Glossar·Sicherheit & Compliance

Was ist Schatten-KI?

Definition: Schatten-KI bezeichnet die ungenehmigte Nutzung öffentlicher KI-Dienste durch Mitarbeitende, ohne Wissen oder Freigabe der IT- oder Compliance-Funktion.

Nico MeyerNico MeyerGeschäftsführer Code15 GmbH06. Mai 2026 · aktualisiert 09. Mai 20263 Min. Lesezeit

Schatten-KI (englisch Shadow AI) bezeichnet die Nutzung öffentlicher KI-Dienste – ChatGPT, Claude, Gemini, Microsoft Copilot, AI-Wrapper-Tools – durch Mitarbeitende, ohne dass die IT- oder Compliance-Funktion davon Kenntnis hat oder sie genehmigt hat.

Größenordnung 2026

  • Mehr als die Hälfte der Knowledge Worker in Deutschland, USA und UK nutzt KI-Tools, die ihre IT nicht kennt (Software AG „Chasing Shadows" 2024, n=6.000).
  • 38 % aller Mitarbeitenden geben sensible Daten in KI-Tools ein – Mandantenakten, Kalkulationen, Strategiepapiere, Quellcode (CybSafe / NCA „Oh Behave!" 2024, n>7.000).
  • 17 % der Unternehmen haben automatisierte technische Controls (Blocking/Scanning), die das Hochladen vertraulicher Daten in öffentliche KI-Tools verhindern (IBM Cost of a Data Breach Report 2025).
  • 97 % der Unternehmen mit KI-Sicherheitsvorfall hatten keine sauberen AI-Access-Controls; 63 % haben gar keine AI-Governance-Policy (IBM 2025).

Warum Schatten-KI ein Compliance-Problem ist

Die DSGVO verlangt Kontrolle über Datenflüsse und Auftragsverarbeitung. Schatten-KI bricht diese Kontrolle, weil Daten unbemerkt an Drittstaaten-Provider abfließen. NIS2 verschärft das Problem: Geschäftsführung muss Cyber-Risiken aktiv managen und haftet im Schadensfall persönlich. Eine unkontrollierte KI-Nutzung ist 2026 in einem NIS2-Audit nicht verteidigbar.

Warum Verbote nicht funktionieren

Mitarbeitende nutzen Schatten-KI, weil sie damit Zeit sparen – täglich, spürbar. Verbote werden in der Praxis umgangen über private Geräte, persönliche Browser-Profile und alternative Tools. Die einzige strukturell wirksame Antwort ist eine offizielle, gleich gute oder bessere KI-Plattform.

Eindämmungs-Maßnahmen

  • Offizielle Private-KI-Plattform mit ChatGPT-Niveau-UX als attraktive Alternative.
  • KI-Richtlinie auf einer Seite, die explizit erlaubt, was erlaubt ist – nicht nur verbietet.
  • Audit-Log auf der offiziellen Plattform für NIS2-Nachweis.
  • Anonyme Bestandsaufnahme statt repressiver Sanktionen, um echte Sichtbarkeit zu schaffen.

Verwandte Begriffe

  • Private KI – die strukturelle Antwort auf Schatten-KI.

Vertiefung

Praxisleitfaden mit Studienlage und Eindämmungsplan: „Schatten-KI im Unternehmen: 50 % nutzen sie heimlich – was tun?".

Nico Meyer

Autor

Nico Meyer

Geschäftsführer Code15 GmbH

Gründer von Code15. Baut seit 10+ Jahren Software für den Mittelstand – heute mit Fokus auf Private KI, RAG-Systeme und sichere KI-Einführung in regulierten Branchen.

Mehr von Nico

Private KI für Unternehmen: Sprechen Sie mit Nico

Direkt mit dem Gründer. Ohne Verkaufsgespräch, werktags 9–18 Uhr. Wir besprechen, ob und wie Private KI in Ihrem Unternehmen Sinn ergibt.

Direkt mit Nico Meyer sprechen
Lieber schreiben? Nachricht senden Termin selbst wählen
Mehr Details: Private KI für Unternehmen

Mehr aus dieser Säule

Glossar

On-Prem-LLM

Definition: On-Prem-LLM bezeichnet ein Sprachmodell, das auf Hardware betrieben wird, die das Unternehmen selbst kontrolliert – meist im eigenen Rechenzentrum, optional ohne Internetverbindung.

3 Min. Lesezeit Glossar

Private KI

Definition: Private KI bezeichnet eine KI-Plattform, die ausschließlich auf vom Unternehmen kontrollierter Infrastruktur betrieben wird – on-prem, in souveräner EU-Cloud oder hybrid – und Daten nicht an US-Provider weitergibt.

3 Min. Lesezeit Glossar

RAG (Retrieval-Augmented Generation)

Definition: RAG kombiniert ein Sprachmodell mit einer Suche in eigenen Dokumenten. Statt aus Trainingswissen zu raten, antwortet das Modell auf Basis abgerufener Textstellen mit Quellenangabe.

3 Min. Lesezeit