Datenschutz-Folgenabschätzung (DSFA)
LLM-Proxy-System (KI-Shield Compliance Proxy) — Gemäß Art. 35 DSGVO — Version 1.0 — Stand: März 2026
| Feld | Inhalt |
|---|---|
| Dokument-ID | DSFA-LLM-PROXY-2026-001 |
| Version | 1.0 |
| Datum | 14. März 2026 |
| Verantwortlicher | Johanna Bringezu, Ritterstraße 2, 99718 Greußen |
| System | KI-Shield LLM-Compliance-Proxy |
| Gebrauchsmuster | Angemeldet beim DPMA am 13.03.2026 |
| Serverstandort | Hetzner Cloud, Deutschland (178.104.0.82) |
| Nächste Überprüfung | März 2027 (jährlich) |
1. Systematische Beschreibung der Verarbeitungsvorgänge (Art. 35 Abs. 7 lit. a DSGVO)
1.1 Zweck der Verarbeitung
Das LLM-Proxy-System ist ein datenschutzkonformer Vermittlungsdienst (Proxy) zwischen Unternehmensnutzern und externen KI-Sprachmodell-Anbietern (OpenAI/GPT, Anthropic/Claude, Google/Gemini, Groq etc.).
Primärer Zweck: Schutz personenbezogener Daten bei der Nutzung großer Sprachmodelle durch automatische Erkennung, Pseudonymisierung und Redaktion von PII (Personally Identifiable Information), bevor Anfragen an externe KI-Anbieter übermittelt werden.
1.2 Art und Umfang der Verarbeitung
Verarbeitete Datenkategorien
| Kategorie | Beschreibung | Verarbeitungsart |
|---|---|---|
| Chat-Anfragen | Textnachrichten der Nutzer an KI-Modelle | Analyse, Pseudonymisierung, Weiterleitung |
| Chat-Antworten | Antworten der KI-Modelle | De-Pseudonymisierung, PII-Redaktion |
| Personenbezogene Daten (PII) | Erkannte PII in Anfragen (42 Kategorien) | Erkennung, Pseudonymisierung, verschlüsselte Speicherung |
| Pseudonym-Zuordnungen | Mapping Original ↔ Pseudonym | Verschlüsselte Speicherung (313.407 Einträge) |
| Authentifizierungsdaten | API-Keys, JWT-Tokens, 2FA-TOTP-Secrets | Validierung, verschlüsselte Speicherung |
| Audit-Logs | Transaktionsprotokolle (ohne PII-Klartext) | Signierung, Verkettung, verschlüsselte Speicherung |
| Login-Versuche | IP-Adresse, User-Agent, Zeitstempel, Erfolg/Fehler | Speicherung, Abuse-Erkennung |
| Nutzerkontendaten | E-Mail, Passwort-Hash, Plan-Zuordnung | Speicherung, Authentifizierung |
Erkannte PII-Kategorien (42 Recognizer, 4 Schichten)
Schicht 1 – Neuronale NER: Personen, Organisationen, Orte (spaCy de_core_news_lg)
Schicht 2 – Regex-Recognizer (27+):
- IBAN (mit Prüfziffernvalidierung)
- Krankenversicherungsnummer (KVNR, ISO 7064 Mod 11,10)
- Steuer-Identifikationsnummer
- Personalausweisnummer
- Kfz-Kennzeichen
- Aktenzeichen
- Handelsregisternummern
- BIC/SWIFT
- VIN (Fahrzeug-Identifikationsnummer)
- IMEI
- Führerscheinnummer
- Telefonnummern, E-Mail-Adressen, etc.
Schicht 3 – Keyword-Recognizer (15):
- Besondere Datenkategorien gemäß DSGVO Art. 9: Gesundheitsdaten, genetische Daten, biometrische Daten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung
- Strafdaten gemäß DSGVO Art. 10
- Kinderdaten
Schicht 4 – Kontext-Recognizer (1):
- Zugangsdaten in natürlicher Sprache („Mein Passwort ist...“)
1.3 Kontext der Verarbeitung
| Aspekt | Details |
|---|---|
| Betroffene Personen | Unternehmensnutzer und deren Kunden/Kontakte, deren Daten in Chat-Anfragen enthalten sein können |
| Anzahl Betroffene | Derzeit 5 Benutzerkonten; skalierbar auf Tausende |
| Geografischer Umfang | Primär Deutschland/EU; Server in Deutschland |
| Technologie | KI-basierte PII-Erkennung, kryptographische Signierung, Zero-Knowledge-Verschlüsselung |
| Betriebsmodell | SaaS (Cloud) und On-Premises; aktuell Single-Server (ki-schild, Ubuntu 24.04, 30 GiB RAM) |
1.4 Datenfluss
Nutzer → [HTTPS/TLS 1.3] → Caddy (WAF/Coraza) → Nginx LB → FastAPI → Authentifizierung (API-Key/JWT/Cookie + 2FA) → PII-Erkennung (4 Schichten, 42 Recognizer) → Pseudonymisierung (typ-erhaltend, session-konsistent) → [HTTPS] → Externer KI-Anbieter (nur pseudonymisierte Daten!) ← KI-Antwort (pseudonymisiert) → De-Pseudonymisierung → Response-PII-Redaktion (KI-generierte PII entfernen) → Audit-Eintrag (Ed25519 + ML-DSA-65, Hash-Kette) → Zero-Knowledge-Verschlüsselung (DEK aus Nutzerpasswort) ← Bereinigte Antwort an Nutzer
1.5 Externe Empfänger und Auftragsverarbeiter
| Empfänger | Zweck | Datenkategorie | Rechtsgrundlage |
|---|---|---|---|
| LLM-Anbieter (OpenAI, Anthropic, Google, Groq) | KI-Anfrageverarbeitung | Nur pseudonymisierte Daten – keine PII im Klartext | Art. 6 Abs. 1 lit. b/f DSGVO; BYOK (Nutzer bringt eigenen API-Key) |
| Hetzner Cloud | Server-Hosting | Infrastruktur (verschlüsselt) | AVV mit Hetzner; Server in DE |
| Hetzner Storage Box | Offsite-Backup | Verschlüsselte Backups (Restic) | AVV mit Hetzner; Speicher in DE |
| Arweave (permanenter Speicher) | Audit-Verankerung | Nur Hashes (keine personenbezogenen Daten) | Kein Personenbezug |
| Mollie B.V. (Niederlande) | Zahlungsabwicklung | Zahlungsdaten der Kunden | AVV mit Mollie; EU/EWR-Anbieter (kein Drittlandtransfer) |
| Let’s Encrypt | TLS-Zertifikate | Domain-Name (kein Personenbezug) | Kein Personenbezug |
1.6 Speicherdauer und Löschkonzept
| Datenkategorie | Speicherdauer | Löschmechanismus |
|---|---|---|
| Chat-Nachrichten | Bis Nutzer löscht oder Konto gelöscht wird | Nutzergesteuerte Löschung |
| Pseudonym-Zuordnungen | Session-basiert (24h TTL in Redis) + verschlüsselt in DB | TTL-Ablauf + DB-Löschung bei Kontolöschung |
| Audit-Logs | 10 Jahre (gesetzliche Aufbewahrungspflicht) | Automatische Archivierung + Löschung nach Frist |
| Login-History | 90 Tage | Automatische Bereinigung |
| Abuse-Events | 180 Tage | Automatische Bereinigung |
| Backups | 30 Tage (Restic Retention) | Automatische Restic-Pruning |
| Redis-Cache (DEK) | Sitzungsdauer (TTL) | Automatischer TTL-Ablauf |
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit (Art. 35 Abs. 7 lit. b DSGVO)
2.1 Rechtsgrundlage der Verarbeitung
| Verarbeitung | Rechtsgrundlage | Begründung |
|---|---|---|
| PII-Erkennung und Pseudonymisierung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | Schutz personenbezogener Daten vor unbefugter Weitergabe an Dritte |
| Chat-Weiterleitung an KI-Anbieter | Art. 6 Abs. 1 lit. b DSGVO (Vertragerfüllung) | Erbringung des beauftragten KI-Dienstes |
| Audit-Protokollierung | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) | Nachweis DSGVO-Konformität, EU AI Act Transparenzpflicht |
| Abuse-Erkennung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | Schutz des Systems vor Missbrauch |
2.2 Notwendigkeit der Verarbeitung
Die Verarbeitung ist notwendig und verhältnismäßig, weil:
- Ohne PII-Erkennung würden personenbezogene Daten ungeschützt an externe KI-Anbieter (oft außerhalb der EU) übermittelt – ein klarer DSGVO-Verstoß.
- Ohne Pseudonymisierung könnten KI-Anbieter PII im Klartext verarbeiten und speichern.
- Ohne Audit-Kette gäbe es keinen Nachweis der DSGVO-Konformität.
- Ohne Zero-Knowledge-Verschlüsselung könnte der Betreiber auf Nutzerdaten zugreifen.
2.3 Verhältnismäßigkeit und Datenminimierung
| Prinzip | Umsetzung |
|---|---|
| Datenminimierung (Art. 5 Abs. 1 lit. c) | Nur pseudonymisierte Daten verlassen das System; Audit-Logs enthalten keine PII im Klartext |
| Speicherbegrenzung (Art. 5 Abs. 1 lit. e) | TTL-basierte Löschung; definierte Aufbewahrungsfristen |
| Zweckbindung (Art. 5 Abs. 1 lit. b) | PII wird ausschließlich zum Zweck der Pseudonymisierung erkannt, nicht anderweitig verwendet |
| Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) | 8 Security-Layer, Zero-Knowledge, hybride Post-Quantum-Signaturen |
3. Bewertung der Risiken für die Rechte und Freiheiten Betroffener (Art. 35 Abs. 7 lit. c DSGVO)
3.1 Risikoidentifikation
| Nr. | Risiko | Eintrittswahrscheinlichkeit | Schwere | Risikostufe |
|---|---|---|---|---|
| R1 | PII wird nicht erkannt und gelangt an KI-Anbieter | MITTEL | HOCH | HOCH |
| R2 | Unbefugter Zugriff auf Pseudonym-Zuordnungen | NIEDRIG | HOCH | MITTEL |
| R3 | Manipulation der Audit-Kette | SEHR NIEDRIG | HOCH | NIEDRIG |
| R4 | Unbefugter Zugriff auf das System (Hacking) | NIEDRIG | HOCH | MITTEL |
| R5 | Datenverlust durch Serverausfall | SEHR NIEDRIG | MITTEL | NIEDRIG |
| R6 | KI-Anbieter generiert neue PII in Antworten | MITTEL | MITTEL | MITTEL |
| R7 | Betreiber greift auf Nutzerdaten zu | SEHR NIEDRIG | HOCH | NIEDRIG |
| R8 | Quantencomputer bricht klassische Signaturen | NIEDRIG (langfristig MITTEL) | HOCH | MITTEL |
| R9 | Missbrauch durch authentifizierte Nutzer | NIEDRIG | MITTEL | NIEDRIG |
| R10 | Fehlende DSGVO-Konformität der KI-Anbieter | MITTEL | HOCH | HOCH |
3.2 Detaillierte Risikobewertung
R1: PII wird nicht erkannt (Risikostufe: HOCH)
Szenario: Ein Nutzer gibt personenbezogene Daten in einer Form ein, die von keiner der 4 Erkennungsschichten erfasst wird (z.B. stark verschleierte oder in Fremdsprachen eingebettete PII).
Auswirkung: Personenbezogene Daten gelangen im Klartext an den externen KI-Anbieter.
Bestehende Maßnahmen:
- 4 parallele Erkennungsschichten (NER + Regex + Keyword + Kontext)
- 42 spezialisierte Recognizer inkl. deutscher Sonderformate
- Unicode-NFKC-Normalisierung gegen Homoglyph-Angriffe
- PII-QA-Container testet alle 6h mit 500 Samples
- Synthetic PII Monitor alle 5 Minuten
- Response-PII-Redaktion für KI-generierte PII
- Confidence-Schwellenwert von 0.7
Restrisiko nach Maßnahmen: MITTEL – Bei unbekannten PII-Formaten besteht ein Restrisiko. Wird durch kontinuierliche QA-Tests und Nutzerfeedback-System minimiert.
R2: Unbefugter Zugriff auf Pseudonym-Zuordnungen (Risikostufe: MITTEL)
Szenario: Ein Angreifer erlangt Zugriff auf die Datenbank und kann Pseudonym-Zuordnungen lesen.
Bestehende Maßnahmen:
- Zero-Knowledge-Verschlüsselung: Zuordnungen sind mit nutzerspezifischem DEK verschlüsselt
- DEK wird aus Nutzerpasswort via Argon2id abgeleitet und existiert nur im RAM (Redis mit TTL)
- PostgreSQL-Zugriff nur via mTLS (Step-CA, 7-Tage-Zertifikate)
- Datenbank nur über internes Docker-Netzwerk erreichbar (nicht am Internet)
- 8 Security-Layer vor der Datenbank
Restrisiko nach Maßnahmen: SEHR NIEDRIG – Selbst bei DB-Zugriff sind Daten ohne DEK (= ohne Nutzerpasswort) nicht entschlüsselbar.
R3: Manipulation der Audit-Kette (Risikostufe: NIEDRIG)
Bestehende Maßnahmen:
- SHA-256 Hash-Kette mit Verkettung
- Hybride Dual-Signatur (Ed25519 + ML-DSA-65) pro Eintrag
- Write-Time-Verifikation (Signatur wird sofort nach Erzeugung verifiziert)
- Advisory Lock (pg_advisory_xact_lock) verhindert Ketten-Forks
- Chain Monitor prüft alle 5 Minuten die Integrität
- Permanente Blockchain-Verankerung auf Arweave
- Wöchentliche Cross-Verification
Restrisiko nach Maßnahmen: VERNACHLÄSSIGBAR – Eine Manipulation müsste gleichzeitig Ed25519, ML-DSA-65, SHA-256 und die Blockchain überwinden.
R4: Unbefugter Systemzugriff (Risikostufe: MITTEL)
Bestehende Maßnahmen:
- Layer 1: CrowdSec IP-Reputation, UFW Firewall, Fail2Ban (42 Bans)
- Layer 2: Coraza WAF mit OWASP CRS v4.13
- Layer 3: TLS 1.3, mTLS intern, QUIC/HTTP3
- Layer 4: JWT (EdDSA), 2FA/TOTP, Rate Limiting (300 req/min, Login: 5/min/IP), Account-Lockout
- Layer 8: Wazuh HIDS/IDS, Grafana + Loki, Telegram-Alerts
- Admin Abuse Prevention (Key-Revocation, Force-Logout, Login-History, IP-Lookup)
Restrisiko nach Maßnahmen: NIEDRIG
R7: Betreiberzugriff auf Nutzerdaten (Risikostufe: NIEDRIG)
Bestehende Maßnahmen:
- Zero-Knowledge-Architektur: DEK wird aus Nutzerpasswort abgeleitet, Server speichert DEK nie persistent
- AES-256 (Fernet) Verschlüsselung des Audit-Body
- Hash-Kette und Signaturen bleiben im Klartext (verifizierbar ohne Entschlüsselung)
- Betreiber hat technisch keinen Zugang zu entschlüsselten Inhalten
Restrisiko nach Maßnahmen: VERNACHLÄSSIGBAR – Architektonisch ausgeschlossen.
R8: Quantencomputer-Angriff (Risikostufe: MITTEL)
Bestehende Maßnahmen:
- ML-DSA-65 (NIST FIPS 204) als post-quanten-sicheres Signaturverfahren
- Hybride Dual-Signatur (Ed25519 + ML-DSA-65) – beide müssen gebrochen werden
- liboqs 0.15.0 (Open Quantum Safe)
- BSI-konforme Hybrid-Strategie
- Graceful Degradation bei Nichtverfügbarkeit der PQ-Bibliothek
Restrisiko nach Maßnahmen: NIEDRIG – Schutz gegen zukünftige Quantencomputer ist bereits implementiert.
4. Abhilfemaßnahmen und Schutzgarantien (Art. 35 Abs. 7 lit. d DSGVO)
4.1 Technische Maßnahmen (Art. 32 DSGVO)
4.1.1 Verschlüsselung und Pseudonymisierung
| Maßnahme | Implementierung | Status |
|---|---|---|
| Transport-Verschlüsselung | TLS 1.3 (Let’s Encrypt ECDSA P-256) + QUIC/HTTP3 | AKTIV |
| Interne Verschlüsselung | mTLS (Step-CA, 7-Tage-Zertifikate, Auto-Renewal) | AKTIV |
| Datenverschlüsselung | AES-256 (Fernet) mit nutzerspezifischem DEK | AKTIV |
| DEK-Ableitung | Argon2id aus Nutzerpasswort | AKTIV |
| PII-Pseudonymisierung | Typ-erhaltend, session-konsistent, Anti-Kardinalitäts-Schutz | AKTIV |
| Bidirektionale PII-Kontrolle | Erkennung in Anfragen UND Antworten | AKTIV |
4.1.2 Integritätssicherung
| Maßnahme | Implementierung | Status |
|---|---|---|
| Hash-Kette | SHA-256, verkettet über content_hash:previous_hash | AKTIV (142 Einträge) |
| Klassische Signatur | Ed25519 pro Audit-Eintrag | AKTIV |
| Post-Quantum-Signatur | ML-DSA-65 (NIST FIPS 204) pro Audit-Eintrag | AKTIV |
| Write-Time-Verifikation | Sofortige Verifikation nach Signierung, vor DB-Schreiben | AKTIV |
| Fork-Schutz | pg_advisory_xact_lock(42) + Sequenznummer | AKTIV |
| Blockchain-Verankerung | Permanent auf Arweave | AKTIV |
| Chain-Monitoring | Alle 5 Min. Integritätsprüfung + Telegram-Alert | AKTIV |
4.1.3 Zugriffskontrolle
| Maßnahme | Implementierung | Status |
|---|---|---|
| Authentifizierung | API-Key + JWT (EdDSA) + Cookie, kaskadierend | AKTIV |
| Zwei-Faktor-Authentifizierung | TOTP (Pflicht für Admin) | AKTIV |
| Rollenbasierte Zugriffskontrolle | RBAC mit planbasierter Feature-Steuerung | AKTIV |
| Rate Limiting | 300 req/min global, 5/min/IP für Login | AKTIV |
| Account-Lockout | Nach wiederholten Fehlversuchen | AKTIV |
| Admin Abuse Prevention | Key-Revocation, Force-Logout, Login-History | AKTIV |
4.1.4 Verfügbarkeit und Belastbarkeit
| Maßnahme | Implementierung | Status |
|---|---|---|
| Autoheal | Automatischer Container-Neustart alle 15s | AKTIV |
| Watchdog | Container-Überwachung jede Minute | AKTIV |
| Circuit Breaker | 3 Zustände pro KI-Provider (geschlossen/offen/halboffen) | AKTIV |
| Full Backup (Restic) | Alle 30 Minuten, verschlüsselt | AKTIV |
| Offsite Backup | Täglich auf Hetzner Storage Box (andere Location) | AKTIV |
| Backup-Verifikation | Wöchentlicher Dump + Restore-Test | AKTIV |
| DB-Wartung | Wöchentlich VACUUM ANALYZE + REINDEX | AKTIV |
| Capacity Forecast | Täglich Disk/RAM Trend mit Frühwarnung | AKTIV |
4.1.5 Überwachung und Erkennung
| Maßnahme | Implementierung | Status |
|---|---|---|
| SIEM | Wazuh 4.14.3 (HIDS/IDS, Rootcheck, File Integrity) | AKTIV |
| Log-Aggregation | Grafana + Loki (Promtail) | AKTIV |
| Telegram-Alerts | Echtzeit-Benachrichtigungen bei Sicherheitsereignissen | AKTIV |
| PII-QA | 500 Test-Samples alle 6h gegen /api/v1/analyze | AKTIV |
| Synthetic PII Monitor | End-to-End Smoke Test alle 5 Min | AKTIV |
| External Healthcheck | Von separatem Server (91.98.198.147) alle 5 Min | AKTIV |
| Config Drift Check | SHA256 von 9 kritischen Configs alle 6h | AKTIV |
4.2 Organisatorische Maßnahmen
| Maßnahme | Beschreibung | Status |
|---|---|---|
| BYOK-Prinzip | Nutzer bringen eigene API-Keys für KI-Anbieter mit; kein zentraler Schlüssel | AKTIV |
| AVV-Management | Integriertes Modul für Auftragsverarbeitungsverträge | AKTIV |
| Recovery-Key | Separater 256-Bit-Wiederherstellungsschlüssel bei Passwortverlust | AKTIV |
| Transaktionale Umverschlüsselung | Bei Passwortwechsel werden alle Daten mit neuem DEK umverschlüsselt | AKTIV |
| Jährliche DSFA-Überprüfung | Diese DSFA wird mindestens jährlich überprüft | GEPLANT |
| Schulung | Nutzer-Dokumentation zur sicheren Verwendung | GEPLANT |
4.3 Betroffenenrechte (Art. 12–22 DSGVO)
| Recht | Umsetzung |
|---|---|
| Auskunft (Art. 15) | Nutzer kann alle eigenen Daten über Dashboard einsehen (nach DEK-Entschlüsselung) |
| Berichtigung (Art. 16) | Nutzer kann Profildaten ändern |
| Löschung (Art. 17) | Nutzer kann Konversationen und Konto löschen; bei Kontolöschung werden alle Daten gelöscht |
| Einschränkung (Art. 18) | API-Key-Deaktivierung möglich |
| Datenportabilität (Art. 20) | Export über API möglich |
| Widerspruch (Art. 21) | Konto-Deaktivierung/Löschung möglich |
5. Ergebnis und Gesamtbewertung
5.1 Risikomatrix nach Maßnahmen
| Risiko | Vor Maßnahmen | Nach Maßnahmen |
|---|---|---|
| R1: PII nicht erkannt | HOCH | MITTEL |
| R2: Zugriff Pseudonym-Zuordnungen | HOCH | SEHR NIEDRIG |
| R3: Audit-Manipulation | HOCH | VERNACHLÄSSIGBAR |
| R4: Unbefugter Systemzugriff | HOCH | NIEDRIG |
| R5: Datenverlust | MITTEL | SEHR NIEDRIG |
| R6: KI-generierte PII | MITTEL | NIEDRIG |
| R7: Betreiberzugriff | HOCH | VERNACHLÄSSIGBAR |
| R8: Quantencomputer | HOCH (langfristig) | NIEDRIG |
| R9: Nutzer-Missbrauch | MITTEL | NIEDRIG |
| R10: KI-Anbieter-Compliance | HOCH | MITTEL |
5.2 Gesamtergebnis
Das LLM-Proxy-System ist von Grund auf datenschutzfreundlich konzipiert (Privacy by Design, Art. 25 DSGVO). Die identifizierten Risiken werden durch umfangreiche technische und organisatorische Maßnahmen auf ein akzeptables Restrisiko reduziert.
Verbleibendes Hauptrisiko: R1 (PII nicht erkannt) und R10 (KI-Anbieter-Compliance). Diese werden durch kontinuierliches Monitoring, QA-Tests und das BYOK-Prinzip adressiert.
Empfehlung: Das System kann in den Produktivbetrieb gehen. Die folgenden Maßnahmen sollten zeitnah umgesetzt werden:
- AVV-Prüfung mit allen initialen KI-Anbietern abschließen
- Löschkonzept mit konkreten Fristen finalisieren
- Nutzer-Dokumentation zur sicheren Verwendung erstellen
- Prüfen, ob ein Datenschutzbeauftragter bestellt werden muss (bei regelmäßiger, systematischer Verarbeitung)
5.3 Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)
Eine vorherige Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO ist nicht erforderlich, da die verbleibenden Risiken durch die implementierten Maßnahmen hinreichend gemindert werden.
6. Dokumentation und Versionierung
| Version | Datum | Änderung | Autor |
|---|---|---|---|
| 1.0 | 14.03.2026 | Erstfassung | Johanna Bringezu |
7. Unterschrift
Greußen, 14. März 2026
Johanna Bringezu
Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
Diese DSFA wurde gemäß Art. 35 DSGVO erstellt und wird mindestens jährlich oder bei wesentlichen Änderungen am System überprüft.