KI-Systeme verarbeiten Daten — und die Frage, wo diese Daten liegen, ist für deutsche Mittelständler keine rein technische. Sie berührt Datenschutz, Compliance, Haftung und strategische Abhängigkeiten. Die Wahl zwischen EU-Hosting und US-Cloud ist in den letzten Jahren komplexer geworden — nicht einfacher.
Dieser Artikel gibt eine sachliche Übersicht der wesentlichen Unterschiede, Risiken und Entscheidungsfaktoren — ohne Panikmache und ohne den Anspruch auf Rechtsberatung.
Warum die Serverstandort-Frage bei KI besonders relevant ist
Bei klassischer Software war die Frage des Serverstandorts für viele KMU nachrangig. Bei KI-Systemen ändert sich das aus zwei Gründen:
KI-Systeme verarbeiten oft sensible Inhalte. Kundendaten, interne Dokumente, Vertragsinhalte, E-Mail-Texte — alles, was in ein KI-System eingespeist wird, verlässt das Unternehmen. Wenn dieses System auf einem US-Server läuft, gelten US-Gesetze — einschließlich des CLOUD Acts, der US-Behörden unter bestimmten Umständen Zugriff auf Daten amerikanischer Unternehmen erlaubt, auch wenn diese in Europa gespeichert sind.
LLM-Anbieter sind mehrheitlich US-amerikanisch. GPT-4 (OpenAI), Gemini (Google), Claude (Anthropic) — alle großen Modelle kommen von US-Firmen. Das bedeutet: Selbst wenn Ihr KI-System auf einem EU-Server läuft, werden die Anfragen möglicherweise an US-Endpunkte geschickt, wenn Sie nicht aktiv eine EU-Alternative oder ein eigenes Modell nutzen.
Was die DSGVO konkret fordert
Die DSGVO schreibt keine europäischen Server vor — aber sie regelt, unter welchen Bedingungen Daten in Drittländer übertragen werden dürfen. Für den Transfer in die USA gilt seit dem EU-US Data Privacy Framework (2023) eine neue Grundlage — aber die ist nicht unumstritten und könnte erneut gekippt werden.
Für die Praxis bedeutet das: Sie können US-Dienste nutzen, wenn der Anbieter dem Data Privacy Framework angehört und Sie Standardvertragsklauseln (SCCs) vereinbart haben. Das muss dokumentiert sein — im Verarbeitungsverzeichnis, im AVV und in der Datenschutzerklärung.
Was viele KMU nicht wissen: Selbst ein „DSGVO-konformer“ US-Dienst lässt das CLOUD-Act-Risiko bestehen. Das ist kein unmittelbares Problem für die meisten Mittelständler — aber es ist ein Risiko, das man kennen sollte.
Der praktische Unterschied: EU-Hosting im Vergleich
Wann EU-Hosting die klare Wahl ist
EU-Hosting sollte Ihre erste Wahl sein, wenn:
- Sie mit besonders sensiblen Daten arbeiten (Gesundheitsdaten, Finanzinformationen, vertrauliche Verträge)
- Ihr Unternehmen bestimmten Branchenregulierungen unterliegt (z. B. ISO 27001, TISAX, NIS2)
- Ihre Kunden oder Partner vertragliche Anforderungen an den Serverstandort stellen
- Sie eine stabile, langfristige und rechtssichere Grundlage bevorzugen
Wann US-Clouds vertretbar sind
US-Cloud-Dienste können vertretbar sein, wenn:
- Sie nur mit öffentlichen oder nicht sensiblen Daten arbeiten
- Sie die entsprechenden SCCs und das Data Privacy Framework korrekt dokumentiert haben
- Die gewünschte KI-Funktionalität nur mit US-Diensten erreichbar ist
- Sie die Risiken kennen und intern kommuniziert haben
Was Mittelständler konkret klären sollten
Bevor Sie ein KI-System einführen, stellen Sie Ihrem potenziellen Anbieter diese Fragen:
- Auf welchen Servern läuft das System? In welchem Land?
- Wo werden die Anfragen an das Sprachmodell gesendet? Ist das Modell EU-basiert oder US-basiert?
- Haben Sie einen vorformulierten AVV mit Serverstandortbestätigung?
- Was passiert mit den Eingabedaten nach der Verarbeitung — werden sie gespeichert oder zum Training genutzt?
- Sind Sie Mitglied im EU-US Data Privacy Framework (wenn US-basiert)?
Anbieter, die diese Fragen nicht klar und schriftlich beantworten können, sind für den deutschen Markt ungeeignet — unabhängig davon, wie gut die Technologie ist.
—
Bei cyberEiche betreiben wir alle Kundensysteme auf EU-Servern (Hetzner Cloud, Deutschland). Anfragen an Sprachmodelle werden über EU-konforme Endpunkte geroutet, kein Klartext-PII wird an das Modell weitergegeben. Alle Details besprechen wir offen im Erstgespräch.