1. Der stille Widerspruch im Kern der Unternehmens-KI
Im Jahr 2026 stehen viele Unternehmen vor einem strukturellen Problem, das selten offen benannt wird.
Externe Large Language Models — ChatGPT, Claude, Gemini und andere — erzielen messbar bessere Ergebnisse als intern betriebene Modelle. Sie bewältigen Kontextfenster, an denen interne Systeme scheitern. Sie verbessern sich alle paar Monate, ohne dass das Unternehmen Kosten für Nachtraining trägt. Nach den meisten Kriterien, die für Unternehmen relevant sind, sind sie die naheliegende Wahl.
Und dennoch: In einer Vielzahl regulierter Unternehmen dürfen diese Modelle rechtlich oder vertraglich keinen Zugriff auf die Daten erhalten, auf denen der Betrieb tatsächlich basiert. Kundendaten können nicht an US-gehostete Endpunkte übermittelt werden. Betriebsprotokolle unterliegen sektorspezifischen Datenhaltungsanforderungen. Dokumente enthalten Bezeichner, bei denen vertragliche Vereinbarungen eine Weitergabe außerhalb definierter Grenzen ausschließen. Die Daten, bei denen KI den größten Nutzen entfalten würde, sind genau die, die sie nicht einsehen darf.
Das Ergebnis ist ein Muster, das CIOs in europäischen Banken, Versicherungen, Telekommunikationsunternehmen und Krankenhäusern kennen. Pilotprojekte laufen auf synthetischen oder anonymisierten Stichproben. Die Benchmarks sehen vielversprechend aus. Der Vorstand wird informiert, dass KI kommt. Dann trifft der Produktivbetrieb auf Daten, die im Piloten nicht berücksichtigt wurden — und der Workflow kommt zum Stillstand. Einige Teams geben auf. Andere entwickeln interne LLMs, die die Erwartungen nicht erfüllen. Wieder andere leiten Daten still über Kanäle um, die dafür nicht vorgesehen sind — ein Phänomen, das heute als Shadow-KI bezeichnet wird.
Dieser Artikel beschreibt die drei gängigen Ansätze, die KI-Teams als erstes ausprobieren, zeigt auf, wo jeder einzelne versagt, und stellt einen anderen Ansatz vor — einen, der in produktiven Deployments in Telekommunikation, Gesundheitswesen, Finanzwesen und Verteidigung eingesetzt wird und die eigentliche Frage neu formuliert.
2. Warum dieses Problem schwieriger ist als es aussieht
Die erste Reaktion beim Auftreten dieses Problems ist meist der Griff zu einem verfügbaren Werkzeug: einer Datenmaskierungsbibliothek, einer PII-Erkennungs-API oder einer privaten Bereitstellung eines Open-Source-Modells. Jedes dieser Werkzeuge löst einen Teil des Problems — und scheitert an einem anderen Punkt im Workflow.
Der Grund liegt darin, dass Unternehmensdaten nicht so strukturiert sind, wie die Werkzeuge es voraussetzen. Ein Datenschutz-Tool für Verbraucher geht davon aus, dass der sensible Teil eines Datensatzes ein Name, eine E-Mail-Adresse oder eine Telefonnummer ist — Felder, die erkannt und ersetzt werden können. Ein Unternehmensdokument hingegen ist ein Service-Ticket mit zwölf Querverweisfeldern, einer Freitextbeschreibung mit Kundenformulierungen, einem angehängten Protokollauszug und Verweisen auf interne Asset-IDs. Sensible Informationen liegen ebenso in der Struktur wie in den Einzelfeldern. Wird die Struktur entfernt, verliert die KI die Grundlage ihrer Arbeit.
Hinzu kommt: Datenhaltungsanforderungen in Unternehmen betreffen oft weniger die Art der Daten als ihren Übertragungsweg. Ein Dokument kann intern legal verarbeitbar, aber nicht in ein Drittland übermittelbar sein — aufgrund von Kundenverpflichtungen, sektorspezifischen Datenhaltungsregeln oder der eigenen Datenschutzstrategie. Die Einschränkung ist geografischer und vertraglicher Natur, nicht nur kategorialer.
Das ist die tatsächliche Situation, vor der KI-Teams in Unternehmen stehen: strukturierte operative Daten, die für KI gerade wegen ihrer Detailtiefe wertvoll sind, gebunden durch Anforderungen, die ihre Weitergabe verhindern — während die leistungsfähigsten Modelle jenseits dieser Grenze verfügbar sind.
3. Die drei gängigen Ansätze — und wo jeder versagt
Die meisten Diskussionen über Unternehmens-KI münden in einen von drei Ansätzen. Jeder ist für sich genommen nachvollziehbar. Keiner davon führt allein zu produktionsreifen Workflows, wenn es auf sie ankommt.
3.1 Ansatz 1 — Daten übermitteln und Risiko akzeptieren
Der einfachste Ansatz ist die Übermittlung der Daten an das externe LLM unter Berufung auf die vertraglichen Zusicherungen des Anbieters — Datenverarbeitungsverträge, Standardvertragsklauseln, regionale Endpunkte. So funktioniert der Großteil der öffentlichen LLM-Nutzung in der Praxis.
Dieser Ansatz funktioniert für Workflows, bei denen die Daten von vornherein nicht sensibel sind — Marketingtexte, öffentliche Dokumente, allgemeine interne Anfragen. Er versagt in dem Moment, in dem der Workflow Kundendaten, operative Systeme oder vertraglich gebundene Informationen berührt. Die Zusicherung des Anbieters ist vertraglicher, nicht architektonischer Natur. Für die Workflows, bei denen es wirklich darauf ankommt, ist die vertragliche Ebene häufig die Grenze, an der eine rechtliche Prüfung im Unternehmen ansetzt.
3.2 Ansatz 2 — Maskierung und Schwärzung vor der Übermittlung
Der nächste Reflex ist, sensible Inhalte intern zu halten. Namen, IDs und identifizierende Felder werden vor der Übermittlung an das LLM maskiert oder geschwärzt. Das Modell sieht eine bereinigt Version.
Für Dokumente, bei denen der sensible Teil klar abgrenzbar ist — etwa ein Vertrag, bei dem die Parteien geschwärzt werden, oder ein Lebenslauf, bei dem der Name entfernt wird — funktioniert dieser Ansatz. Bei operativen Daten scheitert er aus zwei Gründen. Erstens zerstört die Maskierung die Struktur, die die KI benötigt: Eine Tabelle, in der Kundennamen durch [REDACTED] ersetzt wurden, ist keine Tabelle mehr, über die die KI sinnvoll schlussfolgern kann. Zweitens enthält operative Daten zahlreiche Bezeichner, die einfache Maskierungslösungen nicht erkennen — Ticket-Nummern, Asset-IDs, interne Codes, Netzwerkkennungen, Freitextverweise — und jeder dieser Bezeichner kann je nach Kontext sensibel sein.
Das grundlegende Problem: Maskierung optimiert für das Entfernte, nicht für das Nutzbare. Für Workflows, bei denen die KI Zusammenhänge in den Daten verstehen muss, zerstören entfernungsbasierte Ansätze den Workflow, auch wenn sie die sensiblen Inhalte erfolgreich verbergen.
3.3 Ansatz 3 — Vollständige On-Premise-Bereitstellung
Der dritte Ansatz ist der Verzicht auf externe LLMs zugunsten eines Open-Source-Modells auf eigener Infrastruktur. Die Daten verlassen das Unternehmen nicht. Vertragliche Fragen und Datenhaltungsanforderungen lösen sich damit auf.
Dieser Ansatz funktioniert — aber er hat Kosten, die zu Beginn nicht immer sichtbar sind. Interne Modelle, auch gute, liegen bei den Dimensionen, die Unternehmen tatsächlich interessieren — Schlussfolgerungen über komplexe Dokumente, Umgang mit unbekannten Formaten, Verarbeitung langer Kontexte — typischerweise zwölf bis achtzehn Monate hinter den führenden externen Modellen zurück. Der Betriebsaufwand ist erheblich: GPU-Infrastruktur, Modell-Serving-Stack, Evaluierungspipeline, ein Team mit dem nötigen Know-how. Und es gibt die Schere: Alle sechs Monate springen externe Modelle vor, und die Lücke zwischen dem, was das interne Modell kann, und dem, was das Unternehmen inzwischen erwartet, wird größer.
Für bestimmte Workflows — insbesondere dort, wo Datenhaltungsanforderungen absolut sind und der Workflow so überschaubar ist, dass ein kleineres Modell ausreicht — ist dieser Ansatz die richtige Wahl. Für die meisten anderen Anwendungsfälle löst er das Datenproblem auf Kosten der KI-Vorteile.
3.4 Was diese drei Ansätze gemeinsam haben
Allen drei Ansätzen liegt dieselbe Annahme zugrunde: Die Frage lautet, ob die Daten an das externe LLM gesendet werden sollen — und wenn nicht, was stattdessen gesendet werden soll. Sie behandeln die Grenze als gegeben und fragen, was sie passieren kann.
Ein anderer Ansatz stellt eine andere Frage.
| Ansatz | Funktioniert bei | Versagt bei | Kernkompromiss |
|---|---|---|---|
| Daten senden, Risiko akzeptieren | Nicht sensible Daten — Marketingtexte, öffentliche Dokumente, allgemeine Anfragen | Workflows mit Kundendaten, operativen Systemen oder vertraglichen Datenbindungen | Vertraglicher, kein architektonischer Schutz |
| Maskierung und Schwärzung | Klar abgrenzbare sensible Inhalte — Vertragsparteien, Lebenslaufname | Operative Daten, bei denen Struktur Bedeutung trägt; nicht offensichtliche Identifikatoren | Optimiert für das Entfernte, nicht für das Nutzbare |
| Vollständige On-Premise-Bereitstellung | Überschaubare Workflows; absolute Datenhaltungsanforderungen | Workflows, die fortgeschrittenes Schlussfolgern, langen Kontext oder unbekannte Formate erfordern | Datenproblem gelöst auf Kosten der KI-Leistungsfähigkeit |
4. Ein anderer Ansatz — das Grenzüberschreitende verändern
Dieser Ansatz beginnt mit einer anderen Prämisse. Statt zu fragen was kann an das externe LLM gesendet werden, lautet die Frage: Was benötigt das externe LLM, um nützlich zu sein — und kann das anstelle der Originaldaten übermittelt werden?
Für eine große Klasse von Unternehmens-Workflows lautet die Antwort: Das LLM benötigt die Struktur, die Zusammenhänge, die gestellte Frage und die Form der erwarteten Antwort. Es benötigt nicht den tatsächlichen Kundennamen, die eigentliche Kontonummer, den realen Asset-Identifikator. Es benötigt einen Platzhalter, der sich im Kontext der Aufgabe genauso verhält wie der echte Wert.
Wenn sensible Elemente durch strukturierte Token ersetzt werden — Platzhalter, die Format, Typ und Beziehungen erhalten, außerhalb der Ursprungsumgebung aber keine Bedeutung haben — überquert nicht mehr das Original die Grenze. Es ist eine Transformation der Daten, die alles behält, was die KI benötigt, und alles entfernt, was innerhalb der Grenze verbleiben soll.
Das Mapping zwischen Token und Originalwerten verbleibt innerhalb der Unternehmensumgebung. Die KI verarbeitet die tokenisierte Version und gibt eine tokenisierte Antwort zurück. Intern werden die Token auf die Originalwerte zurückgemappt; das Ergebnis ist eine betriebsfertige Ausgabe mit echten Kundennamen, echten Zahlen und echten Referenzen.
Dies ist keine Maskierung — die Token erhalten Struktur und Format. Es sind keine synthetischen Daten — der Workflow operiert auf echten Produktivdaten. Es ist keine On-Premise-Bereitstellung — die eigentliche Verarbeitungsleistung erbringen weiterhin die führenden externen Modelle. Es ist eine Transformationsschicht zwischen der Unternehmensumgebung und der externen KI, die verändert, was die externe KI sieht — ohne zu verändern, was die Unternehmensumgebung weiß.
Verschiedene Communities verwenden unterschiedliche Begriffe für Teile dieses Ansatzes. In der Datenschutzpraxis wird der Ersetzungsschritt üblicherweise als Tokenisierung bezeichnet — sensible Werte werden durch rückmappbare Platzhalter ersetzt. Wenn Tokenisierung mit Strukturerhalt, formatkongruenten Platzhaltern und optionalen statistischen Schutzmaßnahmen kombiniert wird, spricht man von einer Kapselungsschicht (Encapsulation Layer) — einer übergeordneten Architektur, bei der die Tokenisierung den Kernmechanismus bildet. Die Terminologie variiert; der architektonische Gedanke ist konsistent: Die Grenze bleibt unverändert, die KI-Leistungsfähigkeit bleibt erhalten. Was sich verändert, ist die Form der Daten, die die Grenze überquert.
Die Architektur in einem Satz. Originaldaten und Token-Wert-Mapping verbleiben in der Unternehmensumgebung. Nur tokenisierte Daten und tokenisierte Antworten überqueren die Grenze zum externen LLM.
5. Wie dieser Ansatz in der Praxis funktioniert
Die Architektur gliedert sich in vier Phasen mit jeweils eigenständigen Designentscheidungen.
5.1 Erkennung
Bevor Daten transformiert werden, muss das System identifizieren, was in diesem Kontext als sensibel gilt. Erkennung ist in der Praxis schwieriger als zunächst erwartet: Sensible Elemente in operativen Daten sind nicht nur Namen und IDs, sondern die spezifischen Merkmale, die dieses Unternehmen als schutzwürdig definiert hat — Projektkennzeichen, Vertragsbedingungen, interne Asset-Verweise, sektorspezifische Identifikatoren. Generische PII-Erkennung erfasst etwa vierzig Prozent dessen, was tatsächlich relevant ist. Die restlichen sechzig Prozent muss das Unternehmen selbst definieren — in einer Form, die sich mit dem Geschäft weiterentwickeln kann. Produktionsreife Erkennung muss strukturierte Felder und unstrukturierten Freitext bewältigen — mit semantischem Verständnis statt reinem Musterabgleich.
5.2 Transformation
Sind sensible Elemente identifiziert, müssen sie durch Platzhalter ersetzt werden, die die strukturelle Rolle des Originals erhalten. Ein Kundenname in einem Freitextfeld wird zu einem Token, das die KI als Namen erkennt und konsistent referenziert. Eine Kontonummer bleibt eine Kontonummer — lediglich ohne semantische Bedeutung außerhalb des Systems. Die Transformation muss Tabellen, Querverweise, Hierarchien und Dokumentstrukturen intakt lassen. Gut umgesetzt liest sich das Ergebnis wie ein kohärentes Dokument mit anonymen, aber realistischen Platzhaltern. Schlecht umgesetzt ist es mit [REDACTED]-Markierungen durchsetzt, die den Zusammenhang zerstören.
Einige Implementierungen ergänzen die Tokenisierung um zusätzliche Schutzmaßnahmen — statistische Rauschüberlagerung, Durchsetzung von k-Anonymität über Batches oder Anwendung von Differential-Privacy-Techniken auf bestimmte Attribute. Dies reduziert das Restrisiko, dass ein versierter Angreifer Entitäten anhand der tokenisierten Daten re-identifizieren könnte. Ob diese Schicht erforderlich ist, hängt vom jeweiligen Bedrohungsmodell ab. Für die meisten Unternehmens-Workflows ist strukturerhaltende Tokenisierung allein ausreichend, sofern das Mapping gut kontrolliert wird. Für Workflows, bei denen Daten auch auf Architekturebene innerhalb der EU oder anderer definierter Grenzen verbleiben müssen — etwa unter DSGVO (GDPR) oder BSI C5 — ist der zusätzliche Schutz den Mehraufwand wert.
5.3 Externe Verarbeitung
Das tokenisierte Dokument wird über die vom Unternehmen genutzten APIs oder Integrationen an das externe LLM übermittelt. Aus Sicht des LLM ist dies eine normale Anfrage — es kann nicht wissen, dass das Dokument transformiert wurde, und muss es auch nicht wissen. Das LLM führt seine Aufgaben aus — Zusammenfassung, Extraktion, Klassifikation, Schlussfolgerung — und gibt eine tokenisierte Antwort zurück, die dieselben Token enthält wie die Eingabe.
5.4 Wiederherstellung
Innerhalb der Unternehmensumgebung wird die tokenisierte Antwort auf die Originalwerte zurückgemappt. Platzhalter für Kundennamen erhalten die echten Namen zurück. Platzhalter-Kontonummern werden zu echten Kontonummern. Die Struktur und die Schlussfolgerungen der KI bleiben erhalten; lediglich die Platzhalter werden ersetzt. Das Ergebnis ist eine betriebsfertige Ausgabe, die direkt in den ursprünglichen Workflow eingespeist werden kann.
Die Wiederherstellungsphase wird von den meisten Teams unterschätzt. Sie bestimmt, ob die KI-Ausgabe im Produktivbetrieb tatsächlich nutzbar ist oder ob jemand sie manuell nacharbeiten muss. Eine gute Wiederherstellungsschicht ist unsichtbar: Der Nutzer übergibt ein Dokument, die KI liefert eine Analyse, und die Analyse kommt mit echten Werten zurück. Transformation und Wiederherstellung laufen als Infrastruktur, nicht als nutzerseitige Schritte.
6. Für welche Workflows dieser Ansatz tatsächlich geeignet ist
Dieser Ansatz ist nicht universell. Er funktioniert für eine bestimmte Klasse von Workflows — und Klarheit darüber, welche das sind, ist entscheidend für die Entscheidung, ihn einzusetzen.
Geeignet sind Workflows, bei denen die KI-Aufgabe struktureller oder analytischer Natur ist und sensible Elemente vorab identifizierbar sind. Beispiele:
- Vertragszusammenfassungen
- Erstellung von Störungsberichten aus Betriebsprotokollen
- Extraktion von Risikoklauseln aus Due-Diligence-Dokumenten
- Erstellung klinischer Notizen aus strukturierten Patientendaten
- Ursachenanalyse aus Netzwerk-Alarmsequenzen
- Klassifikation von Schadenmeldungen aus Versicherungsunterlagen
In jedem dieser Fälle analysiert die KI Struktur und Inhalt. Die personenidentifizierenden Teile sind Mittel zum Zweck, nicht der Zweck selbst.
Nicht geeignet sind Workflows, bei denen die KI den tatsächlichen sensiblen Inhalt als Teil ihrer Aufgabe verarbeiten muss. Personalisierte Inhalte, die sich direkt an einen Kunden richten. Prüfworkflows, die gegen den tatsächlichen Identifikator abgleichen müssen. Recherchen, die die Originalzeichenketten erfordern.
Als Faustregel gilt: Lässt sich die KI-Ausgabe als "Führe diese analytische Aufgabe durch und berichte das Ergebnis" beschreiben, ist der Ansatz geeignet. Erfordert die Ausgabe "Handele bezüglich dieses konkreten Kunden, Falls oder Identifikators", ist er es nicht.
7. Was vor der Bereitstellung zu entscheiden ist
Die Einführung dieses Ansatzes ist keine Standardentscheidung. Sie bringt Architekturentscheidungen mit sich, die zu Beginn einfacher zu treffen sind als im Nachhinein.
7.1 Wo die Transformation ausgeführt wird
Die Transformationsschicht muss innerhalb der Unternehmensumgebung betrieben werden — On-Premise, in der unternehmenseigenen Cloud-VPC oder auf dedizierter Infrastruktur. Die Anforderung besteht darin, dass die Transformation erfolgt, bevor die Daten das externe Netzwerk erreichen. Die Schicht ist damit kolokal mit den Quellsystemen, nicht mit dem KI-Endpunkt.
7.2 Wer das Mapping kontrolliert
Das Mapping zwischen Token und Originalwerten ist die sensibelste Komponente der Architektur. Es ist der Schlüssel zur Re-Identifikation der Daten. Bewährte Praxis ist, dass das Mapping ausschließlich vom Unternehmen gehalten wird — in einem Speicher, auf den der externe LLM-Anbieter keinen Zugriff hat. Dies ist eine nicht verhandelbare Designeigenschaft, keine Konfigurationsoption. Erlaubt die Architektur eines Anbieters, dass das Mapping die Unternehmensumgebung verlässt, kollabiert der Schutz des Ansatzes.
7.3 Wie Sensitivität definiert wird
Generische personenbezogene Datenkategorien nach DSGVO (GDPR) — Namen, E-Mail-Adressen, Telefonnummern — sind der Ausgangspunkt, nicht das Ziel. Das Unternehmen muss definieren, was in seinem Kontext als sensibel gilt: interne Projektkennzeichen, Kundensegmentierungsmerkmale, sektorspezifische Referenzen. Die Definition muss versioniert werden, denn Sensitivität ist nicht statisch — heute sind es Finanzdaten, morgen ein M&A-Codename, übermorgen Asset-Referenzen einer regulierten Einheit. Eine statische Definition veraltet schnell.
7.4 Wie der Workflow mit der Ausgabe umgeht
Die Wiederherstellung muss innerhalb der Unternehmensumgebung erfolgen und in den jeweiligen Auslieferungskanal des Workflows integriert sein — das Ticketing-System, die Dokumentenverwaltungsplattform, die Prüfoberfläche des Analysten. Ist die Wiederherstellung ein separater manueller Schritt, wird sie von den Nutzern übergangen — und der Wert der Architektur löst sich auf.
7.5 Was geschieht, wenn sich der externe Endpunkt ändert
Externe LLMs sind keine stabile Infrastruktur. Modelle werden abgekündigt, Anbieter ändern ihre Preisgestaltung, neue Optionen entstehen. Der Ansatz funktioniert am besten, wenn die Transformationsschicht anbieterneutral ausgelegt ist — wenn der Wechsel von ChatGPT zu Claude oder zu einem neuen Anbieter eine Konfigurationsänderung ist, keine Architekturüberarbeitung.
8. Die Grenzen dieses Ansatzes — offen benannt
Der Ansatz löst ein reales Problem — aber nicht jedes Problem. Die Grenzen sind es wert, klar benannt zu werden.
- Ungeeignet ist der Ansatz, wenn die eigentliche KI-Aufgabe die Originaldaten erfordert — Prüfaufgaben, Recherchen, Personalisierungsaufgaben, bei denen der tatsächliche Identifikator den Gegenstand bildet.
- Er erhöht die Latenz. Erkennung, Transformation und Wiederherstellung erfordern jeweils Zeit. Für die meisten Unternehmens-Workflows ist dies nicht spürbar — der Mehraufwand sind Sekundenbruchteile in einem Workflow, der ohnehin mehrere Sekunden dauert. Für latenzkritische Anwendungen kann der Mehraufwand relevant sein.
- Er erfordert kontinuierliche Investitionen in die Erkennungs- und Definitionsschicht. Sensitivität ist nicht statisch; Merkmale entwickeln sich mit dem Geschäft; die Definition muss mitentwickelt werden. Ein Team muss diese Verantwortung übernehmen und in enger Abstimmung mit der Geschäftsentwicklung stehen. Technologie einzukaufen, ohne die Definition zu pflegen, führt zur schleichenden Entwertung der Architektur.
- Er ersetzt keine organisatorischen Entscheidungen darüber, welche Daten überhaupt verarbeitet werden sollten. Einige Workflows sollten unabhängig von jeder Transformation nicht an externe Modelle gesendet werden — die Daten sind zu sensibel, der Workflow zu kritisch, das Fehlerszenario zu kostspielig. Dieser Ansatz ist für Workflows gedacht, bei denen die Antwort "mit der richtigen Architektur sinnvoll einsetzbar" lautet — nicht für Workflows, bei denen die Antwort "grundsätzlich nicht" ist.
- Er setzt voraus, dass das Unternehmen die Schicht in der eigenen Umgebung betreibt. Anbieter, die diesen Ansatz als externes SaaS anbieten — bei dem die Transformation auf der Anbieterinfrastruktur erfolgt — haben die Architektur in ein anderes Problem überführt. Der Kern des Ansatzes ist, dass die Transformation dort ausgeführt wird, wo die Daten bereits liegen.
9. Konsequenzen für die KI-Strategie
Für die meisten regulierten Unternehmen in der EU führt der Weg zu produktionsreifen KI-Lösungen im Jahr 2026 über eine Variante dieses Ansatzes. Die wirtschaftlichen Vorteile externer LLMs sind zu erheblich, um sie zu ignorieren. Die Anforderungen an Datenhaltung sind zu real, um sie zu umgehen. Die bestehenden Werkzeuge — Maskierung, On-Premise-Bereitstellung — lösen Teile des Problems, nicht das Ganze.
Dieser Ansatz ist keine abgeschlossene Kategorie. Es gibt Implementierungen von verschiedenen Anbietern mit unterschiedlichen Designentscheidungen zu Erkennung, Transformationsstärke, Wiederherstellungslogik und Bereitstellungstopologie. Die Auswahl hängt von unternehmenssspezifischen Fragen ab: Welche bestehenden Systeme muss die Schicht integrieren? Wie ist die Sensitivitätsdefinition beschaffen? Auf welche Bereitstellungsstrategie hat sich das Sicherheitsteam festgelegt? Wie wird der Workflow-Mix zwischen externen und On-Premise-Modellen aussehen?
Was alle Implementierungen verbindet, sind vier architektonische Kerneigenschaften:
- Originaldaten verbleiben innerhalb der Unternehmensgrenze
- Die KI-Leistungsfähigkeit bleibt erhalten
- Die Transformation läuft auf einer Schicht unter Unternehmenskontrolle
- Das Mapping, das die Wiederherstellung ermöglicht, verbleibt unter ausschließlicher Kontrolle des Unternehmens
Wenn diese vier Eigenschaften gegeben sind, beginnen Workflows, die im Pilotbetrieb feststeckten, in den Produktivbetrieb überzugehen.
Der eingangs beschriebene Widerspruch löst sich nicht vollständig auf — es wird immer Workflows geben, bei denen Anforderung und Leistungsfähigkeit nicht in Einklang zu bringen sind. Für den breiten Bereich der Unternehmens-KI-Aufgaben ist dieser Ansatz jedoch die architektonische Antwort, die es erlaubt, KI-Strategie und Datenstrategie aus dem Konflikt zu führen.
- Regulierte Unternehmen stehen vor einem strukturellen Widerspruch: Die leistungsfähigsten KI-Modelle sind extern; die nützlichsten Daten dürfen die Grenze nicht verlassen
- Die drei gängigen Reaktionen — Risiko akzeptieren, Maskierung und Schwärzung, On-Premise-Betrieb — scheitern jeweils an vorhersehbaren Punkten
- Ein anderer Ansatz verändert nicht ob, sondern was die Grenze überquert — durch strukturerhaltende Tokenisierung
- Vier Phasen: Erkennung → Transformation → Externe Verarbeitung → Wiederherstellung
- Geeignet für analytische Workflows mit vorab identifizierbaren sensiblen Elementen; ungeeignet für Personalisierungs- oder Verifikationsaufgaben
- Vier nicht verhandelbare Designeigenschaften: Transformation im Unternehmen, ausschließliche Kontrolle des Mappings, fortlaufend gepflegte Sensitivitätsdefinition, Wiederherstellung als Infrastrukturkomponente
- Grenzen: erhöhte Latenz, laufende Investitionen in die Erkennungsschicht, kein Ersatz für organisatorische Grundsatzentscheidungen
- Anbieterneutral ausgelegt — ein Wechsel zwischen ChatGPT, Claude oder Gemini ist eine Konfigurationsänderung, keine Architekturüberarbeitung
Häufig gestellte Fragen
Wie unterscheidet sich dieser Ansatz von Datenmaskierung?
Maskierung optimiert für das Entfernte — Namen, IDs und Identifikatoren werden durch Schwärzungsmarkierungen ersetzt. Das funktioniert bei Dokumenten, bei denen der sensible Teil klar abgrenzbar ist, scheitert aber bei operativen Daten, weil die für die KI notwendige Struktur dabei zerstört wird. Der hier beschriebene Ansatz nutzt strukturerhaltende Tokenisierung: Sensible Elemente werden durch Platzhalter ersetzt, die Format, Typ und Beziehungen erhalten — sodass die KI ein kohärentes Dokument verarbeitet. Das Mapping auf die Originalwerte verbleibt im Unternehmen.
Funktioniert dieser Ansatz mit jedem externen LLM?
Der Ansatz ist anbieterneutral ausgelegt. Aus Sicht des externen LLM empfängt es eine normale Anfrage — es kann nicht erkennen, dass das Dokument transformiert wurde, und muss es nicht. Ein Wechsel von ChatGPT zu Claude, Gemini oder einem neuen Anbieter ist eine Konfigurationsänderung, keine Architekturüberarbeitung. Die Transformationsschicht ist die Konstante; das externe Modell ist die Variable.
Was geschieht mit dem Mapping zwischen Token und Originalwerten?
Das Mapping ist die sensibelste Komponente der Architektur — es ist der Schlüssel zur Re-Identifikation der Daten. Bewährte und gebotene Praxis ist, dass das Mapping ausschließlich vom Unternehmen in einem Speicher gehalten wird, auf den der externe LLM-Anbieter keinen Zugriff hat. Dies ist eine nicht verhandelbare Designeigenschaft. Erlaubt die Architektur eines Anbieters, dass das Mapping das Unternehmen verlässt, kollabiert der Schutz des Ansatzes.
Wo muss die Transformationsschicht betrieben werden?
Innerhalb der Unternehmensumgebung — On-Premise, in der unternehmenseigenen Cloud-VPC oder auf dedizierter Infrastruktur unter Unternehmenskontrolle. Die Anforderung ist, dass die Transformation erfolgt, bevor die Daten das externe Netzwerk erreichen. Anbieter, die diesen Ansatz als externes SaaS anbieten, haben die Architektur in ein anderes Problem überführt. Der Kerngedanke ist, dass die Transformation dort ausgeführt wird, wo die Daten bereits liegen.
Für welche Workflows ist dieser Ansatz nicht geeignet?
Ungeeignet ist der Ansatz für Workflows, bei denen die KI den tatsächlichen sensiblen Inhalt als Teil ihrer Aufgabe verarbeiten muss: personalisierte Inhalte, die sich direkt an Kunden richten; Prüfworkflows, die gegen den tatsächlichen Identifikator abgleichen müssen; Recherchen, die die Originalzeichenketten erfordern. Als Faustregel gilt: Lässt sich die KI-Ausgabe als "Führe diese analytische Aufgabe durch und berichte das Ergebnis" beschreiben, funktioniert der Ansatz. Erfordert die Ausgabe "Handele bezüglich dieses konkreten Kunden, Falls oder Identifikators", ist er ungeeignet.
Wie unterscheidet sich das von einem On-Premise-Open-Source-Modell?
On-Premise-Bereitstellung löst das Datenproblem, indem die KI-Leistungsfähigkeit durch etwas Internes ersetzt wird — die Daten verlassen das Unternehmen nicht, aber das Modell ist auf die Möglichkeiten des intern betriebenen Systems begrenzt. Das funktioniert, wenn der Workflow so überschaubar ist, dass ein kleineres Modell ausreicht. Der Transformationsschicht-Ansatz behält die führenden externen Modelle und verändert stattdessen, was die Grenze überquert. Die eigentliche Verarbeitungsleistung erbringen weiterhin die leistungsfähigsten Modelle; nur die Form der Daten ist anders.
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 148 16" xmlns="http://www.w3.org/2000/svg"><path d="M 11.102 15.765 L 0 15.765 L 0 0.225 L 3.59 0.225 L 3.59 12.61 L 11.102 12.61 L 11.102 15.766 Z M 24.19 15.765 L 13.086 15.765 L 13.086 0.225 L 16.676 0.225 L 16.676 12.61 L 24.188 12.61 L 24.188 15.766 Z M 26.177 0.226 L 29.85 0.226 L 34.324 10.366 L 38.798 0.226 L 42.472 0.226 L 42.472 15.765 L 38.882 15.765 L 38.882 7.361 L 35.526 14.844 L 33.13 14.844 L 29.774 7.36 L 29.774 15.764 L 26.184 15.764 L 26.184 0.225 L 26.177 0.225 Z M 57.981 0 C 60.649 0 62.947 1.352 64.375 3.556 L 63.362 4.334 C 62.01 2.341 60.09 1.27 57.99 1.27 C 54.4 1.27 51.785 4.139 51.785 8.012 C 51.785 11.886 54.453 14.74 58.058 14.74 C 60.219 14.74 62.138 13.698 63.499 11.674 L 64.467 12.452 C 63.068 14.626 60.694 16 58.056 16 C 53.741 16 50.469 12.565 50.469 8.011 C 50.469 3.458 53.696 0 57.996 0 Z M 65.483 15.765 L 71.62 0.225 L 73.335 0.225 L 79.472 15.765 L 78.142 15.765 L 76.562 11.793 L 68.392 11.793 L 66.812 15.765 L 65.482 15.765 Z M 76.079 10.57 L 72.466 1.456 L 68.869 10.57 Z M 81.833 15.765 L 81.833 0.225 L 87.872 0.225 C 90.706 0.225 92.55 2.008 92.55 4.711 C 92.55 7.414 90.706 9.151 87.872 9.151 L 83.14 9.151 L 83.14 15.765 L 81.832 15.765 Z M 83.141 7.92 L 87.811 7.92 C 90.048 7.92 91.212 6.651 91.212 4.718 C 91.212 2.785 90.049 1.464 87.812 1.464 L 83.14 1.464 L 83.14 7.92 Z M 95.465 12.028 C 96.553 13.81 98.299 14.739 100.196 14.739 C 102.093 14.739 103.891 13.697 103.891 11.96 C 103.891 10.224 102.607 9.499 99.757 8.495 C 96.583 7.37 94.973 6.275 94.973 4.077 C 94.973 1.389 97.467 0 99.773 0 C 102.304 0 103.99 1.314 104.821 2.71 L 103.808 3.488 C 102.924 2.008 101.496 1.268 99.772 1.268 C 98.049 1.268 96.296 2.243 96.296 4.048 C 96.296 5.489 97.528 6.328 100.158 7.218 C 103.952 8.51 105.214 9.71 105.214 11.938 C 105.214 14.573 102.818 16 100.196 16 C 97.785 16 95.54 14.784 94.49 12.806 L 95.457 12.028 Z M 108.278 0.226 L 109.578 0.226 L 109.578 10.102 C 109.578 12.835 111.475 14.715 114.528 14.715 C 117.581 14.715 119.478 12.85 119.478 10.102 L 119.478 0.226 L 120.778 0.226 L 120.778 10.102 C 120.778 13.636 118.398 15.999 114.528 15.999 C 110.659 15.999 108.278 13.629 108.278 10.102 Z M 124.785 15.765 L 124.785 0.225 L 126.092 0.225 L 126.092 14.512 L 135.056 14.512 L 135.056 15.772 L 124.785 15.772 Z M 137.67 0.226 L 147.329 0.226 L 147.329 1.464 L 138.978 1.464 L 138.978 7.097 L 146.188 7.097 L 146.188 8.343 L 138.978 8.343 L 138.978 14.534 L 147.571 14.534 L 147.571 15.773 L 137.67 15.773 Z" fill="rgb(35, 31, 32)" height="16px" id="o43yy6bJZ" width="147.57099816894532px"/></svg>)