Der Kontext-Layer ist die Schicht, die KI aus Ihrer Akte antworten lässt.

Im deutschen Mittelstand kreist 2026 die gleiche Sorge bei Datenschutzbeauftragten, IT-Leitern und Vorständen: Mitarbeiter laden Verträge, Mandanten-Dokumente und Konstruktionsdaten in ChatGPT, weil das schnell geht und die KI hilft. Was dabei passiert: die Daten verlassen das Unternehmen, landen bei einem US-Cloud-Anbieter, und die Audit-Spur bricht ab. Ein Kontext-Layer im eigenen KI-Betriebssystem ist die Antwort darauf. Er stellt sicher, dass die KI aus Ihrer eigenen Wissensbasis antwortet, mit EU-Hosting, Berechtigungen und Audit-Spur.

Dieser Satellite beschreibt den Kontext-Layer im KI-Betriebssystem detailliert: was er macht, welche Architektur er braucht, welche EU-souveränen Stack-Optionen es 2026 gibt, und wie drei mittelständische Branchen ihn konkret eingesetzt haben. Wer den übergeordneten Pillar zum KI-Betriebssystem sucht, findet ihn unter KI-Betriebssystem im Mittelstand.

Was ein Kontext-Layer wirklich macht

Ein Kontext-Layer ist die Schicht im KI-Betriebssystem, die zwischen den Mitarbeiter-Anfragen und den KI-Modellen sitzt. Seine Hauptaufgabe ist, der KI zu jeder Anfrage den richtigen Unternehmens-Kontext mitzugeben: passende Dokumente, relevante Akten, gültige Verträge, die für den fragenden Mitarbeiter freigegeben sind. Diese Funktion wird oft mit dem Begriff Retrieval-Augmented-Generation (RAG) beschrieben.

Wichtig ist die Berechtigungs-Schicht. Ein Kontext-Layer ohne Berechtigungs-Mapping ist gefährlich: er gibt potentiell Daten an Mitarbeiter heraus, die für diese nicht freigegeben sind. Ein produktiver Kontext-Layer im Mittelstand respektiert das Active-Directory-Berechtigungs-Modell und stellt sicher, dass die Anfrage einer Sachbearbeiterin nur die Vorgänge erreicht, für die sie zuständig ist.

Praxisstimme eines DSB

Ein anonymisierter Datenschutzbeauftragter eines Versicherers im Mittelstand formulierte es so: „Solange die KI keine Kontext-Schicht hat, antwortet sie wie das Internet – mit den Mandanten-Daten will ich das nicht.“ Der Kontext-Layer ist die Komponente, die KI von einem allgemeinen Antwort-Generator zu einem unternehmens-spezifischen Werkzeug macht.

Architektur eines DSGVO-festen Kontext-Layers

Ein DSGVO-fester Kontext-Layer hat fünf Architektur-Bestandteile, die alle gleichzeitig vorhanden sein müssen. Fehlt einer, bricht entweder die DSGVO-Compliance oder die Antwort-Qualität.

• Daten-Quellen-Konnektoren: Anbindung an Ihre DMS-Systeme (DocuWare, ELO), Filesystem-Shares, Mail-Server, ERP- und CRM-Datenbanken. Wichtig: read-only und immer mit Berechtigungs-Pass-through.
• Klassifizierungs-Pipeline: Eingehende Dokumente werden klassifiziert nach Sensibilität (öffentlich, intern, vertraulich, besondere Kategorie nach DSGVO Art. 9). Dokumente der höchsten Klasse können pseudonymisiert werden, bevor sie in den Vektor-Index (eine Suche nach Bedeutung statt nach Stichwort) aufgenommen werden.
• Bedeutungs-Suchindex mit Berechtigungs-Schicht: Die klassifizierten Dokumente werden so abgelegt, dass die KI sie nach Inhalt und Bedeutung findet, nicht nur nach Stichwort. Bei jeder Abfrage prüft die Berechtigungs-Schicht, ob der fragende Mitarbeiter Zugriff hat. Dokumente ausserhalb der Zugriffsberechtigung sind für die Anfrage unsichtbar.
• Retrieval-Komponente: Die Frage des Mitarbeiters wird in einen Bedeutungs-Fingerabdruck (Fachbegriff: Embedding) übersetzt, der Index findet die passenden Dokumente, und nur diese werden dem KI-Modell als Kontext mitgegeben.
• Antwort-Komposition und Quellen-Verweis: Das KI-Modell antwortet, der Kontext-Layer hängt die Quellen-Verweise an, sodass der Mitarbeiter sieht, woher die Information stammt.

Diese fünf Bestandteile zusammen ergeben einen produktiven Kontext-Layer. sensified implementiert das in der Knowledge and RAG Plane des KI-Betriebssystems, mit konfigurierbaren Klassifizierungs-Regeln pro Mittelstands-Kunde.

EU-souveräne Stack-Optionen 2026

Eine zentrale Frage im Mittelstand ist: Wo werden die Daten gehostet? Der Default vieler Standard-KI-Tools ist die US-Cloud (AWS, Azure, GCP), was DSGVO Artikel 44 (Drittlands-Übermittlung) und das Schrems-II-Urteil zumindest erklärungsbedürftig macht. EU-souveräne Stack-Optionen sind 2026 ausreichend verfügbar, sodass der Verzicht auf US-Cloud im Mittelstand kein Tech-Risiko mehr darstellt.

sensified arbeitet als Plattform-Partner mit allen vier Optionen. Welche für Ihren Mittelstand die richtige ist, hängt von drei Faktoren ab: regulatorische Pflicht (z.B. BaFin bevorzugt Stackit oder IONOS), bestehende Cloud-Verträge (Hybrid-Modelle), und Anforderungen an die KI-Modell-Auswahl (manche Branchen wollen Mistral, andere lokale Open-Source-Modelle wie Llama).

Drei Mittelstand-Beispiele aus Steuerberatung, Industrie und Versicherung

Steuerberatung mittelständisch

Eine anonymisierte Steuerberatungskanzlei mit 80 Mitarbeitenden hatte vor Einführung des Kontext-Layers ein klares Problem: Mandanten-Daten durften die EU nicht verlassen, aber die Standard-Tools nutzten US-Cloud. Nach Einführung eines Kontext-Layers auf EU-souveränem Stack (Stackit) mit Mandanten-Trennung pro Tenant sank die Recherche-Zeit pro Mandantenanfrage um 54 Prozent. Wichtiger: die DSGVO-Prüfung im Folgejahr hatte null Findings.

Maschinenbau-Familienunternehmen

Ein anonymisierter Maschinenbauer mit 280 Mitarbeitenden hatte Konstruktionsdaten und Auftragsdaten in fünf verschiedenen Systemen verteilt, kein gemeinsamer KI-Zugriff. Nach Aufbau eines Kontext-Layers mit Berechtigungs-Mapping aus dem Active Directory sehen Konstrukteurinnen technische Zeichnungen nur, wenn sie auch im Quell-System darauf Zugriff haben. Die Konstruktions-Recherche-Zeit sinkt um 68 Prozent, Daten-Leaks bei externen KI-Tools enden.

Versicherer mit Schaden-Akten

Ein anonymisierter Versicherer mit 150 Mitarbeitenden im Schaden hat in seinen Akten besondere Kategorien personenbezogener Daten (Gesundheit, Beruf, Familienstand). Diese fallen unter DSGVO Artikel 9 mit erhöhten Schutzanforderungen. Der Kontext-Layer mit Klassifizierungs-Pipeline pseudonymisiert sensible Daten, bevor sie in den Vektor-Index gehen. Die Schaden-Akten-Recherche sinkt um 71 Prozent, die DSGVO-Prüfung bestätigt die Konformität.

DSGVO-Mapping: Welche Artikel der Kontext-Layer abdeckt

Ein vollständiger Kontext-Layer adressiert mindestens fünf DSGVO-Artikel direkt. Diese Mapping-Tabelle ist die Grundlage für das Gespräch mit dem Datenschutzbeauftragten und dem internen Auditor.

• Artikel 22 (automatisierte Einzelentscheidungen): Der Kontext-Layer liefert Quellen-Verweise, der Mitarbeiter trifft die Entscheidung. Die KI ist Entscheidungs-Hilfe, nicht autonome Entscheidung.
• Artikel 32 (Datensicherheit): Pseudonymisierung sensibler Daten vor Vektor-Indexierung, Berechtigungs-Schicht pro Mitarbeiter, EU-Hosting.
• Artikel 44 (Drittlands-Übermittlung): Daten verlassen die EU nicht, KI-Modell läuft in EU-Region.
• Artikel 9 (besondere Datenkategorien): Klassifizierungs-Pipeline erkennt Gesundheits-, Berufs- oder religiöse Daten und behandelt sie mit erhöhter Schutzklasse.
• EU AI Act Artikel 4 (AI-Kompetenz): Der Kontext-Layer dokumentiert jede KI-gestützte Antwort mit Modell, Quellen und Kontext. Diese Dokumentation ist Grundlage für den Kompetenz-Nachweis.

Quelle DSGVO offiziell: Verordnung 2016/679 (DSGVO). Empfehlungen der Datenschutzkonferenz unter Datenschutzkonferenz DSK. Wer das Mapping für den EU AI Act im Detail braucht, findet es im Satellite KI-Governance mit Ampel-System.

Fehler bei der Einführung vermeiden

Drei Fehler-Muster zeigen sich bei Mittelständlern, die einen Kontext-Layer ohne Plattform-Erfahrung einführen. Erstens: kein Berechtigungs-Mapping. Der Kontext-Layer indexiert alle Dokumente und gibt allen Mitarbeitern Zugriff. Resultat: Daten-Leaks zwischen Abteilungen. Korrektur: Berechtigungen vom ersten Tag an mit dem Active Directory koppeln.

Zweitens: keine Klassifizierung. Sensible Dokumente werden ungeprüft indexiert. Resultat: bei DSGVO-Audit kommt der Findings-Bericht. Korrektur: Klassifizierungs-Pipeline vor Indexierung, höchste Klasse pseudonymisieren.

Drittens: zu viel auf einmal. Der erste Kontext-Layer soll alle 50 Quellen-Systeme integrieren. Resultat: Projekt dauert 18 Monate, niemand sieht Wirkung. Korrektur: drei wichtigste Quellen zuerst (DMS, ERP, Filesystem), Use-Case im Tagesgeschäft sichtbar machen, dann erweitern. Mehr zur Einführungs-Reihenfolge im Pillar KI-Betriebssystem im Mittelstand und im Bausteine-Satellite KI-Betriebssystem aufbauen.

Nächste Schritte

Wer prüfen will, ob das eigene Unternehmen einen Kontext-Layer braucht oder schon einen hat, kann drei Fragen stellen. Erstens: Wie oft laden Mitarbeiter heute Unternehmens-Daten in öffentliche KI-Tools wie ChatGPT? Wenn die Antwort „manchmal“ oder „häufig“ ist, fehlt der Kontext-Layer. Zweitens: Wenn die KI eine Antwort gibt, kann der Mitarbeiter die Quelle sehen? Wenn nein, ist der Kontext-Layer nicht produktiv. Drittens: Sind die Daten EU-gehostet? Wenn nein, ist DSGVO Artikel 44 nicht sauber adressiert.

Wer den Kontext-Layer als Teil eines vollständigen KI-Betriebssystems plant, findet die übergeordnete Roadmap unter KI-Betriebssystem im Mittelstand. Die DSGVO- und EU-AI-Act-konforme Governance dazu unter KI-Governance mit Ampel-System. Die Produkt-Beschreibung von sensified ai-os unter KI-Betriebssystem für Unternehmen im Mittelstand. Ein 30-minütiges Strategiegespräch klärt, welche Stack-Option und welche Klassifizierungs-Stufe für Ihr Unternehmen passt.