Das Szenario ist in vielen Büros Alltag: Ein Mitarbeiter zieht den Kundenvertrag mit IBANs und Namen in ein ChatGPT-Fenster, weil das schneller geht als die interne Toolchain. Ob das DSGVO-tauglich ist, fragt niemand — und in den meisten KMUs, die ich betreue, gibt es auch keine technische Schranke, die es verhindert. Das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) und die RPTU Kaiserslautern-Landau haben jetzt eine technische Antwort vorgelegt: Privacy Guardrail, eine Chrome-Erweiterung, die sensible Inhalte lokal im Browser erkennt und anonymisiert, bevor sie ChatGPT, Claude oder Gemini zu sehen bekommen.
Wie Privacy Guardrail den Paste-Moment abfängt
Die Erweiterung klinkt sich direkt in den Einfüge-Vorgang ein. Wer Text in das Eingabefeld von ChatGPT, Claude oder Gemini kopiert, bekommt eine lokale Analyse — noch vor dem Abschicken. Erkannte sensible Stellen werden entweder durch typisierte Platzhalter wie [EMAIL_1] oder [PERSON_1] ersetzt oder durch synthetische Alternativwerte: Fantasie-Namen, Test-IBANs, standardisierte IP-Adressen. Kommt die KI-Antwort zurück, setzt Privacy Guardrail die Originalwerte wieder ein. Den Schlüssel zwischen Original und Ersatz verwaltet ein „Identity Vault“ lokal im Browserprofil — kein Chrome Sync, kein Cloud-Upload.
Technisch kombiniert das Tool zwei Erkennungsschichten. Die erste ist ein in Rust implementierter, zu WebAssembly kompilierter Regel-Recognizer für strukturierte Daten: E-Mail-Adressen, IBANs, Kreditkartennummern, IP-Adressen. Die zweite Schicht ist optional und deutlich aufwändiger: ein lokales XLM-RoBERTa-Modell, das per Named Entity Recognition kontextabhängige Entitäten identifiziert — Personen, Organisationen, Adressen, Passwörter — in 24 europäischen Sprachen und über 36 Klassen. Das Modell läuft via ONNX Runtime Web mit WebGPU-Beschleunigung. Empfohlen werden mindestens 16 GB RAM mit WebGPU-fähiger GPU; unter 8 GB deaktiviert sich die KI-Komponente automatisch, der Regel-Recognizer arbeitet weiter.
Was erkannt wird — und wo Privacy Guardrail ehrlich scheitert
Das DFKI selbst bezeichnet das Tool als „keine DLP- oder Compliance-Lösung, sondern eine unterstützende Schutzschicht.“ Das ist keine Tiefstapelei aus Pflicht. Kurze Namen, mehrdeutige Begriffe, Tabelleninhalte, Code-Blöcke und ungewöhnliche Formatierungen reduzieren die Erkennungsrate. Wer Quellcode-Fragmente mit hartcodierten API-Keys in einen KI-Assistenten schickt, bekommt durch den Regel-Recognizer zuverlässig IBANs und E-Mail-Adressen bereinigt — ob der API-Key selbst erkannt wird, hängt von dessen Format ab.
Als Public Beta (Version 0.2.0) steht die Erweiterung auf GitHub unter Apache-2.0-Lizenz bereit und lässt sich direkt aus dem Chrome Web Store installieren. Weitere Browser sind nicht angekündigt, ebenso wenig ein Zeitplan für die Stable-Version.
Privacy Guardrail füllt damit eine Lücke, die eigentlich die KI-Plattformen selbst schließen müssten. Ein granulares Datenscoping vor dem Absenden — sichtbar, lokal, ohne Cloud-Umweg — gehört in jede ernsthafte Enterprise-Oberfläche. Dass ein deutsches Forschungsinstitut das als Open-Source-Pflaster nachliefern muss, weil OpenAI, Google und Anthropic das offenbar nicht für nötig halten, sagt mehr über den Stand der Dinge als jede Datenschutz-Beteuerung in deren Nutzungsbedingungen.
