Digitale Souveränität: Warum Europa eigene KI-Modelle braucht

Wenn ein europäisches Unternehmen heute eine E-Mail versendet, ein Dokument in der Cloud speichert oder eine KI-Analyse durchführt, laufen diese Daten mit hoher Wahrscheinlichkeit über Server eines US-amerikanischen Konzerns. Laut der CISPE European Cloud Market Study 2024 kontrollieren Amazon Web Services, Microsoft Azure und Google Cloud Platform zusammen über 72 Prozent des europäischen Cloud-Marktes. Rechnet man weitere US-Anbieter wie Oracle Cloud, IBM und Salesforce hinzu, liegt der Anteil bei über 80 Prozent. Europäische Alternativen wie OVHcloud, Deutsche Telekom (Open Telekom Cloud) oder Hetzner teilen sich den Rest.

Diese Zahlen beschreiben nicht nur einen wirtschaftlichen Zustand — sie beschreiben eine strategische Abhängigkeit. Europäische Unternehmen, Behörden und Krankenhäuser haben ihre digitale Infrastruktur an Firmen ausgelagert, die dem US-amerikanischen Recht unterliegen. Das bedeutet: Der CLOUD Act, FISA Section 702 und Executive Order 12333 gelten für all diese Daten — unabhängig davon, ob die Server physisch in Frankfurt, Amsterdam oder Paris stehen. Der Europäische Datenschutzausschuss (EDPB) hat in seinen Empfehlungen 01/2020 unmissverständlich klargestellt, dass technische Maßnahmen allein dieses Risiko nicht eliminieren können, solange der Anbieter selbst unter US-Jurisdiktion fällt.

Die Abhängigkeit geht über Cloud-Speicher hinaus. Bei Künstlicher Intelligenz ist die Situation noch dramatischer: OpenAI, Google DeepMind, Anthropic, Meta AI — die Modelle, die heute in europäischen Unternehmen eingesetzt werden, stammen fast ausschließlich aus den USA. Jede Anfrage, jede Analyse, jedes Dokument, das durch diese Modelle verarbeitet wird, verlässt den europäischen Rechtsraum oder unterliegt zumindest der Kontrolle eines US-Unternehmens. Die Europäische Kommission hat im EU Digital Sovereignty Report 2024 diese Doppelabhängigkeit — Cloud plus KI — als eines der kritischsten Risiken für die europäische Wettbewerbsfähigkeit identifiziert.

Während die Debatte über digitale Souveränität in Europa oft auf die USA fokussiert ist, existiert auf der anderen Seite ein mindestens ebenso bedrohliches Rechtsregime. Das Nationale Geheimdienstgesetz der Volksrepublik China (国家情报法), in Kraft getreten am 28. Juni 2017, verpflichtet in Artikel 7 alle chinesischen Organisationen und Bürger dazu, nationale Geheimdienstarbeit zu unterstützen und mit den Nachrichtendiensten zu kooperieren. Artikel 14 erlaubt den Geheimdiensten ausdrücklich, Unternehmen zur Bereitstellung von technischer Unterstützung, Daten und Informationen zu zwingen.

Die Tragweite dieses Gesetzes ist enorm: Es gilt weltweit und ohne Ausnahme für jedes chinesische Unternehmen — egal ob es in Peking, London oder Berlin operiert. Für europäische Unternehmen bedeutet das ein konkretes Risiko bei der Nutzung von Produkten chinesischer Hersteller. Die Diskussion um Huawei im Bereich 5G-Infrastruktur war nur die sichtbarste Spitze dieses Eisbergs. Auch bei TikTok (ByteDance), Alibaba Cloud und anderen chinesischen Technologieanbietern besteht das gleiche strukturelle Problem: Die chinesische Regierung kann jederzeit Zugriff auf verarbeitete Daten verlangen, und das betroffene Unternehmen hat keine rechtliche Möglichkeit, sich zu verweigern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in mehreren Stellungnahmen auf die Risiken durch Technologie aus nicht-vertrauenswürdigen Drittstaaten hingewiesen. Die ENISA Threat Landscape 2024 listet staatlich gesteuerte Cyberangriffe und Datenabfluss über kommerzielle Produkte als wachsende Bedrohung für europäische Unternehmen. Wer also davon ausgeht, dass das Problem der digitalen Abhängigkeit nur US-Anbieter betrifft, macht einen gefährlichen Denkfehler. Europa steht zwischen zwei Supermächten, die beide gesetzliche Instrumente geschaffen haben, um auf Daten ausländischer Unternehmen zuzugreifen — und es braucht eine eigenständige Antwort darauf.

Die Abhängigkeit von US-Diensten ist nicht nur ein Datenschutzproblem — sie ist ein Betriebsrisiko. Und dieses Risiko besteht nicht nur in Krisengebieten. Die transatlantischen Beziehungen zwischen den USA und Europa unterliegen politischen Zyklen, Handelsstreitigkeiten und wechselnden Regierungen. Die Zoll-Eskalation zwischen den USA und der EU im Frühjahr 2025 hat gezeigt, dass wirtschaftlicher Druck auch zwischen Verbündeten eingesetzt wird.

Die Frage ist nicht ob, sondern wann ein europäisches Unternehmen den Zugang zu US-Diensten verlieren könnte. Ein Handelskrieg, eine politische Krise, neue Exportbeschränkungen — die Entscheidung darüber liegt nicht bei Ihnen. Sie liegt bei Firmenzentralen in Redmond, Mountain View und Cupertino, und bei der jeweiligen US-Regierung. Wer seine kritische Infrastruktur an ausländische Anbieter auslagert, gibt die Kontrolle über die eigene Handlungsfähigkeit ab.

Die Bundesregierung KI-Strategie (aktualisiert 2025) benennt die "Verringerung kritischer Abhängigkeiten von nicht-europäischen Anbietern" als eines von fünf strategischen Zielen. Das ist kein Anti-Amerikanismus — es ist wirtschaftliche Vernunft. Kein europäisches Unternehmen würde seine Stromversorgung einem einzigen ausländischen Anbieter anvertrauen. Bei der digitalen Infrastruktur tun es fast alle.

Als der damalige Bundeswirtschaftsminister Peter Altmaier und sein französischer Amtskollege Bruno Le Maire im Oktober 2019 das Projekt Gaia-X vorstellten, war die Vision ambitioniert: Eine souveräne europäische Cloud-Infrastruktur, die europäischen Datenschutzstandards entspricht und die Abhängigkeit von US-Hyperscalern reduziert. Die Idee war, ein föderiertes System zu schaffen, in dem europäische Cloud-Anbieter ihre Dienste über gemeinsame Standards und Schnittstellen anbieten — interoperabel, transparent und DSGVO-konform.

Was dann geschah, ist ein Lehrstück über die Schwierigkeiten europäischer Technologiepolitik. Gaia-X wuchs von einem deutsch-französischen Projekt zu einem Konsortium mit über 350 Mitgliedern — darunter auch Amazon Web Services, Microsoft Azure, Google Cloud, Alibaba und Palantir. Die ursprüngliche Idee einer Alternative zu den Hyperscalern verwandelte sich in ein Forum, in dem genau diese Hyperscaler an den Standards mitschrieben, die sie eigentlich regulieren sollten. Mehrere europäische Gründungsmitglieder, darunter Scaleway (Frankreich), verließen das Projekt aus Protest gegen die Verwässerung der Souveränitätsziele.

Heute existiert Gaia-X zwar weiterhin und arbeitet an Compliance-Labels und Datenraum-Standards, aber die ursprüngliche Vision einer europäischen Cloud-Alternative ist de facto gescheitert. Das CISPE (Cloud Infrastructure Services Providers in Europe) hat in seinem Positionspapier 2024 deutlich formuliert: Gaia-X hat wertvolle Grundlagenarbeit bei Interoperabilitätsstandards geleistet, aber als Instrument zur Herstellung digitaler Souveränität hat es sein Ziel verfehlt. Das bedeutet nicht, dass die Notwendigkeit verschwunden wäre — im Gegenteil. Es bedeutet, dass digitale Souveränität nicht durch ein einzelnes Prestigeprojekt entstehen wird, sondern durch konkrete Produkte, die funktionieren und die europäische Unternehmen tatsächlich einsetzen.

Während Gaia-X im politischen Prozess stecken blieb, entstand die echte europäische Antwort dort, wo Innovation entsteht: in Startups. Mistral AI, gegründet im Mai 2023 in Paris von ehemaligen Forschern von Google DeepMind und Meta AI, hat innerhalb von weniger als zwei Jahren Sprachmodelle entwickelt, die in vielen Benchmarks mit GPT-4 und Claude konkurrieren. Mistral Large, das Flaggschiff-Modell, bietet Enterprise-taugliche Leistung bei Textverständnis, Zusammenfassung, Codegeneration und mehrsprachiger Verarbeitung — und es stammt von einem europäischen Unternehmen, das europäischem Recht unterliegt.

Auf deutscher Seite hat Aleph Alpha, gegründet 2019 in Heidelberg, einen anderen Weg gewählt. Statt auf den Consumer-Markt zu zielen, konzentriert sich Aleph Alpha auf Behörden, Verteidigung und regulierte Industrien. Mit ihrer "Sovereign AI"-Plattform bieten sie On-Premise-Deployment und Betrieb auf europäischer Infrastruktur — ein Angebot, das insbesondere für den öffentlichen Sektor und kritische Infrastrukturen relevant ist. Die Bundesregierung hat Aleph Alpha als strategisches Unternehmen im Rahmen der nationalen KI-Strategie identifiziert, und Partnerschaften mit dem Forschungszentrum Jülich und dem DFKI unterstreichen die Bedeutung des Unternehmens für die deutsche KI-Landschaft.

Beide Unternehmen zeigen, dass Europa nicht mehr auf US-Modelle angewiesen sein muss. Die Qualität ist da. Die Infrastruktur ist da. Was oft noch fehlt, ist das Bewusstsein europäischer Unternehmen, dass sie eine Wahl haben. Die französische Regierung hat im Rahmen des "France 2030"-Programms über 500 Millionen Euro in KI-Unternehmen investiert. Die Bundesregierung KI-Strategie 2025 sieht zusätzliche Mittel für souveräne KI-Infrastruktur vor. Der politische Wille existiert — jetzt muss er in der Unternehmenspraxis ankommen.

Die Debatte über digitale Souveränität wird oft auf die Frage "Wo stehen die Server?" reduziert. Das greift zu kurz. Die entscheidende Frage lautet: Wer kontrolliert die Verarbeitung? Denn bei Künstlicher Intelligenz werden Daten nicht einfach gespeichert — sie werden analysiert, verknüpft, interpretiert und in Entscheidungen umgewandelt. Ein KI-Modell, das Ihre Kundendaten verarbeitet, Ihre Verträge analysiert oder Ihre Geschäftsprozesse optimiert, hat ein tiefes Verständnis Ihrer Organisation. Wer dieses Modell kontrolliert, kontrolliert dieses Wissen.

Das ist der fundamentale Unterschied zwischen Cloud-Speicher und KI-Infrastruktur. Ein Dokument, das auf einem Server liegt, kann kopiert werden — aber es muss erst gelesen und verstanden werden, um es auszuwerten. Ein KI-Modell, das Tausende Ihrer Dokumente verarbeitet hat, hat diese Auswertung bereits vorgenommen. Es kennt Ihre Kundenstruktur, Ihre Preisgestaltung, Ihre internen Schwachstellen. Wenn dieses Modell von einem US-Unternehmen betrieben wird, unterliegt dieses aggregierte Wissen den gleichen Zugriffsgesetzen wie eine einzelne Datei auf einem Cloud-Server — nur ist der potenzielle Schaden ungleich größer.

Der EU AI Act, der am 1. August 2024 in Kraft trat, adressiert Transparenz und Risikoklassifizierung, geht aber nicht weit genug bei der Frage der Infrastruktur-Souveränität. Die ENISA hat in ihrem AI Threat Landscape Report 2024 explizit gewarnt: "Die Konzentration von KI-Kapazitäten bei wenigen nicht-europäischen Anbietern stellt ein systemisches Risiko für die europäische Wirtschaft dar." Wenn Europa im KI-Zeitalter wirtschaftlich und politisch handlungsfähig bleiben will, muss es nicht nur eigene Modelle haben — es muss die gesamte Kette kontrollieren: von der Hardware über die Trainingsinfrastruktur bis zur Deployment-Plattform, auf der Unternehmen diese Modelle einsetzen.

Digitale Souveränität beginnt nicht mit politischen Grundsatzentscheidungen — sie beginnt mit konkreten Entscheidungen bei der nächsten Software-Beschaffung. Jedes europäische Unternehmen kann heute aktiv werden, um seine Abhängigkeit von nicht-europäischen Anbietern zu reduzieren. Die folgenden Schritte sind sofort umsetzbar und erfordern keine politischen Rahmenbedingungen, sondern unternehmerische Entschlossenheit:

• Cloud-Anbieter prüfen: Ist Ihr aktueller Cloud-Provider ein US-Unternehmen? Falls ja, unterliegen Ihre Daten dem CLOUD Act — unabhängig vom Serverstandort. Europäische Alternativen wie Hetzner, OVHcloud, IONOS oder Open Telekom Cloud bieten vergleichbare Leistung ohne extraterritoriale Rechtsrisiken.
• KI-Modelle evaluieren: Wenn Sie KI in Ihrem Unternehmen einsetzen, prüfen Sie die Herkunft des Modells. Mistral, Aleph Alpha und andere europäische Anbieter liefern heute Enterprise-taugliche Qualität. Der Umstieg erfordert technische Anpassungen, aber keine Funktionalitätseinbußen.
• Datenflüsse kartieren: Erstellen Sie eine vollständige Übersicht, welche Daten Ihr Unternehmen verlassen und über welche Anbieter sie verarbeitet werden. Die DSGVO-Verarbeitungsverzeichnisse nach Art. 30 sind ein guter Ausgangspunkt, reichen aber für eine Souveränitätsanalyse nicht aus — Sie müssen auch Sub-Auftragsverarbeiter und API-Anbindungen erfassen.
• Schrittweise migrieren: Digitale Souveränität muss nicht über Nacht hergestellt werden. Beginnen Sie mit den kritischsten Systemen — KI-Verarbeitung, Dokumentenmanagement, Kommunikation — und migrieren Sie schrittweise auf europäische Alternativen.
• Integrierte Plattformen nutzen: Statt für jeden Bereich einen separaten Anbieter zu suchen, bieten integrierte Plattformen wie Nexoria alle Enterprise-Funktionen — KI-Assistent, Dokumentensuche, Wissensdatenbank, Chatbot, Geschäftsprozesse — auf einer einzigen, vollständig in Europa gehosteten Infrastruktur mit europäischen KI-Modellen.

Die Entscheidung für europäische Technologie ist keine Einschränkung — sie ist eine Investition in die Zukunftsfähigkeit Ihres Unternehmens. Europäische KI-Modelle wie Mistral liefern heute eine Qualität, die vor zwei Jahren noch undenkbar war. Europäische Cloud-Anbieter bieten die gleiche Verfügbarkeit und Skalierbarkeit wie die US-Hyperscaler. Der einzige Unterschied: Ihre Daten bleiben unter europäischem Recht, und kein ausländisches Gesetz kann Ihnen den Zugang entziehen. Das ist digitale Souveränität in der Praxis — und sie beginnt mit der nächsten Entscheidung, die Sie treffen.

Nexoria ist ein Beispiel für eine vollständig europäische KI-Plattform — gehostet auf deutschen Servern, betrieben mit Mistral. Sprechen Sie mit uns über Ihre Anforderungen.