Tobias Zander Zandups GmbH Kontakt

Tobias Zander.
AI-Builder, Engineer, Gründer.

Engineer seit der Schulzeit, hauptberuflich seit 2001, AI-produktiv seit 2020. Baue Multi-Agent-Systeme in eigenen Unternehmen, schreibe darüber auf LinkedIn, habe das AI Meetup Frankfurt mit gegründet.

Kontakt LinkedIn GitHub
Cases & Lab

Was ich aktuell baue.

Zwei Cases aus eigenen Unternehmen, ein privates Lab. Eigene Daten, eigene Verantwortung, eigene Aufsicht.

abpay GmbH2026MiCAR · DORA

MiCAR-Lizenzantrag, agentengestützt auditiert.

Der vollständige Antrag wurde inklusive der parallel greifenden DORA-Anforderungen in eine Wissensdatenbank überführt und mit AI-Agenten auf Konsistenz, Lücken und regulatorische Risiken geprüft.

savedroid AG2026Multi-Agent

Acht Jahre Rechtsstreit. Multi-Agent-Aufarbeitung.

Hunderte Schriftsätze, Anlagen und Korrespondenzen, mit spezialisierten Agenten indexiert und auf Widersprüche und Argumentationsbrüche durchsucht.

Privat · Labseit 2025Multi-Agent · Vision

AI-Coach für Ausdauer- und Krafttraining.

Privates Coaching-Tool, vier Generationen vom ChatGPT-Prompt bis Multi-Agent-Setup auf Basis von Claude. Code als Open-Source-Plugin verfügbar.

Privat · Labseit 2018Integration · Sensorik

Home Assistant als verteilte State-Machine im Alltag.

Knapp 500 Geräte, 2.000 Entitäten, 150 selbst geschriebene Automationen, Gemini als Modell-Layer für komplexere Entscheidungen. Verteilte State-Machines nicht als Theorie, sondern als gelebter Alltagsbetrieb.

In-House Caseabpay GmbH2026MiCAR · DORA

Der vollständige MiCAR-Lizenzantrag wurde inklusive der parallel greifenden DORA-Anforderungen an digitale Betriebsstabilität in eine Wissensdatenbank überführt und mit AI-Agenten auf Konsistenz, Lücken und regulatorische Risiken geprüft. Parallel haben Agenten die Legacy-Codebasis und die Hosting-Architektur analysiert und Refactoring-Prioritäten für den Lizenzbetrieb gesetzt. Ergebnis ist ein Antragsstand, der einer aufsichtsrechtlichen Prüfung standhalten soll, plus eine Tech-Basis, die unter Lizenzbetrieb tragfähig ist.

Auch übertragbar auf: ISO-27001-Audits, MaRisk-Vorgaben, DORA-Resilienz-Nachweise, Lieferanten-Compliance, revisionssichere Dokumentationspflichten.

In-House Casesavedroid AG2026Multi-Agent

Ein über acht Jahre gewachsener Rechtsstreit im zweistelligen Millionen-Streitwert, mit mehreren hundert Schriftsätzen, Anlagen und Korrespondenzen, wurde mit einem Multi-Agent-System aufgearbeitet. Spezialisierte Agenten haben die Akte indexiert, Aussagen gegeneinander gematcht und systematisch Widersprüche und Argumentationsbrüche herausgearbeitet. Heraus kam eine strukturierte Argumentationsbasis, die mit klassischer Aktensichtung in dieser Tiefe wirtschaftlich nicht herstellbar gewesen wäre.

Auch übertragbar auf: M&A-Due-Diligence, Vertragslandschaften, Versicherungsfälle, Pharma-Zulassungen, Kartell- und Compliance-Verfahren. Überall dort, wo viele Dokumente konsistent gehalten oder gegeneinander geprüft werden müssen.

LinkedIn-Post lesen
Lab ProjectPrivatseit 2025Multi-Agent · Sensorik · Vision

Privates Coaching-Tool, an dem ich seit 2025 kontinuierlich neue Agent-Setups teste. Vier Generationen vom reinen ChatGPT-Prompt über n8n und opencode bis zum aktuellen Multi-Agent-Setup auf Basis von Claude, mit Spezialagenten für Lauf- und Workout-Analyse, Video-Analyse einzelner Übungen, Schuh-Management und Muskel-Mapping mit Fatigue-Einschätzung. Datenintegration über Garmin, Strava, intervals.icu und eigene Videoaufnahmen.

Methodik: Multi-Agent-Architektur, Datenintegration über mehrere Quellen, Iteration über mehrere Stack-Generationen.

Domänenwahl: Ironman-Athlet mit Trainerlizenz, daher Sport-Use-Case als Hands-on-Disziplin.

Code auf GitHub ansehen
Standpunkte

Aktuelle Beobachtungen

26. Mai 2026 · LinkedIn

KI-Schätzungen sind keine Schätzungen über die KI.

Claude gefragt, wie lange ein Refactor eines 800-Zeilen-Controllers dauert. Antwort: ein halber Tag, mit Tests einen Tag. Derselbe Prompt, jetzt mit Auftrag zur Umsetzung. Fertig in zwölf bis fünfzehn Minuten, Tests inklusive. Faktor 30 zwischen Schätzung und Realität, mit derselben Maschine. Das Modell schätzt so, wie ein Senior-Engineer aus 2023 es ihm beigebracht hat. Nicht so, wie es selbst arbeitet.

Vollständig lesen →
19. Mai 2026 · LinkedIn

Copilot wechselt auf usage-based Pricing. Software-Lizenz wird Produktionsinfrastruktur.

Per-Seat heißt: du bezahlst dafür, dass das Werkzeug da ist. Usage-based heißt: du bezahlst dafür, dass es läuft. Teams, die Copilot bisher als Dev-Benefit im Paket hatten, müssen jetzt KI-Output messen. Welche Aufgaben gehen ans Modell, welcher Output geht unverändert durch, wo zahle ich Credits für Ergebnisse, die ich danach korrigiere? Genau die Gespräche, die bei vielen AI-Pilots noch fehlen.

Vollständig lesen →
28. April 2026 · LinkedIn

Sandbox-by-default für AI-Agent-Toolchains ist 2026 keine Paranoia, sondern Hygiene.

In fünf Wochen drei npm-Vorfälle: axios kompromittiert mit 70 Millionen Downloads pro Woche, Namastex Labs als selbst-propagierender Wurm, Bitwarden CLI für 90 Minuten als Malware-Variante in der Pipeline. Neu ist die Geschwindigkeit, mit der ein kompromittiertes Paket in den Workflow rutscht. AI-Coding-Agents ziehen Dependencies hoch und installieren sie schneller, als ein Mensch package.json gegenliest. Allowlist auf Registries, eigener Proxy, install-Hooks nicht durchwinken, Auth-Tokens nicht in der gleichen Umgebung wie ein Agent, der npm install fährt.

Vollständig lesen →
Über mich

Tobias Zander.
AI-Builder, Engineer, Gründer.

Tobias Zander, Portrait mit Sonnenbrille und einem Brachiosaurus-Modell im Hintergrund

Vorstand und CTO der Advanced Bitcoin Technologies AG (Börse Düsseldorf). Mitgründer und CTO der savedroid AG. Geschäftsführer der abpay GmbH (Krypto-Payment, MiCAR-Antragsvorbereitung) und der Zandups GmbH.

Gründer des AI Meetup Frankfurt, das zwischenzeitig zur größten AI-Community Europas angewachsen ist.

Programmieren und Selbstständigkeit beide seit der Schulzeit, der erste Firmen-Eintrag im Rathaus musste meine Mutter mit unterschreiben. Engineering hauptberuflich seit 2001, ab 2007 Vollzeit als Freelancer. Operative Schule als CTO und Partner bei der Frankfurter Agentur Sitewards mit rund zwanzig Entwicklern. Seit 2015 Vorstand und Mitgründer mehrerer eigener Unternehmen: savedroid (zeitweise 30 bis 40 Mitarbeitende), Advanced Bitcoin Technologies und abpay, dazu die Zandups GmbH.

AI habe ich mir nicht nachträglich aufgesetzt. Mein erstes produktives AI-System lief 2020 in der savedroid-App: ein Liquiditäts-Forecast für Privatkunden auf Basis ihrer Kontobewegungen. Seitdem hat jedes meiner Unternehmen mindestens einen produktiven AI-Anwendungsfall, mehrere davon mit aufsichtsrechtlicher Relevanz.

Wer mehr sehen will: LinkedIn für laufende Beiträge, die Cases oben für konkrete Bauarbeiten, der Tech-Stack weiter unten für die Tools dahinter.

Vorstand & CTO
Advanced Bitcoin Technologies AG
seit 2019 · Börse Düsseldorf
ISIN DE000A2YPJ22
Mitgründer & CTO
savedroid AG
seit 2015
Geschäftsführer
abpay GmbH
seit 2021 · MiCAR in Vorbereitung
Geschäftsführer
Zandups GmbH
seit 2015
Tech-Stack

Womit ich produktiv arbeite.

Modell-Layer
Claude (Anthropic) für komplexes Reasoning und Tool-Use, GPT (OpenAI) als Workhorse mit dem breitesten Tool-Ökosystem, Gemini (Google) wenn lange Kontexte tragen müssen, Ollama für lokale und On-Premise-Inferenz, wenn Daten das Haus nicht verlassen dürfen. Eingesetzt entweder direkt über die jeweiligen Anbieter-APIs oder über OpenRouter als Routing-Layer, wenn Multi-Modell-Setups oder Vendor-Unabhängigkeit gewünscht sind.
Agent & Orchestrierung
LangGraph für zustandsbehaftete Multi-Agent-Workflows mit expliziter Recovery-Logik. LangChain als schnellerer Integrations-Layer für Tool-Use und RAG-Pipelines, wenn der State-Aufwand nicht trägt. Claude Agent SDK in größeren Setups, weil das Trade-off zwischen Flexibilität und Wartbarkeit anders liegt: weniger Glue-Code, dafür mehr Vendor-Bindung. Eigene Tool-Layer über vorhandene APIs. Microsoft Copilot und Copilot Studio für M365-integrierte Szenarien, dort wo der Stack ohnehin Microsoft ist.
Beobachtbarkeit
LangSmith für Tracing, Tests und kontinuierliche Qualitätsmessung im Live-Betrieb
Hosting & Infra
AWS, Azure und On-Premise · Region und Service-Auswahl nach Datenschutz- und Compliance-Anforderung
Daten & Retrieval

Datenanbindung an interne Systeme über MCP (Model Context Protocol), klassische APIs sowie Vector-Stores oder RAG-Architekturen je nach Setup. Welche Daten ein Agent zuverlässig sehen darf, ist eine Architekturentscheidung, und gleichzeitig die Stelle, an der DSGVO, EU AI Act und branchenspezifische Vorgaben tatsächlich greifen, nicht erst beim Audit. Datenintegration mache ich seit über zwei Jahrzehnten, AI ist nur die jüngste Schicht obendrauf. Eigener MCP-Server für die abpay-Krypto-Payment-Plattform im produktiven Einsatz.

Privater Integrations-Beleg: Home Assistant mit knapp 500 Geräten, 2.000 Entitäten und 150 Automationen plus Gemini für komplexere Entscheidungen, also verteilte State-Machines als Alltag statt nur Theorie.

Speaking,
Veröffentlichungen
und Community

Tech-Stimme seit über zwei Jahrzehnten.

Meetup

AI Meetup Frankfurt

Gegründet und zwischenzeitig zur größten AI-Community Europas angewachsen. Host-Rolle inzwischen abgegeben, das Meetup läuft unter neuer Leitung weiter.

Gründer Host bis 2021
Zum Meetup →
Bücher

Zwei Fachbücher

Bei entwickler.press: „Security im E-Commerce" und „OWASP Top-10".

Buchcover Security im E-Commerce von Tobias Zander, entwickler.press
Security im E-Commerce, entwickler.press
Buchcover OWASP Top 10 von Tobias Zander, entwickler.press
OWASP Top 10, entwickler.press
Konferenzen

Speaker, national und international

  • Will AI kill the developer's job? code.talks · Hamburg 2021
  • About Intelligence AI Camp Frankfurt 2017
  • savedroid · Live-Demo Finovate · Silicon Valley 2016
  • Secrets of leading developers Magento Imagine · Las Vegas 2015
  • IT-Security · Agile development International PHP Conference · Berlin & Munich 2013–2015
  • Introducing Magento 2 PHP World · Washington DC 2014
  • XSS And SQL Injections: The Tip Of The Web Security Iceberg O'Reilly OSCON · Portland 2014
  • Turbo Boost Your Website (BigPipe) Webinale · Berlin 2014

Weitere Auftritte u. a. auf Developer Conference (Hamburg), eShop Summit (Berlin), Magento Live (München und London), Meet Magento (Leipzig), PHP Unconference (Hamburg), Take Off Conference (Lille) und Webmontag (Frankfurt).

Veröffentlichungen

Fachartikel in Print und online

Weitere Beiträge u. a. zu E-Commerce-Architektur, Apache Solr und Magento 2 in PHP Magazin, webguys.de und weiteren Tech-Publikationen.

Ehemaliges OWASP-Mitglied
Kontakt

Schreiben Sie mir.

Mail an info@tobiaszander.de.

Angaben gemäß § 5 DDG (Digitale-Dienste-Gesetz).

Diensteanbieter

Zandups GmbH
Egelsbacher Straße 79
63225 Langen (Hessen)
Deutschland

Vertretungsberechtigte/r Geschäftsführer/in

Tobias Zander

Kontakt

E-Mail: info@tobiaszander.de

Registereintrag

Eintragung im Handelsregister
Registergericht: Amtsgericht Offenbach am Main
Registernummer: HRB 48730

Verantwortlich für den Inhalt nach § 18 Abs. 2 MStV

Tobias Zander
Anschrift wie oben

EU-Streitschlichtung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: https://ec.europa.eu/consumers/odr/. Unsere E-Mail-Adresse finden Sie oben im Impressum.

Verbraucherstreitbeilegung / Universalschlichtungsstelle

Wir sind nicht bereit oder verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

Haftung für Inhalte

Als Diensteanbieter sind wir gemäß § 7 Abs. 1 DDG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 DDG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt.

Haftung für Links

Unser Angebot enthält Links zu externen Websites Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar.

Urheberrecht

Die durch die Seitenbetreiber erstellten Inhalte und Werke auf diesen Seiten unterliegen dem deutschen Urheberrecht. Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtes bedürfen der schriftlichen Zustimmung des jeweiligen Autors bzw. Erstellers.

Informationen nach Art. 13 und Art. 14 der EU-Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Abs. 7 DSGVO ist:
Zandups GmbH
Egelsbacher Straße 79
63225 Langen (Hessen)
Deutschland
E-Mail: info@tobiaszander.de

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte erforderlich ist. Eine Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder in den Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

3. Bereitstellung der Website und Erstellung von Logfiles

Diese Website wird auf der Cloud-Infrastruktur von Amazon Web Services gehostet. Vertragspartner für Kunden im Europäischen Wirtschaftsraum ist die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg. Beim Aufruf der Website werden automatisch Informationen und Daten erfasst und in einer Logdatei gespeichert:

  • anonymisierte IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seite und übertragene Datenmenge
  • Meldung über erfolgreichen Abruf (HTTP-Statuscode)
  • Referrer-URL und verwendeter Browser sowie Betriebssystem

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der technischen Bereitstellung und Sicherheit der Website. Die Daten werden nach spätestens 14 Tagen gelöscht, sofern sie nicht aus Sicherheitsgründen länger benötigt werden. Mit Amazon Web Services besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Eine Datenverarbeitung erfolgt vorrangig innerhalb der EU; im Rahmen der AWS-Dienste kann nicht ausgeschlossen werden, dass Daten an Amazon Web Services Inc. in die USA übermittelt werden. AWS ist nach dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen: https://aws.amazon.com/de/compliance/eu-data-protection/.

4. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben (E-Mail-Adresse, Name, Inhalt der Nachricht) zur Bearbeitung der Anfrage und für den Fall von Anschlussfragen verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Anbahnung oder Erfüllung eines Vertrags) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung). Die Daten werden gelöscht, sobald sie für den Zweck ihrer Erhebung nicht mehr erforderlich sind, spätestens nach Ablauf etwaiger gesetzlicher Aufbewahrungsfristen.

5. Schriftarten

Die Schriftarten „Geist" und „Geist Mono" werden lokal vom Server dieser Website ausgeliefert. Es findet keine Verbindung zu Google-Servern oder anderen Drittanbietern statt, um die Schriftarten zu laden.

6. Verlinkungen auf externe Dienste

Die Website enthält Links zu externen Diensten (u. a. LinkedIn, GitHub, Meetup, t3n). Erst beim Klick auf einen dieser Links wird eine Verbindung zum jeweiligen Anbieter hergestellt und können personenbezogene Daten (z. B. IP-Adresse) an diesen übermittelt werden. Für die Datenverarbeitung durch diese Dritten gelten deren eigene Datenschutzerklärungen.

7. Keine Cookies, kein Tracking, keine Analytics

Diese Website setzt keine Cookies, verwendet keine Analyse- oder Tracking-Dienste und bindet keine Werbenetzwerke ein.

8. Empfänger und Auftragsverarbeitung

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet ausschließlich im Rahmen der gesetzlichen Vorgaben statt. Mit dem Hosting-Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

9. Ihre Rechte als betroffene Person

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

10. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)
Postfach 3163, 65021 Wiesbaden
https://datenschutz.hessen.de

11. Stand und Anpassung dieser Erklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Durch Weiterentwicklung der Website oder geänderte gesetzliche bzw. behördliche Vorgaben kann eine Anpassung dieser Datenschutzerklärung erforderlich werden.