Skip to content
Jevolution.

Blog

Personal Context Protocol — Ihr KI-Agent sollte nicht Ihre Seele besitzen

|5 Min. Lesezeit
agentic-aidata-sovereigntyarchitecture

Ihr Kontext ist kein Nebenprodukt eines Modells

Wir bewegen uns in eine agentische Ära der KI. Nicht nur Chatbots im Browser-Tab — sondern Systeme, die Ihre E-Mails lesen, Ihre Meetings planen, mit Lieferanten verhandeln, Verträge entwerfen und über Ihre langfristigen Ziele nachdenken.

Das Versprechen ist verführerisch: ein echtes zweites Gehirn, das Sie tiefgehend kennt und für Sie arbeitet.

Aber es gibt einen Haken. Damit diese Agenten wirklich nützlich werden, müssen Sie ihnen fast alles geben. Ihre Projekte, Ihre Dateien, Ihre Geschichte, Ihre Gewohnheiten, Ihre Beziehungen, Ihre Pläne, Ihre Ängste.

Heute lebt dieses zweite Gehirn nicht unter Ihrer Kontrolle. Es lebt in den Silos einiger weniger Modellanbieter und großer SaaS-Plattformen.

Ich halte das für verkehrt herum. Wir brauchen eine Architektur, in der Menschen ihren Kontext besitzen und Agenten ihn nur mieten.

Das Problem: Agenten brauchen Ihr Leben, Anbieter bekommen Ihre Seele

Je besser ein KI-Agent Sie kennt, desto mächtiger wird er.

Ein Planungsagent, der Ihren Kalender, Ihre Energie und Ihre langfristigen Ziele wirklich versteht, kann jede To-do-App übertreffen. Ein Finanzagent, der Ihr reales Einkommen und Ihre Steuersituation sieht, kann Ratschläge geben, die kein generischer Blogartikel liefern kann. Ein Business Brain, das CRM, ERP, E-Mail und Dokumente aggregiert, kann Muster erkennen, für die Sie nie Zeit hätten.

Aber in den meisten aktuellen Architekturen lebt dieser gesamte Kontext in proprietären Cloud-Silos — in opaken Agent-"Memories", die an einen einzelnen Anbieter gebunden sind — oder in Ad-hoc-RAG-Schichten, die niemand wirklich kontrolliert.

Der implizite Deal lautet: Geben Sie uns Ihr gesamtes digitales Leben, und wir geben Ihnen großartige KI. Vertrauen Sie uns.

Ihr Kontext — Ihre Seele — wird zu einem weiteren Asset, das jemand anders verwaltet.

Ein anderes Denkmodell: Ihr Gehirn als Zwiebel

Ihr Kontext ist kein einheitlicher Datenklumpen. Er hat Schichten und Domänen.

L0 — Öffentlich: Blog-Ideen, Templates, Marketing-Texte. Dinge, die Sie ohnehin veröffentlichen würden.

L1 — Arbeit: Projekte, Kunden, Aufgaben, Deals. Beruflich, aber nicht sensibel.

L2 — Vertraulich: Finanzen, Verträge, Verhandlungsstrategien. Informationen, die bei Offenlegung echten Schaden anrichten können.

L3 — Kern: Gesundheit, Beziehungen, Ängste, Grundüberzeugungen. Das, was definiert, wer Sie sind.

Ein gesundes agentisches System muss diese Zwiebel sehen — nicht plattwalzen.

Es gibt eine zweite Achse: Zu welchem Lebensbereich gehören diese Daten? Business, Finanzen, Beziehungen, Gesundheit, Lernen, Kreativität, Administration. Jede Notiz, Datei, Entscheidung und jedes Ereignis bekommt zwei Koordinaten. "Das ist L2, Finanzen, Business" versus "Das ist L3, Gesundheit, Beziehungen."

Einfach. Aber ausreichend, um echte Grenzen zu ziehen.

Agenten brauchen Profile, keinen Root-Zugriff

Derzeit sind die meisten Agenten entweder komplett blind oder haben Gott-Modus. Beide Extreme sind falsch.

Ein Finanzagent sollte L1 und L2 sehen, Sektor Finanzen und Business. Ein Planungsagent sollte L1 sehen, Sektor Arbeit und Administration. Ein Kreativagent sollte L0 und L1 sehen, Sektor Kreativität und Externes.

Kein Agent bekommt L3 standardmäßig. Nie.

Das soll KI-Fähigkeiten nicht einschränken. Es geht darum, Zugriff an Zweck zu koppeln — dasselbe Prinzip, das rollenbasierte Zugriffskontrolle in jedem gut designten System antreibt. Agenten bekommen ein Profil, das definiert, was sie sehen dürfen. Keinen Generalschlüssel.

Tiefer gehen müssen: Elevation als erstklassiger Flow

Agenten müssen fragen, bevor sie tiefer gehen. Statt still alles zu konsumieren, was sie erreichen können, sollte ein Agent sagen:

"Um das korrekt zu beantworten, brauche ich L2-Finanzdaten, Sektor Business, letzte 6 Monate. Damit kann ich Ihre Umsatzvolatilität sehen, vergangene Preisentscheidungen prüfen und den Cashflow modellieren."

Dann entscheiden Sie: Erlauben. Teilweise erlauben. Ablehnen.

Sie stehen immer über dem Protokoll. Sie sehen welche Schicht, welchen Sektor, warum. Sie entscheiden. Der Agent eskaliert nie seine eigenen Rechte. Er macht einen Fall, Sie gewähren Zugang — mit voller Transparenz darüber, was er sehen wird und warum er es braucht.

Das ist keine UX-Unannehmlichkeit. Es ist das architektonische Äquivalent einer informierten Einwilligung.

Vaults, keine Silos

Ihr Kontext sollte in einem verschlüsselten Vault leben — unter Schlüsseln, die Sie kontrollieren — nicht in der Cloud eines Anderen.

Stellen Sie es sich vor wie einen Passwort-Manager für Ihren Kontext. Oder ein Crypto-Wallet für Ihre persönlichen Daten. Der Vault hält alles. Agenten senden strukturierte Anfragen. Der Vault entscheidet, was zurückgegeben wird, wann Zugriffe protokolliert werden, wann widerrufen wird.

Modelle bleiben in der Cloud und entwickeln sich schnell weiter. Das ist in Ordnung — Modelle sind Commodity-Infrastruktur. Ihr Kontext bleibt unter Ihrem Schlüssel. Das ist das Asset.

Der Unterschied zwischen Silo und Vault ist Eigentum. Ein Silo sperrt Sie ein. Ein Vault sperrt andere aus.

PCP — Personal Context Protocol

Ich habe dieses Konzept in eine kleine offene Spezifikation gegossen: PCP.

Sie definiert Schichten, Sektoren, Objekt-Schemas, Agenten-Profile, Zugriffsrichtlinien und Elevation-Flows. Sie schreibt kein Modell, keine Datenbank, keine UI vor. Sie gibt lediglich eine gemeinsame Sprache für vier Fragen:

  1. Was ist dieser Kontext?
  2. Wie tief ist er?
  3. Wer darf ihn sehen?
  4. Wann muss vorher gefragt werden?

Ihr Kontext ist kein Nebenprodukt eines Modells. Er ist ein erstklassiges Asset mit eigenem Protokoll.

Der Spezifikationsentwurf mit JSON-Beispielen liegt hier.

Die Frage, die sich lohnt

Wenn Sie heute KI-Agenten bauen oder einsetzen, überlegen Sie:

Würden Sie Ihren Agenten mehr vertrauen, wenn es ein klares, überprüfbares Protokoll gäbe, das kontrolliert, was sie sehen, wie tief sie gehen und wann sie Sie zuerst fragen müssen?

Ich denke, die Antwort ist offensichtlich. Die schwierigere Frage ist, wer es baut — und ob die Anreize von Modellanbietern und Plattformbetreibern damit vereinbar sind, Nutzern echte Kontrolle zu geben.

Die Erfahrung legt nahe: eher nicht. Weshalb dies ein offenes Protokoll sein muss, kein Produkt-Feature.

Nächster Schritt

Lassen Sie uns über Ihren Prozess sprechen.

Wenn Sie einen Ablauf haben, der mehr Zeit kostet als er sollte, lohnt sich ein Gespräch. Wir analysieren Ihren Prozess und zeigen, wo ein KI-Agent den größten Hebel hat.

Live-Demo ansehenProzess besprechen
Zum Blog