DB Podcast

Souveräne KI-Angebote

KI-Modelle: Die Kuckuckseier der deutschen KI-Anbieter

< zurück

Seite: 2/2

Anbieter zum Thema

Branchenunterschiede: Wer baut selbst und wer kauft ein

Die Daten von GreenPT zeigen deutliche Unterschiede zwischen Branchen. Healthcare und Industrie entwickeln überdurchschnittlich häufig eigene KI-Modelle – vermutlich, weil hochspezialisierte, oft regulierte Trainingsdaten kaum über Standard-Foundation-Models abzubilden sind. Legal, HR, Finance und EdTech setzen dagegen deutlich häufiger auf US-amerikanische Foundation Models. Gerade in diesen Branchen werden aber besonders sensible personenbezogene Daten verarbeitet, wie Bewerbungsunterlagen, Finanzdaten oder Vertragsinhalte, was die rechtliche Risikoexposition durch Cloud Act und Schrems-II-Problematik zusätzlich erhöht.

KI-Modelle: Was Unternehmen jetzt prüfen sollten

Für Entscheider ergibt sich aus der Studie kein Aufruf zum pauschalen Verzicht auf KI-Modelle aus den USA, wohl aber zu mehr Sorgfalt bei der Kommunikation. Fünf Empfehlungen für die Auswahl von KI-Systemen:

  • Prüfen, ob Versprechen der digitalen Souveränität sich nur auf Hosting oder auch auf den Modellanbieter beziehen. 
  • Vertragspartner und Muttergesellschaft des Modellanbieters identifizieren (US-Bezug ja/nein).
  • Bei sensiblen Daten „Transfer Impact Assessment“ und technische Zusatzmaßnahmen (Verschlüsselung, Pseudonymisierung) dokumentieren.
  • Bei Ausschreibungen und Marketingaussagen Begriffe wie „europäisch“ oder „souverän“ nur verwenden, wenn sie den gesamten Stack abdecken.
  • KI-Modelle wie Mistral oder Open-Source-Modelle als Alternative prüfen, wo fachlich vertretbar.

Die Studie von GreenPT liefert, trotz methodischer Einschränkungen und eigener Marktinteressen des Herausgebers, einen belastbaren Anstoß für eine überfällige Debatte: Digitale Souveränität lässt sich nicht am Serverstandort ablesen. Solange das Fundament vieler KI-Modelle US-amerikanisch bleibt, bleibt auch die europäische Souveränitätsrhetorik in Teilen das, was sie im schlechtesten Fall ist – ein gut getarntes Kuckucksei im eigenen digitalen Nest.

FAQ: Digitale Souveränität und KI-Modelle

Was bedeutet digitale Souveränität bei KI-Anwendungen konkret?
Digitale Souveränität umfasst nicht nur den Standort der Server (Hosting), sondern auch die Kontrolle über die eingesetzten KI-Modelle, deren Betreiber und den rechtlichen Zugriffsrahmen. Nur wenn beide Ebenen – Infrastruktur und Modell – in europäischer Hand liegen, ist der Souveränitätsanspruch vollständig erfüllt.
 
Warum reicht EU-Hosting allein nicht aus?
EU-Hosting legt lediglich den physischen Speicherort der Daten fest. Es verhindert nicht, dass ein US-amerikanischer Modellanbieter aufgrund des CLOUD Act zur Herausgabe von Daten verpflichtet werden kann – unabhängig davon, ob die Server in Frankfurt oder Virginia stehen.
 
Was ist der US Cloud Act, und warum ist er hier relevant?
Der Cloud Act verpflichtet US-Unternehmen und deren Tochtergesellschaften, Daten auf Anordnung US-amerikanischer Behörden herauszugeben, unabhängig vom Speicherort. Das kollidiert mit der DSGVO (Art. 44 ff., Art. 48) sowie mit dem Schrems-II-Urteil des EuGH, das ein angemessenes Datenschutzniveau ohne wirksamen Rechtsschutz für EU-Bürger ausschließt.
 
Welche europäischen Alternativen zu US-Modellanbietern gibt es?
Mistral aus Frankreich ist laut der Studie der einzige europäische Frontier-Anbieter mit nennenswerter Marktverbreitung (rund zehn Prozent). Daneben nutzen rund 19 Prozent der Unternehmen Open-Source- beziehungsweise selbst gehostete Modelle als Alternative zu proprietären US-Systemen.
 
Welche Branchen sind von der Souveränitätslücke besonders betroffen?
Legal, HR, Finance und EdTech setzen laut Studie überdurchschnittlich häufig auf US-amerikanische Foundation Models – Branchen, die zugleich besonders sensible personenbezogene Daten verarbeiten (Bewerbungen, Finanz- und Vertragsdaten), was die rechtliche Risikoexposition erhöht.
 
Was hat sich durch den EU Data Act verändert?
Seit Inkrafttreten des EU Data Act im September 2025 müssen Cloud- und Datenverarbeitungsanbieter in der EU aktiv gegen unrechtmäßige Zugriffsanfragen aus Drittstaaten vorgehen. US-Anbieter stehen damit weiterhin zwischen der US-Pflicht zur Herausgabe (Cloud Act) und der EU-Pflicht zur Verweigerung – ein struktureller Rechtskonflikt, der die bestehenden Risiken zusätzlich verschärft.

Ist die Studie von GreenPT eine neutrale Quelle?
Nicht uneingeschränkt: GreenPT bietet selbst europäische beziehungsweise eigene KI-Modelle an und ist damit Wettbewerber der kritisierten US-Anbieter. Die Redaktion greift die Zahlen dennoch auf, da die beschriebene Souveränitätslücke plausibel und die zugrunde liegende Rechtsproblematik unabhängig von GreenPTs Marktinteresse belegbar ist.

KI-Modelle Handlungsempfehlungen für GeschäftsführerDie Souveränitätslücke ist kein rein technisches oder juristisches Detailthema – sie betrifft Haftung, Reputation und Geschäftsmodell zugleich. Für Geschäftsführung und CDO/CIO-Ebene ergeben sich daraus fünf wichtige Handlungsfelder: 

  • Modellwahl auf Geschäftsführungsebene verankern. KI-Modellanbieter sollten nicht allein als IT-Entscheidung behandelt werden, sondern als strategische Frage mit Compliance- und Reputationsrisiko – analog zur Cloud-Strategie.
  • Eigene Kommunikation prüfen. Wer mit „europäisch“, „souverän“ oder „DSGVO-konform“ wirbt, sollte sicherstellen, dass diese Aussage den gesamten Stack abdeckt – nicht nur den Serverstandort. Andernfalls drohen Abmahnrisiken wegen irreführender Werbung sowie Vertrauensverlust bei Kunden und Investoren.
  • Risikobewertung nach Datensensibilität differenzieren. Nicht jede KI-Anwendung erfordert einen europäischen Modellanbieter. Für unkritische Anwendungsfälle kann ein US-Modell wirtschaftlich sinnvoll bleiben; bei personenbezogenen oder besonders schützenswerten Daten (HR, Finance, Gesundheit, Recht) sollte die Kombination aus CLOUD Act, DSGVO und ab September 2025 EU Data Act aktiv geprüft werden.
  • Lieferantenabhängigkeit als Geschäftsrisiko einpreisen. Analog zu Single-Source-Risiken in der Lieferkette sollte die Geschäftsführung bewerten, wie geschäftskritisch die Abhängigkeit von einzelnen US-Anbietern ist – etwa bei Preisänderungen, Exportkontrollen oder politischen Verwerfungen.
  • Verantwortlichkeit klar zuweisen. Die Prüfung von Modellanbieter, Vertragsstruktur und Datenflüssen sollte nicht implizit bei der IT verbleiben, sondern mit klarer Zuständigkeit (CDO, Datenschutzbeauftragter, Rechtsabteilung) und Berichtspflicht an die Geschäftsführung versehen werden.

Kernbotschaft für Entscheider: Digitale Souveränität ist keine Marketingaussage, sondern eine Frage der Governance – wer sie glaubwürdig beanspruchen will, muss sie bis in den Modell-Layer hinein nachweisen können.

Hinweis der Redaktion: GreenPT bietet selbst europäische beziehungsweise eigene KI-Modelle an und ist damit kein neutraler Marktbeobachter, sondern Wettbewerber der in der Studie kritisierten US-Anbieter. Eine unabhängige Zweitquelle liegt uns derzeit nicht vor. Wir greifen die Studie dennoch auf, weil die Größenordnung der Souveränitätslücke plausibel und die zugrunde liegende Rechtsproblematik unabhängig von dem Marktinteresse von GreenPT belegbar ist.

KI Modelle Heiner SiegerHeiner Sieger
ist Chefredakteur der Fachpublikationen Digital Business Magazin und e-commerce magazin.

Bildquelle: Heiner Sieger

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung