Vier von zehn Firmen ahnen, dass ihre Leute heimlich KI nutzen. Schuld daran ist selten die Belegschaft. Es fehlt die Entscheidung wie „die KI” richtig genutzt werden kann. Der Ausweg ist unbequem und einfach zugleich: sich mit denen zusammensetzen, die es eh schon tun.
Vor ein paar Wochen saß ich in Bremen auf einem KI-Abend, dem THINK REACTOR. Über den Abend habe ich schon einmal geschrieben, weil mich vor allem KIPITZ überrascht hat, die KI-Plattform, die der Bund gerade ernsthaft nach vorne baut. Aber es gab an dem Abend noch einen zweiten Satz, der mich seitdem nicht loslässt, und der kam von Enrico Pause, der KIPITZ verantwortet.
Enrico hatte eine Bitkom-Studie dabei, die hängengeblieben ist:
Vier von zehn Firmen rechnen damit, dass bei ihnen Schatten-IT im Sinne von KI läuft. Nur ein Viertel hat dafür überhaupt Regeln. Und nur ein weiteres Viertel stellt den eigenen Leuten ein Angebot hin.
Die allermeisten wissen, dass ihre Beschäftigten KI benutzen, und geben ihnen trotzdem nichts an die Hand, woran sie sich halten könnten. Und wenn ich mich in meinem Umfeld umhöre, ist es in fast jedem Unternehmen so, dass ChatGPT genutzt wird, obwohl es die Menschen nicht dürfen.
Ich halte ja nicht hinterm Berg mit dem, was ich den ganzen Tag mache. Ich erzähle gern, was ich gerade mit Claude Code gelöst habe, welches Werkzeug neu dazugekommen ist, womit ich mir den Alltag leichter mache. Und genau dann fällt er, fast immer halblaut: „Wir haben bei uns eigentlich eine NoAI-Policy.” „Aber unter der Hand nutzen wir es trotzdem alle.”
Dieses „trotzdem alle” ist genau das, was Enrico meint. Das ist Schatten-KI.
Der große Bruder ist schon lange bekannt, Schatten-IT. Gemeint ist das, was passiert, wenn Mitarbeitende sich ihre Werkzeuge selbst besorgen, weil die Lösung vom Arbeitgeber fehlt oder die falsche ist. Dann wird die eigene Software gebucht, die eigene Tastatur, das eigene Mikrofon mitgebracht, und man hilft sich selbst. Bei KI bekommt das eine extra Tragweite. In der IT Abteilung fällt das längst nicht mehr auf. Es ist der ChatGPT-Account, den sich jemand privat geklickt hat. Der Gemini Account, der ohnehin auf dem Android-Telefon mitläuft. Ein Perplexity für schnelle Recherche, ein Canva-Plan für den Flyer zwischendurch.
Und ja, das ist ein Problem. Nicht zuerst das offensichtliche, also der Wildwuchs an Werkzeugen oder die Frage, wo die Daten liegen, wenn die Person irgendwann weg ist und keiner mehr weiß, wer was wie gemacht hat. Das eigentliche sitzt tiefer. Ich nehme Datenschutz ernst, auch wenn ich gern auf der Grauzone surfe, aber was vielen nicht bewusst ist: Viele der kostenlosen Accounts trainieren mit dem, was du eingibst, und sagen das in ihren Bedingungen auch offen. Welcher Anbieter in welchem Tarif, das ändert sich ständig und prüft kaum jemand. Wenn du Pech hast, taucht etwas davon irgendwann wieder auf, in deiner Antwort oder in der von jemand anderem.
Dahinter steckt mehr als Datenschutz im engen Sinn, also die Frage, ob ich Kundendaten ohne Prüfung und ohne AV-Vertrag irgendwohin gebe. Es geht um Wissen, das abfließt. Wissen, das dem Unternehmen gehört und das wertvoll ist, wandert Stück für Stück in ein fremdes Modell. Niemand hat das entschieden, es passiert einfach nebenbei.
Für mich ist das der eigentliche Punkt: Deine Leute machen dabei nichts falsch. Sie hören überall von den großen Dingen und der Arbeitserleichterung, die möglich ist. Sie reagieren auf eine Entscheidung, die keiner getroffen hat. Sie handeln aus Notwendigkeit, das Werkzeug liegt ja zum Greifen nah. Und das Risiko tragen sie am Ende selbst.
Wenn ich nicht mehr weiterweiß, gründe ich einen Arbeitskreis
Was machen Unternehmen, die trotzdem streng auf der NoAI-Linie bleiben? Sie bilden einen Arbeitskreis. Da sitzen dann Leute drin und schauen sich Sachen an. Meistens landet das bei der IT, nach dem Muster: KI, IT, klingt nach Abkürzung, hat mit Computern zu tun, die werden das schon passend machen. Und genau da habe ich von genug Menschen gehört, dass das nicht die richtige Adresse ist. Worauf so eine IT-Abteilung Wert legt, ist oft ein anderes als das, was einer im Alltag wirklich braucht. Da wird zu groß gedacht, zu kompliziert, und an den Schnittstellen vorbei, die jemand an der Front tatsächlich nutzt. Denn darum geht es nicht, welches Mailprogramm jemand benutzt. Es geht um den Arbeitsfluss: Was brauche ich, wie kommen Informationen rein und raus, wo werden sie gesammelt.
Hol dir die, die es eh schon tun
Verbieten funktioniert nicht. Enrico hat das an dem Abend trocken gesagt:
„Es gibt keine Handhabe, den Menschen das Internet wegzunehmen. Auch nicht in einer Behörde. Nirgends.”
Wenn das schon für die Bundesverwaltung gilt, dann für deinen Betrieb erst recht.
Bleibt der unbequemere Weg, und der ist eigentlich der schönere. Du gehst zu den Leuten, die es längst tun. Man kriegt ja mit, wer das ist. Statt es zu verbieten, nimmst du genau diese Personen und sagst: du machst das schon viel, du kannst das schon, lass uns zusammen rausfinden, wie wir das bei uns einbringen und für die Kolleginnen und Kollegen zugänglich machen. Menschen, die andere anstiften, es zu nutzen, in einem geschützten Rahmen.
Wie der aussieht, hängt vom Unternehmen ab. Manchmal reicht ein gemeinsamer, bezahlter ChatGPT-Account, in dem man miteinander spricht. Manchmal ist es OpenWebUI, selbst gehostet, unternehmensweit. Manchmal Langdock, wo verschiedene Modelle und verschiedene Nutzer zusammenkommen. Und manchmal ist es nur eine kleine Pipeline: Eine Mail kommt rein, und sie geht automatisch dahin, wo sie hin soll. Was ich selten erlebt habe, ist, dass die Antwort am Ende Microsoft Copilot heißt. Glücklich habe ich damit noch niemanden gesehen.
Unter all dem liegt eine Hausaufgabe, die mit KI noch gar nichts zu tun hat: einmal zu klären, was Aufgaben sind, die im Alltag anfallen. Diese in kleine Happen zu zerlegen und dann Stück für Stück anzugehen.
Enrico baut das gerade für eine ganze Bundesverwaltung. Im Kleinen ist es dieselbe Bewegung. Schatten-KI wird gern weggedrückt und noch lieber ignoriert, dabei nutzen deine Mitarbeiter es längst. Die einzige offene Frage ist, ob du mit am Tisch sitzt und entscheidest.