Schatten-KI: Wenn ChatGPT mittippt

Schnell eine E-Mail von der KI formulieren lassen, ein langes Dokument zusammenfassen, ein Angebot überarbeiten. Für viele Mitarbeitende ist das längst Alltag – nur eben mit dem privaten ChatGPT-Zugang, nicht mit einem vom Unternehmen freigegebenen Werkzeug. Das Phänomen hat einen Namen: Schatten-KI.

Es wirkt harmlos und ist es nicht. Sobald in einem dieser Prompts ein Kundenname, eine Mandantenkommunikation oder ein Lieferantenangebot steht, verlässt vertrauliche Information das Unternehmen – auf einen Server, über den weder die Geschäftsführung noch die IT Kontrolle hat. Dieser Beitrag erklärt, wie verbreitet das wirklich ist, was technisch und rechtlich dabei passiert, und welche Reaktion als einzige trägt.

Wie verbreitet Schatten-KI wirklich ist

Die belastbarste deutsche Zahl liefert Bitkom. In einer repräsentativen Befragung von 604 Unternehmen ab 20 Beschäftigten (veröffentlicht im Oktober 2025) ergibt sich ein klares Bild:

• In 8 % der Unternehmen ist die private KI-Nutzung im Job weit verbreitet – doppelt so viele wie ein Jahr zuvor (4 %).
• In 17 % gibt es Einzelfälle.
• Weitere 17 % vermuten die Nutzung, können sie aber nicht belegen.

Zusammengerechnet gehen vier von zehn Unternehmen davon aus, dass ihre Beschäftigten private KI-Zugänge beruflich verwenden. Gleichzeitig stellt nur rund ein Viertel (26 %) überhaupt einen offiziellen KI-Zugang bereit. Die Lücke zwischen Nutzung und Steuerung ist also der Normalfall, nicht die Ausnahme.

International fällt es noch deutlicher aus. Die Software-AG-Studie „Chasing Shadows" (6.000 Wissensarbeiter in den USA, Großbritannien und Deutschland) fand für Deutschland: 54 % nutzen nicht freigegebene KI-Tools, und 49 % würden das selbst bei einem ausdrücklichen Verbot fortsetzen. Neuere Erhebungen aus 2025/2026 (WalkMe, UpGuard) kommen für Wissensarbeiter sogar auf 78 bis über 80 %.

In einem Satz: Die Frage ist in den meisten Betrieben nicht, ob Schatten-KI existiert, sondern nur, ob die Geschäftsführung davon weiß.

Was technisch und rechtlich passiert, wenn Daten in ein privates ChatGPT wandern

Hier wird aus einem Bequemlichkeits-Thema ein handfestes Datenschutzproblem. Wenn ein Mitarbeiter einen Kundennamen oder Vertragsdetails in einen privaten ChatGPT-Account einfügt, passieren drei Dinge gleichzeitig:

1. Die Daten verlassen das Unternehmen. Sie werden auf der Infrastruktur des Anbieters verarbeitet – im Fall der gängigen US-Dienste auf US-Servern, auch wenn teilweise europäische Rechenzentren genutzt werden, solange die rechtliche Kontrolle bei einer US-Gesellschaft liegt.
2. Sie können ins Modelltraining fließen. In den kostenlosen und privaten Tarifen (ChatGPT Free, Plus, Pro) werden Eingaben standardmäßig zur Verbesserung der Modelle verwendet, sofern nicht aktiv abgeschaltet.
3. Es gibt keine rechtliche Grundlage dafür. Für einen privaten Account existiert kein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Ohne diesen Vertrag handelt der Anbieter als eigenständig Verantwortlicher – und das Unternehmen verarbeitet personenbezogene Daten ohne zulässige Basis.

Datenschutzrechtlich berührt das gleich drei zentrale DSGVO-Vorschriften: Artikel 6 (fehlende Rechtsgrundlage), Artikel 28 (fehlende Auftragsverarbeitung) und Artikel 44 ff. (unzulässiger Drittlandtransfer in die USA).

Entscheidend für die Geschäftsführung: Verantwortlich ist das Unternehmen, nicht der Mitarbeiter. Der gut gemeinte Produktivitäts-Trick eines Einzelnen wird haftungsrechtlich der Organisation zugerechnet.

In einem Satz: Es ist nicht „nur ein Tool" – es ist eine unkontrollierte Datenübermittlung an einen Dritten, für die das Unternehmen geradesteht.

Der Unterschied, den fast niemand kennt: Privat-Account vs. Business-Lizenz

Genau dieselbe Technologie kann datenschutzkonform sein – es kommt auf die Lizenz an. Die Trennlinie verläuft zwischen Privat-Accounts und Business-Verträgen:

• Privat (ChatGPT Free, Plus, Pro): kein AVV, Eingaben potenziell im Training, im beruflichen Kontext mit personenbezogenen Daten praktisch nicht zulässig.
• Business (ChatGPT Team/Enterprise, Claude Team/Enterprise, Microsoft Copilot für Microsoft 365, Gemini Business): Der Anbieter agiert als Auftragsverarbeiter, stellt einen AVV bereit und trainiert standardmäßig nicht auf den Eingaben. Bei den Enterprise-/API-Varianten kam seit Februar 2025 eine EU-Datenresidenz hinzu, seit Januar 2026 teilweise sogar EU-Inferenz (die Verarbeitung selbst auf europäischen Servern).

Wichtig bleibt: Auch eine Business-Lizenz ist kein Freifahrtschein. Bei einem US-Anbieter bleibt der Drittland-Aspekt (Stichwort Schrems II), und Datensparsamkeit – Platzhalter statt echter Namen, keine sensiblen Daten ohne Notwendigkeit – ist weiterhin Pflicht. Aber der Unterschied zwischen „privat" und „geschäftlich lizenziert" entscheidet darüber, ob KI-Nutzung überhaupt auf einer zulässigen Grundlage steht.

Warum das 2026 kein theoretisches Risiko mehr ist

Drei Entwicklungen machen aus dem latenten Risiko ein akutes:

Der EU AI Act greift. Seit Februar 2025 müssen Unternehmen, die KI einsetzen, ihre Mitarbeitenden nachweislich in KI-Kompetenz und -Risiken schulen. Ab dem 2. August 2026 gelten die vollen Anforderungen für Hochrisiko-Anwendungen – etwa KI im Bewerbungs- und Personalbereich.

Die Aufsicht prüft aktiv. Datenschutz und KI sind 2026 keine Theorie mehr, sondern Aufsichtspraxis. Die Datenschutzkonferenz – das Gremium der deutschen Aufsichtsbehörden, dem auch die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) angehört – hat eine Orientierungshilfe „KI und Datenschutz" als Checkliste für Verantwortliche veröffentlicht. Und der 31. Tätigkeitsbericht der LDI NRW (2026) betont ausdrücklich, dass in der Praxis die Anwender – häufig kleine und mittlere Unternehmen – die datenschutzrechtliche Verantwortung tragen, obwohl sie auf die eingesetzten IT-Produkte nur begrenzt Einfluss haben. Für Betriebe in NRW heißt das: Die Verantwortung liegt bei Ihnen, nicht beim Anbieter – und die Aufsicht schaut hin.

Die Kosten sind real. Der IBM-Bericht „Cost of a Data Breach 2025" beziffert einen Schatten-KI-bezogenen Datenschutzvorfall im Schnitt auf rund 4,6 Mio. US-Dollar – spürbar über dem Durchschnitt herkömmlicher Vorfälle. Das prominenteste frühe Beispiel: Bei Samsung gaben Ingenieure vertraulichen Quellcode in ChatGPT ein, um einen Fehler zu beheben. Die erste Reaktion war ein Totalverbot – das umgangen wurde –, bevor das Unternehmen eine eigene interne Lösung baute.

Drei Reaktionen – und warum nur eine trägt

In der Praxis sehen wir drei Wege, mit Schatten-KI umzugehen:

1. Verbot. Wirkt ein paar Wochen, dann läuft die Nutzung weiter – nur tiefer im Verborgenen, oft von privaten Geräten. Das Samsung-Beispiel zeigt das Muster. Ein Verbot verlagert das Risiko, es beseitigt es nicht.
2. Augen zu. Macht aus einem kontrollierbaren Schatten ein offenes Loch im Datenschutz – und überlässt der Aufsicht die Definition des Ernstfalls.
3. Richtlinie plus Werkzeug. Eine klare Regel, welche Daten in welche KI dürfen, kombiniert mit einer genehmigten, lizenzierten Variante, die mehr kann als der private Account. Das ist der einzige Weg, der die Produktivitätsgewinne behält und das Risiko schließt – und der einzige, den wir bei Unternehmen dauerhaft funktionieren sehen.

In einem Satz: Mitarbeitende nutzen KI nicht aus Trotz, sondern weil sie hilft. Wer ihnen eine sichere, bessere Variante gibt, gewinnt – wer nur verbietet, verliert beides.

Für ein KMU in NRW: der realistische Weg

Die Reihenfolge, die sich in der Praxis bewährt:

1. Zuerst Transparenz schaffen. Wer nutzt heute welche KI wofür? Diese Bestandsaufnahme ist wichtiger als die Wahl des Tools – denn man kann nicht regeln, was man nicht kennt.
2. Datenklassen festlegen. Welche Inhalte dürfen überhaupt in eine externe KI, welche nie? Mandanten- und Personaldaten, Konstruktionspläne, vertrauliche Angebote gehören in eine andere Kategorie als ein allgemein formulierter Werbetext.
3. Eine genehmigte Variante bereitstellen. Eine Business-Lizenz mit AVV – oder für besonders sensible Bereiche eine EU-gehostete bzw. lokale Lösung. Wichtig ist, dass sie spürbar besser ist als der private Zugang, sonst greift niemand darauf zurück.
4. Kurz schulen. Eine knappe, verständliche Unterweisung, die auch die AI-Act-Schulungspflicht erfüllt – nicht ein 40-seitiges Regelwerk, das niemand liest.

Der Aufwand steckt nicht in der Idee, sondern in den Details: die ehrliche Bestandsaufnahme, die Datenklassifizierung, die Prüfung der Anbieterverträge auf das, was sie wirklich regeln, und die Auswahl zwischen Cloud-Business-Lizenz und EU-/lokaler Lösung je nach Datenschutzbedarf. Genau an dieser Stelle ist ein Partner sinnvoll, der die Lage neutral aufnimmt und die passende statt der größten Lösung vorschlägt.

Der nächste Schritt

Die ehrlichste erste Frage ist auch hier die unbequemste: Wer in Ihrer Organisation kann beantworten, wer wofür welche KI nutzt – ohne nachzuschauen? Wenn die Antwort niemand ist, ist das die wichtigere Information als die Wahl des Tools.

Wenn Sie diese Transparenz herstellen und eine datenschutzkonforme, alltagstaugliche KI-Lösung einführen möchten, schauen wir uns das gemeinsam an – persönlich, vor Ort in NRW. Eine erste Einordnung gibt es in unserem kostenlosen Erstgespräch. Wie wir KI im Mittelstand sicher und sinnvoll integrieren, lesen Sie auf der Leistungsseite KI-Integration & Automatisierung.

Hinweis: Dieser Beitrag ist keine Rechtsberatung. Die konkrete datenschutzrechtliche Bewertung Ihres KI-Einsatzes klären Sie mit Ihrem Datenschutzbeauftragten oder Anwalt.

---

Quellen

• Bitkom, Presseinformation „Beschäftigte nutzen vermehrt Schatten-KI", 21.10.2025 (Befragung von 604 Unternehmen ab 20 Beschäftigten) – bitkom.org/Presse/Presseinformation/Beschaeftigte-nutzen-Schatten-KI
• Software AG, Studie „Chasing Shadows – Getting Ahead of Shadow AI" (6.000 Wissensarbeiter, USA/UK/Deutschland) – newscenter.softwareag.com
• WalkMe „State of Digital Adoption" 2025 und UpGuard-Studie 11/2025 (Anteile nicht genehmigter KI-Nutzung)
• IBM, „Cost of a Data Breach Report 2025" (Kosten Schatten-KI-bezogener Vorfälle) – ibm.com
• Bitkom, „Künstliche Intelligenz in Deutschland 2025/2026", Studienbericht Februar 2026 – bitkom.org/sites/main/files/2026-02/bitkom-studienbericht-ki.pdf
• EU-Kommission, AI Act – Anwendungszeitplan (Schulungspflicht seit 02/2025, Hochrisiko ab 02.08.2026) – digital-strategy.ec.europa.eu
• Fachanalysen zu AVV, Drittlandtransfer und Lizenzunterschieden (Consumer vs. Business) bei OpenAI, Anthropic, Microsoft, u. a. visionarydata.de (13.02.2026), gesellschaft-datenschutz.de
• Datenschutzkonferenz (DSK), Orientierungshilfe „KI und Datenschutz" (Checkliste für Verantwortliche), veröffentlicht über die LDI NRW – ldi.nrw.de/dsk-orientierungshilfe-ki-fuer-unternehmen-und-behoerden
• LDI NRW, 31. Tätigkeitsbericht 2026 (datenschutzrechtliche Verantwortung der anwendenden KMU) – ldi.nrw.de

Hinweis: Bitkom, IBM und die EU-Kommission sind belastbare Primär-/Verbandsquellen. Software AG ist eine Anbieter-Studie. Die DSGVO-Lizenzanalysen stammen aus Fachblogs und Datenschutzkanzleien; die rechtliche Kernaussage (kein AVV im Privat-Tarif) ist breit belegt.