Architektur-USP · KI-Souveränität
KI-Features im EMS laufen nicht durch unser Vendor-Konto. Jeder Mandant hinterlegt seinen eigenen LLM-Endpoint und API-Key — Azure-OpenAI im EU-West-Datacenter, Mistral-AI in Paris oder ein lokal gehostetes Modell auf eurem GPU-Cluster. LiteLLM-Proxy vereinheitlicht die API. Bei Custom-Endpoint gilt: Hard-Fail statt Silent-Fallback — Datenkontrolle bleibt bei euch, auch im Fehlerfall.
Anatomie
„BYO-LLM" ist bei vielen SaaS ein Häkchen in den Settings — bei uns ein durchgezogenes Architektur-Prinzip vom Tenant-Setting bis zum Inference-Layer.
Jeder Mandant entscheidet in den KI-Settings: Standard-Proxy oder eigener Endpoint mit eigenem API-Key. Bei eigenem Endpoint sieht der Vendor die Prompts und Rückgaben nie.
endpointUrlapiKey (verschlüsselt)fallbackToGlobalProxy: falseEine einheitliche, OpenAI-kompatible API vor allen Providern. Wechsel von OpenAI zu Mistral oder Ollama ist eine Konfig-Änderung, kein Code-Change im EMS.
Fällt euer Custom-Endpoint aus, lehnt das System die Anfrage ab — es leitet nicht heimlich zum globalen Vendor-Konto um. Datenkontrolle bleibt intakt, auch im Fehlerfall.
if (tenant.hasCustomEndpoint && !ok)throw new InferenceUnavailableException();// kein Fallback. Kein „opportunistisches" Routing.Jeder Editor liefert sein eigenes JSON-Schema, generiert aus dem TypeScript-Modell. Das LLM kann gar keine Felder zurückgeben, die im Editor nicht existieren — keine Halluzination, kein Format-Bruch.
structuredOutput: truetoolCalling: truecapabilityCheck pro ModellEine Übersichtsleiste in den Mandanten-Settings zeigt verbrauchte Tokens und Kosten live — pro Feature aufgeschlüsselt. Keine versteckten „AI-Credits", keine Monatsrechnung mit Überraschung.
tokens.in · tokens.outcost.eur liveaiFeature-AufschlüsselungSzenario 1 · Datensouveränität
Eine Anwaltskanzlei mit Mandantengeheimnis darf keine Mandantendaten an Drittanbieter-LLMs senden, ohne AVV. Sie deployt Azure-OpenAI in EU-West (Schweden), erstellt einen eigenen Service-Principal mit eigenem API-Key — und hinterlegt diesen in den KI-Settings ihres EMS-Mandanten.
Ab dem nächsten Klick auf „AI Paste" oder „Mit KI verbessern" laufen alle Anfragen ausschließlich gegen ihre eigene Azure-Tenancy. Der Vendor (Consiliari) hat keinen Zugriff auf die Prompts, keine Logs, keine Token-Counter. Die DSGVO- Datenschutzfolgenabschätzung adressiert nur noch einen Datenverarbeiter — Azure EU — statt einer Provider-Kette.
Szenario 2 · Air-Gap
Ein Forschungsinstitut betreibt EMS in einem isolierten Netz ohne Internet — typisch für Pharma- und Verteidigungsforschung. Statt einen externen LLM zu kontaktieren, zeigt der LiteLLM-Proxy auf einen internen Ollama-Endpoint mit Llama 3.3 70B auf dem hauseigenen GPU-Cluster.
AI Paste, AI Grid Filter und Text Enhancement laufen weiter — nur eben gegen euer Modell. Kein Bit Forschungsdaten verlässt das Netz. Keine Black-Box-Cloud. Keine Monats-Token-Rechnung.
Szenario 3 · Modell-Routing
Nicht jedes KI-Feature braucht das teuerste Modell. AI Paste mit PDF-Upload braucht Vision-Capability — also GPT-5.5. Text Enhancement profitiert von Claude Sonnet für natürlichere Tonalität. Der AI Grid Filter ist eine schnelle, einfache Tool-Call-Aufgabe — ein lokales 8-B-Modell reicht.
Pro Mandant und pro Feature konfigurierbar. Capability-Check verhindert Fehler: wer ein älteres Modell ohne Tool-Calling für AI Paste auswählt, bekommt eine klare Fehlermeldung, keine halluzinierte Antwort.
Szenario 4 · EU AI Act
KI-Features sind pro Mandant standardmäßig aus. Aktivierung ist eine bewusste Entscheidung des Mandanten — kein heimliches Vendor-Update. Jedes einzelne Feature lässt sich separat schalten. Token und Kosten erscheinen live in den Settings, aufgeschlüsselt nach Feature.
Keine autonome Entscheidung des Modells betrifft Buchungen, Stundensätze oder Genehmigungen — KI füllt nur Felder vor und entwirft nur Texte. Das Recht-zu-überschreiben und das Audit-Log bleiben vollständig erhalten.
Vergleich
Die meisten SaaS-KI-Features laufen über ein zentrales Vendor-Konto — Salesforce Einstein, HubSpot Breeze, Personio AI. Eure Daten gehen über deren Provider-Vertrag, in deren Region, mit deren Modell-Wechsel-Politik. Unser Ansatz ist anders.
| Dimension | Temporalis EMS | Vendor-Bound-Suiten |
|---|---|---|
| LLM-Provider-Wahl | OpenAI · Azure · Anthropic · Mistral · Ollama · LocalAI · eigene OpenAI-API | fix vom Anbieter — meist OpenAI hinter dem Vorhang |
| API-Key-Eigentum | Mandant hinterlegt eigenen Key | Anbieter-Konto, Mandant zahlt „AI-Credits" |
| Self-Hosted-Option | Ollama, vLLM, LocalAI — Air-Gap möglich | nicht vorgesehen, Cloud erzwungen |
| Custom-Endpoint-Failure | Hard-Fail (Datenkontrolle bleibt) | irrelevant — kein Custom-Endpoint möglich |
| Schema-Enforcement (Tool Calling) | in 10 Editoren · Schema aus TS-Modell generiert | teils Freitext, teils Templates, selten Tool-Calling |
| Modell pro Feature | jedes KI-Feature wählt eigenes Modell | ein Modell für alle Features |
| Token-Transparenz | live in Mandanten-Settings · pro Feature | „AI-Credits"-Bündel, keine Echtzeit-Sicht |
| Per-Feature-Off-Switch | jeder KI-Mode einzeln deaktivierbar | global „AI on/off" oder gar nichts |
14 Tage kostenlos testen, eigenen Key einsetzen, Hard-Fail-Verhalten selbst auslösen. Keine Kreditkarte, kein Sales-Anruf.