Vertrauen & Compliance
Caiioo ist eine lokal ausgeführte Software. Wir verarbeiten, speichern oder greifen nicht auf Ihre Daten zu. Die gesamte Verarbeitung erfolgt auf Ihrem Gerät, in Ihrem Browser, unter Ihrer Kontrolle.
ESOF-SicherheitszertifiziertFunktionsweise
Caiioo ist eine lokale Softwareanwendung und ein plattformübergreifendes System, das vollständig auf lokalen Geräten läuft. Im Gegensatz zu SaaS-Plattformen verfügt das Unternehmen über keine Server, die Ihre Gespräche, Prompts, Einstellungen, Ausgaben oder Anhänge empfangen, verarbeiten oder speichern. Alle Verbindungen zu KI-Diensten von Drittanbietern werden direkt von Ihrem Gerät aus unter Verwendung Ihrer Zugangsdaten hergestellt. Wir sind ein Softwarehersteller; unsere einzigen Cloud-Dienste dienen der Lizenzierung und dem verschlüsselten Private Relay.
Datenverarbeitung & Datenschutz
Status als Nicht-Verarbeiter
Caiioo ist eine lokal ausgeführte Softwareanwendung. Im Gegensatz zu SaaS-Plattformen verarbeitet, speichert oder hat das Unternehmen Caiioo keinen Zugriff auf die von der Erweiterung gehandhabten Daten. Die gesamte Datenverarbeitung erfolgt innerhalb der lokalen Browserumgebung des Benutzers.
Im Rahmen der DSGVO ist Caiioo ein Softwarehersteller, kein Auftragsverarbeiter, da wir keine personenbezogenen Daten im Auftrag des Kunden verarbeiten.
Kein Datenexport
Die Erweiterung ist als sichere Hülle konzipiert. Es werden niemals vertrauliche Informationen, Prompts oder personenbezogene Daten an caiioo-Server gesendet.
Die einzigen Daten, die an unsere Systeme übertragen werden, beschränken sich auf nicht-sensible Metadaten zur Abrechnung und Kontoverwaltung: E-Mail, Anzeigename und Avatar.
HIPAA & Regulatorische Compliance
Kein Business Associate
Caiioo erstellt, empfängt, verwaltet oder überträgt keine geschützten Gesundheitsinformationen (PHI) im Sinne von HIPAA. Die Erweiterung fungiert als lokales Werkzeug, ähnlich einem lokalen Texteditor oder Browser.
Da Caiioo (das Unternehmen) niemals routinemäßigen Zugriff auf die vom Benutzer verarbeiteten Daten hat, qualifiziert es sich nicht als Business Associate oder Subunternehmer.
Benutzergesteuerte Konnektivität
Jede Verbindung zu LLMs von Drittanbietern wird direkt vom Gerät des Benutzers aus hergestellt. Caiioo fungiert nicht als Proxy oder Vermittler für diese Datenströme. Ihre API-Keys, Ihre Zugangsdaten, Ihre direkte Verbindung.
Sicherheitsarchitektur
SOC 2 Anwendbarkeit
Caiioo hostet, speichert oder verwaltet keine Kundendaten. Daher ist ein SOC 2 Type II Audit – das sich auf Kontrollen von Cloud-Diensten konzentriert – für unser Geschäftsmodell nicht anwendbar. Unser Sicherheitsfokus liegt auf:
- Code-Integrität – kryptografisch signierte Releases und ein offener Audit-Trail
- Sichere Sandbox – die Browser-Erweiterungsarchitektur erzwingt eine strikte Isolierung
DSGVO-Konformität
Wir sind durch Datensparsamkeit und Privacy by Design vollständig DSGVO-konform. Indem wir sicherstellen, dass wir niemals personenbezogene Daten erhalten, eliminieren wir die Risiken im Zusammenhang mit der Datenresidenz und internationalen Datentransfers.
- Datensparsamkeit – wir erfassen lediglich E-Mail, Name und Avatar zur Kontoidentifizierung
- Privacy by Design – die Architektur macht es uns unmöglich, auf Ihre Daten zuzugreifen
Caiioo ist eine Zero-Entry-Point-Client-Anwendung. Durch die vollständige Ausführung innerhalb der sicheren Sandbox des Browsers und das Initiieren ausschließlich ausgehender, vom Benutzer autorisierter Verbindungen zu bestehenden SaaS-Anbietern liefert Caiioo KI-Funktionen, ohne die externe Angriffsfläche der Organisation zu vergrößern.
Architektonische Sicherheitsprinzipien
Die Architektur von Caiioo eliminiert ganze Kategorien von Risiken durch Design.
Keine Vergrößerung der Angriffsfläche
Caiioo fungiert nicht als Server – es ist ein clientseitiger Agent. Die Erweiterung öffnet keine Ports auf dem Gerät des Benutzers oder der Unternehmens-Firewall. Verbindungen zu Google Workspace oder Cloud-LLMs werden ausgehend vom Browser initiiert, unter Verwendung derselben HTTPS/TLS-Protokolle, die bereits von der Organisation genehmigt wurden. Da keine „Caiioo Cloud“ als Proxy fungiert, kann ein Angreifer die Infrastruktur von Caiioo nicht kompromittieren, um Zugriff auf das interne Netzwerk des Kunden zu erhalten.
Die sichere Hülle
Caiioo arbeitet innerhalb der Chrome/Edge-Erweiterungs-Sandbox. Dies bietet Prozessisolation – die Software kann nicht auf das Dateisystem des Benutzers oder andere Anwendungen außerhalb des Browsers zugreifen – und Berechtigungsscoping, wobei die Erweiterung nur mit den spezifischen Webseiten und APIs interagiert, die vom Benutzer explizit freigegeben wurden.
Non-Custodial Datenfluss
Caiioo (das Unternehmen) ist niemals am Datenaustausch beteiligt. Im Standardmodell fließen die Daten direkt vom Browser zum LLM-Anbieter. Im lokalen Modell verlassen die Daten niemals das Gerät des Benutzers. In beiden Szenarien verarbeiten die Server von Caiioo nur Metadaten zum Abonnementstatus – niemals den Inhalt von Prompts oder Dokumenten.
Bereitstellungsmodelle
Standard (Hybrid Cloud)
Browser verbindet sich direkt mit Cloud-KI-Anbietern und Google Workspace. caiioo-Auth empfängt nur Abrechnungsmetadaten.
Air-Gapped (Vollständig lokal)
Die gesamte KI-Verarbeitung erfolgt über einen lokalen Ollama-Server. Die einzige ausgehende Verbindung dient der Lizenzvalidierung. Null Datenexport.
Überprüfen Sie es selbst
Die Datenschutzversprechen auf dieser Seite sind strukturell – sie gelten aufgrund der Art und Weise, wie der Code geschrieben ist, nicht wegen unserer Versprechen. Wir haben die sicherheitskritischen Dateien in einem öffentlichen Repository veröffentlicht, damit jeder sie lesen, prüfen oder referenzieren kann.
Sicherheitskritischen Code auf GitHub lesenWas sich im öffentlichen Repository befindet
- Das OAuth-Verbindungsmodul – beweist, dass Google Workspace OAuth-Token verschlüsselt auf Ihrem Gerät gespeichert werden, nicht auf unseren Servern.
- Das WebSocket Durable Object des Relays – beweist, dass der Message Bus Ende-zu-Ende verschlüsselt ist; wir leiten Chiffretexte weiter, können sie aber nicht lesen.
- Der OAuth-Code-Exchange-Handler – beweist, dass es sich um einen zustandslosen Proxy handelt, der keine Token speichert.
- Das vollständige Datenbank-Schema und die Migrationen – beweist, welche Spalten wir haben und, was noch wichtiger ist, welche wir nicht haben.
- Eine ARCHITECTURE.md-Erläuterung – führt jedes Datenschutzversprechen auf eine spezifische Datei und Zeile zurück.
Was sich nicht im öffentlichen Repository befindet
Der agentische Orchestrator, die Seitenleisten-UI, die Modi und Prompts, interne Admin-Tools und die Deployment-Skripte bleiben proprietär. Sie sind für die Datenschutzversprechen nicht tragend, und deren Offenlegung ist eine separate Entscheidung.
Überwachen Sie den tatsächlichen Netzwerkverkehr
Wenn das Lesen von Code nicht Ihre bevorzugte Verifizierungsmethode ist, führen Sie während der Nutzung von Caiioo einen Netzwerkmonitor aus (Little Snitch auf macOS, GlassWire auf Windows, Wireshark überall). Ihre Workspace-Daten fließen von Ihrem Gerät zu Google, Punkt. Der Datenverkehr zu unserer Infrastruktur umfasst eine kleine, aufzählbare Liste von Vorgängen: OAuth-Code-Austausch, Lizenzvalidierung, Abrufen von Inhalten, der verschlüsselte Gerät-zu-Gerät-Nachrichtenbus und Opt-in-Messaging-Webhooks. Keiner dieser Vorgänge überträgt Ihre Workspace-Inhalte.
Vollständige Traffic-Tabelle in unserem Blog-Post ansehen →Sicherheitsproblem gefunden?
Wir betrachten Sicherheitsforscher als Partner. Senden Sie eine E-Mail an [email protected] oder lesen Sie die vollständige Offenlegungsrichtlinie in der Datei SECURITY.md im Transparenz-Repo. Wir verpflichten uns zu einer Bestätigung innerhalb von zwei Werktagen.
Datenfluss-Architektur
Verstehen Sie, wo Ihre Daten liegen und wer darauf zugreifen kann.
Ihr Gerät
- Konversationen & Verlauf
- API-Keys & Zugangsdaten
- Einstellungen & Präferenzen
- Dateien & Anhänge
Direktverbindung
Ihr Gerät verbindet sich direkt mit KI-Anbietern (OpenRouter, Ollama, Google usw.) unter Verwendung Ihrer Zugangsdaten. Caiioo befindet sich niemals in der Mitte dieser Verbindung.
caiioo-Server
- Keine Konversationsdaten
- Keine personenbezogenen Informationen
- Nur Abrechnungs-Metadaten
Caiioo v. KI-Cloud-Dienste
Weniger Zwischenstationen, keine permanenten externen Kopien sowie lokale Speicherung und Verarbeitung bedeuten weniger Angriffsflächen.
Sie
SaaS-Plattform (Zentralisiert)
Integrations-Vermittler
Interne KI-Pipeline (für Sie verborgen)
Jeder Hop = eine weitere Kopie Ihrer Daten außerhalb Ihrer Kontrolle
auf Servern, die Sie nicht kontrollieren
- Deren zentraler Datenbank
- Deren Trainings-Pipeline
- Deren Analyse-Systemen
- Den Protokollen ihrer Unterauftragsverarbeiter
- Den Systemen ihrer Partner
- Unbekannten nachgelagerten Diensten
Sie
Ihr Gerät (Local-First)
Option A: Lokal (Ollama)
Bleibt innerhalb der Gerätezugriffsbeschränkung
Option B: OpenRouter (ZDR)
Prompt rein → Antwort raus → Nichts gespeichert.
Nur aktueller Prompt gesendet (stateless). Vertraglich garantiert.
Extern — verlässt die Gerätezugriffsbeschränkung
BYOA — Bring Your Own Account
auf fremden Servern
- Ihrem Gerät
Keine Logs. Keine Speicherung. Kein Training.
Vertraglich durchgesetzt von OpenRouter.
Der ZDR-Filter von Caiioo stellt sicher, dass nur
ZDR-konforme Modelle angezeigt werden.
Konkreter Risikovergleich: Angriffsfläche nach Szenario
| Risikoszenario | Traditionelles SaaS | Caiioo | Angriffsfläche |
|---|---|---|---|
| Zentralisierte Datenpanne Angreifer kompromittiert Server-Infrastruktur | ✘ Chats, Dateien und persönliche Daten von Millionen von Nutzern werden in einem einzigen Ereignis offengelegt. Zentralisierte DB = Jackpot-Ziel. | ✔ Es existiert kein zentraler Speicher, der gehackt werden könnte. Die Daten jedes Nutzers liegen nur auf seinem Gerät. Das Risiko für das einzelne Gerät bleibt bestehen, aber es gibt keine Massenexposition. | ● HOCHvs.● MINIMAL |
| Datenaufbewahrung in der KI-Pipeline Ihre Prompts werden in Anbieter-Logs gespeichert | ✘ SaaS speichert Prompts 30–90+ Tage zur „Dienstverbesserung“. Auch Unterauftragsverarbeiter können Daten speichern. | ✔ OpenRouter erzwingt ZDR — keine Log-Speicherung, kein Speicherplatz. Lokale Modelle speichern nichts.* | ● HOCHvs.● MINIMAL |
| Leck in der Lieferkette / beim Unterauftragsverarbeiter Datenweitergabe an Drittanbieter-KI ohne Zustimmung | ✘ SaaS kann Daten über unbekannte Unterauftragsverarbeiter leiten. Keine ZDR-Garantien in der weiteren Kette. | ✔ Das ZDR von OpenRouter deckt alle Anbieter ab, die bei aktiviertem ZDR-Filter angezeigt werden. Lokale Modelle haben keine Netzwerkexposition. | ● HOCHvs.● MINIMAL |
| Modelltraining mit Ihren Daten Private Konversationen werden zum Training der KI verwendet | ✘ Opt-out in den Einstellungen vergraben, bei Consumer-Tarifen oft standardmäßig aktiviert. Unterauftragsverarbeiter könnten mit gespeicherten Daten trainieren. | ✔ ZDR-Anbieter haben keine Daten zum Trainieren. API-Traffic ist vertraglich ausgeschlossen. Lokale Modelle verlassen das Gerät nie. | ● HOCHvs.● MINIMAL |
| Spearphishing / Identitätsangriffe Geleakte KI-Konversationen befeuern gezielte Angriffe | ✘ Geleakte Chats offenbaren Interessen, Zeitpläne, Kontakte und Schreibstil — ideal für gezieltes Phishing. | ✔ Kein serverseitiger Speicher = keine Massendaten für Angreifer. Es findet eine kurze Verarbeitung während der Übertragung statt, aber es gibt keine dauerhaften Daten zum Exfiltrieren. | ● HOCHvs.● MINIMAL |
| Verhaltens- und Nutzungsprofiling Nutzungsdaten werden zu Profilen aggregiert | ✘ Datenschutzrichtlinien erlauben in der Regel Nutzungsanalysen, Datenaustausch mit Partnern und Verhaltensprofiling. | ✔ Keine Analytics-Pipeline. Kein Partnerzugriff. Keine gespeicherten Protokolle. Caiioo verarbeitet lokal; OpenRouter speichert keine Gespräche. | ● HOCHvs.● MINIMAL |
| Staatliche / Rechtliche Anfragen Vorladungen, Durchsuchungsbeschlüsse und Massendatenabfragen | ✘ Unternehmen müssen kooperieren. Gespeicherte Logs und Aufzeichnungen von Unterauftragsverarbeitern können alle herausverlangt werden. | ✔ Keine serverseitigen Daten für Vorladungen — ZDR-Anbieter speichern nichts. Private Sync ist Ende-zu-Ende verschlüsselt. | ● HOCHvs.● MINIMAL |
| Einseitige Richtlinien- / AGB-Änderungen Unternehmen weitet Datennutzung rückwirkend aus | ✘ Sie besitzen Ihre Daten. Rückwirkende AGB können die Nutzung auf Training, Werbung oder Weitergabe ausweiten. | ✔ Caiioo besitzt keine Daten zur Monetarisierung. ZDR-Anbieter speichern nichts. Richtlinienänderungen können nichts beeinflussen, was nie gespeichert wurde. | ● HOCHvs.● MINIMAL |
* Diese Tabelle setzt voraus, dass der ZDR-Filter von Caiioo aktiviert ist. Wenn der ZDR-Modus aktiviert ist, zeigt Caiioo nur KI-Modelle an, für die OpenRouter vertraglich eine Null-Datenspeicherung (Zero Data Retention) erzwingt – Anbieter, die kein ZDR anbieten, werden automatisch aus der Modellliste ausgeschlossen.
DER KERNUNTERSCHIED
Traditionelles SaaS schafft einen zentralisierten Honeypot aus intimen Daten und leitet diese dann durch eine undurchsichtige Kette von Unterauftragsverarbeitern ohne Garantien für Null-Daten-Speicherung.
Caiioo behält Daten auf Ihrem Gerät, führt KI lokal über Ollama aus oder leitet Aufrufe über das ZDR-Gateway von OpenRouter und verbindet sich mit Tools direkt mit Ihren eigenen Zugangsdaten (BYOA) – so wird sichergestellt, dass keine dauerhaften Kopien Ihrer Daten auf irgendeinem Server existieren.
Wie schützt Caiioo meine Privatsphäre?
Caiioo wurde von Grund auf als datenschutzorientierte Agenten-Plattform konzipiert. Hier sind die konkreten Schutzmaßnahmen, die in jeder Ebene des Produkts integriert sind.
Caiioo wurde von Fellows of Information Privacy (FIP), CISSP-zertifizierten Sicherheitsexperten, CIPP-zertifizierten Datenschutzexperten und AIGP-zertifizierten KI-Governance-Experten in Abstimmung mit Datenschutzbeauftragten entwickelt – was es zur ersten echten Privacy-by-Design-Agenten-Plattform macht, die von Grund auf neu entwickelt wurde.
| # | Datenschutzprinzip | Umsetzung | Funktionsweise |
|---|---|---|---|
| 1 | Datenminimierung | Radikale Datenminimierung | Wir erfassen lediglich Ihre E-Mail-Adresse und Ihren Anzeigenamen für die Abrechnung. Keine Nutzungsdaten, kein Browserverlauf, keine Gesprächsinhalte, keine Analysen – sonst nichts. Niemals. |
| 2 | Transparenz & Einwilligung | Just-in-Time-Zustimmung für Aktionen | Bevor die KI eine folgenschwere Aktion ausführt oder eine Verbindung zu einem externen Drittanbieter herstellt, zeigt Caiioo eine klare Benachrichtigung mit Absicht, Aktionsdetails und Risikostufe an – was Ihre ausdrückliche Zustimmung erfordert. |
| 3 | Datenübertragbarkeit | Vollständige Datenübertragbarkeit | Ihre Daten gehören Ihnen und können jederzeit über das integrierte Backup- und Wiederherstellungssystem exportiert werden. Es gibt keinen Lock-in-Effekt – nehmen Sie Ihre Gespräche, Einstellungen und Konfigurationen einfach mit. |
| 4 | Vertraulichkeit & Integrität | Zero-Knowledge verschlüsselte Private Sync | AES-256-GCM-Verschlüsselung mit PBKDF2-Schlüsselableitung (100.000 Iterationen). Die Daten werden in Ihrem Google Drive gespeichert, so verschlüsselt, dass selbst Google sie nicht lesen kann. Wenn Sie Ihr Passwort verlieren, können auch wir es nicht wiederherstellen. |
| 5 | Zweckbindung | Keine Analysen & Telemetrie | Keine Analyse-Dienste, keine Tracking-Pixel, keine Datensammlung oder Fehlerberichte, die nach Hause telefonieren. Wir haben keinerlei Einblick in Ihre Nutzung des Produkts. |
| 6 | Einwilligung & Transparenz | Inkrementelle Berechtigungsanfragen | OAuth-Berechtigungen werden erst angefordert, wenn Sie eine Funktion zum ersten Mal nutzen – nicht im Voraus. Jedes Mal mit einer klaren Erklärung, was angefordert wird und warum. |
| 7 | Recht auf Löschung (Art. 17) | Recht auf Löschung | Umfassende Löschwerkzeuge, von präzisen Einzeländerungen bis zur vollständigen Bereinigung. Löschen Sie einzelne Chats, leeren Sie Caches oder entfernen Sie alle Daten – Sie behalten die Kontrolle. |
| 8 | Speicherbegrenzung | Wichtiges behalten, Rest verwerfen | Im Gegensatz zu Plattformen, die eine Alles-oder-Nichts-Löschung erzwingen, können Sie bei Caiioo markieren, was behalten werden soll, und den Rest automatisch verwerfen. Konfigurierbare Aufbewahrungsrichtlinien bereinigen angesammelte Daten im Laufe der Zeit. |
| 9 | Privacy by Design & Default | Local-First-Architektur | Führen Sie KI-Modelle lokal mit Ollama aus, nutzen Sie On-Device-Spracherkennung (Whisper) sowie TTS (Kokoro) und speichern Sie alles lokal. Vollständiger Offline-Betrieb – es müssen keinerlei Daten Ihr Gerät verlassen. |
| 10 | Speicherbegrenzung | Modellauswahl mit Zero Data Retention | Filtern und wählen Sie KI-Modelle mit ZDR-Richtlinien – der Anbieter verarbeitet Ihre Anfrage und verwirft sie sofort. Kein Logging, kein Training, keine Speicherung. |
| 11 | Betroffenenrechte | Granulare Standortkontrolle | Wählen Sie zwischen deaktivierter Standortfreigabe, Stadt-Ebene oder vollständiger Adresse. Mit einem Klick deaktivierbar – alle zwischengespeicherten Standortdaten werden sofort und unwiderruflich gelöscht. |
| 12 | Transparenz | Transparente KI-Aktionen | Jedes Tool, das Daten schreiben, ändern, senden oder löschen kann, erfordert Ihre ausdrückliche Zustimmung. Read-only-Tools (Suchen, Browsen, Zusammenfassen) laufen ohne Unterbrechung. Sie sehen die Absicht, Aktionsdetails und das Risikoniveau, bevor etwas mit Nebenwirkungen ausgeführt wird. Nichts Wesentliches ist verborgen oder erfolgt automatisch. |
Fragen zu unseren Sicherheitsstandards?
Lesen Sie unsere vollständige Datenschutzrichtlinie für detaillierte Informationen darüber, wie Daten durch die Erweiterung fließen, oder legen Sie noch heute mit Caiioo los.