko: Für diese Systeme gelten keine spezifischen Pflichten.

Unternehmen müssen nachweisen können, dass sie die Anforderungen des AI-Acts erfüllen – was bei Schatten-KI-Nutzung praktisch unmöglich ist.

Besonders brisant für Geschäftsführende

Nach §43 GmbHG haften sie persönlich für Pflichtverletzungen. Sie sind verpflichtet, angemessene Maßnahmen zur Risikominimierung zu ergreifen. Tun sie dies nicht, sind Bußgelder persönlich zu tragen.

Die DSGVO stellt strenge Anforderungen an den Umgang mit personenbezogenen Daten. Wenn Mitarbeitende solche Daten in externe KI-Tools eingeben, stellt dies in der Regel einen Datenschutzverstoß dar – insbesondere, wenn keine Rechtsgrundlage oder Auftragsverarbeitung besteht.

Ein weiteres unterschätztes Risiko ist die Reproduktion von Vorurteilen (Bias) durch KI-Systeme. Wenn beispielsweise KI-gestützte Personalentscheidungen unbewusst bestimmte Bewerbenden-Gruppen benachteiligen, kann dies zu Verstößen gegen das Allgemeine Gleichbehandlungsgesetz (AGG) führen.

Mitarbeitende, die ohne Genehmigung KI-Tools nutzen, setzen sich erheblichen persönlichen Risiken aus, die von Vertrauensverlust, über Abmahnungen bis zur Kündigung führen kann.

Viele Mitarbeitende sind sich nicht bewusst, dass die Eingabe von Unternehmensdaten in öffentliche KI-Tools wie ChatGPT rechtlich als Offenlegung gegenüber Dritten gilt und den Schutz von Geschäftsgeheimnissen gefährden kann.

Insofern birgt Schatten-KI Nachteile für alle Seiten: Sowohl für die Unternehmen, ihre Geschäftsführenden als auch für die Mitarbeitenden selbst.

In 4 Schritten: So entwickeln Sie eine erfolgreiche KI-Strategie für Ihr Unternehmen

Um Schatten-KI zu vermeiden und gleichzeitig die Chancen von KI zu nutzen, sollten Unternehmen eine strukturierte KI-Strategie entwickeln.

Mit diesen vier Schritten gelingt die Einführung einer KI-Strategie: Bestandsaufnahme und Analyse, Strategie ausarbeiten, Kommunikation und Schulung, Integration in Unternehmensprozesse und Review.

Bestandsaufnahme und Risikoanalyse

– Kommunikation an die Belegschaft, dass eine KI-Strategie entwickelt wird. Insbesondere frühzeitig Beteiligungsmöglichkeiten und Räume für Rückmeldung zur Verfügung stellen sowie Prozesskommunikation betreiben (über Zwischenschritte informieren und nicht nur über das Ergebnis).

– Einen Überblick verschaffen, welche KI-Anwendungen gerade im Unternehmen genutzt oder geplant werden. Hierzu ist dringend empfohlen, anonyme Umfragen durchzuführen, um ein möglichst ehrliches Ergebnis zu erhalten. Insbesondere ist empfohlen, in diesem Zuge auch Bereiche abzufragen, in denen ein KI-Einsatz nützlich sein könnte.

Hiermit werden frühzeitig Widerstände vermieden, da Mitarbeitende tendenziell eher eine KI-Einführung bei den Tätigkeiten befürworten, die sie ohnehin nicht gerne erledigen.

Strategie ausarbeiten

– Ein Team zusammenstellen, welches in die Erstellung der KI-Strategie unterschiedliche Perspektiven mitbringt (z. B. aus unterschiedlichen Hierarchie-Stufen, KI-Expertise, Alter etc.). Auf eine angemessene Größe des Teams in Respektive zur Unternehmensgröße achten.

– Eine klare Verantwortlichkeit zur Umsetzung der KI-Strategie benennen (lassen).

– Auf Basis der Ergebnisse potenzielle Chancen und Risiken analysieren (siehe oben).

– Ein gemeinsames KI-Zielbild entwickeln, das Zielzustände, Strategien, Maßnahmen sowie klare, verständliche Regeln beinhaltet.

– Dazu sollte definiert sein, welche KI-Tools erlaubt sind und welche nicht, welche Daten in KI-Systeme eingegeben werden dürfen. Eine praxisnahe Richtlinie sollte den Arbeitsalltag erleichtern, nicht erschweren.

– Wichtig ist ebenso ein festgelegter Evaluations-Rhythmus (siehe letzten Punkt) sowie das Festlegen von Beteiligungsmöglichkeiten (z. B. Vorschlagswesen).

Kommunikation und Schulung

– Alle Mitarbeitenden umfassend über die neue Richtlinie in Workshops, Trainings informieren.

– Praktische Beispiele für erlaubte und unerlaubte KI-Nutzung bieten.

– Einen offenen Raum für Rückfragen und Rückmeldungen bieten und aktiv auf Bedarfe eingehen.

– Verbindlichkeit der KI-Richtlinie schriftlich durch die Mitarbeitenden bestätigen lassen (u. A. im Rahmen von Arbeitsverträgen).

Integration in Unternehmensprozesse & Review

– Die KI-Strategie bzw. zugeordnete Maßnahmen im Alltag umsetzen.

– Eine KI-Richtlinie ist kein statisches Dokument, sondern muss regelmäßig aktualisiert werden: Regelmäßige Audits zur KI-Nutzung durchführen, Feedback von Mitarbeitenden zur Praktikabilität der Richtlinie einsammeln, Beobachten von technologischen und regulatorischen Entwicklungen.

Fazit: KI als Chance nutzen – transparent und sicher

Schatten-KI ist ein wachsendes Phänomen in Unternehmen, das erhebliche Risiken birgt. Gleichzeitig bietet KI im Unternehmen enorme Chancen. Mit einer durchdachten KI-Strategie und einer klaren KI-Richtlinie können Unternehmen Potenziale erschließen, ohne sich unnötigen Risiken auszusetzen.

Der AI-Act und andere regulatorische Anforderungen machen eine proaktive Auseinandersetzung mit dem Thema KI unumgänglich. Letztlich geht es nicht darum, KI zu verbieten, sondern sie kontrolliert, sicher und verantwortungsvoll einzusetzen. Eine offene Innovationskultur mit klaren Regeln schafft den idealen Rahmen, um die Vorteile der KI zu nutzen und gleichzeitig Compliance-Anforderungen zu erfüllen.

Wie wir Sie unterstützen können

Von Westfalen unterstützt Sie bei der Entwicklung und Implementierung einer KI-Strategie für Ihr Unternehmen. Von der Bestandsaufnahme über die Erstellung einer KI-Richtlinie bis hin zur Schulung Ihrer Mitarbeiter – wir begleiten Sie auf dem Weg zu einer sicheren und effizienten KI-Nutzung.