HEINI
EN Demo anfragen Tarif wählen
Start Funktionen
Lösungen GeschäftsführungCFO & FinanzIT-LeitungSteuerberaterBauhandwerkSpeditionAlle BranchenEnterprise
Preise Integrationen
Kunden Alle KundenPSE TechnikWissen bleibtLieferant mit HeiniKonzern & HoldingAgenturen & Partner
Ressourcen Alle RessourcenFAQBlogKunden & CasesGeschichten
Login Demo anfragen Tarif wählen
← Zurück zum Blog Technik

Verifizierbares Vergessen in Mehrstufigen Gedächtnissystemen mittels Ebenenspezifischer Mutual-Information-Schwellenwerte

Ein Technischer Hinweis — Defensive Publikation

Eine defensive Publikation zu einer ebenspezifischen Mutual-Information-Schwellenwertmethode zur Verifizierung der Löschung von Datensätzen in mehrstufigen Gedächtnissystemen, die in agentischen KI-Produkten eingesetzt werden. Begründet Stand der Technik gemäß § 3 Abs. 1 PatG, Art. 54 (2) EPÜ und 35 USC § 102(a)(1).

HEINI · 6. Mai 2026 ·12 min
#maschinelles-verlernen#verifizierbares-vergessen#mutual-information#dsgvo#eu-ai-act#mehrstufiges-gedaechtnis#agentische-ki#defensive-publikation#prior-art

Verifizierbares Vergessen in Mehrstufigen Gedächtnissystemen mittels Ebenenspezifischer Mutual-Information-Schwellenwerte

Ein Technischer Hinweis · Defensive Publikation

Autor: HEINI Operations UG, Markeninhaber von HEINI® Kontakt: Termin über Susi buchen Version: 1.0 Veröffentlicht: 2026-05-06 Lizenz: CC0 1.0 Universal (Public Domain Dedication, mit dem in Abschnitt 8 unten definierten Umfang der Rechteausübung) DOI (diese Version): 10.5281/zenodo.20054270 Concept DOI (alle Versionen): 10.5281/zenodo.20054269 Markenhinweis: HEINI® ist eine eingetragene Marke beim DPMA, Registernummer 30 2026 214 789, Klassen 09, 35, 42, eingetragen am 25.03.2026. Angaben zum Inhaber im Impressum.

Zusammenfassung

Dieser technische Hinweis beschreibt eine Methode zur empirischen Verifizierung der Löschung eines Datensatzes aus einem mehrstufigen Gedächtnissystem, das in agentischen KI-Produkten eingesetzt wird. Die Methode richtet sich an regulierte Einsatzszenarien gemäß DSGVO Artikel 17 und EU AI Act Artikel 10, in denen konventionelle prozedurale Löschbestätigungen unzureichend sind, weil residuale statistische Informationen über den gelöschten Datensatz in abgeleiteten Repräsentationen wie Embeddings, Attention-Mustern oder Fine-Tuning-Gradienten verbleiben können. Der Beitrag ist eine ebenspezifische Mutual-Information-Schwellenwertkette, die eine konfigurierbare Schätzerfamilie mit einer sensibilitätsklassifikationsgesteuerten Schwellenwertableitung und einem automatischen Re-Training- oder Re-Indexing-Trigger kombiniert. Der Hinweis wird veröffentlicht, um Stand der Technik gemäß § 3 Abs. 1 PatG, Art. 54 (2) EPÜ und 35 USC § 102 (a)(1) zu begründen, im Hinblick auf etwaige spätere Patentanmeldungen Dritter bezüglich der hier beschriebenen spezifischen Ausführungsform.

1. Hintergrund und Stand der Technik

Das Problem des nachweisbaren Löschens in maschinellen Lernsystemen wurde unter verschiedenen terminologischen Konventionen untersucht, darunter Maschinelles Verlernen (Machine Unlearning), zertifizierte Entfernung (Certified Removal) und verifizierbares Vergessen (Verifiable Forgetting). Eine nicht erschöpfende Auswahl vorangegangener Arbeiten, die den vorliegenden Hinweis informieren, ist nachstehend aufgeführt.

  • Eisenhofer, T. et al. (2022). Verifiable and Provably Secure Machine Unlearning. arXiv:2210.09126.
  • Li, Y. et al. (2025). AuditableLLM: Auditable Forgetting in Large Language Models. Electronics, 15(1), 56. DOI: 10.3390/electronics15010056.
  • European Data Protection Supervisor (2023). TechSonar Report: Machine Unlearning.
  • Kraskov, A., Stögbauer, H., Grassberger, P. (2004). Estimating Mutual Information. Physical Review E, 69, 066138.
  • Belghazi, M. et al. (2018). MINE: Mutual Information Neural Estimation. Proc. ICML 2018.
  • van den Oord, A. et al. (2018). Representation Learning with Contrastive Predictive Coding (InfoNCE). arXiv:1807.03748.
  • Mironov, I. (2017). Rényi Differential Privacy. Proc. CSF 2017.
  • Packer, C. et al. (2023). MemGPT: Towards LLMs as Operating Systems. arXiv:2310.08560.
  • Bourtoule, L. et al. (2021). Machine Unlearning. Proc. IEEE S&P 2021.
  • Sekhari, A. et al. (2021). Remember What You Want to Forget: Algorithms for Machine Unlearning. Proc. NeurIPS 2021.
  • Cao, Y., Yang, J. (2015). Towards Making Systems Forget with Machine Unlearning. Proc. IEEE S&P 2015.
  • Ginart, A. et al. (2019). Making AI Forget You: Data Deletion in Machine Learning. Proc. NeurIPS 2019.

Die vorliegende Literatur belegt, dass prozedurales Lösch-Logging für Aufsichtsbehörden keine ausreichende Evidenz darstellt und dass statistische Methoden auf Basis von Mutual Information, Membership-Inference-Angriffen oder Differential-Privacy-Budget-Accounting zunehmend als technischer Nachweis der Entfernung gefordert werden. Der Beitrag des vorliegenden Hinweises liegt in einer spezifischen, ebenenbewussten Integration einer auf Mutual Information basierenden Verifizierung in eine konfigurierbare Produktionspipeline für Gedächtnissysteme agentischer KI — nicht in den zugrundeliegenden Primitiven.

2. Methodenbeschreibung

Die Methode, im Folgenden als ebenspezifische MI-Schwellenwertkette bezeichnet, wird nach einem Löschereignis in einem mehrstufigen Gedächtnissystem ausgeführt. Ein mehrstufiges Gedächtnissystem umfasst in diesem Kontext mindestens zwei Speicherebenen, jede mit eigenen Aufbewahrungssemantiken, Sensibilitätsklassifikation und Zugriffsmuster.

Nach einem Löschereignis für einen Datensatz r führt die Methode die folgenden Schritte aus:

Schritt A — Ebenenaufzählung

Die Methode zählt die Gedächtnisebenen T1, T2, ..., Tn des Systems auf, die abgeleitete Informationen aus r enthalten können. Beispiele für Ebenen sind Vektorindizes (Embedding-Speicher), aktive Modellparameter (in feinabgestimmten oder Adapter-abgestimmten Konfigurationen), Cache-Schichten (kürzlich abgerufene Retrieval-Ergebnisse) und Retrieval-Augmented-Dokumentenindizes.

Schritt B — Mutual-Information-Schätzung pro Ebene

Für jede Ebene Ti berechnet die Methode eine Schätzung I(r ; S_Ti_post) der Mutual Information zwischen dem gelöschten Datensatz r und dem Post-Lösch-Zustand S_Ti_post dieser Ebene. Der Schätzer kann aus einer Familie zulässiger Schätzer ausgewählt werden, einschließlich, aber nicht beschränkt auf:

  • den Kraskov-Stögbauer-Grassberger-(KSG)-k-Nächste-Nachbarn-Schätzer
  • die Mutual Information Neural Estimation (MINE)-Untergrenze
  • die InfoNCE-Kontrast-Untergrenze
  • einen Bayesian Model-Averaged MI Estimator (BMA-MI)
  • einen Conditional MI Neural-Network Estimator (CMI-NN)

Die Wahl des Schätzers wird vom Betreiber parametrisiert und im Verifizierungsergebnis protokolliert.

Schritt C — Ebenenspezifischer Schwellenwertvergleich

Für jede Ebene Ti wird die Schätzung mit einem ebenspezifischen Schwellenwert θ_Ti verglichen. Der Schwellenwert leitet sich aus einer Sensibilitätsklassifikation der in dieser Ebene gespeicherten Daten ab. Sensibilitätsklassifikationen können unter anderem umfassen: Hochrisiko-Kategorien des EU AI Act Anhang III, besondere Kategorien der DSGVO gemäß Artikel 9, sektorspezifische Klassifikationen (medizinisch, finanziell, rechtlich) sowie vom Betreiber definierte benutzerdefinierte Klassifikationen.

Die Schwellenwertableitung kann sein:

  • statisch (fester Wert pro Klassifikationsklasse, bei der Bereitstellung konfiguriert),
  • dynamisch (periodisch neu berechnet auf Basis vom Betreiber definierter Drift-Baselines), oder
  • gelernt (angepasst mittels Reinforcement Learning gegen vom Betreiber definierte Belohnungssignale, die Compliance-Audit-Feedback widerspiegeln).

Schritt D — Trigger-Emission

Wenn die Schätzung I(r ; S_Ti_post) > θ_Ti für mindestens eine Ebene Ti gilt, emittiert die Methode einen Trigger. Der Triggertyp kann einer der folgenden sein:

  • ein Re-Training-Trigger für die betroffene Ebene (Neuberechnung der Parameter),
  • ein Re-Indexing-Trigger für die betroffene Ebene (Neuaufbau des Vektor- oder Dokumentenindex),
  • ein Fallback-to-Purge-Trigger (vollständiger Zustandsreset für die betroffene Ebene), oder
  • ein regulatorischer Eskalations-Trigger (Benachrichtigung des Datenschutzbeauftragten).

Der emittierte Trigger wird gemäß der Audit-Richtlinie des Betreibers protokolliert. Die detaillierte Audit-Logging-Architektur liegt außerhalb des Geltungsbereichs dieses technischen Hinweises.

Schritt E — Emission des Verifizierungsergebnisses

Die Methode emittiert ein Verifizierungsergebnis, das mindestens enthält: die Ebenenkennung, den Schätzwert, den Schwellenwert, die verwendete Schätzerfamilie und einen binären Verifizierungsstatus. Die Übertragung und Persistierung des Verifizierungsergebnisses liegen außerhalb des Geltungsbereichs dieses technischen Hinweises.

3. Varianten und zulässige Ausführungsformen

Die folgenden Varianten werden ausdrücklich als zulässige Ausführungsformen der in Abschnitt 2 beschriebenen Methode offengelegt.

  • Variante A — Ebenengranularität. Die Methode lässt eine beliebige Anzahl von Ebenen n ≥ 1 zu, einschließlich Zwei-Ebenen-(Hot/Cold)-, Drei-Ebenen-(Active/Warm/Cold)- und beliebiger n-Ebenen-Hierarchien.
  • Variante B — Schätzerfamilie. Die Methode lässt jeden der in Schritt B aufgeführten Schätzer und jede Kombination derselben zu. Die Methode lässt auch Ensemble-Schätzer zu, die mehrere Schätzer mittels Mittelwert-, Median- oder Worst-Case-Aggregation zusammenführen.
  • Variante C — Schwellenwertableitung. Die Methode lässt statische, dynamische und gelernte Schwellenwerte in jeder Kombination über Ebenen hinweg zu, einschließlich gemischter Konfigurationen, bei denen eine Ebene einen statischen und eine andere einen gelernten Schwellenwert verwendet.
  • Variante D — Quelle der Sensibilitätsklassifikation. Die Methode lässt Sensibilitätsklassifikationen aus EU AI Act Anhang III, DSGVO Artikel 9, ISO/IEC 27701:2019, NIST SP 800-60, sektoralen Schemata (HIPAA, PSD2, MiFID II) und vom Betreiber definierten benutzerdefinierten Schemata zu.
  • Variante E — Triggergranularität. Die Methode lässt die Trigger-Emission auf folgenden Granularitätsebenen zu: pro Ebene, pro Datensatz, pro Batch, pro Zeitfenster.
  • Variante F — Schätzerparameter. Für den KSG-Schätzer kann k jede ganze Zahl im Bereich [1, 20] sein. Für MINE und InfoNCE kann das zugrundeliegende neuronale Netzwerk jede Feed-Forward-, Rekurrenz- oder Attention-basierte Architektur sein.
  • Variante G — Bereitstellungstopologie. Die Methode lässt Single-Tenant- und Multi-Tenant-Bereitstellungen zu. In Multi-Tenant-Bereitstellungen ist eine mandantenspezifische Konfiguration von Schätzern und Schwellenwerten zulässig. Die Architektur der Mandantenisolation liegt außerhalb des Geltungsbereichs dieses technischen Hinweises.

4. Pseudocode

Der folgende Pseudocode beschreibt eine Referenzimplementierung der in Abschnitt 2 beschriebenen Methode. Der Pseudocode dient der Klarstellung und ist Teil der Offenlegung unter diesem technischen Hinweis.

function verify_deletion(deleted_record r, tiers T):
    results = []
    for each tier Ti in T:
        S_post = get_post_deletion_state(Ti)
        estimator = select_estimator(Ti.config.estimator_family)
        I_est = estimator.compute(r, S_post)

        sensitivity = classify_sensitivity(Ti, scheme=Ti.config.classification_scheme)
        theta = derive_threshold(sensitivity, Ti.config.threshold_mode)

        verified = (I_est <= theta)

        if not verified:
            trigger_type = Ti.config.trigger_type
            emit_trigger(trigger_type, tier=Ti, record=r,
                         I_est=I_est, theta=theta)

        results.append({
            tier: Ti.id,
            estimator: estimator.name,
            I_est: I_est,
            theta: theta,
            sensitivity: sensitivity,
            verified: verified
        })

    emit_verification_result(results)
    return results

5. Offenlegungsaussagen (Anspruchsstil)

Die folgenden Aussagen fassen die Methode im Anspruchsstil zusammen, um Zweifel am Umfang der Offenlegung unter diesem technischen Hinweis auszuschließen.

Aussage 1. Ein Verfahren zur Verifizierung der Löschung eines Datensatzes r in einem mehrstufigen Gedächtnissystem mit mindestens zwei Gedächtnisebenen, wobei das Verfahren umfasst:

(a) für jede Gedächtnisebene Ti, Berechnung einer Mutual-Information-Schätzung I_est(r ; S_Ti_post) zwischen dem gelöschten Datensatz r und einem Post-Lösch-Zustand S_Ti_post dieser Gedächtnisebene unter Verwendung eines Schätzers, der aus einer Familie ausgewählt wird, die mindestens Kraskov-Stögbauer-Grassberger, MINE, InfoNCE, BMA-MI und CMI-NN umfasst;

(b) für jede Gedächtnisebene Ti, Vergleich der Schätzung mit einem ebenspezifischen Schwellenwert θ_Ti, der aus einer Sensibilitätsklassifikation der in dieser Gedächtnisebene gespeicherten Daten abgeleitet wird;

(c) Emission eines Triggers aus einer Triggerfamilie, die mindestens Re-Training, Re-Indexing, Fallback-to-Purge und regulatorische Eskalation umfasst, wenn die Schätzung den Schwellenwert für mindestens eine Gedächtnisebene überschreitet; und

(d) Emission eines Verifizierungsergebnisses.

Aussage 2. Das Verfahren gemäß Aussage 1, wobei die Sensibilitätsklassifikation aus mindestens einem der folgenden Quellen abgeleitet wird: EU AI Act Anhang III, DSGVO Artikel 9, ISO/IEC 27701:2019, NIST SP 800-60, HIPAA, PSD2, MiFID II oder einem vom Betreiber definierten benutzerdefinierten Schema.

Aussage 3. Das Verfahren gemäß Aussage 1 oder 2, wobei der Schwellenwert θ_Ti statisch, dynamisch oder mittels Reinforcement Learning gegen ein vom Betreiber definiertes Belohnungssignal, das Compliance-Audit-Feedback widerspiegelt, abgeleitet wird.

Aussage 4. Das Verfahren gemäß einer der Aussagen 1 bis 3, wobei der Schätzer ein einzelner Schätzer oder ein Ensemble mehrerer Schätzer ist, die mittels Mittelwert-, Median- oder Worst-Case-Aggregation zusammengeführt werden.

Aussage 5. Das Verfahren gemäß einer der Aussagen 1 bis 4, wobei der Trigger auf einer der folgenden Granularitätsebenen emittiert wird: pro Ebene, pro Datensatz, pro Batch oder pro Zeitfenster.

Aussage 6. Das Verfahren gemäß einer der Aussagen 1 bis 5, wobei das mehrstufige Gedächtnissystem mindestens eines der folgenden Elemente umfasst: einen Vektorindex, einen Speicher aktiver Modellparameter, eine Cache-Schicht oder einen Retrieval-Augmented-Dokumentenindex.

Aussage 7. Ein computerimplementiertes System mit mindestens einem Prozessor und mindestens einem Speichergerät, konfiguriert zur Ausführung des Verfahrens gemäß einer der Aussagen 1 bis 6.

Aussage 8. Ein nichtflüchtiges computerlesbares Medium, das Anweisungen speichert, die bei Ausführung durch mindestens einen Prozessor den mindestens einen Prozessor veranlassen, das Verfahren gemäß einer der Aussagen 1 bis 6 auszuführen.

6. Implementierungskontext

Eine Referenzimplementierung der Methode wird für den Einsatz unter der Marke HEINI® (DPMA-Registernummer 30 2026 214 789) entwickelt. Implementierungsdetails, die spezifisch für die Produktionsbereitstellung sind (einschließlich, aber nicht beschränkt auf die in der Produktion verwendeten Schwellenwerte, die mit dem Trigger-Mechanismus verbundene Consistency-Anchoring-Architektur, die Audit-Chain-Architektur und die Multi-Tenant-Isolationsarchitektur), sind nicht Teil der Offenlegung unter diesem technischen Hinweis und verbleiben als Betriebsgeheimnisse und geistiges Eigentum der HEINI Operations UG.

7. Danksagungen und Positionierung zum Stand der Technik

Der Beitrag dieses Hinweises ist die Integration einer ebenenbewussten Mutual-Information-Verifizierung in eine konfigurierbare Produktionspipeline. Der Hinweis beansprucht keinen Beitrag zu: den zugrundeliegenden Mutual-Information-Schätzern (die Kraskov-Stögbauer-Grassberger 2004, Belghazi et al. 2018, van den Oord et al. 2018 und anderen zu verdanken sind), der zugrundeliegenden Theorie des Maschinellen Verlernens (die Cao und Yang 2015, Ginart et al. 2019, Bourtoule et al. 2021, Sekhari et al. 2021 und anderen zu verdanken ist) oder den zugrundeliegenden Differential-Privacy-Frameworks (die Dwork 2006, Mironov 2017 und anderen zu verdanken sind).

8. Lizenz und Umfang der Rechteausübung

Dieser technische Hinweis wird unter der Creative Commons CC0 1.0 Universal Public Domain Dedication veröffentlicht.

Die Rechteausübung gilt für die spezifische Ausführungsform, wie sie in den Abschnitten 2, 3, 4 und 5 dieses technischen Hinweises beschrieben ist. Der benannte Autor, seine verbundenen Unternehmen oder jede Nachfolgeeinheit (einschließlich einer künftigen HEINI Operations- oder HEINI-IP-Einheit nach ordnungsgemäßer Gründung) erheben keine Patentrechte bezüglich der spezifischen Ausführungsform, wie sie in diesen Abschnitten beschrieben ist.

Diese Rechteausübung erstreckt sich nicht auf:

(a) abgeleitete Methoden, die technische Merkmale über die in den Abschnitten 2 bis 5 offengelegten hinaus umfassen, einschließlich, aber nicht beschränkt auf Consistency-Anchoring-Schichten, identitätsverkettete Mandanten-Hashes, append-only Audit-Chains oder andere in Abschnitt 6 als außerhalb des Geltungsbereichs dieser Offenlegung referenzierte architektonische Komponenten;

(b) Methoden, die die offengelegte Ausführungsform mit zusätzlichen unabhängig erfinderischen Komponenten kombinieren, die Gegenstand separater Patentanmeldungen des benannten Autors sind;

(c) Betriebsgeheimnisse, Know-how und Konfigurationsdaten, die in Produktionsbereitstellungen unter der Marke HEINI® verwendet werden, einschließlich, aber nicht beschränkt auf spezifische Schwellenwerte, Schätzer-Hyperparameter und Produktions-Ebenentopologien;

(d) die Anwendung von Rényi-Differential-Privacy-Techniken zur Gedächtnishärtung in hierarchischen Ebenensystemen, die Gegenstand separater Patentanmeldungen bleibt.

Dieser technische Hinweis begründet Stand der Technik im Sinne von § 3 Abs. 1 PatG, Art. 54 (2) EPÜ und 35 USC § 102 (a)(1) im Hinblick auf etwaige spätere Patentanmeldungen Dritter bezüglich der spezifischen Ausführungsform, die in den Abschnitten 2, 3, 4 und 5 beschrieben ist.

Das HEINI®-Wortzeichen (DPMA-Registernummer 30 2026 214 789, Klassen 09, 35, 42) ist nicht Teil dieser CC0-1.0-Rechteausübung und bleibt nach dem deutschen Markengesetz (MarkenG) geschützt.

9. Zitierung

Bei der Zitierung dieses technischen Hinweises bitte verwenden:

HEINI Operations UG. Verifizierbares Vergessen in Mehrstufigen Gedächtnissystemen mittels Ebenenspezifischer Mutual-Information-Schwellenwerte — Ein Technischer Hinweis. Version 1.0, 2026-05-06. CC0 1.0. Verfügbar unter https://heini.app/de/blog/verifizierbares-vergessen-mehrstufiges-gedaechtnis · DOI (diese Version): 10.5281/zenodo.20054270

Zur Zitierung aller Versionen dieses Werks einschließlich künftiger Aktualisierungen verwenden Sie das Concept DOI: 10.5281/zenodo.20054269.

BibTeX:

@techreport{heinen2026verifiableforgetting,
  author       = {{HEINI Operations UG}},
  title        = {Verifizierbares Vergessen in Mehrstufigen Gedächtnissystemen mittels Ebenenspezifischer Mutual-Information-Schwellenwerte --- Ein Technischer Hinweis},
  type         = {Technical Note (Defensive Publication)},
  number       = {Version 1.0},
  year         = {2026},
  month        = {May},
  day          = {6},
  doi          = {10.5281/zenodo.20054270},
  url          = {https://heini.app/de/blog/verifizierbares-vergessen-mehrstufiges-gedaechtnis},
  note         = {CC0 1.0 Universal Public Domain Dedication. Concept DOI for all versions: 10.5281/zenodo.20054269}
}

10. Versionen und Spiegelungen

Dieser technische Hinweis wird in drei identischen Spiegelungen veröffentlicht, um langfristige Verfügbarkeit und verifizierbare Zeitstempelung sicherzustellen:

Der Wayback-Machine-Snapshot der HEINI-Blog-Seite ist verfügbar unter: https://web.archive.org/web/2026*/heini.app/de/blog/verifizierbares-vergessen-mehrstufiges-gedaechtnis

Veröffentlicht im HEINI®-Blog · 2026-05-06 · CC0 1.0 · Kommentare und Fragen willkommen über Susi