Kein Rechtsrat. Die Angaben zu Auftragsverarbeitung und DSGVO geben einen Überblick. Für individuelle Konstellationen bitte einen Datenschutzbeauftragten oder Anwalt einbeziehen.
BYOK steht für Bring Your Own Key. Statt die gebündelten KI-Credits der Plattform zu verwenden, kannst du eigene API-Schlüssel bei den großen KI-Anbietern (OpenAI, Anthropic, Google) hinterlegen. Alle KI-Tools auf der Plattform — Exposé-Generator, Smart-Floorplan, KI-Assistent — laufen dann über deinen eigenen Provider-Account. Die Kosten erscheinen direkt in der Provider-Abrechnung, nicht in den Plattform-Credits.
Hohes Volumen — Wenn dein Büro pro Monat sehr viele KI-Aufrufe erzeugt (Hochvolumen-Tools wie Exposé-Generierung in Serie, automatisierte Lead-Qualifizierung), können die direkten Tarife der Provider günstiger sein als gebündelte Credits. Faustregel: Ab etwa 200 EUR Provider-Kosten pro Monat lohnt sich die Prüfung.
Bestehende Enterprise-Verträge — Manche Büros haben bereits Verträge mit OpenAI oder Anthropic (etwa über OpenAI Business oder Anthropic for Work) mit angepassten Datenschutz-Bestimmungen, eigener Auftragsverarbeitung und garantierter Daten-Lokalität. In dem Fall ist BYOK der einfachste Weg, diese Verträge auch in der Plattform zu nutzen.
Compliance-Anforderungen vom Endkunden — Wenn deine Auftraggeber:innen vorgeben, dass bestimmte Cloud-Provider verwendet werden dürfen (oder ausdrücklich nicht), kannst du die Provider-Wahl pro Tool/Tenant mit BYOK direkt steuern.
Daten-Hoheit — Bei sensiblen Inhalten (z.B. Privatkundeninformationen, Wertgutachten) bietet ein eigener Provider-Account zusätzliche Kontrolle und Transparenz über tatsächlichen Datenfluss.
| Provider | Modelle | Status |
|---|---|---|
| OpenAI | GPT-4, GPT-4-Turbo, GPT-4o | Verfügbar |
| Anthropic | Claude Sonnet, Claude Opus, Claude Haiku | Verfügbar |
| Gemini Pro, Gemini Flash | Verfügbar | |
| Replicate | Bildmodelle (für Visualisierungs-Tools) | Verfügbar |
Weitere Provider werden auf Anfrage geprüft.
Ab diesem Moment laufen alle KI-Aufrufe für diesen Provider über deinen Key, nicht über den Plattform-Pool.
Jeder API-Aufruf, der über einen BYOK-Key läuft, wird im Audit-Log protokolliert:
Das Audit-Log ist unter Einstellungen > Sicherheit > Audit-Log einsehbar und über die Plattform-API abrufbar.
Wir empfehlen, Keys mindestens alle 90 Tage zu rotieren:
Bei vermutetem Leak (Key wurde versehentlich öffentlich, z.B. in einem Screenshot): sofort im Provider-Dashboard widerrufen, dann in der Plattform den Key durch einen neuen ersetzen. Während der kurzen Übergangszeit fällt die Plattform automatisch auf den Plattform-Pool zurück, sodass Tools nicht ausfallen.
Wichtigster Punkt: Mit BYOK wechselt der Verantwortliche für die Auftragsverarbeitung mit dem KI-Provider. Statt der Plattform schließt dein Büro direkt den Vertrag zur Auftragsverarbeitung (AVV) mit OpenAI, Anthropic oder Google.
Das bedeutet konkret:
Solange du den Plattform-Pool nutzt, übernimmt diese Pflichten die Plattform. Sobald du auf BYOK umstellst, verlagert sich die Verantwortung auf dich. Plane dafür ausreichend Vorbereitungszeit ein und kläre mit deinem Datenschutzbeauftragten ab.
Der Wechsel ist jederzeit möglich. Du kannst auch granular pro Provider entscheiden — etwa OpenAI über BYOK laufen lassen, Anthropic und Google weiter über den Plattform-Pool. Aktive Tool-Läufe werden nicht unterbrochen; die Umschaltung greift ab dem nächsten Aufruf.