Sie müssen keine eigene KI bauen. Sie müssen besitzen, was sie lernt.

IBM hat gerade ein Whitepaper veröffentlicht, das digitale Souveränität als "Mandat auf Vorstandsebene" bezeichnet. Die Schwarz Gruppe, der Konzern hinter Lidl und Kaufland, hat einen 67-seitigen Bericht darüber vorgelegt, warum Europa seine digitalen Abhängigkeiten neu denken muss. Gartner prognostiziert, dass bis 2028 65 Prozent der Regierungen weltweit technologische Souveränitätsanforderungen einführen werden.

Große Worte. Große Unternehmen. Große Politik.

Aber niemand führt dieses Gespräch mit dem 15-köpfigen Rohstofflieferanten in Hamburg. Oder dem Schadensabwicklungsunternehmen in München. Oder dem Biotech-Startup, das herausfinden möchte, welche KI-Tools mit seinen Kundendaten sicher zu verwenden sind.

Das ist ein Problem. Denn für diese Unternehmen stehen die Einsätze vermutlich höher. Ein Chemiekonzern hat eine Rechtsabteilung und einen Datenschutzbeauftragten. Ein Startup hat einen Gründer, der Entscheidungen zwischen Meetings trifft.

Ich arbeite in beiden Welten. Als fraktionaler CCO für Biotech- und Chemieunternehmen, und über opencream.ai, wo ich maßgeschneiderte KI-Lösungen für kleine und mittelgroße B2B-Unternehmen entwickle. Die Souveränitätsfrage taucht öfter auf, als man denken würde. Aber selten in der Form, wie IBM sie in ihrem Whitepaper rahmt.

Das Gespräch, das wirklich stattfindet

Als ich mit dem Aufbau von TraXagent.de begann, einem Tool zur Schadensbeurteilung, das KI zum Analysieren von Fotos und Erstellen von Berichten nutzt, war eine der ersten Fragen potenzieller Kunden: "Wo gehen unsere Daten hin?"

Nicht "Wie genau ist die KI?" Nicht "Wie schnell ist sie?" Wo gehen die Daten hin.

Das sind Fotos beschädigter Immobilien. Versicherungsansprüche. Persönliche Informationen. Sensible Geschäftsdaten. Und sie wollten wissen, ob ihre Fotos auf Server in den USA gesendet, von Unternehmen unter US-Gerichtsbarkeit verarbeitet und möglicherweise zum Training von KI-Modellen genutzt werden, von denen sie nie profitieren würden.

Ich konnte klar antworten: Alle Daten werden in Datenbanken in Europa, genauer in Deutschland, gespeichert. Das spielte eine Rolle. Für einige Kunden war es der ausschlaggebende Faktor.

Die gleiche Frage taucht bei Corial.app auf, dem agentischen CRM, das ich für B2B-Startup-Rohstofflieferanten entwickle. Ein CRM speichert alles: Kundenbeziehungen, Preisstrategien, Kontaktverläufe, Deal-Pipelines. Verkaufszyklen von 12 bis 24 Monaten. Das gesamte kommerzielle Gedächtnis des Unternehmens. Jeder einzelne Datenpunkt läuft durch eine KI-API. Die Frage ist also berechtigt: Was passiert auf der anderen Seite?

Was wirklich mit Ihren Daten passiert (die Fakten)

Hier wird das Gespräch meist unübersichtlich. Menschen hören "KI" und nehmen an, dass alle ihre Daten in eine riesige Trainingsmaschine fließen. Die Realität ist spezifischer, und der Unterschied zwischen den Optionen ist größer als die meisten ahnen.

Kostenlose KI-Tools für Verbraucher

Bei den kostenlosen Versionen von ChatGPT, Gemini und Claude: Ihre Unterhaltungen können zum Training zukünftiger KI-Modelle verwendet werden. Googles kostenloses Gemini speichert Daten standardmäßig bis zu 18 Monate. Menschliche Prüfer können Ihre Gespräche lesen. Wenn Sie Ihre Kundenpreise in das kostenlose ChatGPT einfügen, tragen Sie zu einem Trainingsdatensatz bei, über den Sie nie Kontrolle oder Nutzen haben werden.

Bezahlter API-Zugang

Was Unternehmen wie opencream.ai nutzen: grundlegend andere Bedingungen. Anthropics API behält Daten 7 Tage lang, ausschließlich zur Missbrauchsüberwachung, nie zum Modelltraining. Kein Opt-in, keine Ausnahmen. Googles Gemini-API speichert Daten 55 Tage lang, ebenfalls nur zur Missbrauchsüberwachung, ebenfalls nie zum Training. Beide bieten Enterprise-Kunden Zero-Data-Retention-Optionen an, bei denen überhaupt nichts gespeichert wird.

Das ist keine Marketingaussage. Anthropic hat seine API-Datenhaltung im September 2025 von 30 auf 7 Tage reduziert, speziell um Souveränitätsbedenken zu begegnen. Google bietet Zero-Data-Retention über die Vertex AI-Plattform an. Diese Richtlinien sind dokumentiert und prüfbar.

Der Unterschied zwischen dem Einfügen von Kundendaten in das kostenlose ChatGPT und der Verarbeitung über eine bezahlte API mit europäischer Datenbankspeicherung ist erheblich. Es ist der Unterschied zwischen dem Übergeben Ihrer Hausschlüssel an einen Fremden und dem Beauftragen eines Handwerkers, der auf Ihrem Grundstück arbeitet und es wieder verlässt.

Die drei Schichten der KI-Souveränität

Wenn ich über Souveränität für die Unternehmen nachdenke, mit denen ich arbeite, denke ich in drei Schichten. Die öffentliche Diskussion spricht meist nur über die erste.

Schicht 1: Das KI-Modell

Hier findet die eigentliche Berechnung statt. Anthropics Claude, Googles Gemini, OpenAIs GPT. Ja, das sind amerikanische Unternehmen. Ja, Daten fließen kurz durch ihre Infrastruktur, wenn Sie einen API-Aufruf machen. Aber mit 7 bis 55 Tagen Datenhaltung und ohne Training mit Ihren Daten ist dies die Schicht mit dem geringsten Risiko, solange Sie APIs nutzen und keine kostenlosen Verbraucher-Tools.

Das beste verfügbare KI-Modell zu verwenden, unabhängig vom Herkunftsland, ist kein Souveränitätsproblem. Es ist kluge Ingenieursarbeit. Das eigene Whitepaper der Schwarz Gruppe räumt ein, dass vollständige technologische Autonomie "für die meisten Länder weder technologisch noch wirtschaftlich machbar" sei. Es geht nicht um Isolation. Es geht um Kontrolle.

Schicht 2: Ihre Daten

Hier wird es konkret. Kundendatenbanken. Preishistorie. Beziehungsnotizen. Produktformulierungen. Schadensfotos. Details zur Vertriebspipeline. Diese Daten müssen amerikanische Server überhaupt nicht berühren. Sie liegen in Datenbanken, die Sie kontrollieren, in Europa gehostet, unter DSGVO-Gerichtsbarkeit. Wenn TraXagent.de ein Schadensfoto speichert, geht es auf einen deutschen Server. Wenn Corial.app eine Kundeninteraktion speichert, genauso. Die KI verarbeitet eine Anfrage und gibt eine Antwort zurück. Die Daten bleiben zuhause.

Schicht 3: Die Intelligenz, die Sie aufbauen

Das ist die Schicht, über die niemand spricht, und sie ist die wertvollste. Die Workflows, die Entscheidungslogik, die domänenspezifischen Regeln. Dort bauen Sie tatsächlich einen Vorsprung gegenüber Wettbewerbern auf. Wenn ich KI-Lösungen für B2B-Unternehmen baue, ist die Intelligenzschicht maßgeschneidert. Sie lebt nicht bei Anthropic oder Google. Sie lebt im System, das um deren APIs herum aufgebaut wurde. Sie gehört dem Kunden.

Das proprietäre Wissen eines Chemielieferanten darüber, welche Kunden welche Formulierungen zu welchen Preispunkten benötigen. Das sitzt nicht auf einem Server in Kalifornien. Es liegt in einer europäischen Datenbank, auf die über KI zugegriffen wird, die Anfragen verarbeitet und sie innerhalb von Tagen vergisst.

Warum "einfach europäische KI nutzen" auch keine Antwort ist

Es gibt ein verlockendes Argument: Nutzen Sie einfach europäische KI-Modelle. Aleph Alpha aus Deutschland. Mistral aus Frankreich. Problem gelöst.

So einfach ist es nicht.

Die ehrliche Wahrheit ist, dass für die meisten B2B-Anwendungsfälle, an denen ich arbeite, die amerikanischen Modelle besser sind. Nicht leicht besser. Deutlich besser. Wenn ein Schadensbewerter ein Foto hochlädt und eine genaue Klassifizierung benötigt, oder wenn ein CRM den Kontext einer 14-monatigen Vertriebsbeziehung verstehen muss, entstehen durch schwächere Modelle echte Probleme.

Ein schwächeres Modell aus Souveränitätsgründen zu wählen und dabei an Genauigkeit zu verlieren, macht Ihr Unternehmen nicht souveräner. Es macht es weniger wettbewerbsfähig. Und es gibt keine Souveränität darin, von Unternehmen überholt zu werden, die klügere Technologieentscheidungen getroffen haben.

Der bessere Ansatz: beste Modelle über ordnungsgemäß regulierten API-Zugang, Daten in europäischer Infrastruktur, Intelligenzschicht, die Ihnen gehört. Das ist echte Souveränität.

Das IBM-Whitepaper hatte in einem Punkt recht

IBMs Hauptargument lautet, dass 99 Prozent der Unternehmensdaten ungenutzt bleiben und dass die effektive Nutzung dieser Daten einen souveränen Rahmen erfordert. Ich stimme der Richtung zu, aber ihre Rahmung ist für Fortune-500-Unternehmen mit siebenstelligen IT-Budgets konzipiert.

Für ein 10-köpfiges Biotech-Startup oder einen 15-köpfigen Rohstofflieferanten muss der Rahmen anders sein. Nicht einfacher. Anders. Denn dieselben Fragen gelten:

Wer hat Zugang zu Ihren Kundendaten? Wenn Sie kostenlose KI-Tools nutzen, könnte die Antwort Sie überraschen. Der US CLOUD Act von 2018 gibt amerikanischen Behörden das Recht, unter bestimmten Bedingungen auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden, auch wenn diese Daten im Ausland gehostet werden. Dies steht im direkten Widerspruch zur DSGVO, die eine Einwilligung zur Datenverarbeitung erfordert.

Wo sammelt sich Ihre kommerzielle Intelligenz an? Wenn sie in der Plattform eines anderen ohne Exportoption liegt, haben Sie Ihr Unternehmensgedächtnis ausgelagert. Wenn diese Plattform ihre Bedingungen ändert, Preise erhöht oder abschaltet, geht Ihre Intelligenz mit ihr.

Wem gehört das KI-System, das Ihre Entscheidungen verarbeitet? Wenn Sie sich auf ein generisches Tool verlassen, das Sie nicht kontrollieren, hat jeder Wettbewerber die gleichen Möglichkeiten. Darin liegt kein Vorteil.

Das sind keine theoretischen Fragen. Der Bericht der Schwarz Gruppe stellt fest, dass 53 bis 59 Prozent der deutschen Unternehmen bei KI-Anwendungen und -Infrastruktur auf Nicht-EU-Cloud-Anbieter angewiesen sind. Für die meisten war diese Abhängigkeit nie eine bewusste strategische Entscheidung. Es ist einfach passiert.

So sieht das in der Praxis aus

Bei opencream.ai folgt jede Lösung, die wir entwickeln, derselben Architektur:

Die KI-Modelle kommen von dort, wo sie am besten sind, derzeit Anthropic und Google, abgerufen über deren APIs. Die Datenhaltung ist minimal (7 bis 55 Tage nur zur Missbrauchsüberwachung). Kein Training mit Kundendaten. Zero-Data-Retention wo nötig.

Die Datenbanken befinden sich in Europa. Kundendaten, Geschäftsintelligenz, operative Daten, alles in deutschen oder europäischen Rechenzentren unter DSGVO-Gerichtsbarkeit gespeichert. Als TraXagent.de-Kunden fragten, wo ihre Schadensfotos hinkommen, lautete die Antwort: Deutschland. Wenn Corial.app Vertriebspipelinedaten speichert, genauso.

Die Intelligenzschicht ist maßgeschneidert und gehört dem Kunden. Die Workflows, die Entscheidungslogik, das in das System eingebaute Domänenwissen. Das liegt nicht auf den Servern von Anthropic oder Google. Es steckt in der Architektur, die wir aufbauen. Wenn ein Kunde jemals den KI-Anbieter wechseln möchte, bleiben Daten und Intelligenz. Nur die Modellberechnung ändert sich.

Ist das perfekte Souveränität? Nein. Daten fließen bei der Verarbeitung kurz durch API-Infrastruktur. Aber es ist ein anderes Risikoprofil als das Einfügen von Geschäftsgeheimnissen in ein kostenloses Tool, das diese möglicherweise zum Training nutzt und monatelang speichert.

Das Fenster schliesst sich (aber nicht aus dem Grund, den Sie denken)

Das Whitepaper der Schwarz Gruppe macht einen Punkt über Dringlichkeit, auf den ich immer wieder zurückkomme. Im Jahr 2023 erreichten KI-Investitionen in den USA 67,2 Milliarden Dollar. China lag bei 7,7 Milliarden. Die EU bei 5,8 Milliarden. Der EU AI Act ist nun in Kraft. Bis 2028 erwartet Gartner, dass 65 Prozent der Regierungen technologische Souveränitätsanforderungen einführen.

Für kleine B2B-Unternehmen liegt die Dringlichkeit nicht im Regulatorischen. Noch nicht. Die Dringlichkeit liegt darin, dass Sie jeden Monat, in dem Sie kostenlose KI-Tools nutzen, ohne über Data-Governance nachzudenken, Gewohnheiten und Workflows rund um Systeme aufbauen, die Sie nicht kontrollieren. Wenn die Regulierung kommt, und sie wird kommen, ist die nachträgliche Korrektur Ihrer KI-Architektur viel schwieriger als ein von Anfang an richtiger Aufbau.

Und jeden Monat, in dem Ihr Wettbewerber proprietäre KI-Intelligenz auf ordnungsgemäß verwalteten Daten aufbaut, während Sie in ChatGPT kopieren und einfügen, wächst der Abstand.

Die Unternehmen, die das richtig machen, werden nicht die sein, die amerikanische KI gemieden haben. Sie werden die sein, die die beste verfügbare Technologie genutzt haben, während sie ihre Daten, ihre Intelligenz und ihren Wettbewerbsvorteil unter ihrer eigenen Kontrolle behielten.