AI Governance

Shadow AI ist Ihr nächster Datenverlust

Regelmäßige KI-Nutzung auf Firmengeräten ist auf 45 Prozent der Belegschaft gestiegen. Die EDPS nennt Shadow AI einen Compliance-Blindfleck. Hier die Lösung.

Von Leon Soliman · 2026-06-25 · 3 Min. Lesezeit

Die wichtigsten Punkte

Innerhalb eines einzigen Jahres hat sich die regelmäßige KI-Nutzung auf Firmengeräten von 15 auf 45 Prozent der Mitarbeitenden verdreifacht, und das meiste davon läuft über private Konten, die Sie weder sehen noch steuern können.
Am 15. Juni 2026 hat die Europäische Datenschutzbeauftragte Shadow AI als regulatorischen Blindfleck bezeichnet, nicht als IT-Ärgernis, denn für Daten, die in nicht freigegebene Tools eingegeben werden, gibt es keine rechtliche Grundlage der Verarbeitung.
Quellcode ist die am häufigsten in öffentliche KI-Dienste durchgesickerte Datenart, was bedeutet, dass Ihr geistiges Eigentum still und leise in die Trainingspipeline eines anderen wandert.
Die vom Regulierer empfohlene Lösung ist Governance plus ein freigegebenes, sicheres Tool, kein Verbot, denn ein Verbot drängt dasselbe Verhalten nur weiter aus dem Blickfeld.

Das Risiko, das Sie genehmigt haben, ist nicht das Risiko, das Sie tragen

Die meisten Vorstände stellen sich KI-Risiko noch immer als eine Entscheidung vor, die sie treffen: welches Modell sie lizenzieren, welchem Anbieter sie vertrauen, welchen Vertrag sie unterschreiben. Dieses Bild ist inzwischen falsch. Die Gefährdung, die am meisten zählt, ist die, die niemand genehmigt hat. Der Verizon Data Breach Investigations Report 2026 hat festgestellt, dass sich die regelmäßige KI-Nutzung auf Firmengeräten innerhalb von zwölf Monaten verdreifacht hat, von 15 auf 45 Prozent der Mitarbeitenden, und dass zwei Drittel dieser Menschen die Tools über private Konten erreichen, die vollständig außerhalb der Unternehmenskontrolle liegen.

Das ist Shadow AI: leistungsfähige Software, die schneller eingeführt wird, als jede Richtlinie mithalten kann. Sie ist inzwischen die dritthäufigste nicht böswillige Insider-Handlung, die Systeme zur Verhinderung von Datenverlust melden, ein Anstieg um das Vierfache in einem einzigen Jahr. Die Menschen, die das tun, sind nicht nachlässig. Es sind produktive Mitarbeitende, die echte Probleme mit dem besten Werkzeug lösen, das vor ihnen liegt. Genau deshalb wird ein Rundschreiben es nicht stoppen.

Ihr Quellcode ist das Erste, was geht

Als derselbe Report rangierte, was Mitarbeitende tatsächlich in öffentliche KI-Tools einfügen, führte Quellcode jede andere Kategorie mit großem Abstand an, noch vor Bildern und strukturierten Daten. Die nüchterne Lesart dieses Befunds lautet: Quellcode in einem öffentlichen Modell ist geistiges Eigentum in der Trainingspipeline eines anderen. Für ein Unternehmen, dessen Vorteil in seinem Code, seiner Preislogik oder seinen Kundendaten liegt, ist das nichts Hypothetisches. Es ist ein täglicher, unsichtbarer Transfer der Werte, die zu schützen Sie bezahlt werden.

Der Schaden kündigt sich nicht an. Es gibt keine Meldung einer Datenpanne, kein Lösegeldschreiben, keinen dramatischen Ausfall. Ein Modell wird einfach ein wenig besser darin, das zu reproduzieren, was Sie für Ihr Eigentum hielten, und eines Tages liefert der Prompt eines Wettbewerbers etwas, das vertraut wirkt. Dann lautet die Frage nicht mehr, wie Sie die Daten zurückholen. Sie lautet, ob Sie überhaupt beweisen können, dass sie das Haus verlassen haben.

Der Regulierer hat Ihnen bereits gesagt, was zu tun ist

Am 15. Juni 2026 hat die Europäische Datenschutzbeauftragte Shadow AI neu eingeordnet, als Compliance-Problem, nicht als Helpdesk-Problem. Daten, die in nicht freigegebene Tools eingegeben werden, fallen in einen regulatorischen Blindfleck: keine Vereinbarung über die Rechtsgrundlage der Verarbeitung, keine Klarheit über die Speicherdauer, kein Schutz beim internationalen Transfer, keine Transparenz darüber, ob damit ein Modell trainiert wird. Unter der DSGVO ist ein Blindfleck keine Verteidigung. Er ist eine offene Beanstandung, die auf einen Prüfer wartet.

Was die EDPS nicht empfohlen hat, ist ein Verbot. Sie sagte, die Antwort sei aktives Management: definieren, welche KI-Nutzung erlaubt ist, die Daten klassifizieren, die niemals das Haus verlassen dürfen, technische Kontrollen durchsetzen und den Menschen ein freigegebenes Tool geben, das gut genug ist, damit sie nicht mehr zum nicht freigegebenen greifen. Ein Verbot scheitert, weil es den Anreiz nicht verändert. Es verschiebt dasselbe Verhalten nur dorthin, wo Sie es nicht mehr sehen können.

Weiterlesen: Ihr KI-Agent kann jetzt Ihr Geld ausgeben. Schwierig wird alles, was danach passiert. · Ein Gericht hat soeben entschieden, dass die Antworten Ihrer KI Ihre eigenen Worte sind. Die Haftung liegt jetzt bei Ihnen.

Häufig gestellte Fragen

Ist ein Verbot öffentlicher KI-Tools die sicherste Option?

Nein. Die Europäische Datenschutzbeauftragte hat ausdrücklich von einem Verbot abgeraten. Ein Verbot beseitigt nicht den Anreiz, der Shadow AI antreibt; es drängt dieselben Daten auf private Geräte und Konten, wo Sie noch weniger Sichtbarkeit haben. Die dauerhafte Lösung ist ein freigegebenes, sicheres Tool plus klare Regeln dazu, welche Daten niemals das Haus verlassen dürfen, damit das produktive Verhalten innerhalb einer Grenze bleibt, die Sie kontrollieren.

Wie sollten wir überhaupt merken, dass unsere Daten über Shadow AI abfließen?

Die meisten Unternehmen können es nicht erkennen, und das ist der Kern des Problems. Sichtbarkeit beginnt mit einer auf KI-Endpunkte abgestimmten Lösung zur Verhinderung von Datenverlust, einer Bestandsaufnahme, welche KI-Dienste die Belegschaft tatsächlich nutzt, und einer klaren Datenklassifizierung, die festlegt, was als sensibel gilt. Servola hilft Unternehmen, dieses Bild aufzubauen und es in eine durchsetzbare Governance-Richtlinie zu überführen, auf Deutsch und Englisch.

Ihre größte KI-Gefährdung ist nicht das System, das Sie gekauft haben. Es ist das, das Ihr Team bereits nutzt, jeden Tag, ohne es Ihnen zu sagen. Die Unternehmen, die sicher bleiben, werden nicht die sein, die KI verboten haben. Es werden die sein, die ihren Menschen ein besseres Tool und eine klare Linie gegeben haben, die sie verstanden haben.

Shadow AI AI Governance Data Protection EDPS GDPR Mittelstand

Mehr aus dem Servola Journal

AI Governance

Ihr KI-Agent kann jetzt Ihr Geld ausgeben. Schwierig wird alles, was danach passiert.

2026-06-24 · 2 Min. Lesezeit

Beitrag lesen →

AI Governance

Ein Gericht hat soeben entschieden, dass die Antworten Ihrer KI Ihre eigenen Worte sind. Die Haftung liegt jetzt bei Ihnen.

2026-06-24 · 3 Min. Lesezeit

Beitrag lesen →

AI Governance

Es gibt jetzt eine gemeinsame Referenz für KI-Sicherheit. Hier ist, warum sie Ihre Beschaffung erreicht.

2026-06-24 · 2 Min. Lesezeit

Beitrag lesen →

Servola

Servola hilft Unternehmen, ihre Shadow AI zu finden, zu klassifizieren, was niemals das Haus verlassen darf, und ein verwaltetes Tool an seine Stelle zu setzen, auf Deutsch und Englisch.

Vertrauliches Gespräch anfragen Über Servola →

Servola ist technologische Beratung für einige wenige Familien und Family Offices. Wenn eine Entscheidung nicht delegierbar ist, sitzen wir auf Ihrer Seite des Tisches.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle Beiträge