Wie können wir helfen?

Nicht mehr benötigte Chats können Sie löschen oder archivieren, um Ihre Übersicht aufgeräumt zu halten.

Chat löschen

1. Fahren Sie in der Sidebar über den Chat-Eintrag.
2. Klicken Sie auf das Papierkorb-Icon (oder Rechtsklick → Löschen).
3. Bestätigen Sie die Rückfrage — der Chat wird unwiderruflich entfernt.

Chat archivieren

1. Rechtsklick auf den Chat → Archivieren.
2. Der Chat wird aus der aktiven Liste entfernt, bleibt aber unter Archiv abrufbar.

Die Sidebar zeigt alle aktiven Chats chronologisch sortiert. So behalten Sie bei vielen Konversationen den Überblick:

• Schnellsuche: Nutzen Sie das Suchfeld oben in der Sidebar, um Chats nach Titel oder Inhalt zu filtern.
• Sortierung: Chats werden automatisch nach letzter Aktivität sortiert — der neueste steht oben.
• Anpinnen: Wichtige Chats können per Rechtsklick → Anpinnen dauerhaft oben fixiert werden.
• Drag & Drop: Ziehen Sie Chats in der Sidebar, um die Reihenfolge manuell anzupassen.

Sie können einzelne Chat-Konversationen mit Kollegen oder externen Partnern teilen:

1. Öffnen Sie den gewünschten Chat.
2. Klicken Sie oben rechts auf das Teilen-Icon (Pfeil nach oben).
3. Wählen Sie die Freigabeoption:
   • Nur-Lese-Link: Empfänger können den Verlauf ansehen, aber nicht ändern.
   • Als PDF exportieren: Erzeugt ein PDF-Dokument zum Versand (siehe auch Artikel 48).

Jeder Chat kann individuell konfiguriert werden. Klicken Sie auf das Zahnrad-Icon neben dem Chat-Titel:

PII steht fuer Personally Identifiable Information — alle Daten, die eine Person direkt oder indirekt identifizieren koennen: Namen, E-Mail-Adressen, Telefonnummern, IBANs, Steuer-IDs und viele mehr.

KI-Shield erkennt PII automatisch in Echtzeit, bevor Ihre Nachricht an den KI-Provider gesendet wird:

1. NER (Named Entity Recognition) — KI-basierte Erkennung mit spaCy und zwei spezialisierten GLiNER-Modellen fuer deutsche Texte
2. 44 spezialisierte Recognizer — Regex-, Keyword- und Kontext-basierte Erkennung fuer deutsche PII-Typen
3. Validierung — Pruefziffern (IBAN, Kreditkarte, Steuer-ID), Plausibilitaetspruefungen und False-Positive-Filter

Erkannte PII wird im Chat-Eingabefeld farbig hervorgehoben. Beim Senden wird sie durch Pseudonyme ersetzt (z. B. Max Mustermann → PERSON_547). Die KI-Antwort wird zurueckuebersetzt, sodass Sie die Originaldaten sehen — der KI-Provider jedoch nie.

KI-Shield erkennt 42+ PII-Kategorien mit 44 spezialisierten Recognizern:

Personendaten

Finanzdaten

Ausweisdokumente & IDs

DSGVO Art. 9 — Besondere Kategorien

Weitere Kategorien

Technische Identifikatoren

Die PII-Erkennung ist standardmaessig aktiviert und wird durch das Schild-Symbol im Chat-Header angezeigt (DSGVO-Schutz aktiv).

So schalten Sie die PII-Erkennung ein/aus:

1. Klicken Sie auf das Schild-Symbol im Chat-Header
2. Der Status wechselt zwischen aktiv (gruen) und inaktiv (grau)

Wenn die Erkennung aktiv ist, sehen Sie farbige Markierungen im Eingabefeld fuer erkannte PII und Zaehler-Chips wie 2x Person, 1x IBAN in der Statusleiste.

Jede PII-Erkennung hat einen Confidence-Score zwischen 0.0 und 1.0, der angibt, wie sicher das System ist, dass es sich tatsaechlich um PII handelt.

KI-Shield verwendet einen Schwellenwert von 0.7 (70 %). Nur Erkennungen mit einem Score ≥ 0.7 werden als PII behandelt:

Der Schwellenwert von 0.7 bietet die beste Balance: Er erkennt zuverlaessig echte PII und vermeidet gleichzeitig zu viele Fehlalarme. Erkennungen werden durch mehrere unabhaengige Methoden (NER, Regex, Keyword) validiert, was die Genauigkeit zusaetzlich erhoeht.

Gelegentlich kann ein Wort faelschlicherweise als PII erkannt werden. KI-Shield bietet mehrere Wege, dies zu korrigieren:

Im Eingabefeld

• PII entfernen: Klicken Sie auf die farbige PII-Markierung und waehlen Sie „Entfernt“ — der Text wird aus dem Schutz ausgenommen (sichtbar als durchgestrichener Chip)
• Wiederherstellen: Klicken Sie auf den durchgestrichenen Chip, um den Schutz wiederherzustellen

In gesendeten Nachrichten

• Klicken Sie auf das Badge „X PII geschuetzt“ einer Nachricht
• Waehlen Sie die betroffene Erkennung aus
• Reklassifizieren: Weisen Sie den korrekten PII-Typ zu (Dropdown-Menue)
• Kein PII: Melden Sie die Erkennung als False Positive

KI-Shield bietet im PRO-Plan und höher die Möglichkeit, die PII-Erkennung individuell anzupassen. So können Sie eigene Muster definieren oder bestehende Regeln verändern, um die Erkennung optimal auf Ihre Anforderungen abzustimmen.

Eigene PII-Muster erstellen

1. Navigieren Sie zu Einstellungen → Datenschutz → PII-Regeln.
2. Klicken Sie auf „Neue Regel hinzufügen“.
3. Wählen Sie den Erkennungstyp: Regex (regulärer Ausdruck), Keyword-Liste oder Kontext-basiert.
4. Geben Sie das Muster ein — z. B. ein Regex für interne Mitarbeiternummern: MA-\d{5,8}.
5. Weisen Sie eine PII-Kategorie zu (z. B. REFERENCE_NUMBER) und setzen Sie einen Confidence-Score.

Bestehende Regeln anpassen

Jede der 44 vordefinierten Recognizer kann einzeln aktiviert oder deaktiviert werden. So können Sie z. B. die Erkennung von LOCATION deaktivieren, wenn Sie häufig über Orte schreiben, die keine PII darstellen. Öffnen Sie dazu die jeweilige Regel und setzen Sie den Schalter auf „Inaktiv“.

Kontextwörter erweitern

Viele Recognizer nutzen Kontextwörter, um die Erkennung zu verbessern. Sie können eigene Kontextwörter hinzufügen — beispielsweise branchenspezifische Begriffe wie „Patientennummer“ oder „Mandantenkennung“. Diese erhöhen den Confidence-Score, wenn sie in der Nähe eines potentiellen PII-Treffers auftreten.

Wenn KI-Shield einen Text fälschlicherweise als PII erkennt, können Sie dies auf mehreren Wegen melden und korrigieren. Ihr Feedback hilft, die Erkennung kontinuierlich zu verbessern.

Direkte Korrektur im Chat

1. Klicken Sie auf die farbige PII-Markierung im Eingabefeld.
2. Wählen Sie „Kein PII“, um die Erkennung als Fehlalarm zu markieren.
3. Der Text wird für diese Nachricht nicht mehr maskiert (sichtbar als durchgestrichener Chip).

Nachträgliche Korrektur in gesendeten Nachrichten

1. Klicken Sie auf das Badge „X PII geschützt“ einer bereits gesendeten Nachricht.
2. Wählen Sie die betroffene Erkennung aus der Liste.
3. Reklassifizieren: Weisen Sie den korrekten PII-Typ über das Dropdown-Menü zu.
4. Als False Positive melden: Wählen Sie „Kein PII“ und bestätigen Sie.

Globale Ausnahmeliste (Whitelist)

Im PRO-Plan können Sie unter Einstellungen → Datenschutz → Ausnahmen Wörter oder Phrasen dauerhaft von der Erkennung ausschließen. So vermeiden Sie wiederkehrende Fehlalarme bei Fachbegriffen, Produktnamen oder firmeninternen Bezeichnungen.

KI-Shield bietet im PRO-Plan umfassende PII-Statistiken und Reports, die Ihnen einen detaillierten Überblick über alle erkannten personenbezogenen Daten geben.

Dashboard-Übersicht

• KPI-Karten: Anfragen gesamt, PII-Erkennungen (absolut und in Prozent), Erfolgsrate und Fehlerrate auf einen Blick.
• 7-Tage-Verlauf: Liniendiagramm mit Anfragen (blau) und erkannter PII (rot) im Zeitverlauf.
• Top-10 PII-Kategorien: Balkendiagramm der häufigsten PII-Typen mit Prozentwerten.
• PII-Verteilung: Donut-Chart mit Kategorie-Anteilen für eine visuelle Übersicht.

Zeitraum-Filter

Wählen Sie zwischen Heute, Woche, Monat oder Gesamt. Das Dashboard aktualisiert sich automatisch alle 60 Sekunden, sodass Sie stets aktuelle Daten sehen.

Compliance-Reports exportieren

Unter Compliance → Bericht erstellen können Sie einen Art. 30-konformen DSGVO-Report generieren. Dieser enthält: Zeitraum, Anzahl der Anfragen, blockierte PII nach Typ, Top-Provider, Fehlerrate und einen Compliance-Score (Heuristik basierend auf PII-Nutzung und Fehlerrate).

Die PII-Erkennung von KI-Shield ist derzeit primär auf Deutsch optimiert. Das System nutzt spezialisierte deutsche NLP-Modelle und Muster, erkennt aber auch viele universelle Datenformate sprachunabhängig.

Deutsche Erkennung (volle Unterstützung)

• spaCy-Modell: de_core_news_lg — deutsches Large-Modell für Named Entity Recognition.
• GLiNER-Modelle: Zwei spezialisierte Modelle (SauerkrautLM-GLiNER) für deutsche PII-Erkennung.
• 44 Recognizer: Alle Muster, Keywords und Kontextwörter sind auf deutsche Formate zugeschnitten (z. B. 5-stellige PLZ, 11-stellige Steuer-ID, deutsche Straßennamen).

Sprachunabhängige Erkennung

Folgende PII-Typen werden unabhängig von der Eingabesprache zuverlässig erkannt, da sie auf strukturellen Mustern basieren:

• E-Mail-Adressen (inkl. internationalisierte Domains)
• IBAN (alle Ländercodes mit MOD-97-Prüfung)
• IP-Adressen (IPv4 und IPv6)
• Kreditkartennummern (Luhn-Validierung)
• GPS-Koordinaten, MAC-Adressen, IMEI-Nummern

Einschränkungen bei anderen Sprachen

Bei englischen oder anderssprachigen Texten funktioniert die NER-Erkennung für Namen, Orte und Organisationen nur eingeschränkt, da die KI-Modelle primär auf Deutsch trainiert sind. Für fremdsprachige Texte empfehlen wir, sensible Daten zusätzlich manuell zu markieren (siehe Artikel 45).

Wenn Text unerwartet als PII markiert wird, gibt es mehrere moegliche Gruende:

1. Kontextbasierte Erkennung

Viele Recognizer nutzen den umgebenden Kontext (bis zu 80 Zeichen). Ein Keyword wie „Diagnose“ oder „Gehalt“ kann dazu fuehren, dass der gesamte Satz als HEALTH_DATA bzw. FINANCIAL_DATA erkannt wird.

2. Keyword-Muster

Die DSGVO-Art. 9-Kategorien (Gesundheit, Religion, Politik etc.) verwenden umfangreiche Keyword-Listen. Wenn Ihr Text ein solches Keyword enthaelt, wird der Kontext mitmarkiert — auch wenn Sie nicht ueber eine bestimmte Person schreiben.

3. NER-Modell-Erkennung

Die KI-Modelle (spaCy, GLiNER) koennen Woerter als Personennamen oder Orte interpretieren, die im Kontext keine PII sind. Der False-Positive-Filter fängt viele davon ab, aber nicht alle.

Was Sie tun koennen

• Klicken Sie auf die markierte PII und waehlen Sie „Kein PII“, um sie als False Positive zu melden
• Entfernen Sie die Markierung fuer diese Nachricht („Entfernt“-Chip)
• Formulieren Sie den Text um, wenn moeglich

Die PII-Erkennung von KI-Shield arbeitet derzeit textbasiert im Chat-Eingabefeld. Es gibt aktuell keine direkte Datei-Upload-Funktion fuer PII-Scans.

Workaround: Text aus Dokumenten pruefen

1. Kopieren Sie den relevanten Text aus Ihrem Dokument (PDF, Word, E-Mail etc.)
2. Fuegen Sie ihn in das Chat-Eingabefeld ein
3. Die PII-Erkennung analysiert den Text automatisch in Echtzeit
4. Erkannte PII wird farbig hervorgehoben, bevor Sie die Nachricht senden

Zero Knowledge bedeutet: KI-Shield kann Ihre gespeicherten Daten nicht lesen — selbst wenn jemand vollen Zugriff auf den Server erhaelt.

So funktioniert es

1. Bei der Anmeldung wird aus Ihrem Passwort ein Data Encryption Key (DEK) abgeleitet
2. Alle Ihre Daten (Chats, PII-Zuordnungen, API-Keys) werden mit diesem DEK verschluesselt
3. Der DEK wird nie dauerhaft gespeichert — er existiert nur im Arbeitsspeicher waehrend Ihrer Sitzung
4. Bei Abmeldung wird der DEK sofort geloescht

Der Data Encryption Key (DEK) ist das Herzstück der Zero-Knowledge-Architektur:

Schluesselableitung

Lebenszyklus

1. Login: Passwort + Salt → Argon2id → DEK (256 Bit)
2. Sitzung: DEK wird in Redis gespeichert (max. 24 h TTL)
3. Nutzung: Alle Lese-/Schreiboperationen nutzen den DEK fuer Fernet-Verschluesselung
4. Logout: DEK wird aus Redis geloescht, Speicher ueberschrieben

Da derselbe Passwort + Salt immer denselben DEK erzeugt, koennen Sie sich erneut anmelden und Ihre Daten entschluesseln — ohne dass der Schluessel jemals gespeichert wurde.

Ihre Daten werden an zwei Orten verarbeitet:

PostgreSQL (dauerhaft, verschluesselt)

Redis (temporaer, fluechtig)

Ihr DEK wird ausschliesslich in Redis gespeichert (max. 24 h), nie auf Festplatte. Bei Logout oder Session-Ablauf wird er automatisch geloescht.

Backup

Alle 6 Stunden wird ein verschluesseltes Backup auf einen georedundanten Backup-Server uebertragen. Da die Daten bereits verschluesselt sind, sind auch die Backups ohne Ihren DEK nicht lesbar.

Nein. Dank der Zero-Knowledge-Architektur kann weder KI-Shield noch ein Server-Administrator Ihre gespeicherten Chats lesen.

Warum nicht?

• Kein gespeicherter Schluessel: Der DEK wird aus Ihrem Passwort abgeleitet und existiert nur im RAM waehrend Ihrer Sitzung
• Kein stiller Fallback: Wenn kein DEK vorhanden ist, verweigert das System den Zugriff mit HTTP 401 — es faellt nicht auf einen Server-Schluessel zurueck
• Keine serverseitige Suche: Die Suche in verschluesselten Konversationstiteln ist technisch deaktiviert
• Audit-Logs geschuetzt: Klartext-Felder werden durch [encrypted] ersetzt; nur die verschluesselte Version bleibt

Was der Server sehen kann (Metadaten)

• Dass eine Nachricht gesendet wurde (Zeitstempel, Nachrichtenanzahl)
• PII-Typ-Statistiken (z. B. „2x PERSON, 1x IBAN“ — aber nicht die Werte)
• Hash-Chain-Signaturen (fuer Integritaetspruefung)
• E-Mail-Adresse und Name (fuer Kontoverwaltung)

Da Ihr DEK aus dem Passwort abgeleitet wird, hat ein Passwortverlust direkte Konsequenzen fuer Ihre verschluesselten Daten.

Szenario 1: Sie haben einen Recovery Key

Verfuegbar im PRO und BUSINESS Plan:

1. Bei der Passwort-Zuruecksetzung geben Sie Ihren Recovery Key ein
2. Das System entschluesselt Ihren alten DEK mit dem Recovery Key
3. Ein neuer DEK wird aus dem neuen Passwort abgeleitet
4. Alle Daten werden automatisch mit dem neuen DEK neu verschluesselt
5. Kein Datenverlust

Szenario 2: Kein Recovery Key vorhanden

1. Ihr Konto bleibt erhalten (E-Mail, Name)
2. Alle verschluesselten Daten werden unwiderruflich geloescht: Konversationen, Nachrichten, PII-Zuordnungen, API-Keys
3. Die Audit-Log-Signaturen bleiben fuer die Chain-Integritaet erhalten
4. Ein neuer Salt wird generiert — der alte DEK kann nie wieder rekonstruiert werden

Beide Konzepte schuetzen Ihre Daten, funktionieren aber unterschiedlich:

Warum Zero Knowledge statt E2E?

KI-Shield muss Ihren Text serverseitig analysieren, um PII zu erkennen und zu pseudonymisieren, bevor er an den KI-Provider geht. Reine E2E-Verschluesselung wuerde dies unmoeglich machen. Stattdessen verwendet KI-Shield Zero Knowledge at Rest:

• Waehrend der aktiven Sitzung wird der Text im RAM verarbeitet (PII-Erkennung, Pseudonymisierung)
• Nach der Verarbeitung werden alle Daten verschluesselt gespeichert
• Ohne aktive Sitzung (= ohne DEK) sind die Daten nicht lesbar

KI-Shield implementiert die Anforderungen der DSGVO (Datenschutz-Grundverordnung) und des EU AI Act vollstaendig:

Betroffenenrechte

Technisch-organisatorische Massnahmen (Art. 32)

• Zutrittskontrolle: SSH-Key-Auth, Fail2Ban, 2FA fuer Admin-Zugang
• Zugangskontrolle: RBAC, API-Key-Auth, TOTP-2FA, bcrypt-Passwort-Hashing
• Verschluesselung: TLS 1.3, Zero-Knowledge-DEK, Ed25519 + ML-DSA-65 Hybrid-Signaturen, SHA-256-Hash-Chain
• Verfuegbarkeit: Automatische Backups alle 6h, georedundanter Backup-Server, Chain-Monitoring mit Telegram-Alerts

Drittland-Transfers (Art. 44–49)

Bei Nutzung von KI-Providern ausserhalb der EU (z. B. OpenAI/USA, DeepSeek/China) werden Sie explizit gewarnt und muessen der Datenuebermittlung zustimmen. EU-Provider wie Mistral werden bevorzugt empfohlen. Durch die PII-Pseudonymisierung verlassen personenbezogene Daten den Server grundsaetzlich nicht im Klartext.

EU AI Act

Beim ersten Login wird eine Einwilligung zum AI Act angezeigt. KI-Shield dokumentiert alle KI-Interaktionen mit revisionssicheren Audit-Logs (Ed25519 + Post-Quantum ML-DSA-65 Hybrid-Signaturen).

Die Audit-Chain ist eine kryptographisch gesicherte Protokollkette, die jeden API-Request lueckenlos dokumentiert. Sie funktioniert wie eine private Blockchain:

1. Content-Hash: Aus den Metadaten jedes Requests (Provider, Modell, PII-Typen, Status, Latenz etc.) wird ein SHA-256-Hash berechnet
2. Verkettung: Jeder Eintrag referenziert den Hash seines Vorgaengers (previous_hash). Der erste Eintrag hat previous_hash = "GENESIS"
3. Hybrid-Signatur: Jeder Eintrag wird doppelt signiert:
   • Ed25519 — Klassische Signatur (primaer, Pflicht)
   • ML-DSA-65 — Post-Quantum-Signatur nach NIST FIPS 204 (sekundaer, zukunftssicher)
4. Write-Time Verification: Signaturen werden sofort nach Erzeugung verifiziert — korrupte Eintraege gelangen nie in die Chain

Audit-Logs sind im BUSINESS-Plan ueber den Tab „Audit-Logs“ in der Seitenleiste zugaenglich.

Ansicht

• 25 Eintraege pro Seite mit Seitennavigation
• Jeder Eintrag zeigt: Zeitstempel, Aktion (farbcodiert), Provider, Modell, PII-Anzahl, Status, Latenz

Farbcodierung

Filter

• Freitext-Suche ueber alle Felder
• Von/Bis-Datum fuer Zeitraum-Eingrenzung
• Aktionstyp (Request, Stream, Response, Analyse, Feedback)

Auf dem Dashboard sehen alle Nutzer eine kompakte Audit-Trail-Vorschau mit Chain-Status und den letzten Eintraegen.

KI-Shield verankert den Status der Audit-Chain periodisch auf der Polygon-Blockchain (Mainnet). So wird die Integritaet oeffentlich und unveraenderbar dokumentiert.

Was wird gespeichert?

Eine Self-Send-Transaktion (Wert = 0) mit einem JSON-Payload im Datenfeld:

{
  "type": "ki-shield-anchor",
  "version": 1,
  "anchor_hash": "sha256...",
  "chain_hash": "sha256...",
  "chain_length": 12345
}

Ablauf

1. Aktueller Chain-Status wird geladen (letzter Hash, Kettenlaenge)
2. Anchor-Hash = SHA-256 von Chain-Hash + Kettenlaenge + Zeitstempel
3. Anchor wird mit Ed25519 + ML-DSA-65 signiert
4. Optional: eIDAS-Zeitstempel wird erzeugt
5. Transaktion wird auf Polygon geschrieben (bis zu 3 Versuche)

Oeffentliche Verifikation

Jeder kann Anchors verifizieren — ohne Login oder API-Key:

• GET /api/v1/anchor/latest — Letzter Anchor
• GET /api/v1/anchor/verify/{id} — Anchor pruefen
• GET /api/v1/verify/chain-status — Chain-Integritaet

Audit-Logs koennen als CSV oder JSON exportiert werden. Dies ist ein PRO-Feature.

So exportieren Sie

1. Oeffnen Sie den Tab „Audit-Logs“
2. Optional: Setzen Sie Datum-Filter (Von/Bis)
3. Klicken Sie oben rechts auf „JSON“ oder „CSV“
4. Die Datei wird automatisch heruntergeladen

Enthaltene Felder

ID, Zeitstempel, Session-ID, User-ID, Aktion, Provider, Modell, PII-Typen (JSON), PII-Anzahl, Status, Latenz (ms), geschaetzte Tokens, Content-Hash, Signatur, Previous-Hash

Limit: Maximal 10.000 Eintraege pro Export. Fuer groessere Zeitraeume nutzen Sie die Datum-Filter zur Segmentierung.

Der AVV regelt die datenschutzrechtliche Zusammenarbeit zwischen Ihnen (Verantwortlicher) und KI-Shield (Auftragsverarbeiter) gemaess DSGVO Art. 28.

Inhalt (Version 1.0)

Der AVV umfasst 10 Paragraphen:

1. Gegenstand und Dauer der Verarbeitung
2. Art und Zweck der Verarbeitung
3. Kategorien personenbezogener Daten
4. Kategorien betroffener Personen
5. Technisch-organisatorische Massnahmen (Art. 32)
6. Pflichten des Auftragsverarbeiters
7. Unterauftragsverarbeitung
8. Rechte der betroffenen Personen
9. Loeschung und Rueckgabe von Daten
10. Haftung

Auftragsverarbeiter: KI-Schild UG
Unterauftragnehmer: Hetzner Online GmbH (Dedicated Server, Nuernberg, Deutschland)

AVV digital unterzeichnen

1. Klicken Sie in der Seitenleiste auf „AVV“
2. Lesen Sie den Vertragstext
3. Fuellen Sie das Formular aus:
   • Name des Unterzeichners
   • E-Mail-Adresse
   • Unternehmen
   • Position (z. B. Datenschutzbeauftragter)
4. Klicken Sie „AVV unterzeichnen“

Was bei der Signatur passiert

KI-Shield erstellt einen kryptographischen Signaturnachweis:

• Deterministischer Payload: AVV-Version + User-ID + Dokument-Hash + Unterzeichner-Daten + Zeitstempel
• Ed25519-Signatur ueber den SHA-256-Hash des Payloads
• Gespeichert werden: Signatur, IP-Adresse, User-Agent, exakter Zeitpunkt

AVV herunterladen

Nach der Unterzeichnung erscheint ein „Download“-Button. Sie erhalten ein druckbares HTML-Dokument mit:

• Vollstaendiger Vertragstext
• Vereinbarungs-ID
• Dokument-Hash (SHA-256)
• Ed25519-Signatur
• Name und Datum des Unterzeichners

KI-Shield bietet mehrere Compliance-Berichtsformate fuer verschiedene Plan-Stufen:

Compliance-Dashboard PRO

• Datenschutz-Status (PII-Erkennung, Zero Knowledge, Post-Quantum, Audit-Chain)
• EU AI Act Compliance: Artikel-Status (Erfuellt/Teilweise/Offen)
• Verarbeitungsverzeichnis nach Art. 30 DSGVO
• TOM-Uebersicht (Art. 32): Verschluesselung, Zugriffskontrolle, Verfuegbarkeit
• Chain-Integritaet mit Signaturschluessel-Fingerprints

DSGVO-Bericht BUSINESS

• Art. 30-konformer Report: Zeitraum, Requests, PII blockiert (nach Typ), Top-Provider, Fehlerrate
• Compliance-Score (Heuristik: 100 % Basis, Abzuege bei fehlender PII-Nutzung oder hoher Fehlerrate)
• PDF-Export: Button „Compliance-Report (PDF)“ generiert ein druckbares Dokument

Auditor-Zugang BUSINESS

Erstellen Sie temporaere Auditor-Tokens fuer externe Pruefer (1–30 Tage gueltig, jederzeit widerrufbar). Auditoren erhalten Zugriff auf Compliance-Report und Chain-Eintraege — ohne verschluesselte Inhalte (Zero Knowledge bleibt gewahrt).

KI-Shield gewaehrleistet Revisionssicherheit durch 8 ineinandergreifende Mechanismen:

KI-Shield's Audit-Chain erfuellt die Nachweispflichten regulierter Branchen:

Finanzbranche

• MiFID II / MaRisk: Lueckenlose Protokollierung aller KI-gestuetzten Entscheidungsprozesse
• PII-Schutz: 42+ Kategorien inkl. IBAN, Kreditkarte, Steuer-ID mit Pruefziffern-Validierung
• Export: CSV/JSON fuer Wirtschaftspruefer und BaFin-Anfragen

Gesundheitswesen

• DSGVO Art. 9: Besonderer Schutz fuer Gesundheitsdaten (350+ medizinische Keywords)
• Pseudonymisierung: Patientendaten werden nie im Klartext an KI-Provider gesendet
• Audit-Nachweis: Jede Interaktion mit Zeitstempel, PII-Typen und kryptographischer Signatur

Rechtsbranche

• Mandantengeheimnis: Zero-Knowledge-Architektur schuetzt vertrauliche Mandantendaten
• Aktenzeichen-Erkennung: Gerichtliche Aktenzeichen und Handelsregisternummern werden erkannt
• Revisionssicherheit: Kryptographisch signierte Chain fuer Nachweiszwecke vor Gericht

Auditor-Zugang

Erstellen Sie temporaere Auditor-Tokens (BUSINESS) fuer externe Pruefer. Auditoren koennen Chain-Integritaet und Compliance-Score pruefen, ohne Zugriff auf verschluesselte Inhalte.

API-Keys ermoeglichen die programmatische Nutzung von KI-Shield und sind im ENTERPRISE-Plan verfuegbar.

Key erstellen

1. Oeffnen Sie Einstellungen → API-Keys
2. Klicken Sie „Neuen API-Key erstellen“
3. Vergeben Sie einen Namen (z. B. „Production“)
4. Waehlen Sie die Rolle: readonly, user oder admin
5. Optional: Ablaufdatum (7, 30 oder 90 Tage; oder unbegrenzt)
6. Kopieren Sie den Key — er wird nur einmal angezeigt!

Key-Format

Keys beginnen mit kp- gefolgt von 32 zufaelligen Zeichen. In der Datenbank wird nur der SHA-256-Hash gespeichert (Write-Only).

Verwendung

curl -H "X-API-Key: kp-IhrKey..." \
     https://ki-shield.de/api/v1/health

KI-Shield bietet automatisch generierte, interaktive API-Dokumentation:

18 API-Tags

Die Endpunkte sind in 18 Bereiche gruppiert: Health, Chat, Analyze, Audit, Auth, Conversations, API Keys, Providers, PII Patterns, Feedback, Dashboard, Billing, Config, License, AVV, Anchor, Verify, Contact.

KI-Shield bietet ~75 API-Endpunkte. Die wichtigsten nach Kategorie:

Kern-Endpunkte

Konversationen

Audit & Compliance

Vollstaendige Dokumentation: /docs (Swagger) oder /redoc (ReDoc).

KI-Shield bietet zwei Zugangswege mit unterschiedlichen Eigenschaften:

API-Keys haben ein rollenbasiertes Berechtigungssystem (RBAC) mit drei Stufen:

Defense-in-Depth

• Ein DB-Key mit Rolle admin erhaelt effektiv nur Admin-Rechte, wenn der zugehoerige User auch is_admin=True hat
• Nur Admin-User koennen Admin-Keys erstellen
• Abgelaufene Keys werden bei der Authentifizierung automatisch abgewiesen
• last_used wird bei jeder Nutzung aktualisiert

Globales Rate-Limit

300 Anfragen pro Minute pro API-Key (bzw. pro IP ohne Key). Algorithmus: Sliding Window ueber Redis.

Response-Header

X-RateLimit-Limit: 300
X-RateLimit-Remaining: 287

Bei Ueberschreitung (HTTP 429)

{
  "error": "Rate Limit ueberschritten",
  "detail": "Maximal 300 Anfragen pro Minute",
  "retry_after_seconds": 60
}

Spezielle Limits

Chat-spezifische Fehlercodes

KI-Shield unterstuetzt derzeit eingehende Webhooks fuer die Stripe-Zahlungsintegration:

Ausgehende Webhooks

Aktuell bietet KI-Shield keine ausgehenden Webhooks an (z. B. bei PII-Erkennung oder Audit-Events). Fuer Echtzeit-Monitoring empfehlen wir:

• Polling: Periodisches Abfragen von /api/v1/audit/logs
• Health-Check: /api/v1/health fuer Trust-Status
• Telegram-Bot: Chain-Monitoring mit automatischen Alerts (serverseitig konfiguriert)

KI-Shield unterstuetzt die manuelle Key-Rotation fuer maximale Sicherheit:

Empfohlener Rotations-Workflow

1. Neuen Key erstellen (ueber UI oder API)
2. Integration aktualisieren — Neuen Key in Ihrer Anwendung hinterlegen
3. Testen — Pruefen, dass der neue Key funktioniert
4. Alten Key widerrufen — PATCH /api/v1/api-keys/{id}/revoke
5. Optional: Alten Key loeschen — DELETE /api/v1/api-keys/{id}

Automatische Ablauffristen

Setzen Sie bei der Key-Erstellung ein Ablaufdatum:

• 7 Tage — Fuer temporaere Tests
• 30 Tage — Regelmaessige Rotation
• 90 Tage — Standard fuer Produktionsumgebungen
• Unbegrenzt — Nur mit aktiver manueller Rotation empfohlen

Health-Check (kein Auth)

curl https://ki-shield.de/api/v1/health

PII-Analyse

curl -X POST https://ki-shield.de/api/v1/analyze \
  -H "Content-Type: application/json" \
  -H "X-API-Key: kp-IhrKey..." \
  -d '{"text": "Max Mustermann, IBAN DE89370400440532013000"}'

Chat-Completion (nicht-streaming)

curl -X POST https://ki-shield.de/api/v1/chat/completions \
  -H "Content-Type: application/json" \
  -H "X-API-Key: kp-IhrKey..." \
  -H "X-Provider-Key: sk-IhrOpenAIKey..." \
  -d '{
    "messages": [{"role":"user","content":"Hallo"}],
    "provider": "openai",
    "model": "gpt-4o",
    "stream": false
  }'

Chat-Completion (Streaming)

curl -X POST https://ki-shield.de/api/v1/chat/completions \
  -H "Content-Type: application/json" \
  -H "X-API-Key: kp-IhrKey..." \
  -H "X-Provider-Key: sk-IhrOpenAIKey..." \
  -d '{"messages":[{"role":"user","content":"Erklaere DSGVO Art. 17"}],
       "provider":"openai","model":"gpt-4o","stream":true}'

Provider-Liste abrufen

curl https://ki-shield.de/api/v1/providers \
  -H "X-API-Key: kp-IhrKey..."

Chain-Integritaet pruefen

curl https://ki-shield.de/api/v1/audit/verify?limit=1000 \
  -H "X-API-Key: kp-IhrKey..."

Schritt-fuer-Schritt-Integration

1. Enterprise-Plan abschliessen (API-Zugang erforderlich)
2. API-Key erstellen (siehe Artikel 85)
3. Provider-Key bereithalten (BYOK, z. B. OpenAI-Key) oder Admin-Key mit Server-Key-Zugang nutzen
4. Endpunkt integrieren:
   • POST /api/v1/chat/completions — Fuer KI-Chat mit PII-Schutz
   • POST /api/v1/analyze — Fuer reine PII-Erkennung (ohne KI)
5. Fehlerbehandlung implementieren (siehe Artikel 91)

Erforderliche HTTP-Header

CORS

Erlaubte Origins: https://ki-shield.de und https://www.ki-shield.de. Fuer serverseitige Integrationen (ohne Browser) gelten keine CORS-Einschraenkungen.

Response-Header auswerten

Das Verifizierungsportal von KI-Shield ermöglicht es jedem, die Echtheit und Unversehrtheit von Dokumenten, Bildern und Videos zu prüfen — ohne Login und ohne Kosten.

So funktioniert es

1. Datei hochladen oder Hash eingeben — Das Portal berechnet den kryptographischen Fingerabdruck (SHA-256) Ihrer Datei direkt im Browser. Die Datei verlässt Ihr Gerät nicht.
2. Blockchain-Abgleich — Der Hash wird mit der KI-Shield Trust-Chain verglichen. Wurde die Datei über KI-Shield zertifiziert, liegen dort Zeitstempel, Herkunft und Integritätsnachweis.
3. Ergebnis — Sie erhalten sofort eine Aussage: Verifiziert, Nicht gefunden oder Manipuliert.

Um die Echtheit eines Dokuments, Fotos oder Videos zu prüfen, haben Sie drei Möglichkeiten:

1. Datei hochladen

Ziehen Sie die Datei per Drag & Drop in das Upload-Feld oder klicken Sie auf „Datei wählen“. Der SHA-256-Hash wird lokal in Ihrem Browser berechnet — die Datei wird nicht übertragen.

2. Hash direkt eingeben

Wenn Sie den SHA-256-Hash bereits kennen (z. B. aus einem Zertifikat oder einer E-Mail), können Sie ihn direkt in das Suchfeld eingeben. Format: 64 hexadezimale Zeichen.

sha256sum meine-datei.pdf
# Ausgabe: a3f2b8c9d1e4...  meine-datei.pdf

3. QR-Code scannen

Viele KI-Shield-zertifizierte Dateien enthalten einen QR-Code mit der Verifizierungs-URL. Scannen Sie diesen mit Ihrer Smartphone-Kamera — Sie werden direkt zum Ergebnis weitergeleitet.

KI-Shield generiert für jede zertifizierte Datei einen QR-Code, der direkt zur Verifizierung führt.

QR-Code-Formate

Scannen & Verifizieren

1. Öffnen Sie die Kamera-App Ihres Smartphones
2. Richten Sie die Kamera auf den QR-Code
3. Tippen Sie auf den eingeblendeten Link
4. Das Verifizierungsportal zeigt sofort das Ergebnis

Alternativ können Sie im Verifizierungsportal den Tab „QR-Code“ wählen und den Code über die Webcam oder ein Bild scannen.

Nach erfolgreicher Verifizierung zeigt das Portal ein Zertifikat mit folgenden Informationen:

KI-Shield speichert jeden Verifizierungseintrag in einer kryptographischen Kette (Trust-Chain). So können Sie den Blockchain-Nachweis selbst prüfen:

Manuelle Prüfung per API

curl https://ki-shield.de/shieldcam/api/v1/chain/verify/<hash>

Die API gibt ein JSON-Objekt zurück mit:

Kette nachvollziehen

Sie können die gesamte Kette validieren, indem Sie bei Position 1 beginnen und prüfen, ob der previous_hash jedes Eintrags dem tatsächlichen Hash des Vorgängers entspricht. Eine Lücke oder Inkonsistenz würde sofort auffallen.

Ihren Anzeigenamen können Sie jederzeit in den Profileinstellungen ändern:

1. Klicken Sie oben rechts auf Ihren Avatar oder Ihren Namen
2. Wählen Sie „Profil bearbeiten“
3. Geben Sie den neuen Namen ein und klicken Sie Speichern

Der Name wird in Chat-Exporten, Audit-Logs und im Team-Dashboard angezeigt. Die Änderung wird sofort wirksam.

Aus Sicherheitsgründen erfordert eine E-Mail-Änderung eine doppelte Bestätigung:

1. Navigieren Sie zu Einstellungen → Konto → E-Mail
2. Geben Sie die neue E-Mail-Adresse ein
3. Bestätigen Sie mit Ihrem aktuellen Passwort
4. Klicken Sie den Bestätigungslink in der E-Mail an die neue Adresse

Bis zur Bestätigung bleibt die alte Adresse aktiv. Der Link ist 24 Stunden gültig.

Navigieren Sie zu Einstellungen → Sicherheit → Passwort ändern.

1. Geben Sie Ihr aktuelles Passwort ein
2. Wählen Sie ein neues Passwort (mind. 12 Zeichen, Gross-/Kleinbuchstaben, Zahl, Sonderzeichen)
3. Bestätigen Sie das neue Passwort
4. Klicken Sie Speichern

Nach der Änderung werden alle anderen aktiven Sessions beendet — Sie müssen sich auf anderen Geräten neu anmelden.

Unter Einstellungen → Benachrichtigungen steuern Sie, welche E-Mails Sie erhalten:

KI-Shield unterstützt derzeit Deutsch als Oberflächensprache. Die KI-Antworten können in jeder Sprache erfolgen — das hängt von Ihrem Prompt ab.

Die Spracheinstellung finden Sie unter Einstellungen → Darstellung → Sprache.

KI-Shield bietet drei Darstellungsmodi:

Umschalten können Sie jederzeit über das Mond-/Sonnensymbol in der oberen Navigationsleiste oder unter Einstellungen → Darstellung.

Unter Einstellungen → Sicherheit → Aktive Sessions sehen Sie alle Geräte, auf denen Sie aktuell angemeldet sind:

• Gerätetyp — Browser, Betriebssystem
• IP-Adresse — Ungefährer Standort
• Letzter Zugriff — Zeitpunkt der letzten Aktivität
• Erstellt am — Wann die Session begonnen wurde

Erkennen Sie ein unbekanntes Gerät, klicken Sie auf „Abmelden“ neben dem Eintrag. Die Session wird sofort beendet.

Mit einem Klick können Sie sich auf allen Geräten gleichzeitig abmelden:

1. Gehen Sie zu Einstellungen → Sicherheit → Aktive Sessions
2. Klicken Sie auf „Alle Sessions beenden“
3. Bestätigen Sie mit Ihrem Passwort

Alle Sessions ausser Ihrer aktuellen werden sofort beendet. Nutzen Sie diese Funktion, wenn:

• Sie Ihr Passwort geändert haben
• Sie ein Gerät verloren haben
• Sie verdächtige Aktivitäten bemerken
• Sie ein öffentliches Gerät benutzt haben

Als Team-Admin können Sie Kollegen zu Ihrer Organisation einladen:

1. Navigieren Sie zu Einstellungen → Team → Mitglieder
2. Klicken Sie auf „Mitglied einladen“
3. Geben Sie die E-Mail-Adresse ein und wählen Sie eine Rolle (Admin, Mitglied, Nur-Lesen)
4. Der Eingeladene erhält eine E-Mail mit einem Einladungslink

Der Einladungslink ist 7 Tage gültig. Nicht angenommene Einladungen können Sie jederzeit erneut versenden oder widerrufen.

KI-Shield bietet drei Rollen für Team-Mitglieder:

Rollen können Sie unter Einstellungen → Team → Mitglieder ändern. Klicken Sie auf den Namen des Mitglieds und wählen Sie die neue Rolle.

Im Business- und Enterprise-Plan können Admins team-weite API-Keys hinterlegen, die alle Mitglieder nutzen:

1. Gehen Sie zu Einstellungen → Team → API-Keys
2. Klicken Sie „Team-Key hinzufügen“
3. Wählen Sie den Provider (OpenAI, Anthropic, Google, etc.)
4. Fügen Sie den API-Key ein

Team-Keys haben Vorrang vor persönlichen Keys. Mitglieder können weiterhin eigene Keys für andere Provider hinterlegen.

Im Business- und Enterprise-Plan läuft die gesamte Abrechnung über ein zentrales Konto:

• Eine Rechnung — Alle Team-Mitglieder werden über das Admin-Konto abgerechnet
• Kostenstellen — Optional können Sie Mitglieder Kostenstellen zuordnen
• Budget-Limits — Setzen Sie monatliche Limits pro Mitglied oder für das gesamte Team
• Rechnungsadresse — Zentral unter Einstellungen → Abrechnung konfigurierbar

Rechnungen werden monatlich per E-Mail an den Admin gesendet und sind als PDF im Dashboard verfügbar.

Das Admin-Dashboard bietet Team-Admins eine zentrale Übersicht:

Unter Admin-Dashboard → Nutzung sehen Sie detaillierte Statistiken pro Mitglied:

• Anfragen — Anzahl der Chat-/API-Anfragen pro Monat, Woche oder Monat
• Token-Verbrauch — Input- und Output-Tokens aufgeschlüsselt nach Modell
• Kosten — Geschätzte Kosten basierend auf den Provider-Preisen
• PII-Erkennungen — Wie viele personenbezogene Daten vom Schutzfilter erkannt wurden
• Modellverteilung — Welche KI-Modelle am häufigsten genutzt werden

Alle Statistiken können als CSV exportiert werden. Der Export ist unter Admin-Dashboard → Nutzung → Export verfügbar.

Falls Sie ungewöhnliche Aktivitäten in Ihrem Konto bemerken, handeln Sie sofort:

1. Passwort ändern — Sofort unter Einstellungen → Sicherheit
2. Alle Sessions beenden — Unter Aktive Sessions → Alle beenden
3. 2FA aktivieren — Falls noch nicht geschehen
4. Uns kontaktieren — Schreiben Sie an security@ki-shield.de

Anzeichen für verdächtige Aktivitäten:

• Unbekannte Geräte in der Session-Liste
• API-Aufrufe, die Sie nicht getätigt haben
• Geänderte Einstellungen ohne Ihr Zutun
• Unerwartete E-Mails über Passwortänderungen

Wenn Sie glauben, dass Ihr Account kompromittiert wurde, folgen Sie dieser Notfall-Checkliste:

Im Enterprise-Plan können Sie den Zugriff auf bestimmte IP-Adressen oder IP-Bereiche einschränken:

1. Navigieren Sie zu Einstellungen → Sicherheit → IP-Whitelist
2. Fügen Sie erlaubte IP-Adressen oder CIDR-Bereiche hinzu (z. B. 203.0.113.0/24)
3. Aktivieren Sie die IP-Beschränkung

Nach Aktivierung können sich nur noch Nutzer von den gelisteten IPs einloggen. API-Zugriffe werden ebenfalls gefiltert.

Aus Sicherheitsgründen werden inaktive Sessions automatisch beendet:

Im Business- und Enterprise-Plan können Admins den Timeout unter Einstellungen → Sicherheit → Session-Richtlinie anpassen.

KI-Shield erzwingt folgende Mindestanforderungen für Passwörter:

• Mindestens 12 Zeichen
• Mindestens ein Grossbuchstabe und ein Kleinbuchstabe
• Mindestens eine Zahl
• Mindestens ein Sonderzeichen (!@#$%& etc.)
• Darf nicht in bekannten Datenleck-Listen enthalten sein (HaveIBeenPwned-Prüfung)

KI-Shield verarbeitet sensible Daten — von personenbezogenen Informationen bis hin zu vertraulichen Geschäftsdokumenten. Zwei-Faktor-Authentifizierung (2FA) ist daher ab dem Professional-Plan verpflichtend.

Was 2FA schützt

• Gestohlene Passwörter — Selbst wenn Ihr Passwort in einem Datenleck auftaucht, kann ohne den zweiten Faktor niemand auf Ihr Konto zugreifen
• Phishing — Ein abgefangenes Passwort allein reicht nicht
• API-Key-Diebstahl — Ohne Login-Zugriff können gestohlene Keys nicht gegen neue ausgetauscht werden

Unterstützte 2FA-Methoden

• TOTP-App — Google Authenticator, Authy, 1Password, Bitwarden (empfohlen)
• Recovery-Codes — 10 Einmalcodes als Backup, sicher aufbewahren

Einrichtung: Einstellungen → Sicherheit → Zwei-Faktor-Authentifizierung → Aktivieren.

Diese Fehlermeldung erscheint, wenn der hinterlegte API-Key vom Provider abgelehnt wird. Häufige Ursachen:

KI-Shield arbeitet nach dem BYOK-Prinzip (Bring Your Own Key). Sie benötigen mindestens einen API-Key eines KI-Providers:

1. Gehen Sie zu Einstellungen → API-Keys
2. Klicken Sie auf „Provider hinzufügen“
3. Wählen Sie einen Provider (z. B. OpenAI, Anthropic, Google)
4. Fügen Sie Ihren API-Key ein

Sobald ein Key hinterlegt ist, verschwindet die Meldung und Sie können den Chat nutzen.

Rate Limits können auf zwei Ebenen greifen:

Den Header Retry-After in der Antwort zeigt Ihnen, wie lange Sie warten müssen. X-RateLimit-Remaining zeigt verbleibende Anfragen.

Wenn der Chat nicht lädt oder einfriert, probieren Sie diese Schritte:

1. Seite neu laden — Ctrl+Shift+R (Hard Reload)
2. Browser-Cache leeren — Einstellungen → Browserdaten löschen → Cache
3. Anderen Browser testen — Chrome, Firefox oder Edge (aktuellste Version)
4. Erweiterungen deaktivieren — Ad-Blocker oder Privacy-Extensions können Verbindungen blockieren
5. Netzwerk prüfen — Firewalls oder VPNs können WebSocket-Verbindungen blockieren

Besteht das Problem weiterhin, öffnen Sie die Browser-Konsole (F12 → Console) und senden Sie uns einen Screenshot der Fehlermeldungen.

Falls die Bestätigungs-E-Mail nicht ankommt:

1. Spam-Ordner prüfen — Suchen Sie nach Absender noreply@ki-shield.de
2. E-Mail-Adresse prüfen — Tippfehler bei der Registrierung?
3. Erneut senden — Auf der Login-Seite auf „Verifizierung erneut senden“ klicken
4. Whitelist — Fügen Sie ki-shield.de zur Whitelist Ihres E-Mail-Providers hinzu
5. Warten — Manche Provider verzögern E-Mails um bis zu 15 Minuten

Falls es nach 30 Minuten noch nicht geklappt hat, kontaktieren Sie uns unter info@ki-shield.de.

TOTP-Codes sind zeitbasiert und nur 30 Sekunden gültig. Häufige Ursachen für ungültige Codes:

• Uhrzeit falsch — Stellen Sie sicher, dass die Uhrzeit auf Ihrem Smartphone automatisch synchronisiert wird (Einstellungen → Datum & Uhrzeit → Automatisch)
• Falscher Account — Prüfen Sie, ob Sie den Code für den richtigen KI-Shield-Account ablesen
• Code abgelaufen — Warten Sie auf den nächsten Code und geben Sie ihn sofort ein

Falls nichts hilft, verwenden Sie einen Ihrer Recovery-Codes. Diese haben Sie bei der 2FA-Einrichtung erhalten. Jeder Code ist nur einmal gültig.

Falls eine Zahlung fehlschlägt, prüfen Sie:

• Kartendaten — Ist die Karte abgelaufen? Stimmt die Adresse?
• Guthaben/Limit — Reicht das Guthaben oder Kreditlimit?
• 3D-Secure — Wurde die Zahlungsbestätigung in der Banking-App abgelehnt oder übersehen?
• Landessperre — Manche Banken blockieren internationale Zahlungen — kontaktieren Sie Ihre Bank

KI-Shield versucht fehlgeschlagene Zahlungen automatisch nach 3 und 7 Tagen erneut. Ihr Account bleibt während dieser Zeit aktiv.

Alternative Zahlungsmethode hinterlegen: Einstellungen → Abrechnung → Zahlungsmethode.

Falls der Export von Chat-Verläufen oder Audit-Logs fehlschlägt:

1. Pop-up-Blocker deaktivieren — Der Download öffnet möglicherweise ein neues Fenster
2. Dateigrösse — Sehr lange Chat-Verläufe können einige Sekunden dauern. Warten Sie, bis der Download startet
3. Browser aktualisieren — Stellen Sie sicher, dass Sie einen aktuellen Browser verwenden
4. Berechtigungen — Im Free-Plan ist der Export auf die letzten 7 Tage beschränkt

Unterstützte Formate: PDF, CSV, JSON und Markdown.

Gelegentlich liefert ein KI-Provider eine leere oder unvollständige Antwort. Mögliche Ursachen:

• Content-Filter — Der Provider hat die Anfrage oder Antwort als unzulässig eingestuft
• Token-Limit — Die Antwort wurde abgeschnitten, weil das Kontextfenster voll war
• Provider-Ausfall — Temporäre Probleme beim KI-Anbieter
• Timeout — Die Anfrage hat zu lange gedauert (siehe Artikel 130)

Lösung: Senden Sie die Nachricht erneut. Falls das Problem wiederholt auftritt, wechseln Sie temporär das Modell unter Chat → Modell ändern.

Antworten können bei komplexen Prompts oder grossen Kontexten bis zu 120 Sekunden dauern. Falls Sie einen Timeout erhalten:

• Prompt kürzen — Reduzieren Sie die Eingabelänge oder teilen Sie die Aufgabe in kleinere Schritte
• Schnelleres Modell — Kleinere Modelle (z. B. GPT-4o-mini, Claude Haiku) antworten schneller
• Streaming aktivieren — Im Chat wird Streaming automatisch genutzt. Über die API senden Sie "stream": true

Der Timeout-Wert ist planabhängig: Free 60s, Professional 120s, Business/Enterprise 300s.

KI-Shield wird für folgende Browser getestet und unterstützt:

Empfehlung: Verwenden Sie immer die neueste Version Ihres Browsers für optimale Sicherheit und Kompatibilität.

KI-Shield ist vollständig responsive und funktioniert auf Smartphones und Tablets:

• Chat — Optimierte Touch-Bedienung, Vollbildmodus verfügbar
• Dashboard — Alle Funktionen auch mobil erreichbar
• Verifizierungsportal — QR-Code-Scanner nutzt direkt die Smartphone-Kamera

Für die beste Erfahrung empfehlen wir eine Bildschirmbreite von mindestens 375px (iPhone SE und grösser).

Manche Funktionen sind nur in höheren Plänen verfügbar. Häufig eingeschränkte Features:

Upgraden können Sie jederzeit unter Preise. Der Wechsel erfolgt sofort, die Differenz wird anteilig berechnet.

Der DEK (Data Encryption Key) wird für die Ende-zu-Ende-Verschlüsselung im Zero-Knowledge-Modus benötigt. Diese Fehlermeldung bedeutet:

• Session abgelaufen — Der DEK wird pro Session im Browser abgeleitet. Loggen Sie sich erneut ein
• Browser-Speicher gelöscht — Falls Sie Cookies oder den LocalStorage gelöscht haben, muss der DEK neu abgeleitet werden
• Anderes Gerät — Der DEK ist gerätespezifisch. Auf einem neuen Gerät wird er automatisch neu erzeugt

Lösung: Loggen Sie sich aus und wieder ein. Der DEK wird automatisch aus Ihrem Passwort abgeleitet (HKDF). Ihre verschlüsselten Daten bleiben erhalten.

Der HTTP-Statuscode 402 bedeutet, dass für die angeforderte Aktion eine Bezahlung oder ein API-Key erforderlich ist. Mögliche Ursachen:

Unsere vollständige Datenschutzerklärung finden Sie unter ki-shield.de/datenschutz. Die wichtigsten Punkte:

• Verantwortlicher: KI-Schild UG (haftungsbeschränkt), Geschäftsführerin: Johanna Bringezu, Deutschland
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
• Datenverarbeitung: Nur das Minimum, das für den Betrieb notwendig ist
• Keine Weitergabe: Ihre Daten werden nicht an Dritte verkauft oder zu Werbezwecken genutzt

Bei Fragen zum Datenschutz wenden Sie sich an datenschutz@ki-shield.de.

Das vollständige Impressum finden Sie unter ki-shield.de/impressum.

KI-Shield ist ein Produkt der KI-Schild UG (haftungsbeschränkt) mit Sitz in Deutschland. Alle rechtlich relevanten Angaben (Anschrift, Kontakt, USt-IdNr.) finden Sie auf der Impressum-Seite.

Die Allgemeinen Geschäftsbedingungen finden Sie unter ki-shield.de/agb. Kernpunkte:

• Vertragsschluss — Durch Registrierung und Bestätigung der E-Mail-Adresse
• BYOK-Prinzip — KI-Shield stellt die Plattform bereit, Sie bringen Ihre eigenen API-Keys mit
• Kündigung — Jederzeit zum Monatsende möglich, keine Mindestlaufzeit
• Haftung — KI-Shield haftet nicht für die Inhalte der KI-Antworten — diese werden vom jeweiligen Provider generiert
• Verfügbarkeit — Angestrebte Verfügbarkeit von 99,5% (SLA im Enterprise-Plan individuell vereinbar)

Alle KI-Shield-Server stehen in Deutschland:

Im BYOK-Modell bestimmen Sie selbst, welcher KI-Provider Ihre Daten verarbeitet. KI-Shield leitet Anfragen nur an den Provider weiter, den Sie konfiguriert haben:

Für maximalen Datenschutz empfehlen wir den Zero-Knowledge-Modus — dabei werden personenbezogene Daten vor der Weitergabe an den Provider durch Platzhalter ersetzt.

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten:

• Chat-Verläufe — Export als JSON oder CSV über Dashboard → Chats → Alle exportieren
• Profildaten — Export über Einstellungen → Konto → Daten exportieren
• Audit-Logs — Export als CSV über das Audit-Dashboard

Der vollständige Datenexport wird innerhalb von 72 Stunden bereitgestellt und per E-Mail zugestellt. Für manuelle Anfragen: datenschutz@ki-shield.de.

Gemäss Art. 15 DSGVO haben Sie das Recht zu erfahren, welche Daten wir über Sie speichern. Folgende Kategorien werden verarbeitet:

• Stammdaten — Name, E-Mail-Adresse, Registrierungsdatum
• Nutzungsdaten — Login-Zeitpunkte, genutzte Features, API-Aufrufe (anonymisiert)
• Abrechnungsdaten — Zahlungsmethode (tokenisiert), Rechnungsadresse, Plan
• Chat-Daten — Im Zero-Knowledge-Modus nur verschlüsselt; im Standard-Modus werden Chats nach Ihren Aufbewahrungseinstellungen gespeichert

Auskunftsanfrage stellen: Senden Sie eine E-Mail an datenschutz@ki-shield.de mit dem Betreff „Auskunftsanfrage“. Antwort innerhalb von 30 Tagen.

Sie können jederzeit die vollständige Löschung Ihres Accounts und aller Daten verlangen:

1. Self-Service: Einstellungen → Konto → Account löschen — sofortige Löschung nach Bestätigung
2. Per E-Mail: Anfrage an datenschutz@ki-shield.de — Löschung innerhalb von 30 Tagen

Was gelöscht wird:

• Profil und Stammdaten
• Alle Chat-Verläufe
• API-Keys (werden sofort invalidiert)
• Audit-Logs (nach Ablauf gesetzlicher Aufbewahrungsfristen)

Übersicht der Aufbewahrungsfristen bei KI-Shield:

Im Zero-Knowledge-Modus werden Chat-Inhalte nur verschlüsselt gespeichert — selbst während der Aufbewahrungsfrist sind sie für KI-Shield nicht lesbar.

Die Wahl des richtigen Modells hängt von Ihrer Aufgabe ab:

Das Kontextfenster bestimmt, wie viel Text ein Modell gleichzeitig „sehen“ kann — also Ihre Eingabe plus die bisherige Konversation plus die Antwort.

Was ist ein Token?

Ein Token entspricht ca. 3–4 Zeichen auf Deutsch (ca. ¾ eines Wortes). 1.000 Tokens ≈ 750 Wörter.

Kontextgrössen im Überblick

Wenn das Kontextfenster voll ist, werden ältere Nachrichten aus dem Kontext entfernt. Starten Sie bei Bedarf eine neue Konversation.

Die Kosten werden direkt von Ihrem Provider-Account abgerechnet (BYOK). KI-Shield erhebt keine zusätzlichen Token-Gebühren.

Preise Stand 2025, ohne Gewähr. Aktuelle Preise finden Sie auf den Websites der jeweiligen Provider.

Multimodale Modelle können neben Text auch Bilder analysieren. Im KI-Shield Chat können Sie Bilder per Drag&Drop oder über das Upload-Icon anhängen.

Unterstützte Formate

PNG, JPEG, GIF, WebP — max. 20 MB pro Bild.

Anwendungsbeispiele

• Dokumente und Rechnungen auslesen (OCR)
• Screenshots analysieren und beschreiben
• Diagramme und Grafiken interpretieren
• Handschrift erkennen

Für Programmieraufgaben empfehlen wir:

Für kreative Texte, Marketinginhalte und Storytelling:

• Claude Opus / Sonnet — Besonders natürlicher, nuancierter Schreibstil auf Deutsch. Ideal für längere Texte und differenzierte Tonalität
• GPT-4o — Vielseitig, gut für strukturierte Inhalte wie Blog-Artikel, Newsletter und Social-Media-Posts
• GPT-4o-mini — Schnell und günstig für erste Entwürfe und Brainstorming

Für optimale Ergebnisse geben Sie dem Modell klare Anweisungen zu Tonalität, Zielgruppe und Länge — z. B.: „Schreibe einen 300 Wörter langen Blog-Artikel zum Thema Datenschutz, Ton: professionell aber zugänglich, Zielgruppe: KMU-Geschäftsführer.“

Für die Analyse von Daten, Tabellen und Zahlen:

• Gemini Pro — Dank 1M-Token-Kontext ideal für grosse Datensätze. Kann ganze CSV-Dateien auf einmal verarbeiten
• Claude Sonnet — Sehr präzise bei mathematischen Berechnungen und logischem Reasoning
• GPT-4o — Guter Allrounder für Datenvisualisierungs-Vorschläge und SQL-Queries

Tipps für Datenanalyse im Chat

• Fügen Sie Daten als Tabelle (Markdown oder CSV) in den Chat ein
• Seien Sie spezifisch: „Berechne den Median der Spalte Umsatz“ statt „Analysiere die Daten“
• Nutzen Sie den PII-Schutz, wenn die Daten personenbezogene Informationen enthalten

System-Prompts definieren das Verhalten und die Rolle der KI für eine gesamte Konversation. So erstellen Sie einen eigenen:

1. Gehen Sie zu Einstellungen → Chat → System-Prompt
2. Klicken Sie auf „Neuer Prompt“
3. Geben Sie einen Namen und den Prompt-Text ein
4. Speichern und im Chat als Standard oder per Auswahl aktivieren

Beispiel: Juristischer Assistent

Du bist ein juristischer Fachassistent fuer deutsches Recht.
Antworte praezise, zitiere relevante Paragraphen.
Weise immer darauf hin, dass deine Antworten keine
Rechtsberatung ersetzen.

Mit diesen Techniken holen Sie mehr aus jeder KI-Anfrage:

So reduzieren Sie Ihren Token-Verbrauch und sparen Kosten:

• Neue Konversation starten — Lange Chat-Verläufe senden den gesamten Kontext mit jeder Nachricht erneut. Starten Sie neue Themen in neuen Chats
• Kleineres Modell für einfache Aufgaben — GPT-4o-mini oder Claude Haiku für Routinefragen, grosse Modelle nur bei Bedarf
• Präzise Prompts — Je klarer Ihre Anfrage, desto weniger Nachfragen und Korrekturrunden
• Antwortlänge begrenzen — „Antworte in maximal 3 Sätzen“ spart Output-Tokens
• System-Prompt kurz halten — Jeder Token im System-Prompt wird bei jeder Nachricht mitgesendet

Die KI-Shield B2B-API unterstützt Batch-Verarbeitung für die automatisierte Bearbeitung vieler Anfragen:

POST /v1/batch
Content-Type: application/json
Authorization: Bearer <API-KEY>

{
  "requests": [
    { "model": "gpt-4o", "messages": [...] },
    { "model": "gpt-4o", "messages": [...] }
  ]
}

Limits

• Maximal 100 Anfragen pro Batch
• Rate Limit: 10 Batches pro Minute
• Ergebnisse werden asynchron bereitgestellt (Webhook oder Polling)

Die PII-Erkennung und Zero-Knowledge-Verschlüsselung werden auch bei Batch-Anfragen angewendet.

Im Professional-Plan und höher können Sie die PII-Erkennung feingranular konfigurieren:

1. Navigieren Sie zu Einstellungen → Datenschutz → PII-Regeln
2. Aktivieren/deaktivieren Sie einzelne Kategorien
3. Wählen Sie pro Kategorie die Aktion: Maskieren, Pseudonymisieren oder Blockieren

Verfügbare PII-Kategorien

Sie können beliebig viele Provider gleichzeitig in KI-Shield konfigurieren und zwischen ihnen wechseln:

• Im Chat: Klicken Sie auf den Modellnamen oben im Chat-Fenster und wählen Sie ein anderes Modell — auch mitten in einer Konversation
• Über die API: Geben Sie das gewünschte Modell im model-Feld an — KI-Shield routet automatisch zum richtigen Provider

Fallback-Konfiguration

Im Business-Plan können Sie einen Fallback-Provider konfigurieren: Wenn der primäre Provider nicht erreichbar ist, wird die Anfrage automatisch an den Fallback weitergeleitet.

Einrichtung: Einstellungen → API-Keys → Fallback-Reihenfolge.

KI-ShieldCam ist eine iOS-App, die Fotos direkt beim Aufnehmen kryptographisch zertifiziert. Jedes Foto erhält:

• SHA-256 Hash — Eindeutiger Fingerabdruck, der jede Manipulation erkennt
• Blockchain-Eintrag — Unverfälschbarer Zeitstempel in der KI-Shield Trust-Chain
• QR-Code — In die Metadaten eingebettet, führt direkt zur Verifizierung
• PII-Redaktion — Optional werden Gesichter, Nummernschilder und andere personenbezogene Daten automatisch maskiert

Einsatzgebiete: Beweissicherung, Dokumentation, Gutachten, Versicherungsfälle, journalistische Arbeit.

KI-ShieldCam ist als kostenlose iOS-App verfügbar:

Systemanforderungen

• iOS 17.0 oder neuer
• iPhone oder iPad mit Kamera
• Auch als Mac-App verfügbar (Apple Silicon)

Beim ersten Start fragt KI-ShieldCam nach folgenden Berechtigungen:

• Kamera — Zum Aufnehmen von Fotos (erforderlich)
• Fotomediathek — Zum Speichern zertifizierter Fotos (empfohlen)
• Netzwerk — Für die Blockchain-Registrierung auf dem KI-Shield-Server

Falls Sie eine Berechtigung versehentlich abgelehnt haben:

1. Öffnen Sie die iOS-Einstellungen
2. Scrollen Sie zu KI-Shield
3. Aktivieren Sie die gewünschten Berechtigungen

Die Live-Redaktion maskiert personenbezogene Inhalte direkt beim Fotografieren — noch bevor das Foto gespeichert wird:

Das ist der Zero-Knowledge-Ansatz: Weder KI-Shield noch der Nutzer können die maskierten Bereiche wiederherstellen.

In den App-Einstellungen wählen Sie, welche PII-Kategorien automatisch maskiert werden:

Einstellung: Öffnen Sie die App → Zahnrad-Icon → Datenschutz → PII-Kategorien.

Es gibt drei Wege, ein KI-ShieldCam-Foto zu verifizieren:

1. In der App

Öffnen Sie das Foto in der App-Galerie und tippen Sie auf „Zertifikat anzeigen“. Sie sehen Status, Zeitstempel, Hash und Chain-Position.

2. Im Verifizierungsportal

Laden Sie das Foto auf ki-shield.de/shieldcam hoch. Der Hash wird lokal berechnet und mit der Trust-Chain abgeglichen.

3. Per QR-Code

Scannen Sie den eingebetteten QR-Code mit einer beliebigen Kamera-App — Sie werden direkt zum Verifizierungsergebnis weitergeleitet.

Jedes mit KI-ShieldCam aufgenommene Foto enthält einen QR-Code in den EXIF-Metadaten:

Format

KISHIELDPIC|v3|<sha256-hash>

• KISHIELDPIC — Kennzeichnet das Foto als KI-ShieldCam-zertifiziert
• v3 — Protokollversion (aktuell: v3)
• Hash — SHA-256 Fingerabdruck des Originalfotos

QR-Code herunterladen

In der App können Sie den QR-Code auch als separates Bild exportieren — praktisch, wenn Sie den Code auf ein Dokument oder eine Webseite setzen möchten.

Sobald Sie ein Foto aufnehmen, passiert Folgendes in Sekundenbruchteilen:

1. Hash berechnen — SHA-256 des Fotos wird auf dem Gerät berechnet
2. An Server senden — Nur der Hash (64 Zeichen) wird übertragen, nicht das Foto
3. Chain-Eintrag — Der Server erstellt einen neuen Eintrag in der Trust-Chain mit Zeitstempel und Verweis auf den vorherigen Eintrag
4. Bestätigung — Die App erhält die Chain-Position und zeigt das Zertifikat an

Durch die Verkettung (jeder Eintrag referenziert den vorherigen) ist eine rückwirkende Manipulation ausgeschlossen — ähnlich wie bei einer klassischen Blockchain, aber effizienter und ohne Mining.

KI-ShieldVid ist die Video-Schwester von KI-ShieldPic. Die iOS-App ermöglicht forensische Video-Beweissicherung — jedes aufgenommene Video wird kryptographisch zertifiziert und in der Trust-Chain verankert.

Was KI-ShieldVid bietet

• Frame-Forensik — Jeder einzelne Frame wird in die forensische Beweiskette eingebunden
• Hybrid-Kryptographie — Ed25519 (klassisch) + ML-DSA-65 (post-quantum, FIPS 204)
• RFC 3161 Zeitstempel — Kryptographischer Zeitstempel von unabhängiger Stelle
• Polygon Blockchain — Öffentlich verifizierbar auf PolygonScan
• QR-Code — In Video-Metadaten eingebettet für sofortige Verifizierung

Einsatzgebiete: Unfallaufnahmen, Baudokumentation, Polizeivideos, Versicherungsfälle, journalistische Arbeit.

HEVC wird von KI-ShieldVid nativ unterstützt — kein Umwandeln nötig. Das Streaming-Hashing verarbeitet Videos in 1-MB-Blöcken, sodass auch grosse Dateien (mehrere GB) ohne Speicherprobleme gehashed werden.

Videos sind deutlich grösser als Fotos. KI-ShieldVid nutzt daher Streaming-Hashing:

1. Die Videodatei wird nicht komplett in den Arbeitsspeicher geladen
2. Stattdessen wird sie in 1-MB-Blöcken gelesen und stückweise dem SHA-256-Hasher zugeführt
3. Ein Fortschrittsbalken zeigt den Verarbeitungsstand: „SHA-256 wird berechnet… (128 / 512 MB)“
4. Am Ende wird der finale Hash aus allen Blöcken berechnet

Dieses Verfahren funktioniert mit beliebig grossen Dateien — selbst mehrstündige 4K-Videos werden zuverlässig gehashed, ohne den Speicher zu überlasten.

Im Gegensatz zu einem einfachen Datei-Hash geht KI-ShieldVid einen Schritt weiter: Jeder einzelne Frame wird in die forensische Beweiskette eingebunden.

Warum ist das wichtig?

• Manipulationsschutz — Einzelne Frames können nicht unbemerkt entfernt, eingefügt oder ersetzt werden
• Temporalät — Die zeitliche Abfolge der Frames ist kryptographisch gesichert
• Gerichtsverwertbarkeit — Stärkerer Beweiswert als ein einfacher Datei-Hash

Zusätzlich wird das gesamte Video als Einheit gehashed und in der Trust-Chain verankert — damit ist sowohl die Gesamtdatei als auch die Frame-Sequenz geschützt.

Videos können auf ki-shield.de/shieldvid verifiziert werden — drei Methoden:

1. Video hochladen

Ziehen Sie das Video in das Upload-Feld. Der SHA-256-Hash wird im Browser berechnet (Streaming, kein Upload). Ein Fortschrittsbalken zeigt den Stand bei grossen Dateien.

2. Hash eingeben

Geben Sie den 64-stelligen SHA-256-Hash direkt ein, falls Sie ihn bereits kennen.

3. QR-Code eingeben

Fügen Sie den QR-Code-Text ein. Format:

KISHIELDVID|v3|hash|sig|pubkey|idx|prev|txHash|pii

Das Portal extrahiert automatisch den Hash und prüft ihn gegen die Trust-Chain. Bei erfolgreicher Verifizierung sehen Sie: Zeitstempel, Chain-Position, Blockchain-Anker (mit Link zu PolygonScan) und den öffentlichen Schlüssel.

KI-ShieldVid bietet ein monatliches Video-Kontingent, das an Ihr Abo gekoppelt ist:

• Jedes zertifizierte Video zählt gegen Ihr Monatskontingent
• Das Kontingent wird am Monatsanfang automatisch zurückgesetzt
• Der Zähler ist über iCloud an Ihre Apple ID gebunden — ein Deinstallieren der App setzt ihn nicht zurück
• In der App sehen Sie jederzeit verbleibende Videos unter Einstellungen → Kontingent

Ist das Kontingent aufgebraucht, können Sie weiterhin Videos aufnehmen, aber keine neuen Zertifizierungen durchführen. Upgraden Sie Ihr Abo für ein höheres Kontingent.

Beide TaaS-Produkte nutzen einen identischen 7-Schichten-Sicherheitsstack:

Durch den BSI-Hybridansatz (klassisch + post-quantum) sind Ihre Beweise auch gegen zukünftige Quantencomputer geschützt.

Bei KI-Shield fallen zwei getrennte Kosten an:

Beispiel: Bei einem Professional-Plan (29€/Monat) und moderater Nutzung von GPT-4o könnten ca. 5–15€/Monat an Provider-Kosten hinzukommen.

Unter Dashboard → Nutzung → Kosten finden Sie eine Übersicht Ihrer geschätzten Ausgaben:

• Tagesansicht — Token-Verbrauch und geschätzte Kosten pro Tag
• Monatsübersicht — Gesamtverbrauch mit Trend-Vergleich zum Vormonat
• Nach Modell — Aufschlüsselung welches Modell wie viel kostet
• Nach Mitglied — Im Team-Plan: Kosten pro Teammitglied

Schützen Sie sich vor unerwarteten Kosten mit Budget-Limits:

1. Gehen Sie zu Einstellungen → Abrechnung → Budget
2. Setzen Sie ein monatliches Limit (z. B. 50€)
3. Wählen Sie die Aktion bei Erreichen: Warnen oder Blockieren

Bei der Option „Warnen“ erhalten Sie eine E-Mail bei 80% und 100% des Limits, können aber weiter arbeiten. Bei „Blockieren“ werden neue Anfragen gestoppt, bis der nächste Monat beginnt oder Sie das Limit erhöhen.

Im Team-Plan können Admins Limits pro Mitglied setzen.

Alle Rechnungen sind als PDF verfügbar:

1. Navigieren Sie zu Einstellungen → Abrechnung → Rechnungen
2. Wählen Sie den gewünschten Monat
3. Klicken Sie auf „PDF herunterladen“

Die Rechnungen enthalten:

• Rechnungsnummer und Datum
• Plan und Laufzeit
• Nettobetrag, USt. (19%) und Bruttobetrag
• Zahlungsmethode und -status

Rechnungen werden auch automatisch per E-Mail an die hinterlegte Rechnungsadresse gesendet.

Unter Einstellungen → Abrechnung → Zahlungsmethode können Sie jederzeit wechseln:

Unterstützte Zahlungsmethoden

Die neue Zahlungsmethode wird ab der nächsten Abrechnung verwendet. Offene Beträge werden noch über die alte Methode eingezogen.

KI-Shield ist als Betriebsausgabe voll absetzbar:

• Vorsteuerabzug — Alle Rechnungen enthalten ausgewiesene deutsche USt. (19%), die vorsteuerabzugsberechtigt ist
• Betriebsausgabe — Die monatliche Gebühr ist als Softwarekosten / IT-Dienstleistung absetzbar
• Rechnungsadresse — Hinterlegen Sie Ihre Firmenadresse und USt-IdNr. unter Einstellungen → Abrechnung → Rechnungsadresse

Für EU-Kunden ausserhalb Deutschlands

Bei gültiger USt-IdNr. wird das Reverse-Charge-Verfahren angewendet (Netto-Rechnung ohne deutsche USt.).