Leadership & Alignment Whitepaper · 8 min 16. Mai 2026

Wer KI nicht führt, fördert Schatten-KI.

Schatten-KI entsteht nicht aus böser Absicht, sondern aus einem Führungsvakuum. Warum KI-Governance Chefsache ist — mit 5-Punkte-Sofort-Check und den realen Haftungsfragen (DSGVO, EU AI Act, NIS2).

Olaf Sell Growth Advisor · Geschäftsführer

Irgendjemand in Ihrem Unternehmen hat heute Kundendaten in ChatGPT kopiert. Jemand anderes hat eine kleine Automatisierung gebaut, die nachts läuft und auf Daten zugreift, von denen die Geschäftsführung nichts weiß. Ein dritter nutzt ein Tool, für das niemand je einen Auftragsverarbeitungsvertrag gesehen hat. Nichts davon ist böse Absicht. Es ist der Normalzustand in den meisten Mittelständlern 2026 — und er hat einen Namen: Schatten-KI.

Schatten-KI ist kein Tool-Problem. Es ist ein Führungsvakuum.

Schatten-KI ist die Nutzung von KI-Werkzeugen ohne gemeinsame Regeln, ohne klare Verantwortung, ohne dokumentierte Linie. Sie entsteht nicht, weil Mitarbeitende etwas Verbotenes wollen. Sie entsteht, weil die Führung nicht entschieden hat, was erlaubt ist — und das Vakuum füllt sich von selbst. Wo oben keine Entscheidung getroffen wird, treffen unten viele kleine, unkoordinierte.

Das ist der Kern: KI ist längst im Unternehmen angekommen, nur oft noch nicht geführt. Und solange sie nicht geführt wird, wächst nicht die Wirkung, sondern der Wildwuchs — Schatten-KI, ungeklärte Datenflüsse, Tools ohne Aufsicht.

Die Verantwortung bleibt oben — auch ohne Entscheidung

Hier wird es unbequem: Wer KI nicht führt, ist trotzdem verantwortlich für ihre Nutzung. Die Haftung lässt sich nicht an die IT delegieren und nicht an „die Mitarbeitenden, die das halt so machen”. Sie bleibt bei der Geschäftsführung.

KI-Governance ist keine IT-Frage. Es ist eine Führungsaufgabe.

Konkret sind es vor allem diese Stellen, an denen Schatten-KI zum Risiko wird:

  • Fehlender Auftragsverarbeitungsvertrag (AVV) für KI-Tools, die personenbezogene Daten verarbeiten — DSGVO Art. 28.
  • Personenbezogene oder vertrauliche Daten in externen Modellen ohne Rechtsgrundlage — DSGVO Art. 6 und Art. 5 (Vertraulichkeit).
  • Autonome Agenten ohne Dokumentation und ohne menschliche Aufsicht — EU AI Act Art. 13/14 (Transparenz und Aufsicht), dazu die AI-Literacy-Pflicht aus Art. 4.
  • Kein Incident-Response-Plan — bei einem Datenschutzvorfall greift die 72-Stunden-Meldefrist (DSGVO Art. 33/34). Ohne Plan ist sie kaum einzuhalten.

Die Bußgeld-Größenordnungen sind kein Detail: Verstöße gegen Art. 28 oder Art. 6 reichen bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes; EU-AI-Act-Verstöße bis 15 Mio. € oder 3 %. Für regulierte Branchen kommt NIS2 obendrauf. (Das ist keine Rechtsberatung — die verbindliche Einordnung gehört zu einem Anwalt oder Datenschutzbeauftragten. Aber die Richtung ist eindeutig.)

Verantwortung ist kein Wert. Sie ist eine Praxis.

Genau diese Praxis baut man nicht mit einem Tool-Verbot, sondern mit Führung. Für die fachliche Tiefe arbeite ich mit Sebastian Schlaak (Schlaak Consulting), der als KI-Governance-Experte genau solche Fahrpläne für Unternehmen erstellt — DSGVO, EU AI Act, Plattformwahl. Fachklarheit trifft auf Führungsentscheidung; das ist auch das Prinzip hinter dem AI Growth Circle, den wir gerade aufbauen.

Der 5-Punkte-Sofort-Check

Bevor Sie über Tools reden, beantworten Sie mit Ihrem Führungsteam diese fünf Fragen ehrlich. Wer bei zwei oder mehr ins Stocken gerät, hat Schatten-KI — und sollte führen, bevor reguliert wird.

  1. Tools & AVV — Mit welchen KI-Tools verarbeiten wir Daten, und liegt für jedes ein geprüfter Auftragsverarbeitungsvertrag vor?
  2. Daten & Rechtsgrundlage — Welche personenbezogenen oder vertraulichen Daten landen aktuell in externen KI-Modellen — und auf welcher Rechtsgrundlage?
  3. Nutzungsrichtlinie — Gibt es eine KI-Nutzungsrichtlinie (ein Einseiter genügt), die klar sagt, was hineingegeben werden darf und was nicht?
  4. Agenten & Aufsicht — Wissen wir, welche automatisierten KI-Workflows laufen — dokumentiert, mit benannter menschlicher Aufsicht?
  5. Incident-Response — Könnten wir einen Datenschutzvorfall innerhalb von 72 Stunden fristgerecht melden? Wer ist verantwortlich?

Diese fünf Punkte gibt es als 1-Pager zum Download (oben) — zum Ausdrucken und Durchgehen im nächsten Führungskreis.

Vom Vakuum zur Entscheidung

Schatten-KI verschwindet nicht, indem man sie verbietet. Sie verschwindet, indem die Führung entscheidet, wofür KI im Unternehmen dienen soll — und welche Leitplanken gelten. Das ist eine Führungsentscheidung, keine Tool-Frage. Der KI-Kompass ist genau dafür gebaut: KI-Kompass ist Methode, nicht Werkzeug — er klärt Reifegrad, Use Cases und Leitplanken, bevor Werkzeuge gewählt werden.

Und damit die Entscheidung im Alltag trägt: Bei millionsteps bauen wir die Infrastruktur, die KI in geprüften Bahnen hält — eigene Cloud, dokumentierte Agenten, kein Wildwuchs. So wird aus geführter KI ein tragfähiges System statt des nächsten Schatten.

Wenn Sie wissen wollen, wo Ihr Unternehmen beim Thema Schatten-KI steht: In einer 30-Minuten-KI-Orientierung gehen wir den 5-Punkte-Check für Ihre Lage durch — als Führungsentscheidung, nicht als Tool-Frage.

Bereit für ein klareres Quartal?

30 Minuten Standortgespräch. Sie verlassen es mit drei konkreten Hebeln — auch wenn wir nie wieder miteinander sprechen.

Standortgespräch buchen

— Weiterlesen —

Leadership & Alignment · Whitepaper · 7 min

KI-Reifegrad: Wo steht Ihr Führungsteam wirklich?

JUSTGROW · Insights
Leadership & Alignment · Essay · 6 min

Team Player oder Team Slayer: Wer Ihr Team trägt, wer es bremst

JUSTGROW · Insights
Leadership & Alignment · Essay · 6 min

Was, wenn es keine richtige Entscheidung gibt?

JUSTGROW · Insights