Künstliche Intelligenz gehört in vielen Unternehmen zur täglichen Arbeit. Beschäftigte lassen Texte vorbereiten, Besprechungen zusammenfassen, E-Mails übersetzen, Recherchen beschleunigen, Tabellen auswerten oder Präsentationen entwerfen. Ein Teil dieser Nutzung läuft über freigegebene Systeme. Ein anderer Teil erfolgt über private Accounts, frei verfügbare Webdienste, Browser-Erweiterungen oder externe Plattformen.
Damit entsteht ein Sicherheitsproblem. Beschäftigte geben Informationen ein: interne Texte, Kundenvorgänge, Vertragsauszüge, Zahlen, Protokolle, Einschätzungen oder Quellcode. Sobald solche Inhalte in nicht freigegebene KI-Systeme gelangen, verlassen sie den kontrollierten Bereich des Unternehmens. Kritisch ist das vor allem bei personenbezogenen Daten, Kunden- und Vertragsunterlagen, internen Kalkulationen, Strategiepapieren, Quellcode oder anderen technischen Informationen.
Shadow IT kehrt mit KI zurück
Unternehmen kennen dieses Muster von der Shadow IT: Anwendungen werden genutzt, ohne dass sie geprüft, freigegeben oder in IT-Umgebungen eingebunden sind. Mit KI verschärft sich das Risiko, weil Eingaben und damit die Anwender selbst zum Sicherheitsproblem werden können. Eine schnelle Übersetzung, eine automatische Zusammenfassung oder ein mit KI erstellter Entwurf eines Anschreibens können dazu führen, dass Informationen außerhalb des Unternehmens verarbeitet werden.
Das Problem ist noch größer. Die Brisanz zeigt eine internationale PagerDuty-Studie unter 1.250 Büroangestellten in Unternehmen ab 500 Millionen Dollar Jahresumsatz. 66 Prozent der Befragten gaben an, KI-Tools beruflich genutzt zu haben, obwohl sie annahmen, dass diese Nutzung gegen Unternehmensregeln verstößt. 43 Prozent hatten E-Mails oder andere berufliche Korrespondenz in öffentliche KI-Systeme eingegeben. Genannt werden außerdem Kundendaten, Finanzinformationen, vertrauliche Dokumente und interne Strategien.
Die Nutzung ist umfangreich, die Ordnung spärlich
McKinsey berichtet im „State of AI in 2025“, dass 88 Prozent der befragten Organisationen KI regelmäßig in mindestens einem Geschäftsbereich einsetzen. Diese Zahl belegt die Verbreitung ihrer Nutzung. Entscheidend ist allerdings der Abstand zwischen Verbreitung und organisatorischer Einbindung: Viele Unternehmen nutzen laut McKinsey KI punktuell, während eine unternehmensweite Skalierung, die Definition von Rollen sowie geregelte Freigaben und Kontrollen deutlich später folgen.
Viele Unternehmen haben Datenschutzvorgaben, IT-Sicherheitsregeln, Vertraulichkeitsvereinbarungen und Freigabeprozesse. Diese Vorgaben müssen auf die Nutzung von KI übertragen werden. Darf ein Protokoll-Tool interne Besprechungen mitschneiden? Welche Daten dürfen in ein Übersetzungssystem eingegeben werden? Darf eine Kundenmail mit einem öffentlichen Chatbot überarbeitet werden? Wer verantwortet die Prüfung einer von KI produzierten Entscheidungsvorlage? Welche Nutzung muss dokumentiert werden?
AI Act erhöht den Druck: Ohne Compliance geht’s nicht
Der EU AI Act schafft einen risikobasierten Rechtsrahmen für KI-Systeme. Seit dem 2. Februar 2025 gilt die Pflicht zur KI-Kompetenz: Unternehmen müssen dafür sorgen, dass Personen, die KI-Systeme einsetzen oder deren Nutzung verantworten, über ausreichende Kenntnisse für ihren jeweiligen Einsatzkontext verfügen. Weitere Pflichten treten gestaffelt in Kraft. Unternehmen müssen deshalb wissen, wo KI eingesetzt wird, welche Personen mit welchen Systemen arbeiten und welche Risiken aus der jeweiligen Nutzung entstehen.
Für die Praxis heißt das: Führungskräfte müssen die tatsächliche Nutzung im eigenen Verantwortungsbereich kennen. Welche Systeme werden verwendet? Über welche Zugänge? Für welche Aufgaben? Mit welchen Daten? Welche Ergebnisse fließen in Kundenkommunikation, interne Vorlagen, Entscheidungen oder Dokumentation ein?
Agenten erhöhen das Risiko
Besonders anspruchsvoll wird die Lage mit KI-Agenten. Solche Systeme bearbeiten Aufgaben über mehrere Schritte, greifen auf Informationen zu, priorisieren Vorgänge oder lösen weitere Aktivitäten aus. Eine Kontrolle allein am Ende solcher Vorgänge reicht oft nicht aus, weil bestimmte Datenzugriffe dann bereits erfolgt sind.
IBM berichtet über eine Befragung von 2.000 CIOs und CTOs. 77 Prozent der Befragten sagen, dass die KI-Einführung die vorhandenen Governance-Strukturen bereits überholt; nur 11 Prozent sehen sich vollständig auf den erwarteten Umfang des Agenteneinsatzes vorbereitet. Fragen der Sicherheit und Compliance gehören zu den zentralen Hindernissen.
Führungskräfte müssen Nutzung sichtbar machen
Die Aufgaben liegen aktuell nicht nur beim Management, sondern auch in den Fachbereichen. Dazu gehört eine Bestandsaufnahme der genutzten KI-Systeme, der eingesetzten Daten und der Ergebnisse. Führungskräfte müssen wissen, welche KI-Systeme verwendet werden, welche Daten eingegeben werden und welche Ergebnisse in die Kundenkommunikation, in Entscheidungsvorlagen, Protokolle oder Auswertungen gelangen.
Aus der Bestandsaufnahme entstehen verbindliche Regeln für die jeweilige Arbeitspraxis. Sie bilden die Grundlage der KI-Compliance im Fachbereich: Welche Systeme genutzt werden dürfen, welche Daten ausgeschlossen sind, wer Ergebnisse prüft und wann eine Nutzung dokumentiert werden muss. Sensible Daten gehören nicht in ungeprüfte externe Systeme. Interne Strategiepapiere, Kundendaten, personenbezogene Informationen, Vertragsunterlagen, Zugangsdaten und mancher Quellcode müssen ausgeschlossen werden. Für freigegebene Systeme braucht es Regeln zur Prüfung, für Freigaben und zur Kennzeichnung von KI-gestützten Ergebnissen.
KI braucht Governance und Compliance
Unternehmen müssen KI-Nutzung dort erfassen und regeln, wo sie tatsächlich stattfindet: in den Fachbereichen, im Vertrieb, in der Verwaltung und bei der Führung. Eine allgemeine Policy reicht nicht, wenn Beschäftigte mit privaten Accounts, externen Diensten oder ungeprüften Erweiterungen arbeiten.
Wer KI im Unternehmen verantwortlich einsetzen will, braucht eine umfassende Transparenz über die tatsächliche Nutzung sowie freigegebene Werkzeuge, eindeutige Regeln und Führungskräfte, die dafür sorgen, dass die Vorgaben in den Prozessen ankommen. Sonst steht Sicherheit auf dem Papier, während die Praxis anders läuft.
Kostenloses Webinar: KI-Compliance im Unternehmen
Wie schaffen Unternehmen den Spagat zwischen produktiver KI-Nutzung und rechtssicherem Einsatz? Welche Anforderungen stellt der EU AI Act an Unternehmen und Führungskräfte? Und wie lassen sich klare Regeln etablieren, ohne Innovation auszubremsen?
In unserem kostenlosen Webinar KI-Compliance für Führungskräfte erhalten Sie einen kompakten Überblick über die wichtigsten rechtlichen und organisatorischen Anforderungen rund um den sicheren Einsatz von Künstlicher Intelligenz im Unternehmen. Erfahren Sie, wie Sie eine Compliance sinnvoll aufbauen und Ihre Bereiche fit machen für den sicheren Einsatz von KI.
Jetzt kostenlos anmelden und KI im Unternehmen sicher und verantwortungsvoll gestalten:
https://www.cmt.de/seminare/ki-compliance-management-webinar/