Heute wie früher schließen viele ertappt die Browser-Tabs, sobald jemand zur Tür reinkommt. Früher waren das Fußballergebnisse, Kinonews oder Klatsch und Tratsch, heute ist’s der ChatGPT-Dialog.
Wer macht schon gern eine Aufgabe, die fünf Tage in Handarbeit braucht, wenn sie mit KI in zehn Minuten erledigt ist, aber der Arbeitgeber einem den Zugang verwehrt? Shadow AI im Unternehmen ist Alltag, mit oder ohne Freigabe der IT. Verbote helfen kaum. Wer verzichtet schon freiwillig auf den Turboboost der Produktivität?
Warum die Mitarbeiter es trotzdem tun
Die Begründung dafür überrascht letztlich wenig. Der offizielle Freigabe-Weg dauert halt zu lange. ChatGPT liefert in Minuten ein Ergebnis und ist längst kein Nischenprodukt mehr, das nur nerdigen Techies vertraut ist. Wie viele Mitarbeitende inzwischen so vorgehen, zeigen die Zahlen: Laut Software AG nutzten 2024 rund 50 Prozent der Wissensarbeitenden KI-Tools ohne IT-Freigabe, eine WalkMe-Studie 2025 weist bereits rund 80 Prozent aus. Aus der Gegenrichtung mahnt der Logicalis CIO Report 2026: Nur 37 Prozent der CIOs haben volle Sichtbarkeit auf die im Haus genutzten KI-Tools.
Eine reflexartige Reaktion darauf ist in vielen Unternehmen: Komplettverbot von privater KI. Samsung hat 2023 nach drei Datenlecks innerhalb von zwanzig Tagen externe KI-Tools untersagt. Die Nutzung lief danach trotzdem weiter, nur eben über private Geräte und Mailadressen.
Verbote ohne sinnvolle Alternative bringen bei KI selten den gewünschten Effekt. Vielen ist nicht klar, was sie tun: Jeder Prompt geht an einen Drittanbieter, mit dem niemand einen Vertrag, geschweige denn eine Verschwiegenheitsvereinbarung hat. Je nach Branche steht ein Datenschutz- oder Sicherheitsverstoß im Raum. Und was einmal beim Anbieter liegt, holt kein Verbot mehr zurück. Arbeitsrechtlich ist das dünnes Eis.
Was an die Stelle der Verbote tritt
Bevor man freigibt oder verbietet, sollte man erstmal wissen, was im Haus läuft. Welche Tools nutzt wer? Das Netzwerk-Monitoring zeigt die angesprochenen Dienste, anonymisierte Befragungen liefern, was auf privaten Geräten passiert.
Wenn das Inventar steht, geht es an die Klassifizierung. Eine Ampel-Logik bewährt sich: grün für unkritische Anwendungen, gelb mit Einschränkungen, rot für Tools, die raus müssen. Der entscheidende Hebel kommt danach: Verbote ohne sichere Alternativen sind keine Dauerlösung. Intern gehostete Lösungen oder DSGVO-konforme EU-Cloud-Tools schaffen Vertrauen und Sicherheit.
All das gehört in ein AI Management System nach ISO/IEC 42001. Der EU AI Act verlangt Inventar und Schulung ohnehin. So wird KI-Nutzung im Alltag handhabbar.
Shadow AI lässt sich eben nicht disziplinieren. Das Verhalten zeigt: Die Organisation ist an dieser Stelle nicht schnell genug. Liegt das auf dem Tisch, ist Steuerung möglich. Bei dieser Tragweite lohnt sich der Aufwand allemal.
Wie gehst du in deinem Unternehmen mit Shadow AI um, und welche sichtbaren Alternativen funktionieren bei dir wirklich?
