Unter Schatten-IT (Shadow-IT) ist das Nutzen ganzer IT-Systeme (Hardware, Software, Netzwerke, Services) neben der eigentlichen IT-Infrastruktur zu verstehen. Diese IT-Systeme werden von Fachabteilungen, zumeist ohne Wissen der IT-Abteilung, initiiert. Neben den teilweise doppelten Kosten und dem Mehraufwand, steigt das Risiko insbesondere gegen das Datenschutzrecht zu verstoßen. Zudem sind auch Urheberrechtsverletzungen oder der Verstoß gegen gesetzliche Aufbewahrungsfristen klassische Fehltritte, welche durch die Schatten-IT verursacht werden können.
Gründe für die Schatten-IT sind selten Böswilligkeit der Mitarbeiter, sondern eher der Versuch, sich oder der IT-Abteilung, die Arbeit zu erleichtern oder abzunehmen. Dies führt dazu, dass Mitarbeiter beispielsweise Endgeräte von Zuhause mitbringen. Anders als bei gewolltem Bring Your Own Device (BYOD) können die Risiken nicht aufgefangen werden, da sowohl IT-Abteilung als auch die Geschäftsleitung bzw. der Datenschutzbeauftragte keine oder zu spät Informationen über den Einsatz der Geräte erhalten.
Häufige Ausprägungen der Schatten-IT sind zudem das eigenverantwortliche Beschaffen von Endgeräten, was zu einem kaum zu überblickenden Wildwuchs führen kann.
Ein weiteres klassisches Problem ist der Einsatz von Cloud-Computing. In diesem Rahmen werden sensible Informationen in Clouds geladen, wobei nur wenigen Mitarbeitern bewusst ist, dass es sich bereits um eine Datenübermittlung ohne Einwilligung der Betroffenen handeln kann. Das es sich dabei oftmals um Übermittlungen in Länder mit einem unsicheren Datenschutzniveau handelt, verschlechtert die Situation und erhöht das Risiko um ein Vielfaches.