KI

Schatten-KI im Mittelstand: Verbieten ist die teuerste Option

Mitarbeiter nutzen KI längst, oft mit Firmendaten in kostenlosen Tools. Warum ein Verbot scheitert und wie ein Mittelständler Schatten-KI sicher in geordnete Bahnen lenkt.

Schatten-KI im Mittelstand: Verbieten ist die teuerste Option
5 Min. Lesezeit

Es beginnt fast immer gleich. Eine Mitarbeiterin formuliert ein Angebot schneller als je zuvor, ein Kollege fasst ein zweistündiges Protokoll in zwei Minuten zusammen, jemand lässt sich eine knifflige Kundenmail vorschreiben. Niemand hat das angeordnet. Niemand kontrolliert es. Und die Geschäftsführung erfährt davon meist zufällig, etwa wenn jemand im Meeting beiläufig erwähnt, dass die KI das schon erledigt hat.

Das ist Schatten-KI: produktive, aber ungesteuerte Nutzung von KI-Werkzeugen an der IT und der Geschäftsführung vorbei. Sie ist in den allermeisten mittelständischen Betrieben längst Realität, auch wenn es nie eine Entscheidung dafür gab.

Die erste Reaktion ist meist ein Verbot. Das ist der teuerste Fehler.

Wenn Geschäftsführer merken, was da läuft, ist der erste Impuls oft, es zu untersagen. Das ist nachvollziehbar und führt in die falsche Richtung. Ein Verbot beendet die Nutzung nicht, es macht sie nur unsichtbar.

Dafür gibt es vier Gründe:

Die Werkzeuge sind zu nützlich. Wer eine Stunde Arbeit auf zehn Minuten verkürzt, hört damit nicht auf, weil eine Richtlinie es verbietet. Der Anreiz ist zu groß, der Aufwand der Umgehung zu klein.

Ein Verbot ist technisch nicht durchsetzbar. KI läuft im Browser, auf dem privaten Smartphone, am heimischen Rechner. Sie haben keinen Hebel, das zu unterbinden. Sie verlieren nur die Sichtbarkeit darüber, was passiert.

Es bestraft die Falschen. Diejenigen, die KI nutzen, sind in der Regel die eigeninitiativen, produktiven Mitarbeiter, die nach besseren Wegen suchen. Ein Verbot bremst genau die.

Es löst das eigentliche Risiko nicht. Das Problem ist nicht, dass KI genutzt wird. Das Problem ist, wo und wie.

Das echte Risiko ist der Datenabfluss

Worum es wirklich geht, ist nicht die Technologie, sondern wohin die Daten fließen. Wenn ein Mitarbeiter Kundendaten, Personalinformationen oder Geschäftsgeheimnisse in ein kostenloses KI-Tool eingibt, verlassen diese Informationen Ihren Kontrollbereich.

Je nach Anbieter und Tarif passiert dann eines von mehreren Dingen: Die Eingaben werden zum Training künftiger Modelle verwendet. Sie werden auf Servern außerhalb der EU gespeichert. Oder es ist schlicht nicht nachvollziehbar, wo sie liegen. Das ist gleich doppelt ein Problem, datenschutzrechtlich nach DSGVO und beim Schutz Ihrer Geschäftsgeheimnisse.

Wichtig ist die Unterscheidung: Das Risiko hängt nicht am Werkzeug, sondern am Tarif und an den Daten. Dasselbe Tool kann in der kostenlosen Variante hochriskant und in der Geschäftsvariante unbedenklich sein. Genau hier liegt der Hebel.

Der bessere Weg: kanalisieren statt verbieten

Die richtige Frage ist nicht, ob Ihre Leute KI nutzen, sondern wie sicher sie es tun. Die Aufgabe besteht darin, die ohnehin stattfindende Nutzung in geordnete, sichere Bahnen zu lenken. Das gelingt in vier Schritten.

1. Bestandsaufnahme statt Bestrafung. Finden Sie heraus, wer welche Werkzeuge wofür einsetzt, und zwar ohne Konsequenz-Drohung. Sobald Sanktionen im Raum stehen, bekommen Sie keine ehrlichen Antworten mehr und die Nutzung verschwindet wieder im Verborgenen. Fragen Sie offen. Die meisten Geschäftsführer unterschätzen deutlich, wie viel im Betrieb bereits läuft.

2. Eine freigegebene, sichere Option bereitstellen. Das ist der entscheidende Hebel. Wenn Sie eine geschäftliche KI-Lösung anbieten, bei der die Datenhaltung geklärt ist und Eingaben nicht zum Training verwendet werden, entfällt der Grund für die Schatten-Nutzung. Menschen wählen den sicheren Weg, wenn er genauso bequem ist wie der unsichere. Sie müssen den bequemen Weg sicher machen, nicht den sicheren Weg erzwingen.

3. Eine kurze, verständliche Leitlinie. Keine zwanzigseitige Richtlinie, die niemand liest. Eine Seite genügt: Welche Werkzeuge sind freigegeben, welche Daten dürfen hinein, welche niemals. Klar genug, dass sich jeder daran erinnert, ohne nachzuschlagen. Eine Regel, die man nicht im Kopf behalten kann, wird nicht befolgt.

4. Schulung auf Bedienungs-Ebene. Die meisten nutzen KI auf Anfänger-Niveau, als bessere Suchmaschine. Wer dem Team zeigt, wie die Werkzeuge wirklich funktionieren, erhöht Produktivität und Sicherheit in einem Zug. Kompetente Nutzer machen weniger riskante Fehler und holen gleichzeitig mehr heraus.

“Aber das kostet doch Geld”

Der häufigste Einwand gegen den geschäftlichen Tarif lautet, dass die kostenlose Version doch reicht. Das ist eine Rechnung, die nur eine Seite betrachtet. Ein einziger Datenschutzvorfall, eine abgeflossene Kundenliste oder ein durchgesickertes Angebot kostet ein Vielfaches dessen, was ein paar Geschäftslizenzen im Jahr kosten. Und es kostet Vertrauen, das sich schlechter wiederherstellen lässt als Geld. Die kostenlose Variante ist nicht günstiger, sie verschiebt die Kosten nur in die Zukunft und ins Risiko.

Warum jetzt der richtige Zeitpunkt ist

Es gibt neben dem betrieblichen auch einen rechtlichen Grund, das Thema nicht weiter aufzuschieben. Der EU AI Act verlangt von Unternehmen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen. Diese Pflicht gilt bereits, branchenübergreifend, für jedes Unternehmen, das KI einsetzt. Eine geordnete, dokumentierte KI-Nutzung ist damit nicht mehr nur eine gute Idee, sondern Teil Ihrer Sorgfaltspflicht. Wer Schatten-KI duldet, erfüllt diese Pflicht nicht.

Der Kern in einem Satz

Schatten-KI ist kein Zeichen undisziplinierter Mitarbeiter. Sie ist ein Zeichen dafür, dass Ihr Betrieb produktiver werden will, schneller als Ihre Regeln nachkommen. Die Aufgabe der Geschäftsführung ist nicht, das zu stoppen, sondern ihm einen sicheren Rahmen zu geben. Wer das tut, verwandelt ein unkontrolliertes Risiko in einen geordneten Produktivitätsgewinn. Wer verbietet, behält am Ende beides: das Risiko und den Verlust.

Marc Schraepler von Gerlach

Ich helfe Mittelständlern, KI praxistauglich und DSGVO-konform umzusetzen. In die bestehenden Systeme integriert, gebaut statt nur beraten.

© 2026 Marc Schraepler von Gerlach