Shadow AI: 81 Prozent der Mitarbeiter umgehen Unternehmensrichtlinien

Eine brisante Doppelkrise erschüttert europäische Unternehmen: Während vier von fünf Beschäftigten heimlich KI-Tools nutzen, plant Brüssel eine umstrittene Aufweichung der DSGVO. Die Folge? Ein gefährliches Compliance-Vakuum.

Neue Daten vom Mittwoch zeigen das Ausmaß eines Problems, das Experten als „Shadow AI” bezeichnen: 81 Prozent der britischen Angestellten nutzen künstliche Intelligenz ohne Wissen ihrer Arbeitgeber – Tendenz steigend. Fast zeitgleich stellte die EU-Kommission am Donnerstag ein „digitales Omnibus-Paket” vor, das die Datenschutzregeln für KI-Training grundlegend verändern könnte. Unternehmen stehen damit vor einer Zwickmühle: Die interne Kontrolle schwindet, während sich die rechtlichen Rahmenbedingungen im Umbruch befinden.

Passend zum Thema Compliance: Die EU-KI-Verordnung und verwandte Regelwerke haben seit August 2024 neue Kennzeichnungs-, Risikoklassen- und Dokumentationspflichten eingeführt. Wenn Beschäftigte ungeprüfte öffentliche KI-Tools nutzen, reicht eine lückenhafte Nachweisführung schnell nicht mehr aus. Unser kostenloses Umsetzungs‑E‑Book erklärt praxisnah, wie Sie KI-Systeme richtig klassifizieren, erforderliche Dokumentation anlegen und Bußgelder vermeiden. Ideal für Datenschutzbeauftragte, IT- und Compliance‑Verantwortliche. Jetzt KI‑Verordnung‑Leitfaden gratis herunterladen

Die am 19. November veröffentlichte Untersuchung von Cornerstone OnDemand legt einen massiven blinden Fleck offen: Während Beschäftigte generative KI-Systeme längst in ihren Arbeitsalltag integriert haben, hinkt die Unternehmensführung hoffnungslos hinterher.

Die Zahlen sprechen eine deutliche Sprache. In Großbritannien gaben 81 Prozent der Befragten zu, KI-Tools heimlich zu verwenden. Doch die Ursache liegt nicht in krimineller Energie – 51 Prozent der Mitarbeiter berichten, dass sie von ihren Arbeitgebern selten oder nie eine entsprechende Schulung erhalten haben.

„Die Ergebnisse enthüllen einen gewaltigen Kontrollverlust”, heißt es in der Cornerstone-Studie. „Diese versteckte Nutzung wird teilweise durch eklatante Unterstützungslücken befeuert… was viele dazu treibt, auf nicht genehmigte und unsichere externe Systeme auszuweichen.”

Gartner legte am 20. November noch eins drauf: Bis 2030 werden 40 Prozent aller Organisationen weltweit Sicherheitsvorfälle und Compliance-Verstöße erleiden – direkt verursacht durch unkontrollierte KI-Nutzung. Eine Umfrage unter IT-Sicherheitschefs ergab, dass 69 Prozent bereits Beweise oder starke Indizien dafür haben, dass Mitarbeiter öffentliche KI-Tools für Arbeitsaufgaben nutzen und dabei Sicherheitsprotokolle ignorieren.

„CIOs sollten klare unternehmensweite Richtlinien für KI-Nutzung definieren und regelmäßige Audits zur Aufdeckung von Shadow AI durchführen”, empfahl Arun Chandrasekaran, Distinguished VP Analyst bei Gartner.

Brüsseler Beben: DSGVO-Reform sorgt für Aufruhr

Während Firmen mit internen Compliance-Problemen kämpfen, verschob sich am Donnerstag die externe Regulierungslandschaft dramatisch. Die EU-Kommission präsentierte ein „digitales Omnibus-Paket”, das die Datenschutz-Grundverordnung speziell für das KI-Zeitalter vereinfachen soll.

Der Vorschlag würde es Unternehmen erlauben, personenbezogene Daten für das Training von KI-Modellen auf Basis „berechtigter Interessen” zu verarbeiten – ohne die bisher strenge Anforderung der vorherigen Nutzereinwilligung. Was die Kommission als innovationsfreundliche Entbürokratisierung verkauft, löste sofort heftige Gegenwehr von Datenschützern aus.

Die Nichtregierungsorganisation noyb (None of Your Business) kritisierte am Donnerstag, die Änderungen würden „den Schutz für Europäer massiv absenken”. European Digital Rights (EDRi) warnte, die Neuregelung könnte Firmen „mehr Spielraum zur Sammlung und Verarbeitung persönlicher Informationen bei eingeschränkter Aufsicht” geben.

Für Unternehmen entsteht ein paradoxes Risiko-Szenario:

• Aktuelles Risiko: Nach geltender DSGVO stellt die ungenehmigte Nutzung öffentlicher KI-Tools durch Mitarbeiter häufig einen Datenschutzverstoß dar, wenn personenbezogene Daten ohne Auftragsverarbeitungsvertrag verarbeitet werden.
• Künftige Unsicherheit: Falls der Vorschlag Gesetz wird, lockern sich zwar die Regeln für das Training von KI, doch die Dokumentationspflicht für „berechtigte Interessen” dürfte steigen – was noch strengere Überwachung erfordert, welche Tools Mitarbeiter nutzen und welche Daten sie dort eingeben.

Tech-Giganten reagieren mit Kontrollsystemen

Die großen Technologiekonzerne haben den Ernst der Lage erkannt und präsentierten diese Woche signifikante neue Governance-Tools.

Auf der Microsoft Ignite 2025, die bis zum 21. November lief, stellte der Konzern Agent 365 vor – ein zentrales Kontrollsystem zur Verwaltung und Steuerung von KI-Agenten innerhalb einer Organisation. Die am Dienstag angekündigte Plattform bietet ein „Register” genehmigter Agenten und integriert sich mit Microsoft Entra ID, um KI-Agenten eindeutige Identitäten zuzuweisen.

„Im Zeitalter der Agenten muss Sicherheit allgegenwärtig und autonom sein”, erklärte Microsoft in seiner Ankündigung vom 18. November. Die neue Entra Agent ID-Funktion ermöglicht IT-Administratoren, risikobasierte Zugangskontrollen für KI-Agenten zu setzen – und effektiv „Schurken-Agenten” vom Zugriff auf sensible Unternehmensdaten abzublocken.

Auch Salesforce machte am Donnerstag einen großen Schritt gegen Shadow AI: Der Konzern führte neue „Deep Observability”-Tools für seine Agentforce 360-Plattform ein. Diese protokollieren jede Interaktion, jeden Denkschritt und jeden Daten-Input von KI-Agenten – und schaffen so die Transparenz, die für Compliance nötig ist. Dies folgt auf den Abschluss der Informatica-Übernahme am 18. November, ein strategischer Zug zur Stärkung der Data-Governance-Fähigkeiten.

Analyse: Die Compliance-Lücke wird zum Abgrund

Die Gleichzeitigkeit dieser Entwicklungen – die Cornerstone-Nutzungszahlen, die Gartner-Warnungen und der EU-Regulierungsschwenk – deutet darauf hin, dass 2025 das Jahr ist, in dem „Shadow AI” von einer technischen Unannehmlichkeit zur Vorstandshaftung mutiert.

„Organisationen schlafwandeln derzeit in ein Compliance-Minenfeld”, kommentiert ein Branchenanalyst die Cornerstone-Daten vom 19. November. „Wenn 81 Prozent der Belegschaft Tools nutzen, von denen die IT-Abteilung nichts weiß, kann man unmöglich DSGVO-konform sein – ganz zu schweigen von den kommenden Anforderungen des EU AI Act.”

Das Risiko ist zweigeteilt:

1. Datenleckage: Mitarbeiter, die Kundendaten in öffentliche, ungeprüfte Large Language Models kopieren, exportieren faktisch sensible Informationen auf Drittanbieter-Server – oft außerhalb der EU – und verstoßen damit gegen Datentransfer-Beschränkungen.
2. Automatisierte Entscheidungsfindung: Wenn Beschäftigte unautorisierte KI für Entscheidungen über Einstellungen oder Kredite verwenden, verstoßen sie möglicherweise gegen den DSGVO-Artikel 22, der vor automatisierter Entscheidungsfindung ohne menschliche Aufsicht schützt.

Was kommt auf Unternehmen zu?

Die kommenden Monate werden für europäische Firmen entscheidend. Das „digitale Omnibus-Paket” der EU-Kommission wird im Europaparlament und Rat für heftige Debatten sorgen – mit einer Phase regulatorischer Unsicherheit als wahrscheinlichem Ergebnis.

Kurzfristig erwarten Experten einen Anstieg von „KI-Amnestie”-Programmen: Unternehmen werden Mitarbeiter ermutigen, ihre Tool-Nutzung straffrei offenzulegen, um den „Shadow AI”-Fußabdruck zu kartieren, bevor die Regulierungsbehörden zuschlagen.

Mit Gartners Prognose, dass KI-Agenten bis 2028 menschliche Verkäufer im Verhältnis 10:1 übertreffen werden (veröffentlicht am 19. November), schließt sich das Zeitfenster für robuste Governance rasant. Firmen, die es versäumen, Tools wie Microsofts Agent 365 oder Salesforces Agentforce einzusetzen, um diese „Schatten-Aktivitäten” ans Licht zu bringen, riskieren in den kommenden Monaten empfindliche Strafen und Reputationsschäden.

Übrigens: Fristen und Nachweispflichten der EU‑KI‑Verordnung greifen vielerorts bereits – bevor Aufsichtsbehörden prüfen, sollten Sie handeln. Unser kompakter Leitfaden mit Checklisten zeigt konkret, wie Sie KI‑Einsätze klassifizieren, erforderliche Dokumentation aufbauen und Shadow AI im Unternehmen sichtbar machen. Ideal für Datenschutzbeauftragte, Compliance- und IT‑Teams, die rechtssicher nachsteuern wollen. Gratis KI‑Compliance‑Leitfaden anfordern