Thought Leadership
Warum Low-Code-Tools in der Schatten-HR ohne IT-Segen gegen den EU AI Act verstoßen und Millionenstrafen riskieren.
In den Architekturen moderner Unternehmen klafft eine wachsende Lücke zwischen technischem Anspruch und gelebter Realität. Während die zentrale IT-Abteilung komplexe Sicherheits-Frameworks entwirft, emanzipieren sich die Fachabteilungen, allen voran das Personalwesen, durch den eigenmächtigen Einkauf von Cloud-Lösungen. Dieses Phänomen der „Shadow HR“ ist kein bloßes Effizienzstreben mehr. Es ist eine riskante Umgehung von Kontrollinstanzen, die im Zeitalter des EU AI Acts und drakonischer DSGVO-Strafen die Existenz von Unternehmen bedrohen kann. Erfahren Sie, warum Recruiting-Analytics ohne IT-Audit zur juristischen und technischen Zeitbombe avanciert.
Schatten-HR beginnt meist harmlos mit einer Kreditkarte und dem Wunsch, den zermürbenden Fachkräftemangel durch ein innovatives Tool zu lindern. Ein Klick auf die „Start for free“-Schaltfläche eines SaaS-Anbieters für Video-Interviews oder KI-gestützte Bewerbervorauswahl markiert oft den Beginn einer schleichenden Entkopplung von der offiziellen Unternehmens-IT. Die Fachabteilung HR agiert hierbei als Vorreiter einer Bewegung, die das traditionelle IT-Monopol als Hemmschuh für die Agilität begreift. Doch dieser technische Wildwuchs findet in einem rechtsfreien Raum statt, der für die zentrale IT-Administration zunehmend zum Albtraum gerät und zur Schatten-HR wird.
Die Dimensionen dieses verdeckten Marktes sind gewaltig. Laut dem „2024 IT Priorities Report“ von Snow Software geben bereits jetzt über 40 Prozent der IT-Entscheider an, dass das Budget für SaaS-Lösungen direkt in den Fachabteilungen verwaltet wird, ohne dass die IT-Abteilung eine Kontrollfunktion ausübt. Im Personalwesen werden Daten verarbeitet, die nach Artikel 9 der DSGVO als „besonders schützenswert“ gelten. Wenn diese Informationen in Systemen landen, die weder einem Penetrationstest unterzogen noch in das zentrale Identity-and-Access-Management (IAM) eingebunden wurden, verliert das Unternehmen die Souveränität über seinen wertvollsten und gleichzeitig gefährlichsten Rohstoff. HR wird zur Schatten-HR.
Das Paradoxon der No-Code-Autonomie
Der technologische Beschleuniger dieser Entwicklung von Schatten-HR ist die Demokratisierung der Softwareentwicklung durch Low-Code- und No-Code-Plattformen. Anbieter werben damit, dass Personalverantwortliche ohne eine einzige Zeile Code komplexe Workflows automatisieren können. Ein Praxisbeispiel für die Tücken dieser Autonomie findet sich in der Untersuchung der Cloud Security Alliance (CSA) zum Thema „SaaS Security Survey Report“. Hier wird deutlich, dass über 60 Prozent der Sicherheitsvorfälle in Cloud-Umgebungen auf Fehlkonfigurationen zurückzuführen sind, die von technisch ungeschultem Personal in den Fachabteilungen vorgenommen wurden.
In der Praxis sieht das so aus: Eine HR-Managerin erstellt mit einem No-Code-Tool eine Automatisierung, die Bewerberdaten von einer Plattform zur nächsten schiebt. Was sie nicht sieht, ist die unsichere API-Schnittstelle im Hintergrund oder der Umstand, dass die Daten unverschlüsselt auf einem Server in einer Region zwischengespeichert werden, die nicht dem EU-Datenschutzniveau entspricht. Hier entsteht eine gefährliche Diskrepanz zwischen der wahrgenommenen Einfachheit der Bedienung und der Komplexität der zugrunde liegenden Sicherheitsarchitektur.
Der EU AI Act: Recruiting als Hochrisiko-Zone
Ein Aspekt, den die Shadow HR in ihrer Euphorie oft vollständig ignoriert, ist die sich verschärfende regulatorische Landschaft. Der EU AI Act, das weltweit erste umfassende Gesetz zur Künstlichen Intelligenz, stuft KI-Systeme im Bereich der Beschäftigung und des Personalmanagements explizit als „Hochrisiko“ ein. Dies umfasst Systeme, die für das Recruiting, die Beförderung oder die Beendigung von Arbeitsverhältnissen eingesetzt werden.
Unternehmen, die solche Tools einsetzen, müssen strenge Auflagen hinsichtlich des Risikomanagements, der Datenqualität und der menschlichen Aufsicht erfüllen. Ein Fachbereich, der ein KI-gestütztes Tool für Recruiting-Analytics eigenständig implementiert, ohne den IT-Konformitätsprozess zu durchlaufen, setzt das gesamte Unternehmen einem Haftungsrisiko aus. Die Bußgelder können bei Verstößen gegen die KI-Verordnung bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen. Das Risiko ist hier nicht mehr nur technischer Natur, sondern transformiert sich in eine existenzielle rechtliche Bedrohung.
Algorithmische Diskriminierung: Die Amazon-Lektion
Wie fatal das Vertrauen in unkontrollierte HR-Software sein kann, zeigt ein prominentes und wissenschaftlich vielfach aufgearbeitetes Praxisbeispiel aus der jüngeren Vergangenheit: Der Fall des diskriminierenden Recruiting-Algorithmus von Amazon. Das Unternehmen musste ein intern entwickeltes KI-Tool einstellen, weil das System über Jahre hinweg systematisch männliche Bewerber bevorzugte. Die KI hatte anhand historischer Bewerbungsunterlagen gelernt, dass Männer in technischen Positionen erfolgreicher waren. Das war ein klassischer Fall von „Bias“ in den Trainingsdaten.
Obwohl Amazon über eine der mächtigsten IT-Infrastrukturen der Welt verfügt, zeigt dieser Fall, wie schwierig es ist, Algorithmen objektiv zu halten. Wenn nun eine Fachabteilung HR ein externes Tool für Recruiting-Analytics einkauft, das als „Black Box“ fungiert, gibt sie die Kontrolle über die ethischen und rechtlichen Standards des Unternehmens ab. Ohne die tiefgreifende Prüfung durch IT-Spezialisten und Datenwissenschaftler, die Bias-Analysen durchführen können, wird das Recruiting zum moralischen und juristischen Glücksspiel, zur Schatten-HR.
Die Erosion des digitalen Perimeters
Ein weiteres, oft übersehenes Problem der Schatten-HR ist die Fragmentierung der IT-Landschaft, die Tür und Tor für Cyber-Angriffe öffnet. Jedes eigenmächtig angeschaffte Tool vergrößert die Angriffsfläche. Da diese Tools meist nicht in das zentrale Monitoring der IT-Sicherheit (Security Operations Center – SOC) integriert sind, bleiben Angriffe auf HR-SaaS-Lösungen oft über Wochen oder Monate unentdeckt.
Ein Bericht des Cybersicherheitsunternehmens Netskope zeigt auf, dass in durchschnittlichen Unternehmen hunderte von Cloud-Apps aktiv sind, von denen die IT-Abteilung nur einen Bruchteil kennt. Im HR-Kontext bedeutet dies, dass Angreifer über ein schlecht gesichertes Recruiting-Tool in das Firmennetzwerk eindringen können. Da HR-Mitarbeiter oft weitreichende Berechtigungen haben, ist ein kompromittierter Account in diesem Bereich besonders wertvoll für Kriminelle, die auf Ransomware-Angriffe oder Wirtschaftsspionage abzielen.
Hidden Costs: Das ökonomische Erwachen
Neben den Sicherheitsrisiken führt Shadow HR zu Ineffizienz. Es entstehen Daten-Silos, die eine unternehmensübergreifende Analyse unmöglich machen. Wenn die Recruiting-Daten im Tool A liegen, die Onboarding-Daten im Tool B und die Mitarbeiterentwicklung im Tool C, muss die IT im Nachhinein teure und instabile Brücken bauen, um ein einheitliches Reporting zu ermöglichen.
Darüber hinaus entstehen erhebliche versteckte Kosten durch redundante Lizenzen. Es ist kein Einzelfall, dass verschiedene Standorte oder Abteilungen desselben Unternehmens unterschiedliche SaaS-Lösungen für dieselbe Aufgabe lizenzieren, ohne von Volumenrabatten zu profitieren. Eine Studie der Vouchercloud schätzt, dass Unternehmen durch Schatten-IT bis zu 30 Prozent ihrer IT-Ausgaben verschwenden, ohne einen entsprechenden Mehrwert zu generieren.
Shared Responsibility als Ausweg
Die Lösung für das Problem der Shadow HR liegt nicht in Totalverboten, die in der modernen Arbeitswelt ohnehin kaum durchsetzbar wären. Vielmehr muss die IT vom „Verhinderer“ zum „Plattformanbieter“ werden. Experten plädieren für ein Modell der Shared Responsibility. Hierbei stellt die IT einen Katalog von vorab geprüften und sicheren Low-Code-Tools und Cloud-Diensten zur Verfügung, innerhalb derer sich die HR-Abteilung frei bewegen kann.
Dieses „Managed Shadow IT“-Konzept erlaubt es den Fachbereichen, schnell eigene Lösungen zu entwickeln, während die IT die Hoheit über die Architektur, die Verschlüsselung und die Compliance behält. Ein Vorbild hierfür ist die Strategie von Konzernen wie Siemens, die auf „Citizen Development“-Modelle setzen. Dabei werden Fachanwender geschult, eigene Applikationen in einer kontrollierten Umgebung zu bauen, was die Schatten-IT in produktive Bahnen lenkt.
Fazit
Schatten-HR ist das Symptom einer IT, die nicht mit dem Geschäftstempo mithalten kann, aber sie darf niemals die Entschuldigung für eine Aufweichung der Sicherheitsstandards sein.
Der Weg weg von Schatten-HR erfordert eine neue Form der technologischen Partnerschaft. IT-Entscheider müssen die Bedürfnisse der HR verstehen und diese proaktiv mit sicheren Lösungen bedienen. Gleichzeitig muss HR akzeptieren, dass technologische Freiheit untrennbar mit technischer Verantwortung verbunden ist. Wenn die digitale Souveränität zentral gewahrt bleibt, kann die operative Freiheit dezentral zum Erfolg führen.
