Der entscheidende Test
Viele Anbieter werben mit „Servern in Frankfurt“. Das klingt nach Sicherheit, beantwortet aber die falsche Frage. Entscheidend ist nicht der physische Standort der Festplatten, sondern welcher Rechtsordnung der Betreiber unterliegt. Ist das Mutterunternehmen in den USA registriert, greift der US CLOUD Act: US-Behörden können die Herausgabe von Daten anordnen, unabhängig davon, ob diese in Frankfurt, Dublin oder Virginia liegen.
Datenresidenz ≠ Souveränität
Datenresidenz ist eine geografische Aussage. Souveränität ist eine rechtliche und technische. Erst wenn Betreiber, Technologie-Stack und Jurisdiktion in europäischer Hand sind, bleibt Ihre KI Ihrem Zugriff vorbehalten. Das EuGH-Urteil Schrems II (2020) hat gezeigt, wie fragil EU-US-Datentransfers rechtlich sind; der EU Data Act (anwendbar ab 2025) verlangt von EU-Cloud-Anbietern zusätzlich, unrechtmäßigen Drittstaatenzugriff zu verhindern.
Der US-freie Stack in der Praxis
Souveränität ist machbar, und performant. Beyonetix betreibt offene Sprachmodelle wie Teuken-7B (OpenGPT-X/Fraunhofer), Mistral und Qwen mit vLLM auf GPU-Servern in deutschen Rechenzentren. Keine API-Aufrufe zu US-Anbietern, keine US-Jurisdiktion, kein Training mit Ihren Daten. Ihre KI lebt dort, wo Ihr Geschäft lebt.
Worauf Sie achten sollten
- Wer ist die Muttergesellschaft des Anbieters, und in welchem Land?
- Welche Modelle laufen wo? Offene Gewichte, selbst gehostet, oder API zu einem US-Dienst?
- Existiert ein Verarbeitungsverzeichnis, ein Audit-Log und eine klare Löschstrategie?
- Wird Compliance als Architektur gedacht, oder als nachträglicher Sticker?