Raus aus der US-Cloud: Warum europäische Bürger:innen, Vereine & Unternehmen auf Open Source und lokale LLMs setzen sollten
Bild: KI generiert
Im Januar 2026 bestätigte Microsoft in einem Gerichtsverfahren: Auch europäische Microsoft-Azure-Kunden sind nicht vor US-Behördenanfragen geschützt. Die Nachricht überraschte niemanden, der den US CLOUD Act kennt. Doch viele in Europa dürften, wenn wir ehrlich sind, wenig Zeit damit zubringen, sich über US-Gesetzgebung auf dem Laufenden zu halten. Dieses Beispiel soll nur eines deutlich machen: Wer heute Daten in US-Clouds verarbeitet, gibt die Kontrolle darüber ab.
Das gilt natürlich auch für KI-Anwendungen. Hier fließen ggf. Geschäftsgeheimnisse, Kundendaten, Meetings und strategische Informationen durch Sprachmodelle, um die eigenen Arbeitsabläufe zurecht zu erleichtern. Es ginge aber auch heute schon besser und souveräner. In diesem Artikel erläutern wir euch kurz das rechtliche Problem, zeigen europäische Alternativen auf und rechnen vor, wann sich echtes Self-Hosting (KI-Rechner im eigenen Serverraum) lohnt – und wann EU-Inferenz-Anbieter (also Open Source Large Language Modelle in der EU-Cloud) die bessere Wahl sind.
Das rechtliche Dilemma: CLOUD Act vs. DSGVO
Der US CLOUD Act von 2018 verpflichtet amerikanische Unternehmen zur Herausgabe von Daten – auch dann, wenn diese auf Servern außerhalb der USA liegen. Microsoft, Google, Amazon und OpenAI stellen hier keine Ausnahmen dar. Für europäische Unternehmen entsteht dadurch ein strukturelles Risiko.
Die DSGVO verbietet die Weitergabe personenbezogener Daten an Drittstaaten ohne angemessenes Schutzniveau. Der CLOUD Act ignoriert diese Grenze. US‑Anbieter geraten damit in einen Konflikt: Befolgen sie US‑Recht, verletzen sie potenziell EU‑Recht. Doch klar sollte sein, wo besagte Firmen sitzen und damit auch welchem Recht diese in der USA unmittelbar unterliegen.
Artikel 48 der DSGVO ist eindeutig: Entscheidungen ausländischer Behörden dürfen nur anerkannt werden, wenn ein entsprechendes Rechtshilfeabkommen besteht. Ein solches Abkommen mit den USA existiert hierfür nicht. Die praktische Konsequenz ist klar: Jedes europäische Unternehmen, das US‑Cloud‑Dienste nutzt, geht ein DSGVO‑Risiko ein – verbunden mit der Gefahr eines tatsächlichen Kontrollverlusts über vertrauliche Informationen.
Drei Wege zur Datensouveränität
Unternehmen haben heute drei Optionen, um KI DSGVO-konform einzusetzen:
Option 1: Self-Hosting auf eigener Hardware
Das Modell läuft auf den eigenen Servern (im privaten Bereich auf einem entsprechend ausgestatteten Rechner). Keine Daten verlassen das eigene Netz. Nutzer:innen haben volle Kontrolle über Hardware, Software und Konfiguration.
Vorteile:
- Maximale Datensouveränität.
- Volle Anpassbarkeit.
- Ideal für Hochsicherheitsumgebungen.
- Kein tokenbasiertes Bezahlmodell mehr.
- Die verfügbare Rechenleistung bestimmt die Möglichkeiten bei der LLM‑Auswahl sowie die Antwortgeschwindigkeit (Tokendurchsatz pro Sekunde).
Nachteile:
- Hohe Anfangsinvestition (GPU‑Hardware).
- Energiekosten müssen selbst getragen werden.
- Technisches Know-how ist erforderlich.
- Laufender Wartungsaufwand.
- Rechnet sich meist erst mit hohem Nutzungsvolumen.
Option 2: EU-Inferenz-Anbieter (Open-Source LLMs in der EU Cloud)
Europäische Cloud-Anbieter stellen heute schon das Hosting von Open-Source-Modellen in EU-Rechenzentren zur Verfügung. Die Kontrolle über die eigenen Daten geht so nicht verloren. Das ausgewählte LLM kann direkt über einen API-Schlüssel genutzt und z. B. an eine Chat-App angebunden werden.
Vorteile:
- Schneller Einstieg.
- Keine Hardware-Investitionen.
- Skalierbar.
- DSGVO-konform.
- Geringere Komplexität als Self-Hosting.
- Geringe Kosten bei geringer Nutzungsintensität.
Nachteile:
- Hohe Kosten bei hoher Nutzungsintensität.
- Abhängigkeit vom Anbieter.
- Weniger Kontrolle als Self-Hosting.
Option 3: Managed Hosting bei EU-Cloud-Anbietern
Ihr mietet GPU‑Server bei Hetzner, IONOS oder OVH und betreibt das Modell selbst. Ein Mittelweg: mehr Kontrolle als bei einer Inferenz‑API, weniger Aufwand als On‑Premises.
Vorteile:
- Hohe Datenkontrolle
- Keine Hardware‑Anschaffung
- Energiekosten inklusive
- Flexibel skalierbar
- EU‑Rechtsraum
Nachteile:
- Technisches Setup erforderlich
- Wartungsaufwand
- Höhere Kosten als eine API bei niedrigem Volumen
Wann lohnt sich was?
| Tägliches Token-Volumen | Empfehlung |
|---|---|
| < 100.000 Tokens | EU-Inferenz API |
| 100.000 - 1 Mio. | EU-Inferenz oder Managed Hosting |
| > 1 Mio. Tokens | Self-Hosting prüfen |
Open-Source-Large-Language-Modelle: Die Qual der Wahl
Der Markt für Open-Source-LLMs ist erfreulicherweise groß. So hat selbst OpenAI mit GPT-2 ein Open-Source-Modell veröffentlicht - allerdings reicht dessen Leistung heute nicht mehr für professionelle Anwendungen. Open AIs fähigeren Modelle (GPT-4, GPT-4o) bleiben proprietär und müssen bezahlt werden.
Doch einige beachtenswerte Open-Source-Alternativen kommen aus drei Regionen:
🇪🇺 Europäische Modelle: Mistral AI
Das französische Unternehmen bietet vollständig offene Modelle unter Apache‑2.0‑Lizenz. Mistral Large konkurriert mit GPT‑4. Die Sprachqualität in Deutsch, Französisch und anderen europäischen Sprachen ist oft besser als bei US‑Modellen. Für EU‑Bürger:innen und Unternehmen sowie entsprechende Anwendungsfälle wahrscheinlich die erste Wahl.
🇺🇸 US-Modelle: Meta Llama
Meta hat mit Llama 3 ebenfalls starke Modelle veröffentlicht. Wichtig: Die Lizenz erlaubt kommerzielle Nutzung, hat aber Einschränkungen für Unternehmen mit über 700 Mio. Nutzern. Solltet ihr hiervon betroffen sein, lohnt sich sicherlich ein direktes Telefonat mit Meta ;). Für alle anderen gilt: Solange ihr die Modelle selbst hostet, fließen keine Daten in die USA.
🇨🇳 Chinesische Modelle: DeepSeek & Qwen
DeepSeek und Alibabas Qwen liefern gute Leistung bei niedrigen Kosten. Aber: Die Herkunft wirft Fragen auf. Die Antwort hängt vom Einsatzort bzw. -weg ab:
- Self-Hosted oder EU-Cloud: Die Modellgewichte sind öffentlich. Sie laden sie herunter und betreiben sie lokal. Keine Daten fließen nach China.
- EU-Inferenz-Anbieter: Auch hier bleiben Ihre Daten in der EU. Der Anbieter hostet das Modell, nicht DeepSeek oder Alibaba.
- Direkte API (deepseek.com): Für diese gilt das Gleiche wie bei den eben besprochenen US-Anbietern. Wenn Informationen an proprietäre Systeme übermittelt werden, kann für nichts mehr wirklich garantiert werden. Chinas Cybersecurity-Gesetz verpflichtet ebenfalls zur Kooperation mit Behörden.
EU-Inferenz-Anbieter im Vergleich
| Anbieter | Modelle | Besonderheiten |
|---|---|---|
| Mistral API | Mistral Large, Mixtral | Französisch, direkt vom Hersteller |
| Aleph Alpha | Luminous | Deutsches Unternehmen, B2B-Fokus |
| OVH AI Endpoints | Diverse Open-Source | Französischer Cloud-Riese |
| Scaleway | Mistral, Llama | Französisch, Teil von Iliad |
EU-Cloud-Anbieter für Self-Hosting
| Anbieter | GPU-Optionen | Standorte |
|---|---|---|
| Hetzner | NVIDIA RTX 4000 SFF Ada, NVIDIA RTX PRO™ 6000 Blackwell Max-Q | DE, FI |
| IONOS | NVIDIA® H100/H200 | DE |
| OVH | NVIDIA L1, L4, L40S | FR, DE |
| Scaleway | NVIDIA H100, L40S | FR, NL |
Die Kehrseite: Komplexität statt schnelle Lösungen
Seien wir ehrlich: Ein ChatGPT‑Zugang oder ein OpenAI‑API‑Key für die Entwicklung sind in unter fünf Minuten eingerichtet. Self‑Hosting oder EU‑Inferenz erfordern etwas mehr Setup‑Zeit.
Bei EU‑Inferenz‑Anbietern ist der Mehraufwand überschaubar. API‑Endpunkte, Authentifizierung und Datenverarbeitung funktionieren ähnlich wie bei OpenAI. Die Migration bestehender Anwendungen ist meist an einem Tag erledigt. Für Endanwender gilt es gegebenenfalls, die passende App aus dem großen Open‑Source‑Software‑Angebot auszuwählen.
Self‑Hosting ist anspruchsvoller. Sie brauchen GPU‑Infrastruktur, Container‑Orchestrierung, Monitoring, Sicherheitskonfiguration sowie Updates und Wartung. Ohne dediziertes DevOps‑Team wird das schnell zum Vollzeitjob – und möglicherweise frustrierend.
Unterstützung bei der Umsetzung
Auf dem Weg zu DSGVO-konformer und souveränen KI in Europa können wir Euch begleiten. Von der Strategie bis zur Implementierung:
- Bedarfsanalyse: Welche Option passt zu Eurem Anwendungsfall und Budget?
- Modellauswahl: Welches Open-Source-Modell liefert für Eure Sprache und Domäne die besten Ergebnisse?
- Setup & Integration: Wir richten EU-Inferenz oder Self-Hosting ein und integrieren es in Eure Systeme.
- Compliance-Check: Dokumentation und Prozesse für EU AI Act und DSGVO.
→ Schreibt gerne für eine kostenlose, unverbindliche Beratung: hallo@bitpurpose.de
Fazit
Datenschutz, Souveränität und KI schließen sich nicht aus. Das Ökosystem aus europäischen Modellen, Inferenz-Anbietern und Cloud-Providern ist ausgereift. Die Frage ist nicht mehr, ob, sondern wie.
Für die meisten Unternehmen ist der Einstieg über EU-Inferenz-APIs am sinnvollsten: niedrige Hürde, schnelle Migration, volle DSGVO-Konformität. Wer höhere Volumina oder maximale Kontrolle braucht, wächst ins Self-Hosting hinein. Für Bürger:innen und Endanwender bietet Mistral mit Le Chat einen niedrigschwelligen Einstieg.
Die technische Komplexität ist real, aber lösbar. Die rechtlichen Risiken von US-Cloud-APIs sind es nicht. Ein DSGVO-Bußgeld, ein Datenskandal, ein Vertrauensverlust – dagegen sind Setup-Kosten Kleingeld.
Europa hat die Werkzeuge. Das Momentum ist da. Jetzt müssen wir es nur noch nutzen.
Transparenzhinweis
Dieser Artikel wurde mit Unterstützung eines LLM verfasst und von uns überarbeitet. Die Fakten wurden sorgfältig recherchiert und überprüft.