Die Grenzen der PII-Filterung
Unternehmensteams stoßen regelmäßig auf dasselbe Problem: Die Daten bestehen die PII-Prüfung, der Workflow schlägt dennoch fehl. Namen und Telefonnummern sind entfernt. Die Netzwerkkonfiguration bleibt jedoch erkennbar. Die Incident-Sequenz identifiziert das Kundensegment. Das OT-Alarmmuster verrät die Anlage.
Genau diese Lücke adressiert Differential Privacy. PII-Filterung ist eine Schutzmaßnahme auf Feldebene: Sie erkennt und ersetzt Muster, die wie Namen aussehen. Differential Privacy ist ein verteilungsbasierter Schutz: Sie begrenzt, wie stark ein einzelner Datensatz das Ergebnis beeinflussen kann. Bei operativen, strukturierten und kontextuell re-identifizierbaren Daten sind beide Ansätze erforderlich.
Was Differential Privacy ist
Differential Privacy (DP) ist ein mathematisches Rahmenwerk, das 2006 von Cynthia Dwork und Kollegen eingeführt wurde. Das Grundprinzip: Eine Berechnung gilt als differentiell privat, wenn das Ergebnis nahezu identisch bleibt, unabhängig davon, ob ein bestimmter Datensatz einbezogen wurde oder nicht. Das „nahezu" wird durch den Parameter Epsilon (ε) quantifiziert — ein kleineres Epsilon bedeutet stärkeren Schutz bei geringerer Nutzbarkeit.
In der Praxis wird DP durch das Hinzufügen kalibrierten Rauschens zu Ausgaben, Abfragen oder Transformationen umgesetzt. Das Ausmaß des Rauschens wird durch die Sensitivität der Funktion und das gewählte Privacy-Budget bestimmt. Korrekt angewendet liefert DP eine quantifizierbare Schranke dafür, was ein Angreifer über einen einzelnen Datensatz aus der Ausgabe ableiten kann — selbst bei beliebigem Hintergrundwissen.
Was DP nicht ist
- DP ist keine binäre Garantie. Es ist ein einstellbarer Parameter, der Nutzbarkeit gegen Datenschutzrisiko abwägt.
- DP allein garantiert keine Konformität mit der DSGVO (GDPR), HIPAA oder anderen spezifischen Vorschriften.
- DP eliminiert Risiken nicht. Es begrenzt und charakterisiert Risiken, sodass Entwicklungsteams und Compliance-Verantwortliche fundiert damit arbeiten können.
Warum DP zur KI-Datenschicht gehört
Die KI-Datenschicht ist der Punkt, an dem regulierte operative Daten von „vertraulich" zu „LLM-nutzbar" werden. In einer reinen PII-Pipeline werden identifizierbare Felder erkannt, durch Token ersetzt, an das LLM weitergeleitet und anschließend wiederhergestellt. Dieser Ansatz funktioniert bei Kundenservice-Chats oder Vertragsüberprüfungs-Workflows, bei denen der sensible Inhalt überwiegend aus individuellen Kennungen besteht.
Er versagt, wenn die sensible Information die Netzwerktopologie eines nationalen Carriers ist, die Alarmsequenz vor einem Ausfall, die Konfigurationsabweichung zwischen zwei PLCs oder der Betriebsrhythmus einer Krankenhausstation. In diesen Fällen passieren die Felder die Maskierung, die zugrundeliegenden Muster bleiben jedoch für jeden lesbar, der den Kontext rekonstruiert.
Differential-Privacy-basierte Kapsulierung ergänzt die Feldmaskierung um eine verteilungsbasierte Schutzschicht. Sie wird während des Kapsulierungsschritts angewendet — bevor die Daten das LLM erreichen — und wird gegen das Sensitivitätsprofil der operativen Daten kalibriert.
Anwendung von Differential Privacy in LLM Capsule
LLM Capsule wendet Differential-Privacy-basierten Schutz innerhalb einer umfassenderen Transformation an, die als strukturerhaltende Kapsulierung bezeichnet wird. Der vollständige Prozessablauf:
- Einspeisung — Operative Daten gelangen über den Connector Lane in die Capsule Runtime (NOC-Plug-in, Ticket-Webhook, OT-Log-Tap oder Dateiüberwachung).
- Vertraulichkeitsmarker identifizieren — über generische PII hinaus: Netzwerkkennungen, System-Betriebslogs, OT/Asset-Referenzen sowie Missions- und klinischer Kontext.
- Strukturerhaltende Transformation anwenden — Tabellenlayout, Log-Sequenz, Dokumenthierarchie und Konfigurationsbaum bleiben erhalten, damit das LLM weiterhin darüber schlussfolgern kann.
- Differential-Privacy-basierten Schutz anwenden — kalibriert gegen das Privacy-Budget der Richtlinie für den jeweiligen Workflow. Epsilon-DP aktiv, Laplace-Rauschen, k-Anonymitätsdurchsetzung, semantische Tokenisierung, Freitext-NER-Maskierung.
- Ausführungspfad zuweisen — Pfad A (externes zugelassenes LLM, nur Kapseldaten) oder Pfad B (On-Premise-Leichtgewichtmodell, keine externe Übertragung).
- Wiederherstellung über State Vault — Die LLM-Ausgabe wird mit den originalen operativen Kennungen angereichert und in den Workflow zurückgeführt (RCA, Ticket-Aktualisierung, Runbook, Antwortentwurf).
Die technische Schutzaussage ist klar begrenzt: Differential-Privacy-basierte Kapsulierung reduziert Re-Identifikations-, Inferenz- und Kontextoffenlegungsrisiken für den operativen Datensatz. Es handelt sich nicht um eine Nullrisikoversprechen, sondern um eine definierte technische Schutzschicht mit einem für die Governance sichtbaren Privacy-Budget.
DP vs. PII-Filterung: Gegenüberstellung
| PII-Filterung / Schutzmaßnahmen | Differential-Privacy-basierte Kapsulierung | |
|---|---|---|
| Schutzebene | Feldebene (identifizierbare Felder erkennen und ersetzen) | Feldebene + verteilungsbasiert (Einfluss einzelner Datensätze begrenzen) |
| Abdeckung | Namen, IDs, Finanzfelder, Adressen | + Netzwerklogs, Konfigurationen, OT-Alarme, klinischer und Missionskontext |
| Fehlermuster | Muster passieren die Filterung (Struktur, Sequenz, Aggregation) | Risiko ist begrenzt und über das Privacy-Budget sichtbar |
| Typische Aussage | „PII entfernt" | „Datenschutzwahrend mit definiertem Risikoreduktionsumfang" |
| Prüfbarkeit | Erkennungsprotokolle | Privacy-Budget, Prüfpfad, Governance-Nachweise |
Fragen für Unternehmen vor dem DP-Einsatz auf KI-Ebene
- Wie hoch ist das Privacy-Budget je Workflow? Unterschiedliche Workflows können unterschiedliche Epsilon-Werte tragen. NOC-Analysen können höhere Nutzbarkeit tolerieren. Missionsübersichten erfordern möglicherweise stärkeren Schutz.
- Wo wird das Budget verbraucht? Jede Abfrage gegen denselben Datensatz verbraucht einen Teil des Budgets. Die Ausführungsschicht sollte dies nachverfolgen und der Governance sichtbar machen.
- Welche Anforderungen bestehen an die Strukturerhaltung? Wenn das LLM über die Topologie schlussfolgern muss, darf diese nicht durch naives Rauschen zerstört werden. Strukturerhaltende Kapsulierung löst dieses Problem.
- Wie ist der Schutz prüfbar? Differential Privacy ist nur dann aussagekräftig, wenn Parameter und Budgets dokumentiert, nachvollziehbar und an Richtlinien geknüpft sind.
Externes LLM vs. On-Premise-Ausführung
Differential-Privacy-basierte Kapsulierung unterstützt beide Ausführungspfade in LLM Capsule. Die operative Bedeutung unterscheidet sich jedoch:
Pfad A · Externes zugelassenes LLM — Kapseldaten werden an einen zugelassenen externen LLM-Endpunkt übertragen. Operative Rohdaten verlassen die Unternehmensumgebung nicht. Die DP-Schicht reduziert das Inferenzrisiko auf der Kapsel selbst.
Pfad B · On-Premise-Leichtgewichtmodell — Die Kapselausführung findet vollständig innerhalb der Unternehmensumgebung statt. Keine externe Übertragung. Einsatz bei Air-Gapped-, klassifizierten oder streng regulierten Betriebsumgebungen.
Die Wahl ist eine richtliniengesteuerte Entscheidung, die durch das regulatorische Profil des Workflows, Datensouveränitätsvorgaben und Kundenverpflichtungen bestimmt wird. Die Ausführungsschicht ermöglicht beide Varianten; die Governance legt fest, welche Variante wo gilt.
Zu absoluten Aussagen wie „100 % sicher" oder „DSGVO-garantiert"
Solche Aussagen sollten vermieden werden. Differential Privacy ist ein robustes, gut erforschtes Rahmenwerk — aber kein Allheilmittel. Die Herstelleraussage „mathematisch unmöglich zu rekonstruieren" vereinfacht das Rahmenwerk unzulässig und lädt zu Verifikationsangriffen ein. Die sachlich korrekte Formulierung lautet:
- „Datenschutzwahrend mit definiertem Risikoreduktionsumfang"
- „Begrenztes Inferenzrisiko im Rahmen des Privacy-Budgets der Richtlinie"
- „Keine Offenlegung operativer Rohdaten gegenüber externen LLMs (Pfad A)"
- „Keine externe Datenübertragung beim lokalen Ausführungspfad (Pfad B)"
Diese Formulierungen sind für Sicherheits- und Rechtsabteilungen regulierter Einkäufer nachvollziehbar und prüfbar. Absolute Aussagen hingegen werden hinterfragt.
Einordnung in die KI-Datenschicht
Differential-Privacy-basierte Kapsulierung ist eine Funktion innerhalb der LLM Capsule Runtime. Die Runtime umfasst darüber hinaus strukturerhaltende Transformation, richtlinienbasierte Markerkontrolle, State Vault für die Wiederherstellung sowie einen Prüfpfad. Die Differential-Privacy-Komponente schützt die Kapsel vor Inferenzangriffen auf Musterebene; die strukturerhaltende Komponente stellt die Nutzbarkeit für das LLM sicher; der State Vault ermöglicht die Rückführung der Ergebnisse in den Workflow.
Alle drei Komponenten zusammen — ergänzt durch den Connector Lane, der sie in bestehende NOC-, Ticket-, OT-, EHR- und Einsatzsysteme integriert — begründen die Positionierung von LLM Capsule als KI-Datenschicht und nicht als reines Datenschutz- oder PII-Werkzeug.
- PII-Filterung wirkt auf Feldebene. Differential Privacy wirkt auf Verteilungsebene. Operative Daten erfordern beide Ansätze.
- Differential-Privacy-basierte Kapsulierung ist die technische Grundlage von LLM Capsule und wird während der strukturerhaltenden Transformation angewendet.
- Sie reduziert Re-Identifikations-, Inferenz- und Kontextoffenlegungsrisiken — mit definiertem, prüfbarem Umfang. Es handelt sich nicht um eine absolute Garantie.
- Das Privacy-Budget ist workflowspezifisch und wird pro Abfrage verbraucht. Die Governance muss es nachverfolgen.
- Externes LLM (Pfad A) und On-Premise-Modell (Pfad B) werden beide unterstützt. Die Richtlinie bestimmt, welcher Workflow welchen Pfad nutzt.
- Aussagen wie „100 % sicher", „DSGVO-garantiert", „Nullrisiko" oder „mathematisch unmöglich" sind zu vermeiden. Sachgerechte, technisch begrenzte Formulierungen sind zu bevorzugen.
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 148 16" xmlns="http://www.w3.org/2000/svg"><path d="M 11.102 15.765 L 0 15.765 L 0 0.225 L 3.59 0.225 L 3.59 12.61 L 11.102 12.61 L 11.102 15.766 Z M 24.19 15.765 L 13.086 15.765 L 13.086 0.225 L 16.676 0.225 L 16.676 12.61 L 24.188 12.61 L 24.188 15.766 Z M 26.177 0.226 L 29.85 0.226 L 34.324 10.366 L 38.798 0.226 L 42.472 0.226 L 42.472 15.765 L 38.882 15.765 L 38.882 7.361 L 35.526 14.844 L 33.13 14.844 L 29.774 7.36 L 29.774 15.764 L 26.184 15.764 L 26.184 0.225 L 26.177 0.225 Z M 57.981 0 C 60.649 0 62.947 1.352 64.375 3.556 L 63.362 4.334 C 62.01 2.341 60.09 1.27 57.99 1.27 C 54.4 1.27 51.785 4.139 51.785 8.012 C 51.785 11.886 54.453 14.74 58.058 14.74 C 60.219 14.74 62.138 13.698 63.499 11.674 L 64.467 12.452 C 63.068 14.626 60.694 16 58.056 16 C 53.741 16 50.469 12.565 50.469 8.011 C 50.469 3.458 53.696 0 57.996 0 Z M 65.483 15.765 L 71.62 0.225 L 73.335 0.225 L 79.472 15.765 L 78.142 15.765 L 76.562 11.793 L 68.392 11.793 L 66.812 15.765 L 65.482 15.765 Z M 76.079 10.57 L 72.466 1.456 L 68.869 10.57 Z M 81.833 15.765 L 81.833 0.225 L 87.872 0.225 C 90.706 0.225 92.55 2.008 92.55 4.711 C 92.55 7.414 90.706 9.151 87.872 9.151 L 83.14 9.151 L 83.14 15.765 L 81.832 15.765 Z M 83.141 7.92 L 87.811 7.92 C 90.048 7.92 91.212 6.651 91.212 4.718 C 91.212 2.785 90.049 1.464 87.812 1.464 L 83.14 1.464 L 83.14 7.92 Z M 95.465 12.028 C 96.553 13.81 98.299 14.739 100.196 14.739 C 102.093 14.739 103.891 13.697 103.891 11.96 C 103.891 10.224 102.607 9.499 99.757 8.495 C 96.583 7.37 94.973 6.275 94.973 4.077 C 94.973 1.389 97.467 0 99.773 0 C 102.304 0 103.99 1.314 104.821 2.71 L 103.808 3.488 C 102.924 2.008 101.496 1.268 99.772 1.268 C 98.049 1.268 96.296 2.243 96.296 4.048 C 96.296 5.489 97.528 6.328 100.158 7.218 C 103.952 8.51 105.214 9.71 105.214 11.938 C 105.214 14.573 102.818 16 100.196 16 C 97.785 16 95.54 14.784 94.49 12.806 L 95.457 12.028 Z M 108.278 0.226 L 109.578 0.226 L 109.578 10.102 C 109.578 12.835 111.475 14.715 114.528 14.715 C 117.581 14.715 119.478 12.85 119.478 10.102 L 119.478 0.226 L 120.778 0.226 L 120.778 10.102 C 120.778 13.636 118.398 15.999 114.528 15.999 C 110.659 15.999 108.278 13.629 108.278 10.102 Z M 124.785 15.765 L 124.785 0.225 L 126.092 0.225 L 126.092 14.512 L 135.056 14.512 L 135.056 15.772 L 124.785 15.772 Z M 137.67 0.226 L 147.329 0.226 L 147.329 1.464 L 138.978 1.464 L 138.978 7.097 L 146.188 7.097 L 146.188 8.343 L 138.978 8.343 L 138.978 14.534 L 147.571 14.534 L 147.571 15.773 L 137.67 15.773 Z" fill="rgb(35, 31, 32)" height="16px" id="o43yy6bJZ" width="147.57099816894532px"/></svg>)