brand-briefing.aiby brandneo

Recht und DSGVO7 Min Lesezeit

Schatten-KI im Team, wenn Mitarbeitende den Kunden-Brief in private Konten kippen

Redaktion brandneo

In den meisten Marketingteams nutzen Mitarbeitende KI-Tools, ohne dass das Setup offiziell geregelt ist. Private ChatGPT-Konten, private Claude-Pro-Subscriptions, private Midjourney-Memberships. Kunden-Briefings landen in privaten Chats. Diese „Schatten-KI" ist Stand 2026 das größte unsichtbare Datenschutz-Risiko im Marketing.

Warum Schatten-KI entsteht

Geschwindigkeit. Wer auf eine offizielle KI-Lösung wartet, ist drei Monate hinter den Kollegen zurück, die einfach ihren privaten Account nutzen.

Unklare Policy. Wenn das Unternehmen keine klare KI-Policy hat, entsteht eine Grauzone. „Niemand hat gesagt, dass ich es nicht darf."

Tool-Vorlieben. „Mein Workflow läuft mit Claude, aber wir haben hier nur ChatGPT Team."

Die unsichtbaren Risiken

  1. 01Personenbezogene Daten in privaten Konten. Kunden-Namen, E-Mail-Adressen, Strategie-Dokumente in einem ChatGPT-Free-Account ohne AVV. DSGVO-Verstoß, abmahn­fähig.
  2. 02Unklare Datenflüsse. Im Verarbeitungs­verzeichnis nichts dokumentiert.
  3. 03Verlust von Daten beim Personal-Wechsel. Geht die Mitarbeiterin, geht ihr Konto mit.
  4. 04Halluzinationen in vertraulichen Kontexten. Nicht mehr nachvollziehbar.
  5. 05Compliance-Lücken beim AI Act. Ab August 2026 unmöglich nachzuweisen.
  6. 06Brand-Reputations-Risiko. Beispiele aus 2025 haben das mehrfach gezeigt.

Wirksame Policy: vier Bausteine

Baustein 1: Klare Whitelist. Welche Tools sind zugelassen, mit welcher Konfiguration, mit welchem Tarif. Whitelist statt Blacklist.

Baustein 2: Verfügbare Alternativen. Wer auf bestimmte Tools angewiesen ist, muss sie offiziell verfügbar haben. Sonst entsteht Schatten-KI fast automatisch.

Baustein 3: Schulung statt Verbot. Quartalsweise. Was darf in welchen Prompt, was nicht.

Baustein 4: Reporting-Linie. Klare Anlaufstelle bei Datenschutz­beauftragten oder AI-Verantwortlichen.

Mitarbeitenden-Handbuch in fünf Seiten

  1. 01Welche Tools sind erlaubt? Whitelist mit Tarif-Angabe.
  2. 02Welche Daten dürfen in welchen Prompt? Drei Kategorien: unkritisch, sensibel, vertraulich.
  3. 03Wie wird KI-Output gekennzeichnet?
  4. 04Wer ist Ansprechpartner bei Fragen?
  5. 05Was passiert bei Verstößen? Konsequenzen klar, ohne Drohgestus.

Was bei einem Audit auffällt

Drei bis fünf verschiedene Tools im Einsatz, auch in Teams, die offiziell „nur ChatGPT" nutzen.

Vermischte private und berufliche Konten, häufig bei kleineren Teams.

Unkenntnis über Standard-Einstellungen. Viele wissen nicht, dass ihr Plus-Tarif Modell-Training erlaubt, ihr Team-Tarif nicht.

Take

Schatten-KI ist kein Mitarbeitenden-Problem, sondern ein Führungs-Thema. Tragfähig sind Policies, die klare Whitelists mit verfügbaren Tools und respektvoller Schulung verbinden. Verbote ohne Alternative produzieren Workarounds, nicht Compliance.

Was offen bleibt

Wie Aufsichts­behörden mit Schatten-KI umgehen, wenn ein Vorfall publik wird, ist 2026 noch nicht klar. Erwartete Linie: das Unternehmen haftet für die Verarbeitung durch seine Mitarbeitenden, auch wenn diese privat geschehen ist.

Verwandt

Whitelist und Anbieter-VergleichMitarbeitenden-Handbuch zum DownloadAVV mit KI-Anbietern
shadow-aischatten-kiki-policymitarbeitendedatenschutzcompliance