REOSA Docs LogoREOSADocs
Anmelden
REOSA Docs
§ 01 · BYOK — Bring Your Own Key

BYOK — Bring Your Own Key

Eigene KI-Provider-Schlüssel (OpenAI, Anthropic, Google) für mehr Kontrolle und ggf. günstigere Kosten einbinden.

Kein Rechtsrat. Die Angaben zu Auftragsverarbeitung und DSGVO geben einen Überblick. Für individuelle Konstellationen bitte einen Datenschutzbeauftragten oder Anwalt einbeziehen.


Was bedeutet BYOK?

BYOK steht für Bring Your Own Key. Statt die gebündelten KI-Credits der Plattform zu verwenden, kannst du eigene API-Schlüssel bei den großen KI-Anbietern (OpenAI, Anthropic, Google) hinterlegen. Alle KI-Tools auf der Plattform — Exposé-Generator, Smart-Floorplan, KI-Assistent — laufen dann über deinen eigenen Provider-Account. Die Kosten erscheinen direkt in der Provider-Abrechnung, nicht in den Plattform-Credits.


Wann ist BYOK sinnvoll?

Hohes Volumen — Wenn dein Büro pro Monat sehr viele KI-Aufrufe erzeugt (Hochvolumen-Tools wie Exposé-Generierung in Serie, automatisierte Lead-Qualifizierung), können die direkten Tarife der Provider günstiger sein als gebündelte Credits. Faustregel: Ab etwa 200 EUR Provider-Kosten pro Monat lohnt sich die Prüfung.

Bestehende Enterprise-Verträge — Manche Büros haben bereits Verträge mit OpenAI oder Anthropic (etwa über OpenAI Business oder Anthropic for Work) mit angepassten Datenschutz-Bestimmungen, eigener Auftragsverarbeitung und garantierter Daten-Lokalität. In dem Fall ist BYOK der einfachste Weg, diese Verträge auch in der Plattform zu nutzen.

Compliance-Anforderungen vom Endkunden — Wenn deine Auftraggeber:innen vorgeben, dass bestimmte Cloud-Provider verwendet werden dürfen (oder ausdrücklich nicht), kannst du die Provider-Wahl pro Tool/Tenant mit BYOK direkt steuern.

Daten-Hoheit — Bei sensiblen Inhalten (z.B. Privatkundeninformationen, Wertgutachten) bietet ein eigener Provider-Account zusätzliche Kontrolle und Transparenz über tatsächlichen Datenfluss.


Wann macht BYOK keinen Sinn?

  • Niedriges Volumen — Gebündelte Credits sind dank Mengenrabatten in der Regel günstiger.
  • Geringe IT-Affinität — Provider-Accounts, Billing-Limits und Key-Rotation bedeuten zusätzlichen Verwaltungsaufwand.
  • Compact-Tarif — BYOK ist nicht verfügbar. Verfügbar ab Standard-Tarif aufwärts.

Unterstützte Provider

ProviderModelleStatus
OpenAIGPT-4, GPT-4-Turbo, GPT-4oVerfügbar
AnthropicClaude Sonnet, Claude Opus, Claude HaikuVerfügbar
GoogleGemini Pro, Gemini FlashVerfügbar
ReplicateBildmodelle (für Visualisierungs-Tools)Verfügbar

Weitere Provider werden auf Anfrage geprüft.


Schritt für Schritt: Key hinterlegen

  1. Gehe zu Einstellungen > KI-Provider.
  2. Wähle den Provider aus der Liste (z.B. OpenAI).
  3. Klicke auf Eigenen Key hinzufügen.
  4. Trage den API-Key ein. Vergib zur Übersicht einen Namen, etwa "OpenAI Büro-Hauptaccount".
  5. Optional: setze ein monatliches Ausgabenlimit (z.B. 500 EUR). Bei Überschreitung schaltet die Plattform automatisch zurück auf den Plattform-Pool und benachrichtigt dich.
  6. Klicke auf Test-Request abschicken. Die Plattform sendet einen minimalen Probe-Aufruf und meldet das Ergebnis.
  7. Aktiviere den Key mit dem Schalter Als aktiven Schlüssel verwenden.

Ab diesem Moment laufen alle KI-Aufrufe für diesen Provider über deinen Key, nicht über den Plattform-Pool.


Was die Plattform mit dem Key macht

  • Tools rufen den Provider direkt über deinen Key auf — die Plattform leitet den Request technisch durch, ohne die KI-Antwort selbst zwischenzuspeichern (außer du aktivierst explizit Caching).
  • Cost-Tracking erscheint in deinem Provider-Dashboard, nicht im Plattform-Credit-Konto. Plattform-Credits werden für diese Aufrufe nicht abgezogen.
  • Im Plattform-Dashboard siehst du weiterhin unter Einstellungen > KI-Provider > Nutzung, wie viele Requests pro Tool und Nutzer abgesetzt wurden — ohne die EUR-Beträge, die der Provider direkt mit dir abrechnet.

Sicherheit

  • Schlüssel werden verschlüsselt at-rest in der Datenbank gespeichert (AES-256, separate Encryption-Key-Verwaltung).
  • Entschlüsselung erfolgt nur im Moment des API-Aufrufs im Backend. Der Klartext-Key verlässt das Backend nicht und ist niemals im Frontend sichtbar.
  • Nach dem ersten Speichern wird der Key in der Oberfläche maskiert (nur die letzten vier Zeichen bleiben sichtbar).
  • Nur Nutzer mit der Rolle Admin können Keys einsehen, ändern oder löschen.

Audit und Nachvollziehbarkeit

Jeder API-Aufruf, der über einen BYOK-Key läuft, wird im Audit-Log protokolliert:

  • Zeitpunkt
  • Nutzer:in (welcher Account hat das Tool ausgeführt)
  • Tool / Modul
  • Provider und Modell
  • Token-Verbrauch (Eingabe und Ausgabe)
  • HTTP-Status / Fehlercode

Das Audit-Log ist unter Einstellungen > Sicherheit > Audit-Log einsehbar und über die Plattform-API abrufbar.


Rotation und Notfall-Widerruf

Wir empfehlen, Keys mindestens alle 90 Tage zu rotieren:

  1. Neuen Key beim Provider generieren.
  2. Im Plattform-Dashboard unter dem bestehenden Eintrag auf Key ersetzen klicken und den neuen Wert eintragen.
  3. Test-Request ausführen.
  4. Den alten Key im Provider-Dashboard widerrufen.

Bei vermutetem Leak (Key wurde versehentlich öffentlich, z.B. in einem Screenshot): sofort im Provider-Dashboard widerrufen, dann in der Plattform den Key durch einen neuen ersetzen. Während der kurzen Übergangszeit fällt die Plattform automatisch auf den Plattform-Pool zurück, sodass Tools nicht ausfallen.


DSGVO und Auftragsverarbeitung

Wichtigster Punkt: Mit BYOK wechselt der Verantwortliche für die Auftragsverarbeitung mit dem KI-Provider. Statt der Plattform schließt dein Büro direkt den Vertrag zur Auftragsverarbeitung (AVV) mit OpenAI, Anthropic oder Google.

Das bedeutet konkret:

  • Du als Tenant musst sicherstellen, dass mit dem Provider ein gültiger AVV nach Art. 28 DSGVO besteht. Die Provider stellen entsprechende Vertrags-Templates bereit.
  • Du musst die Datenverarbeitung im Verzeichnis von Verarbeitungstätigkeiten dokumentieren.
  • Du musst gegenüber Endkunden korrekt über die Datenverarbeitung informieren (z.B. in der Datenschutzerklärung deiner Website).
  • Bei Anfragen von Betroffenen (Auskunft, Löschung) bist du primärer Ansprechpartner — die Plattform unterstützt mit Logs und Export-Funktionen.

Solange du den Plattform-Pool nutzt, übernimmt diese Pflichten die Plattform. Sobald du auf BYOK umstellst, verlagert sich die Verantwortung auf dich. Plane dafür ausreichend Vorbereitungszeit ein und kläre mit deinem Datenschutzbeauftragten ab.


Wechseln zwischen BYOK und Plattform-Pool

Der Wechsel ist jederzeit möglich. Du kannst auch granular pro Provider entscheiden — etwa OpenAI über BYOK laufen lassen, Anthropic und Google weiter über den Plattform-Pool. Aktive Tool-Läufe werden nicht unterbrochen; die Umschaltung greift ab dem nächsten Aufruf.