Auf dieser Seite
Lange wurde die Entscheidung zwischen europäischer und amerikanischer Unternehmens-IT als Abwägung zwischen Leistungsumfang und Souveränität behandelt. US-Hyperscaler punkteten mit schnellerer Bereitstellung, größerer Funktionstiefe und niedrigeren Einstiegskosten. Europäische Alternativen erforderten mehr Eigenleistung. Die Mehrheit der Unternehmen entschied sich für die amerikanischen Angebote.
Diese Entscheidungsgrundlage hat sich verschoben. Nicht weil europäische Lösungen technologisch aufgeholt hätten, sondern weil die strukturellen Kosten der Abhängigkeit von US-Anbietern mit zunehmender geopolitischer Volatilität greifbar geworden sind.
Das Abhängigkeitsproblem ist juristischer Natur
Das zentrale Risiko europäischer Unternehmen beim Einsatz von US-Cloud- und KI-Infrastruktur ist kein technisches Sicherheitsproblem. Es ist ein Jurisdiktionsproblem.
Der US CLOUD Act, seit 2018 in Kraft, verpflichtet US-amerikanische Anbieter zur Herausgabe von Daten gegenüber US-Behörden auf behördliche Anforderung hin, unabhängig vom physischen Speicherort. Ein Rechenzentrum in Frankfurt, das von einem US-Unternehmen betrieben wird, unterliegt US-Bundesrecht. Dieser Umstand steht in direktem Widerspruch zu den Verarbeitungsverboten der DSGVO und kollidiert in Branchen mit gesetzlicher Schweigepflicht mit strafrechtlich sanktionierten Berufsgeheimnissen.
Der Europäische Gerichtshof hat diese Grenzlinie im Schrems-II-Urteil 2020 verbindlich gezogen: Das EU-US Privacy Shield wurde wegen unzureichenden Schutzniveaus für ungültig erklärt. Das Nachfolgeinstrument, das EU-US Data Privacy Framework von 2023, steht bereits unter gerichtlichem Prüfvorbehalt. Unternehmen, die ihre Compliance-Architektur einmal auf dem Privacy Shield aufgebaut hatten, kennen die operative Konsequenz einer solchen Kassation.
Für Unternehmen in Versicherung, Gesundheitswesen, Rechtsberatung, Finanzdienstleistungen und Energieversorgung ist die regulatorische Exposition durch US-cloudbasierte Verarbeitung sensibler Daten keine IT-Frage. Es ist ein Haftungsrisiko, das auf Vorstandsebene zu behandeln ist.
Strukturelle Grenzen der Verlässlichkeit
Das Abhängigkeitsproblem geht über Jurisdiktionsfragen hinaus. US-Technologieanbieter treffen unilaterale operative Entscheidungen, die unmittelbare Konsequenzen für europäische Unternehmenskunden haben.
Preisstrukturen werden ohne bilaterale Verhandlung geändert. Der Zugang zu bestimmten Modellen oder Diensten wird auf Basis von US-Exportkontrollvorschriften eingeschränkt, auf die europäische Unternehmen keinen regulatorischen Einfluss haben. Nutzungsbedingungen ändern sich nach Zeitplänen, die an Unternehmensstandorten in Californien gesetzt werden. Bei Verschiebungen im geopolitischen Umfeld werden Produkt-Roadmaps und regionale Verfügbarkeitszusagen entsprechend angepasst.
Dies ist keine Kritik am Geschäftsmodell dieser Unternehmen. Es ist dessen strukturelle Eigenschaft. Sie operieren auf globalen Märkten und optimieren für globale Rahmenbedingungen. Ihre Verpflichtungsstruktur orientiert sich an Aktionärsinteressen und US-regulatorischen Anforderungen. Die Betriebskontinuität europäischer Unternehmenskunden ist eine nachgeordnete Optimierungsgröße.
Für regulierte europäische Unternehmen ist das keine tragfähige Grundlage für kritische Infrastrukturentscheidungen.
Was europäische Infrastruktur strukturell leistet
Europäische Cloud- und KI-Anbieter operieren unter einem grundlegend anderen Rechtsrahmen. Daten, die auf Infrastruktur verarbeitet werden, die ausschließlich europäischem Recht unterliegt, können nicht durch ausländische Behörden erzwungen werden. Das ist keine kommunikative Positionierung. Es ist die rechtslogische Konsequenz des Inkorporationsorts und des Serverstandorts.
Neben der Rechtsklarheit bieten europäische Anbieter etwas strukturell Spezifisches: Interessenkongruenz. Das Geschäftsmodell eines deutschen oder europäischen Cloud-Anbieters ist langfristig auf das Vertrauen europäischer Unternehmenskunden angewiesen. Das erzeugt abweichende Anreizstrukturen bei Preisstabilität, Vertragstreue und Dienstkontinuität.
Der EU AI Act, der für alle in der EU eingesetzten KI-Systeme gilt, unabhängig vom Anbieterstandort, verschärft diesen Unterschied. Konformitätsdokumentation, Transparenzpflichten und Risikoklassifizierungsanforderungen sind unter europäischen Anbietern leichter zu erfüllen, deren eigene Compliancestruktur auf denselben regulatorischen Rahmen ausgerichtet ist.
Langfristige Verlässlichkeit als strategischer Parameter
In Versicherung, Logistik, Energie und Finanzdienstleistungen tragen IT-Infrastrukturentscheidungen Konsequenzen, die weit über den typischen Planungshorizont einer CTO-Amtszeit hinausreichen. Systeme laufen sieben, zehn, fünfzehn Jahre. Anbieterbeziehungen werden in operative Prozesse, Revisionspfade und regulatorische Dokumentationsstrukturen eingebettet.
Die operative Kernanforderung dieser Branchen lautet nicht: "Was ist die günstigste Lösung heute?" Sie lautet: "Welche Exposition entsteht, wenn sich die Rahmenbedingungen dieses Anbieters in Jahr vier des Vertragsverhältnisses fundamental verschieben?"
Europäische IT-Infrastruktur beantwortet diese Frage strukturell anders. Der rechtliche Rahmen ist stabil und lokal durchsetzbar. Die geltenden regulatorischen Anforderungen sind identisch mit jenen, unter denen das Unternehmen bereits operiert. Vertragliche Verpflichtungen unterliegen EU-Recht mit europäischen Gerichten als Streitbeilegungsinstanz.
Diese Verlässlichkeit ist kein Leistungsmerkmal in einem Anbieterprospekt. Sie ist eine strukturelle Eigenschaft des Betriebs innerhalb eines einheitlichen Rechtssystems.
Migration als architektonische Entscheidung
Unabhängigkeit bedeutet nicht die sofortige Ablösung aller US-Infrastruktur. Die meisten Unternehmen betreiben hybride Umgebungen; ein pragmatischer Ansatz segmentiert die Migration nach Datensensitivität.
Daten, die gesetzlicher Schweigepflicht, den besonderen Kategorien nach DSGVO Art. 9 oder kritischer Infrastrukturregulierung unterliegen, erfordern Infrastruktur mit nachweisbarem technischem Ausschluss des Drittanbieterzugriffs. Europäische Sovereign Cloud oder On-Premise-Betrieb ist hier die adäquate Architektur.
Standardoperative Daten, interne Dokumentation und nicht-sensible Workflows können auf bestehender Infrastruktur verbleiben, solange die strukturelle Migration für kritische Datenkategorien priorisiert wird.
Die Migrationsentscheidungen sind architektonischer und juristischer Natur, bevor sie technischer Natur sind. Sie erfordern eine präzise Klassifikation der tatsächlich verarbeiteten Datenkategorien, eine Zuordnung der jeweils geltenden Rechtspflichten und eine belastbare Risikoabschätzung für den Fall ihrer Nichterfüllung.
Diese Bewertung ist der sachgerechte Ausgangspunkt. Das Sovereign-AI-Framework bietet einen strukturierten Ansatz zur Tiereinteilung von Daten nach Isolationsanforderung. Die rechtlichen Grundlagen für berufsgeheimnisgeschützte Branchen behandelt der Artikel KI für Berufsgeheimnisträger. Den geopolitischen Kontext europäischer Datenkontrolle adressiert Datensouveränität.