Souveränität schlägt Preis: das neue Vergabe-Signal
Angelika Beierlein
8 Min. Lesezeit Der Bund will seine zentrale Verwaltungscloud von SAP und der Deutschen Telekom bauen ...
Zum Beitrag
8 Min. Lesezeit
Sieben von zehn Mitarbeitern in deutschen Unternehmen nutzen KI-Tools, die ihre IT-Abteilung nie freigegeben hat. Unternehmensgeheimnisse landen in fremden Trainingssets, Haftungsfragen bleiben offen und der EU AI Act macht aus einem Governance-Versäumnis ab August 2026 ein Compliance-Risiko mit Strafen bis 35 Millionen Euro. Drei Maßnahmen schaffen sofort Sichtbarkeit – ohne Großprojekt, ohne zusätzliches Budget.
Das Wichtigste in Kürze
- 78% der Mitarbeiter nutzen nicht-freigegebene KI-Tools – nur 14% der Unternehmen haben Governance-Verantwortung klar definiert
- EU AI Act ab August 2026 verbindlich: Strafen bis 35 Mio. EUR oder 7% des weltweiten Jahresumsatzes
- Drei Sofortmaßnahmen: KI-Inventar, Policy-Light-Modell, Quartals-Review-Rhythmus
- Enablement schlägt Verbote: Wer Mitarbeiter einbindet, schafft Sichtbarkeit statt Versteck-Verhalten
Verwandt: KI-Strategie: Was Entscheider 2026 konkret tun müssen | EU AI Act: Die Compliance-Pflichten für CIOs im Überblick
Was ist Shadow AI? Shadow AI bezeichnet den Einsatz von KI-Werkzeugen durch Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung – analog zu Shadow IT, aber mit deutlich höheren Daten- und Haftungsrisiken, weil viele Systeme eingegebene Inhalte für das Training weiterverarbeiten können.
Das Problem hat längst eine Größenordnung
Der Logicalis CIO Report 2024 liefert eine ernüchternde Zahl: 62% der befragten CIOs räumen ein, bei der KI-Governance bereits Abstriche zu machen. Nicht weil sie das Problem nicht sehen, sondern weil der operative Alltag schneller läuft als jede Governance-Initiative. Währenddessen haben Mitarbeiter ihre eigene Entscheidung getroffen: Sie warten nicht.
ChatGPT, Claude, Gemini, Perplexity, Copilot-Varianten aus dem App Store – die Liste nicht-freigegebener Werkzeuge, die täglich in Unternehmen laufen, wächst schneller als jedes Inventar-Tool erfassen kann. Aktuelle Marktdaten zeigen: 78% der Wissensarbeiter nutzen mindestens ein KI-Tool, das ihre IT-Abteilung nie gesehen hat.
Die eigentliche Gefahr liegt nicht im Tool selbst. Sie liegt darin, was Mitarbeiter hineingeben: Vertragsauszüge, Kundendaten, interne Analysen, Strategiedokumente. Wenn ein Mitarbeiter einen Vertragsentwurf in ein Consumer-KI-Tool lädt, um ihn zusammenfassen zu lassen, landet dieser Inhalt möglicherweise im Trainingsset des nächsten Modells oder auf Servern außerhalb der EU.
78%
der Mitarbeiter nutzen nicht-freigegebene KI-Tools
14%
haben Governance-Verantwortung klar definiert
35 Mio.
EUR maximale Strafe unter dem EU AI Act
Warum August 2026 ein harter Schnitt ist
Der EU AI Act schafft ab August 2026 verbindliche Pflichten. KI-Systeme, die in hochriskante Bereiche fallen – HR-Entscheidungen, Kreditbewertung, kritische Infrastruktur – unterliegen strengen Dokumentations- und Auditanforderungen. Wer bis dahin kein Inventar seiner KI-Nutzung hat, kann nicht nachweisen, welche Systeme in welche Risikokategorie fallen.
Die Strafen sind keine theoretische Größe: bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Für ein Unternehmen mit 500 Millionen Euro Umsatz wären das 35 Millionen Euro. Aufsichtsbehörden werden sich zunächst auf Unternehmen konzentrieren, die durch Vorfälle aufgefallen sind. Wer ein nachvollziehbares Inventar und eine dokumentierte Policy hat, ist nicht das naheliegendste Ziel.
Gleichzeitig gilt: Der Act straft nicht KI-Nutzung, sondern unkontrollierte KI-Nutzung. Das ist der zentrale Hebel für eine pragmatische Governance-Strategie. Sichtbarkeit kommt vor Regulierung, nicht danach.
Drei Maßnahmen, die sofort wirken
1
KI-Inventar (Woche 1-2)
Eine strukturierte Befragung von 20 bis 30 Mitarbeitern aus verschiedenen Abteilungen erfasst erfahrungsgemäß 80% der genutzten Tools. Kein Discovery-Tool notwendig. Anonymität erhöht die Ehrlichkeit und zeigt, welche Tools tatsächlich Mehrwert liefern. Ergebnis: eine übersichtliche Liste mit Tool-Name, Anbieter, Datentyp und geschätzter Nutzungsfrequenz. Das ist die Grundlage für jeden weiteren Schritt.
2
Policy-Light-Modell (Woche 3-4)
Keine 40-seitige Richtlinie. Eine DIN-A4-Seite mit drei Kategorien: grün (freigegeben ohne Einschränkungen), gelb (nutzbar mit Datenschutz-Auflagen) und rot (nicht nutzbar mit Unternehmensdaten). Die Ampel kann in zwei Wochen durch IT, Legal und einen Business-Vertreter entwickelt werden. Mitarbeiter bekommen klare Orientierung – ohne Verbote, die nur das Versteck-Verhalten verstärken.
3
Quartals-Review-Rhythmus (ab Monat 2)
KI-Governance ist kein Projekt, das man abschließt. Neue Tools entstehen schneller als Richtlinien aktualisiert werden können. Ein 90-Minuten-Review pro Quartal – IT, Datenschutz und ein Abteilungsleiter aus dem Business – reicht, um die Ampel-Liste aktuell zu halten. Die Nutzungsfrequenz eines neuen Tools entscheidet, ob es auf die Priorisierungsliste kommt.
Verbote vs. Enablement: Was die Praxis zeigt
Unternehmen, die auf vollständige Verbote setzen, berichten dasselbe: Die Nutzung nicht-freigegebener Tools sinkt kurzfristig auf dem Papier und steigt mittelfristig auf dem Smartphone. Mitarbeiter wechseln auf private Geräte und persönliche Accounts. Das Governance-Problem wird unsichtbarer, nicht kleiner.
Enablement-Ansatz
- Mitarbeiter bleiben im genehmigten Kanal sichtbar
- Produktivitätsgewinne werden dokumentierbar
- Governance-Kultur entsteht durch Partizipation
- AI-Act-Compliance über Inventar nachweisbar
Verbots-Ansatz
- Nutzung verlagert sich auf private Geräte
- Governance wird unsichtbar, nicht kleiner
- Mitarbeiter-Frustration steigt, Produktivitätsvorteil entfällt
- Kein Inventar – AI-Act-Nachweis kaum möglich
Was ein realistisches Budget bedeutet
Das häufigste Argument gegen KI-Governance in mittelgroßen Unternehmen: kein Budget, kein Headcount. Beides ist nachvollziehbar und trotzdem kein Hindernis für die drei beschriebenen Maßnahmen. Das Inventar kostet drei Personentage. Die Ampel-Policy kostet vier bis sechs Personentage in der Entwicklung, danach eine Stunde im Quartal.
Das ist kein Projekt – das ist ein Entscheid, den der CIO in der nächsten Führungsrunde anstoßen kann. Was hingegen teurer wird: Nachweispflichten ab August 2026 ohne Vorlauf zu erfüllen. Die drei Maßnahmen sind kein Ersatz für eine vollständige KI-Strategie. Sie sind die Grundlage, auf der jede vollständige Strategie aufbauen muss. Sichtbarkeit, bevor Steuerung möglich ist.
Häufige Fragen
Ab wann gilt der EU AI Act verbindlich für deutsche Unternehmen?
Die meisten Regelungen des EU AI Act greifen ab August 2026 verbindlich. Hochriskante KI-Systeme unterliegen dann strengen Dokumentations- und Auditpflichten. Verbotene Praktiken wie Social Scoring waren bereits ab Februar 2025 untersagt. Unternehmen haben also noch einen begrenzten Vorlauf, um Inventar und Policy aufzubauen.
Welche KI-Tools gelten als hochriskant im Sinne des EU AI Act?
Als hochriskant gelten KI-Systeme in acht definierten Bereichen: kritische Infrastruktur, Bildung, Beschäftigung und HR (einschließlich Bewerber-Screening), wesentliche Dienstleistungen, Strafverfolgung, Migration, Justiz und demokratische Prozesse. Consumer-KI-Tools, die intern für Textzusammenfassung oder Recherche genutzt werden, sind in der Regel nicht automatisch hochriskant – entscheidend ist der konkrete Anwendungsfall.
Wie erkenne ich, welche KI-Tools meine Mitarbeiter tatsächlich nutzen?
Der schnellste Weg ist eine anonyme Mitarbeiterbefragung mit 10 bis 15 Fragen, ergänzt durch DNS-Logs auf Unternehmensgeräten und eine Analyse genutzter Browser-Erweiterungen. Spezialisierte Shadow-IT-Discovery-Tools wie Netskope oder Microsoft Defender for Cloud Apps liefern detailliertere Daten, sind für eine Erstinventur aber nicht zwingend notwendig.
Reicht eine interne KI-Policy ohne rechtliche Prüfung aus?
Für den Start ja – mit einem wichtigen Vorbehalt: Sobald KI-Systeme in HR-Prozessen oder bei der Verarbeitung besonders sensibler Personendaten eingesetzt werden, ist eine rechtliche Einschätzung Pflicht. Das Ampel-Modell schafft eine dokumentierbare Grundlage, auf der der Legal-Review aufbauen kann, ohne bei null anfangen zu müssen.
Wie kommuniziere ich eine KI-Policy intern, ohne Widerstand zu erzeugen?
Der Ton entscheidet: „Wir regeln, was erlaubt ist“ erzeugt mehr Akzeptanz als „Wir verbieten, was riskant ist.“ Wer die Business-Einheiten in die Entwicklung der Ampel einbezieht, hat beim Roll-out einen internen Champion. Es hilft, explizit zu kommunizieren, welche Tools ohne Einschränkungen genutzt werden dürfen. Die grüne Liste baut mehr Vertrauen auf als die rote Liste Misstrauen abbaut.
Lesetipps
- KI-Strategie für Entscheider: Wo fängt man an?
- EU AI Act: Die Compliance-Pflichten für CIOs
- Shadow IT im Griff: Lessons from the Field
Netzwerk
- KI-Governance-Framework: Die wichtigsten Bausteine
- Datenschutz und KI-Tools: Was CIOs wissen müssen
Quelle Titelbild: Pexels / Michael Pointner (px:18306898)
Auch verfuegbar inEnglisch · Franzoesisch · Spanisch