Odoo KI und Datenschutz

Neue Gesetze wie der EU AI Act erhöhen die Compliance-Standards in einer Branche, die bisher weitgehend unreguliert war.

Mehr denn je ist es wichtig, dass sensible Geschäftsdaten und interne Prozesse nicht unkontrolliert mit externen Diensten geteilt werden.

Odoo hat diese Bedenken ernst genommen und eine datenschutzfreundliche KI entwickelt. Dieser Ansatz stellt sicher, dass Unternehmen die volle Kontrolle über ihre Daten behalten, ohne auf die Vorteile künstlicher Intelligenz verzichten zu müssen.

Die 4 Säulen der Odoo KI-Sicherheit

Das Sicherheitskonzept von Odoo basiert auf vier zentralen Säulen, die gewährleisten, dass Ihre Daten auch wirklich Ihr Eigentum bleiben.

1. Der „Opt-in“-Grundsatz

In Odoo ist KI eine bewusste Entscheidung. Sie müssen nicht erst in den Einstellungen suchen, um die Odoo KI zu deaktivieren, da alle Funktionen standardmäßig ausgeschaltet sind und von einem Administrator einzeln aktiviert werden müssen. Das garantiert:

• Volle Transparenz: Sie entscheiden, welche Funktionen aktiv sind.
• Schrittweise Einführung: Sie können KI-Funktionen einzeln testen und freigeben, anstatt alles auf einmal einzuführen.
• Audit-Bereitschaft: Da jede Funktion explizit aktiviert werden muss, ist es deutlich einfacher, die Compliance bei Datenschutzprüfungen nachzuweisen.

2. Minimaler Datentransfer

Odoo folgt dem Prinzip der Datensparsamkeit. Wenn eine KI-Anfrage gestellt wird, lädt das System nicht einfach Ihre gesamte Datenbank in den Prompt hoch. Dies bietet zusätzliche Sicherheit durch:

• Gezielte Auswahl: Es werden nur Daten übertragen, die aktiv vom Nutzer ausgewählt wurden oder für den spezifischen Anwendungsfall zwingend erforderlich sind.
• Kein Massenzugriff: Die KI erhält niemals pauschalen Zugriff auf Unternehmensdaten.
• Rückverfolgbarkeit: Nutzer behalten jederzeit die Kontrolle und Sichtbarkeit darüber, welche Informationen gerade verarbeitet werden.

3. Volle Souveränität für On-Premise-Nutzer

Für Organisationen mit strengen Compliance-Vorgaben bietet die On-Premise-Installation (lokale Installation) das höchste Maß an Kontrolle. Sie basiert auf:

• Eigenen API-Keys: Sie nutzen den firmeneigenen API-Key, um eine Verbindung zu KI-Anbietern herzustellen.
• Internen Richtlinien: Das KI-Modell verarbeitet Daten gemäß Ihren spezifischen internen Datenschutzrichtlinien.​
• Keine unbefugten Drittanbieter: Daten fließen niemals an externe Dienste, die das Unternehmen nicht explizit selbst ausgewählt hat.​
• Maximale interne Kontrolle: Ihre KI, Ihre Regeln – besonders wertvoll für Branchen mit strengen regulatorischen Anforderungen.

4. Lokales Embedding

Pas technisch wohl wichtigste Sicherheitsmerkmal ist der Umgang mit der RAG-Wissensdatenbank (Retrieval-Augmented Generation). Diese läuft vollständig lokal und benötigt keine externe Datenbank. 

• Direkt in PostgreSQL: Vector-Embeddings werden direkt in der bestehenden PostgreSQL-Datenbank von Odoo gespeichert.
• Keine Drittanbieter-Software: Sie benötigen weder Pinecone noch andere externe Vektor-Datenbanksysteme.
• Daten bleiben im Haus: Das gesamte Unternehmenswissen verlässt niemals Ihre eigene Infrastruktur.
• Einfache Wartung: Da alles in einem System und einer Datenbank liegt, bleibt die Odoo KI leicht zu verwalten und voll unter Ihrer Kontrolle.​

Odoo’s AI architecture is built for EU compliance 

Für europäische Unternehmen erfordert die Einführung von KI nicht nur technisches Know-how, sondern auch juristische Expertise.

TDer EU AI Act und die DSGVO weisen den Weg zur Datensouveränität. Dennoch scheitern generische „SaaS-only“-KI-Modelle vieler ERP-Systeme oft an lokalen Compliance-Standards. 

Odoos Entscheidung, die RAG-Infrastruktur lokal zu halten, ist eine strategische Antwort auf diese europäischen Anforderungen. 

Das System priorisiert drei kritische Bereiche:

• DSGVO-Konformität und Data Residency: Da die Vektor-Datenbank (die RAG-Wissensbasis) über pgvector direkt in Ihrer lokalen PostgreSQL-Instanz gespeichert wird, verlässt sensibles Wissen niemals Ihre Infrastruktur, um von externen Suchdiensten indexiert zu werden.
• Schutz vor unlizenzierten Drittanbietern: Indem On-Premise-Nutzer eigene API-Keys verwenden können, stellen Unternehmen sicher, dass sie nur mit KI-Anbietern interagieren, die spezifische, EU-rechtskonforme Auftragsverarbeitungsverträge (AVV) unterzeichnet haben.
• Operative Souveränität: Die Opt-in-Philosophie stellt sicher, dass der Datenschutzbeauftragte (DSB) des Unternehmens die volle Aufsicht behält. 

Odoo KI Datenschutz FAQs

Hat die Odoo KI pauschalen Zugriff auf meine Leads und Produkte? 

Nein. Odoo nutzt für Standardmodelle wie Leads oder Produkte keine Embeddings. Stattdessen werden KI-Tools (Server-Aktionen) verwendet, um Standard-Datenbankabfragen nur bei Bedarf auszuführen. Es handelt sich um eine reguläre Odoo-Abfrage und nicht um eine semantische Suche über Ihren gesamten Datensatz.

Wo genau werden meine Dokumenten-Vektoren gespeichert?

Vektoren werden im Modell ai.embedding innerhalb Ihrer eigenen PostgreSQL-Datenbank gespeichert. Sie werden niemals auf externen Servern oder direkt in den Quelldatensätzen selbst abgelegt.

Kann ich ein selbst gehostetes LLM nutzen, um alle Daten lokal zu halten? 

Obwohl Sie die Basis-URL für KI-Anbieter ändern können, sind viele spezifische API-Endpunkte derzeit fest auf die Strukturen von OpenAI und Google eingestellt. Die Nutzung eines selbst gehosteten LLM ist möglich, erfordert jedoch unter Umständen Anpassungen, um die spezifischen Endpunkt-Anforderungen von Odoo zu erfüllen.

Welche Daten werden bei einer RAG-Anfrage tatsächlich an das LLM gesendet? 

Wenn ein Prompt erstellt wird, ruft Odoo über eine Ähnlichkeitssuche relevante „Chunks“ (Textabschnitte) aus Ihren indexierten Quellen (Wissensartikel, PDFs etc.) ab. Diese Abschnitte werden zusammen mit Ihrem spezifischen Nutzer-Prompt und dem Kontext des aktuellen Datensatzes in die Systemnachricht eingefügt.