PRIVATSPHÄRE
Privatsphäre & Datensicherheit. Von Grund auf gedacht.
Grundprinzipien der Indiebox
Indiebox wurde nach folgenden Prinzipien entwickelt:
- Inhaltsdaten verbleiben auf dem System.
- Es erfolgt keine versteckte Übertragung von Inhalts- oder Nutzungsdaten an den Anbieter.
- Das System ist vollständig offline und air gapped betreibbar.
- Kontrolle über Modelle, Fähigkeiten und Integrationen liegt beim Eigentümer bzw. der administrativen Instanz des Systems.
„Inhalte“ meint eigene Daten wie Prompts, Chatverläufe, Uploads, Dokumente, erzeugte Ergebnisse sowie daraus abgeleitete Indizes. Diese verbleiben physisch auf der Box. Die Einhaltung ist durch Architektur, eingesetzte Komponenten sowie durch Kontrolle des ausgehenden Netzwerkverkehrs überprüfbar.
Die Nutzungsmöglichkeiten für Anwender werden durch die administrativen Einstellungen definiert. Änderungen an Modellen oder systemweiten Fähigkeiten erfolgen ausschließlich durch die dafür berechtigte Instanz.
Wie die Indiebox arbeitet
Prompts, Dokumente und Antworten werden lokal verarbeitet. Es gibt keine versteckte Inhalts-Telemetrie oder Weitergabe von Inhalts- oder Nutzungsdaten.
„Versteckte Telemetrie“ bezeichnet Mechanismen, bei denen Systeme im Hintergrund Informationen wie Fragen, Eingaben, Nutzungsmuster oder Systemzustände an externe Server übertragen, ohne dass dies funktional erforderlich oder transparent konfiguriert ist. Eine solche Übertragung findet nicht statt.
Netzwerkverkehr im technischen Sinn kann bestehen, etwa für Infrastrukturprotokolle wie DNS oder NTP oder um das System erreichbar zu machen. Ausgehender Verkehr ins Internet entsteht ausschließlich, wenn:
- Updates angestoßen werden
- externe Informationsquellen aktiv genutzt werden
- Integrationen oder Tools bewusst konfiguriert und verwendet werden
Es erfolgt keine eigenständige Übermittlung von Inhalts- oder Nutzungsdaten ins Internet.
Offline- und Air-Gap-Betrieb
Das System ist fertig installiert und einsatzbereit. Es sind keine zusätzlichen Installationen erforderlich, um die Kernfunktionen zu nutzen. Zur Inbetriebnahme wird das System entweder einem bestehenden Netzwerk zugeordnet oder stellt ein eigenes lokales WLAN bereit. Auch ein vollständig isolierter Betrieb ohne Internetanbindung ist möglich.
Chat, Analyse bereitgestellter Daten sowie Generierung von Inhalten funktionieren ohne externe Abhängigkeiten. Modelle sind lokal installiert und lauffähig.
Updates können auch air gapped durchgeführt werden, indem geprüfte Update-Pakete kontrolliert übertragen und eingespielt werden.
Modelle, Kontrolle, Zensur
Indiebox verwendet etablierte offene Modelle, die lokal ausgeführt werden. Es gibt keine nachgelagerte Filterung, Protokollierung oder inhaltliche Steuerung durch den Anbieter.
Die Eigenschaften eines Systems hinsichtlich Antwortstil, inhaltlicher Zurückhaltung oder möglicher Einschränkungen ergeben sich aus dem gewählten Modell selbst. Eine zentrale Instanz, die Antworten überwacht oder verändert, existiert nicht.
Welche Modelle installiert, entfernt oder produktiv genutzt werden, wird durch die administrative Ebene festgelegt. Anwender können diese Konfiguration nicht eigenständig verändern.
Der Austausch von Modellen ist möglich. Die Bewertung von Qualität, Eignung und möglichen inhaltlichen Ausprägungen liegt in der Verantwortung des Eigentümers bzw. der administrativen Instanz.
Integrationen und externe Zugriffe
Standardmäßig verbleiben Inhaltsdaten lokal. Externe Integrationen sind optional und müssen aktiv konfiguriert werden, etwa für:
- Webrecherche
- externe KI-Dienste
- Datenbanken, APIs oder MCP
- interne Unternehmenssysteme und Netzlaufwerke
Vor Aktivierung solcher Funktionen sind die Auswirkungen auf Datenschutz, Informationsabfluss und Systemverhalten zu prüfen. Bei Webrecherchen werden zwangsläufig Informationen über das jeweilige Interessensgebiet nach außen sichtbar. Bei der Anbindung externer Dienste verlassen Daten das lokale System.
Zusätzlich ist das Risiko von Prompt Injection zu berücksichtigen. Bei einfachen Chat-Szenarien ist dies in der Regel beherrschbar. Bei Agenten mit weitergehenden System- oder Datenzugriffen kann eine unzureichende Validierung externer Inhalte zu Manipulationen führen. Der Einsatz solcher Funktionen erfordert daher eine bewusste Risikobewertung.
Multi-User-Betrieb und Rollen
Indiebox unterstützt den Betrieb mit mehreren Nutzern. Benutzerbereiche sind voneinander getrennt. Inhalte sind nicht für andere Nutzer sichtbar, sofern keine entsprechenden Rechte vergeben wurden.
Administrative Konten besitzen systembedingte Zugriffsrechte, wie bei jedem lokal betriebenen IT-System. Diese Kontrolle liegt vollständig in der eigenen Organisation.
Rollen, Rechte und Modellzugriffe werden lokal definiert und verwaltet.
Datenhaltung, Aufbewahrung, Löschung
Indiebox speichert Arbeitsstände lokal, je nach Nutzung zum Beispiel Chats, Uploads und erzeugte Indizes.
Die Datenhaltung ist technisch nachvollziehbar und erfolgt ausschließlich innerhalb der eigenen Infrastruktur. Lösch- und Aufbewahrungsregeln werden auf System- oder Objektebene gesteuert, etwa durch das Entfernen von Chats, Projekten oder Datenbeständen. Eine selektive Entfernung einzelner Inhalte innerhalb eines bestehenden Chatverlaufs ist systembedingt nicht in jedem Fall vorgesehen.
Es erfolgt keine parallele oder verdeckte Speicherung außerhalb des Systems.
DSGVO in der Praxis
Im rein lokalen Betrieb treten keine neuen externen Drittverarbeiter hinzu. Es findet keine automatische Einbindung externer KI-Anbieter oder Cloud-Dienste statt. Damit entsteht kein zusätzlicher Auftragsverarbeitungsvertrag allein durch den Einsatz des Systems.
Die Verarbeitung erfolgt innerhalb der eigenen Infrastruktur, vergleichbar mit einer selbst betriebenen Datenbank, einem Fileserver oder einem Dokumentenmanagementsystem. Verantwortlichkeiten verbleiben in der eigenen Organisation.
Werden personenbezogene Daten verarbeitet, stellt dies einen Verarbeitungsvorgang im Sinne der DSGVO dar. Die rechtliche Bewertung, Zweckdefinition und Festlegung von Aufbewahrungsfristen obliegen dem Verantwortlichen. Solange keine externen Integrationen aktiviert werden, bleibt der Kreis der Empfänger technisch auf die eigene Organisation begrenzt.
FAQ
Kann ich prüfen, was bei mir läuft?
Ja. Es lässt sich jederzeit selbst prüfen, welche Modelle installiert sind und welche Software-Komponenten laufen. Modellstände sind in diesem Setup über eindeutige Digests/Hashes referenzierbar: wenn ein erwarteter Digest vorliegt, lässt sich verifizieren, dass genau dieser Modellstand lokal vorhanden ist und verwendet wird. Gleiches gilt für die Komponenten im Stack: sie laufen im Netzwerk und sind für das Team beobachtbar.
Wie weiß ich als privater Nutzer, dass mein Verhalten nicht analysiert wird?
Indiebox ist so ausgelegt, dass es keine Verhaltensanalyse und keine Telemetrie über Nutzungsmuster gibt. Wenn maximale Sicherheit gewünscht ist, wird das System offline betrieben oder ausgehende Verbindungen in Router/Firewall blockiert. Dann kann das System keine Nutzungsdaten übertragen, selbst wenn es irgendwo einen Fehler gäbe.
Gehen meine Inhalte jemals nach außen?
Standardmäßig nicht. Inhalte verlassen das System nur, wenn externe Funktionen aktiviert werden, etwa externe KI-Dienste, Tools oder Connectoren. Ein Admin entscheidet, ob solche Anbindungen existieren und welche Datenquellen sie nutzen.
Was passiert, wenn ich Tools, Suche, MCP-Services oder Connectoren aktiviere?
Dann kann Indiebox gezielt mit der Umgebung oder externen Diensten interagieren, genau dafür sind diese Integrationen da. Anbindungen funktionieren nur, wenn sie konfiguriert sind (Ziele, Credentials, Rechte). Damit wird bestimmt, welche Systeme erreichbar sind und welche Daten in Workflows überhaupt auftauchen dürfen.
Wo liegen meine Daten, und wie bekomme ich sie wieder weg?
Die Daten liegen lokal auf der Box, inklusive abgeleiteter Daten wie Indizes. Löschen ist damit eine lokale Betriebsfrage: es wird gesteuert, was gespeichert wird, wie lange es bleibt und wann es entfernt wird.
