Warum diese Kategorie jetzt entsteht
Unternehmen und Organisationen des öffentlichen Sektors wollen generative KI auf ihren wertvollsten Daten einsetzen: Betriebsdaten, Verträge, Quellcode, Asset-Inventare, Netzwerkkonfigurationen, klinische Notizen. Genau diese Daten dürfen sie jedoch nicht an ein externes Modell übermitteln.
Daraus entsteht eine Einführungslücke. Die Aufgaben, bei denen KI den größten Nutzen stiften würde, sind gleichzeitig die Aufgaben, bei denen eine Datenweitergabe am schwierigsten zu rechtfertigen ist. Mit zunehmender Regulierung durch DSGVO und EU AI Act und dem Übergang von GenAI-Pilotprojekten in Produktivsysteme entwickelt sich diese Lücke vom Randfall zum zentralen Hindernis für unternehmensweite KI.
Der naheliegende Ausweg ist, die sensiblen Bestandteile herauszufiltern, bevor die Daten das Modell erreichen. Genau dort beginnt das eigentliche Problem.
Das Problem sind nicht die Daten. Es sind die Beziehungen.
Maskierung, Schwärzung und DLP wurden für eine einzige Aufgabe entwickelt: sensible Werte daran zu hindern, ein Netzwerk zu verlassen. Das gelingt ihnen gut. Sie wurden nie dafür entworfen, dass ein Modell das Verbleibende sinnvoll auswerten kann.
Herkömmliche Maskierungssysteme optimieren für Datenschutz. KI-Systeme optimieren für Schlussfolgerungen. In dem Moment, in dem ein maskierter Wert Teil einer Beziehung ist, zerstört der Schutz des Wertes oft die Beziehung selbst.
Genau das übersehen die meisten Teams. Das Risiko für die KI-Nutzbarkeit liegt nicht darin, dass ein einzelner Wert verborgen wird — sondern darin, dass das Verbergen des Wertes die Verbindungen durchtrennt, die das Modell zum Denken braucht. Was verschwindet, wenn Sie maskieren:
- Asset ID ↔ Asset Name — schwärzen Sie die ID, kann das Modell eine Schwachstelle nicht mehr dem betroffenen System zuordnen.
- Host ↔ IP ↔ VLAN — maskieren Sie diese Felder, kann das Modell nicht mehr bestimmen, aus welchem Netzwerksegment eine Meldung tatsächlich stammt.
- Vertragsklausel ↔ Vertragspartei — schwärzen Sie die Partei, wird eine Frage zu Verlängerungsrisiken oder Vertragspflichten unbeantwortbar.
- Patient ↔ Behandlung ↔ Diagnose — entfernen Sie die Identifikatoren, ist die klinische Kette, die das Modell zusammenfassen soll, nicht mehr rekonstruierbar.
Abbildung 1. Maskierung durchtrennt die Host–IP–VLAN-Beziehung; ein Context-Preserving Data Layer tokenisiert die Werte, bewahrt aber die Beziehung.
Die Eingabe ist sicher. Die Ausgabe ist wertlos. Die meisten Teams akzeptieren das als den Preis sicherer KI-Nutzung — Daten schützen oder mit einem Modell nutzen, aber nicht beides. Ein Context-Preserving Data Layer existiert genau dafür, diesen Zielkonflikt aufzulösen.
Was ein Context-Preserving Data Layer leistet
Statt sensible Werte zu löschen, transformiert er sie — und bewahrt dabei Struktur und Beziehungen, sodass das Modell weiterhin Eingaben erhält, die sich wie echte Daten verhalten. Das Modell arbeitet auf geschützten Daten. Auf dem Rückweg stellt die Schicht die Originalwerte lokal, innerhalb der Vertrauensgrenze, wieder her — das Ergebnis landet im Workflow, als hätte das Modell die echten Daten gesehen.
Das Modell sieht die echten Daten nie. Genauer gesagt: Das Modell braucht sie nie.
Abbildung 2. Die Schicht transformiert Daten vor dem KI-Modell und stellt Werte lokal, innerhalb der Vertrauensgrenze, wieder her.
Einige Eigenschaften definieren die Kategorie:
- Individuell definierter Schutz, nicht nur generische PII. Was die Modellgrenze nicht unverschlüsselt passieren darf, bestimmt der Anwendungsfall selbst — Projektcodes, Asset- und Equipment-IDs, Vertragskonditionen, Netzwerkidentifikatoren, klinische Ausdrücke, Quellcode, interne Bezeichner. Generische PII ist ein Teilbereich des Schutzes, nicht der Fokus.
- Beziehungen erhalten, nicht aufgelöst. Asset-zu-Name, Host-zu-IP-zu-VLAN, Klausel-zu-Vertragspartei, Patient-zu-Diagnose — die Verbindungen überstehen die Transformation, weil das Modell genau diese Verbindungen für seine Schlussfolgerungen benötigt.
- Wiederherstellung innerhalb der Vertrauensgrenze. Token werden nach der Inferenz lokal auf die Originalwerte zurückgemappt — das Ergebnis ist im Workflow direkt verwendbar, ohne dass die Originaldaten die eigene Umgebung je verlassen mussten.
Abgrenzung zu bestehenden Lösungen
Da ein Context-Preserving Data Layer nahe am Modell sitzt, wird er häufig mit Lösungen verglichen, die er nicht ist:
- Kein DLP und keine Maskierung. Diese schützen die Eingabe durch Entfernung. Ein Context-Preserving Data Layer schützt die Eingabe durch Transformation — der Kontext bleibt erhalten.
- Kein RAG und keine Vektordatenbank. RAG bringt zusätzlichen Kontext in ein Modell. Ein Context-Preserving Data Layer steuert den sensiblen Kontext, der die Organisation bereits verlässt. RAG fügt Wissen hinzu; dieser Layer schützt, was abgeht.
- Kein KI-Gateway und kein MCP-Layer. Diese routen, vermitteln und orchestrieren Modellaufrufe. Ein Context-Preserving Data Layer transformiert den Inhalt dessen, was die Grenze passiert — und ist typischerweise tief im Stack eingebettet, nicht als Konsole für Endnutzer zugänglich.
Eine neue Schicht im Unternehmens-Stack
KI hat eine neue architektonische Anforderung eingeführt, für die traditionelle Sicherheits-Stacks nie ausgelegt wurden. Organisationen benötigen eine Schicht, die sensible Daten schützt, ohne den Kontext zu entfernen, auf den KI angewiesen ist. Diese Schicht hat in der Unternehmensarchitektur bislang nicht existiert. Wir nennen sie den Context-Preserving Data Layer.
Jede Plattformverschiebung benennt die Schicht, die sie ermöglicht — Databricks hat das Lakehouse benannt, Snowflake die Data Cloud, Palantir die Ontologie. Der Übergang zu unternehmensweiter KI auf sensiblen Daten braucht seine eigene: die Schicht, an der Daten geschützt und gleichzeitig nutzbar sind, genau an dem Punkt, an dem sie auf das Modell treffen.
Sie ersetzt die alte Annahme — Daten schützen oder nutzen, nicht beides — durch eine Schicht, die beides gleichzeitig leistet.
Häufig gestellte Fragen
Was ist ein Context-Preserving Data Layer für KI?
Ein Context-Preserving Data Layer ist eine Software-Schicht, die zwischen den sensiblen Daten einer Organisation und einem KI-Modell sitzt. Sie transformiert sensible Daten vor der Inferenz in eine geschützte, aber semantisch nutzbare Form und stellt die Originalwerte danach lokal wieder her — sodass das Modell über reale Strukturen schlussfolgern kann, ohne jemals die Originaldaten zu erhalten.
Worin unterscheidet er sich von Datenmaskierung oder DLP?
Maskierung und DLP schützen einen Wert durch Löschen oder Schwärzen. Das funktioniert zur Verhinderung von Datenabfluss, zerstört dabei aber auch die Beziehungen um den Wert herum — und genau diese Beziehungen benötigt ein KI-Modell für seine Schlussfolgerungen. Ein Context-Preserving Data Layer schützt den Wert und bewahrt gleichzeitig die Beziehung, sodass die Modellausgabe nutzbar bleibt.
Ist ein Context-Preserving Data Layer dasselbe wie RAG?
Nein. RAG (Retrieval-Augmented Generation) bringt zusätzlichen Kontext in ein Modell, um dessen Antworten zu verbessern. Ein Context-Preserving Data Layer übernimmt die entgegengesetzte Aufgabe: Er steuert den sensiblen Kontext, der die Organisation auf dem Weg zum Modell bereits verlässt. RAG fügt Wissen hinzu; dieser Layer schützt, was abgeht. Beide können kombiniert eingesetzt werden.
Wie unterscheidet er sich von einem KI-Gateway oder einem MCP-Layer?
KI-Gateways und MCP-Layer routen, vermitteln und orchestrieren Modellaufrufe — sie steuern, welches Modell aufgerufen wird und wie. Ein Context-Preserving Data Layer transformiert den Inhalt der Daten, die die Grenze passieren. Er befasst sich damit, was das Modell sehen kann und was nicht — nicht mit der Datenverkehrssteuerung — und ist typischerweise tief im Stack eingebettet, nicht als Konsole betrieben.
Sieht das KI-Modell jemals die echten Daten?
Nein. Das Modell erhält ausschließlich die transformierte, geschützte Form. Die Originalwerte werden lokal, innerhalb der Vertrauensgrenze der Organisation, nach der Inferenz wiederhergestellt. Das Wesentliche der Kategorie ist: Das Modell braucht die echten Daten nie, um wirksam zu sein.
Handelt es sich dabei nur um PII-Schutz?
Nein. Generische PII ist ein Teilbereich dessen, was ein Context-Preserving Data Layer schützt, nicht der Schwerpunkt. Was geschützt bleiben muss, bestimmt der Anwendungsfall selbst — Projektcodes, Asset- und Equipment-IDs, Vertragskonditionen, Netzwerkidentifikatoren, klinische Ausdrücke, Quellcode und interne Bezeichner — vieles davon fällt außerhalb jeder Standard-PII-Liste.
Wo ist er in der Unternehmensarchitektur angesiedelt?
An der Grenze, an der sensible Daten auf das KI-Modell treffen, tief im Stack eingebettet — nicht als Endnutzerprodukt exponiert. Er ist die Schicht, die den KI-Einsatz auf geschützten Unternehmensdaten ermöglicht, ohne eine Entscheidung zwischen Schutz und Nutzbarkeit zu erzwingen.
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 148 16" xmlns="http://www.w3.org/2000/svg"><path d="M 11.102 15.765 L 0 15.765 L 0 0.225 L 3.59 0.225 L 3.59 12.61 L 11.102 12.61 L 11.102 15.766 Z M 24.19 15.765 L 13.086 15.765 L 13.086 0.225 L 16.676 0.225 L 16.676 12.61 L 24.188 12.61 L 24.188 15.766 Z M 26.177 0.226 L 29.85 0.226 L 34.324 10.366 L 38.798 0.226 L 42.472 0.226 L 42.472 15.765 L 38.882 15.765 L 38.882 7.361 L 35.526 14.844 L 33.13 14.844 L 29.774 7.36 L 29.774 15.764 L 26.184 15.764 L 26.184 0.225 L 26.177 0.225 Z M 57.981 0 C 60.649 0 62.947 1.352 64.375 3.556 L 63.362 4.334 C 62.01 2.341 60.09 1.27 57.99 1.27 C 54.4 1.27 51.785 4.139 51.785 8.012 C 51.785 11.886 54.453 14.74 58.058 14.74 C 60.219 14.74 62.138 13.698 63.499 11.674 L 64.467 12.452 C 63.068 14.626 60.694 16 58.056 16 C 53.741 16 50.469 12.565 50.469 8.011 C 50.469 3.458 53.696 0 57.996 0 Z M 65.483 15.765 L 71.62 0.225 L 73.335 0.225 L 79.472 15.765 L 78.142 15.765 L 76.562 11.793 L 68.392 11.793 L 66.812 15.765 L 65.482 15.765 Z M 76.079 10.57 L 72.466 1.456 L 68.869 10.57 Z M 81.833 15.765 L 81.833 0.225 L 87.872 0.225 C 90.706 0.225 92.55 2.008 92.55 4.711 C 92.55 7.414 90.706 9.151 87.872 9.151 L 83.14 9.151 L 83.14 15.765 L 81.832 15.765 Z M 83.141 7.92 L 87.811 7.92 C 90.048 7.92 91.212 6.651 91.212 4.718 C 91.212 2.785 90.049 1.464 87.812 1.464 L 83.14 1.464 L 83.14 7.92 Z M 95.465 12.028 C 96.553 13.81 98.299 14.739 100.196 14.739 C 102.093 14.739 103.891 13.697 103.891 11.96 C 103.891 10.224 102.607 9.499 99.757 8.495 C 96.583 7.37 94.973 6.275 94.973 4.077 C 94.973 1.389 97.467 0 99.773 0 C 102.304 0 103.99 1.314 104.821 2.71 L 103.808 3.488 C 102.924 2.008 101.496 1.268 99.772 1.268 C 98.049 1.268 96.296 2.243 96.296 4.048 C 96.296 5.489 97.528 6.328 100.158 7.218 C 103.952 8.51 105.214 9.71 105.214 11.938 C 105.214 14.573 102.818 16 100.196 16 C 97.785 16 95.54 14.784 94.49 12.806 L 95.457 12.028 Z M 108.278 0.226 L 109.578 0.226 L 109.578 10.102 C 109.578 12.835 111.475 14.715 114.528 14.715 C 117.581 14.715 119.478 12.85 119.478 10.102 L 119.478 0.226 L 120.778 0.226 L 120.778 10.102 C 120.778 13.636 118.398 15.999 114.528 15.999 C 110.659 15.999 108.278 13.629 108.278 10.102 Z M 124.785 15.765 L 124.785 0.225 L 126.092 0.225 L 126.092 14.512 L 135.056 14.512 L 135.056 15.772 L 124.785 15.772 Z M 137.67 0.226 L 147.329 0.226 L 147.329 1.464 L 138.978 1.464 L 138.978 7.097 L 146.188 7.097 L 146.188 8.343 L 138.978 8.343 L 138.978 14.534 L 147.571 14.534 L 147.571 15.773 L 137.67 15.773 Z" fill="rgb(35, 31, 32)" height="16px" id="o43yy6bJZ" width="147.57099816894532px"/></svg>)