Als Schatten-KI bezeichnet man Anwendungen Künstlicher Intelligenz, die im Unternehmen ohne Wissen der Geschäftsführung genutzt werden. Dieser Mangel an Kontrolle kann zu Problemen führen.

Wussten Sie, dass laut Umfragen bereits 80% der Mitarbeiter:innen in Unternehmen KI bei der Arbeit nutzen und etwa 60% KI-Tools nutzen, obwohl ihre Arbeitgeber:innen diese weder angeschafft noch erlaubt haben?

 

Schatten-KI – was ist das überhaupt?

Diese verdeckte Nutzung von KI-Systemen wird als Schatten-KI bezeichnet. Der Begriff „Schatten-KI“ beziehungsweise der gebräuchlichere Begriff „Schatten-IT“ bezieht sich auf IT-Systeme, die im Unternehmen genutzt werden, ohne jemals die offiziellen Beschaffungs- oder Bewilligungskanäle des Unternehmens durchlaufen zu haben. Beispiele dafür sind verschiedenste Anwendungen, die im Browser bereitgestellt werden, wie Google Drive, Dropbox oder Bing/Google Maps. 

Bei Schatten-KI handelt es sich um KI-Anwendungen, auf die man sehr niederschwellig zugreifen kann, wie beispielsweise DeepL, ChatGPT, Gemini etc. Es handelt sich dabei um Systeme, in denen Unternehmensdaten verarbeitet werden, was dem Unternehmen oft gar nicht bewusst ist.

 

Warum soll das ein Problem sein? 

Das Problem entsteht dadurch, dass Unternehmen durch die unregistrierte Nutzung keine Maßnahmen ergreifen können, um die verantwortungsvolle Anwendung von KI zu regeln. Die unregulierte KI-Nutzung birgt einige rechtliche Risiken: 

  • Personenbezogene Daten könnten unrechtmäßig im KI-System verarbeitet werden. 
  • Geschäftsgeheimnisse könnten weitergegeben werden. 
  • Unter Umständen wird ein KI-System, das nur für den persönlichen, privaten Gebrauch lizenziert ist, für unternehmerische Zwecke genutzt. Das kann lizenzrechtliche Probleme erzeugen.

 

Welche Risiken entstehen durch die Nutzung von Schatten-KI?

Die Nutzung von KI wird weiter zunehmen – vor allem, weil KI-Tools am Markt immer breiter akzeptiert und selbstverständlicher werden. Mitarbeiter:innen, die es beispielsweise von ihrem vorigen Job gewohnt sind, mit der Unterstützung von ChatGPT zu arbeiten, werden diese Nutzung im neuen Job wahrscheinlich nicht einstellen und möglicherweise ihren privaten Account dafür nutzen. 

Teilweise werden aber auch KI-Tools im Verborgenen genutzt, weil die bereits vorhandenen Tools nicht die Anforderungen der Mitarbeiter:innen erfüllen. Dies kann der Fall sein, wenn die frei verfügbaren Tools bessere Ergebnisse liefern oder auch einfacher zu bedienen sind. Insbesondere bei der enormen Entwicklungsgeschwindigkeit der am Markt verfügbaren Tools und der schnellen Rollouts von neuen Versionen können unternehmensinterne Tools schnell ins Hintertreffen geraten.

 

Was ist zu tun?

Um dem Risiko begegnen zu können, müssen Verantwortliche in Unternehmen zunächst einmal akzeptieren, dass Schatten-IT immer zu einem gewissen Grad verwendet werden wird. So viele Logs kann man gar nicht überwachen und so viele Webseiten kann man auch gar nicht sperren, um die Nutzung restlos zu unterbinden. Entscheidungsträger im Unternehmen müssen geschult werden. Lebbare Richtlinien für Mitarbeiter:innen sollen ein gutes Rüstzeug für den verantwortungsvollen KI-Einsatz bieten. Dies setzt ein ungefähres Verständnis für die Funktionsweise der Tools und der rechtlichen Fragestellungen voraus, die bei der Nutzung entstehen können.

Am besten schafft man Richtlinien, bevor KI genutzt wird und bevor sensible Daten gefährdet sind. Da KI-Tools auch verdeckt genutzt werden können, sollten klare Regeln selbst dann gelten, wenn das Unternehmen noch keine offiziellen KI-Lösungen bereitgestellt hat.

 

Wie sieht die Realität in Unternehmen aus?

Natürlich haben viele Unternehmen auch jetzt schon Richtlinien, die festlegen, dass nur Unternehmens-IT für die Arbeit verwendet werden soll. Jedoch sollte man ehrlich zu sich selbst sein: Wenn dieser Hinweis rein abstrakt im dritten Anhang der IT-Policy steht, wird außer den Mitarbeiter:innen, die diese Policy geschrieben haben, niemand im Unternehmen das verstehen.

 

Fazit

Im Dialog mit der Belegschaft sollte erhoben werden, ob und wie KI tatsächlich im Arbeitsalltag einen Mehrwert bieten kann. Damit nicht an der Arbeitsrealität vorbei KI-Tools angeschafft werden, die niemand nutzt, und dann lieber wieder auf ChatGPT in der Browser-Version zurückgegriffen wird. Prüfen Sie jetzt, ob Ihr Unternehmen Richtlinien für KI-Nutzung hat bzw. informieren Sie sich über die Risiken, die durch die Nutzung von KI entstehen, bevor Schatten-KI zur echten Gefahr wird!

 

Autor: Mag. Christian Kracher, Rechtsanwalt und Associate bei Schönherr Rechtsanwälte in Wien, www.schoenherr.eu

Seminartipp! ChatGPT, Microsoft 365 Copilot und Datenschutz

 

Handbuch: Künstliche Intelligenz in der Praxis