KI verbieten funktioniert nicht. Was stattdessen funktioniert.
Manche Unternehmen entscheiden sich, KI komplett zu verbieten. Kein ChatGPT, kein Gemini, kein Copilot. Auf dem Papier klingt das vernünftig. Wenn niemand KI nutzt, kann auch niemand Daten in ein falsches Tool eingeben.
In der Praxis scheitert das. Und zwar nicht in ein paar Monaten, sondern sofort.
Was die Zahlen zeigen
Die National Crime Agency und CybSafe haben in einer gemeinsamen Studie ermittelt: 46% der Arbeitnehmer würden KI weiter nutzen, selbst wenn ihr Arbeitgeber es verbietet. Das ist keine kleine Minderheit. Das ist fast die Hälfte.
Noch deutlicher wird es bei einer Studie von Software AG: 57% der befragten Beschäftigten geben an, ihre KI-Nutzung am Arbeitsplatz vor dem Arbeitgeber zu verbergen.
Ein Verbot stoppt also nicht die Nutzung. Es stoppt die Sichtbarkeit.
Das bedeutet: Mitarbeiter nutzen KI weiterhin, aber Sie wissen nicht mehr, welche Tools, welche Daten, welche Risiken. Die Kontrolle geht nicht verloren, weil KI genutzt wird. Sie geht verloren, weil Sie nichts davon mitbekommen.
Samsung, Apple, JPMorgan: Alle haben es versucht
Im Mai 2023 hat Samsung ChatGPT firmenweit verboten. Auslöser war ein Vorfall, bei dem Mitarbeiter vertraulichen Quellcode in ChatGPT eingegeben hatten. Die Reaktion war nachvollziehbar. Das Ergebnis war es nicht.
Ein paar Monate nach dem Verbot hat Samsung eine eigene interne KI-Lösung entwickelt. Der Grund: Die Produktivitätsverluste waren zu groß. Mitarbeiter hatten sich an die Arbeitsgeschwindigkeit mit KI gewöhnt. Ohne KI fiel die Effizienz spürbar ab.
Das gleiche Muster bei Apple. Erst ein ChatGPT-Verbot, dann Apple Intelligence. JPMorgan Chase hat ChatGPT verboten, dann LLM Suite für 200.000 Mitarbeiter eingeführt. Deutsche Bank, Amazon, Verizon: Die Liste ist lang. Der Ablauf ist bei allen gleich. Verbot, Erkenntnis dass es nicht funktioniert, kontrollierte Alternative.
Keines dieser Unternehmen hat das Verbot aus Prinzip aufgegeben. Sie haben es aufgegeben, weil es in der Praxis gescheitert ist.
Warum Mitarbeiter KI trotzdem nutzen
Ich finde es hilft, das aus der Perspektive eines Mitarbeiters zu sehen. Stellen Sie sich eine Steuerfachangestellte vor, die einen Mandantenbrief formulieren muss. Ohne KI dauert das 20 bis 30 Minuten. Mit einem KI-Tool, zwei Minuten für einen guten Entwurf, den sie dann anpasst.
Diese Person wird nicht aufhören, KI zu nutzen, weil eine E-Mail aus der Geschäftsleitung das verlangt. Sie wird ihr privates Smartphone nehmen. Oder den privaten Laptop von zu Hause. Oder eine Browser-Erweiterung installieren, von der niemand weiß.
KI-Tools sind nicht wie Social Media am Arbeitsplatz. Sie sind Produktivitätswerkzeuge. Mitarbeiter nutzen sie nicht aus Langeweile. Sie nutzen sie, weil sie damit bessere Arbeit in weniger Zeit leisten. Und wer das einmal erlebt hat, geht nicht freiwillig zurück.
Das eigentliche Problem: Der Untergrund
Wenn KI-Nutzung offiziell verboten ist, passiert sie trotzdem. Aber sie passiert im Verborgenen. Und das ist schlimmer als sanktionierte Nutzung. Deutlich schlimmer.
Denn bei heimlicher KI-Nutzung gibt es kein Logging. Es gibt keine Übersicht, welche Daten wohin fließen. Kein Auftragsverarbeitungsvertrag. Keine Rechtsgrundlage nach DSGVO. Und wenn etwas schiefgeht, gibt es keinen Incident-Response-Plan, weil offiziell ja niemand KI nutzt.
Shadow AI ist kein theoretisches Problem. Sie passiert in deutschen Unternehmen jetzt, jeden Tag. Die Frage ist nur, ob Sie sie sehen oder nicht.
Für Berufsgeheimnisträger kommt hinzu: Wenn Mandantendaten in ein ungesichertes KI-Tool gelangen, ist das nicht nur ein Compliance-Problem. § 203 StGB sieht bis zu ein Jahr Freiheitsstrafe oder Geldstrafe vor. „Wir wussten nicht, dass Mitarbeiter das nutzen” ist keine Verteidigung. Und die Verantwortung bleibt bei der Kanzleileitung.
Was stattdessen funktioniert
Die Alternative zum Verbot ist nicht Laissez-faire. Es ist eine kontrollierte Umgebung. Mitarbeiter bekommen KI-Tools, die sie nutzen dürfen. Die Tools sind so konfiguriert, dass DSGVO-Anforderungen eingehalten werden. Und es gibt klare Regeln, was erlaubt ist und was nicht.
Das klingt aufwändiger als ein Verbot. Ist es in der Einrichtung auch, ein bisschen. Aber es funktioniert tatsächlich.
Am Anfang steht eine Nutzungsrichtlinie. Klare Spielregeln, welche Tools genehmigt sind und welche Daten eingegeben werden dürfen. Nicht 50 Seiten, sondern zwei bis drei. Verständlich genug, dass jeder im Team sie in 15 Minuten lesen und verstehen kann. Wie eine solche Richtlinie aussieht, habe ich hier beschrieben.
Dann die technische Seite. Microsoft Copilot mit Enterprise-Lizenz verarbeitet Daten innerhalb der EU, innerhalb Ihres Tenants. Das allein reicht aber nicht. Sensitivity Labels müssen eingerichtet sein, damit Copilot weiß, welche Dokumente er einbeziehen darf. DLP-Policies müssen verhindern, dass sensible Daten in ungesicherte Kanäle abfließen. Die SharePoint-Berechtigungen müssen stimmen.
Und Schulung. Mitarbeiter müssen wissen, was sie dürfen und was nicht. Vor allem müssen sie verstehen, warum diese Regeln existieren. Die KI-Kompetenzpflicht aus dem EU AI Act (Art. 4) verlangt das ohnehin. Aber auch ohne gesetzliche Pflicht: Eine Richtlinie, die niemand kennt, ist wertlos.
Was Mitarbeiter davon haben
Das ist der Teil, den viele Unternehmen vergessen. Eine gute KI-Governance ist kein reines Compliance-Projekt. Sie ist auch ein Produktivitätsversprechen.
Wenn Mitarbeiter genehmigte Tools bekommen, die gut funktionieren, nutzen sie diese. Freiwillig. Die Steuerfachangestellte, die ihren Mandantenbrief in zwei Minuten formuliert, macht das gerne im genehmigten Tool. Der Finanzberater braucht kein privates ChatGPT-Konto, wenn Copilot dasselbe kann.
Die meisten Menschen wollen keine Verbote umgehen. Sie wollen ihre Arbeit gut machen. Geben Sie ihnen brauchbare Werkzeuge, und Shadow AI verschwindet von selbst.
Was das in der Praxis heißt
Ich setze für Kanzleien und Beratungsunternehmen genau diese Kombination um. Nutzungsrichtlinie, technische Konfiguration, Schulung. Jedes dieser Stücke allein hilft wenig. Zusammen ergibt das eine KI-Umgebung, die Mitarbeiter gerne nutzen und die gleichzeitig compliant ist.
Das ist eine Sache von Tagen, nicht Monaten. Und es ersetzt ein Verbot durch etwas, das tatsächlich funktioniert.
Wenn Sie wissen wollen, wo Ihr Unternehmen steht und ob Ihre aktuelle Strategie (oder Ihr Verbot) hält, was es soll: Ich biete eine kostenlose 30-Minuten-Einschätzung an.
Termin buchen: 30 Minuten KI-Compliance-Einschätzung
Jose Lugo ist CISSP-zertifizierter Berater mit Sitz in Deutschland, spezialisiert auf DSGVO-konforme KI-Implementierung für mittelständische Unternehmen. Mehr unter joselugo.de und unter Leistungen.