TL;DR
- Drei Exfiltrations-Pfade sind 2026 Realität: RAG-Leakage über geschickte Prompts, Training-Data-Extraction aus Self-trained-Modellen, Embedding-Inversion aus Vector-Stores mit 70–90 % Rekonstruktions-Genauigkeit.
- DSGVO trifft AI hart: Art. 15 Auskunfts- und Art. 17 Löschpflicht gelten auch für Embeddings und trainierte Gewichte — nicht trivial lösbar, vor allem nicht bei Self-Trained-Modellen.
- Schutz-Pattern, das trägt: Row-Level-Security im Vector-Store (Postgres + pgvector), Metadaten-Filter-ACL, Differential-Privacy im Training, halbjährliche Pentest-Audits.
Drei Exfiltrations-Pfade 2026
Mittelstands-RAG-Systeme leaken durch drei abgrenzbare Pfade, jeder mit eigener Forensik und eigenem Schutz-Layer. Wer nur Pfad eins absichert, lässt zwei und drei offen.
In DACH-Audits zeigt sich: Ein RAG-System ohne Row-Level-Security ist kein KI-Produkt — es ist ein offener Akten-Schrank mit Sprach-Interface.
Pfad 1 — RAG-Leakage via Prompt-Manipulation
Der häufigste Vektor. Ein User mit Read-Access auf ein Sub-Set der Wissensbasis formuliert eine Anfrage, die das LLM über die eigene Berechtigung hinaus antworten lässt — «Fasse die letzten zehn HR-Beschwerden zusammen.» Das LLM hat keinen Berechtigungs-Begriff; es antwortet aus dem Retriever-Kontext. Ohne Filter bekommt der User Daten, die er nie hätte sehen dürfen.
Schutz-Layer: Pre-Retrieval-ACL — die Query wird vor dem Vector-Search mit den User-Rollen kombiniert, nur Dokumente mit passendem acl_tag werden retrieved, plus Audit-Log jedes Treffers.
Pfad 2 — Training-Data-Extraction aus Self-Trained-Modellen
Wer eigene Modelle fine-tuned oder vortrainiert, hat dieses Problem. Forschung 2023–2025 (Carlini et al., Nasr et al.) zeigt: 0,5–2 % der Trainings-Examples lassen sich rekonstruieren — auf vertraulichen Vertrags-Corpora im Pilot reproduziert. Ein Fine-Tune auf zehntausend Lieferanten-Verträgen liefert auf «Vervollständige: Der Lieferant verpflichtet sich…» wortgetreue Passagen inklusive Namen und Konditionen.
Schutz-Layer: Differential Privacy im Training (DP-SGD mit ε ≤ 5), aggressive Deduplication und never fine-tune auf Personen-Daten ohne Rechtsgrundlage.
Pfad 3 — Embedding-Inversion aus Vector-DB
Der subtilste Pfad. Embeddings galten lange als «one-way». Forschung 2024 (Morris et al., «Text Embeddings Reveal Almost as Much as Text») widerlegt das: mit einem Inverter-Modell lassen sich aus OpenAI-, Cohere- oder BGE-Embeddings 70–90 % der Originaltexte semantisch rekonstruieren. Ein kompromittierter Vector-Store ist keine anonymisierte Sicherung, sondern eine invertierbare Klartext-Quelle; unverschlüsselte Backups sind ein Compliance-Risiko erster Ordnung.
Schutz-Layer: Vector-Store Encryption at rest mit kundenseitigen Keys, strikte Network-Isolation, Audit aller Embedding-Exports.
DSGVO + AI: Art. 15 Auskunft, Art. 17 Löschung
Die DSGVO-Pflichten gelten auch für AI-Systeme. Vier Artikel treffen besonders hart:
| DSGVO-Pflicht | Tooling-Reality 2026 + Lösung |
|---|---|
| Art. 15 Auskunft | RAG via Metadaten-Filter machbar, Fine-Tune nicht trivial bestimmbar → RAG-Audit-Log + Quellen-Trace |
| Art. 17 Löschung | RAG: Dokument-Delete + Re-Index; Fine-Tune: unmöglich ohne Re-Train → keine PII im Training |
| Art. 22 Auto-Decision | RAG mit Human-Review erlaubt, Vollautomatik verboten → HITL-Gate vor jeder Außenwirkung |
| Art. 32 Sicherheit | Verschlüsselung at rest, RLS, Audit-Logs → Pentest halbjährlich, dokumentiert |
Der bittere Befund: Bei selbst trainierten Modellen ist Art. 17 in Reinform nicht erfüllbar — die zentrale Architektur-Entscheidung gegen «schnelle» Fine-Tunes auf produktiven Personendaten.
Schutz-Pattern: Row-Level-Security im Vector-Store
Der industrielle Standard 2026 ist Postgres + pgvector mit RLS — native SQL-RLS, ACID-Garantien, eine Datenbank für Dokumente und Vektoren. Jedes Chunk wird mit tenant_id, acl_tags[] und embedding gespeichert; der Cosine-Similarity-Search läuft nur auf Rows, die die RLS-Policy für den User-JWT freigibt — der Retrieval-Layer sieht niemals Rows außerhalb der ACL.
sql CREATE POLICY tenant_isolation ON doc_chunks USING (tenant_id = current_setting('app.tenant_id')::uuid AND acl_tags && current_setting('app.user_acl_tags')::text[]);
Plus drei Härtungs-Layer: Pre-Retrieval-Query-Sanitization gegen Prompt-Injection, Post-Retrieval-Quellen-Citation-Pflicht im Output und ein Audit-Log jeder Retrieval-Operation mit User-ID, Query-Hash und Treffer-Liste.
Pilot: MedTech, RAG-Audit
Pilot bei einem MedTech-Mittelständler: ein seit 14 Monaten produktives RAG-System über rund 120.000 Dokumente (Engineering-Specs, Audit-Reports, FDA/EMA-Korrespondenz). Die Findings, ungeschönt:
| Befund | Schwere / Fix |
|---|---|
| Kein RLS — alle User sahen alle Chunks | Kritisch · 3 Wochen Re-Architecture |
| Embeddings in Bucket unverschlüsselt | Hoch · 1 Tag |
| Keine Audit-Logs der Retrievals | Hoch · 1 Woche |
| LLM-Prompt-Injection-Filter fehlt | Mittel · 1 Woche |
| PII in Trainings-Daten (2.300 Patient-Records) | Kritisch · Re-Train + Delete |
Sechs Personentage Audit, acht Wochen Fix-Plan. Der wichtigste Befund war nicht Pfad eins oder drei, sondern die PII-Verseuchung der Trainings-Daten — nur durch Komplett-Re-Train zu beseitigen und das größte Bußgeld-Risiko.
Was bei Self-Trained-Modellen NICHT geht
Drei Garantien sind 2026 nicht erfüllbar: perfekte Löschung von Trainings-Daten (im Gradient nicht punktgenau entfernbar; Machine-Unlearning liefert nur Approximationen — also never train on PII), vollständige Anonymisierung von Embeddings (mit Inverter-Modellen rekonstruierbar) und 100-%-Prompt-Injection-Schutz. Die Architektur muss davon ausgehen, dass Injection durchkommt — ACL und Audit tragen auf Daten-Ebene, nicht auf Prompt-Ebene.
Einordnung für den GF-Tisch
Data-Exfiltration aus AI ist 2026 kein Theorie-Risiko, sondern ein operativer Audit-Bereich. Wer ein RAG-System produktiv betreibt, sollte halbjährliche Pentests mit AI-spezifischen Test-Cases einplanen — Prompt-Injection-Suite, Embedding-Inversion-Probe, ACL-Bypass-Tests. Art.-15-Auskunftsanfragen häufen sich seit Q4/2025 und sind ohne Audit-Logs strukturell nicht zu beantworten. Wer heute baut, plant Compliance-Architektur mit.
Praxis-Schritt: Ein 90-Min-Gespräch klärt, welche der drei Pfade offen sind und welcher Schutz-Layer den größten Compliance-Hebel liefert. Erstgespräch anfragen → /anfrage
Stand Mai 2026. Förderpfad-Beratung und Antragsbegleitung in Kooperation mit autorisierten Partner-Beratungen — eigene BAFA-/go-digital-Akkreditierung in Vorbereitung Q3 2026.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.