Schatten-KI im KMU: Risiken erkennen und sicher handeln
Zurück zum Blog

Schatten-KI im KMU: Risiken erkennen und sicher handeln

14. April 20265 Min. Lesezeit

Zwei von drei Mitarbeitern nutzen KI-Tools bereits regelmäßig im Arbeitsalltag, die meisten ohne Wissen ihrer Vorgesetzten, ohne Schulung und ohne klare Regeln. Das ist kein Randphänomen mehr, sondern gelebte Realität in kleinen und mittleren Unternehmen im DACH-Raum. Die gute Nachricht: Ein sicherer Einstieg ist trotzdem möglich, wenn man die richtigen Schritte kennt.

Schatten-KI: Was im Verborgenen längst läuft

Schatten-KI bezeichnet die Nutzung von KI-Tools ohne Genehmigung oder Wissen der Unternehmensführung. Und diese Nutzung ist weit verbreitet: Laut einer Studie von BlackFog (Januar 2026, n=2.000) nutzen 86 % der Befragten KI-Tools mindestens wöchentlich für arbeitsrelevante Aufgaben. Rund 59 % der Mitarbeiter geben dabei zu, diese Tools zur Produktivitätssteigerung einzusetzen, ohne ihre Vorgesetzten zu informieren.

Der Antrieb dahinter ist selten Rebellion gegen Unternehmensrichtlinien. Viele Beschäftigte nutzen einfach persönliche KI-Tools, weil sie einen konkreten Bedarf sehen und keine Alternative vom Arbeitgeber angeboten bekommen. Nur 32 % der Beschäftigten haben bisher eine formale KI-Schulung am Arbeitsplatz erhalten. Lediglich 15 % der Unternehmen haben ihre internen Nutzungsrichtlinien aktualisiert, um KI-spezifische Regeln aufzunehmen.

Welche Risiken entstehen wirklich?

Das Problem bei ungeregelter KI-Nutzung liegt nicht im Tool selbst, sondern in den Daten, die dabei fließen. Eine Analyse von Netskope (Februar bis Mai 2025) zeigt: Ein durchschnittliches Unternehmen lädt monatlich 8,2 GB an Daten in KI-Apps hoch. Rund 54 % der genutzten Schatten-KI-Tools wurden dabei zum Hochladen sensibler Unternehmensdaten verwendet.

Ein besonders anschauliches Beispiel: Bei einem Fintech-Startup wurden im Rahmen eines Sicherheitsaudits 23 verschiedene nicht genehmigte KI-Tools im Engineering-Team entdeckt. Ein Entwickler hatte Kundendaten in einen KI-Chatbot hochgeladen. Die potenzielle DSGVO-Strafe in diesem Fall: 2,8 Millionen Euro. Laut dem IBM Cost of a Data Breach Report (2025) verursachten Schatten-KI-Vorfälle durchschnittlich 200.000 USD Mehrkosten pro Vorfall.

Wichtig zu wissen: Nicht nur KI-Anbieter oder Entwickler sind vom EU AI Act betroffen. Auch Unternehmen, die KI lediglich einsetzen, haben konkrete Pflichten. Dazu gehören geschultes Aufsichtspersonal, Protokollierungspflichten und die Sicherung relevanter Eingabedaten. Der AI Act unterscheidet zwischen Anbietern (Providers) und Betreibern (Deployers). Auch als reiner Anwender bist du in der Pflicht.

Der aktuelle Stand in deutschen und Schweizer Unternehmen

Im DACH-Raum zeigt sich ein geteiltes Bild. In Deutschland nutzen laut Bitkom (Oktober 2025, n=604 Unternehmen) in 8 % der Betriebe Beschäftigte private KI-Tools wie generative KI-Assistenten weit verbreitet. 2024 lag dieser Wert noch bei 4 %. Weitere 17 % der Betriebe wissen nicht sicher, ob ihre Mitarbeitenden solche Tools im Einsatz haben, gehen aber davon aus.

In der Schweiz zeigt die AXA-KMU-Arbeitsmarktstudie (Oktober 2025) einen deutlichen Anstieg: Der Anteil der Unternehmen, die KI bewusst in Arbeitsprozesse integrieren, stieg von 22 % auf 34 %. Die häufigsten Einsatzbereiche sind Übersetzungen (52 %) und Korrespondenz (47 %), zunehmend auch Optimierung von Arbeitsschritten (34 %) und Datenanalysen (32 %).

Ein KI-Reifegrad-Modell auf Basis von 455 Unternehmen (Maximal Digital, 2025/2026) verdeutlicht die Situation: 38 % der Betriebe befinden sich noch auf Stufe 1, also punktuelle, experimentelle KI-Nutzung ohne jede Strategie. Nur 2 % gelten als KI-Vorreiter mit KI-getriebenen Geschäftsmodellen.

Was bedeutet das für dein Unternehmen?

Wenn du ein Unternehmen mit 5 bis 100 Mitarbeitenden führst, ist die Wahrscheinlichkeit hoch, dass KI-Tools bereits genutzt werden, mit oder ohne dein Wissen. Laut der BlackFog-Studie halten 63 % der Befragten die Nutzung ohne IT-Aufsicht für akzeptabel, wenn kein genehmigtes Tool vorhanden ist. Mitarbeiter lösen damit ein reales Produktivitätsproblem. Die Frage ist, ob das unkontrolliert oder mit einem klaren Rahmen passiert.

Gleichzeitig beginnt die heiße Phase des EU AI Act: Am 2. August 2026 enden die 24-monatigen Übergangsfristen für die meisten Bestimmungen. Für bestimmte Hochrisiko-Anwendungen wie biometrische Tools oder HR-Screening verschiebt sich die Frist auf den 2. Dezember 2027 (gemäß EU Digital Omnibus vom 19. November 2025). Die verbleibende Zeit ist keine Schonfrist, sondern eine Vorbereitungsphase.

Konkrete Schritte, die Unternehmen jetzt gehen können

  • KI-Tools erfassen: Systematisch erheben, welche Tools Mitarbeiter aktuell einsetzen, inklusive privat genutzter Lösungen. Nur was bekannt ist, kann geregelt werden.
  • Klare Leitlinien formulieren: Einfache, verständliche Regeln schaffen: was ist erlaubt, was nicht, welche Daten dürfen nicht eingegeben werden. Kein juristisches Dokument, sondern eine praxisnahe Liste für den Alltag.
  • Mitarbeitende schulen, nicht bestrafen: 45 % der Beschäftigten haben KI-Tools bislang selbstständig und ohne Unternehmensunterstützung erlernt. Wer das mit strukturierten Schulungsangeboten auffängt, reduziert Risiken und steigert die Kompetenz im Team. Die Bundesagentur für Arbeit übernimmt für Kleinstbetriebe bis zu 100 % der Weiterbildungskosten.
  • Datenschutz von Anfang an mitdenken: Personenbezogene Daten, Kundendaten und interne Geschäftsinformationen haben in öffentlichen KI-Tools nichts zu suchen. Das muss klar und früh kommuniziert werden.
  • Geprüfte Tools bereitstellen: Wenn Mitarbeiter ein genehmigtes Tool haben, sinkt der Anreiz zur Schatten-KI-Nutzung erheblich. Der Hauptgrund für ungenehmigten Einsatz ist laut BlackFog-Studie das schlichte Fehlen einer Unternehmensalternative.

ConRat AI Tipp: ConRat AI vereint viele geprüfte KI-Tools auf einer einzigen Plattform, mit Hosting ausschließlich in Deutschland und Europa, vollständig DSGVO-konform. Ergänzt wird das Angebot durch strukturierte Schulungen zum EU AI Act und zur sicheren KI-Nutzung im Arbeitsalltag. So bekommst du und dein Team nicht nur die richtigen Werkzeuge, sondern auch das Wissen, sie sicher einzusetzen, ohne eigene IT-Infrastruktur aufbauen zu müssen.

Unser Fazit

Schatten-KI in Unternehmen ist kein Zeichen von Regelbruch, sondern ein deutliches Signal, dass der Bedarf da ist und die Strukturen fehlen. 76 % der Unternehmen haben kein KI-Governance-Framework, obwohl 91 % KI-Sicherheit als kritisch einschätzen. Dieser Widerspruch muss aufgelöst werden, und zwar jetzt: Der EU AI Act macht Compliance ab Mitte 2026 zur Pflicht, nicht zur Kür.

Der Weg zu einem sicheren KI-Einstieg muss dabei nicht aufwendig sein. Klare Regeln, geprüfte Tools, gezielte Schulungen: Wer das angeht, verwandelt ein unkontrolliertes Risiko in einen echten Produktivitätsvorteil für sein Team.

Quellen

  • BlackFog: Shadow AI Risk Report, Januar 2026 (n=2.000)
  • Bitkom e.V.: Repräsentative Studie zu Schatten-KI in deutschen Unternehmen, Oktober 2025 (n=604)
  • AXA Schweiz / Sotomo: KMU-Arbeitsmarktstudie 2025, Oktober 2025
  • Netskope: Cloud & Threat Report, AI App Data Uploads, Februar bis Mai 2025
  • IBM: Cost of a Data Breach Report 2025
  • Maximal Digital: KI-Studie im deutschen Mittelstand, November 2025 / März 2026 (n=455)
  • KPMG: EU AI Act Compliance Empfehlungen für KMU, Februar 2026
  • Europäische Kommission: Digital Omnibus on AI, 19. November 2025
  • Bundesagentur für Arbeit: Förderrichtlinien zur digitalen Weiterbildung, Stand 2026
Schatten-KIKMUKI-SicherheitKünstliche IntelligenzDACHDatenschutzKI-GovernanceDigitalisierung
Teilen:LinkedInX / Twitter
Kostenloser Newsletter

KI-Tipps direkt in dein Postfach

Erhalte wöchentlich die besten KI-Tipps, Tools und Strategien für dein Unternehmen. Kostenlos und jederzeit kündbar.

DSGVO-konform mit Double-Opt-In. Kein Spam, jederzeit abmeldbar.

Weitere Artikel

KI und Datenschutz 2026: DSGVO-Pflichten für DACH-KMU

KI und Datenschutz 2026: DSGVO-Pflichten für DACH-KMU

KI im Unternehmen? Seit 2025 gelten EU AI Act und DSGVO parallel. Was KMU jetzt konkret tun müssen und wo der dringendste Handlungsbedarf liegt.

16. April 20266 Min.
KI-Blockade im Mittelstand: Was hinter den 67 % steckt

KI-Blockade im Mittelstand: Was hinter den 67 % steckt

KI-Einführung im Mittelstand scheitert selten an der Technologie – sondern an Menschen. Warum 67 % der Teams blockieren und wie Change-Management den Unterschied macht.

15. April 20265 Min.
KI-Risiko im KMU: Warum fehlende Regeln gefährlich werden

KI-Risiko im KMU: Warum fehlende Regeln gefährlich werden

76 % der KMU nutzen KI – ohne Governance-Framework. Was das 2026 bedeutet und wie Sie Ihr Unternehmen jetzt absichern.

14. April 20265 Min.