Ich meine nicht "KI im Allgemeinen". Ich spreche von der alltäglichen Nutzung, die nicht in Sitzungsprotokollen auftaucht. Wenn ein Mitarbeiter, müde und gestresst und ohne böse Absicht, einen Webdienst öffnet und etwas einfügt, das "nur besser formuliert werden muss". Aaron Warner beschreibt es treffend: Shadow AI benötigt keine Programmierkenntnisse mehr, es reicht jemand mit einem Browser, der vor dem Mittag fertig sein möchte – und dann können Daten an Orte gelangen, die die Organisation weder sieht, überprüft noch kontrolliert.
Und genau das macht Shadow AI gefährlicher als klassische Shadow-IT. Eine alte "Schattenlösung" konnte IT oft finden und sperren. Shadow AI ist subtiler. Sie hinterlässt keine Kabel. Keine Installation ist nötig. Sie kommt als bequeme Gewohnheit herein. Sie verbreitet sich wie ein Husten in einem Großraumbüro: Jemand teilt einen Prompt, ein anderer testet, und plötzlich gibt es nicht eine, sondern fünfzig Lecks, ohne dass die Sicherheitsabteilung davon weiß.
Wenn ich "Leck" sage, denkt man leicht an Spionage, geistiges Eigentum und große Geheimnisse. Das kommt vor. Aber was mich mehr beunruhigt, ist die graue Zone. Dinge, die niemand wirklich wollte. Persönliche Daten, die in ein Textfeld geraten. Sensible Fälle, die "schnell zusammengefasst" werden. Ein Abschlussprozess in der Personalabteilung, der etwas schöner formuliert wird. Warner nennt ein Beispiel, das schmerzt, weil es so plausibel ist: Die Personalabteilung fügt Kündigungsdaten ein, um Hilfe bei Ton und Sprache zu bekommen, ohne zu wissen, dass die Informationen das Unternehmen verlassen.
Hier wird die DSGVO sehr konkret. Sie verlangt nicht, dass alles immer verschlüsselt wird, aber "geeignete technische und organisatorische Maßnahmen" je nach Risiko sind Pflicht, und Verschlüsselung wird explizit als Beispiel genannt. Es geht um Risikomanagement, nicht um Formalitäten. Echte Risikomanagementlogik. (Europäische Union, 2016). Die Datenschutzbehörde hat außerdem Leitlinien zur DSGVO bei generativer KI veröffentlicht, die unter anderem automatisierte Entscheidungen und Drittlandübermittlungen thematisieren. (Datenschutzbehörde, 2024).
Wo also sitzt das Leck, hinter welcher "Wand"?
Es sitzt fast immer dort, wo Organisationen von "gesunden Menschenverstand" sprechen. Also dort, wo kein klares, sicheres und funktionierendes Vorgehen etabliert wurde. Wenn Menschen nicht wissen, was sie eingeben dürfen, welche Tools erlaubt sind, wie anonymisiert wird und was bei Unsicherheit zu tun ist, dann tun sie das, was Menschen immer tun: Sie wählen den schnellsten Weg, der vernünftig erscheint. Ein anderes Wort für gesunden Menschenverstand hier ist Verhältnismäßigkeit.
Und hier komme ich zu einem unangenehmen Punkt. Ich glaube, Verbote verschlimmern das Leck oft. Nicht weil Verbote an sich falsch wären, sondern weil ein generelles "Nein" fast immer zu Umgehungen führt. Warner bringt es auf den Punkt: Wenn man versucht, alles zu sperren und jede KI-Anfrage zu verbieten, finden Nutzer Umwege, und die Organisation hat weniger Einblick als zuvor. Deshalb gefallen mir die schwedischen Richtlinien von Digg und der Datenschutzbehörde für den öffentlichen Sektor viel besser. Sie sind zwar für den öffentlichen Bereich geschrieben, aber die Logik ist allgemein gültig. Ziel ist es, Orientierung zu bieten und Sicherheit im Umgang mit generativer KI zu schaffen, sodass sie den Bedürfnissen der Organisation entspricht, ohne die Kontrolle zu verlieren. (Digg, 2025).
Mit all dem Gesagten ist es Zeit, den Kern dieses Beitrags klar auszusprechen. Shadow AI ist kein individuelles Problem. Es ist ein Steuerungsproblem. Es ist einfach, beim Fehler die "menschliche Schwachstelle" zu benennen. Aber in einer Organisation spiegelt der Mensch fast immer das System wider. Wenn das System Tempo belohnt, wenn Abläufe unklar sind, wenn genehmigte Tools fehlen oder kompliziert sind, dann wächst Shadow AI. Nicht als Aufstand, sondern als alltägliche Logik.
Und hier wird es auch im NIS2/CSL-Kontext relevant, ohne dass ich das hier zu einem Paragrafenvortrag machen möchte. NIS2 ist risikobasiert und zielt auf Maßnahmen ab, die die Wahrscheinlichkeit von Vorfällen senken und deren Auswirkungen mindern. (Europäische Union, 2022).
Wenn Daten über einen Chat entwichen, wenn Lieferanten neue KI-Funktionen in bestehende Tools einbauen, ohne dass IT oder Sicherheit eingebunden sind, und wenn eine Organisation nicht einmal weiß, wohin die Datenströme fließen, dann hat man ein Risiko geschaffen. Nicht nur ein Compliance-Problem.
Und das Risiko ist nicht nur "Leck". Das Risiko sind die Folgen. Dass man nicht untersuchen kann. Dass man keine Kontrolle nachweisen kann. Dass man nicht schnell antworten kann, wenn gefragt wird, was passiert ist, wohin die Daten gingen und wer sie gesehen haben könnte. Ich möchte in der gleichen Tonart enden, wie ich begonnen habe. Wasserlecks sind still, aber auf eine Weise auch dankbar. Man kann sie beheben, wenn man aufhört, so zu tun, als gäbe es sie nicht. Das bedeutet nicht, dass wir generative KI verteufeln müssen. Es bedeutet, dass wir aufhören müssen, sie als private Spielerei im Unternehmen zu behandeln. Sie muss in die gleiche Ordnung wie alles andere rund um Information, Risiko und Vertrauen eingebunden werden. Denn in einer digitalen Welt ist Vertrauen keine weiche Frage. Es ist eine harte Währung.
Wenn wir das Leck unter Kontrolle bringen, passiert etwas Interessantes. Dann wird generative KI nicht mehr zum Stressfaktor und schleichenden Problem. Sie wird zu einem Werkzeug, das man mit gutem Gewissen nutzen kann, ohne dass das Haus langsam von Schimmel befallen wird.
Quellen
Digg. (2025).Richtlinien für generative KI. Behörde für digitale Verwaltung.
Europäische Union. (2016).Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), Artikel 32.
Europäische Union. (2022).Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)
Datenschutzbehörde. (2024).DSGVO bei der Nutzung generativer KI(IMY-Bericht).
Warner, A. (2026, 4. März).Shadow AI: Wenn jeder zum Datenleck wird.
