Die Nutzung nicht genehmigter KI-Tools durch Beschäftigte stellt Unternehmen vor neue Herausforderungen.
Verborgene Risiken: KI aus der Schattenwelt
ChatGPT ist nur einen Tab entfernt – und genau das ist das Problem. In vielen Unternehmen entstehen gerade KI-Strategien, werden Tools evaluiert und Risiken diskutiert. Doch während die Unternehmensführung noch plant, schaffen Mitarbeitende bereits Fakten. Sie registrieren sich bei KI-Diensten, laden vertrauliche Daten hoch und verwenden die Antworten weiter. Alles, ohne Freigabe oder Kontrolle.
Was hier passiert, nennt sich „Schatten-KI“. Der Begriff beschreibt die Nutzung von KI-Anwendungen durch Mitarbeitende, ohne dass diese durch das Unternehmen genehmigt wurden. Viele dieser Anwendungen arbeiten cloudbasiert. Es reicht oft ein Account mit einer Firmen-E-Mail-Adresse, und schon sind sensible Unternehmensdaten auf fremden Servern. Bei der kostenfreien Nutzung werden die Nutzer oft selbst zum Produkt, d.h. die Diensteanbieter behalten sich vor, die eingegebenden Daten zu eigenen Zwecken zu nutzen.
Kein Zugriff, keine Kontrolle
Zwar besteht etwa über Microsoft Cloud-Discovery (Microsoft Defender for Cloud Apps), Zscaler Cloud App Control oder anderen alternativen Tools die Möglichkeit nachzuvollziehen, bei welchen Clouddiensten sich Mitarbeitende mit Firmen-E-Mail-Adressen angemeldet haben, jedoch verfügt nicht jedes Unternehmen über diese Möglichkeit bzw. die erforderliche Lizenz.
Vertragliche Fallstricke und Datenschutzverstöße
Werden KI-Tools eigeninitiativ zur Datenanalyse, Marketingautomatisierung oder zur Visualisierung von Daten verwendet, ohne dass dies intern abgestimmt wurde, kann dies unmittelbar zu Verstößen gegen bestehende Geheimhaltungsverpflichtungen führen. Viele Unternehmen schränken bereits die Nutzung von KI-Tools so ein, indem sie vertraglich gegenüber ihren Diensteanbietern die Nutzung von KI ausschließen – sofern nicht vorab informiert und/oder eine Freigabe erteilt wurde. Solche Vorsichtsmaßnahmen sollen verhindern, dass personenbezogene oder vertrauliche Daten unkontrolliert in externe KI-Systeme fließen, was einen meldepflichtigen Datenschutzvorfall darstellen kann. Auftragnehmende Unternehmen, die solchen vertraglichen Regelungen unterworfen sind, laufen Gefahr, bei einer entsprechenden unautorisierten KI-Nutzung durch Beschäftigte gegen bestehende Verträge zu verstoßen.
Auch können Verstöße gegen bestehende Auftragsverarbeitungsvereinbarungen gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) vorliegen. In solchen Verträgen ist in der Regel festgelegt, dass der Auftraggeber über den Einsatz neuer Subdienstleister, die in die Datenverarbeitung eingebunden werden, informiert werden muss – was im Fall eines nicht autorisierten KI-Tools nicht geschehen ist. In vielen Fällen ist zudem die vorherige Freigabe erforderlich. Unternehmen, die als Auftragsverarbeiter tätig sind, haben sogar die Pflicht, neue Subdienstleister vorab zu prüfen – was logischerweise nicht möglich ist, wenn das Unternehmen nicht weiß, dass solche Subdienstleister (wie etwa durch Schatten-KI) eingebunden wurden.
Darüber hinaus kann die unerlaubte Verarbeitung personenbezogener Daten durch Schatten-KI unmittelbar zu einer Datenschutzverletzung gemäß Artikel 33, 34 DSGVO führen, die unter Umständen an die zuständige Aufsichtsbehörde gemeldet werden muss bzw. die betroffenen zu informieren sind.
Mitarbeiterexzess?
Zwar könnte sich das Unternehmen in einem solchen Fall auf den Standpunkt stellen, dass der Mitarbeitende gegen interne Vorgaben zur Datenverarbeitung verstoßen hat und hier ein sogenannter „Mitarbeiterexzess“ vorliegt – das heißt, dass der Mitarbeitende eigenständig Zwecke und Mittel der Datenverarbeitung festgelegt hat und damit selbst datenschutzrechtlich Verantwortlicher wäre. Allerdings dürfte dies im Hinblick auf die Reputation des Unternehmens sowie auf vertragliche Verpflichtungen gegenüber Kunden kaum eine Rolle spielen.
Was jetzt zu tun ist
Unternehmen müssen klare Regeln schaffen. Es reicht nicht, die Nutzung von KI-Tools zu verbieten oder allgemein zu regeln. Entscheidend ist, welche Informationen mit welchen Tools verarbeitet werden dürfen. Bereits eine simple Matrix mit Informationsklassen und freigegebenen Anwendungen kann hier enorm helfen und für Klarheit bei den Beschäftigten führen.
Ebenso wichtig: Aufklärung und Schulung. Mitarbeitende müssen verstehen, warum bestimmte Tools problematisch sein können – und wo die Risiken liegen. Wer das „Warum“ kennt, hält sich eher an Vorgaben.
KI braucht klare Regeln
Die Frage ist nicht mehr, ob KI genutzt wird, sondern wie. Unternehmen sollten die Initiative ergreifen und den Einsatz von KI aktiv steuern. Dazu gehören technische Kontrollmöglichkeiten, aber auch organisatorische Maßnahmen wie Freigabeprozesse oder Schulungen.
Die gute Nachricht: Wer jetzt handelt, kann Schatten-KI ins Licht holen und in produktive Bahnen lenken. Dies bietet auch die Chance unmittelbar mit den Beschäftigten ins Gespräch zu kommen, um letztlich gemeinsam die richtige KI-Strategie zu erarbeiten und umzusetzen. Denn wenn KI richtig eingesetzt wird, ist sie kein Risiko, sondern ein Wettbewerbsvorteil.
Bildnachweis: KI generiert
AUTOR
Matthias Rosa ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und Konzerne tätig. Darüber hinaus ist er Rechtsanwalt und Fachanwalt für IT-Recht bei der Kanzlei Bette Westenberger & Brink in Mainz sowie Dozent zu datenschutzrechtlichen Themen beim Mainzer Medieninstitut im Rahmen des Masterstudiengangs Medienrecht.