LfD Niedersachsen: Unternehmen sollten Schatten-KI nicht tolerieren

LfD Niedersachsen: Unternehmen sollten Schatten-KI nicht tolerieren

Der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat ein FAQ-Dokument zur Künstlichen Intelligenz (KI) bereitgestellt, um insbesondere professionelle Anwender in Wirtschaft und Verwaltung bei der Umsetzung der neuen rechtlichen Anforderungen zu unterstützen. Da die europäische KI-Verordnung (KI-VO) bereits am 1. August 2024 in Kraft getreten ist, bietet dieses Informationsangebot eine notwendige Orientierungshilfe an der Schnittstelle zum bestehenden Datenschutzrecht.

Zusammenspiel von KI-Verordnung und DSGVO

Die KI-Verordnung regelt primär die verantwortungsvolle Entwicklung und Nutzung von KI-Systemen in der EU, enthält jedoch – mit wenigen Ausnahmen – keine eigenen Regelungen zum Schutz personenbezogener Daten. Für Unternehmen bedeutet dies, dass bei der Verarbeitung personenbezogener Daten durch KI-Systeme weiterhin die Vorgaben der DSGVO, der ePrivacy-Richtlinie sowie nationaler Gesetze wie dem BDSG vollumfänglich einzuhalten sind. Wie der LfD Niedersachsen klarstellt, stehen die Ziele des Grundrechteschutzes und der Förderung vertrauenswürdiger KI dabei grundsätzlich rechtlich gleichberechtigt nebeneinander.

KI-Kompetenz und Risiken durch „Schatten-KI“

Ein zentraler Aspekt für die betriebliche Praxis ist die gesetzliche Pflicht zur Gewährleistung von KI-Kompetenz gemäß Art. 4 KI-VO. Arbeitgeber müssen sicherstellen, dass ihr Personal über ausreichende Kenntnisse verfügt, um KI-Systeme sachkundig einzusetzen und Risiken wie „Halluzinationen“ oder falsche Datenausgaben zu erkennen.

Zudem warnt die Behörde vor „Schatten-KI“: Die unautorisierte Nutzung privater Accounts (z. B. ChatGPT, Gemini) für berufliche Zwecke ohne Integration in die offizielle IT-Infrastruktur birgt erhebliche Risiken für den Datenschutz und sollte durch klare Dienstanweisungen unterbunden werden.

Wie das FAQ des LfD NI dazu ausführt, birgt es vor allem die Gefahr, gegen die gesetzlichen Vorgaben sowohl der KI-Verordnung als auch der Datenschutz-Grundverordnung zu verstoßen. Je nachdem, in welche Risikostufen die Schatten-KI einzuordnen ist, unterscheidet sich das Risiko von Gesetzesverstößen. Es birgt die Gefahr, dass personenbezogene Daten unkontrolliert und ohne Rechtsgrundlage verarbeitet werden. Weitere Risiken sind Sicherheitslücken, Compliance-Verstöße, der Abfluss sensibler Informationen (personenbezogener Daten sowie Geschäftsgeheimnisse gleichermaßen) durch Training der KI-Modelle mit Eingabedaten sowie Reputationsschäden durch fehlerhafte Ergebnisse.

Ursachen für die unkontrollierte Nutzung

Die Ursachen für Schatten-KI sind vielfältig: Häufig fehlen im Unternehmen offizielle, bedarfsgerechte KI-Angebote. Mitarbeitende greifen zudem aus Gründen der Zeitersparnis, aufgrund von Überlastung oder wegen zu bürokratischer offizieller Genehmigungsprozesse eigenmächtig auf KI-Tools zurück. Ein mangelndes Verständnis für die rechtlichen und sicherheitstechnischen Risiken verstärkt diese Entwicklung.

Maßnahmen zur Vermeidung

Der LfD Niedersachsen stellt klar, dass Schatten-KI nicht toleriert werden sollte. Zur Vermeidung können verschiedene Maßnahmen in Betracht gezogen werden:

  • Dienstanweisungen: Erlass klarer Regeln zur Nutzung oder zum Verbot privater KI-Accounts.
  • Offizielle Alternativen: Bereitstellung datenschutzkonformer KI-Tools innerhalb der Unternehmens-IT.
  • Schulungen: Regelmäßige Förderung der KI-Kompetenz und Aufklärung über Risiken.
  • Bedarfsanalyse: Aktiver Dialog mit der Belegschaft, um benötigte Funktionen sicher bereitzustellen.

Der LfD Niedersachsen macht deutlich, dass Unternehmen die Nutzung von Schatten-KI nicht tolerieren sollten. Die unautorisierte Verwendung privater KI-Dienste im beruflichen Kontext kann zu Datenschutzverstößen, Sicherheitsrisiken und erheblichen Compliance-Problemen führen. Gleichzeitig unterstreicht die Aufsichtsbehörde die Bedeutung von KI-Kompetenz, klaren internen Vorgaben und datenschutzkonformen Alternativangeboten. Unternehmen sind daher gefordert, verbindliche Regelungen für den KI-Einsatz zu schaffen und deren Einhaltung organisatorisch sowie technisch sicherzustellen.

Sie möchten den Einsatz von KI in Ihrem Unternehmen rechtssicher gestalten, eine KI-Governance zur Vermeidung von Schatten-KI etablieren? Die Experten von KINAST unterstützen Sie bei der Umsetzung der Anforderungen aus KI-Verordnung und Datenschutzrecht – von der Risikoanalyse über die Erstellung interner Regelwerke bis hin zu Schulungen und Compliance-Konzepten.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Meist gelesen

LfD Niedersachsen: Unternehmen sollten Schatten-KI nicht tolerieren
LfD Niedersachsen: Unternehmen sollten Schatten-KI nicht tolerieren
Der EDSA hat eine neue Vorlage für eine Datenschutz-Folgenabschätzung (DSFA) sowie eine umfangreiche Anleitung hierzu veröffentlicht.
EDSA: Neue Vorlage für Datenschutz-Folgenabschätzungen
Sprachbot entlastet Feuerwehr: KI übernimmt 120.000 Krankentransporte
Sprachbot entlastet Feuerwehr: KI übernimmt 120.000 Krankentransporte 
Compliance‑Fristen Sommer 2026