Alle Beiträge
KI-GovernanceSchatten-KIDSGVO

Schatten-KI im Unternehmen: Was tun, wenn Firmendaten schon im Chatbot gelandet sind?

13 Min. LesezeitThomas Stermole
Field-Note-Grafik im Stermole-Stil auf dunkelgrünem Raster: Links ein gesicherter Tresor mit ordentlich aufgereihten Firmendaten-Datensätzen; an einer aufgebrochenen Bruchstelle an der rechten Kante strömt ein heller Datenstrom heraus – Partikel und wegtaumelnde Dokument-Symbole, die von Limettengrün über Amber zu Rot kippen und ins Dunkle zerstreuen. Ein Warnsymbol trägt die Aufschrift Datenabfluss, unten rechts der Hinweis irreversibel – kein Zurück.

Montagmorgen, ein mittelständisches Unternehmen irgendwo im DACH-Raum. Ein Praktikant will eine interne Analyse schneller fertig bekommen und lädt kurzerhand ein paar Dokumente in Claude hoch – mit seinem privaten, kostenlosen Account. Kundendaten inklusive. Die Firmenrichtlinie sagt eigentlich klar: Nur der freigegebene Microsoft Copilot darf verwendet werden. Aber die Richtlinie steht in einem PDF, das seit dem Onboarding niemand mehr geöffnet hat.

Das Unangenehme daran: Bei kostenlosen Claude-Accounts ist die Nutzung der Chats für das Modelltraining seit September 2025 standardmäßig aktiviert. Wer beim Einrichten des Accounts nicht aktiv widersprochen hat, hat zugestimmt – und die Daten können bis zu fünf Jahre in Anthropics Trainings-Pipeline liegen.

Falls Sie gerade denken „bei uns wäre das nicht passiert": Laut IBM Cost of a Data Breach Report 2025 stand Schatten-KI hinter jedem fünften untersuchten Datenvorfall. Es passiert. Ständig. Die Frage ist nicht ob, sondern wie Ihr Unternehmen darauf vorbereitet ist.

Was ist Schatten-KI – und warum ist sie gefährlicher als Schatten-IT?

Schatten-KI (Shadow AI) bezeichnet den Einsatz von KI-Tools durch Mitarbeitende ohne Freigabe oder Kontrolle der IT. Das reicht vom privaten ChatGPT-Account über Browser-Extensions bis zu KI-Features, die sich still in bereits genutzte SaaS-Tools eingeschlichen haben.

Der Unterschied zur klassischen Schatten-IT: Eine nicht freigegebene Dropbox speichert Ihre Daten nur. Ein Consumer-Chatbot verarbeitet sie – und kann sie, je nach Anbieter und Kontoeinstellung, für das Training künftiger Modelle verwenden. Was einmal in einen Trainingslauf eingeflossen ist, holt niemand mehr zurück. Es gibt keinen Papierkorb für Trainingsdaten.

Der bekannteste Fall bleibt Samsung: 2023 gaben Ingenieure innerhalb von nur 20 Tagen dreimal vertrauliche Daten an ChatGPT weiter – proprietären Quellcode, Testsequenzen für die Chipfertigung, interne Meeting-Notizen (t3n berichtete). Samsung reagierte erst mit Upload-Limits, dann mit einem Komplettverbot. Bemerkenswert ist, was danach kam: Das Verbot löste das Problem nicht. Inzwischen ist Samsung auf ChatGPT Enterprise umgestiegen – mit Firmenvertrag, garantiertem Trainingsausschluss und verpflichtender Sicherheitsschulung vor der Freischaltung. Die Lehre in einem Satz: Wer Schatten-KI loswerden will, muss einen offiziellen Weg anbieten, der bequemer ist als der heimliche.

Die Kostenlos-Falle: Warum auch der bezahlte Account nicht automatisch schützt

Hier steckt ein Detail, das in vielen Unternehmen falsch verstanden wird – und das den Praktikanten-Fall so lehrreich macht.

Anthropic hat im August 2025 seine Consumer-Bedingungen geändert: Seither werden Chats und Coding-Sessions für das Modelltraining verwendet, sofern Nutzer nicht aktiv in den Privacy-Einstellungen widersprechen. Der Haken: Das gilt nicht nur für den Free-Plan, sondern genauso für die bezahlten Pro- und Max-Abos (TechCrunch, Steiger Legal). Wer 20 Dollar im Monat für Claude Pro zahlt, zahlt standardmäßig trotzdem zusätzlich mit seinen Daten. Beim Opt-in verlängert sich die Datenspeicherung zudem von 30 Tagen auf fünf Jahre.

Wirklich ausgenommen vom Training sind nur die kommerziellen Angebote: Claude for Work, Enterprise, Education und der API-Zugang unterliegen den Commercial Terms, die Training auf Kundendaten ausschließen (Anthropic Privacy Center). Bei OpenAI ist die Logik ähnlich: ChatGPT Free, Plus und Pro sind Consumer-Produkte mit Opt-out-Mechanik, erst Team- und Enterprise-Verträge bieten den Trainingsausschluss als Standard.

Die Faustregel für Ihre KI-Richtlinie lautet also nicht „bezahlt = sicher", sondern: Consumer-Account = potenzielle Trainingsdaten. Business-Vertrag mit Auftragsverarbeitung = kontrollierte Verarbeitung. Das ist die Trennlinie, die Ihre Mitarbeitenden kennen müssen.

Vergleich Consumer-Account versus Business-Vertrag: Beim Consumer-Account (Free, Pro, Max) ist Training standardmäßig aktiv, Speicherung bis zu 5 Jahre, kein AVV und keine Datenhoheit; beim Business-Vertrag (Work, Enterprise, API) ist Training vertraglich ausgeschlossen, es gibt einen AVV nach Art. 28 DSGVO und kontrollierte Verarbeitung. Nicht der Preis entscheidet, sondern der Vertragstyp.Consumer-Account oder Business-Vertrag – die entscheidende Trennlinie

Welchen Risiken ist das Unternehmen ausgesetzt?

Die Zahlen aus dem IBM Cost of a Data Breach Report 2025 machen das Risiko greifbar: 20 % der untersuchten Unternehmen erlitten einen Datenvorfall im Zusammenhang mit Schatten-KI. Vorfälle mit hohem Schatten-KI-Anteil verursachten im Schnitt 670.000 US-Dollar Mehrkosten gegenüber gewöhnlichen Vorfällen. In 65 % der Schatten-KI-Fälle waren personenbezogene Kundendaten betroffen – deutlich mehr als im Durchschnitt aller Breaches. Und 97 % der Unternehmen mit KI-bezogenen Vorfällen hatten keine funktionierenden Zugangskontrollen für KI.

Schatten-KI-Risiko in Zahlen aus dem IBM Cost of a Data Breach Report 2025: 20 Prozent der untersuchten Datenvorfälle mit Schatten-KI-Bezug, über 670.000 US-Dollar Mehrkosten pro Vorfall, 65 Prozent betrafen personenbezogene Kundendaten, 97 Prozent ohne funktionierende KI-Zugangskontrollen.Schatten-KI-Risiko in Zahlen – IBM Cost of a Data Breach 2025

Konkret drohen vier Schadenskategorien:

Datenschutzrecht (DSGVO). Werden personenbezogene Daten ohne Rechtsgrundlage an einen KI-Anbieter übermittelt – ohne Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, womöglich mit Drittlandtransfer – liegt ein meldepflichtiger Verstoß nahe. Bei Risiko für Betroffene greift die 72-Stunden-Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO), bei hohem Risiko zusätzlich die Benachrichtigungspflicht gegenüber den Betroffenen (Art. 34).

Entscheidungsbaum in drei Fragen, ob ein Schatten-KI-Vorfall meldepflichtig ist: Waren personenbezogene Daten betroffen? Wenn nein, kein Art.-33-Fall, aber intern dokumentieren. Wenn ja: Besteht ein Risiko für die Rechte der Betroffenen? Wenn nein, keine Meldung nötig, interne Dokumentation bleibt Pflicht nach Art. 33 Abs. 5. Wenn ja: Ist das Risiko voraussichtlich hoch? Wenn nein, Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Art. 33. Wenn ja, zusätzlich Betroffene direkt informieren nach Art. 34.Schnelltest – ist der Vorfall nach Art. 33/34 DSGVO meldepflichtig?

Geschäftsgeheimnisse. Wer als Geheimnisträger vertrauliche Informationen in einen öffentlichen Chatbot eingibt, kann rechtlich als Verletzer im Sinne des Geschäftsgeheimnisschutzes gelten – und das Unternehmen verliert unter Umständen den Schutzstatus der Information, weil keine „angemessenen Geheimhaltungsmaßnahmen" mehr vorliegen (Analyse von HÄRTING Rechtsanwälte zum Samsung-Fall).

EU AI Act. Seit dem 2. Februar 2025 verpflichtet Art. 4 der KI-Verordnung Unternehmen, die KI-Systeme einsetzen, für ausreichende KI-Kompetenz ihres Personals zu sorgen. Schatten-KI ist per Definition undokumentierte KI-Nutzung – wer nicht weiß, welche Systeme im Haus laufen, kann diese Pflicht nicht erfüllen.

Reputation und Vertragsstrafen. NDAs mit Kunden, Branchenauflagen, Zertifizierungen wie ISO 27001: Ein einziger Upload kann mehrere Vertragsverhältnisse gleichzeitig verletzen.

Der Ernstfall ist eingetreten: Diese Schritte jetzt

Zurück zum Praktikanten. Die Daten sind hochgeladen – was ist jetzt zu tun, in dieser Reihenfolge?

Sofortmaßnahmen in sechs Schritten, wenn Firmendaten in einen Chatbot gelangt sind: 01 Account sichern, 02 Löschung beantragen, 03 Vorfall bewerten, 04 dokumentieren, 05 Menschen schützen, 06 System hinterfragen.Sofortmaßnahmen – sechs Schritte in dieser Reihenfolge

  1. Sofort im betroffenen Account handeln. In den Privacy-Einstellungen das Modelltraining deaktivieren („Help improve Claude" auf Off) und die betroffenen Konversationen löschen. Wichtig für die realistische Einschätzung: Das Opt-out wirkt nur für die Zukunft. Daten, die bereits in einen laufenden oder abgeschlossenen Trainingslauf eingeflossen sind, werden nicht zurückgeholt. Je schneller Sie handeln, desto größer die Chance, dass die Inhalte noch nicht verwendet wurden.

  2. Den Anbieter kontaktieren. Anthropic (wie auch OpenAI) bietet Datenschutz-Kontaktwege für Löschersuchen. Berufen Sie sich auf das Recht auf Löschung (Art. 17 DSGVO), dokumentieren Sie Account, Zeitraum und betroffene Inhalte so präzise wie möglich. Eine Garantie ist das nicht – aber ein dokumentierter Löschantrag ist später gegenüber Aufsichtsbehörde und Kunden Gold wert.

  3. Den Vorfall bewerten – innerhalb von Stunden, nicht Wochen. Welche Datenkategorien waren betroffen? Personenbezogene Daten, Gesundheitsdaten, Geschäftsgeheimnisse, Kundendaten unter NDA? Daraus ergibt sich, ob die 72-Stunden-Frist nach Art. 33 DSGVO läuft. Ziehen Sie den Datenschutzbeauftragten oder externe Beratung hinzu, bevor die Frist abläuft – nicht danach.

  4. Dokumentieren. Hergang, Zeitpunkte, betroffene Daten, ergriffene Maßnahmen. Auch wenn keine Meldepflicht besteht, verlangt Art. 33 Abs. 5 DSGVO eine interne Dokumentation jeder Datenschutzverletzung.

  5. Den Menschen richtig behandeln. Der Praktikant ist nicht das Problem – er ist das Symptom. Wer den Überbringer bestraft, sorgt dafür, dass der nächste Vorfall verschwiegen wird. Die wertvollste Ressource nach so einem Vorfall ist eine Meldekultur, in der Mitarbeitende Fehler sofort melden statt zu vertuschen.

  6. Die Systemfrage stellen. Warum hat er Claude genutzt, obwohl Copilot freigegeben war? Meistens lautet die ehrliche Antwort: weil das freigegebene Tool die Aufgabe schlechter, langsamer oder gar nicht gelöst hat. Das ist die eigentliche Erkenntnis, mit der Sie arbeiten müssen.

Kann ich prüfen, ob meine Daten bereits in ChatGPT und Co. „drin" sind?

Die ehrliche Antwort: verlässlich nein – und seien Sie skeptisch gegenüber jedem, der Ihnen das Gegenteil verkauft.

Was technisch dahintersteckt: Large Language Models speichern keine Dokumente, sondern statistische Muster. Einzelne Eingaben führen selten zu wörtlicher Memorierung – ausschließen lässt sie sich aber nicht, besonders bei ungewöhnlichen, oft wiederholten oder sehr spezifischen Inhalten (Zugangsdaten, eindeutige Kennungen, seltene Textbausteine). Sie können ein Modell gezielt nach Ihren Inhalten fragen; eine Nicht-Antwort beweist jedoch nichts, und eine plausible Antwort kann genauso gut Halluzination sein. Ein negativer „Test" ist wertlos, ein positiver schwer verifizierbar.

Was Sie stattdessen tun können: das Auskunftsrecht nach Art. 15 DSGVO gegenüber dem Anbieter geltend machen, Löschung nach Art. 17 beantragen, und – pragmatischer – kompromittierte Inhalte als kompromittiert behandeln: Zugangsdaten rotieren, betroffene Kunden je nach Risikolage informieren, interne Kennungen ändern. Die Energie gehört in die Schadensbegrenzung, nicht in die forensische Suche nach der Nadel im Modell.

Wie sperrt man unerlaubte KI-Tools – und wie werden Sperren umgangen?

Die technische Seite zuerst. Übliche Maßnahmen, grob nach Aufwand sortiert:

  • DNS-/Firewall-Blocking der bekannten KI-Domains (chat.openai.com, claude.ai, gemini.google.com …) – schnell umgesetzt, aber grobschlächtig.
  • Secure Web Gateway / CASB mit KI-Kategorien: erkennt und blockiert KI-Dienste kategorisiert statt per Einzeldomain, inklusive der ständig neu auftauchenden Tools.
  • Data Loss Prevention (DLP) am Endpoint und im Browser: verhindert nicht das Tool, sondern den Abfluss – Uploads und Copy-Paste sensibler Datenmuster werden erkannt und gestoppt. Für den Datenschutz die wirksamste Ebene.
  • Browser-Management via Gruppenrichtlinien: Extensions whitelisten, unautorisierte KI-Plugins zentral unterbinden.
  • Zugangskontrolle auf Identitätsebene: freigegebene KI-Tools nur über SSO mit Firmenkonto, damit private Accounts im Firmenkontext gar nicht erst funktionieren.

Und jetzt die unbequeme Wahrheit: All das hat Grenzen, und Ihre Mitarbeitenden kennen sie. Die üblichen Umgehungswege sind banal – das private Smartphone neben der Tastatur (abfotografierter Bildschirm, abgetippte Daten), der private Laptop im Homeoffice, der mobile Hotspot am Firmengerät, private VPNs, oder schlicht das Weiterleiten von Dokumenten an die private Mailadresse. Eine Studie der Software AG unter 2.000 deutschen Wissensarbeitern brachte es auf den Punkt: 49 % würden verbotene KI-Tools auch dann weiter nutzen, wenn das Unternehmen sie ausdrücklich untersagt.

Deshalb gilt: Sperren sind eine Hygienemaßnahme, kein Konzept. Sie verschieben das Problem vom Firmennetz (wo Sie Sichtbarkeit haben) auf Privatgeräte (wo Sie blind sind). Wer nur sperrt, macht Schatten-KI nicht kleiner – nur unsichtbarer.

Die nachhaltige Lösung: Ein offizieller Weg, der besser ist als der heimliche

Was tatsächlich funktioniert, ist eine Kombination aus drei Bausteinen:

Erstens: eine brauchbare, freigegebene Alternative. Menschen nutzen Schatten-KI, weil sie ein echtes Produktivitätsproblem lösen wollen. Das Angebot muss mithalten: ein Business-Vertrag mit Trainingsausschluss und AVV (Copilot, ChatGPT Team/Enterprise, Claude for Work) – oder, wo Datensouveränität Priorität hat, eine selbst gehostete Lösung mit lokalem LLM, bei der sensible Daten das Haus gar nicht erst verlassen. Für viele KMU ist genau diese Kombination der Sweet Spot: Cloud-KI mit Firmenvertrag für Unkritisches, lokale KI für das Eingemachte.

Zweitens: eine KI-Richtlinie, die auf eine Seite passt. Nicht das 40-Seiten-PDF, das niemand liest, sondern klare Kategorien: Welche Tools sind freigegeben (grün), welche nur ohne sensible Daten erlaubt (gelb), welche tabu (rot)? Welche Datenklassen dürfen wohin? Und: An wen wende ich mich, wenn ich ein neues Tool brauche – mit einer Antwortzeit von Tagen, nicht Monaten? Ein Freigabeprozess, der ein Quartal dauert, ist eine Einladung zur Schatten-KI.

KI-Richtlinie als Ampelsystem auf einer Seite: Grün / freigegeben bedeutet Business-Vertrag mit AVV, auch für sensible Daten. Gelb / mit Auflagen erlaubt Consumer-Tools nur für unkritische Aufgaben ohne personenbezogene oder vertrauliche Daten. Rot / tabu sind private Accounts mit Kundendaten, Code oder PII sowie undokumentierte Tools und Browser-Plugins.KI-Richtlinie auf einer Seite – das Ampelsystem

Dritte Säule: Awareness, die nicht nervt. Die jährliche Pflichtschulung mit Multiple-Choice-Test ändert kein Verhalten. Was wirkt: kurze, wiederkehrende Impulse mit echten Fällen (der Samsung-Leak ist anschaulicher als jede Folie), Hinweise direkt im Arbeitskontext (etwa ein Reminder beim Öffnen nicht freigegebener Tools), Onboarding-Momente – gerade Praktikanten und neue Mitarbeitende sind die Hochrisikogruppe, weil sie Richtlinien noch nicht verinnerlicht haben – und sichtbares Vorleben durch Führungskräfte. Seit Februar 2025 ist das übrigens keine Kür mehr: Art. 4 EU AI Act macht KI-Kompetenz der Belegschaft zur Pflicht. Dokumentierte, regelmäßige Schulungen sind der Nachweis.

Ist das ein Fall für das Risikomanagement?

Ja, eindeutig – und zwar als eigenständige Risikoposition, nicht als Fußnote unter „Cyber". So bauen Sie den Fall sauber auf:

Risikoidentifikation: „Abfluss vertraulicher Daten durch nicht freigegebene KI-Tools" als benanntes Risiko ins Register aufnehmen. Betroffene Assets: personenbezogene Daten, Geschäftsgeheimnisse, Kundendaten, Quellcode.

Bewertung: Eintrittswahrscheinlichkeit ehrlich einschätzen – die Studienlage (20 % der Breaches, Mehrheit der Mitarbeitenden nutzt eigene Tools) spricht für „hoch". Schadenshöhe aus DSGVO-Bußgeldrahmen, Vertragsstrafen, Incident-Kosten (Benchmark: die 670.000 USD Mehrkosten aus dem IBM-Report) und Reputationsschaden ableiten.

Maßnahmen zuordnen: Die oben beschriebenen Bausteine – freigegebene Alternative, Richtlinie, DLP, Schulung – jeweils mit Owner, Termin und Wirksamkeitsprüfung. Klassisch nach dem Muster vermeiden / reduzieren / übertragen (Stichwort Cyber-Versicherung: prüfen Sie, ob Schatten-KI-Vorfälle überhaupt gedeckt sind) / akzeptieren.

Monitoring: KI-Nutzung regelmäßig inventarisieren (Netzwerk-Discovery, SaaS-Audit), Vorfälle und Beinahe-Vorfälle erfassen, jährlich neu bewerten. Wer ISO 27001 oder NIS2 im Haus hat, hängt das Risiko dort ein – die Struktur existiert bereits.

Der Praktikanten-Vorfall selbst gehört als Incident dokumentiert: Hergang, Bewertung, Maßnahmen, Lessons Learned. Nicht als Schuldzuweisung, sondern als Beleg, dass das Unternehmen aus Vorfällen lernt – genau das fragen Auditoren und Aufsichtsbehörden.

Fazit: Schatten-KI ist ein Angebotsproblem, kein Verbotsproblem

Der Praktikant mit dem kostenlosen Claude-Account ist kein Einzelfall und kein Charakterfehler. Er ist das vorhersehbare Ergebnis einer Lücke zwischen dem, was Mitarbeitende brauchen, und dem, was das Unternehmen bereitstellt. Verbote und Sperren verkleinern diese Lücke nicht – sie verstecken sie nur.

Die Unternehmen, die das Thema im Griff haben, machen drei Dinge: Sie bieten einen offiziellen KI-Weg an, der wirklich benutzbar ist. Sie ziehen eine klare, verständliche Linie zwischen Consumer-Accounts und vertraglich abgesicherten Business-Lösungen. Und sie behandeln KI-Kompetenz als laufende Aufgabe statt als jährliches Pflichtprogramm.

Häufige Fragen

Was ist Schatten-KI? Schatten-KI (Shadow AI) ist die Nutzung von KI-Tools durch Mitarbeitende ohne Freigabe oder Kontrolle der IT-Abteilung – vom privaten ChatGPT-Account bis zur nicht geprüften Browser-Extension. Anders als klassische Schatten-IT verarbeiten diese Tools Daten aktiv und können sie je nach Anbieter für das Modelltraining verwenden.

Trainiert Claude mit meinen Firmendaten? Bei den Consumer-Plänen (Free, Pro, Max) ja – standardmäßig, sofern nicht in den Privacy-Einstellungen widersprochen wurde. Die kommerziellen Angebote (Claude for Work, Enterprise, API) sind vertraglich vom Training ausgeschlossen. Der Preis des Accounts ist nicht das Kriterium, der Vertragstyp ist es.

Ein Mitarbeiter hat sensible Daten in einen Chatbot eingegeben – was tun? Sofort das Modelltraining im Account deaktivieren und die Chats löschen, beim Anbieter Löschung nach Art. 17 DSGVO beantragen, den Vorfall datenschutzrechtlich bewerten (72-Stunden-Meldefrist nach Art. 33 DSGVO prüfen), alles dokumentieren – und die Ursache im System suchen, nicht beim Mitarbeiter.

Reicht es, ChatGPT und Claude im Firmennetz zu sperren? Nein. Sperren wirken nur im Firmennetz; laut einer Software-AG-Studie würde rund die Hälfte der deutschen Wissensarbeiter verbotene KI-Tools trotzdem weiter nutzen – dann über Privatgeräte, wo das Unternehmen keinerlei Sichtbarkeit hat. Wirksam ist die Kombination aus brauchbarer freigegebener Alternative, klarer Richtlinie und DLP.

Sind Unternehmen zu KI-Schulungen verpflichtet? Ja. Art. 4 der EU-KI-Verordnung verpflichtet Unternehmen seit dem 2. Februar 2025, für ausreichende KI-Kompetenz der Mitarbeitenden zu sorgen, die KI-Systeme bedienen. Dokumentierte, regelmäßige Schulungen dienen als Nachweis.

Hinweis: Dieser Beitrag bietet eine fachliche Orientierung, ersetzt aber keine Rechtsberatung. Für die verbindliche Bewertung Ihres konkreten Falls ziehen Sie bitte fachkundigen Rechtsrat hinzu.


Wo steht Ihr Unternehmen? Wenn Sie nicht sicher sind, welche KI-Tools bei Ihnen bereits im Einsatz sind und welche Daten dabei das Haus verlassen, ist genau das der erste Schritt: Sichtbarkeit schaffen, bevor der nächste Upload passiert. Ich unterstütze KMU im DACH-Raum mit einem strukturierten Souveränitäts-Check – von der Bestandsaufnahme der tatsächlichen KI-Nutzung bis zur Architektur einer souveränen, DSGVO-konformen Alternative, die Ihre Mitarbeitenden freiwillig nutzen. → Jetzt unverbindliches Erstgespräch anfragen

Quellen

Nächster Schritt

Klingt relevant für Ihr Unternehmen?

In einem unverbindlichen Erstgespräch klären wir in 30 Minuten, ob und wo sich der Einstieg für Sie lohnt — ehrlich und ohne Verkaufsdruck.

Erstgespräch anfragen