Rechtsanwalt & Spezialist für Kryptorecht & KI-Recht, Zertifizierter Geldwäschebeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für Kryptorecht und Markenrecht
T (+49) 040 / 7344 086-0
| KI-Recht
Blog News
Immer häufiger nutzen Beschäftigte private KI-Tools für ihre Arbeit. Was auf den ersten Blick nach Eigeninitiative klingt, ist in Wahrheit ein rechtliches Minenfeld. Arbeitsmittel – ob Firmenwagen, Maschinen oder Software – dürfen nur vom Unternehmen selbst bereitgestellt und kontrolliert werden. Eigenmächtige Lösungen entziehen sich dieser Kontrolle, bergen Lizenzverstöße und schaffen unüberschaubare Haftungsrisiken. „Bring your own device“ oder gar „bring your own KI“ ist daher nicht nur ein organisatorisches Problem, sondern ein klarer Rechtsverstoß. Wie also mit der sogenannten Schatten-KI umgehen?
„Schatten-KI“ bezeichnet den Einsatz von Künstlicher Intelligenz (KI) in Unternehmen oder Organisationen außerhalb der offiziellen IT-Strukturen und Richtlinien. Sie entsteht, wenn Mitarbeitende eigenständig KI-Tools oder -Anwendungen nutzen, ohne dass diese offiziell eingeführt, überprüft oder von der IT-Abteilung genehmigt wurden. Das kann zwar kurzfristig Vorteile bringen – etwa durch schnellere Prozesse oder kreative Lösungsansätze –, birgt aber erhebliche Risiken in Bezug auf Datensicherheit, Datenschutz, Compliance und Qualität der Ergebnisse.
Schatten-KI entsteht in Unternehmen und Organisationen vor allem dort, wo der Wunsch nach effizienteren Arbeitsweisen, schnelleren Ergebnissen und neuen Ideen größer ist, als die Geschwindigkeit, mit der offizielle Prozesse oder IT-Abteilungen Lösungen bereitstellen können. Wenn Mitarbeitende alltägliche Aufgaben mit frei verfügbaren KI-Tools wie Textgeneratoren, Bildbearbeitungs-KIs oder Übersetzungsdiensten vereinfachen wollen, greifen sie oft eigenständig darauf zurück. Und das ohne Genehmigung oder technische Integration in die Unternehmens-IT.
Ein typischer Auslöser ist, dass die offizielle Einführung von KI-Anwendungen Zeit braucht. Es müssen Sicherheitsaspekte geprüft, Datenschutzrichtlinien beachtet und Lizenzen geklärt werden. Währenddessen suchen Mitarbeitende nach direkten, unkomplizierten Lösungen für ihre täglichen Herausforderungen. So entsteht ein Parallelgebrauch von KI-Systemen, der zwar kurzfristig Vorteile bringt, aber auch unkontrollierte Risiken birgt. Schatten-KI ist also weniger das Ergebnis von Absicht oder Ungehorsam, sondern häufig ein Symptom dafür, dass die Innovations- und Experimentierfreude der Belegschaft schneller ist als die formalen Strukturen im Unternehmen.
Trotz klarer rechtlicher Risiken hat sich die Nutzung privater KI-Tools in vielen Unternehmen längst etabliert. Eine Umfrage des Digitalverbands BITKOM zeigt: In jedem dritten Betrieb greifen Beschäftigte auf eigene Chatbots oder andere KI-Anwendungen zurück. Weitere 25 Prozent der Unternehmen haben zwar keinen gesicherten Überblick, gehen aber selbst von einem solchen Einsatz aus.
Die Reaktionen darauf könnten unterschiedlicher kaum sein. Manche Verantwortliche mögen denken: „Praktisch, wenn Mitarbeiter ihre eigenen Bots nutzen – so spart man sich die Kosten für Lizenzen.“ Andere handeln nach dem Motto: „Solange ich nichts weiß, trage ich keine Verantwortung.“ Besonders kritisch ist schließlich die Variante, in der die Unternehmensleitung den Einsatz privater KI nicht nur duldet, sondern sogar offiziell absegnet. Fest steht jedoch: Wer so handelt, kann sich rechtlich nicht aus der Verantwortung ziehen.
Was wie ein cleverer Abkürzungsweg klingt, entpuppt sich schnell als rechtliches Pulverfass. Der Einsatz privater KI-Systeme im Unternehmen ist kein harmloses Nebenbei, sondern ein klarer Verstoß gegen geltende Vorgaben. Die KI-Verordnung zieht eine eindeutige Grenze. Sobald ein Tool nicht ausschließlich privat genutzt wird, handelt es sich um einen betrieblichen Einsatz. Damit wird aus dem privaten Bot ein Unternehmenswerkzeug – mit allen rechtlichen Konsequenzen.
Das lässt sich leicht verdeutlichen: Ein Kundengespräch über das private Handy eines Mitarbeiters bleibt trotz privatem Gerät ein Firmengespräch. Nichts anderes gilt für KI. Duldung oder gar ausdrückliche Genehmigung durch die Unternehmensleitung machen die Firma rechtlich zum Betreiber im Sinne der KI-Verordnung. Damit verlagert sich die Verantwortung unmittelbar auf die Geschäftsführung.
Und diese Verantwortung ist alles andere als abstrakt: Nach der KI-VO trifft Betreiber die Pflicht, Beschäftigte im Umgang mit KI-Systemen umfassend zu schulen und für den rechtssicheren Einsatz zu qualifizieren. Wer hier wegschaut oder glaubt, die Risiken ließen sich auf die Mitarbeiter abwälzen, riskiert nicht nur Bußgelder, sondern auch den Verlust von Vertrauen bei Kunden und Geschäftspartnern.
Um Schatten-KI zu vermeiden, braucht es vor allem Transparenz, klare Regeln und attraktive Alternativen. Unternehmen sollten ihren Mitarbeitenden sichere, geprüfte und leicht zugängliche KI-Lösungen anbieten, damit der Drang zur Nutzung externer, nicht autorisierter Tools sinkt. Ebenso wichtig sind Schulungen und Kommunikation. Die Nutzung privater KI im Betrieb führt zwangsläufig dazu, dass Unternehmens- und Kundendaten über private Lizenzen an externe Anbieter gelangen. Ein erhebliches Datenschutzrisiko entsteht. Werden dabei auch Geschäfts- oder Betriebsgeheimnisse verarbeitet, entstehen zusätzliche Gefahren, die weit über die KI-Verordnung hinausgehen. Denn neben der KI-VO bleiben sämtliche anderen Rechtsbereiche wie Datenschutz-, Urheber-, Arbeits- und Medienrecht uneingeschränkt anwendbar.
Genau deshalb sieht die KI-Verordnung vor, dass jeder, der KI-Systeme zu betrieblichen Zwecken einsetzt, mit ausreichender Fachkompetenz ausgestattet werden muss. Versteckte Eigeninitiativen von Beschäftigten entbinden sie nicht von der Rolle des Betreibers – im Gegenteil: Sie haften für den Einsatz eines unzulässigen Arbeitsmittels.
Die einzig rechtssichere Lösung liegt in einem klaren Vorgehen des Unternehmens. Lizenzen müssen offiziell beschafft, Mitarbeitende geschult und Verantwortlichkeiten transparent geregelt werden. Erst wenn die Belegschaft versteht, welche Anwendungen erlaubt und welche hochriskant sind, etwa wenn KI die Arbeitsbedingungen beeinflusst, lassen sich die besonderen Pflichten der Betreiber verlässlich einhalten und nachweisen.
Darüber hinaus hilft eine offene Innovationskultur, in der Experimente mit KI ausdrücklich erlaubt, aber gleichzeitig überwacht und begleitet werden. So lassen sich die Vorteile nutzen, ohne die Sicherheit und Compliance des Unternehmens zu gefährden.
Drei konkrete Beispiele:
Die Bedeutung von Schatten-KI wird in den kommenden Jahren voraussichtlich weiter steigen, da immer mehr leicht zugängliche KI-Tools auf den Markt kommen und Mitarbeitende deren Potenzial für ihre Arbeit sofort erkennen. Unternehmen stehen damit vor der Herausforderung, ein Gleichgewicht zwischen Innovationsfreude und Sicherheit zu finden. Wer frühzeitig klare Strategien entwickelt, offizielle KI-Lösungen bereitstellt und Mitarbeitende aktiv einbindet, kann Schatten-KI nicht nur eindämmen, sondern sogar in geordnete Bahnen lenken. Langfristig könnte Schatten-KI somit ein wichtiger Treiber für die digitale Transformation sein – vorausgesetzt, sie wird nicht als Bedrohung, sondern als Chance für gezielte Weiterentwicklung verstanden.
Schatten-KI bezeichnet den Einsatz von KI-Tools im Unternehmen ohne offizielle Freigabe der IT- oder Rechtsabteilung. Typisch ist die private Nutzung von Tools wie ChatGPT durch Mitarbeiter, die unbemerkt Unternehmensdaten eingeben.
Unternehmen riskieren Datenschutzverstöße (DSGVO), Verletzungen von Betriebsgeheimnissen sowie Haftungsfragen bei fehlerhaften KI-Ergebnissen. Auch Arbeitsrecht und IT-Compliance können im Unternehmen dann betroffen sein.
Empfohlen sind klare Compliance-Richtlinien, Mitarbeiterschulungen und die Prüfung von KI-Tools durch die Rechtsabteilung oder externe Anwälte. Eine Fachberatung durch eine Kanzlei für IT- und Wirtschaftsrecht schafft zusätzlich Sicherheit.
Als Wirtschaftsmetropole mit starkem Mittelstand ist Hamburg besonders von KI-Einsatz in Unternehmen betroffen. Kanzleien wie SBS Legal bieten eine jahrenlange Erfahrung und spezialisierte Beratung u.A. im IT-Recht, KI-Recht und Wirtschaftsrecht.
SBS Legal berät zu Datenschutzrecht, Wirtschaftsrecht, Haftungsfragen und IT-Compliance beim Einsatz von KI. Unternehmen erhalten dadurch individuelle Strategien, um KI oder auch Schatten-KI rechtssicher zu kontrollieren und Risiken zu minimieren!
Setzen Sie in Ihrem Unternehmen bereits KI-Systeme ein oder planen Sie deren Einführung? Fragen Sie sich, ob der Einsatz privater Tools durch Beschäftigte rechtlich zulässig ist, wie Sie die Anforderungen der KI-Verordnung einhalten oder welche besonderen Pflichten für Hochrisiko-Anwendungen gelten? Benötigen Sie Klarheit über Datenschutz, Transparenzpflichten oder eine verlässliche vertragliche Absicherung Ihrer KI-Projekte?
Unser Team berät Sie umfassend und praxisnah in allen Fragen rund um den rechtssicheren Einsatz von KI. Wir unterstützen Sie bei der Risikokategorisierung Ihrer Systeme, prüfen Compliance-Vorgaben, gestalten Verträge für den KI-Einsatz und sichern internationale Datenflüsse rechtlich ab. Dazu gehört auch die Begleitung Ihrer Mitarbeiter durch gezielte Schulungen, damit diese die komplexen Anforderungen der KI-Verordnung und angrenzender Rechtsgebiete wie Datenschutz-, Arbeits- oder Urheberrecht sicher umsetzen können.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?