Souveräne KI — wann sie wirklich notwendig ist

Auf dieser Seite

• Was souveräne KI technisch bedeutet
• Das Tiering-Modell: drei Datenkategorien
• Tier 1: Regulatorischer Zwang
• Tier 2: Strategische Sensitivität
• Tier 3: Standarddaten
• Over-Engineering vs. Compliance-Risiko
• Technische Entscheidungsparameter
• Entscheidungsfragen für Führungskräfte

"Sovereign AI" ist vom technischen Konzept zum Marketingbegriff geworden. Nahezu jeder Anbieter bewirbt seine Lösung als souverän. Das verwischt eine Entscheidung, die strukturell wichtig ist: Wann muss eine Organisation ihre KI-Infrastruktur tatsächlich vollständig kontrollieren — und wann ist das teures Over-Engineering?

Die Antwort hängt nicht von Technologiepräferenzen ab. Sie hängt von der Art der Daten ab, die verarbeitet werden.

Was souveräne KI technisch bedeutet

Souveräne KI beschreibt KI-Systeme, bei denen weder der Modellanbieter noch der Infrastrukturanbieter technisch in der Lage ist, auf verarbeitete Daten zuzugreifen. Das schließt drei Architekturen ein:

• On-premise: Modell und Infrastruktur laufen vollständig im eigenen Rechenzentrum
• Private Cloud mit Zero-Access-Verschlüsselung: Daten werden clientseitig verschlüsselt, bevor sie die eigene Umgebung verlassen — der Anbieter empfängt nur Chiffrat
• Dedizierte Infrastruktur beim Anbieter: Logisch und physisch isoliert vom Multi-Tenant-Betrieb, ohne Trainingszugang

Was souveräne KI nicht ist: eine DSGVO-konforme Auftragsverarbeitungsvereinbarung allein, ein europäischer Cloud-Anbieter, oder ein opt-out aus dem Modelltraining. Diese Maßnahmen reduzieren Risiken, garantieren aber keinen technischen Ausschluss des Anbieterzugriffs.

Das Tiering-Modell: drei Datenkategorien

Die entscheidende Frage ist nicht "Wollen wir souveräne KI?", sondern "Welche Datenkategorien verarbeiten wir, und welche Isolationsstufe erfordern sie rechtlich oder strategisch?"

Tier 1: Regulatorischer Zwang

Für diese Daten ist souveräne KI keine Wahl, sondern Pflicht. Der technische Ausschluss jedes Drittanbieterzugriffs ist durch Gesetz oder Berufsrecht vorgeschrieben.

Berufsgeheimnisträger — Mandats- und Patientendaten unter § 203 StGB, § 43e BRAO, § 62a StBerG. Öffentliche Sprachmodelle sind strukturell ungeeignet, unabhängig von Datenschutzverträgen. Das gilt für Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte, Notare und Apotheker gleichermaßen. Detaillierte Anforderungen nach Berufsgruppe.

Kritische Infrastrukturen (KRITIS) — Energie, Wasser, Gesundheitsversorgung und Finanzmarktinfrastruktur unterliegen BSI-Anforderungen, die externe Datenverarbeitung für sicherheitsrelevante Systeme einschränken.

Gesundheitsdaten — Art. 9 DSGVO stuft sie als besondere Kategorie ein und verlangt erhöhte technische Schutzmaßnahmen über die Standardanforderungen hinaus.

Verschlusssachen — VS-NfD und höher schließen kommerzielle Cloud-KI grundsätzlich aus.

Tier 2: Strategische Sensitivität

Hier schreibt kein Gesetz souveräne KI vor. Aber der Schaden bei einem Datenzugriff durch Dritte — oder durch das Modelltraining — wäre wettbewerbsrelevant.

• M&A-Prozesse: Zieldaten, Bewertungsmodelle, Verhandlungsstrategien
• Forschung und Entwicklung: Patentanmeldungen, Prüfberichte, Entwicklungspipelines
• Preisstrategie und Margenstruktur: Daten, deren Kenntnis Wettbewerbern Vorteile verschaffen würde
• Personalentscheidungen auf C-Level: Nachfolgeplanung, Restrukturierungsszenarien

Für Tier-2-Daten ist die Entscheidung eine Risikoabwägung: Wie hoch ist der realistische Schadenswert bei unautorisiertem Zugriff, und rechtfertigt er die Mehrkosten souveräner Infrastruktur?

Tier 3: Standarddaten

Für den Großteil operativer Daten — interne Dokumentation, Marktanalysen, Kundenkommunikation ohne Sondervertraulichkeit, öffentlich zugängliche Informationen — ist souveräne KI überdimensioniert. Öffentliche Cloud-KI mit DSGVO-konformer AVV ist ausreichend.

Over-Engineering vs. Compliance-Risiko

Beide Fehler haben reale Konsequenzen — in entgegengesetzte Richtungen.

Fehler 1: Zu viel Isolation. Wer souveräne KI pauschal für alle Datenkategorien ausrollt, weil es "sicherer" erscheint, zahlt dafür einen Preis: deutlich höhere Infrastruktur- und Betriebskosten, eingeschränkter Zugang zu frontier-Modellen, die on-premise schlicht nicht verfügbar sind, langsamere Iterationszyklen bei der KI-Entwicklung und organisatorische Komplexität, die Akzeptanz und tatsächliche Nutzung hemmt. Das Ergebnis ist eine KI-Strategie, die formal souverän ist, aber in der Praxis kaum genutzt wird — während Wettbewerber mit geeigneteren Architekturen schneller werden.

Fehler 2: Zu wenig Isolation. Wer cloud-basierte KI für Tier-1-Daten einsetzt, riskiert den Verlust des Berufsgeheimnisses mit unmittelbaren Folgen für laufende Mandate oder Behandlungsverhältnisse, persönliche Haftung der verantwortlichen Führungskraft, Vertragsstrafen und den Entzug der Berufszulassung. In KRITIS-Sektoren kommen aufsichtsrechtliche Maßnahmen hinzu. Das ist kein IT-Risiko. Es ist ein Führungsrisiko.

Die Entscheidung über die richtige Isolationsstufe gehört deshalb auf die Führungsebene — nicht in die IT-Beschaffung.

Technische Entscheidungsparameter

Für Organisationen, die souveräne KI für Tier-1- oder ausgewählte Tier-2-Daten einführen, sind drei Architekturentscheidungen zentral.

Modellwahl — Open-Weight-Modelle lassen sich vollständig on-premise betreiben. Proprietäre Frontier-Modelle bieten keine vollständige technische Isolation — selbst Enterprise-Versionen setzen Vertrauen in den Anbieter voraus.

Infrastruktur — Private Cloud in einem deutschen oder europäischen Rechenzentrum mit BSI C5-Zertifizierung bietet den sinnvollen Mittelweg zwischen on-premise-Komplexität und öffentlicher Cloud. Entscheidend ist die physische und logische Mandantentrennung, nicht der Standort allein.

Betrieb — Souveräne KI erfordert interne Kompetenz oder einen Implementierungspartner, der den Betrieb im eigenen Perimeter übernimmt. Ein SaaS-Produkt, das als "souverän" vermarktet wird, aber extern gewartet wird, ist keins.

Entscheidungsfragen für Führungskräfte

Vor der Wahl einer KI-Infrastruktur sind vier Fragen zu beantworten:

1. Welche Datenkategorien sollen verarbeitet werden? Tier-1-Daten schließen öffentliche Cloud-KI aus.
2. Welche Rechtsgrundlage gilt? Berufsrecht, KRITIS, DSGVO Art. 9 oder Standard-AVV?
3. Was ist der realistische Schadenswert bei unautorisiertem Zugriff? Dieser Wert rechtfertigt oder widerlegt die Mehrkosten souveräner Infrastruktur.
4. Wer betreibt das System? Interne IT, externer Implementierungspartner oder hybrider Betrieb?

Die Antworten auf diese Fragen — nicht die Marketingkategorie eines Anbieters — bestimmen, welche Architektur angemessen ist.

Für die rechtliche Umsetzung bietet der AI GDPR Compliance Guide einen strukturierten Ausgangspunkt. Technische Sicherheitsmaßnahmen für cloudbasierte Systeme behandeln die Best Practices für Cloud-Datenbanksicherheit konkret. Die europäische Perspektive auf Datenkontrolle im geopolitischen Kontext behandelt Datensouveränität.