Shadow AI: Welche Verantwortung tragen Unternehmen bei inoffizieller KI-Nutzung?

KI-Tools sind längst im Arbeitsalltag angekommen. Das gilt auch dort, wo es (noch) keine offiziellen Freigaben, Richtlinien oder geprüften Systeme gibt. Diese Shadow AI verstärkt die Risiken von KI-Nutzung, wenn ihre Ergebnisse in Angebote, Entscheidungen oder Kommunikation mit einfließen.

In diesem Beitrag ordnen wir ein, welche Verantwortung Unternehmen bei Shadow AI tragen, welche Haftungsrisiken entstehen können und mit welchen Maßnahmen ihr die Gefahren reduzieren könnt.

Was ist Shadow AI?

Shadow AI bezeichnet die Nutzung von KI-Tools durch eure Mitarbeitenden. Allerdings findet diese Nutzung ohne offizielle Freigabe, Governance-Strukturen oder technische Kontrolle innerhalb eures Unternehmens statt. Im Gegensatz zu regulär implementierten KI-Systemen fehlen bei Shadow AI in der Regel…

…definierte Zuständigkeiten,

…dokumentierte Risikoprüfungen,

…technische Absicherung und

…eine klare Regelung zur Datennutzung.

Wie entsteht Shadow AI?

Shadow AI ist meist kein Resultat von Nachlässigkeit. Vielmehr entsteht sie aus pragmatischen Gründen. Mitarbeitende nutzen frei zugängliche KI-Tools, um schneller zu recherchieren, Texte zu erstellen, Daten auszuwerten oder Prozesse zu automatisieren. Diese berufliche Nutzung ist in eurem Unternehmen möglicherweise nicht geregelt oder nicht ausdrücklich freigegeben. Doch genau hier kann unternehmerische Verantwortung entstehen.

Warum bleibt das Unternehmen für Shadow AI verantwortlich?

Wenn Mitarbeitende KI-Tools im Rahmen ihrer beruflichen Aufgaben einsetzen, handeln sie im geschäftlichen Kontext. Entscheidend ist daher nicht, ob die Nutzung offiziell freigegeben wurde, sondern ob sie eurer betrieblichen Tätigkeit zuzurechnen ist. Ist das der Fall, bleibt die Verantwortung bei euch als Unternehmen.

Ein internes Verbot oder das Fehlen einer Richtlinie führt nicht automatisch zu einer Entlastung. Die konkrete Haftung hängt vom Einzelfall, der Organisationsstruktur und den getroffenen Kontrollmaßnahmen ab. Organisation, Auswahl von Arbeitsmitteln und Risikosteuerung gehören zum unternehmerischen Verantwortungsbereich. Dazu zählt auch der Umgang mit KI-Tools. Dabei ist unerheblich, ob ihr diese zentral einführt oder ob sie individuell genutzt werden.

Welche Haftungsrisiken entstehen durch Shadow AI?

Shadow AI wird haftungsrelevant, wenn KI-Ergebnisse Teil eurer geschäftlichen Entscheidungen werden. Haftungsrechtlich relevant ist, wo durch ihren Einsatz ein Schaden entsteht oder regulatorische Pflichten verletzt werden. Typische Risikosituationen entstehen vor allem in drei Bereichen.

Umgang mit sensiblen oder personenbezogenen Daten

Geben Mitarbeitende Kundendaten, Vertragsinhalte oder Unternehmensinterna in KI-Tools ein, werden diese Daten unter Umständen gespeichert und weiterverarbeitet. Passiert das unkontrolliert außerhalb eurer IT-Umgebung, kann das Risiko von Datenschutzverstößen erheblich steigen.

Relevant wird das insbesondere bei:

• personenbezogenen Daten

• Vertraulichkeitsvereinbarungen

• branchenspezifischen Vorgaben

Fehlerhafte oder irreführende Inhalte

Landen KI-generierte Inhalte ungeprüft in Angeboten, werden sie Teil von Beratungen oder öffentlicher Kommunikation, kann dies sowohl zu Schäden in eurem Unternehmen selbst als auch bei eurer Kundschaft führen. Das ist etwa der Fall bei:

• Angeboten oder Leistungsbeschreibungen

• Kalkulationen

• fachlichen Einschätzungen

• automatisierten Prozessschritten

Risiken entstehen nicht durch die Existenz von KI, sondern durch die operative Nutzung ohne ausreichende Prüfung und Einbettung in klare Prozesse.

Schutzrechts- und Inhaltsrisiken

KI-Systeme generieren Inhalte auf Basis großer Mengen von Trainingsdaten. Die Herkunft einzelner Text-, Bild- oder Codebestandteile ist dabei häufig nicht nachvollziehbar. Werden solche Inhalte weiterverwendet, kann es zu rechtlichen Konflikten kommen. Eine Prüfung der generierten Inhalte senkt dieses Risiko. Einen 100-prozentigen Schutz gibt es allerdings nicht.

• Nutzung KI-generierter Texte oder Bilder mit möglicherweise geschützten Elementen

• Übernahme von Codebestandteilen mit unklarer Lizenzlage

• Verwendung von Marken oder geschützten Begriffen

Hier besteht das Risiko von Verstößen gegen Urheber-, Marken- oder Lizenzrechte.

Reichen technische Schutzmaßnahmen gegen Shadow AI aus?

Technische Schutzmaßnahmen sind ein zentraler Bestandteil im Umgang mit Shadow AI. Zugriffskontrollen, Monitoring, sichere KI-Umgebungen und definierte Tool-Freigaben können Risiken deutlich reduzieren. Sie schaffen Transparenz darüber, welche Systeme genutzt werden. Es wird klar, welche Daten euer Unternehmen verarbeitet und wo potenzielle Schwachstellen bestehen. Gerade bei sensiblen Daten oder sicherheitskritischen Prozessen sind solche Maßnahmen unverzichtbar.

Doch Vorsicht: Technische Kontrollen reduzieren Risiken. Sie ersetzen jedoch keine organisatorische Verantwortung. Auch bei gut abgesicherten Systemen bleiben Entscheidungen, Prüfprozesse und Freigaben in eurer Verantwortung. KI liefert Ergebnisse, bewertet sie aber nicht im Kontext eurer konkreten Geschäftsbeziehungen, vertraglichen Verpflichtungen oder regulatorischen Rahmenbedingungen.

Zudem entsteht Shadow AI häufig gerade dort, wo offizielle Systeme fehlen oder von den Mitarbeitenden als zu restriktiv wahrgenommen werden. Reine Abschottung oder ausschließlich technische Kontrolle greifen daher zu kurz.

Ein belastbarer Umgang mit KI umfasst daher drei Ebenen:

• technische Absicherung

• klare organisatorische Regeln

• bewusste Risikobewertung

Erst das Zusammenspiel dieser Faktoren schafft eine tragfähige Grundlage für den Einsatz von KI im Unternehmenskontext.

Wie solltet ihr mit Shadow AI umgehen?

Shadow AI lässt sich in der Praxis kaum vollständig verhindern. Entscheidend ist nicht die vollständige Kontrolle, sondern ein bewusster und strukturierter Umgang. Sorgt daher von Anfang an für Transparenz: Welche KI-Tools kommen bei euch im Unternehmen zum Einsatz? Zu welchem Zweck? Wenn ihr diese Fragen beantwortet, schafft ihr eine Basis für die Bewertung und Steuerung des Themas. Darauf aufbauend könnt ihr folgendermaßen vorgehen:

1. Klare Leitlinien zur KI-Nutzung

Definiert, welche Tools eure Mitarbeitenden einsetzen dürfen. Dazu gehören auch klare Vorgaben, welche Daten im Tool landen dürfen und welche nicht. Das sorgt für Orientierung und reduziert Grauzonen.

2. Sensibilisierung statt pauschalem Verbot

Mitarbeitende nutzen KI in der Regel aus Effizienzgründen. Wer die Risiken versteht, die damit einhergehen, trifft bewusstere Entscheidungen. Kommuniziert offen und schult eure Mitarbeitenden zur richtigen Nutzung. Diese Maßnahmen sind wesentlich wirksamer als reine Abschottung.

3. Realistische Bewertung eurer Haftungsrisiken

Um eure Risiken realistisch einzuschätzen, solltet ihr feststellen, wo sich KI auf eure operativen Prozesse auswirkt. An welchen Stellen beeinflussen Tools Angebote, Beratungen oder Entscheidungen? Hier sind klare Prüf- und Freigabemechanismen besonders wichtig.

Wie könnt ihr mit verbleibenden Haftungsrisiken umgehen?

Neben technischen und organisatorischen Maßnahmen müsst ihr euch auch der Frage stellen, wie ihr mit verbleibenden Haftungsrisiken umgeht. Selbst bei klaren Richtlinien und sorgfältiger Prüfung lassen sich Fehler nicht vollständig ausschließen.

Ein strukturiertes Risikomanagement umfasst daher auch die individuelle Prüfung des bestehenden Versicherungsschutzes.

Dabei geht es nicht um eine pauschale „KI-Versicherung", sondern um die Einordnung konkreter Haftungsrisiken im Rahmen bestehender Absicherungskonzepte.

In vielen Fällen können hierbei eine bestehende Haftpflicht- und eine Cyber-Versicherung relevant sein. Entscheidend ist nicht der Einsatz von KI als solcher, sondern ob der konkrete Schaden unter die versicherten Tätigkeiten und Leistungsarten der jeweiligen Police fällt.

Was bedeutet Shadow AI für eure Verantwortung?

Shadow AI ist kein Randphänomen, sondern eine Folge der breiten Verfügbarkeit leistungsfähiger KI-Systeme. Sie ist oft ein Hinweis auf Innovationsdruck im Unternehmen. Entscheidend ist, dass ihr diesen Druck strukturiert kanalisiert.

Wenn ihr technische Absicherung, klare organisatorische Regeln und eine bewusste Risikobewertung verbindet, schafft ihr die Grundlage für einen tragfähigen und verantwortungsvollen Einsatz von KI in eurem Unternehmen.