Schatten-IT durch KI: Was Geschäftsführer 2026 jetzt regeln müssen

ChatGPT auf dem privaten Account, Claude im Browser, Copilot auf dem Smartphone – in fast jedem mittelständischen Unternehmen nutzen Mitarbeiter heute KI-Tools, ohne dass die Geschäftsführung davon weiß. Das nennt man Schatten-IT durch KI – und es ist 2026 zu einem der größten ungelösten Risiken im deutschen Mittelstand geworden.

Mit dem EU AI Act, dessen Hochrisiko-Bestimmungen ab August 2026 vollständig greifen, und der ohnehin geltenden DSGVO stehen Geschäftsführer in der Pflicht: Wer den KI-Einsatz im Unternehmen nicht aktiv steuert, riskiert nicht nur Datenschutzverstöße, sondern persönliche Haftung.

Dieser Beitrag zeigt Ihnen rechtlich und technisch fundiert, welche Pflichten 2026 gelten, wie Sie Schatten-IT konkret in den Griff bekommen und welche Sofortmaßnahmen jeder Geschäftsführer jetzt umsetzen sollte.

Hinweis: Dieser Beitrag bietet eine fundierte Orientierung, ersetzt aber keine individuelle Rechtsberatung. Für die konkrete Umsetzung in Ihrem Unternehmen empfehlen wir die Abstimmung mit Ihrem Datenschutzbeauftragten und Ihrer Rechtsabteilung.

Schatten-IT bezeichnet alle Software, Tools und Cloud-Dienste, die im Unternehmen genutzt werden, ohne dass die IT-Abteilung oder Geschäftsführung darüber Bescheid weiß oder sie freigegeben hat. Bei KI-Tools ist das Phänomen besonders ausgeprägt, weil:

• Die Einstiegshürde minimal ist: ChatGPT, Claude, Gemini & Co. sind in Sekunden im Browser einsatzbereit. Keine Installation, kein Admin-Recht erforderlich.
• Der Nutzen unmittelbar spürbar ist: Mitarbeiter sparen tatsächlich Zeit – also nutzen sie die Tools weiter, auch wenn es keine Freigabe gibt.
• Niemand "Nein" sagt: Solange keine klaren Richtlinien existieren, fühlen sich Mitarbeiter berechtigt, alles zu nutzen, was hilfreich erscheint.

Warum das 2026 brisanter ist als je zuvor:

1. Der EU AI Act ist in Kraft. Seit Februar 2025 gelten die Verbote für unzulässige KI-Praktiken, seit August 2025 die Pflichten für Anbieter von General-Purpose-AI-Modellen. Ab August 2026 greifen die Anforderungen für Hochrisiko-KI-Systeme. Und das betrifft auch Anwender.
2. Die DSGVO wird strenger durchgesetzt. Datenschutzbehörden haben 2025 und 2026 begonnen, KI-Datenschutzverstöße aktiv zu prüfen. Die ersten Bußgelder im siebenstelligen Bereich liegen vor.
3. Versicherer schauen genauer hin. Cyber-Versicherungen verlangen zunehmend Nachweise über Governance-Strukturen für KI-Nutzung – ohne diese drohen Deckungslücken im Schadensfall.

Mit anderen Worten: Was 2024 noch ein theoretisches Risiko war, ist 2026 ein konkretes Compliance-Problem.

Drei Regelwerke sind für Geschäftsführer beim Thema KI-Nutzung im Unternehmen zentral:

1. EU AI Act (Verordnung 2024/1689)

Der EU AI Act ist die weltweit erste umfassende Regulierung für künstliche Intelligenz. Er ist seit dem 1. August 2024 in Kraft und wird in mehreren Stufen wirksam:

• Februar 2025: Verbot unzulässiger KI-Praktiken (z. B. Social Scoring, manipulative KI, biometrische Echtzeit-Identifikation in öffentlichen Räumen)
• August 2025: Pflichten für Anbieter von General-Purpose-AI-Modellen (Transparenz, technische Dokumentation)
• August 2026: Anwendung der Regeln für Hochrisiko-KI-Systeme und der Transparenzpflichten (Art. 50)
• August 2027: Volle Anwendbarkeit aller Bestimmungen

Was bedeutet das konkret für mittelständische Unternehmen?

Auch wenn Sie keine eigene KI entwickeln, sind Sie als „Betreiber" (Deployer) im Sinne des AI Acts in der Pflicht, sobald Sie ein Hochrisiko-KI-System im Unternehmen einsetzen. Hochrisiko-Systeme finden sich z. B. in:

• Bewerbermanagement und HR (KI-gestützte Vorauswahl von Kandidaten)
• Kreditwürdigkeits- und Bonitätsprüfungen
• Mitarbeiterüberwachung und Leistungsbewertung
• Kritische Infrastruktur

Auch wenn Ihr Unternehmen "nur" ChatGPT nutzt, gilt Artikel 4 des AI Acts: Anbieter und Betreiber müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt – ein direkter gesetzlicher Auftrag zu Schulungen und Richtlinien.

2. Datenschutz-Grundverordnung (DSGVO)

Die DSGVO gilt unverändert weiter und ist beim KI-Einsatz oft das größere Problem als der AI Act selbst. Relevante Pflichten:

• Rechtmäßigkeit der Verarbeitung (Art. 6): Wer personenbezogene Daten in ein KI-Tool eingibt, braucht eine Rechtsgrundlage.
• Datenschutz-Folgenabschätzung (Art. 35): Bei systematischer Nutzung neuer Technologien wie KI ist eine DSFA häufig verpflichtend.
• Auftragsverarbeitung (Art. 28): Externe KI-Dienste sind in der Regel Auftragsverarbeiter – ein AV-Vertrag ist Pflicht.
• Internationale Datenübermittlung (Kap. V): Werden Daten an US-Anbieter übertragen, müssen Mechanismen wie der EU-US Data Privacy Framework greifen.

3. Geschäftsgeheimnisgesetz (GeschGehG)

Wer Kalkulationen, Strategien oder Quellcode in ein KI-Tool eingibt, das Eingaben zum Training nutzt, riskiert den Verlust des Geheimnisschutzes nach § 2 GeschGehG. Denn ein Geschäftsgeheimnis ist nur dann eines, wenn angemessene Geheimhaltungsmaßnahmen ergriffen werden. Unkontrollierte KI-Nutzung kann diese Maßnahme genau gegenteilig auslegen lassen.

Aus unserer Beratungspraxis kennen wir die typischen Risikofelder:

1. Datenschutzverstöße durch unbedachte Eingaben

Ein Mitarbeiter im HR lädt eine Bewerbungsmappe mit Lebenslauf und Foto in ChatGPT, um eine Zusammenfassung zu erhalten. Damit wurden personenbezogene Daten ohne Rechtsgrundlage an einen US-Anbieter übermittelt. Bußgeldrisiko: Je nach Sachverhalt vier- bis sechsstellig.

2. Verlust von Betriebsgeheimnissen

Ein Vertriebler kopiert eine interne Preiskalkulation in ein kostenloses KI-Tool, um eine Argumentation zu formulieren. Diese Daten können beim Anbieter gespeichert und potenziell für Modelltraining verwendet werden. Wettbewerbsnachteile sind kaum noch nachweisbar – aber real.

3. Falsche Geschäftsentscheidungen durch Halluzinationen

Eine KI erfindet eine Norm, einen Paragrafen oder eine Marktstudie. Wer das ungeprüft in ein Angebot oder einen Vertrag übernimmt, haftet zivilrechtlich – die KI haftet nicht.

4. Urheberrechts- und Lizenzverletzungen

KI-generierte Bilder oder Texte können Rechte Dritter verletzen. Wer sie ohne Prüfung kommerziell nutzt, übernimmt das Risiko vollständig.

5. Supply-Chain-Risiken durch KI-generierten Code

Entwickler nutzen KI-Assistenten, die ungeprüft Open-Source-Pakete vorschlagen – darunter potenziell kompromittierte Pakete. Wie real dieses Risiko ist, haben wir kürzlich am Beispiel des axios-Vorfalls beschrieben (siehe unseren Beitrag dazu im Blog).

6. Verlust der Versicherbarkeit

Cyber-Versicherer fragen 2026 in Risikofragebögen explizit nach KI-Governance. Wer keine Richtlinien nachweisen kann, verliert im Ernstfall den Versicherungsschutz.

Aus EU AI Act, DSGVO und allgemeinen Sorgfaltspflichten ergeben sich für die Geschäftsleitung 2026 folgende Mindestanforderungen:

Pflicht 1: KI-Inventar erstellen

Sie müssen wissen, welche KI-Tools tatsächlich im Unternehmen genutzt werden. Das ist die Grundlage für jede weitere Maßnahme. Eine anonyme Mitarbeiterbefragung deckt erfahrungsgemäß deutlich mehr auf als die Annahmen der Geschäftsführung.

Pflicht 2: KI-Richtlinie verabschieden

Eine schriftliche, allen Mitarbeitern bekannte KI-Nutzungsrichtlinie ist 2026 Standard. Sie regelt:

• Welche Tools sind erlaubt, welche nicht
• Welche Daten dürfen eingegeben werden, welche nicht
• Wer ist Ansprechpartner bei Fragen
• Welche Konsequenzen hat ein Verstoß

Pflicht 3: Mitarbeiter schulen (Art. 4 EU AI Act)

Der AI Act verlangt explizit ausreichende KI-Kompetenz beim Personal. Das ist keine Empfehlung, sondern eine Pflicht. Eine einmalige Schulung mit Nachweis ist das Minimum – sinnvoller ist ein kontinuierlicher Aufbau, wie wir ihn in unserem Beitrag zur KI-Einführung im Mittelstand ausführlich beschreiben.

Pflicht 4: Datenschutz-Folgenabschätzung (DSFA)

Bei systematischer KI-Nutzung mit personenbezogenen Daten ist eine DSFA in der Regel verpflichtend. Wir empfehlen, diese unter Einbindung des Datenschutzbeauftragten zu erstellen und jährlich zu aktualisieren.

Pflicht 5: Auftragsverarbeitungsverträge prüfen

Für jedes externe KI-Tool, das Sie offiziell nutzen, brauchen Sie einen AV-Vertrag mit dem Anbieter. Bei den Business-Versionen von OpenAI, Anthropic und Microsoft gibt es Standardverträge – die müssen aber unterzeichnet und dokumentiert werden.

Pflicht 6: Technische Schutzmaßnahmen umsetzen

Wenn Sie wissen, welche Tools genutzt werden dürfen, müssen Sie auch dafür sorgen, dass die anderen nicht genutzt werden können. Dazu gehören:

• DNS- und Firewall-Filter für nicht freigegebene Dienste
• Single Sign-On (SSO) und zentrale Lizenzverwaltung für genehmigte Tools
• Monitoring auf nicht autorisierte API-Zugriffe

Pflicht 7: Verstöße dokumentieren und sanktionieren

Wer eine Richtlinie hat, sie aber nicht durchsetzt, verschlechtert seine rechtliche Position. Im Schadensfall fragt der Richter: „Was haben Sie unternommen, um Verstöße zu erkennen und zu ahnden?"

Der Aufbau einer vollständigen KI-Governance dauert Monate. Aber es gibt fünf Maßnahmen, die Sie in den nächsten Tagen anstoßen können – und die Ihre Risikoposition deutlich verbessern:

1. Anonyme Bestandsaufnahme starten (1 Tag)

Fragen Sie Ihre Mitarbeiter anonym, welche KI-Tools sie aktuell nutzen, wofür und mit welchen Daten. Sie werden überrascht sein – meist im negativen Sinne.

2. Ein Notfall-Memo verschicken (1 Stunde)

Ein einseitiges Schreiben der Geschäftsführung an alle Mitarbeiter mit drei klaren Regeln:

1. Keine personenbezogenen Daten in kostenlose KI-Tools.
2. Keine internen Kalkulationen, Strategien, Verträge in kostenlose KI-Tools.
3. KI-Ergebnisse immer prüfen – kein Versand ohne Sichtprüfung.

Das ersetzt keine Richtlinie, ist aber sofort wirksam und rechtlich relevant.

3. Eine Business-Lizenz für ein freigegebenes Tool besorgen (1–2 Tage)

Wenn Sie Mitarbeitern verbieten, kostenlose Tools zu nutzen, müssen Sie eine freigegebene Alternative anbieten. ChatGPT Business, Microsoft Copilot oder Claude for Work bieten datenschutzkonforme Versionen mit AV-Vertrag.

4. Datenschutzbeauftragten einbinden (1 Termin)

Setzen Sie ein verbindliches Erstgespräch mit Ihrem DSB an. Falls Sie keinen haben und einen brauchen (ab 20 Personen oder bei bestimmten Verarbeitungen): jetzt benennen.

5. Externes Audit anfragen (1 E-Mail)

Lassen Sie Ihre aktuelle Situation extern bewerten. Ein zweistündiges Audit deckt meist 80 % der kritischen Lücken auf und liefert eine klare Roadmap.

Bei Codana arbeiten wir täglich mit KI – im Code, in Prozessen, in Kundenprojekten. Wir wissen aus eigener Erfahrung, was funktioniert und was nicht. Unser Ansatz für mittelständische Unternehmen umfasst drei Bausteine:

Baustein 1: Governance-Aufbau

Wir entwickeln gemeinsam mit Ihnen eine pragmatische KI-Richtlinie, die rechtlich tragfähig ist und im Alltag funktioniert. Inklusive Mustertexten, Schulungskonzept und Dokumentationsvorlagen.

Baustein 2: Technische Umsetzung

Wir richten freigegebene KI-Tools mit SSO, Lizenzverwaltung und Monitoring ein. Wo sinnvoll, integrieren wir KI-Agents direkt in Ihre bestehenden Systeme – DSGVO-konform und mit klarer Datenflusskontrolle.

Baustein 3: Mitarbeiterbefähigung

Wir schulen Ihre Teams praxisnah an ihren echten Aufgaben. Keine theoretischen Slides, sondern Workshops, in denen Mitarbeiter selbst lernen, KI sicher und produktiv einzusetzen. Wie das in der Praxis aussieht, beschreiben wir ausführlich in unserem Beitrag zur KI-Einführung im Mittelstand.

Das Ergebnis: Sie schließen Compliance-Lücken, Ihre Mitarbeiter werden produktiver – und Sie wissen jederzeit, was in Ihrem Unternehmen mit KI passiert.

„Reicht es nicht, KI einfach zu verbieten?"

Nein – aus zwei Gründen. Erstens lässt sich ein Verbot ohne technische Kontrolle nicht durchsetzen, Mitarbeiter würden auf private Geräte ausweichen. Zweitens verschenken Sie damit massive Effizienzgewinne, die Ihre Wettbewerber heben werden. Steuern statt verbieten ist 2026 die einzig tragfähige Strategie.

„Muss ich wirklich jetzt schon handeln, oder kann ich auf Konkretisierung des AI Acts warten?"

Sie müssen jetzt handeln. Die DSGVO gilt seit 2018 – jeder Datenschutzverstoß durch Schatten-IT-KI ist heute schon sanktionierbar. Der AI Act verschärft die Lage zusätzlich, ist aber nicht der einzige Hebel. Wer wartet, vergrößert seine Haftungsrisiken Monat für Monat.

„Was kostet eine professionelle KI-Governance für ein mittelständisches Unternehmen?"

Ein pragmatischer Aufbau (Richtlinie, Schulung, technische Grundausstattung) ist meist im niedrigen fünfstelligen Bereich realisierbar. Ein einziges DSGVO-Bußgeld liegt typischerweise eine bis drei Größenordnungen darüber.

„Brauche ich dafür wirklich externe Unterstützung?"

Nicht zwingend – aber sinnvoll. Externe Berater bringen Vergleichsdaten aus anderen Projekten mit, kennen die typischen Stolperfallen und können in Wochen erreichen, wofür interne Teams Monate brauchen würden.

Schatten-IT durch KI ist 2026 kein theoretisches IT-Problem mehr – sie ist eine konkrete Compliance- und Haftungsfrage für die Geschäftsleitung. EU AI Act, DSGVO und Geheimnisschutz schaffen einen Rahmen, der nicht ignoriert werden kann.

Die gute Nachricht: Wer jetzt handelt, ist in wenigen Wochen rechtlich abgesichert – und schafft gleichzeitig die Grundlage für echte Produktivitätsgewinne. Die Kombination aus klaren Richtlinien, freigegebenen Tools und geschulten Mitarbeitern ist der Standard, an dem sich erfolgreiche mittelständische Unternehmen 2026 messen lassen.

Drei Dinge, die Sie aus diesem Beitrag mitnehmen sollten:

1. Schatten-IT durch KI ist Realität – auch in Ihrem Unternehmen, ob Sie es wissen oder nicht.
2. Die rechtlichen Pflichten sind 2026 konkret – DSGVO und EU AI Act lassen keinen Spielraum mehr für Untätigkeit.
3. Steuern statt verbieten – die produktive Nutzung von KI ist möglich und nötig, aber nur mit klarer Governance.

Wenn Sie wissen wollen, wie es in Ihrem Unternehmen tatsächlich aussieht und welche konkreten Schritte für Sie sinnvoll sind: Sprechen Sie uns an. Ein erstes Gespräch ist unverbindlich, dauert 30 Minuten und gibt Ihnen sofort eine klare Einschätzung.

Jetzt kostenloses Erstgespräch zur KI-Governance vereinbaren – wir freuen uns auf Ihre Anfrage.