Zum Hauptinhalt springen

Datenmaskierung & Datenschutz

Der CLYE LLM Gateway schützt Ihre Unternehmensdaten auf mehreren Ebenen, noch bevor eine Anfrage den externen KI-Anbieter erreicht. Diese Seite erklärt, wie das technisch funktioniert und was das für Ihr Unternehmen bedeutet.

Kein Logging von Gesprächsinhalten

Der LLM Gateway speichert keine Nachrichten oder KI-Antworten.

Was protokolliert wird, sind ausschließlich Metadaten:

Was wird gespeichert?Was wird nicht gespeichert?
Zeitstempel der AnfrageInhalt der Nachrichten
Nutzer-ID (anonym)KI-Antworten im Wortlaut
Verwendetes KI-ModellDokumente, die eingefügt wurden
Anzahl verbrauchter TokensPersönliche Daten aus dem Gespräch
Kosten der AnfrageFirmengeheimnisse im Prompt
Erfolg oder Fehler

Das bedeutet: Selbst wenn jemand Zugriff auf das Protokoll erhält, sieht er nur Nutzungsstatistiken, nicht den Inhalt der Gespräche.

Sichere API-Key-Verwaltung

Damit Ihr System mit externen KI-Anbietern kommunizieren kann, werden API-Schlüssel benötigt. Der CLYE Gateway behandelt diese Schlüssel mit höchster Sorgfalt:

  • Einseitige Verschlüsselung: API-Schlüssel werden mit SHA-256 gehasht gespeichert: der Originalschlüssel ist nach der Eingabe nicht mehr auslesbar.
  • Automatische Schwärzung: In allen Logs, API-Antworten und Statusmeldungen werden API-Schlüssel automatisch durch [REDACTED] ersetzt.
  • Kein Klartext im Speicher: Auch im laufenden Betrieb werden Schlüssel nur für den direkten API-Aufruf entschlüsselt: niemals dauerhaft im Klartext gehalten.

Mandantentrennung (Multi-Tenancy)

Wenn mehrere Abteilungen, Teams oder Kunden den Gateway gemeinsam nutzen, sorgt die Mandantentrennung dafür, dass deren Daten vollständig isoliert bleiben:

  • Jede Anfrage enthält eine eindeutige Mandanten-ID
  • Cache-Einträge sind mandantenspezifisch: Team A sieht nie gecachte Antworten von Team B
  • Nutzungsauswertungen sind klar nach Mandanten getrennt
  • Budgets können pro Mandant separat vergeben werden

Einmalige Request-IDs

Jede einzelne Anfrage erhält eine kryptografisch eindeutige Request-ID, die aus Zeitstempel und Nutzer-ID berechnet wird. Das verhindert:

  • Verwechslung von Anfragen verschiedener Nutzer
  • Datenüberschneidungen zwischen parallelen Anfragen
  • Nachträgliche Manipulation von Protokolleinträgen

Antwort-Caching, sicher und kontrolliert

Um Kosten zu sparen und die Antwortzeiten zu verbessern, können identische Anfragen gecacht werden. Dabei gilt:

  • Cache-Schlüssel werden aus Nachrichteninhalt, Einstellungen und Mandanten-ID berechnet: nicht aus personenbezogenen Daten
  • Cache-Gültigkeit: Gecachte Antworten laufen nach 10 Minuten automatisch ab
  • Opt-out möglich: Anwendungen können per cache_policy: "no-store" das Caching für sensible Anfragen deaktivieren
  • Mandantengetrennt: Ein Unternehmen kann niemals auf den Cache eines anderen Unternehmens zugreifen

Budgetgrenzen als Datenschutzmaßnahme

Monatliche Token- und Kostenlimits pro Nutzer dienen nicht nur der Kostenkontrolle, sie sind auch ein Datenschutzinstrument:

  • Unkontrollierte Massenübertragungen großer Datenmengen an externe KI werden verhindert
  • Ungewöhnliche Nutzungsmuster (z. B. plötzlich sehr viele Anfragen) fallen auf
  • Abteilungsleiter behalten die Kontrolle darüber, wer wie viel KI nutzt

Was bedeutet das in der Praxis?

Stellen Sie sich vor, ein Mitarbeiter fügt aus Versehen einen internen Vertrag in den KI-Chat ein. Ohne Gateway geht dieser Vertrag direkt zu OpenAI. Mit dem CLYE Gateway:

  1. Die Anfrage läuft über Ihren Server
  2. Der Inhalt wird nicht dauerhaft gespeichert
  3. Nur Metadaten (Zeitstempel, Token-Anzahl) werden protokolliert
  4. Der Vertrag verlässt Ihre Infrastruktur nur für den Moment der KI-Verarbeitung
  5. Sie sehen im Monitoring, dass eine Anfrage stattgefunden hat: aber nicht was

Dies ist der datenschutzkonforme Mittelweg: KI-Funktionalität nutzen, ohne die Kontrolle über Ihre Daten zu verlieren.