:format(webp)){kind=small}
:format(webp))
Wer heute mit Unternehmern über KI spricht, wird selten mit Unwissenheit konfrontiert. Stattdessen setzen viele KI schon im Arbeitsalltag ein. Doch mit dem AI Act stellt sich für viele europäische Unternehmen die Frage: Was genau müssen wir ändern, und wie schaffen wir den scheinbaren Spagat zwischen Bürokratie und Produktivität ohne ROI zu opfern.
In unserem Webinar am 03. Juni mit Ann-Kathrin Zierau, EU-Policy Manager beim KI-Bundesverband, und Sascha Scheffler, AI Officer bei VARY.FY, haben wir Klarheit geschaffen.
Es fehlt nicht an Erkenntnis, es fehlt an klarer Steuerung
KI ist längst in Unternehmen angekommen und viele wissen über den AI Act Bescheid. Was Ihnen fehlt, ist nicht Erkenntnis, sondern ein praktischer Rahmen, mit dem regulatorische Anforderungen erfüllt werden können.
Laut Gartner nutzten letztes Jahr bereits 65% der Mitarbeitenden KI am Arbeitsplatz, eine Nummer, die sicher seitdem gestiegen ist, unabhängig davon, ob bereits klare Strukturen im Unternehmen bestehen oder nicht.
Dies macht Rechtskonformität mit dem AI Act zu mehr als nur einem Compliance-Thema. Die richtige Governance schaffen und die Nutzung produktiv steuern ist vor allem auch eine Frage des Managements.
Schatten-KI als Risiko
Die größte Herausforderung, die dadurch entsteht, dass Unternehmen keine Klarheit schaffen, was KI Nutzung angeht, ist Schatten-KI. Wenn Mitarbeitende private Tools vorziehen, weil sie damit besser und produktiver sind - oder KI nutzen, obwohl keinerlei Prozesse dafür im Unternehmen bestehen entstehen verschiedene Risiken:
Datenabfluss
Einfluss von Halluzinationen, die als solche nicht gekennzeichnet sind
Unklare Verantwortung
Es wird unmöglich, eingeflossene Daten wieder aus LLMs zu entfernen
Es sei angemerkt, dass Mitarbeitende normalerweise einfach ihren Job besser machen wollen und dabei die Tools einsetzen, die sie für am hilfreichsten erachten. Der erste Reflex, dies durch Verbote zu unterbinden, geht daher meist nach hinten los.
“Ein Verbot funktioniert erst dann, wenn das offiziell freigegebene Angebot so gut ist, dass Mitarbeitende keinen Grund mehr haben, auf private Tools auszuweichen.” - Sascha Scheffler
Was der AI Act wirklich ändert
Schatten-KI verhindern ist jedoch nur eine Anforderung, der der AI Act an Unternehmen stellt. In Kraft getreten ist der AI Act bereits am 01. August 2024, doch werden die meisten Pflichten erst nach und nach anwendbar.
Ursprünglich war der Plan, dass im August diesen Jahres neue Pflichten für Hochrisiko-Anwendungen eingeführt werden. Doch der Digitale Omnibus hat die Fristen verschoben und damit auch die Frage aufgeworfen, ob das ein Grund zum Abwarten ist.
Was der Digitale Omnibus geändert hat
“Omnibus” bezeichnet einen legislativen Schnellweg, um mehrere Gesetze gleichzeitig zu reformieren, ohne die jahrelangen Standardverfahren zu durchlaufen. Inhaltlich ist der “Digitale Omnibus”, der mehrere Änderungen für den AI Act bedeutet, bereits festgelegt, und es wird erwartet, dass er noch vor dem 02. August 2026 in Kraft tritt.
Die drei zentralen Änderungen für Unternehmen
Fristverlängerung für Hochrisikosysteme (Anhang 3): Compliance ist erst ab 2027 erforderlich, statt wie geplant ab August 2026
Erleichterungen für KMUs: Unternehmen mit bis zu 750 Mitarbeitenden und bis zu 150 Millionen Euro Jahresumsatz profitieren von vereinfachten Dokumentationspflichten und niedrigeren Bußgeldern
Maschinenbau-Sonderweg: Maschinenprodukte mit sicherheitsrelevanten KI-Komponenten bleiben Hochrisiko-KI nach AI Act. Die geplante Anpassung zielt darauf ab, doppelte Konformitätsbewertungsverfahren zwischen AI Act und der neuen EU-Maschinenverordnung (2023/1230, ab Januar 2027) zu vermeiden. Das bedeutet aber keine vollständige Herausnahme aus dem AI Act. Da die Fristen bis verschobene Fristen bis 2027/2028 verschoben wurden, besteht In der Übergangsphase Auslegungsunsicherheit.
Was der Digitale Omnibus für Unternehmen bedeutet
Die Friständerungen sind kein Grund abzuwarten. Die Inhalte des Omnibus stehen fest, und Unternehmen sollten nicht auf die formelle Veröffentlichung warten, um mit Vorbereitungen zu beginnen.
Die Fristverlängerungen sind real, aber trotzdem kein Grund Compliance auf die lange Bank zu schieben. Vor allem Unternehmen, die mit Hochrisikosystemen arbeiten, sollten anfangen, sich vorzubereiten, um die Frist einzuhalten.
Gleichzeitig lohnt es sich, bereits jetzt zu klären, welche Rolle das jeweilige Unternehmen innehat, um sich dementsprechend zu organisieren (Anbieter vs. Betreiber vs. Endnutzer s. nächster Abschnitt).
Wer sich unsicher ist, wie das Unternehmen momentan dasteht, kann den kostenlosen KI-Kompass der Bundesnetzagentur für eine schnelle Selbsteinschätzung nutzen.
Rollen, Risiken und Use-Case Klassifizierung
Einer der ersten Schritte für Unternehmen, um AI Act Compliance gewährleisten zu können, ist zu verstehen, welche Rolle das jeweilige Unternehmen einnimmt. Der AI Act unterscheidet zwischen 3 verschiedenen Rollen:
Anbieter (Provider): entwickelt KI-Systeme oder passt existierende an, um sie dann unter eigenem Namen auf dem Markt zu vertreiben oder intern zu verwenden. Wer existierende Modelle fine-tuned und im eigenen Unternehmen implementiert, gilt als Anbieter.
Betreiber (Deployer): lizensieren oder kaufen fertige Systeme ein. Die meisten Unternehmen, die Copilot oder ähnliche Tools nutzen, fallen in diese Kategorie.
Endnutzer (end user): Mitarbeitende, die verschiedene KI-Tools verwenden. Sie brauchen klare Richtlinien, eine sichere Umgebung und KI-Kompetenz.
Die meisten Unternehmen fallen in die Kategorie: Betreiber, und haben dementsprechend vor allem die Pflicht, menschliche Aufsicht sicherzustellen und Personal zu schulen.
Die 4 Risikoklassen des AI Act
Neben Rollen reguliert der AI Act vor allem, wozu Unternehmen bei verschiedenen Verwendungszwecken verpflichtet sind. Nicht das System entscheidet, ob KI-Nutzung kritisch ist, sondern der konkrete Anwendungsfall.
Dementsprechend unterscheidet der AI Act 4 verschiedene Risikoklassen:
Inakzeptables Risiko: Systeme, die Grundrechte verletzen, wie z.B. Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung
Hohes Risiko: Einsatz von KI, die Zugang zu Beschäftigung, Kredit, Bildung oder andere kritische Dienstleistungen beeinflussen. Erfordern umfangreiche Dokumentation, Risikomanagement, menschliche Aufsicht und CE-Kennzeichnung (Anhang 3 und 1)
Begrenztes Risiko: Nutzung von Chatbots, KI-generierten Inhalte. Erfordert Transparenzpflicht, um Nutzer darüber zu informieren, dass sie synthetische Inhalte sehen.
Minimales Risiko: KI-Einsatz für Produktivitätszwecke, wie fürs Zusammenfassen, Recherchieren und Erstellen von Meetingnotizen. Weitgehend uneingeschränkt nutzbar, aber es wird empfohlen, einen einheitlichen Rahmen zu schaffen.
Sobald Use Cases klassifiziert sind, können Unternehmen praktische Vorkehrungen treffen, um ihren Pflichten entgegenzukommen.
Wofür darf KI eingesetzt werden und wann wird es kritisch?
Basierend auf den Risikoklassen können Unternehmen recht schnell identifizieren, für welche Tätigkeiten ihr KI-Einsatz weiterhin fast uneingeschränkt möglich ist und wo sie aufstocken müssen.
Die Hauptfrage ist: Hat der KI-Einsatz einen Einfluss auf Entscheidungen über andere Menschen oder deren Zugang zu etwas, oder nicht? Sind sensitive Daten im Spiel?
Die meisten Produktivitätsanwendungen sind minimales Risiko, aber es kommt trotzdem drauf an, wie Tools angewandt werden.
Ein konkretes Beispiel, macht das deutlich: nuwacom ist eine General-Purpose-KI- Plattform, die vielfältig eingesetzt werden kann. Dasselbe System, das je nach Einsatz in verschiedene Kategorien fällt.
Einsatz von nuwacom, um Meetings zu dokumentieren bedeutet minimales Risiko. Wenn nuwacom jedoch eingesetzt wird, um im Bewerbungsprozess Bewerber vorzusortieren handelt es sich um eine Hochrisikonutzung mit entsprechenden Pflichten.
Wird nuwacom hingegen genutzt, um biometrische Daten zu erfassen handelt es sich sogar um eine verbotene Praktik.
Dies verdeutlicht noch einmal, dass es auf den Use Case ankommt, nicht auf die Plattform.
In der Praxis bedeutet das für Unternehmen, dass nach der Klassifizierung der Use Cases einige Fragen und Verantwortlichkeiten geklärt werden müssen.
Governance: Was Unternehmen organisieren müssen
Um die richtige Governancestruktur zu schaffen, müssen Unternehmen typischerweise 6 große Themen klären:
Dokumentation: Welche KI-Systeme werden genutzt, wofür und mit welchen Daten arbeiten sie?
Transparenz: Wann und wie wird KI-Nutzung sichtbar gemacht, sowohl intern als auch extern?
Menschliche Aufsicht (Human in the Loop): wo menschliche Aufsicht erforderlich ist, wie werden Vetorechte und Prüfprozesse definiert?
Datenqualität und Datenschutz: Welche Daten werden verarbeitet, wie werden sie gespeichert und ist Pseudonymisierung oder Anonymisierung notwendig?
KI-Kompetenz: Wie werden Mitarbeitende geschult und auf dem neusten Stand gehalten?
Anbieterprüfung: Welchen Anbieter nutzt man und was macht das jeweilige Tool mit Daten, welche Modelle verwendet es und was für Audit-Rechte bestehen?
Ann-Kathrin Zierau beschreibt den Prozess in fünf Schritten: Sichtbarkeit schaffen, Risikoklassen zuordnen, Regeln definieren, Verantwortlichkeiten klären - und KI-Kompetenz als laufende Aufgabe verankern, nicht als einmalige Maßnahme.
KI-Kompetenz: Was bedeutet sie in der Praxis?
Der AI Act verpflichtet Unternehmen auch, KI Kompetenz zu fördern und KI Literacy sicherzustellen. Trotzdem herrscht oft Verwirrung darüber, was genau das heißt.
Anbieter: müssen gemäß Artikel 17 (Qualitätsmanagement) sicherstellen, dass Personal das System versteht und korrekt einsetzt.
Betreiber: müssen menschliche Aufsicht gewährleisten und Personal für den jeweiligen Einsatzzweck angemessen schulen.
Ein Verstoß gegen die Pflicht der KI-Kompetenz löst nicht automatisch eine Höchststrafe aus. Die Höhe hängt von konkret verletzten Pflichten und der Risikoklasse ab. Es gilt:“ Wissen und Skills sind immer besser, und auch günstiger als Compliance” (Ann-Kathrin Zierau).
Was bei KI erschwerend hinzukommt, ist, dass selbst technikaffine Mitarbeitende nicht unbedingt verstehen, was die Technik im Backend tut. Genau dort sollten Unternehmen ansetzen, um eine verantwortungsvolle Nutzung zu fördern.
“Grundwissen über Tokenisierung, Vektorräume, Halluzinationsursachen und Bias ist die Voraussetzung für eine verantwortungsvolle Nutzung” - Sascha Scheffler
KI-Kompetenz ist keine einmalige Aufgabe, sondern erfordert langfristiges Engagement.
KI rechtskonform und produktiv implementieren
Für Unternehmen, die jetzt anfangen, sich auf den AI Act einzustellen, hier ein exemplarischer Umsetzungsplan für die ersten 90 Tage.
Tag 1 - 30: Sichtbarkeit schaffen. Ein umfassendes Inventar aller KI-Tools (inklusive inoffizieller) erstellen. Use Cases klassifizieren, Datenkategorien ermitteln und klären, wer momentan Verantwortung trägt.
Tag 31 - 60: Risiken klassifizieren: Jeden Use Case einordnen nach Risikoklasse und Rollen bestimmen (Anbieter vs Betreiber). Identifizieren, wo menschliche Aufsicht fehlt und alle relevanten Stakeholder ins Boot holen (IT, Legal, HR, Datenschutz und Fachbereiche)
Tag 61 - 90: Skalierung ermöglichen: klare Richtlinien für jedes System definieren, Verantwortlichkeiten dokumentieren und Schulungen starten. Die richtige KI-plattform oder Tools auswählen oder validieren.
Am einfachsten ist es, mit einem konkreten Use Case zu starten und iterativ von dort aus weiter zu arbeiten. Auch Ann-Kathrin bestätigt, dass die Unternehmen, die in ihrer KI-Nutzung am erfolgreichsten sind, klein anfangen und systematisch skalieren.
Fazit: Der AI Act als Chance
Europa ist die erste Jurisdiktion weltweit, die nicht erst auf einen Schaden wartet, um zu regulieren, sondern proaktiv Sicherheitsnachweise erfordert vor der Einführung. Die Regulierung orientiert sich am Sektorrecht, was sich über Jahrzehnte bewährt hat bei Industrien wie Automobil oder Pharma.
Während viele Unternehmen den AI Act zunächst als weitere Bürde betrachten, ist er laut unseren beider Experten ganz klar auch eine Chance für europäische Unternehmen.
Wer den AI Act richtig versteht und die entsprechenden Strukturen schafft, kann ihn zum Vorteil nutzen. Sascha Scheffler sieht Parallelen zur DSGVO, die zunächst auch als Belastung empfunden wurde, aber mittlerweile weltweit an Relevanz gewonnen hat beim Etablieren von Datenschutzstandards.
“Der AI Act ist kein Hindernis, sondern eine Einladung, KI-Nutzung im Unternehmen zu professionalisieren” - Ann-Kathrin Zierau
Unternehmen, die das verstehen, haben keine Bürde zu tragen, sondern einen Rahmen zu kreieren. Wer diesen Rahmen jetzt gestaltet, setzt den Standard und nutzt Regulierung zu seinem Vorteil.
Der AI Act stoppt KI nicht, er beendet den Blindflug.
Wenn Sie erfahren möchten, wie nuwacom Ihr Unternehmen bei rechtskonformer KI-Nutzung unterstützen kann, freuen wir uns von Ihnen zu hören.
FAQ
Betrifft der AI Act unser Unternehmen, auch wenn wir keine eigene KI entwickeln?
Auch wenn Unternehmen keine eigene KI entwickeln, betrifft sie der AI Act sobald sie fertige Systeme wie Copilot oder ChatGPT einsetzen. In diesem Fall gelten sie als Betreiber und sind verpflichtet: menschliche Aufsicht sicherzustellen, Personal zu schulen und Use Cases klar zu klassifizieren je nach Risiko.
Dürfen wir Tools wie CoPilot oder ChatGPT weiter nutzen?
General Purpose KI-Tools dürfen weiter eingesetzt werden, erfordern jedoch je nach Anwendungszweck die Erfüllung verschiedener Pflichten. Die meisten Produktivitätsanwendungen sind minimales Risiko, doch sobald ein Tool Entscheidungen beeinflusst, die Menschen betreffen wird es riskant, und erforder die Erfüllung weitreichender Dokumentationspflichten sowie menschlicher Aufsicht.
Woran erkenne ich, ob meine KI-Nutzung hohes Risiko hat?
KI-Einsatz wird dann kritisch, wenn Entscheidungen mit Wirkung auf Menschen oder deren Zugang zu Leistungen beeinflusst werden, oder wenn sensitive Daten verarbeitet werden. All solche Use Cases sind als hochriskant eingestuft nach AI Act.
Was passiert, wenn wir bereits KI-Tools nutzen, aber bisher nichts dokumentiert haben?
Damit sind Sie nicht allein, viele Unternehmen befinden sich in dieser Situation. Entscheidend ist, jetzt anzufangen. Beginnen Sie mit einem vollständigen Inventar aller genutzten KI-Tools (einschließlich inoffizieller Tools, die Mitarbeitende eigenständig eingeführt haben), und klassifizieren Sie dann jeden Use Case nach Risikoklasse. Der AI Act bestraft vergangene Nutzung nicht rückwirkend, aber eine dokumentierte Governance ist ab jetzt erforderlich.
Müssen wir einen eigenen AI Officer ernennen oder ein neues Team aufbauen?
Der AI Act schreibt keine bestimmte Organisationsstruktur vor. Entscheidend ist, dass Verantwortlichkeiten klar zugewiesen sind, jemand muss die Verantwortung für KI-Governance, Risikoklassifizierung und Schulungsaufsicht übernehmen. In kleineren Unternehmen kann dies als zusätzliche Verantwortung einer bestehenden Rolle zugeordnet werden (z. B. Datenschutzbeauftragter, CTO oder Leitung Recht). Größere Unternehmen mit mehreren Hochrisiko-Anwendungen profitieren in der Regel von einer dedizierten Rolle oder einem funktionsübergreifenden Team.
AI Act Glossar (A–Z)
A
AI Act
Verordnung (EU) 2024/1689 zur Regulierung von KI. Das erste umfassende KI-Gesetz weltweit. Es regelt, unter welchen Bedingungen KI-Systeme in der EU entwickelt, eingesetzt und betrieben werden dürfen. In Kraft seit dem 01. August 2024.
AI Literacy
Pflicht für Anbieter und Betreiber, KI-Kompetenz bei ihren Mitarbeitenden sicherzustellen. Gilt seit 2. Februar 2025 für alle KI-Systeme unabhängig von ihrer Risikostufe. Wer KI einsetzt, trägt Verantwortung dafür, dass Mitarbeitende, die sie nutzen, verstehen, was sie tun.
AIC4 (AI Cloud Service Compliance Criteria Catalogue)
Kriterienkatalog des BSI zur Bewertung der Sicherheit KI-basierter Cloud-Dienste. Baut auf dem C5 auf und ergänzt ihn um KI-spezifische Anforderungen zu Robustheit, Datenqualität, Erklärbarkeit und Bias. Ist ein relevanter Prüfmaßstab bei der Auswahl von KI-Anbietern.
AIMS (AI Management System)
Strukturiertes KI-Managementsystem, das Planung, Betrieb und kontinuierliche Verbesserung des KI-Einsatzes regelt. Häufig nach ISO/IEC 42001 aufgesetzt und wird oft als Compliance-Nachweis gegenüber Regulierungsbehörden oder Kunden eingesetzt.
B
BSI-Kriterienkatalog Generative KI
Vom Bundesamt für Sicherheit in der Informationstechnik entwickelter Bewertungsrahmen für generative KI-Systeme. Ergänzt den AIC4 um Anforderungen, die spezifisch für Large Language Models relevant sind: Schutz vor Prompt-Injection, Output-Kontrolle und Missbrauchsprävention. Für Unternehmen, die LLM-basierte Dienste evaluieren, ist er ein praktischer Orientierungsrahmen.
C
C5 (Cloud Computing Compliance Criteria Catalogue)
BSI-Kriterienkatalog mit Mindestanforderungen für sicheres Cloud Computing. Bildet die Grundlage für den AIC4 und dient Cloud-Anbietern als Sicherheitsnachweis gegenüber ihren Kunden.
CLOUD Act (Clarifying Lawful Overseas Use of Data Act)
US-amerikanisches Bundesgesetz von 2018, das US-Behörden den Zugriff auf Daten ermöglicht, die von US-Unternehmen gespeichert werden, unabhängig davon, in welchem Land die Server stehen. Für Unternehmen, die KI-Anbieter mit US-Konzernzugehörigkeit in Betracht ziehen, heißt das: Der physische Standort eines Rechenzentrums allein reicht nicht als Garantie für Datensouveränität.
D
Deepfake
Synthetisch erzeugte oder manipulierte Inhalte in Bild, Audio oder Video. Nach Art. 50 AI Act kennzeichnungspflichtig mit dem Ziel, Täuschung erkennbar zu machen.
Digital Omnibus on AI (Digitaler Omnibus)
Änderungsverordnung (COM(2025) 836) zur Anpassung des AI Act: Fristverlängerung für Hochrisiko-KI (bis spätestens August 2028), Erleichterungen für KMUs, abgestufte KI-Kompetenzpflicht, stärkere Zentralisierung der Durchsetzung beim AI Office. Der Omnibus verschafft Unternehmen mehr Zeit, ändert aber an der strategischen Ausrichtung nichts.
DSK-Orientierungshilfe KI
Leitfäden der Datenschutzkonferenz , dem Gremium der Datenschutzbehörden von Bund und Ländern, zur datenschutzkonformen Nutzung von KI. Keine rechtsverbindlichen Normen, sondern bietet eine verlässlichen Einblick darin, wie Aufsichtsbehörden Datenschutz in bestimmten Szenarien bewerten.
F
FRIA (Fundamental Rights Impact Assessment)
Verpflichtende Grundrechtsfolgenabschätzung vor dem Einsatz bestimmter Hochrisiko-KI-Systeme. Sie dokumentiert, welche Grundrechte durch ein System berührt werden könnten und wie damit umgegangen wird.
G
GPAI (General-Purpose AI)
KI-Modelle, die für allgemeine Zwecke trainiert wurden und eine breite Bandbreite von Aufgaben abdecken, darunter GPT-Modelle oder Llama. Für GPAI gelten ab 2. August 2025 eigene Regeln unter dem AI Act, die sich von den Hochrisiko-Anforderungen unterscheiden.
GPAI CoP (Code of Practice)
Praxisleitfaden mit konkreten Umsetzungshinweisen für Anbieter von GPAI-Modellen. Kein Gesetz, aber ein Leitfaden, der zeigt, wie Compliance in der Praxis aussehen soll.
H
Human Oversight
Pflicht nach Art. 14 AI Act, die sicherstellt, dass Menschen Hochrisiko-KI-Systeme wirksam beaufsichtigen und bei Bedarf eingreifen können. Dies setzt voraus, dass die Verantwortlichen auch befähigt sind, Outputs zu beurteilen.
Human-in-the-Loop
Designprinzip, bei dem ein Mensch hochriskante KI-Aktionen aktiv genehmigen muss, bevor sie ausgeführt werden. Der Mensch ist Teil des Prozesses.
I
ISO/IEC 42001
Internationaler Standard für KI-Managementsysteme. Definiert Anforderungen an Planung, Betrieb und kontinuierliche Verbesserung und wird häufig als strukturierter Compliance-Nachweis gegenüber Regulierungsbehörden und Geschäftspartnern eingesetzt.
IT-Grundschutz
Vom BSI entwickeltes Framework zum Aufbau eines Informationssicherheits-Managementsystems (ISMS). Bietet einen praxisnahen Katalog konkreter Sicherheitsmaßnahmen und bildet in Deutschland die Grundlage für ISO-27001-Zertifizierungen.
K
KI-Governance
Der organisatorische Rahmen, in dem Unternehmen KI sicher, regelkonform und produktiv einsetzen: Verantwortlichkeiten, Zugriffsrechte, Richtlinien, Risikobewertung, Kontrolle und Nachvollziehbarkeit.
KI-Reallabor (AI Regulatory Sandbox)
Kontrollierte Testumgebung für innovative KI-Systeme unter behördlicher Aufsicht. Ab August 2026 in jedem EU-Mitgliedstaat Pflicht, gedacht als Raum, in dem Unternehmen neue Anwendungen testen können.
N
NIST AI RMF
Vom US-amerikanischen National Institute of Standards and Technology entwickeltes Rahmenwerk für KI-Risikomanagement. International anerkannter Ergänzungsstandard, der besonders für Unternehmen mit transatlantischen Geschäften relevant ist.
O
Omnibus (lat. „für alle")
Gesetzgebungstechnik, bei der ein einziger Rechtsakt mehrere bestehende Gesetze gleichzeitig ändert. Im KI-Kontext steht der Begriff für den Digital Omnibus on AI (siehe oben).
S
Schatten-KI (Shadow AI)
KI-Tools, die Mitarbeitende ohne Wissen oder Genehmigung der IT- oder Compliance-Verantwortlichen einsetzen. Das Risiko von Schatten-KI entsteht durch fehlende Kontrolle darüber, welche Daten wohin fließen, und mangelnder Transparenz beim Output.
Stand: Juni 2026