Eine aktuelle Erhebung kam Anfang 2026 zu einem Befund, den viele Geschäftsführer im Mittelstand lieber nicht hören. 75 Prozent der grossen Unternehmen melden Schatten-KI im Tagesgeschäft, in mittleren Betrieben mit 100 bis 999 Beschäftigten sind es 61 Prozent. 68 Prozent der Beschäftigten nutzen KI-Tools ohne Freigabe der IT, 47 Prozent über private Konten. Das ist kein theoretisches Compliance-Problem mehr. Das ist die Lage in deutschen Büros, gerade jetzt, während du diese Zeile liest.
Stand der Recherche: 9. Mai 2026. Die Lage entwickelt sich schnell, vor jeder Entscheidung aktuellen Stand prüfen.
Wie Schatten-KI entsteht
Der Mechanismus ist banal. Ein Vertriebler probiert ChatGPT für eine Angebots-Mail. Eine Personalerin testet Claude für die Vorauswahl von Bewerbungen. Der Buchhalter lässt Gemini Lieferantenrechnungen sortieren. Niemand fragt die Geschäftsführung. Niemand prüft die AVV. Niemand dokumentiert, welche Daten dort hochgeladen werden.
Das Tempo ist neu. Was vor zwei Jahren Schatten-IT hiess (eine eigene Dropbox, ein privates Trello-Board) ist heute Schatten-KI plus Schatten-Agent. Agenten gehen einen Schritt weiter als Chatbots. Sie haben Zugriff auf Postfächer, lesen Kalender, schreiben Antworten, automatisieren Workflows. Wenn ein Mitarbeiter einen Microsoft Copilot Agenten oder einen Claude-Connector im Browser aktiviert, hängt plötzlich eine externe KI an deinem M365-Tenant. Nach unserem Recherchestand erkennen 31 Prozent der IT-Teams diese Verbindungen nicht in Echtzeit. Nur 21 Prozent der Führungsebene haben volle Sicht auf Berechtigungen, Tool-Nutzung und Datenflüsse von Agenten.
Die treibende Kraft sind nicht böse Absichten. Es ist die Mischung aus Zeitdruck, fehlender offizieller Lösung und der Erfahrung, dass es funktioniert. Wer einmal mit ChatGPT in zehn Minuten ein Angebot fertig hatte, will nicht mehr drei Tage auf eine IT-Freigabe warten. Diese Logik ist verständlich und gefährlich zugleich.
In der Praxis sehen wir, dass Geschäftsführer den Befund oft erst beim ersten kleinen Vorfall ernst nehmen. Eine Datenpanne, eine Kunden-Beschwerde wegen falsch zugeordneter Daten, eine Anfrage einer Behörde. Bis dahin gilt der Tools-Wildwuchs als Innovationsbeweis. Danach gilt er als Versäumnis der Führung.
Welche Risiken konkret entstehen
Der erste Block ist Datenschutz. Die DSGVO macht keine Ausnahme für KI-Tools. Artikel 30 verlangt ein Verzeichnis aller Verarbeitungstätigkeiten, also auch jeder KI-Anwendung mit Personendaten. Artikel 32 fordert technische und organisatorische Massnahmen, die zum Risiko passen. Bei automatisierten Entscheidungen mit hoher Eingriffstiefe greift Artikel 35, also eine Datenschutz-Folgenabschätzung. Wer ChatGPT mit echten Bewerberdaten füttert, ohne AVV mit OpenAI und ohne dokumentierte Folgenabschätzung, ist nicht in einer Grauzone. Das ist ein dokumentierter Verstoss, sobald die Aufsichtsbehörde fragt.
Die Kleinbetriebs-Ausnahme von Artikel 30 (unter 250 Beschäftigte) hilft hier kaum. Sie greift nur, wenn die Verarbeitung weder regelmässig noch risikobehaftet ist und keine besonderen Datenkategorien betrifft. Wer regelmässig KI mit Kunden- oder Beschäftigtendaten füttert, fällt sofort wieder in die volle Pflicht.
Der zweite Block ist NIS2. Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Rund 29.500 Unternehmen aus 18 Sektoren sind betroffen, darunter erstmals tausende Mittelständler aus Maschinenbau, IT-Dienstleistung und Logistik. Neu ist die persönliche Haftung der Geschäftsleitung. Eine GmbH-Geschäftsführerin kann mit ihrem Privatvermögen für fahrlässige Pflichtverletzungen im Risikomanagement haften, inklusive der aktiven Überwachung der Massnahmen. Eine Komplettdelegation an die operative IT ist rechtlich nicht mehr möglich. Wer Schatten-KI in einem NIS2-pflichtigen Betrieb nicht erfasst und nicht steuert, riskiert Bussgelder bis 10 Millionen Euro plus persönliche Haftung der Geschäftsleitung.
Der dritte Block ist der EU AI Act. Artikel 4 zur KI-Kompetenzpflicht ist seit dem 2. Februar 2025 in Kraft. Jeder Betreiber von KI-Systemen muss sicherstellen, dass die eigenen Beschäftigten die eingesetzten Tools verstehen, ihre Risiken einschätzen und die Ergebnisse einordnen können. Die Pflicht ist nicht direkt bussgeldbewehrt, sie wirkt aber zivilrechtlich als Sorgfaltspflicht. Wenn ein Schatten-KI-Tool einen Schaden verursacht und die Schulungspflicht nicht erfüllt war, sieht das im Zivilprozess schlecht aus.
Hochrisiko-Pflichten nach Anhang III greifen ab dem 2. August 2026, also in unter drei Monaten. Der EU-Industrieausschuss hat im April 2026 für eine Verschiebung um ein Jahr gestimmt, der Rat der EU muss noch zustimmen, der Trilog läuft. Die Lage ist politisch volatil. Wer auf die Verschiebung wartet und nicht parallel den eigenen Bestand sortiert, steht im Worst Case Anfang August ohne Vorbereitung da.
Dazu kommt die finanzielle Dimension. Studien aus 2026 schätzen, dass Sicherheitsvorfälle mit Schatten-KI-Beteiligung im Schnitt 670.000 US-Dollar teurer sind als reine IT-Vorfälle. Grund ist die Verzögerung bei Erkennung und die Schwierigkeit, den Umfang der Datenexposition rückblickend zu rekonstruieren.
5-Schritte-Plan für KI-Inventar und Richtlinie
Schritt eins ist die Bestandsaufnahme. In zwei Wochen kannst du in einem Mittelständler ein belastbares KI-Inventar aufbauen. Du brauchst dafür drei Quellen. Die IT zieht die Liste der erkennbaren externen Verbindungen aus Firewall und Identity-Provider. Die Fachabteilungen füllen einen einseitigen Fragebogen aus, was sie persönlich für welchen Zweck nutzen. Die Buchhaltung listet alle KI-bezogenen Abos und Einzelzahlungen der letzten zwölf Monate. Die Schnittmenge ist überraschend gross.
Schritt zwei ist die Klassifizierung. Pro Tool dokumentierst du vier Punkte. Welche Daten werden hochgeladen, mit wem ist eine AVV abgeschlossen, wo liegen die Server, ist eine Folgenabschätzung nach Artikel 35 nötig. Tools mit sensiblen Daten ohne AVV werden sofort gestoppt. Tools mit AVV aber unklaren Datenflüssen kommen in eine Beobachtungsliste.
Schritt drei ist die Richtlinie. Eine schlanke KI-Nutzungsrichtlinie auf zwei Seiten reicht für die meisten Mittelständler. Drei Dinge müssen drinstehen. Welche Tools sind freigegeben (positive Liste), welche Daten dürfen nie hochgeladen werden (Verbots-Liste), wie meldet man neue Tools zur Prüfung (Eskalationsweg). Die Richtlinie muss von der Geschäftsleitung gegengezeichnet sein, nicht nur von der IT, sonst greift sie bei NIS2-Audits nicht als Nachweis.
Schritt vier ist die Schulung. Artikel 4 EU AI Act verlangt sie, NIS2 verlangt sie indirekt über das Risikomanagement, die DSGVO verlangt sie über Artikel 32. Eine 60-Minuten-Schulung pro Beschäftigtem mit Anwesenheitsdokumentation reicht für die Grundpflicht. Themen sind Tool-Auswahl, Datenarten, typische Fehler, Eskalationsweg. Wichtig ist die Wiederholung mindestens alle zwölf Monate, weil sich die Tool-Landschaft schneller ändert als die Belegschaft.
Schritt fünf ist das laufende Monitoring. Einmal pro Quartal eine Review-Runde mit IT, Datenschutzbeauftragtem und einem Vertreter der Geschäftsleitung. Drei Fragen klären sich dort. Welche neuen Tools sind dazugekommen, welche Vorfälle gab es, welche Richtlinien-Änderungen sind nötig. Diese Review wird protokolliert und dem Aufsichtsrat oder Beirat zur Kenntnis gebracht. Bei NIS2 ist genau dieses Protokoll der Nachweis, dass die Geschäftsleitung ihre Aufsichtspflicht erfüllt hat.
Wer das nicht selbst aufsetzen will, kann den Prozess mit externer Unterstützung in vier bis sechs Wochen durchlaufen. Wir empfehlen Mittelständlern, die Erstrunde zu begleiten und danach einen internen Verantwortlichen einzuarbeiten, statt dauerhaft externe Beratung zu binden.
Praxis-Beispiel Müller Maschinenbau GmbH
Müller Maschinenbau ist ein fiktiver Sondermaschinenbauer aus Oberfranken, 80 Beschäftigte, NIS2-pflichtig nach dem Sektor Maschinenbau. Im April 2026 startet der Geschäftsführer eine zweiwöchige Bestandsaufnahme. Die IT zieht die Outbound-Verbindungen, die Fachabteilungen füllen einen Fragebogen, die Buchhaltung listet die Abos.
Das Ergebnis sind 23 unbekannte KI-Tools im Einsatz. Acht davon hat die Konstruktion abonniert, ein CAD-KI-Plugin und sieben generative Bild-Tools für Fertigungsdokumentation. Sechs nutzt der Vertrieb, darunter zwei E-Mail-Schreibassistenten mit voller Postfach-Einsicht. Vier laufen in der Buchhaltung, ein Belegerfassungs-Bot mit Zugriff auf den Bankordner, drei Übersetzungs-Tools mit Vertragsentwürfen. Drei nutzt die Personalabteilung mit echten Bewerbungs-PDFs. Zwei nutzt die Geschäftsführung selbst, ein Recherche-Agent und ein Übersetzungs-Tool.
Bei sieben Tools fehlt jede AVV. Bei drei läuft die Datenverarbeitung ausserhalb der EU ohne dokumentierten Drittlandtransfer. Bei vier ist die Datenkategorie sensibel genug, um eine Folgenabschätzung nach Artikel 35 nötig zu machen. Kein einziges Tool ist im Verzeichnis der Verarbeitungstätigkeiten erfasst.
Der Geschäftsführer pausiert sofort die sieben Tools ohne AVV. Die anderen sechzehn bekommen drei Wochen Zeit, formale Verträge nachzuziehen. Eine zweiseitige KI-Richtlinie wird in 14 Tagen geschrieben, vom Geschäftsführer und Datenschutzbeauftragten unterzeichnet, der Belegschaft per E-Mail mit Empfangsbestätigung zugestellt. Eine 90-Minuten-Schulung läuft online für alle Beschäftigten. Das Quartals-Review wird im Kalender als wiederkehrender Termin angelegt.
Die Übung kostet rund 8.000 Euro externes Honorar plus etwa 60 Stunden interne Arbeitszeit. Sie deckt drei Compliance-Pflichten gleichzeitig ab und liefert dem Geschäftsführer einen schriftlichen Nachweis, falls eine Aufsichtsbehörde fragt. Bei einem späteren NIS2-Audit ist dieser Nachweis der Unterschied zwischen Bagatelle und persönlicher Haftung.
Eigene Haltung
Wer den Befund aus den 23 unbekannten Tools bei einem 80-Mann-Betrieb für Übertreibung hält, hat in den letzten zwölf Monaten nicht in seine eigene Firma geschaut. Wir sehen das in fast jedem Mittelstandsmandat, oft in noch grösserer Zahl. Die Frage ist nicht, ob du Schatten-KI hast. Die Frage ist, wie viele Tools du noch nicht kennst und wann der erste Vorfall passiert. Wer jetzt nicht handelt, riskiert genau die Kombination, die NIS2 sanktioniert. Verstoss plus dokumentierte Untätigkeit der Geschäftsleitung.
Häufige Fragen
Reicht eine Whitelist mit zwei oder drei freigegebenen Tools?
Eine Positivliste ist die Basis, aber sie löst das Problem nicht allein. Wenn die freigegebenen Tools die Bedürfnisse der Belegschaft nicht decken, holt sich der Vertrieb sein eigenes Tool. Die Whitelist muss zur tatsächlichen Arbeit passen, sonst entsteht Schatten-KI sofort wieder. Praktisch bedeutet das, einmal pro Halbjahr neue Tool-Anfragen aktiv abzufragen statt sie zu unterdrücken.
Wir sind nur 40 Beschäftigte. Sind wir wirklich NIS2-pflichtig?
NIS2 macht die Pflicht an Sektor und Unternehmensgrösse fest. Im Maschinenbau, in der IT-Dienstleistung oder in der Logistik kannst du auch unter 50 Beschäftigten betroffen sein, wenn du als kritischer Lieferant für ein NIS2-pflichtiges Unternehmen giltst. Eine konkrete Einzelfallprüfung anhand der BSI-Listen ist Pflicht, eine Pauschalauskunft hilft nicht.
Wir nutzen ChatGPT Team mit Enterprise-AVV. Reicht das für DSGVO?
Eine AVV ist Voraussetzung, aber nicht alles. Du brauchst zusätzlich ein Eintragung im Verarbeitungsverzeichnis nach Artikel 30, eine dokumentierte Risikoeinschätzung, technische Massnahmen nach Artikel 32 und je nach Datenkategorie eine Folgenabschätzung nach Artikel 35. Die AVV erfüllt nur den Vertragsteil mit dem Anbieter, nicht die internen Dokumentationspflichten.
Wie unterscheide ich Hochrisiko-KI von normaler Anwendung?
Anhang III des EU AI Act listet die Hochrisiko-Bereiche. Praktisch sind das Personalauswahl mit automatisierter Vorfilterung, Kreditscoring, Versicherungs-Tarifierung, kritische Infrastruktur, Bildungsbewertung und einige medizinische Anwendungen. Wenn dein KI-Einsatz unter diese Punkte fällt, gelten strengere Pflichten ab dem 2. August 2026, vorbehaltlich der laufenden politischen Entscheidung über eine Verschiebung um ein Jahr. Im Zweifel die Anwendung schriftlich gegen Anhang III prüfen lassen.
Mehr zur strukturierten Vorbereitung auf solche Audits liest du im Beitrag zur ISO 42001 als Audit-Vorbereitung im Mittelstand und im Pillar Digitalisierungsmanager.
Zuletzt geprüft am 9. Mai 2026.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge, Erwachsenenbildner und Geschäftsführer von SkillSprinters. Er bildet seit über 15 Jahren Berufstätige und Quereinsteiger weiter, davon 5 Jahre in der staatlich geförderten Weiterbildung mit AZAV-zertifizierten Maßnahmen. SkillSprinters ist DEKRA-zertifizierter Bildungsträger. Mehr als 70 Sachbücher zu Weiterbildung, KI und Karriere auf Amazon KDP.
Bereit für den nächsten Schritt? Wir zeigen dir in einem persönlichen Gespräch, wie du dein KI-Inventar in zwei Wochen aufbaust und deine Belegschaft nach Artikel 4 EU AI Act schult, bevor der erste Vorfall passiert. Termin buchen oder Kostenlos reinschnuppern.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.