1. Mai 2026 5 min Lesezeit
EU-Daten-Residenz für KI — was es konkret bedeutet, welche Anbieter es können
EU-Daten-Residenz ist der Schlüssel für DSGVO-konforme KI. Welche LLMs und Cloud-Plattformen 2026 wirklich liefern — und worauf Sie im Vertrag achten.
- dsgvo
- ki
- eu-hosting
- schrems-ii
- datenschutz
- mittelstand
Warum EU-Daten-Residenz nicht verhandelbar ist
Wenn Sie KI im Mittelstand sauber einbauen wollen, ist EU-Daten-Residenz die wichtigste einzelne Architektur-Entscheidung. Nicht die Modell-Wahl (GPT vs Claude vs Mistral), nicht die Plattform-Wahl (Zoho vs Odoo) — die Daten-Region.
Hintergrund: Der EuGH hat mit dem Schrems-II-Urteil (2020) das EU-US-Privacy-Shield gekippt. Datentransfer in die USA ist seither nur mit aufwändigen zusätzlichen Sicherheits-Mechanismen erlaubt:
- Standard Contractual Clauses (SCCs) — bilaterale Verträge zwischen EU-Mandant und US-Anbieter
- Transfer Impact Assessment (TIA) — Risiko-Analyse pro Datenkategorie
- Zusätzliche Verschlüsselungs- oder Pseudonymisierungs-Maßnahmen — wenn der TIA Risiken aufdeckt
Das ist machbar, aber:
- Aufwändig — pro KI-Anbieter ein eigener TIA, der mit Datenschutzbeauftragten geprüft werden muss
- Mit Restrisiko verbunden — Aufsichtsbehörden können Einzelfälle anders bewerten
- Politisch instabil — Schrems III ist bereits in Vorbereitung, EU-US-Privacy-Framework von 2023 wird wieder angegriffen
Pragmatische Alternative: EU-Daten-Residenz vertraglich zusichern. Wenn die Daten die EU nicht verlassen, gibt es kein Schrems-Problem. Punkt.
Welche LLM-Anbieter EU-Residenz wirklich liefern
| Anbieter | EU-Region | AVV verfügbar | Aufpreis vs US | Mate-iT-Erfahrung |
|---|---|---|---|---|
| Mate iT EU-Hosting | Mate-iT-eigene EU-Infrastruktur | ✅ AVV ab Werk | Service-Pricing | Unsere eigene Hosting-Lösung — Open-Source-LLMs (Mistral, Llama 3.1, Mixtral) auf Mate-iT-betriebener EU-Infrastruktur. Kein US-Vendor, kein Self-Hosting-DevOps-Aufwand. |
| Mistral | Paris (nativ) | ✅ Standard | — (EU-nativ) | Produktiv eingesetzt, gute Capability für Mittelstands-Use-Cases |
| Aleph Alpha (Luminous) | Heidelberg/Köln | ✅ Standard | — (EU-only) | Nische, wenn deutsche Souveränitäts-Anforderung vorhanden |
| Anthropic Claude | AWS-EU-Region (Frankfurt) | ✅ Enterprise-Tier | ~10-15 % | Stark für Reasoning, Long-Context, Vertragsanalyse |
| OpenAI Enterprise | Azure-EU (Frankfurt) | ✅ Enterprise | ~15-20 % | Standard-Setup für Standard-Use-Cases |
| Google Vertex AI (Gemini) | europe-west (Belgien) | ✅ Enterprise | ~5-10 % | Stark für Multimodal (Bild/Video) |
| Microsoft Copilot | Azure-EU | ✅ via M365 | im Bundle | Wenn M365 bereits da ist, naheliegend |
| Self-Hosted (Ollama, vLLM) | eigene Infrastruktur | n/a (kein Anbieter) | nur Hosting-Kosten | Maximale Souveränität, aber DevOps-Aufwand |
Nicht auf der Liste, weil keine echte EU-Residenz:
- ChatGPT Free / Plus / Team — US-Region, kein Enterprise-AVV
- Anthropic Standard-API ohne Enterprise-Vertrag — US-Default
- Open-Source-LLM-Apps (Perplexity, You.com) — meistens US-Backend
- LinkedIn-Sales-Navigator-AI, HubSpot-AI — US-Backend
Was muss im Vertrag stehen
Wenn ein KI-Anbieter „EU-Daten-Residenz” verspricht, prüfen Sie diese fünf Punkte explizit:
1. Verarbeitungs-Region — wo läuft die LLM-Inferenz? Muss namentlich im Vertrag stehen (z.B. „AWS eu-central-1 (Frankfurt)”).
2. Speicher-Region — wo werden Logs, Caches, Backups gespeichert? Muss ebenfalls EU sein. Häufiger Fehler: Verarbeitung EU, aber Backups in US-Region.
3. Sub-Verarbeiter — nutzt der Anbieter selbst Cloud-Services? OpenAI nutzt Azure, Anthropic nutzt AWS, Mistral hostet selbst. Sub-Verarbeiter müssen alle EU-Region haben.
4. Wartungs-Zugriff — kann der Anbieter von außerhalb der EU technisch auf Ihre Daten zugreifen? Standard-AGB der US-Anbieter erlauben das. Bei echten EU-Setups ausgeschlossen.
5. Daten-Löschung — wann werden Anfragen und Antworten endgültig gelöscht? Standard ist 30 Tage Logging zur Fehleranalyse, dann Auto-Delete. Wenn das nicht im Vertrag steht oder „indefinitely” — Hände weg.
Mate iT EU-Hosting — Open-Source-LLMs auf eigener Infrastruktur
Aus 400+ Mittelstands-Projekten haben wir gelernt: viele Mandanten wollen die Souveränität von Self-Hosted-Setups, aber sie haben weder die DevOps-Kapazität noch die Lust, sich um GPU-Server, Modell-Updates und Compliance-Monitoring zu kümmern. Genau diese Lücke schließen wir mit Mate iT EU-Hosting.
Was das ist:
- Eigene EU-Infrastruktur — physisch in deutschen und österreichischen Rechenzentren betrieben, kein US-Vendor im Stack, keine Drittstaat-Datentransfer-Frage
- Open-Source-Modelle — Mistral 8x22B, Llama 3.1 70B, Mixtral, sowie spezialisierte Modelle für Use-Cases wie Vertragsanalyse, Code-Generation, OCR
- AVV ab Werk mit Mate iT GmbH als Auftragsverarbeiter — ein einziger Vertrag, kein Ping-Pong zwischen Anbieter, Cloud, Sub-Verarbeiter
- DevOps übernehmen wir — Modell-Updates, Sicherheits-Patches, Skalierung, Monitoring laufen bei uns. Sie nutzen die API.
- Service-Pricing — keine Token-basierten Versteckkosten, sondern klar kalkulierbare Monatsraten je nach Nutzungsvolumen
Das ist technisch gesehen ein Hybrid aus Pattern B (Self-Hosted) und Pattern C (EU-gehostete API): Sie bekommen die Souveränität von Self-Hosted, aber den Setup-Komfort einer kommerziellen API. Für Mittelständler, die ISO 27001, BAFIN oder KRITIS im Hinterkopf haben, aber keine eigene KI-Engineering-Abteilung aufbauen wollen, ist das oft die saubere Antwort.
Wir bieten das als Add-on zu unseren ERP-Implementations-Projekten an — am häufigsten in Kombination mit Odoo-Setups (siehe /blog/dsgvo-ki-odoo), aber auch standalone, wenn ein bestehender ERP-Stack bereits steht und nur die KI-Schicht ergänzt werden soll.
Mate-iT-Empfehlungs-Matrix
| Use-Case | Empfehlung |
|---|---|
| Standard-Mittelstand (Helpdesk, CRM, Buchhaltung) | Mistral oder Anthropic Claude (EU-AWS) — gute Capability, klare DSGVO-Story |
| Sehr deutsch-zentrische Use-Cases (Personal, Verteidigung, öffentliche Verwaltung) | Aleph Alpha — politisch sauber, etwas weniger Capability aber unkritisch |
| Multimodal (Bild/Video-Analyse) | Google Vertex (Gemini) mit europe-west — stärkstes Multimodal-Modell mit EU-Residenz |
| M365-Stack vorhanden | Microsoft Copilot mit Azure-EU — naheliegend, AVV bereits Teil des M365-Vertrags |
| Souveränität ohne DevOps-Kapazität | Mate iT EU-Hosting — Open-Source-LLMs auf unserer Infrastruktur, AVV mit Mate iT GmbH, kein US-Vendor im Stack |
| Maximale Souveränität (KRITIS, BAFIN, ISO 27001 strenge Auslegung) | Self-Hosted Ollama + Open-Source-Modell auf Ihrer Infrastruktur — keine Anbieter-Abhängigkeit, aber DevOps-Aufwand bei Ihnen |
Häufigster Fehler bei der Vertrags-Prüfung
„Standard-Vertrag, alles deckt sich, EU-Region ist drin, AVV unterzeichnet — Häkchen.” Klingt OK, aber: die EU-Region-Konfiguration muss aktiv vorgenommen werden, nicht standardmäßig.
Beispiel OpenAI: das Enterprise-Tier hat EU-Region als Option, aber Default ist US. Wenn die OpenAI-Admin-Konsole nicht explizit auf „Frankfurt” umgestellt wurde, läuft trotz Vertrag alles über US-Region. Wir prüfen das bei jedem KI-Setup als ersten Schritt — Admin-Konsole-Screenshot mit aktivierter EU-Region als Beweis.
Gleiches gilt für Microsoft Azure OpenAI Service, Google Vertex AI, AWS Bedrock. Default ist US, EU muss aktiv konfiguriert werden.
Zur Pillar-Übersicht
Mehr zur DSGVO-KI-Architektur insgesamt: /blog/dsgvo-ki-mittelstand. Plattform-spezifische Patterns: /blog/dsgvo-ki-zoho, /blog/dsgvo-ki-odoo. KI-Services bei Mate iT: /leistungen/ki-agenten.
Häufige Fragen
Was zählt als EU-Daten-Residenz konkret? +
Drei Bedingungen müssen alle erfüllt sein: (1) Verarbeitung findet physisch in einem EU-Datacenter statt (Frankfurt, Amsterdam, Dublin, Paris etc.). (2) Speicherung von Daten und Backups ebenfalls EU-Region. (3) Kein technischer Zugriff von außerhalb der EU — auch nicht für Wartung, Monitoring, Support. Vertraglich muss der Anbieter alle drei Punkte zusichern. Wenn nur die Verarbeitung EU ist, aber Backups in den USA liegen — keine echte Residenz.
Welche LLM-Anbieter haben echte EU-Daten-Residenz 2026? +
Mistral (französisch, EU-nativ, alle Daten EU), Aleph Alpha (deutsch, EU-only), Anthropic Claude via AWS-EU-Region (mit Enterprise-Vertrag), OpenAI Enterprise mit Frankfurt-Region (verfügbar seit 2024), Google Vertex AI mit europe-west-Region (Belgien/Frankfurt). Microsoft Azure OpenAI Service mit West-Europe-Region. Nicht: ChatGPT Free oder Plus — das ist immer US-Region, kein Enterprise-AVV. Nicht: Standard-Anthropic-API ohne Enterprise-Vertrag.
Was ist Schrems-II und warum ist es wichtig für KI-Setups? +
Schrems-II ist ein EuGH-Urteil von 2020, das das EU-US-Privacy-Shield gekippt hat. Damit ist Datentransfer in die USA nur noch mit zusätzlichen Sicherheits-Mechanismen erlaubt — Standard Contractual Clauses (SCCs) plus Transfer Impact Assessment (TIA) plus ggf. Verschlüsselungs-Maßnahmen. Das ist machbar, aber komplex und mit Restrisiko. EU-Daten-Residenz umgeht das ganze Komplex: wenn die Daten die EU nicht verlassen, gibt es kein Schrems-II-Problem.
Wie viel teurer ist EU-Region gegenüber US-Region? +
Bei den großen LLM-Anbietern (OpenAI, Anthropic, Google) typisch 0-20 % Aufpreis für EU-Region. Mistral und Aleph Alpha haben kein US-Vergleichspreis (sie sind EU-nativ). Die Preisdifferenz ist irrelevant gegen das Schrems-II-Risiko. Wir lehnen Setups ab, die nicht EU-Region garantieren können — der Aufpreis ist Compliance-Versicherung.
Cluster
Weiterlesen
Andere Artikel im selben Themen-Cluster.
- Nº 01 Pillar
DSGVO-konforme KI im Mittelstand — Architektur-Leitfaden
DSGVO-konforme KI im Mittelstand 2026: Architektur-Patterns, Plattform-Setups und die häufigsten Fehler — aus 400+ produktiven Mate-iT-Implementierungen.
Artikel lesen - Nº 02
DSGVO-konforme KI mit Odoo — Self-Hosted, Custom-LLM, volle Datensouveränität
Odoo bietet die größte Flexibilität bei KI-Integrationen — bis hin zum self-hosted LLM auf eigener Infrastruktur. Wann das die richtige Architektur ist, was es kostet, und wie wir es bei Mate iT typisch aufsetzen.
Artikel lesen - Nº 03
DSGVO-konforme KI mit Zoho — Zia, EU-Datacenter, AVV out of the box
Zoho One bringt seine KI-Komponente Zia direkt mit — inklusive EU-Datacenter in Amsterdam und Standard-AVV. Die DSGVO-Frage ist damit weitgehend gelöst, bevor das Setup überhaupt startet. Was das praktisch heißt.
Artikel lesen