Ablauf API NEU Zero Knowledge Post-Quantum NEU Preise FAQ Kontakt

Datenschutz-Folgenabschätzung (DSFA)

LLM-Proxy-System (KI-Shield Compliance Proxy) — Gemäß Art. 35 DSGVO — Version 1.0 — Stand: März 2026

FeldInhalt
Dokument-IDDSFA-LLM-PROXY-2026-001
Version1.0
Datum14. März 2026
VerantwortlicherJohanna Bringezu, Ritterstraße 2, 99718 Greußen
SystemKI-Shield LLM-Compliance-Proxy
GebrauchsmusterAngemeldet beim DPMA am 13.03.2026
ServerstandortHetzner Cloud, Deutschland (178.104.0.82)
Nächste ÜberprüfungMärz 2027 (jährlich)

1. Systematische Beschreibung der Verarbeitungsvorgänge (Art. 35 Abs. 7 lit. a DSGVO)

1.1 Zweck der Verarbeitung

Das LLM-Proxy-System ist ein datenschutzkonformer Vermittlungsdienst (Proxy) zwischen Unternehmensnutzern und externen KI-Sprachmodell-Anbietern (OpenAI/GPT, Anthropic/Claude, Google/Gemini, Groq etc.).

Primärer Zweck: Schutz personenbezogener Daten bei der Nutzung großer Sprachmodelle durch automatische Erkennung, Pseudonymisierung und Redaktion von PII (Personally Identifiable Information), bevor Anfragen an externe KI-Anbieter übermittelt werden.

1.2 Art und Umfang der Verarbeitung

Verarbeitete Datenkategorien

KategorieBeschreibungVerarbeitungsart
Chat-AnfragenTextnachrichten der Nutzer an KI-ModelleAnalyse, Pseudonymisierung, Weiterleitung
Chat-AntwortenAntworten der KI-ModelleDe-Pseudonymisierung, PII-Redaktion
Personenbezogene Daten (PII)Erkannte PII in Anfragen (42 Kategorien)Erkennung, Pseudonymisierung, verschlüsselte Speicherung
Pseudonym-ZuordnungenMapping Original ↔ PseudonymVerschlüsselte Speicherung (313.407 Einträge)
AuthentifizierungsdatenAPI-Keys, JWT-Tokens, 2FA-TOTP-SecretsValidierung, verschlüsselte Speicherung
Audit-LogsTransaktionsprotokolle (ohne PII-Klartext)Signierung, Verkettung, verschlüsselte Speicherung
Login-VersucheIP-Adresse, User-Agent, Zeitstempel, Erfolg/FehlerSpeicherung, Abuse-Erkennung
NutzerkontendatenE-Mail, Passwort-Hash, Plan-ZuordnungSpeicherung, Authentifizierung

Erkannte PII-Kategorien (42 Recognizer, 4 Schichten)

Schicht 1 – Neuronale NER: Personen, Organisationen, Orte (spaCy de_core_news_lg)

Schicht 2 – Regex-Recognizer (27+):

  • IBAN (mit Prüfziffernvalidierung)
  • Krankenversicherungsnummer (KVNR, ISO 7064 Mod 11,10)
  • Steuer-Identifikationsnummer
  • Personalausweisnummer
  • Kfz-Kennzeichen
  • Aktenzeichen
  • Handelsregisternummern
  • BIC/SWIFT
  • VIN (Fahrzeug-Identifikationsnummer)
  • IMEI
  • Führerscheinnummer
  • Telefonnummern, E-Mail-Adressen, etc.

Schicht 3 – Keyword-Recognizer (15):

  • Besondere Datenkategorien gemäß DSGVO Art. 9: Gesundheitsdaten, genetische Daten, biometrische Daten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung
  • Strafdaten gemäß DSGVO Art. 10
  • Kinderdaten

Schicht 4 – Kontext-Recognizer (1):

  • Zugangsdaten in natürlicher Sprache („Mein Passwort ist...“)

1.3 Kontext der Verarbeitung

AspektDetails
Betroffene PersonenUnternehmensnutzer und deren Kunden/Kontakte, deren Daten in Chat-Anfragen enthalten sein können
Anzahl BetroffeneDerzeit 5 Benutzerkonten; skalierbar auf Tausende
Geografischer UmfangPrimär Deutschland/EU; Server in Deutschland
TechnologieKI-basierte PII-Erkennung, kryptographische Signierung, Zero-Knowledge-Verschlüsselung
BetriebsmodellSaaS (Cloud) und On-Premises; aktuell Single-Server (ki-schild, Ubuntu 24.04, 30 GiB RAM)

1.4 Datenfluss

Nutzer → [HTTPS/TLS 1.3] → Caddy (WAF/Coraza) → Nginx LB → FastAPI
  → Authentifizierung (API-Key/JWT/Cookie + 2FA)
  → PII-Erkennung (4 Schichten, 42 Recognizer)
  → Pseudonymisierung (typ-erhaltend, session-konsistent)
  → [HTTPS] → Externer KI-Anbieter (nur pseudonymisierte Daten!)
  ← KI-Antwort (pseudonymisiert)
  → De-Pseudonymisierung
  → Response-PII-Redaktion (KI-generierte PII entfernen)
  → Audit-Eintrag (Ed25519 + ML-DSA-65, Hash-Kette)
  → Zero-Knowledge-Verschlüsselung (DEK aus Nutzerpasswort)
  ← Bereinigte Antwort an Nutzer

1.5 Externe Empfänger und Auftragsverarbeiter

EmpfängerZweckDatenkategorieRechtsgrundlage
LLM-Anbieter (OpenAI, Anthropic, Google, Groq)KI-AnfrageverarbeitungNur pseudonymisierte Daten – keine PII im KlartextArt. 6 Abs. 1 lit. b/f DSGVO; BYOK (Nutzer bringt eigenen API-Key)
Hetzner CloudServer-HostingInfrastruktur (verschlüsselt)AVV mit Hetzner; Server in DE
Hetzner Storage BoxOffsite-BackupVerschlüsselte Backups (Restic)AVV mit Hetzner; Speicher in DE
Arweave (permanenter Speicher)Audit-VerankerungNur Hashes (keine personenbezogenen Daten)Kein Personenbezug
Mollie B.V. (Niederlande)ZahlungsabwicklungZahlungsdaten der KundenAVV mit Mollie; EU/EWR-Anbieter (kein Drittlandtransfer)
Let’s EncryptTLS-ZertifikateDomain-Name (kein Personenbezug)Kein Personenbezug

1.6 Speicherdauer und Löschkonzept

DatenkategorieSpeicherdauerLöschmechanismus
Chat-NachrichtenBis Nutzer löscht oder Konto gelöscht wirdNutzergesteuerte Löschung
Pseudonym-ZuordnungenSession-basiert (24h TTL in Redis) + verschlüsselt in DBTTL-Ablauf + DB-Löschung bei Kontolöschung
Audit-Logs10 Jahre (gesetzliche Aufbewahrungspflicht)Automatische Archivierung + Löschung nach Frist
Login-History90 TageAutomatische Bereinigung
Abuse-Events180 TageAutomatische Bereinigung
Backups30 Tage (Restic Retention)Automatische Restic-Pruning
Redis-Cache (DEK)Sitzungsdauer (TTL)Automatischer TTL-Ablauf

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit (Art. 35 Abs. 7 lit. b DSGVO)

2.1 Rechtsgrundlage der Verarbeitung

VerarbeitungRechtsgrundlageBegründung
PII-Erkennung und PseudonymisierungArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)Schutz personenbezogener Daten vor unbefugter Weitergabe an Dritte
Chat-Weiterleitung an KI-AnbieterArt. 6 Abs. 1 lit. b DSGVO (Vertragerfüllung)Erbringung des beauftragten KI-Dienstes
Audit-ProtokollierungArt. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)Nachweis DSGVO-Konformität, EU AI Act Transparenzpflicht
Abuse-ErkennungArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)Schutz des Systems vor Missbrauch

2.2 Notwendigkeit der Verarbeitung

Die Verarbeitung ist notwendig und verhältnismäßig, weil:

  • Ohne PII-Erkennung würden personenbezogene Daten ungeschützt an externe KI-Anbieter (oft außerhalb der EU) übermittelt – ein klarer DSGVO-Verstoß.
  • Ohne Pseudonymisierung könnten KI-Anbieter PII im Klartext verarbeiten und speichern.
  • Ohne Audit-Kette gäbe es keinen Nachweis der DSGVO-Konformität.
  • Ohne Zero-Knowledge-Verschlüsselung könnte der Betreiber auf Nutzerdaten zugreifen.

2.3 Verhältnismäßigkeit und Datenminimierung

PrinzipUmsetzung
Datenminimierung (Art. 5 Abs. 1 lit. c)Nur pseudonymisierte Daten verlassen das System; Audit-Logs enthalten keine PII im Klartext
Speicherbegrenzung (Art. 5 Abs. 1 lit. e)TTL-basierte Löschung; definierte Aufbewahrungsfristen
Zweckbindung (Art. 5 Abs. 1 lit. b)PII wird ausschließlich zum Zweck der Pseudonymisierung erkannt, nicht anderweitig verwendet
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f)8 Security-Layer, Zero-Knowledge, hybride Post-Quantum-Signaturen

3. Bewertung der Risiken für die Rechte und Freiheiten Betroffener (Art. 35 Abs. 7 lit. c DSGVO)

3.1 Risikoidentifikation

Nr.RisikoEintrittswahrscheinlichkeitSchwereRisikostufe
R1PII wird nicht erkannt und gelangt an KI-AnbieterMITTELHOCHHOCH
R2Unbefugter Zugriff auf Pseudonym-ZuordnungenNIEDRIGHOCHMITTEL
R3Manipulation der Audit-KetteSEHR NIEDRIGHOCHNIEDRIG
R4Unbefugter Zugriff auf das System (Hacking)NIEDRIGHOCHMITTEL
R5Datenverlust durch ServerausfallSEHR NIEDRIGMITTELNIEDRIG
R6KI-Anbieter generiert neue PII in AntwortenMITTELMITTELMITTEL
R7Betreiber greift auf Nutzerdaten zuSEHR NIEDRIGHOCHNIEDRIG
R8Quantencomputer bricht klassische SignaturenNIEDRIG (langfristig MITTEL)HOCHMITTEL
R9Missbrauch durch authentifizierte NutzerNIEDRIGMITTELNIEDRIG
R10Fehlende DSGVO-Konformität der KI-AnbieterMITTELHOCHHOCH

3.2 Detaillierte Risikobewertung

R1: PII wird nicht erkannt (Risikostufe: HOCH)

Szenario: Ein Nutzer gibt personenbezogene Daten in einer Form ein, die von keiner der 4 Erkennungsschichten erfasst wird (z.B. stark verschleierte oder in Fremdsprachen eingebettete PII).

Auswirkung: Personenbezogene Daten gelangen im Klartext an den externen KI-Anbieter.

Bestehende Maßnahmen:

  • 4 parallele Erkennungsschichten (NER + Regex + Keyword + Kontext)
  • 42 spezialisierte Recognizer inkl. deutscher Sonderformate
  • Unicode-NFKC-Normalisierung gegen Homoglyph-Angriffe
  • PII-QA-Container testet alle 6h mit 500 Samples
  • Synthetic PII Monitor alle 5 Minuten
  • Response-PII-Redaktion für KI-generierte PII
  • Confidence-Schwellenwert von 0.7

Restrisiko nach Maßnahmen: MITTEL – Bei unbekannten PII-Formaten besteht ein Restrisiko. Wird durch kontinuierliche QA-Tests und Nutzerfeedback-System minimiert.

R2: Unbefugter Zugriff auf Pseudonym-Zuordnungen (Risikostufe: MITTEL)

Szenario: Ein Angreifer erlangt Zugriff auf die Datenbank und kann Pseudonym-Zuordnungen lesen.

Bestehende Maßnahmen:

  • Zero-Knowledge-Verschlüsselung: Zuordnungen sind mit nutzerspezifischem DEK verschlüsselt
  • DEK wird aus Nutzerpasswort via Argon2id abgeleitet und existiert nur im RAM (Redis mit TTL)
  • PostgreSQL-Zugriff nur via mTLS (Step-CA, 7-Tage-Zertifikate)
  • Datenbank nur über internes Docker-Netzwerk erreichbar (nicht am Internet)
  • 8 Security-Layer vor der Datenbank

Restrisiko nach Maßnahmen: SEHR NIEDRIG – Selbst bei DB-Zugriff sind Daten ohne DEK (= ohne Nutzerpasswort) nicht entschlüsselbar.

R3: Manipulation der Audit-Kette (Risikostufe: NIEDRIG)

Bestehende Maßnahmen:

  • SHA-256 Hash-Kette mit Verkettung
  • Hybride Dual-Signatur (Ed25519 + ML-DSA-65) pro Eintrag
  • Write-Time-Verifikation (Signatur wird sofort nach Erzeugung verifiziert)
  • Advisory Lock (pg_advisory_xact_lock) verhindert Ketten-Forks
  • Chain Monitor prüft alle 5 Minuten die Integrität
  • Permanente Blockchain-Verankerung auf Arweave
  • Wöchentliche Cross-Verification

Restrisiko nach Maßnahmen: VERNACHLÄSSIGBAR – Eine Manipulation müsste gleichzeitig Ed25519, ML-DSA-65, SHA-256 und die Blockchain überwinden.

R4: Unbefugter Systemzugriff (Risikostufe: MITTEL)

Bestehende Maßnahmen:

  • Layer 1: CrowdSec IP-Reputation, UFW Firewall, Fail2Ban (42 Bans)
  • Layer 2: Coraza WAF mit OWASP CRS v4.13
  • Layer 3: TLS 1.3, mTLS intern, QUIC/HTTP3
  • Layer 4: JWT (EdDSA), 2FA/TOTP, Rate Limiting (300 req/min, Login: 5/min/IP), Account-Lockout
  • Layer 8: Wazuh HIDS/IDS, Grafana + Loki, Telegram-Alerts
  • Admin Abuse Prevention (Key-Revocation, Force-Logout, Login-History, IP-Lookup)

Restrisiko nach Maßnahmen: NIEDRIG

R7: Betreiberzugriff auf Nutzerdaten (Risikostufe: NIEDRIG)

Bestehende Maßnahmen:

  • Zero-Knowledge-Architektur: DEK wird aus Nutzerpasswort abgeleitet, Server speichert DEK nie persistent
  • AES-256 (Fernet) Verschlüsselung des Audit-Body
  • Hash-Kette und Signaturen bleiben im Klartext (verifizierbar ohne Entschlüsselung)
  • Betreiber hat technisch keinen Zugang zu entschlüsselten Inhalten

Restrisiko nach Maßnahmen: VERNACHLÄSSIGBAR – Architektonisch ausgeschlossen.

R8: Quantencomputer-Angriff (Risikostufe: MITTEL)

Bestehende Maßnahmen:

  • ML-DSA-65 (NIST FIPS 204) als post-quanten-sicheres Signaturverfahren
  • Hybride Dual-Signatur (Ed25519 + ML-DSA-65) – beide müssen gebrochen werden
  • liboqs 0.15.0 (Open Quantum Safe)
  • BSI-konforme Hybrid-Strategie
  • Graceful Degradation bei Nichtverfügbarkeit der PQ-Bibliothek

Restrisiko nach Maßnahmen: NIEDRIG – Schutz gegen zukünftige Quantencomputer ist bereits implementiert.

4. Abhilfemaßnahmen und Schutzgarantien (Art. 35 Abs. 7 lit. d DSGVO)

4.1 Technische Maßnahmen (Art. 32 DSGVO)

4.1.1 Verschlüsselung und Pseudonymisierung

MaßnahmeImplementierungStatus
Transport-VerschlüsselungTLS 1.3 (Let’s Encrypt ECDSA P-256) + QUIC/HTTP3AKTIV
Interne VerschlüsselungmTLS (Step-CA, 7-Tage-Zertifikate, Auto-Renewal)AKTIV
DatenverschlüsselungAES-256 (Fernet) mit nutzerspezifischem DEKAKTIV
DEK-AbleitungArgon2id aus NutzerpasswortAKTIV
PII-PseudonymisierungTyp-erhaltend, session-konsistent, Anti-Kardinalitäts-SchutzAKTIV
Bidirektionale PII-KontrolleErkennung in Anfragen UND AntwortenAKTIV

4.1.2 Integritätssicherung

MaßnahmeImplementierungStatus
Hash-KetteSHA-256, verkettet über content_hash:previous_hashAKTIV (142 Einträge)
Klassische SignaturEd25519 pro Audit-EintragAKTIV
Post-Quantum-SignaturML-DSA-65 (NIST FIPS 204) pro Audit-EintragAKTIV
Write-Time-VerifikationSofortige Verifikation nach Signierung, vor DB-SchreibenAKTIV
Fork-Schutzpg_advisory_xact_lock(42) + SequenznummerAKTIV
Blockchain-VerankerungPermanent auf ArweaveAKTIV
Chain-MonitoringAlle 5 Min. Integritätsprüfung + Telegram-AlertAKTIV

4.1.3 Zugriffskontrolle

MaßnahmeImplementierungStatus
AuthentifizierungAPI-Key + JWT (EdDSA) + Cookie, kaskadierendAKTIV
Zwei-Faktor-AuthentifizierungTOTP (Pflicht für Admin)AKTIV
Rollenbasierte ZugriffskontrolleRBAC mit planbasierter Feature-SteuerungAKTIV
Rate Limiting300 req/min global, 5/min/IP für LoginAKTIV
Account-LockoutNach wiederholten FehlversuchenAKTIV
Admin Abuse PreventionKey-Revocation, Force-Logout, Login-HistoryAKTIV

4.1.4 Verfügbarkeit und Belastbarkeit

MaßnahmeImplementierungStatus
AutohealAutomatischer Container-Neustart alle 15sAKTIV
WatchdogContainer-Überwachung jede MinuteAKTIV
Circuit Breaker3 Zustände pro KI-Provider (geschlossen/offen/halboffen)AKTIV
Full Backup (Restic)Alle 30 Minuten, verschlüsseltAKTIV
Offsite BackupTäglich auf Hetzner Storage Box (andere Location)AKTIV
Backup-VerifikationWöchentlicher Dump + Restore-TestAKTIV
DB-WartungWöchentlich VACUUM ANALYZE + REINDEXAKTIV
Capacity ForecastTäglich Disk/RAM Trend mit FrühwarnungAKTIV

4.1.5 Überwachung und Erkennung

MaßnahmeImplementierungStatus
SIEMWazuh 4.14.3 (HIDS/IDS, Rootcheck, File Integrity)AKTIV
Log-AggregationGrafana + Loki (Promtail)AKTIV
Telegram-AlertsEchtzeit-Benachrichtigungen bei SicherheitsereignissenAKTIV
PII-QA500 Test-Samples alle 6h gegen /api/v1/analyzeAKTIV
Synthetic PII MonitorEnd-to-End Smoke Test alle 5 MinAKTIV
External HealthcheckVon separatem Server (91.98.198.147) alle 5 MinAKTIV
Config Drift CheckSHA256 von 9 kritischen Configs alle 6hAKTIV

4.2 Organisatorische Maßnahmen

MaßnahmeBeschreibungStatus
BYOK-PrinzipNutzer bringen eigene API-Keys für KI-Anbieter mit; kein zentraler SchlüsselAKTIV
AVV-ManagementIntegriertes Modul für AuftragsverarbeitungsverträgeAKTIV
Recovery-KeySeparater 256-Bit-Wiederherstellungsschlüssel bei PasswortverlustAKTIV
Transaktionale UmverschlüsselungBei Passwortwechsel werden alle Daten mit neuem DEK umverschlüsseltAKTIV
Jährliche DSFA-ÜberprüfungDiese DSFA wird mindestens jährlich überprüftGEPLANT
SchulungNutzer-Dokumentation zur sicheren VerwendungGEPLANT

4.3 Betroffenenrechte (Art. 12–22 DSGVO)

RechtUmsetzung
Auskunft (Art. 15)Nutzer kann alle eigenen Daten über Dashboard einsehen (nach DEK-Entschlüsselung)
Berichtigung (Art. 16)Nutzer kann Profildaten ändern
Löschung (Art. 17)Nutzer kann Konversationen und Konto löschen; bei Kontolöschung werden alle Daten gelöscht
Einschränkung (Art. 18)API-Key-Deaktivierung möglich
Datenportabilität (Art. 20)Export über API möglich
Widerspruch (Art. 21)Konto-Deaktivierung/Löschung möglich

5. Ergebnis und Gesamtbewertung

5.1 Risikomatrix nach Maßnahmen

RisikoVor MaßnahmenNach Maßnahmen
R1: PII nicht erkanntHOCHMITTEL
R2: Zugriff Pseudonym-ZuordnungenHOCHSEHR NIEDRIG
R3: Audit-ManipulationHOCHVERNACHLÄSSIGBAR
R4: Unbefugter SystemzugriffHOCHNIEDRIG
R5: DatenverlustMITTELSEHR NIEDRIG
R6: KI-generierte PIIMITTELNIEDRIG
R7: BetreiberzugriffHOCHVERNACHLÄSSIGBAR
R8: QuantencomputerHOCH (langfristig)NIEDRIG
R9: Nutzer-MissbrauchMITTELNIEDRIG
R10: KI-Anbieter-ComplianceHOCHMITTEL

5.2 Gesamtergebnis

Das LLM-Proxy-System ist von Grund auf datenschutzfreundlich konzipiert (Privacy by Design, Art. 25 DSGVO). Die identifizierten Risiken werden durch umfangreiche technische und organisatorische Maßnahmen auf ein akzeptables Restrisiko reduziert.

Verbleibendes Hauptrisiko: R1 (PII nicht erkannt) und R10 (KI-Anbieter-Compliance). Diese werden durch kontinuierliches Monitoring, QA-Tests und das BYOK-Prinzip adressiert.

Empfehlung: Das System kann in den Produktivbetrieb gehen. Die folgenden Maßnahmen sollten zeitnah umgesetzt werden:

  • AVV-Prüfung mit allen initialen KI-Anbietern abschließen
  • Löschkonzept mit konkreten Fristen finalisieren
  • Nutzer-Dokumentation zur sicheren Verwendung erstellen
  • Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss (bei regelmäßiger, systematischer Verarbeitung)

5.3 Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)

Eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO ist nicht erforderlich, da die verbleibenden Risiken durch die implementierten Maßnahmen hinreichend gemindert werden.

6. Dokumentation und Versionierung

VersionDatumÄnderungAutor
1.014.03.2026ErstfassungJohanna Bringezu

7. Unterschrift

Greußen, 14. März 2026

Johanna Bringezu
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO

Diese DSFA wurde gemäß Art. 35 DSGVO erstellt und wird mindestens jährlich oder bei wesentlichen Änderungen am System überprüft.