BAFA-Förderung: Bis zu 80% Zuschuss loesungen

Schatten-KI im Mittelstand: Was wirklich in Ihren Abteilungen läuft und wie Sie es in den Griff bekommen

ST
· KI-Systemarchitekt & Unternehmensberater

Was Schatten-KI im Mittelstand wirklich ist

Schatten-KI ist jede Nutzung von KI-Werkzeugen im Betrieb, die nicht von Geschäftsführung oder IT freigegeben ist. Im Mittelstand passiert das nicht aus Böswilligkeit. Mitarbeiter nutzen ChatGPT, weil es ihre Arbeit schneller macht. Sie fragen nicht, weil sie davon ausgehen, dass niemand es genehmigt. Das Ergebnis ist ein paralleles KI-System, das die Führung nicht kennt und das trotzdem täglich Kundendaten, Angebote und interne Informationen verarbeitet.

Die Zahlen dazu sind eindeutig. Laut Microsoft Work Trend Index 2024 bringen 78 Prozent der Beschäftigten eigene KI-Werkzeuge mit an den Arbeitsplatz. 55 Prozent sagen in der KPMG-Studie 2025, dass sie ihre KI-Nutzung dem Arbeitgeber gegenüber verschweigen. Und Cyberhaven hat dokumentiert, dass die Menge sensibler Unternehmensdaten, die innerhalb eines Jahres in generative KI-Tools eingegeben wird, um 485 Prozent gestiegen ist. 27,4 Prozent der eingegebenen Daten sind Kundendaten, Quellcode oder interne Dokumente.

Für einen Mittelständler mit 80 Mitarbeitern heißt das praktisch: Zwischen sieben und fünfzehn KI-Anwendungen sind heute im Einsatz, ohne dass die Geschäftsführung alle kennt.

Drei Risiko-Szenarien die wir in realen Mandaten gesehen haben

Szenario 1: Quellcode im Privataccount

Ein Softwareentwickler kopiert einen Ausschnitt der eigenen Codebasis in seinen privaten ChatGPT-Zugang, um einen Fehler zu analysieren. Der Code landet im Log-Pool des Anbieters. Wenn der Code Geschäftsgeheimnisse enthält, ist das ein IP-Verlust, der nicht zurückgeholt werden kann. Bekanntestes Beispiel ist der Samsung-Fall 2023, bei dem Halbleiter-Quellcode über ChatGPT geleakt wurde.

Szenario 2: Kundenliste im Chatbot

Eine Vertriebsassistentin nutzt ein kostenloses KI-Tool, um eine Kundenliste zu bereinigen. Die Liste wird an den Anbieter gesendet, der Server steht in den USA, und es gibt keinen Auftragsverarbeitungsvertrag. Damit liegt ein DSGVO-Verstoß gegen Artikel 28 und potenziell gegen Artikel 44 vor. Die durchschnittlichen Kosten eines Datenlecks lagen 2024 bei 4,88 Millionen US-Dollar laut IBM, deutlich verstärkt durch sogenannte Shadow Data.

Szenario 3: Bewerber-Vorauswahl durch heimliche KI

Ein HR-Mitarbeiter nutzt ein KI-Tool zur Bewerber-Vorauswahl, ohne dass die Geschäftsführung es weiß. Ab August 2026 fällt Recruiting-KI unter die Hochrisiko-Klasse der EU-KI-Verordnung. Die Pflicht zur Risikoklassifizierung, zur Dokumentation und zur menschlichen Aufsicht lässt sich nachträglich nicht rekonstruieren. Zusätzlich greift Artikel 22 DSGVO bei automatisierten Einzelentscheidungen.

Warum Verbote das Problem verschärfen

Die übliche Reaktion der Geschäftsführung ist ein schriftliches Verbot. Das funktioniert nicht. 55 Prozent der Beschäftigten verschweigen ihre KI-Nutzung heute schon, vor jedem formalen Verbot. Ein Verbot macht aus 55 Prozent eher 80. Die Nutzung verschwindet aus dem Blickfeld, geht aber weiter, oft mit schlechteren Werkzeugen. Der produktive Effekt geht verloren, das Risiko bleibt.

Der pragmatische Weg ist umgekehrt: Mitarbeiter bekommen einen genehmigten Werkzeugkasten, der besser ist als das, was sie privat nutzen würden. Dazu eine Richtlinie, die nicht wie ein Juristen-Text klingt, sondern wie eine Arbeitsanweisung. Wer die bessere Alternative hat, nutzt sie freiwillig.

Der Rahmen den wir im Mittelstand einsetzen

Ein handhabbarer Schatten-KI-Rahmen hat fünf Bausteine, die in sechs bis acht Wochen stehen.

  1. Ehrliche Bestandsaufnahme. Wir erheben im vertraulichen Gespräch, welche KI heute genutzt wird. Ohne Sanktionsandrohung. Das Ergebnis ist ein realistisches Bild, nicht eine geschönte IT-Liste.
  2. Rechtliche Einordnung. Jede Anwendung wird gegen DSGVO, AVV-Pflicht und EU-KI-Verordnung geprüft. Drei Stapel: stoppen, auflagen-basiert weiterführen, freigeben.
  3. Genehmigter Werkzeugkasten. Drei bis fünf offizielle KI-Werkzeuge mit klarer Nutzungsberechtigung pro Abteilung. Business-Lizenzen, die die Datentrennung sicherstellen.
  4. Richtlinie in Alltagssprache. Maximal sechs Seiten. Klare Do-and-Don’t-Beispiele. Kein Jurajargon.
  5. Wirkungsmessung nach 90 Tagen. Nutzungsquote, gemeldete Vorfälle, Zufriedenheit. Nachjustierung statt Einmalprojekt.

Der Gesamtrahmen ist Teil des KI-Betriebssystems für den Mittelstand, genauer der Governance-Schicht, ohne die alle anderen Schichten rechtlich wackeln.

Vor- und Nachteile einer formalen Schatten-KI-Regelung

Vorteile

  • Haftungsschutz der Geschäftsführung. Dokumentierte KI-Inventur und Richtlinie entlasten im Audit und bei Datenschutzbehörden.
  • Bessere Werkzeuge zu kontrollierten Kosten. Statt privater Abos laufen Lizenzen zentral, mit Mengenrabatten und Datentrennung.
  • Compliance-Lücke geschlossen. EU-KI-Verordnung und DSGVO sind nachweisbar erfüllt.
  • Mitarbeiter bleiben produktiv. Keine Pseudo-Verbote, die umgangen werden.

Nachteile

  • Ehrlichkeit in der Bestandsaufnahme nötig. Das erfordert eine Kultur, in der Mitarbeiter ohne Sanktionsangst berichten.
  • Laufender Pflegeaufwand. Neue KI-Werkzeuge kommen wöchentlich. Die Richtlinie braucht vierteljährliche Überprüfung.
  • Budget für Business-Lizenzen. Statt privater Gratis-Varianten fallen reale Kosten an, meist 15 bis 40 Euro pro Mitarbeiter pro Monat.

Was das mit BAFA und EU-KI-Verordnung zu tun hat

Die Governance-Schicht eines KI-Betriebssystems ist die Stelle, an der DSGVO und EU-KI-Verordnung ineinandergreifen. Wer Schatten-KI duldet, kann die Pflichten der Artikel 9 bis 17 der EU-KI-Verordnung für Hochrisiko-Systeme nicht erfüllen, weil das Inventar fehlt. Wer die Pflichten ignoriert, riskiert Bußgelder bis 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Die gute Nachricht: Die Aufarbeitung ist BAFA-förderfähig. Die Beratung zur Schatten-KI-Governance fällt unter das Programm Unternehmerisches Know-how. 50 Prozent Zuschuss, in strukturschwachen Regionen bis zu 80. Der Antrag muss vor Beratungsbeginn gestellt werden. ST Strategieberatung übernimmt die Antragstrecke vollständig.

“Die Geschäftsführung, die Schatten-KI nicht kennt, haftet trotzdem dafür. Wer das Thema früh strukturiert, spart sich im Ernstfall den Anwalt.” — Safak Tepecik, Inhaber ST Strategieberatung, BAFA-gelisteter Berater

Nächster Schritt

Wenn Sie den Verdacht haben, dass in Ihrem Betrieb mehr KI im Einsatz ist, als Sie offiziell wissen, ist das kostenlose Erstgespräch der richtige Einstieg. Im 30-Minuten-Termin klären wir, wie belastbar Ihre aktuelle Governance ist und ob eine BAFA-geförderte Bestandsaufnahme die richtige Maßnahme ist.

Kostenloses Erstgespräch buchen

Kennzahl
4,88 Millionen US-Dollar pro Vorfall
Durchschnittliche Kosten eines Datenlecks 2024, verstärkt durch Schatten-Daten und Schatten-KI
Quelle: IBM Cost of a Data Breach Report 2024
Einsparpotential
15.000 – 250.000 €/Jahr
Kostenlose Potenzialanalyse anfragen Mehr über unsere Methodik

Unser Ansatz für schatten ki

Inventur der heimlich genutzten KI

Wir erfassen im vertraulichen Gespräch mit Abteilungsleitern und Mitarbeitern, welche KI-Werkzeuge bereits im Einsatz sind. Ziel ist keine Sanktion, sondern ein ehrliches Bild. Typisch finden wir sieben bis fünfzehn unterschiedliche Anwendungen, von denen die Geschäftsführung nur zwei kannte.

Rechtliche Einordnung pro Nutzung

Jede gefundene Anwendung wird gegen DSGVO, AVV-Pflicht und EU-KI-Verordnung geprüft. Wir sortieren in drei Stapel: sofort stoppen, mit Auflagen fortführen, freigeben. Das Ergebnis ist ein dokumentierter Status, der im Auditfall belastbar ist.

KI-Richtlinie und genehmigter Werkzeugkasten

Statt Verbote, die ohnehin umgangen werden, schaffen wir einen genehmigten Satz an Werkzeugen mit klaren Spielregeln. Mitarbeiter bekommen Legalität plus bessere Tools als die privaten Alternativen. Schatten-KI verliert ihren Reiz.

Schulung und Wirkungsmessung

Die neue Richtlinie wird in zwei bis drei Stunden pro Mitarbeiter erklärt, inklusive praktischer Beispiele. Nach 90 Tagen messen wir Nutzungsquote, Datenfluss und Zufriedenheit. Der Prozess wird nachjustiert, nicht abgehakt.

Häufige Fragen

Schatten-KI umfasst jede Nutzung von KI-Werkzeugen, die nicht formal durch Geschäftsführung oder IT freigegeben ist. Dazu gehören private ChatGPT-Accounts, die im Büro für Kundenanfragen genutzt werden, Copilot-Lizenzen einzelner Abteilungen, heimlich integrierte Browser-Erweiterungen mit KI-Funktion, und KI-Module in SaaS-Tools, die mit Kundendaten trainieren. 78 Prozent der Beschäftigten bringen eigene KI-Werkzeuge mit in den Arbeitsalltag, laut Microsoft Work Trend Index 2024.

Drei Risikotypen dominieren. Erstens Datenschutzverstöße: Werden Kundendaten ohne Auftragsverarbeitungsvertrag an einen US-Anbieter gesendet, liegt ein DSGVO-Verstoß vor. Zweitens IP-Verlust: Quellcode, Angebote oder Kundenlisten können im Trainings-Pool des Anbieters landen. Drittens Compliance-Lücken nach EU-KI-Verordnung: Ohne Inventar der eingesetzten Systeme ist eine Risikoklassifizierung nach Artikel 6 unmöglich, und Transparenzpflichten nach Artikel 50 können nicht erfüllt werden.

Verbote funktionieren nicht, weil 55 Prozent der Beschäftigten ihre KI-Nutzung bereits heute verschweigen, laut KPMG-Studie 2025. Ein Verbot verschärft das Problem: Die Nutzung verschwindet aus dem Sichtfeld der Führung, findet aber weiter statt, oft mit schlechteren Werkzeugen. Der produktive Effekt geht verloren, das Risiko bleibt. Besser ist ein Rahmen, in dem genehmigte Nutzung attraktiver ist als heimliche.

Über das BAFA-Programm Unternehmerisches Know-how. Kleine und mittlere Unternehmen mit Sitz in Deutschland erhalten 50 Prozent Zuschuss auf die Beratungskosten, in strukturschwachen Regionen bis zu 80 Prozent. Bei einem Honorar von 3.500 Euro netto zahlen Sie effektiv 1.750 Euro. ST Strategieberatung ist BAFA-gelisteter Berater und übernimmt die Antragstellung vor Beratungsbeginn.

Die Bestandsaufnahme plus rechtliche Einordnung dauert zwei bis drei Wochen bei einem Betrieb mit 30 bis 100 Mitarbeitern. Die Erstellung der KI-Richtlinie und des genehmigten Werkzeugkastens weitere zwei Wochen. Schulungen laufen parallel zur Einführung. Nach etwa sechs bis acht Wochen haben Sie Inventar, Richtlinie, Werkzeugkasten und dokumentierte Mitarbeiterschulung in der Hand.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung

Verwandte Strategien & Insights

loesungen

Dunkelverarbeitung im Einkauf: KI verarbeitet Ihre Belege vollautomatisch

loesungen

Personalakte digitalisieren: Automatisierte Erfassung von Personaldaten mit KI

loesungen

Rechnungsverarbeitung im Mittelstand: So automatisiert KI Ihren Rechnungseingang in unter 10 Minuten