Für Unternehmen·Expertenblick

Souveräne KI für Unternehmen — Expertenblick

Architektur-Muster, Konformitätsbewertung und die operative Realität souveräner KI-Stacks.

Souveräne KI bedeutet für Unternehmen: Sie kontrollieren nicht nur die Daten, die ein Modell sieht, sondern auch das Modell selbst, den Betreiber und die Rechtsgrundlage. Wer das delegiert, gibt mehr ab als Effizienz — er gibt Entscheidungsspielraum für die nächsten zehn Jahre ab.

Warum Unternehmen sich jetzt mit Souveränität befassen müssen

Drei Entwicklungen treffen Unternehmen gleichzeitig. Der EU AI Act regelt seit 2024 Hochrisiko-KI europaweit — Verstöße sind mit bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes belegt. Der US CLOUD Act erlaubt US-Strafverfolgern weiterhin Zugriff auf Daten, die in europäischen Tochtergesellschaften US-amerikanischer Anbieter liegen, unabhängig vom physischen Speicherort. Und während die Regulierungsdichte wächst, verlagert sich die KI-Wertschöpfung in die Hand weniger Hyperscaler.

Wer KI heute strategisch einsetzt, baut auf einem Fundament, das andere kontrollieren — die Modellgewichte, die Infrastruktur, die Vertragslage. Vendor-Lock-in entsteht in dieser Konstellation nicht über Nacht, sondern über tausend kleine Integrationen, die einzeln rational waren. Zum Zeitpunkt einer politischen oder kommerziellen Eskalation lässt sich eine solche Bindung nicht in Quartalen lösen, sondern nur in Jahren.

Souveräne KI ist keine Verzichtserklärung gegenüber moderner Technologie. Es ist die Architektur-Entscheidung, dass die Schlüssel zur eigenen Wertschöpfung in der eigenen Jurisdiktion bleiben — vom Modellgewicht über die Daten-Pipeline bis zum Service-Vertrag.

Drei Spannungsfelder, die Souveränität konkret machen

Vendor-Lock-in als unsichtbare Schuld

Drei Jahre Token-Verbrauch in einem Cloud-Stack erzeugen Datenformate, Prompt-Bibliotheken und Workflow-Integrationen, die sich technisch nicht in zwei Quartalen migrieren lassen. Ändert der Anbieter Preis, Modell-Politik oder Verfügbarkeit, fehlt die Ausweich-Option. Souveräne Architekturen halten zumindest die kritischen Komponenten austauschbar.

Doppelte Compliance: EU AI Act und CLOUD Act

Der EU AI Act verlangt für Hochrisiko-KI Risikomanagement, Datenqualitäts-Nachweis, technische Dokumentation und menschliche Aufsicht. Bei US-Hosting kommt der CLOUD Act dazu: ein US-Strafverfolger kann Datenherausgabe verlangen, ohne dass DSGVO-Grundsätze des Verantwortlichen das verhindern. Diese Kollision ist heute nicht mehr abstrakt, sondern aufsichtsrechtlich relevant.

Verhandlungsmacht erodiert pro Quartal

Sobald geschäftskritische Prozesse von einem einzigen Anbieter abhängen, sinkt Ihre Verhandlungsmacht — bei Preiserhöhungen, Service-Level-Verschlechterungen oder politischen Vorgaben des Anbieterstaats. Die Antwort ist nicht, KI zu vermeiden, sondern Modelle und Betreiber so zu wählen, dass ein Wechsel realistisch bleibt.

Die vier Säulen souveräner KI

Auf Experten-Ebene sind die vier Säulen Bewertungsdimensionen, nicht Erklärungs-Hilfen. Die Frage ist, wie sich der Stack unter Last, Audit und Eskalation verhält.

Modell

Provenienz, Lizenz-Bedingungen, Inferenz-Ökonomie unter Souveränitäts-Constraint

Kritische Bewertungsachsen: Trainings-Datensatz-Dokumentation (für EU-AI-Act-Artikel-10-Konformität), Lizenz-Klauseln zu Re-Distribution und Fine-Tuning (Llama-Custom-Use-Klausel vs. Apache-2.0 / MIT), Hardware-Footprint im Inferenz-Mode (ein 70B-Modell quantisiert auf INT4 läuft auf 1×A100 80GB; FP8 auf einer H100 erreicht TPS-Werte vergleichbar zu Closed-API für Batch-Workloads). Für regulierte Branchen ist Open-Weight + selbst-gehostet die einzige Konfiguration, die Audit-Resistenz und Vertrags-Souveränität gleichzeitig erfüllt. Mixed-Strategy mit API-Frontier-Modellen für nicht-vertrauliche Aufgaben bleibt zulässig — solange der Routing-Layer pro Workload-Klasse trennscharf entscheidet und Logs nicht ungewollt in Closed-API-Kontexte fließen.

Daten

DSGVO-EU-AI-Act-CLOUD-Act-Trilemma, technische Mitigationen, Audit-Trail-Design

Drei Rechtsrahmen kollidieren in produktiven Architekturen: DSGVO-Artikel-28-Auftragsverarbeitung mit EU-only-Subprocessor-Klausel; EU-AI-Act-Artikel-10-Datenqualitäts-Nachweis; CLOUD Act und FISA 702 als extraterritoriale US-Zugriffsregime. Schrems II hat klargestellt, dass Standardvertragsklauseln allein nicht reichen — supplementary measures sind Pflicht. Praktische Mitigationen: Confidential Computing (Intel TDX, AMD SEV-SNP) für Inferenz-Isolation; HSM-gestützte Bring-Your-Own-Key-Verfahren mit EU-Hardware-Anker; deterministisches Logging in EU-only Sinks; Pseudonymisierung mit revertierbarem Mapping unter EU-Schlüsselhoheit. Für höchste Schutzstufen: Air-gapped Inferenz-Cluster mit definierter Daten-Diode.

Betrieb

Stack-Architektur, Vertrags-Topologie, Resilienz unter politischer Eskalation

Souveräne Inferenz-Stacks lassen sich nach Schutzbedarf staffeln. Stufe 1 — vertraglich souverän: EU-Anbieter mit EU-Tochter und US-Hyperscaler-Backend (z. B. T-Systems Open Telekom Cloud auf VMware/Azure). Akzeptabel für unkritische Workloads, fällt unter CLOUD-Act-Risiko. Stufe 2 — operativ souverän: vollständig EU-eigene Infrastruktur (OVHcloud, Hetzner, Scaleway, Stackit, IONOS) ohne US-Subprocessoren. Stufe 3 — physisch souverän: eigene Co-Location oder On-Premise mit eigenem Netzwerk-Edge. Bewertungs-Vektor: Recovery-Time bei Anbieter-Ausfall, Migrations-Aufwand zwischen den Stufen, Audit-Kosten pro Stufe. Realistisches Zielbild ist Stufe 2 für Produktion plus Stufe 3 für Kronjuwelen — Stufe 1 nur für isolierbare Workloads mit dokumentiertem Schutzbedarf.

Governance

Audit-Architektur, Exit-Strategie, AI-Act-Hochrisiko-Pflichten in der Praxis

Audit-Architektur ist die Disziplin, die den Stack vor Ort prüfbar macht: vollständige Inferenz-Logs mit Modell-Versions-ID, deterministische Replay-Fähigkeit, Daten-Lineage von Quelle bis Inferenz, Modell-Karten nach Vorgabe von Annex IV des EU AI Act. Exit-Strategie ist die Disziplin, die den Wechsel kalkulierbar hält: standardisierte Prompt- und Fine-Tune-Formate, portable Vektor-Daten (pgvector, Qdrant), abstrahierte Inferenz-API (OpenAI-kompatibel als Lingua franca). Für Hochrisiko-Anwendungen (Annex III) ist die Konformitätsbewertung nach Artikel 43 verpflichtend, inklusive Konformitäts-Erklärung und CE-Kennzeichnung. Realistisch erreichbar ist das nur, wenn Audit-Rechte gegen Modell-Anbieter vertraglich verankert sind — was Closed-Source-API-Anbieter nicht standardmäßig gewähren.

Spektrum der KI-Souveränität

Von vollständiger Abhängigkeit zu vollständiger Kontrolle – wo steht Ihre Organisation?

← Hohe AbhängigkeitHohe Souveränität →
Level 1
1

Volle Abhängigkeit

Proof of ConceptsNicht-kritische AppsSchnelle Experimente
OpenAI ChatGPT API
Google Gemini API
AWS Bedrock APIs
Anthropic Claude API
Keine Datenkontrolle
Kein Modell-Eigentum
Externe Infrastruktur
Vendor Lock-in
Level 2
2

Hybride Kontrolle

Regulierte BranchenMittelständische UnternehmenCompliance-Anforderungen
Azure AI on VMs
AWS SageMaker
Google Vertex AI
Lokales Modell-Hosting
Teilweise Datenkontrolle
Begrenzte Anpassbarkeit
On-Premises-Option
Anbieterabhängigkeit
Level 3
3

Verwaltete Souveränität

BehördenFinanzdienstleistungenKritische Infrastruktur
Oracle Cloud@Customer
Microsoft Cloud for Sovereignty
OVHcloud KI-Dienste
Regionale Cloud-Anbieter
Datensouveränität
Lokale Jurisdiktion
Compliance-zertifiziert
Geteilte Infrastruktur
Level 4
4

Vollständige Souveränität

Verteidigung & GeheimdiensteGroßkonzerneStrategische KI-Fähigkeiten
On-Premises-Infrastruktur
Open-Source-Modelle (Llama etc.)
Eigene Trainingspipelines
Selbstverwaltete Infrastruktur
Vollständige Kontrolle
Keine Abhängigkeiten
Alles anpassbar
Hohe Komplexität
Der passende Level hängt von Ihrer Risikotoleranz und den strategischen Anforderungen ab. Die meisten Unternehmen benötigen Level 2–3. Kritische Anwendungen erfordern möglicherweise Level 4.

Praxisbeispiele für unternehmen

Internes Wissen erschließen

KontextEin Industrieunternehmen erschließt sein internes Dokumenten-Archiv (Verträge, Spezifikationen, Audit-Berichte) für Suche und Frage-Antwort durch Mitarbeitende.

SouveränModell, Vektor-Store und Retrieval laufen in einem EU-Rechenzentrum unter EU-Vertrag. Modellgewichte sind quelloffen oder mit Audit-Recht lizenziert.

BeispielEin Open-Source-LLM (Mistral, Teuken, Llama-3-Derivat) kombiniert mit Weaviate oder pgvector auf Hetzner oder IONOS — vollständig portierbar, vollständig unter eigener Kontrolle.

Kundenservice und Vertrieb

KontextVertrieb und Service nutzen KI zur Antwort-Vorbereitung in Tickets, Mails und Chat. Die Konversationen enthalten personenbezogene Kundendaten.

SouveränDaten verlassen die EU-Jurisdiktion nicht, Modelle werden nicht zum Trainingsmaterial Dritter. Inferenz unter ausschließlich europäischem Vertragsrecht.

BeispielInferenz auf einer souveränen GPU-Plattform (ScaleUp, Stackit, OVHcloud) mit expliziter No-Training-Klausel und EU-Auftragsverarbeitungsvertrag — keine subprocessor-Kette außerhalb der EU.

Risiko- und Compliance-Analyse

KontextInnenrevision oder Risikomanagement analysiert große Mengen von Verträgen, internen Mitteilungen oder Marktdaten und braucht nachvollziehbare Resultate.

SouveränVersionierte Modellstände, vollständige Inferenz-Logs auf eigener Infrastruktur, Audit-fähige Pipeline ohne Black-Box-Schritte.

BeispielEin quelloffenes Embedding-Modell plus selbst gehostete Vektor-Datenbank, kombiniert mit lokalem LLM für Re-Ranking — alle Schritte versioniert und auditierbar, Modellwechsel ohne Datenmigration möglich.

Häufige Fragen

Wie wird ein Hochrisiko-KI-System EU-AI-Act-konform produktiv?
Pflichtenkatalog aus Artikel 9 bis 17 produktiv: Risikomanagement-System (Artikel 9) als kontinuierlicher Prozess, nicht als Einmal-Dokument; Daten-Governance (Artikel 10) inklusive Repräsentativitäts-Nachweis und Bias-Tests; technische Dokumentation nach Annex IV; Logging mit Replay-Fähigkeit (Artikel 12); Transparenz für Anwender (Artikel 13); menschliche Aufsicht mit Eingriffsbefugnis (Artikel 14); Robustheit und Cybersecurity (Artikel 15). Konformitätsbewertung nach Artikel 43 — intern für die meisten Annex-III-Systeme, durch benannte Stelle für biometrische Identifikation. CE-Kennzeichnung nach Artikel 48, Konformitäts-Erklärung nach Artikel 47. Praxis: ein eigener AI-Risk-Officer oder externer benannter Verantwortlicher ist faktisch unverzichtbar.
Welche Rolle spielt Confidential Computing in einem souveränen Stack?
Confidential Computing schließt die Lücke, die rein vertragliche Maßnahmen offen lassen. Intel TDX und AMD SEV-SNP isolieren VMs hardwareseitig vor dem Hypervisor und damit vor dem Cloud-Betreiber selbst — auch ein potenzieller US-Subprocessor sieht den Inferenz-Memory nicht. Für Modell-Inferenz bedeutet das: Sie können einen Open-Weight-LLM in einer enclave ausführen, mit Bring-Your-Own-Key-Verschlüsselung der Daten und Remote Attestation gegen den Stack. Das verschiebt die Vertrauens-Wurzel von der Vertragskette in die Hardware. Limit: GPU-Confidential-Computing (NVIDIA H100 mit CC-On) ist verfügbar, aber Tooling-seitig noch nicht ausgereift; CPU-Inferenz für kleinere Modelle ist heute schon produktionsreif.
Wie gestaltet man Audit-Trails so, dass sie unter aufsichtsrechtlicher Prüfung tragen?
Drei Anforderungen: Vollständigkeit (jeder Inferenz-Aufruf wird mit Eingabe-Hash, Modell-Versions-ID, Parameter-Fingerprint und Ausgabe-Hash protokolliert), Replay-Fähigkeit (deterministische Reproduktion der Ausgabe aus Input und Modell-State; bei stochastischen Modellen mindestens Seed-Logging), und Manipulations-Sicherheit (append-only Log-Sinks, idealerweise mit kryptografischem Anchoring). EU-AI-Act-Artikel 12 verlangt diese Logs für die gesamte Lebensdauer des Hochrisiko-Systems. Praktische Umsetzung: strukturiertes Logging mit OpenTelemetry, Sink in einem EU-only Storage-System (S3-kompatibel mit Object-Lock), Verifikation durch periodische Hash-Vergleiche. Daten-Lineage von Source bis Inferenz parallel pflegen — andernfalls scheitert Artikel-10-Konformität bei Re-Trainings.
Welche Architektur-Entscheidungen halten politische und kommerzielle Eskalationen aus?
Drei Resilienz-Achsen: Modell-Portabilität (offene Gewichte, OpenAI-kompatible Inferenz-API als Schnittstellen-Standard, austauschbare Backends — vLLM, TGI, Ollama, llama.cpp je nach Workload); Daten-Portabilität (offene Vektor-Formate, standardisierte Embeddings-Modelle, dokumentierte Schema-Migration); Vertrags-Portabilität (Multi-Provider-Setup, gestaffelt nach Schutzbedarf — Stufe 1 bis 3, mit dokumentierter Migrations-Reihenfolge bei Stack-Wechsel). Im Eskalations-Fall — etwa Sanktions-bedingter API-Ausfall oder politisch erzwungener Anbieterwechsel — sind das die Achsen, die den Unterschied zwischen 'innerhalb von Tagen umgezogen' und 'Quartalsprojekt' machen. Tabletop-Übungen für solche Fälle gehören zur Vorbereitung, nicht erst zur Reaktion.
Wie wird eine Konformitätsbewertung nach Artikel 43 dokumentiert?
Annex VI (interne Kontrolle) reicht für die meisten Annex-III-Systeme. Erforderliche Dokumente: technische Dokumentation nach Annex IV (Modell-Architektur, Trainings-Daten, Test-Methodologie, Risikomanagement-Maßnahmen, Bewertung der menschlichen Aufsicht); Qualitätsmanagement-System nach Artikel 17 (schriftliche Strategien, Verfahren, Verantwortlichkeiten); Konformitäts-Erklärung nach Artikel 47 mit Verweis auf einschlägige harmonisierte Normen (ISO/IEC 42001 für AI Management Systems, ISO/IEC 23053 für AI System Lifecycle, einschlägige Cybersecurity-Standards). CE-Kennzeichnung nach Artikel 48. Anlassbezogen: Aktualisierung bei wesentlichen Änderungen — neues Modell, neue Trainings-Daten, neue Anwendungs-Domäne. Realistischer Aufwand für Erstellung: 3 bis 6 Monate für ein produktives System, abhängig von Reife des bestehenden QMS.

Annex III des EU AI Act listet acht Bereiche von Hochrisiko-KI: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienstleistungen, Strafverfolgung, Migration, Justiz und demokratische Prozesse.
Quelle: EU AI Act, Annex III

Schrems II verlangt Einzelfall-Bewertung der Drittlands-Rechtslage und ergänzende Maßnahmen über Standardvertragsklauseln hinaus für jeden Datenexport.
Quelle: EuGH, C-311/18, Rn. 134 ff.

Praxisleitfaden · 22 Seiten · PDF

Souveräne KI in der Praxis.

Eine Ausarbeitung für Entscheider: EU AI Act, CLOUD Act, Architektur-Optionen und Vertragsbausteine für die nächsten 18 Monate. Direkt im Postfach, ohne Sales-Anruf.

Ihre E-Mail-Adresse nutzen wir ausschließlich für die Zustellung des Praxisleitfadens und gelegentliche Updates zu souveräner KI. Abmeldung jederzeit per Link in jeder E-Mail. Mehr in unserer Datenschutzerklärung.