Die Adoption generativer KI hat in Deutschland in den letzten Monaten signifikant an Fahrt aufgenommen. Aktuelle Daten des Bitkom e.V. zeigen, dass zwei Drittel (67 %) der über 16-jährigen Bundesbürger zumindest gelegentlich generative KI-Lösungen wie ChatGPT, Microsoft Copilot oder Google Gemini einsetzen. Im Sommer 2024 lag dieser Wert noch bei 40 %.
Gemäß einer Umfrage der Software AG würden deutsche Wissensarbeiter KI-Tools auch dann noch nutzen, wenn ihr Unternehmen die Nutzung verbieten würde. Schatten KI ist in deutschen Büros also bereits Realität – mit oder ohne Erlaubnis der IT-Abteilung.
Besonders brisant wird diese Entwicklung vor dem Hintergrund des neuen EU AI Act. Seit Februar müssen europäische Unternehmen allgemeine Vorschriften einhalten, wenn sie KI-Systeme einsetzen. Bereits die Nutzung von ChatGPT, Copilot oder vergleichbaren KI-Systemen anderer Anbieter fällt unter diese Verordnung.
Das Problem verschärft sich, wenn Mitarbeitende – oft auch unbedacht – sensible Unternehmensdaten in das KI-Tool eingeben und damit nicht nur Datenschutzverletzungen riskieren, sondern auch Cyberkriminellen neue Angriffsflächen bieten.
Eric Johnson, CIO von PagerDuty kommentiert hierzu:
„Schatten KI ist ein Symptom und nicht das Problem selbst. Die meisten Nutzer verwenden KI-Tools, weil sie einen echten Mehrwert darin sehen: Sie sparen Zeit, werden produktiver und erzielen bessere Ergebnisse. Den Einsatz von KI zu ignorieren oder zu verbieten ist wie der Versuch, ein Gewitter zu stoppen, indem man Regenschirme verbietet.
Der bessere Ansatz ist, die Nutzung von KI zu akzeptieren und Leitplanken zu setzen. Beispielsweise durch offene Gespräche, in denen diskutiert wird, warum bestimmte Anforderungen nicht erfüllt werden und wie die IT ihre Mitarbeitenden besser unterstützen kann. Auch die vom EU AI Act geforderten Schulungsmaßnahmen helfen dabei, Compliance-Anforderungen zu erfüllen und gleichzeitig sicherzustellen, dass Mitarbeiter KI-Tools effektiv und sicher einsetzen können.
Für deutsche Unternehmen ist das besonders relevant, da sie nicht nur den EU AI Act, sondern auch die strengen DSGVO-Anforderungen erfüllen müssen. Bereits die Eingabe personenbezogener Daten in KI-Tools kann DSGVO-relevant sein, und bei sensiblen Daten wie Gesundheits- oder Finanzdaten gelten noch strengere Anforderungen. Hinzu kommt, dass viele KI-Anbieter ihre Server in den USA betreiben, was zusätzliche datenschutzrechtliche Prüfungen erfordert.
Der Schlüssel liegt daher in der Etablierung klarer Sicherheitsmaßnahmen: Single Sign-On, Zwei-Faktor-Authentifizierung und die Gewährleistung, dass Anbieter nachweisen können, dass sie Unternehmensdaten ordnungsgemäß verwalten und sichern können.
Ebenso wichtig ist es, Proxy-Lösungen zu implementieren, die verhindern, dass Nutzerdaten und Eingaben direkt an KI-Anbieter übertragen werden. Unternehmen sollten außerdem klar definieren, welche Datentypen in KI-Tools eingegeben werden dürfen und welche nicht.
Wenn diese grundlegenden Sicherheitsmaßnahmen implementiert sind und Compliance, Sicherheitsteams und die Rechtsabteilung grünes Licht geben, dann kann Innovation ermöglicht werden, anstatt sie zu blockieren."