Seit dem 2. Februar 2025 gilt nach Art. 4 der KI-Verordnung (AI Act) die Pflicht, Beschäftigte beim Einsatz von KI-Systemen ausreichend zu befähigen. Für Unternehmen ist das kein abstraktes Zukunftsthema mehr, sondern ein konkretes Organisations- und Haftungsthema.
Kurz gesagt: Viele Unternehmen haben längst KI-Nutzung im Betrieb, auch wenn sie intern noch keine KI-Strategie beschlossen haben. Mitarbeitende testen ChatGPT, Copilot, Gemini oder andere Tools, um Texte zu formulieren, Tabellen auszuwerten, E-Mails vorzubereiten oder Vertragsinhalte zu strukturieren. Das geschieht häufig nicht böswillig, sondern aus Zeitdruck und Pragmatismus. Genau darin liegt aber das Risiko.
Wenn Beschäftigte nicht wissen, welche Informationen sie in ein KI-Tool eingeben dürfen, welche Ergebnisse überprüft werden müssen und wann menschliche Kontrolle zwingend ist, entsteht aus Effizienz sehr schnell ein Compliance-Problem. Besonders kritisch wird es, wenn personenbezogene Daten, Geschäftsgeheimnisse, Vertragsentwürfe, Kundendaten oder interne Strategiepapiere in öffentliche KI-Dienste eingegeben werden.
Warum Schatten-KI für Unternehmen gefährlich ist
Schatten-KI meint den Einsatz von KI-Anwendungen außerhalb der freigegebenen IT- und Compliance-Strukturen. Das kann ein privater Account sein, ein Browser-Plugin, ein nicht geprüfter Online-Dienst oder ein KI-Tool, das zwar praktisch wirkt, aber rechtlich und technisch nie bewertet wurde.
Das Problem ist nicht der KI-Einsatz als solcher. Das Problem ist der unkontrollierte KI-Einsatz. Ohne klare Vorgaben weiß niemand zuverlässig, welche Daten verarbeitet werden, ob eine Auftragsverarbeitung erforderlich ist, ob Geschäftsgeheimnisse geschützt bleiben, ob Ergebnisse fachlich stimmen oder ob urheberrechtlich geschützte Inhalte unzulässig übernommen werden.
Typische Fälle aus der Unternehmenspraxis sind:
• ein Vertriebsmitarbeiter lässt sich Gesprächsnotizen oder E-Mails durch ein frei zugängliches KI-Tool zusammenfassen;
• eine Fachabteilung kopiert Vertragsklauseln oder Kundendaten in einen Chatbot, um schneller eine Einschätzung zu erhalten;
• Marketing lässt Texte, Bilder oder Kampagnenideen erstellen, ohne Herkunft, Rechte und Kennzeichnungspflichten zu prüfen;
• Beschäftigte nutzen private KI-Accounts im Homeoffice, weil das freigegebene Unternehmenswerkzeug fehlt oder zu umständlich ist.
Das ist keine theoretische Randerscheinung. Eine internationale Studie der University of Melbourne und KPMG aus dem Jahr 2025 beschreibt, dass KI am Arbeitsplatz breit genutzt wird, zugleich aber viele Beschäftigte ihre KI-Nutzung verschweigen, Ergebnisse nicht ausreichend prüfen oder sensible Unternehmensinformationen in öffentliche Tools eingeben. Für Geschäftsleitungen ist die Konsequenz eindeutig: Was nicht geregelt ist, verschwindet nicht. Es wird nur schlechter kontrollierbar.
Pauschale Verbote schaffen meist nur Scheinsicherheit
Ein vollständiges KI-Verbot klingt zunächst einfach. In der Praxis ist es häufig die schwächste Lösung. Denn wenn KI im Arbeitsalltag echte Zeitvorteile bringt, wird sie trotzdem genutzt: über private Geräte, private Accounts oder Umwege, die die Unternehmens-IT nicht sieht.
Unternehmen brauchen deshalb keine symbolische Verbotspolitik, sondern eine belastbare KI-Governance. Dazu gehören klare Freigaben, nachvollziehbare Grenzen und eine Schulung, die Beschäftigte praktisch verstehen. Wer nur sagt „KI ist verboten“, löst weder das Datenschutzproblem noch das Geschäftsgeheimnisproblem noch das Haftungsproblem.
Was Art. 4 KI-VO jetzt verlangt
Art. 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen, nach bestem Vermögen für ein ausreichendes Maß an KI-Kompetenz bei den Personen zu sorgen, die in ihrem Auftrag mit KI-Systemen umgehen. Gemeint sind nicht nur Entwickler oder IT-Abteilungen. Auch Fachabteilungen können erfasst sein, wenn sie KI-Systeme im Arbeitsalltag einsetzen.
Die Pflicht ist risikobasiert und kontextabhängig. Ein Unternehmen muss also nicht jede Person zur KI-Spezialistin machen. Es muss aber dafür sorgen, dass Mitarbeitende die für ihren Einsatzbereich relevanten Grundregeln kennen. Dazu gehören insbesondere:
• welche KI-Tools im Unternehmen erlaubt sind und welche nicht;
• welche Daten niemals in öffentliche KI-Systeme eingegeben werden dürfen;
• warum KI-Ergebnisse fachlich, rechtlich und sachlich überprüft werden müssen;
• welche Risiken bei Halluzinationen, Bias, Datenschutz, Urheberrecht und Geschäftsgeheimnissen bestehen;
• wann der Mensch die Entscheidung treffen muss und KI nur vorbereitend eingesetzt werden darf;
• wie KI-Nutzung dokumentiert oder intern offengelegt werden soll.
Ein Zertifikat ist dafür nicht zwingend vorgeschrieben. Wichtig ist aber, dass das Unternehmen später zeigen kann, was es konkret getan hat: Schulungsinhalte, Teilnehmerkreis, Zeitpunkt, interne Richtlinie, freigegebene Tools, Datenklassifizierung und organisatorische Verantwortlichkeiten.
Warum Anfang August 2026 wichtig ist
Die KI-Kompetenzpflicht gilt bereits. Die behördliche Aufsicht und Durchsetzung zu Art. 4 KI-VO nimmt jedoch erst Anfang August 2026 praktisch Fahrt auf. Genau deshalb sollten Unternehmen nicht bis zum letzten Moment warten. Wer dann erstmals klären muss, welche KI-Tools im Unternehmen überhaupt genutzt werden, hat bereits ein Governance-Problem.
Richtig ist auch: Nicht jede fehlende Schulung führt automatisch zu einem Millionenbußgeld. Die oft genannten hohen Bußgeldrahmen des AI Act betreffen insbesondere schwerwiegende Verstöße wie verbotene KI-Praktiken. Trotzdem kann fehlende KI-Kompetenz im Ernstfall erheblich ins Gewicht fallen, etwa wenn ein Vorfall zeigt, dass Beschäftigte ohne Anleitung sensible Daten eingegeben, KI-Ergebnisse ungeprüft übernommen oder klare Risiken ignoriert haben.
Für Geschäftsführer ist das kein Detailthema der IT-Abteilung. Es geht um Organisation, Risikosteuerung und Nachweisbarkeit. Wer KI-Nutzung zulässt oder faktisch duldet, muss die Rahmenbedingungen dafür schaffen.
Was Unternehmen jetzt konkret tun sollten
Pragmatisch betrachtet braucht jedes Unternehmen mindestens fünf Bausteine:
1. KI-Bestandsaufnahme: Welche KI-Systeme und KI-Funktionen werden tatsächlich genutzt? Nicht nur offiziell, sondern auch faktisch.
2. Tool-Freigabe: Welche Anwendungen sind erlaubt, unter welchen Bedingungen und für welche Datenarten?
3. KI-Richtlinie: Klare interne Regeln zu Datenschutz, Geschäftsgeheimnissen, Urheberrecht, Prüfungspflichten und Dokumentation.
4. Schulung: Verständliche, rollenbezogene Unterweisung der Beschäftigten, nicht nur ein theoretisches PDF im Intranet.
5. Nachweis: Dokumentation, wer wann zu welchen Inhalten geschult wurde und welche organisatorischen Vorgaben gelten.
Entscheidend ist, dass diese Punkte zusammenpassen. Eine Schulung ohne Richtlinie bleibt unverbindlich. Eine Richtlinie ohne freigegebene Tools wird umgangen. Und freigegebene Tools ohne Schulung führen dazu, dass Beschäftigte zwar ein rechtlich besseres Werkzeug haben, aber weiterhin nicht wissen, wie sie es korrekt einsetzen.
Fazit
Schatten-KI entsteht dort, wo Unternehmen den tatsächlichen Arbeitsalltag ignorieren. Mitarbeitende nutzen KI, weil sie schnell Ergebnisse liefert. Unternehmen müssen daraus kein Innovationsproblem machen, aber sie müssen es steuern.
Der richtige Ansatz lautet daher nicht: „KI verhindern“. Der richtige Ansatz lautet: erlauben, begrenzen, schulen und nachweisen. Wer das jetzt sauber aufsetzt, reduziert Datenschutz-, Geheimnisschutz-, Haftungs- und Reputationsrisiken deutlich. Wer wartet, wird spätestens bei einem Vorfall erklären müssen, warum es keine klaren Regeln und keinen dokumentierten Schulungsnachweis gab.
Wie wir Sie unterstützen
Wir unterstützen Unternehmen bei der rechtssicheren Einführung und Nutzung von KI im Betrieb: von der KI-Richtlinie über Datenschutz- und Vertragsfragen bis zur praxisnahen Schulung der Beschäftigten. Ziel ist kein theoretisches Compliance-Papier, sondern ein Setup, das im Tagesgeschäft funktioniert und im Ernstfall nachweisbar ist.
Für Unternehmen, die schnell starten wollen, eignet sich insbesondere eine kompakte KI-Schulung mit dokumentiertem Teilnehmernachweis. Damit schaffen Sie einen ersten belastbaren Baustein für Ihre KI-Governance und reduzieren zugleich das Risiko unkontrollierter Schatten-KI im Unternehmen.
