Wie automatische PII-Maskierung funktioniert und warum sie für DSGVO-konforme KI-Nutzung unverzichtbar ist.
Was sind PII und warum sind sie das größte KI-Risiko?
Personally Identifiable Information (PII) — personenbezogene Daten — sind nach DSGVO besonders geschützt. Wenn ein Mitarbeiter „Erstelle eine Zusammenfassung des Vertrags mit Max Mustermann, IBAN DE89370400440532013000″ in ChatGPT eingibt, verlassen Name und Bankdaten die EU.
NER-basierte Erkennung
Unser Gateway nutzt Named Entity Recognition (NER) mit spezialisierten Modellen für deutsche Texte. Erkannte Entitäten: Personen, Organisationen, Adressen, Telefonnummern, E-Mail-Adressen, IBAN, Steuer-IDs, Sozialversicherungsnummern, Kfz-Kennzeichen, Geburtsdaten.
Regex-Patterns für strukturierte Daten
Ergänzend zur NER-Erkennung greifen reguläre Ausdrücke für strukturierte Daten: IBAN-Nummern (DE + 20 Ziffern), E-Mail-Adressen, IPv4/IPv6-Adressen, deutsche Telefonnummern, Kreditkartennummern, URLs mit Session-Tokens.
Der Maskierungs-Workflow
Schritt 1: Anfrage des Nutzers wird analysiert. Schritt 2: PII werden erkannt und durch Platzhalter ersetzt. Schritt 3: Die maskierte Anfrage geht an das KI-Modell. Schritt 4: Die Antwort wird mit den Originaldaten rekonstruiert. Schritt 5: Alles wird im Audit-Trail protokolliert.
Konfigurierbare Schutzlevel
Strikt: Alle erkannten PII werden maskiert, Anfrage wird nur an lokales LLM gesendet. Standard: PII werden maskiert, Anfrage darf an Cloud-APIs gehen. Permissiv: Nur Warnung bei PII-Erkennung, Nutzer entscheidet. Die Level können pro Abteilung oder Nutzergruppe konfiguriert werden.
Interesse geweckt?
Lassen Sie uns gemeinsam herausfinden, wie wir Ihnen helfen können.