News · OpenAI veröffentlicht Privacy Filter, ein offenes PII-Redaktionsmodell unter Apache 2.0
OpenAI veröffentlicht Privacy Filter, ein offenes PII-Redaktionsmodell unter Apache 2.0
Ein Token-Klassifikator mit 1,5 Mrd. Parametern zur Maskierung personenbezogener Daten, der lokal läuft und auf Hugging Face und GitHub bereitgestellt wurde.
Ein diskriminatives Modell von einem Unternehmen, das für generative Modelle bekannt ist
OpenAI veröffentlichte Privacy Filter am 22. April 2026 als offenes Modell zur Erkennung und Redaktion personenbezogener Daten in Text. Es ist unter der Apache-2.0-Lizenz auf Hugging Face und GitHub verfügbar und für Experimente, Anpassungen und den kommerziellen Einsatz freigegeben.
Bemerkenswert ist die Art des Modells. OpenAI beschreibt ein bidirektionales Token-Klassifikationsmodell mit Span-Decoding. Es geht von einem autoregressiv vortrainierten Checkpoint aus, ersetzt dann den Sprachmodellierungs-Kopf durch einen Token-Klassifikations-Kopf und wird mit einem überwachten Klassifikationsziel nachtrainiert. Statt Text Token für Token zu generieren, markiert es jedes Token in einem einzigen Vorwärtsdurchlauf und dekodiert zusammenhängende Abschnitte mit einem eingeschränkten Viterbi-Verfahren.
Das ist eine andere Produktform als die generativen Systeme, die OpenAI normalerweise ausliefert. Privacy Filter schreibt nichts; es markiert Abschnitte in acht Kategorien — private_person, private_address, private_email, private_phone, private_url, private_date, account_number und secret — mit BIOES-Span-Tags, um klarere Maskierungsgrenzen zu erzeugen.
Die Zahlen, die OpenAI tatsächlich nennt
Das veröffentlichte Modell hat 1,5 Mrd. Gesamtparameter mit 50 Mio. aktiven Parametern, unterstützt einen Kontext von bis zu 128.000 Token und bietet konfigurierbare Betriebspunkte, mit denen Entwickler Recall gegen Präzision abwägen können. Diese Zahl der aktiven Parameter macht die Behauptung eines einstufigen, durchsatzstarken Betriebs für die lokale Ausführung plausibel.
Auf dem PII-Masking-300k-Benchmark gibt OpenAI einen F1-Wert von 96 % an (94,04 % Präzision, 98,04 % Recall). Auf einer korrigierten Version des Benchmarks, die Annotationsprobleme berücksichtigt, die das Team bei der Überprüfung identifiziert haben will, steigt der F1-Wert auf 97,43 % (96,79 % Präzision, 98,08 % Recall). Diese Korrektur sollte man genau lesen: OpenAI bewertet hier gegen die eigene Neu-Annotation eines öffentlichen Datensatzes, sodass die Kennzahl davon abhängt, diese Korrekturen zu akzeptieren.
Zur Anpassungsfähigkeit berichtet OpenAI, dass Fine-Tuning mit einer kleinen Datenmenge den F1-Wert bei einem Domänenanpassungs-Benchmark von 54 % auf 96 % steigerte und sich einer Sättigung näherte. Der Ausgangswert von 54 % zeigt, dass Domänen außerhalb der Trainingsverteilung Feinabstimmung benötigen — nicht, dass das Basismodell überall reibungslos übertragbar ist.
Ungefilterte Daten auf dem Gerät belassen
Das Design ist auf lokale Ausführung ausgerichtet. OpenAIs Argument lautet, dass noch nicht gefilterte Daten auf dem Gerät bleiben können, statt zur Anonymisierung an einen Server gesendet zu werden — ein kleineres Modell bedeutet, dass der Redaktionsschritt selbst nicht zu einem neuen Angriffspunkt für Datenabfluss wird.
OpenAI positioniert dies gegenüber traditionellen PII-Tools, die auf deterministischen Regeln für Formate wie Telefonnummern und E-Mail-Adressen beruhen. Diese Regeln funktionieren für enge Fälle, übersehen aber subtilere Bezüge. Der Ansatz hier ist Kontextbewusstsein: Das sprachliche Vorwissen erlaubt es dem Modell, zwischen Informationen zu unterscheiden, die erhalten bleiben sollten, weil sie öffentlich sind, und solchen, die eine Privatperson betreffen und maskiert werden sollten.
OpenAI erklärt zudem, intern eine feinabgestimmte Version in den eigenen datenschutzwahrenden Arbeitsabläufen zu verwenden, und rahmt die Veröffentlichung mit einem erklärten Ziel ein: „Unser Ziel ist, dass Modelle über die Welt lernen, nicht über Privatpersonen.“
Was OpenAI ausdrücklich klarstellt, dass es nicht ist
Der Abschnitt zu den Einschränkungen ist ungewöhnlich direkt. OpenAI stellt klar, dass Privacy Filter kein Anonymisierungstool, keine Compliance-Zertifizierung und kein Ersatz für eine rechtliche Prüfung in kritischen Anwendungsfällen ist. Es ist eine Komponente in einem System, das Datenschutz von Grund auf mitdenkt.
Das Verhalten spiegelt die Taxonomie wider, mit der das Modell trainiert wurde, und OpenAI warnt, dass verschiedene Organisationen unterschiedliche Maskierungsrichtlinien wünschen werden, dass die Leistung je nach Sprache, Schriftsystem und Namenskonventionen variiert und dass das Modell bei begrenztem Kontext — besonders in kurzen Sequenzen — über- oder unterredigieren kann. Für rechtliche, medizinische und finanzielle Arbeitsabläufe bleiben laut OpenAI menschliche Überprüfung und domänenspezifische Bewertung wichtig.
Diese Einordnung ist eine Aussage zur Verantwortlichkeit. Ein Team, das die Ausgabe von Privacy Filter als zertifizierte Anonymisierung behandelt, nutzt es entgegen OpenAIs erklärter Absicht.
Die Konsequenz: Datenschutz-Tools erhalten eine überprüfbare, feinabstimmbare Basis
Für Teams, die Trainings-, Indexierungs-, Logging- und Review-Pipelines aufbauen, ist die konkrete Änderung, dass nun ein starker, kontextbewusster PII-Redaktor mit offenen Gewichten, einer Apache-2.0-Lizenz und dokumentierten Decoding-Steuerungen existiert — etwas, das man in der eigenen Umgebung betreiben, benchmarken und auf die eigene Taxonomie feinabstimmen kann.
Die eigentliche Arbeit besteht nicht darin, das Modell zu übernehmen, sondern es zu validieren. Da die starken Benchmark-Werte auf OpenAIs eigenen Annotationskorrekturen beruhen und der Sprung von 54 % auf 96 % eine hohe Domänenabhängigkeit zeigt, erfordert jeder ernsthafte Einsatz den Aufbau eines domänenspezifischen Evaluationsdatensatzes und die Abstimmung der Betriebspunkte, bevor man den Maskierungen vertraut. Privacy Filter senkt die Einstiegskosten; es hebt aber nicht die Pflicht auf, zu überprüfen, was es bei den eigenen Daten übersieht.
Find this story relevant to you?
Contact us to find a unique solution
Brauchen Sie einen KI-Engineering-Partner, der auch liefern kann?
Wir helfen Unternehmen dabei, KI in Produkte und Prozesse zu integrieren, wertvolle Workflows zu automatisieren und die zugrunde liegenden Softwaresysteme zu modernisieren.
Weiterführende Beiträge
Weitere Analysen rund um Produktbereitstellung, operative KI und die Systemarbeit, die dafür sorgt, dass der Einsatz in der Praxis Bestand hat.