Enterprise
Zero-Retention-Modellverträge, einfach erklärt
Kundencode wird nie zum Training eines Modells verwendet, und Inferenz läuft unter Zero-Retention-Verträgen — Verpflichtungen, die dein Rechtsteam in den tatsächlichen Dokumenten liest, nicht auf einem Abzeichen.
Zero-Retention-Modellverträge sind Vereinbarungen zwischen Ciao und seinen Modellanbietern, unter denen Inferenzdaten vom Anbieter nicht aufbewahrt werden, und Kundencode wird nie zum Training von Modellen verwendet. Anders als Verbraucher-KI-Tools, deren Standardbedingungen Training an Nutzerinhalten erlauben können, macht Ciao beide Verpflichtungen vertraglich und prüfbar — dein Rechts- und Sicherheitsteam verifiziert die Sprache während der Beschaffung, statt einer Marketingseite zu vertrauen.
Veröffentlicht 2026-07-03 · Zuletzt aktualisiert 2026-07-03
Die Frage, die jede Prüfung zuerst stellt
Wenn ein Unternehmen ein KI-Entwicklungstool evaluiert, kommt eine Frage vor allen anderen: Wohin geht unser Code, und was passiert dort mit ihm? Der Quellcode, der durch eine KI-Plattform fließt, ist oft das konzentrierteste geistige Eigentum des Unternehmens — Geschäftslogik, Preisregeln, Sicherheitsannahmen. Wenn Fragmente davon in einem Trainingskorpus landen, gibt es keinen Rückrufmechanismus. Die Exposition ist permanent und nicht quantifizierbar, genau die Art von Risiko, für deren Ablehnung Rechtsteams bezahlt werden.
Der Markt hat diese Frage schwieriger gemacht, als sie sein sollte. Aufbewahrungs- und Trainingsrichtlinien unterscheiden sich zwischen Verbraucher- und Enterprise-Stufen desselben Produkts, ändern sich mit der Zeit und werden manchmal in Blogbeiträgen statt in Verträgen beschrieben. Ein Sicherheitsprüfer kann kein Datenfluss-Diagramm aus beruhigenden Sätzen bauen.
Ciaos Position ist kurz und vertraglich: Kundencode wird nicht zum Training von Modellen verwendet, und Inferenz läuft unter Zero-Retention-Modellverträgen mit den Anbietern hinter der Plattform. Beide Verpflichtungen leben in Dokumenten, die dein Team lesen kann, neben dem SOC 2 Type II Bericht unter NDA, statt in Texten, die sich nach deiner Unterschrift ändern könnten.
Was die Verpflichtungen abdecken
- Kein Training auf Kundencode — Kundencode wird nicht zum Training von Modellen verwendet — weder Ciaos noch dem der Anbieter. Deine Geschäftslogik wird nicht zu den Modellgewichten von irgendjemandem.
- Zero-Retention-Inferenz — Inferenz läuft unter Zero-Retention-Modellverträgen, sodass Prompt- und Codeinhalte, die zur Inferenz gesendet werden, beim Anbieter vertraglichen Nichtaufbewahrungs-Bedingungen unterliegen.
- Vertraglich, nicht konfigurativ — Das sind Bedingungen in Vereinbarungen, prüfbar während der Beschaffung — keine Einstellungen, die ein Standard-Reset oder ein Produkt-Update still umkippen könnte.
- Konsistent über die gesamte Modellleiter — Ciao betreibt eine Multi-Provider-Modellleiter mit Fallback, und die Zero-Retention-Haltung ist Teil davon, wie Anbieter teilnehmen — Anbietervielfalt verwässert die Datenverpflichtung nicht.
- Kompatibel mit dem Mitbringen des eigenen Modells — Teams mit eigenen Anbietervereinbarungen können ihre eigenen Keys und OpenAI-kompatiblen Endpunkte mitbringen und Inferenz unter den Bedingungen halten, die ihre Rechtsberatung bereits ausgehandelt hat.
- Zuordenbare Nutzung — Das unveränderliche Audit-Protokoll erfasst Prompts, Merges, Deploys und administrative Aktionen, sodass für Prüfer rekonstruierbar ist, was gesendet, geändert und ausgeliefert wurde.
Wie man das während der Beschaffung verifiziert
1. Die Dokumentensammlung anfordern
Fordere über die Kontaktseite das Security-Pack und die Datenhandhabungs-Bedingungen an. Die Zero-Retention- und Kein-Training-Verpflichtungen stehen dort in Vertragssprache.
2. Recht vor die Klauseln stellen
Deine Rechtsberatung prüft die tatsächlichen Bedingungen — Aufbewahrung, Training, Unterauftragsverarbeitung — während der Beschaffung, genau wie sie jeden Auftragsverarbeitungsvertrag prüfen würde.
3. Mit dem Audit querprüfen
SOC 2 Type II Berichte sind unter NDA verfügbar und geben deinem Team einen unabhängigen Bericht darüber, wie die Kontrollen der Plattform über die Zeit funktionieren.
4. Mit deinem AVV abgleichen
Der DSGVO-Auftragsverarbeitungsvertrag deckt Verarbeitungsumfang und Unterauftragsverarbeiter ab, sodass die Modellanbieter-Schicht in deinen Compliance-Unterlagen erscheint, nicht außerhalb davon.
5. Deine Modellkonfiguration entscheiden
Bleib bei Ciaos vertraglich gebundenen Anbietern, oder bring deine eigenen Keys und Endpunkte mit — so oder so ist die Aufbewahrungshaltung explizit, bevor Produktionsarbeit beginnt.
Warum das in einem KI-SDLC noch mehr zählt
Ein Code-Vervollständigungs-Plugin sieht Fragmente. Eine KI-SDLC-Plattform sieht den gesamten Delivery-Loop: in einfacher Sprache formulierte Anforderungen, vollständigen Anwendungscode, Testverhalten, Deployment-Konfiguration. Diese Breite ist es, was die Plattform nützlich macht — und weshalb die Datenbedingungen hier mehr Prüfung verdienen als irgendwo sonst in deinem KI-Tooling-Stack. Eine Zero-Retention-Haltung auf der Modellschicht, kombiniert mit Governance auf der Merge-Schicht, ist das, was ein Sicherheitsteam „Ja“ zu dieser Breite sagen lässt: Guardrails wendet Richtlinien in einfacher Sprache an und protokolliert menschliche Prüfung, sodass derselbe Kreislauf, der alles sieht, auch alles nachweist.
Die Haltung vereinfacht auch deine eigene nachgelagerte Geschichte. Wenn deine Organisation Software verkauft, werden die Sicherheitsteams deiner Kunden dir irgendwann die Fragen stellen, die du jetzt stellst; eine dokumentierte Kein-Training-, Zero-Retention-Kette auf der Modellschicht gibt deinen Fragebogen-Antworten ein sauberes Fundament statt eines Stapels Ausnahmen.
Kommerziell sind diese Bedingungen Teil des Standard-Enterprise-Engagements statt eines Premium-Add-ons. Ernsthafte Produktionsprogramme beginnen bei 10.000 USD pro Jahr, und die Datenhandhabungs-Bedingungen gelten für die geprüfte Plattform — fordere das Security-Pack an, um den Papierkram zu beginnen.
Was ein Prüfer jeden KI-Entwicklungsanbieter fragen sollte
| Frage | Ciaos Antwort | Wo man es verifiziert |
|---|---|---|
| Wird unser Code zum Training von Modellen verwendet? | Nein — Kundencode wird nicht zum Training von Modellen verwendet | Vertragsbedingungen während der Beschaffung |
| Werden Inferenzdaten von Modellanbietern aufbewahrt? | Inferenz läuft unter Zero-Retention-Modellverträgen | Vertragsbedingungen während der Beschaffung |
| Ändert Anbieter-Fallback die Bedingungen? | Die Multi-Provider-Leiter arbeitet innerhalb derselben Haltung | Security-Pack, auf Anfrage |
| Können wir unsere eigenen Anbietervereinbarungen nutzen? | Ja — eigene Keys und OpenAI-kompatible Endpunkte | Scoping mit dem Enterprise-Team |
| Gibt es unabhängige Audit-Nachweise? | SOC 2 Type II | Bericht unter NDA über /contact |
Häufig gestellte Fragen
Bedeutet Zero Retention, dass Ciao überhaupt nichts speichert?
Zero Retention beschreibt die Modellanbieter-Verträge: Inferenzinhalte werden von Anbietern nicht aufbewahrt, und Kundencode wird nie zum Training von Modellen verwendet. Die Plattform selbst speichert notwendigerweise deinen Projektcode und sein unveränderliches Audit-Protokoll — das ist deine Anwendung und dein Nachweis, unter den Bedingungen im AVV und Security-Pack.
Können wir die Verpflichtungen schriftlich bekommen, bevor wir kaufen?
Ja — das ist der Sinn. Die Kein-Training- und Zero-Retention-Verpflichtungen sind Vertragssprache, die während der Beschaffung geprüft wird, und SOC 2 Type II Berichte sind unter NDA verfügbar. Fordere das Security-Pack über die Kontaktseite an, um zu beginnen.
Gelten die Bedingungen, wenn die Modellleiter auf einen anderen Anbieter zurückfällt?
Ja. Die Multi-Provider-Modellleiter mit Fallback reduziert die Abhängigkeit von einem einzelnen Anbieter, und die Zero-Retention-Haltung ist Teil davon, wie Anbieter daran teilnehmen, statt eine Eigenschaft eines einzelnen bevorzugten Anbieters zu sein.
Wir haben bereits Zero-Retention-Bedingungen mit einem Modellanbieter. Können wir diese nutzen?
Ja. Bring deine eigenen Keys mit oder verbinde einen OpenAI-kompatiblen Endpunkt, und Inferenz für deine Workspaces läuft unter der Vereinbarung, die deine Rechtsberatung bereits ausgehandelt hat. Siehe die Eigenes-LLM-Seite dafür, wie das eingegrenzt wird.
Wie interagiert das mit der DSGVO?
Der DSGVO-Auftragsverarbeitungsvertrag deckt Verarbeitungsumfang, Unterauftragsverarbeiter und Übertragungsmechanismen ab, und die Modellanbieter-Verpflichtungen sitzen innerhalb dieses Rahmens. Dein Datenschutzteam prüft den AVV und die Datenhandhabungs-Bedingungen gemeinsam während der Beschaffung.