Für Politik·Vertiefung

Souveräne KI für Politik und Verwaltung — Vertiefung

Vom Pflichtenkatalog zur Architektur: was eine Behörde konkret prüfen, beschaffen und betreiben muss.

Souveräne KI ist für Politik und Verwaltung mehr als ein Beschaffungs-Thema: Sie ist die Voraussetzung für Vertrauen in algorithmische Verwaltungsentscheidungen. Wer Bürgerdaten in fremder Jurisdiktion verarbeitet oder Modelle einsetzt, deren Trainings-Provenienz unklar ist, gibt einen Teil staatlicher Souveränität ab — sichtbar im Streitfall, unsichtbar im Alltag.

Warum Souveränität jetzt auf der Verwaltungs-Agenda steht

Öffentliche Verwaltung steht KI-rechtlich am vordersten Punkt: Der EU AI Act stuft fast jede Verwendung in Behörden als Hochrisiko ein — Migration und Asyl, Strafverfolgung, Bildungszugang, kritische Infrastruktur, demokratische Prozesse. Parallel verlangt die DSGVO ihre Anwendbarkeit ohne Hintertüren, und das Bundesdatenschutzgesetz schließt unbeschränkten US-Zugriff auf Bürgerdaten aus. Wer KI in solchen Verfahren einsetzt, betreibt sie unter den schärfsten Anforderungen, die das deutsche und europäische Recht heute kennen.

Anders als in der Privatwirtschaft fehlt Verwaltungen die Möglichkeit, Akzeptanz durch Marktwahl herzustellen. Wer mit dem Finanzamt, dem Sozialamt oder dem Gericht zu tun hat, kann den Anbieter nicht wechseln. Algorithmische Verwaltungsentscheidungen brauchen daher eine Transparenz und Nachvollziehbarkeit, die Closed-API-Modelle aus Drittländern strukturell nicht liefern können — Modell-Versionen, Trainings-Daten und Update-Politik gehören zum demokratischen Rechenschafts-Pflichtenkatalog.

Die deutsche und europäische Politik hat technologische Souveränität in den letzten Jahren von einem Industriepolitik-Begriff zu einem strategischen Eigeninteresse aufgewertet. Beschaffungsentscheidungen für KI-Systeme sind heute auch außenpolitische Entscheidungen — über die Reichweite extraterritorialer Gesetze fremder Staaten in deutschen Verwaltungsabläufen, über Resilienz im Konfliktfall, über die Verhandlungsmacht Europas im globalen KI-Markt.

Drei Spannungsfelder, die Souveränität konkret machen

Hochrisiko per Definition

Annex III des EU AI Act listet öffentliche Verwaltung in mehreren Punkten — Bildungszugang, Asyl, Migration, Strafverfolgung, kritische Infrastruktur, demokratische Prozesse. Praktisch bedeutet das: Konformitätsbewertung, technische Dokumentation, Logging-Pflicht und menschliche Aufsicht für nahezu jedes KI-System mit Bürgerschnittstelle.

Vergaberecht versus Hyperscaler-Realität

Vergaberecht zwingt zu objektiven Kriterien, IT-Sicherheitsrecht schließt extraterritoriale Zugriffe aus, das BSI-Grundschutzkompendium verlangt nachvollziehbare Lieferketten. Closed-API-Angebote ohne Audit-Recht und mit US-Subprocessor-Klauseln passen technisch und rechtlich nicht in dieses Schema — auch wenn sie funktional verlockend wirken.

Vertrauen ist nicht delegierbar

Wenn algorithmische Entscheidungen Bürgerinnen und Bürger betreffen, kann Verantwortung nicht ausgelagert werden. Eine Behörde, die ihren KI-Stack nicht selbst auditieren oder im Streitfall offenlegen kann, verliert die Grundlage demokratischer Rechenschaft. Souveräne Architektur ist hier kein technisches Nice-to-have, sondern Bedingung für Legitimität.

Die vier Säulen souveräner KI

Auf dieser Ebene sind die vier Säulen vertraut. Interessant wird die Trennlinie zwischen marketing-souverän und juristisch souverän — und welche Architektur-Muster den Unterschied tragen.

Modell

Lizenz, Trainings-Provenienz, Migrationspfad — was hält im Audit?

Die Modell-Auswahl entscheidet, ob Sie zwischen Anbietern wechseln können oder nicht. Closed-Source-APIs wie GPT-4o oder Claude bieten exzellente Performance, aber keinen Audit-Pfad zu Trainings-Daten und keine Migrations-Garantie für Ihre Prompts und Fine-Tunes. Open-Weight-Modelle (Mistral Large, Llama 3.x, Teuken-7B, Qwen) lassen sich quantisiert auch auf moderaten GPUs betreiben — ein H100 reicht für 70B-Modelle in INT8. Praxis: Die meisten Souveränitäts-Strategien fahren zwei Geschwindigkeiten. Frontier-API für unkritische Aufgaben (Code-Assist, Marketing-Drafting), Open-Weight selbst gehostet für regulierte und vertrauliche Workloads. Die Gretchen-Frage im Audit ist nie 'welches Modell', sondern 'wie schnell können Sie wechseln'.

Daten

Auftragsverarbeitung, Subprocessor-Kette, technische und vertragliche Schutzschichten

Daten-Souveränität wird im Auftragsverarbeitungs-Vertrag entschieden, nicht im Marketing. Achten Sie auf drei Punkte: erstens die vollständige Subprocessor-Kette — listet der Anbieter US-Subprocessoren oder verbleibt die Verarbeitung in der EU? Zweitens das Trainingsverbot — wird ihre Eingabe zur Modell-Verbesserung verwendet, ja oder nein, vertraglich? Drittens die Verschlüsselung — wer hält die Schlüssel? 'Customer-managed encryption' bei US-Anbietern hilft gegen Mit-Mandanten, nicht gegen den CLOUD Act. Hardware-gestützte Schlüsselverwahrung (HSM) in EU-eigener Hand ist die einzige technische Schutzschicht, die unabhängig vom Vertragspartner trägt.

Betrieb

Auswahlkriterien für souveräne Inferenz-Plattformen

'Europäischer Anbieter' ist Stufe eins, 'unter ausschließlich europäischer Jurisdiktion' ist Stufe zwei. Letzteres bedeutet: keine US-Muttergesellschaft, kein US-Cloud im Backend, keine Service-Level-Vereinbarung, die im Konfliktfall nach US-Recht ausgelegt wird. Realistische Stack-Optionen für GPU-Inferenz: Stackit (Schwarz-Gruppe), OVHcloud, IONOS, Scaleway, deutsche AI-Factories nach EuroHPC-Initiative. Für hochvertrauliche Workloads ist Co-Location die robusteste Variante — eigene Hardware in einem zertifizierten Rechenzentrum, eigener Hypervisor, eigenes Netzwerk-Segment. Klingt teuer, ist bei mittlerer GPU-Auslastung über drei Jahre oft günstiger als Pay-per-Token.

Governance

EU AI Act, Risikoklassifizierung, interne Verantwortlichkeiten

Der EU AI Act gilt seit 2024 und wird bis Mitte 2026 vollständig wirksam. Für Hochrisiko-KI (Personalentscheidungen, Kreditwürdigkeit, kritische Infrastruktur) verlangt er ein dokumentiertes Risikomanagement nach Artikel 9, Datenqualitäts-Maßstäbe nach Artikel 10, technische Dokumentation nach Artikel 11 und menschliche Aufsicht nach Artikel 14. Praktisch heißt das: Sie brauchen eine KI-Inventur, eine Risikoklassifizierung pro Anwendung, ein Verfahren für Betroffenenrechte und eine benannte verantwortliche Person mit Eingriffsbefugnis. Verträge mit Modell-Anbietern müssen die nötigen Audit-Rechte gewähren — sonst können Sie die Compliance-Pflicht nicht erfüllen, selbst wenn Sie wollten.

Spektrum der KI-Souveränität

Von vollständiger Abhängigkeit zu vollständiger Kontrolle – wo steht Ihre Organisation?

← Hohe AbhängigkeitHohe Souveränität →
Level 1
1

Volle Abhängigkeit

Proof of ConceptsNicht-kritische AppsSchnelle Experimente
OpenAI ChatGPT API
Google Gemini API
AWS Bedrock APIs
Anthropic Claude API
Keine Datenkontrolle
Kein Modell-Eigentum
Externe Infrastruktur
Vendor Lock-in
Level 2
2

Hybride Kontrolle

Regulierte BranchenMittelständische UnternehmenCompliance-Anforderungen
Azure AI on VMs
AWS SageMaker
Google Vertex AI
Lokales Modell-Hosting
Teilweise Datenkontrolle
Begrenzte Anpassbarkeit
On-Premises-Option
Anbieterabhängigkeit
Level 3
3

Verwaltete Souveränität

BehördenFinanzdienstleistungenKritische Infrastruktur
Oracle Cloud@Customer
Microsoft Cloud for Sovereignty
OVHcloud KI-Dienste
Regionale Cloud-Anbieter
Datensouveränität
Lokale Jurisdiktion
Compliance-zertifiziert
Geteilte Infrastruktur
Level 4
4

Vollständige Souveränität

Verteidigung & GeheimdiensteGroßkonzerneStrategische KI-Fähigkeiten
On-Premises-Infrastruktur
Open-Source-Modelle (Llama etc.)
Eigene Trainingspipelines
Selbstverwaltete Infrastruktur
Vollständige Kontrolle
Keine Abhängigkeiten
Alles anpassbar
Hohe Komplexität
Der passende Level hängt von Ihrer Risikotoleranz und den strategischen Anforderungen ab. Die meisten Unternehmen benötigen Level 2–3. Kritische Anwendungen erfordern möglicherweise Level 4.

Praxisbeispiele für politik

Antrags-Vorprüfung im Bürgeramt

KontextEine kommunale Verwaltung erschließt eingehende Anträge (Wohngeld, BAföG, Sozialleistungen) für eine Vorprüfung — Vollständigkeit, formale Eignung, Plausibilität.

SouveränModell und Daten verlassen die Behörden-Infrastruktur nicht, Entscheidungen sind erklärbar, eine zuständige Person bleibt vollständig verantwortlich.

BeispielEin selbst gehostetes Open-Weight-LLM (Teuken-7B, Llama-3-Derivat) auf der Souveränen Cloud des Landes-Rechenzentrums, gekoppelt an die Fachverfahrens-Schnittstelle — keine externe API, keine US-Subprocessor.

Recherche und Wissensbasis in Ministerien

KontextMinisterial-Referenten brauchen schnellen Zugriff auf Gesetzestexte, Drucksachen, eigene Stellungnahmen und ressortinterne Auswertungen.

SouveränVertrauliche Verwaltungsvorgänge fließen nicht in Drittstaats-Modelle, Recherche-Logs bleiben in der Behörde, Modell-Versionen sind audit-fähig.

BeispielRAG-Architektur mit Open-Source-Embedding auf einem geschlossenen Vektorspeicher der eigenen IT, LLM-Inferenz auf souveräner GPU-Infrastruktur, kein Trainings-Beitrag an externe Anbieter.

Compliance und Aufsicht in Aufsichtsbehörden

KontextEine Aufsichtsbehörde analysiert große Mengen von Marktbeobachtungen, Beschwerden und Prüfberichten und muss Entscheidungen aufsichtsrechtlich begründbar treffen.

SouveränModell-Wechsel jederzeit möglich, Inferenz-Logs vollständig auditierbar, Quellen für jede algorithmisch unterstützte Aussage rückverfolgbar.

BeispielModulare Pipeline mit dokumentiertem Open-Weight-Modell, lokalem Re-Ranker und versionierter Daten-Lineage von Eingang bis Ausgabe.

Häufige Fragen

Wie verhalten sich EU AI Act und DSGVO konkret in einer Verwaltungs-Pipeline?
Beide gelten kumulativ. DSGVO-Artikel 22 verlangt menschliche Letztentscheidung bei automatisierten Verfahren mit erheblichen Auswirkungen. EU-AI-Act-Artikel 14 verlangt menschliche Aufsicht für Hochrisiko-Systeme — mit Eingriffsbefugnis und Schulung. In der Praxis bedeutet das: nicht nur eine Person, die formal zustimmt, sondern eine Person mit echter Eingriffsmöglichkeit, inklusive Aussetzung des Systems im Verdachtsfall. Inferenz-Logs und Begründungs-Pfade müssen das belegen können.
Welche Lieferanten kommen für souveräne Verwaltungs-KI in Deutschland in Frage?
Stack-Optionen mit produktiver Reife: Open Telekom Cloud Sovereign, Stackit, IONOS Cloud, Landes-Rechenzentren mit GPU-Erweiterung. Für Modell-Inferenz zusätzlich AI-Factories nach EuroHPC-Initiative. Wichtig: Eigentümer-Struktur prüfen — eine deutsche GmbH als US-Subsidiary erfüllt die Souveränitäts-Schwelle nicht. Bewertungsraster orientieren sich an BSI-C5-Kriterien plus zusätzlichen Souveränitäts-Klauseln zu Subprocessor-Kette und Vertragsgerichtsstand.
Was bedeutet die Konformitätsbewertung nach Artikel 43 für eine Behörde?
Behörden sind 'Anbieter' im Sinne des AI Act, sobald sie ein Hochrisiko-System selbst entwickeln oder unter eigenem Namen einsetzen. Damit gilt der Pflichtenkatalog aus Artikel 9 bis 17 vollständig — und die Konformitätsbewertung nach Annex VI (interne Kontrolle) ist verpflichtend. Erforderlich: technische Dokumentation, Qualitätsmanagement-System, Logging mit Replay-Fähigkeit, Konformitäts-Erklärung. Marktüberwachungsbehörden — in Deutschland Bundesnetzagentur und benannte Stellen — können auch direkt prüfend tätig werden.
Was passiert mit bestehenden Verwaltungs-KI-Systemen auf Hyperscaler-Infrastruktur?
Übergangsfristen aus Artikel 113: General-Purpose-AI-Pflichten ab August 2025, Hochrisiko-Pflichten ab August 2026. Behörden müssen bis dahin konformitätsfähig sein — entweder durch Migration auf souveräne Architektur oder durch belastbare Schutzmaßnahmen, die im Einzelfall die Anforderungen erfüllen. Letzteres ist bei US-Hosting durch Schrems-II-Logik faktisch nur bei nicht-personenbezogenen Daten möglich. Für Verwaltungsdaten bleibt damit Migration der realistische Weg.
Wie wird interne Aufsicht aufgesetzt, wenn ein KI-System im Echtbetrieb läuft?
Drei Bausteine: erstens organisatorisch — eine benannte verantwortliche Person mit Eingriffsbefugnis, klare Eskalations-Wege, regelmäßige Schulung. Zweitens technisch — vollständige Inferenz-Logs mit Modell-Version und Eingabe-Hash, Replay-Fähigkeit für Beschwerde-Fälle, Dashboard für Drift-Erkennung. Drittens prozessual — periodische Audit-Reports, Beschwerdebearbeitung mit Frist, dokumentierte Modell-Updates. Diese Bausteine sind keine Compliance-Last, sondern die Rechtsgrundlage, auf der das System überhaupt eingesetzt werden darf.

EU-AI-Act-Pflichten für Hochrisiko-KI gelten ab 2. August 2026; General-Purpose-AI bereits seit 2. August 2025.
Quelle: EU AI Act, Artikel 113

Schrems II (C-311/18) verlangt Einzelfall-Bewertung der Drittlands-Rechtslage und supplementary measures über Standardvertragsklauseln hinaus für jeden Datenexport.
Quelle: EuGH, Urteil vom 16. Juli 2020

Praxisleitfaden · 22 Seiten · PDF

Souveräne KI in der Praxis.

Eine Ausarbeitung für Entscheider: EU AI Act, CLOUD Act, Architektur-Optionen und Vertragsbausteine für die nächsten 18 Monate. Direkt im Postfach, ohne Sales-Anruf.

Ihre E-Mail-Adresse nutzen wir ausschließlich für die Zustellung des Praxisleitfadens und gelegentliche Updates zu souveräner KI. Abmeldung jederzeit per Link in jeder E-Mail. Mehr in unserer Datenschutzerklärung.