Was Shadow-KI bedeutet
Shadow-KI bezeichnet den Einsatz von KI-Systemen im Unternehmen, der ohne ausreichende Transparenz, Genehmigung oder Governance erfolgt. Das klingt nach bewusstem Regelverstoß durch einzelne Mitarbeitende. In den meisten Fällen entsteht das Risiko jedoch durch strukturelle Lücken.
Form 1: Mitarbeiter-Shadow-KI
Mitarbeitende nutzen frei verfügbare KI-Tools wie ChatGPT, Claude oder KI-gestützte Übersetzungsdienste für berufliche Aufgaben, auf privaten Geräten oder im Büro, ohne formale Genehmigung. Klassische technische Sperren wirken nur begrenzt, weil sensible Kundendaten oder interne Dokumente auch über private Endgeräte in externe Systeme gelangen können.
Form 2: Vendor-KI
Die regulatorisch brisantere Form ist Vendor-KI: Software, die Ihr Institut seit Jahren einsetzt, enthält zunehmend KI-Komponenten, die durch reguläre Updates eingebunden wurden. Diese Systeme wurden oft nicht bewusst als KI klassifiziert und dennoch können Pflichten nach dem EU AI Act entstehen.
Warum Shadow-KI für Finanzinstitute besonders kritisch ist
Der entscheidende Unterschied zur klassischen Schatten-IT: KI-Systeme treffen oder beeinflussen Entscheidungen. Ein Kreditantragsteller, der durch ein nicht ausreichend geprüftes Scoring-Modell abgelehnt wird, ein Underwriting-System, das Prämien auf Basis eines Machine-Learning-Modells kalkuliert, oder eine HR-Software, die Bewerbungen automatisch vorsortiert, erzeugen keine bloßen IT-Fragen. Es geht um Governance, Nachvollziehbarkeit, Datenschutz, Arbeitsrecht und mögliche Haftung.
Gerade deshalb ist die Verbindung zum KI-Inventar zentral. Ohne strukturierte Bestandsaufnahme ist weder Risikoklassifikation noch Verantwortungszuordnung belastbar.
Wenn Shadow-KI in HR-Prozessen, Mitarbeiterüberwachung oder Kundenzugangsprozessen diskriminierende Wirkungen erzeugt, kann daraus auch ein Nachhaltigkeits- und Governance-Thema werden. Für CSRD-/ESRS-Berichte sind dann nicht nur Vorfälle, sondern auch Policies, Abhilfekanäle, Maßnahmen und interne Kontrollen relevant.
Typische Vendor-KI-Systeme in österreichischen Finanzinstituten
| Bereich | Beispiele | Was die KI dort tun kann |
|---|---|---|
| Kernbanking | Temenos, Finastra, Mambu | KI-Copilot in Kreditbearbeitung, Next-Best-Action-Empfehlungen |
| Kredit-Scoring | FICO, Moody's Analytics, SAS | ML-basierte Bonitätsbewertung natürlicher Personen |
| AML / Fraud Detection | NICE Actimize, Oracle FCCM | Anomalieerkennung in Transaktionen, Customer Risk Rating |
| Underwriting | Guidewire, Sapiens, Duck Creek | Risikobewertung und Prämienberechnung mit KI-Unterstützung |
| HR-Recruiting | Personio, SAP SuccessFactors, Workday | Bewerber-Matching und Scoring durch KI-Modelle |
| Chatbots / Service | Genesys, NICE CXone, Leena AI | Natural-Language-Processing für Kundenkommunikation |
Die Frage "Welche KI-Systeme setzen wir ein?" klingt einfach. Anbieter bezeichnen ML-Komponenten selten explizit als KI-System im Sinne des EU AI Act. Eine belastbare Erhebung erfordert die koordinierte Einbeziehung von IT, Einkauf, Compliance, HR und Fachabteilungen sowie technisches und regulatorisches Know-how.