fairlane.systems

SHADOW AI · COMPLIANCE

Schatten-KI im Unternehmen: Wenn Mitarbeiter ChatGPT privat für Mandantendaten nutzen

Cyberhaven 2026: 32 % der ChatGPT-Nutzung läuft über Privat-Accounts. 39,7 % der Dateneingaben enthalten sensible Daten. Folgen + Gegenmittel.

Recherche & Faktencheck: · Stand: 2026-05

Was ist Schatten-KI?

Schatten-KI (englisch Shadow AI) bezeichnet die Nutzung von KI-Diensten – meist Sprachmodelle wie ChatGPT, Claude oder Gemini – durch Mitarbeiter ohne Genehmigung, ohne Vertrag und ohne IT-Aufsicht des Arbeitgebers. Typischer Ablauf: Ein Mitarbeiter kopiert einen Mandanten-Vertrag oder eine E-Mail in die kostenlose Web-Oberfläche eines US-LLM-Dienstes, lässt eine Zusammenfassung oder Antwort generieren und kopiert das Ergebnis zurück. Der Vorgang dauert 30 Sekunden, ist scheinbar harmlos – und ist rechtlich, vertraglich und sicherheitstechnisch eine der härteren Compliance-Verletzungen, die Mai 2026 in Schweizer Unternehmen vorkommen.

Der Begriff lehnt sich an „Shadow IT" an, das Phänomen unautorisierter Software-Nutzung (Dropbox, WhatsApp, Google Docs ohne Freigabe). Schatten-KI ist die KI-Variante davon, mit einem entscheidenden Unterschied: Die übermittelten Daten gehen oft an US-Anbieter, die sie standardmässig (in der Gratis- und Plus-Variante) für Modell-Training nutzen können – sie verlassen nicht nur das Unternehmen, sie werden Teil eines globalen, dauerhaften Trainingsdatensatzes.

Die Cyberhaven 2026 AI Adoption & Risk Report (publiziert Q1 2026) zeigt das Ausmass: 32,3 % der ChatGPT-Nutzung in Unternehmen läuft über persönliche Accounts statt über Enterprise-Lizenzen. Bei Claude liegt der Wert bei 58,2 %, bei Perplexity bei 60,9 %. 39,7 % aller Daten-Übermittlungen an KI-Tools enthalten sensitive Daten – Prompts oder Copy-Paste-Aktionen mit personenbezogenen, finanziellen, gesundheitlichen oder vertraulichen Geschäftsdaten. Im Durchschnitt gibt ein Mitarbeiter alle drei Tage einmal sensitive Daten in ein KI-Tool ein.

Warum es wichtig ist

Schatten-KI verletzt typisch vier Regelkreise gleichzeitig. Jede einzelne Verletzung löst Bussgeld- oder strafrechtliche Risiken aus.

Datenschutz (revDSG / DSGVO). Mandantendaten oder Kundendaten in einem Gratis-ChatGPT-Account sind eine Bekanntgabe an einen Auftragsverarbeiter ohne AVV. Das verletzt Art. 9 revDSG (Auftragsbearbeitung), Art. 6 DSGVO (Rechtsgrundlage), Art. 28 DSGVO (Auftragsverarbeitung), Art. 32 DSGVO (Sicherheit), Art. 44-49 DSGVO (Drittlandtransfer ohne SCC / TIA). Bussgeldrahmen: CHF 250.000 (revDSG) oder EUR 20 Mio / 4 % Umsatz (DSGVO).

Berufsgeheimnis (StGB Art. 321). Anwälte, Ärzte, Treuhänder, Banken sind nach Art. 321 StGB an das Berufsgeheimnis gebunden. Eine Übermittlung von geheimhaltungspflichtigen Informationen an einen unautorisierten Dritten – und ein US-LLM ohne Geheimhaltungsvereinbarung ist ein solcher – ist strafbar. Strafrahmen: Freiheitsstrafe bis drei Jahre oder Geldstrafe. Die Strafe trifft die natürliche Person, die die Verletzung begeht – nicht „die Firma".

Vertragspflichten. Mandatsverträge enthalten oft Geheimhaltungsklauseln, die über das Berufsgeheimnis hinausgehen. NDAs mit Kunden schliessen die Weitergabe an Dritte ohne ausdrückliche Zustimmung aus. Eine Schatten-KI-Nutzung ist typisch ein NDA-Bruch und kann zu Schadenersatzklagen und Vertragsentzug führen.

Audit-Trail-Verlust. Art. 957a OR verlangt nachvollziehbare Geschäftsbuchführung. Wenn ein Mitarbeiter einen Buchungsentscheid auf Basis einer ChatGPT-Antwort trifft, ist diese Antwort weder revisionsfähig dokumentiert noch reproduzierbar. Bei der Revision lässt sich der Entscheidungsweg nicht nachvollziehen. Bei einer FINMA-prüfung im Bankensektor oder einer Steuerprüfung im Treuhand-Bereich ist das ein materieller Befund.

Zusätzlich: Reputationsrisiko und IP-Verlust. Geschäftsgeheimnisse, Strategiedokumente und Quellcode, die in Gratis-Accounts übermittelt werden, können Teil zukuenftiger Modell-Trainings werden und über Membership-Inference-Attacks extrahierbar bleiben. Samsung hat 2023 dokumentiert, wie Source-Code aus internen Reviews in ChatGPT-Trainings landete; ein Verfahren bei Samsung und ein internes Verbot folgten.

Wie Schatten-KI entsteht und sich ausbreitet

Drei Treiber stehen hinter dem Phänomen.

Treiber 1: Effizienzgewinn. Eine LLM-Anfrage spart bei Routine-Aufgaben (Textentwurf, Zusammenfassung, Übersetzung) typisch 10-30 Minuten. Mitarbeiter erleben den Produktivitätsschub und greifen zu, sobald das Tool verfügbar ist. Die OpenAI-Studie 2024 zeigte über 40 % Zeitersparnis bei Wissensarbeit-Aufgaben.

Treiber 2: Verfügbarkeitsasymmetrie. Privat hat jeder seit Q4 2022 Zugang zu ChatGPT, Claude, Gemini. Im Unternehmen fehlt oft eine Enterprise-Lizenz oder eine genehmigte Alternative – entweder weil Budget fehlt, weil die Compliance-Prüfung läuft, oder weil die Geschäftsleitung die Dringlichkeit unterschätzt. Der Mitarbeiter wählt den Weg des geringsten Widerstands: Privat-Account.

Treiber 3: Unkenntnis des Risikos. Mai 2026 wissen die meisten Mitarbeiter, dass ChatGPT „Daten lernen" könnte – sie unterschätzen aber, was das für Berufsgeheimnis-Berufe konkret bedeutet. Eine interne Cyberhaven-Umfrage 2026 zeigte, dass 67 % der Befragten glaubten, dass eingegebene Daten „nur für ihre Sitzung" gespeichert werden – falsch für die Gratis-Stufe der meisten Anbieter.

Erkennungsmuster. Schatten-KI ist im Netzwerk detektierbar. DLP-Tools (Cyberhaven, Microsoft Purview, Symantec, Forcepoint) erkennen Übermittlungen an LLM-Domains (chat.openai.com, claude.ai, gemini.google.com, perplexity.ai, copilot.microsoft.com mit Privat-Login, character.ai, poe.com). Sie alarmieren bei sensitiven Daten in den Übermittlungen – typisch durch Pattern-Matching auf AHV-Nummer, IBAN, E-Mail, oder kontextbezogene KI-Klassifikation. Ohne DLP ist Schatten-KI weitgehend unsichtbar.

Sub-Variante: Browser-Extension-Schatten-KI. Extensions wie ChatGPT-for-Google, Monica, Merlin oder Glasp hooken sich in den Browser und schicken Webseiten-Inhalte automatisch an LLMs. Sie sind besonders gefährlich, weil der Mitarbeiter sie oft vergisst – und sie senden auch dann Daten, wenn er auf Mandanten-Daten-Seiten ist (E-Banking, Mandantenakte, CRM).

Sub-Variante: Microsoft-365-Copilot mit Privat-Konto. Wer ein berufliches MS-365-Konto und parallel einen privaten Copilot-Account hat, kann versehentlich den privaten Copilot auf berufliche Daten loslassen. Microsoft hat das in der Enterprise-Version durch Konto-Trennung mitigiert, aber nicht vollständig geschlossen.

Schatten-KI-Gegenmittel in 7 Schritten

  1. 01Akzeptable-Use-Policy (AUP) schriftlich publizieren: Was erlaubt, was verboten, welche Tools, für welche Datenkategorien. Unterschrift jedes Mitarbeiters einholen, ins Arbeitsreglement integrieren.
  2. 02Genehmigte Enterprise-Tools beschaffen: OpenAI Enterprise oder Team, Anthropic Enterprise, Microsoft Copilot for Business, oder lokal Mistral / Llama 3 via Ollama. AVV + Zero-Retention + EU-Region + SSO als Mindeststandard.
  3. 03DLP-Tool deployen: Cyberhaven, Microsoft Purview, Forcepoint oder Nightfall. Erkennt LLM-Domains und sensitive Daten in Übermittlungen. Pflicht bei Berufsgeheimnis-Branchen.
  4. 04Schulung in zwei Modulen: (a) was darf nie in ein LLM (Mandantendaten, AHV, IBAN, Gesundheit, Strategie), (b) wie sieht der genehmigte Workflow aus. Auffrischung jährlich.
  5. 05Browser-Extension-Audit: Liste verbotener und genehmigter Extensions im Unternehmens-Browser-Profil pflegen. Microsoft Edge for Business / Google Chrome Enterprise erlaubt zentrale Kontrolle.
  6. 06Quartals-Review der DLP-Alarme: Wer hat was an welchen LLM-Service übermittelt? Trend-Erkennung statt Einzelfall-Verfolgung. Wiederholte Verstösse arbeitsrechtlich behandeln.
  7. 07Incident-Response-Plan für Schatten-KI-Vorfälle: Sofortmassnahmen (Daten-Recall beim Provider beantragen, betroffenen Mandanten informieren), Meldepflicht nach Art. 24 revDSG / Art. 33 DSGVO prüfen, Dokumentation für EDÖB / Aufsicht.

Wann Sie Schatten-KI aktiv adressieren müssen

Praktisch sofort, sobald (a) Ihre Mitarbeiter Internet-Zugang am Arbeitsplatz haben, (b) Sie irgendeine Form von vertraulichen Daten verarbeiten, und (c) Sie keine umfassende Schatten-KI-Policy plus technische Detektion installiert haben. Diese drei Bedingungen treffen Mai 2026 auf praktisch jedes Schweizer Büro-Unternehmen zu.

Besonders dringlich bei: Anwaltskanzleien, Treuhand-Büros, Ärzten, Spitaelern, Banken, Versicherungen, öffentlichen Verwaltungen, allen Berufen unter Art. 321 StGB. Hier ist nicht nur ein Bussgeld im Spiel, sondern strafrechtliche Verfolgung der einzelnen Mitarbeiter.

Konkrete Anlass-Punkte für eine sofortige Schatten-KI-Prüfung: Eine Mitarbeiterin erwähnt beiläufig „ich habe ChatGPT gefragt"; ein Bewerbungsschreiben oder eine Mandanten-Antwort liest sich „zu glatt" und enthält typische LLM-Phrasen („In diesem Kontext…", „Es ist wichtig zu beachten…", „Insgesamt lässt sich sagen…"); IT-Logs zeigen Zugriffe auf chat.openai.com oder claude.ai; ein Aufsichtsbesuch steht bevor; ein DSGVO-/revDSG-Audit ist geplant.

Gegenintuitiv: Auch wenn Ihre Mitarbeiter „nur die Bezahlversion" nutzen, ist die Lage nicht automatisch sauber. ChatGPT Plus (USD 20/Monat) ist eine Privat-Stufe ohne Enterprise-DPA, ohne Zero-Retention-Default, ohne SSO, ohne Audit-Log. Erst die Tiers Team (USD 30/User/Monat) und Enterprise bieten die für Schweizer Compliance erforderlichen Verträge und Kontrollen.

Falsche Gegenmittel – was nicht funktioniert

Drei populäre Ansätze gegen Schatten-KI sind kontraproduktiv und schaffen mehr Probleme, als sie lösen.

Falsch 1: Vollverbot per Memo. „Ab heute kein ChatGPT mehr" ohne genehmigte Alternative führt zwei Effekte. Erstens: die Mitarbeiter, die KI brauchen, finden Umwege (privates Smartphone, persönlicher Laptop, VPN). Zweitens: die produktivitätsschwache Wahrnehmung des Arbeitgebers überlagert die compliance-konforme Wahrnehmung – Top-Mitarbeiter wandern ab. Verbot ohne Alternative ist nie nachhaltig.

Falsch 2: Reine Schulung ohne technische Kontrolle. Compliance-Schulungen sind Pflicht, reichen aber nicht. Cyberhaven-Daten zeigen, dass auch geschulte Mitarbeiter rücksichtslos werden, wenn die produktive Versuchung gross genug ist. Schulung muss flankiert werden durch DLP-Detektion und durch genehmigte Alternativen.

Falsch 3: Firewall-Blocking ohne Strategie. Sperren von chat.openai.com im Netzwerk verschiebt das Problem ins Mobilfunk-Netz (Smartphone-Tethering), ins Home-Office, oder zur nächsten verfügbaren LLM-Domain (claude.ai, gemini.google.com, perplexity.ai, kimi.com, mistral.ai, deepseek.com – die Liste wächst monatlich). Firewall-Blocking ist nur als ein Bestandteil eines breiteren Pakets sinnvoll.

Was funktioniert. Akzeptable-Use-Policy schriftlich + Enterprise-Tier-Tools genehmigt + DLP-Detektion + Schulung. Alle vier Säulen, nicht eine. Siehe Workflow-Sektion.

Dies ist keine Rechtsberatung. Für die verbindliche Bewertung Ihrer Schatten-KI-Exposition und der konkreten Rechtsfolgen bei aufgedeckten Verstössen bitte einen CH-Anwalt mit Datenschutz- oder Arbeitsrecht-Spezialisierung konsultieren. *This is not legal advice. For binding interpretation, consult a Swiss attorney or data protection advisor.*

Vor- und Nachteile

STÄRKEN

  • DLP + AUP + genehmigte Tools senken das Schatten-KI-Aufkommen typisch um 80-95 % innerhalb von 6 Monaten
  • Mitarbeitende mit Enterprise-KI-Zugang sind produktiver als Mitarbeitende mit privatem Tool – gemessen in Cyberhaven-Studie 2026
  • Saubere Logs werden zum Vorzeigeposten bei Aufsichtsbesuchen und Mandanten-Audits
  • Reduziert IP-Verlust und Geschäftsgeheimnis-Risiko erheblich

SCHWÄCHEN

  • Enterprise-Lizenzen kosten CHF 30-60 pro User pro Monat zusätzlich – bei 50 Mitarbeitenden ca. CHF 18.000-36.000/Jahr
  • DLP-Tools brauchen 4-8 Wochen Einführung und produzieren zunächst False-Positives
  • Vollständige Schliessung ist unmöglich – Privat-Smartphone bleibt offen, Coffee-Shop-WLAN auch
  • Policy-Pflege ist Daueraufgabe – neue LLM-Tools erscheinen wöchentlich, die AUP muss leben

Häufige Fragen

Ist ChatGPT Plus mit privatem Account für Berufliches okay, wenn ich vorsichtig bin?

Nein. ChatGPT Plus ist eine Consumer-Stufe ohne Enterprise-DPA, ohne Zero-Retention-Default und ohne Sub-Auftragsverarbeiter-Whitelist. Selbst bei deaktiviertem „Chat History & Training" verbleiben die Daten 30 Tage in den OpenAI-Systemen für Missbrauchsprüfung. Für Berufsgeheimnis (Art. 321 StGB), Mandanten-NDAs und DSGVO-Drittlandtransfer reicht das nicht. Mindeststufe für Berufliches: ChatGPT Team oder Enterprise, oder ein vergleichbares Anthropic / Google / Microsoft Enterprise-Produkt.

Was sage ich einem Mitarbeiter, den ich beim Schatten-KI-Verstoss erwische?

Erstgespräch sachlich, dokumentiert. Inhalt: Welche Daten gingen wohin, war es einmalig oder wiederholt, wusste der Mitarbeiter um die Policy, welche Mandanten sind betroffen. Sofortmassnahmen: Datenlöschung beim Provider beantragen (OpenAI bietet eine 30-Tage-Löschanfrage), betroffene Mandanten informieren falls Berufsgeheimnis tangiert. Bei Erstverstoss meist Verwarnung + Nachschulung, bei wiederholtem oder schwerem Verstoss arbeitsrechtliche Konsequenzen (Mahnung, Kündigung). Strafanzeige nach Art. 321 StGB ist als Mandant möglich – selten als Arbeitgeber.

Cyberhaven oder Microsoft Purview – was passt für ein KMU?

Für Microsoft-365-Haushalte unter 200 Mitarbeitenden: Purview, weil in den E5- und E3-Plus-Add-on-Lizenzen enthalten und ohne separates Agent-Deployment. Für gemischte Umgebungen (Mac, Linux, BYOD) oder über 200 Mitarbeitende: Cyberhaven, das die stärkere KI-Klassifizierung und das ausführlichere Shadow-AI-Reporting bietet (Liste der 300+ AI-Tools, kontextuelle Daten-Bewegungs-Analyse). Beide brauchen 4-8 Wochen Einführung mit Policy-Tuning bevor produktive Alarme funktionieren.

Wie kommunizieren wir die Policy ohne Misstrauenskultur?

Drei Bausteine. Erstens: positiv rahmen – „Wir geben Ihnen ein KI-Tool, das Sie sicher nutzen können" statt „Wir verbieten Ihnen Tools". Zweitens: Pilotgruppe einrichten, die das genehmigte Tool zuerst nutzt und in Workshops Erfolgsgeschichten teilt – soziale Norm aufbauen. Drittens: DLP transparent kommunizieren – „Wir messen Daten-Übermittlungen an externe AI-Dienste, um Mandantendaten zu schützen, nicht um Sie zu kontrollieren". Mitarbeitende sind kompetente Erwachsene; sie reagieren auf Klarheit besser als auf Geheimniskraemerei.

Verwandte Themen

STGB 321 · COMPLIANCEBerufsgeheimnis (StGB Art. 321) und KI-Nutzung: Was Anwälte, Notare, Ärzte und Revisoren beachten müssenrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetDSGVO · COMPLIANCEDSGVO und LLMs: Wann die EU-Datenschutz-Grundverordnung CH-Unternehmen direkt trifftROUTING · AI-KONZEPTMulti-LLM-Routing: Welches Modell wann, für wievielSELF-HOSTED OLLAMA · LLM-ANBIETERSelf-Hosted Ollama als LLM-Anbieter: Wann ersetzt es OpenAI, Anthropic oder Gemini?

Quellen

  1. Cyberhaven 2026 AI Adoption & Risk Report · 2026-02
  2. OWASP Top 10 for LLM Applications 2025 (LLM02 Sensitive Information Disclosure) · 2025-11
  3. NIST AI Risk Management Framework (AI RMF 1.0) · 2024-07
  4. Samsung – Internal ChatGPT Source Code Leak (Bloomberg coverage) · 2023-05
  5. OpenAI Enterprise Privacy & Data Processing Addendum · 2026-04

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen