EU-KI-Plattformen
DSGVO-Konformität und Schutz vor CLOUD Act-Zugriffen – für sensible Geschäftsdaten im Mittelstand die sicherste Wahl.
EU-KI-Plattformen
DSGVO-Konformität und Schutz vor CLOUD Act-Zugriffen – für sensible Geschäftsdaten im Mittelstand die sicherste Wahl.
Warum sind EU-Anbieter für den Mittelstand wichtig?
US- und chinesische Anbieter bergen rechtliche Risiken – europäische Alternativen bieten Sicherheit.
EU-Anbieter
- ✓DSGVO: Rechtsverbindliche Datenschutzgarantien
- ✓Kein Transfer: Daten bleiben in der EU
- ✓EU AI Act: Compliance von Anfang an
Aleph Alpha, Mistral, meinGPT, nuwacom
US-Anbieter
- •CLOUD Act: US-Behörden können Zugriff auf EU-gespeicherte Daten verlangen
- •Schrems II: Rechtlich unsicherer Datentransfer
- •Training: Oft Nutzung Ihrer Eingaben für Modell-Training
OpenAI, Google, Anthropic, Microsoft
China-Anbieter
- •Staatszugriff: Gesetzliche Kooperationspflicht mit Behörden
- •Keine DSGVO: Kein Angemessenheitsbeschluss
- •Intransparenz: Wenig Einblick in Datenverarbeitung
DeepSeek, Baidu, Alibaba, ByteDance
Prüfpunkte für Ihre KI-Plattform-Strategie
Egal welchen Anbieter Sie nutzen – diese Fragen sollten Sie klären:
Rechenzentrumsstandort
Sind alle produktiven Daten ausschließlich in der EU gespeichert/verarbeitet?
Zusicherungen wie „data storage exclusively in the EU" sind entscheidend.
Rechtlicher Kontrollkreis
Ist der Anbieter ein EU-Rechtssubjekt, oder gibt es Mutterkonzerne außerhalb der EU?
CLOUD-Act-Restrisiko nur für hochregulierte Branchen relevant.
Datenverwendung
Werden Eingaben/Outputs zum Modelltraining oder zur Produktverbesserung genutzt?
„No training on your data" – entscheidend für sensible Unternehmensdaten.
EU Data Boundary vertraglich sichern
Gibt es einen ADV/DPA mit klarer EU Data Boundary-Zusicherung?
AWS/Microsoft: „Seit 2020 keine EU-Daten wegen CLOUD Act offengelegt."
Datensouveränität beginnt bei der Modellarchitektur
Der Standort des Rechenzentrums allein reicht nicht. Entscheidend ist: Wer kontrolliert die Modell-Weights – und auf wessen Hardware laufen sie?
Die zentrale Frage der KI-Souveränität
Souveränität ist keine Frage des Frontends oder des Brandings einer Plattform. Sie entscheidet sich daran, ob Sie die Modell-Weights selbst kontrollieren und ob diese auf Infrastruktur laufen, die keinem Drittlands-Zugriff unterliegt.
Viele als „europäisch" vermarktete Plattformen nutzen im Hintergrund US-Cloud-Infrastruktur oder Closed-Weight-Modelle, deren Weights beim US-Anbieter verbleiben. Das reicht für viele Anwendungsfälle – aber nicht für vollständige Datensouveränität.
Was sind „Weights" – und warum sind sie entscheidend?
Ein KI-Modell wie ChatGPT oder Mistral besteht im Kern aus Milliarden von Zahlenwerten – den sogenannten Weights (Gewichtungen). Sie sind das Ergebnis monatelangen Trainings und bestimmen, wie das Modell Sprache versteht, Texte generiert und Aufgaben löst. Man kann sich Weights als das „Gehirn" der KI vorstellen.
Wer die Weights besitzt und betreibt, kontrolliert die KI. Wenn Sie ein Modell über eine API nutzen (z.B. ChatGPT), laufen die Weights auf den Servern des Anbieters – Ihre Eingaben werden dorthin geschickt und dort verarbeitet. Bei Open-Weight-Modellen können Sie die Weights herunterladen und auf Ihrer eigenen Infrastruktur betreiben – Ihre Daten verlassen nie Ihr Unternehmen.
💡 Einfache Analogie
Closed-Weight = Sie mieten eine Wohnung: Sie können sie nutzen, aber der Eigentümer bestimmt die Regeln und hat den Schlüssel.
Open-Weight = Sie kaufen das Haus: Sie entscheiden, wer Zugang hat und was darin passiert.
Open-Weight vs. Closed-Weight: Der Vergleich
Open-Weight-Modelle
Die Modell-Weights werden veröffentlicht und frei herunterladbar gemacht. Sie können das Modell auf eigenen Servern betreiben — Ihre Daten bleiben in Ihrem Kontrollbereich, keine API-Abhängigkeit, kein Rückkanal zum Anbieter.
- Volle Kontrolle über Datenverarbeitung
- Kein CLOUD-Act-Risiko bei Self-Hosting
- EU AI Act: Bessere Transparenz-Dokumentation möglich
- Anbieterwechsel jederzeit möglich (kein Vendor-Lock-in)
Beispiele: Llama (Meta, US – aber Weights frei), Mistral (FR), Luminous (Aleph Alpha, DE)
Closed-Weight-Modelle
Die Weights bleiben Geschäftsgeheimnis des Anbieters. Zugang nur per API — Ihre Eingaben werden an die Server des Anbieters geschickt und dort verarbeitet. Auch wenn eine EU-Plattform davorsteht, verlassen die Daten Ihren Kontrollbereich.
- Daten werden beim Anbieter verarbeitet
- CLOUD-Act-Risiko bei US-Modellanbietern
- Abhängigkeit von Verfügbarkeit und Preisänderungen
- Kein Einblick in die Datenverarbeitung des Modells
Beispiele: GPT-4/o1 (OpenAI), Claude (Anthropic), Gemini (Google)
Und was ist mit „Open Source"?
Im KI-Kontext werden die Begriffe Open Source und Open Weight oft verwechselt — der Unterschied ist aber relevant:
Open Weight
Die Modell-Weights sind frei verfügbar — Sie können das Modell selbst betreiben. Aber: Der Quellcode des Trainings und die Trainingsdaten sind nicht offengelegt. Sie wissen was das Modell kann, aber nicht exakt wie und womit es trainiert wurde.
Open Source (vollständig)
Weights und Trainingscode und Trainingsdaten sind offen. Maximale Transparenz — Sie können nachvollziehen, wie das Modell entstanden ist und es bei Bedarf selbst weiterentwickeln.
Unsere Einordnung: Für die reine Datensouveränität(Ihre Daten bleiben bei Ihnen) reicht Open Weight — die Weights laufen auf Ihrem Server, kein Rückkanal zum Anbieter. Open Source ist ein zusätzliches Plus für Transparenz und die Dokumentationspflichten des EU AI Act, aber keine Voraussetzung für Datensouveränität. Echtes vollständiges Open Source ist bei den großen Modellen heute die Ausnahme, nicht die Regel.
Drei Stufen der KI-Souveränität
Maximale Souveränität
Open-Weight-Modelle auf eigenen oder deutschen GPU-Servern. Kein Kompromiss bei Datenschutz.
Ideal für: Anwaltskanzleien, Gesundheitswesen, Finanzdienstleister
Managed & souverän
Open-Weight-Modelle über EU-Managed-Services – weniger IT-Aufwand, Souveränität bleibt erhalten.
Ideal für: KMU ohne eigene GPU-Infrastruktur
Pragmatischer Kompromiss
Closed-Weight-Modelle in EU-Region mit AVVAuftragsverarbeitungsvertrag (Art. 28 DSGVO) – regelt verbindlich, wie ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten darf: Zweckbindung, technische Schutzmaßnahmen, Löschpflichten und Unterauftragnehmer.. Maximale Modellqualität, aber Restrisiko bewusst akzeptiert.
Ideal für: Nicht-regulierte Branchen, unkritische Daten
Unsere Einordnung: Transparenz statt Pauschalurteil
Wir analysieren die auf dieser Website gelisteten EU-Plattformen systematisch entlang dieser Souveränitätsstufen. Datengrundlage sind öffentlich zugängliche Informationen, Crawl-Ergebnisse und Dokumentationsanalysen sowie individuelle Herstellerangaben. Die detaillierte Einordnung fließt in unsere persönlichen Kundenbriefings ein, weil eine verantwortungsvolle Bewertung Kontext erfordert: Branche, Risikoappetit und konkreter Anwendungsfall bestimmen, welche Stufe die richtige ist.
EU AI Act – Was bedeutet das für den Mittelstand?
Die meisten KI-Anwendungen (Chatbots, Textgenerierung, Automatisierung) fallen unter „minimales" oder „begrenztes Risiko" – nur HR-Entscheidungen und Kreditscoring erfordern umfassende Dokumentation.
Minimales Risiko
Spam-Filter, einfache Chatbots – keine besonderen Pflichten
Begrenztes Risiko
Deepfakes, KI-generierte Inhalte – Transparenzpflichten
Hohes Risiko
HR-Entscheidungen, Kreditscores – umfassende Compliance
Unannehmbares Risiko
Social Scoring, manipulative KI – verboten
Zeitplan EU AI Act
Kostenloses 30-Min Erstgespräch
In 30 Minuten klären wir unverbindlich gemeinsam, welche EU-konformen KI-Lösungen zu Ihrer Situation passen.
