So überprüfen Sie, dass Stript Ihre Dokumente nie hochlädt

Verlassen Sie sich nicht auf das Versprechen 'lokal'. Trennen Sie die Internetverbindung, beobachten Sie den Netzwerkverkehr mit Little Snitch oder Wireshark und prüfen Sie die vollständige Liste der Netzwerkanfragen von Stript.

Aktualisiert am

„Ihre Daten verlassen nie Ihren Rechner” kann jeder Anbieter behaupten. Der Sinn einer lokalen Architektur ist, dass Sie es nicht glauben müssen: Sie können es selbst prüfen, in wenigen Minuten, mit Werkzeugen, die Sie bereits haben. Diese Anleitung zeigt wie, und listet jede Netzwerkanfrage von Stript auf, damit Sie wissen, was Sie sehen sollten und was nicht.

Der Zwei-Minuten-Test: Stecker ziehen

Der einfachste Nachweis braucht gar kein Werkzeug:

  1. Installieren Sie Stript und lassen Sie die KI-Modelle einmalig herunterladen (das ist der einzige große Download; er passiert bei der Einrichtung).
  2. Trennen Sie die Internetverbindung. WLAN aus, Kabel ziehen oder Flugmodus an.
  3. Öffnen Sie ein sensibles Dokument, starten Sie die Erkennung, prüfen, anonymisieren und stellen Sie wieder her.

Alles funktioniert identisch, weil alles auf Ihrem Rechner läuft. Ein Cloud-Anonymisierer oder ein „in Deutschland gehosteter” Dienst kann diesen Test nicht bestehen: Ohne Verbindung zu seinem Server kann er nichts verarbeiten.

Die vollständige Liste der Netzwerkanfragen

Die Datenschutzerklärung von Stript zählt jede Anfrage der App abschließend auf. Es gibt genau fünf Arten, und keine enthält Dokumentinhalte:

AnfrageWannWas sie enthält
Download der KI-ModelleEinmalig, bei der EinrichtungDie Modelle, geladen von downloads.stript.io und öffentlichen Modell-Repositories. Kein Konto, keine Nutzungs- und keine Dokumentdaten.
LizenzprüfungNur bei Pro-Kauf; höchstens alle 30 TageDer Lizenzschlüssel und eine generische Gerätebezeichnung wie „Stript (macOS)”. Nie der Rechnername, nie Dokumentdaten.
Update-PrüfungBeim App-StartEin gewöhnlicher Abruf einer kleinen statischen Versionsdatei.
Update-DownloadNur wenn Sie auf „Installieren” klickenDas signierte Update-Paket.
AbsturzberichteNur wenn Sie sie ausdrücklich aktivieren (standardmäßig aus)Technische Fehlerdaten ohne Dokumentinhalte und ohne Identifikatoren.

Das ist die ganze Liste. Sollten Sie etwas anderes beobachten, möchten wir das wissen: support@stript.io.

Den Datenverkehr selbst beobachten

macOS: Eine Ausgangs-Firewall wie Little Snitch (oder das kostenlose LuLu) zeigt live jede Verbindung, die eine App aufbauen will, und kann sie blockieren. Installieren, einen kompletten Anonymisieren-und-Wiederherstellen-Durchlauf in Stript machen und die Verbindungsliste beobachten: Nach dem initialen Modell-Download sehen Sie höchstens die Update-Prüfung beim Start.

Windows: Öffnen Sie den Ressourcenmonitor (resmon.exe), Reiter „Netzwerk”, und filtern Sie nach dem Stript-Prozess. Oder zeichnen Sie mit Wireshark auf und filtern nach den Verbindungen des Prozesses.

Überall: Wireshark erfasst jedes Paket, das Ihren Rechner verlässt. Aufzeichnung starten, Stript benutzen, Aufzeichnung stoppen, Ziele prüfen. Dokumentinhalte tauchen nirgends auf, und beim Offline-Test oben gibt es überhaupt keinen Verkehr.

„Aber Stript ist nicht Open Source”

Stimmt, und das gehört offen angesprochen. Der Datenschutz von Stript beruht nicht auf einem Versprechen und nicht auf dem Lesen von Quellcode, sondern auf einer Architektur, die sich von außen beobachten lässt. Quellcode zeigt Absicht; Netzwerkverkehr zeigt Verhalten. Eine Closed-Source-App, die während der Dokumentenverarbeitung nachweislich keine Netzwerkanfragen stellt, ist in der Praxis besser überprüfbar als ein Open-Source-Cloud-Dienst, dessen Betrieb Sie nicht auditieren können. Der Offline-Test und die Verkehrskontrolle oben sind genau die Prüfungen, die eine skeptische IT-Abteilung durchführen sollte, und Stript ist dafür gebaut, sie zu bestehen.

Warum das für die DSGVO wichtig ist

Wenn Dokumentinhalte das Gerät nie verlassen, gibt es für diese Inhalte keine Übermittlung an einen Auftragsverarbeiter und keine Drittlandübermittlung. Die schwierigsten Fragen jeder Anbieterprüfung entstehen damit gar nicht erst. Unsere Abonnenten-Ressource Stript als technisch-organisatorische Maßnahme (Art. 32 DSGVO) macht daraus einen fertigen Antwortbogen für Ihren Datenschutzbeauftragten.

Fazit

Local-first ist kein Marketing-Etikett, sondern eine testbare Eigenschaft. Trennen Sie die Internetverbindung, und Stript arbeitet weiter. Beobachten Sie den Netzwerkverkehr, und Sie sehen genau die fünf oben gelisteten Anfragetypen, nie Ihre Dokumente. Machen Sie diesen Test, bevor Sie irgendeinem Anonymisierungswerkzeug vertrauen, auch unserem.

Das DSGVO & KI Briefing

Etwa einmal im Monat: praktische Hinweise zur KI-Nutzung mit sensiblen Daten, Produktneuigkeiten und neue Vorlagen für Kanzleien und Datenschutzbeauftragte. Kein Tracking, jederzeit abbestellbar, Double-Opt-in.

Double-Opt-in. Wir verwenden Ihre Adresse nur für diesen Newsletter, keine Tracking-Pixel. Details: Datenschutzerklärung