Branchenunterschiede: Wer baut selbst und wer kauft ein
Die Daten von GreenPT zeigen deutliche Unterschiede zwischen Branchen. Healthcare und Industrie entwickeln überdurchschnittlich häufig eigene KI-Modelle – vermutlich, weil hochspezialisierte, oft regulierte Trainingsdaten kaum über Standard-Foundation-Models abzubilden sind. Legal, HR, Finance und EdTech setzen dagegen deutlich häufiger auf US-amerikanische Foundation Models. Gerade in diesen Branchen werden aber besonders sensible personenbezogene Daten verarbeitet, wie Bewerbungsunterlagen, Finanzdaten oder Vertragsinhalte, was die rechtliche Risikoexposition durch Cloud Act und Schrems-II-Problematik zusätzlich erhöht.
KI-Modelle: Was Unternehmen jetzt prüfen sollten
Für Entscheider ergibt sich aus der Studie kein Aufruf zum pauschalen Verzicht auf KI-Modelle aus den USA, wohl aber zu mehr Sorgfalt bei der Kommunikation. Fünf Empfehlungen für die Auswahl von KI-Systemen:
Prüfen, ob Versprechen der digitalen Souveränität sich nur auf Hosting oder auch auf den Modellanbieter beziehen.
Vertragspartner und Muttergesellschaft des Modellanbieters identifizieren (US-Bezug ja/nein).
Bei sensiblen Daten „Transfer Impact Assessment“ und technische Zusatzmaßnahmen (Verschlüsselung, Pseudonymisierung) dokumentieren.
Bei Ausschreibungen und Marketingaussagen Begriffe wie „europäisch“ oder „souverän“ nur verwenden, wenn sie den gesamten Stack abdecken.
KI-Modelle wie Mistral oder Open-Source-Modelle als Alternative prüfen, wo fachlich vertretbar.
Die Studie von GreenPT liefert, trotz methodischer Einschränkungen und eigener Marktinteressen des Herausgebers, einen belastbaren Anstoß für eine überfällige Debatte: Digitale Souveränität lässt sich nicht am Serverstandort ablesen. Solange das Fundament vieler KI-Modelle US-amerikanisch bleibt, bleibt auch die europäische Souveränitätsrhetorik in Teilen das, was sie im schlechtesten Fall ist – ein gut getarntes Kuckucksei im eigenen digitalen Nest.
FAQ: Digitale Souveränität und KI-Modelle
Was bedeutet digitale Souveränität bei KI-Anwendungen konkret? Digitale Souveränität umfasst nicht nur den Standort der Server (Hosting), sondern auch die Kontrolle über die eingesetzten KI-Modelle, deren Betreiber und den rechtlichen Zugriffsrahmen. Nur wenn beide Ebenen – Infrastruktur und Modell – in europäischer Hand liegen, ist der Souveränitätsanspruch vollständig erfüllt. Warum reicht EU-Hosting allein nicht aus? EU-Hosting legt lediglich den physischen Speicherort der Daten fest. Es verhindert nicht, dass ein US-amerikanischer Modellanbieter aufgrund des CLOUD Act zur Herausgabe von Daten verpflichtet werden kann – unabhängig davon, ob die Server in Frankfurt oder Virginia stehen. Was ist der US Cloud Act, und warum ist er hier relevant? Der Cloud Act verpflichtet US-Unternehmen und deren Tochtergesellschaften, Daten auf Anordnung US-amerikanischer Behörden herauszugeben, unabhängig vom Speicherort. Das kollidiert mit der DSGVO (Art. 44 ff., Art. 48) sowie mit dem Schrems-II-Urteil des EuGH, das ein angemessenes Datenschutzniveau ohne wirksamen Rechtsschutz für EU-Bürger ausschließt. Welche europäischen Alternativen zu US-Modellanbietern gibt es? Mistral aus Frankreich ist laut der Studie der einzige europäische Frontier-Anbieter mit nennenswerter Marktverbreitung (rund zehn Prozent). Daneben nutzen rund 19 Prozent der Unternehmen Open-Source- beziehungsweise selbst gehostete Modelle als Alternative zu proprietären US-Systemen. Welche Branchen sind von der Souveränitätslücke besonders betroffen? Legal, HR, Finance und EdTech setzen laut Studie überdurchschnittlich häufig auf US-amerikanische Foundation Models – Branchen, die zugleich besonders sensible personenbezogene Daten verarbeiten (Bewerbungen, Finanz- und Vertragsdaten), was die rechtliche Risikoexposition erhöht. Was hat sich durch den EU Data Act verändert? Seit Inkrafttreten des EU Data Act im September 2025 müssen Cloud- und Datenverarbeitungsanbieter in der EU aktiv gegen unrechtmäßige Zugriffsanfragen aus Drittstaaten vorgehen. US-Anbieter stehen damit weiterhin zwischen der US-Pflicht zur Herausgabe (Cloud Act) und der EU-Pflicht zur Verweigerung – ein struktureller Rechtskonflikt, der die bestehenden Risiken zusätzlich verschärft.
Ist die Studie von GreenPT eine neutrale Quelle? Nicht uneingeschränkt: GreenPT bietet selbst europäische beziehungsweise eigene KI-Modelle an und ist damit Wettbewerber der kritisierten US-Anbieter. Die Redaktion greift die Zahlen dennoch auf, da die beschriebene Souveränitätslücke plausibel und die zugrunde liegende Rechtsproblematik unabhängig von GreenPTs Marktinteresse belegbar ist.
KI-Modelle Handlungsempfehlungen für GeschäftsführerDie Souveränitätslücke ist kein rein technisches oder juristisches Detailthema – sie betrifft Haftung, Reputation und Geschäftsmodell zugleich. Für Geschäftsführung und CDO/CIO-Ebene ergeben sich daraus fünf wichtige Handlungsfelder:
Modellwahl auf Geschäftsführungsebene verankern. KI-Modellanbieter sollten nicht allein als IT-Entscheidung behandelt werden, sondern als strategische Frage mit Compliance- und Reputationsrisiko – analog zur Cloud-Strategie.
Eigene Kommunikation prüfen. Wer mit „europäisch“, „souverän“ oder „DSGVO-konform“ wirbt, sollte sicherstellen, dass diese Aussage den gesamten Stack abdeckt – nicht nur den Serverstandort. Andernfalls drohen Abmahnrisiken wegen irreführender Werbung sowie Vertrauensverlust bei Kunden und Investoren.
Risikobewertung nach Datensensibilität differenzieren. Nicht jede KI-Anwendung erfordert einen europäischen Modellanbieter. Für unkritische Anwendungsfälle kann ein US-Modell wirtschaftlich sinnvoll bleiben; bei personenbezogenen oder besonders schützenswerten Daten (HR, Finance, Gesundheit, Recht) sollte die Kombination aus CLOUD Act, DSGVO und ab September 2025 EU Data Act aktiv geprüft werden.
Lieferantenabhängigkeit als Geschäftsrisiko einpreisen. Analog zu Single-Source-Risiken in der Lieferkette sollte die Geschäftsführung bewerten, wie geschäftskritisch die Abhängigkeit von einzelnen US-Anbietern ist – etwa bei Preisänderungen, Exportkontrollen oder politischen Verwerfungen.
Verantwortlichkeit klar zuweisen. Die Prüfung von Modellanbieter, Vertragsstruktur und Datenflüssen sollte nicht implizit bei der IT verbleiben, sondern mit klarer Zuständigkeit (CDO, Datenschutzbeauftragter, Rechtsabteilung) und Berichtspflicht an die Geschäftsführung versehen werden.
Kernbotschaft für Entscheider: Digitale Souveränität ist keine Marketingaussage, sondern eine Frage der Governance – wer sie glaubwürdig beanspruchen will, muss sie bis in den Modell-Layer hinein nachweisen können.
Hinweis der Redaktion: GreenPT bietet selbst europäische beziehungsweise eigene KI-Modelle an und ist damit kein neutraler Marktbeobachter, sondern Wettbewerber der in der Studie kritisierten US-Anbieter. Eine unabhängige Zweitquelle liegt uns derzeit nicht vor. Wir greifen die Studie dennoch auf, weil die Größenordnung der Souveränitätslücke plausibel und die zugrunde liegende Rechtsproblematik unabhängig von dem Marktinteresse von GreenPT belegbar ist.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.