Ratgeber · souveräne KI
Was souveräne KI wirklich heißt — und warum EU-Region nicht reicht
Ein Mittelständler-Inhaber oder eine Behörde, die heute KI einführt, hört überall ein Wort: souverän. Fast jeder große Anbieter trägt es im Prospekt. Aber Souveränität ist seit Oktober 2025 kein Marketing-Adjektiv mehr, sondern eine messbare Skala der EU-Kommission. Dieser Leitfaden erklärt definitorisch, was die Stufen bedeuten, warum eine Daten-Residenz in der EU-Region eines US-Hyperscalers strukturell nicht die höchste Stufe erreicht, und wie wir bei Amigeo uns selbst ehrlich einordnen. Wir behaupten ausdrücklich nicht, gegen den US CLOUD Act immun zu sein — und das ist keine Bescheidenheit, sondern strukturelle Logik: Rechtlicher Zugriff folgt der Unternehmens-Nationalität des Anbieters, nicht dem Speicherort. Genau das hat seit dem 18. Juni 2025 sogar ein Hyperscaler unter Eid eingeräumt. Stattdessen sagen wir präzise, was wir liefern und wo die Grenze verläuft.
Souveränität ist eine Skala, kein Etikett: das SEAL-Modell der EU
Wer wissen will, ob ein KI- oder Cloud-Dienst wirklich souverän ist, braucht nicht das Bauchgefühl, sondern eine Definition. Seit Oktober 2025 gibt es sie offiziell: Die Europäische Kommission (DG DIGIT) hat im Cloud Sovereignty Framework (CSF) das Stufenmodell SEAL festgelegt — Sovereignty Effectiveness Assurance Levels. Es kennt fünf Stufen, von SEAL-0 bis SEAL-4. Die maßgebliche Fassung ist CSF v1.2.1, veröffentlicht am 20. Oktober 2025.
Wichtig zu wissen: Das CSF ist ein Beschaffungs- und Vergabe-Instrument, kein technisches Zertifikat und keine ISO-Norm. Es dient der EU, um öffentliche Ausschreibungen vergleichbar zu machen — etwa als Grundlage für das Cloud-III-Beschaffungssystem und die 180-Millionen-Euro-Ausschreibung (Tender vom 10. Oktober 2025). Genau das macht es aber auch für die Privatwirtschaft so brauchbar: Erstmals lässt sich 'souverän' abstufen und nachprüfen, statt es zu glauben.
Bewertet wird über acht gewichtete Sovereignty Objectives (SOV-1 bis SOV-8). Den größten Hebel hat dabei nicht die Geografie, sondern die Lieferkette (SOV-5, 20 Prozent), gefolgt von Strategie, operativer Kontrolle und Technologie-Offenheit (je 15 Prozent). Recht/Jurisdiktion inklusive CLOUD-Act-Exposition (SOV-2), Daten und KI (SOV-3) sowie Security/Compliance (SOV-7) wiegen je 10 Prozent, Umwelt am wenigsten (SOV-8, 5 Prozent). Die Stufe ist die Mindestschwelle, der gewichtete Score das Zuschlagskriterium.
Das anerkannte Souveränitäts-Stufenmodell ist SEAL (Sovereignty Effectiveness Assurance Levels), Teil des EU Cloud Sovereignty Framework — fünf Stufen von SEAL-0 bis SEAL-4, herausgegeben von der Europäischen Kommission (DG DIGIT) in der Version v1.2.1 am 20. Oktober 2025.
Die fünf Stufen im Klartext — von SEAL-0 bis SEAL-4
SEAL-0 (Keine Souveränität): Dienst, Technologie und Betrieb stehen vollständig unter Kontrolle von Nicht-EU-Dritten und unterliegen ausschließlich Nicht-EU-Recht.
SEAL-1 (Jurisdiktionelle Souveränität): EU-Recht gilt formal, ist aber praktisch nur begrenzt durchsetzbar; die operative Kontrolle bleibt bei Nicht-EU-Parteien. Typischer Fall: EU-Verträge auf dem Papier, während eine ausländische Muttergesellschaft Zugriff erzwingen kann.
SEAL-2 (Datensouveränität): EU-Recht ist anwendbar und durchsetzbar; verbleibende Nicht-EU-Abhängigkeiten heben den EU-Datenschutz nicht aus. Das ist die Mindestschwelle der großen EU-Ausschreibung. Bemerkenswert: Auch nicht-europäische Technik kann SEAL-2 erreichen, wenn sie in strikte lokale operative Kontrollen 'gewrappt' wird — etwa über ein europäisches Betreiber-Konsortium.
SEAL-3 (Digitale Resilienz / Technologische Autonomie): EU-Akteure üben tatsächliche Kontrolle aus; Nicht-EU-Beteiligung ist marginal und kann die Kontinuität nicht gefährden. Das verlangt offene Architektur und strukturelle Immunität gegen Störungen aus Nicht-EU-Lieferketten oder durch Dritte.
SEAL-4 (Volle digitale Souveränität): Technologie und Betrieb stehen vollständig unter EU-Kontrolle mit null Nicht-EU-Abhängigkeiten — eine durchgehende EU-Lieferkette 'vom Chip bis zur Software'.
SEAL-2 (Datensouveränität) bedeutet: EU-Recht ist anwendbar UND durchsetzbar, verbleibende Nicht-EU-Abhängigkeiten heben den Datenschutz nicht aus — es ist die Mindestschwelle der 180-Mio-EUR-Ausschreibung der EU-Kommission.
Der entscheidende Trennstrich: Residenz ist nicht Souveränität
Das häufigste Missverständnis lautet: 'Meine Daten liegen im EU-Rechenzentrum, also sind sie souverän.' Das CSF widerlegt das ausdrücklich. Es trennt SOV-3 (Daten- und Residenz-Ebene) sauber von SOV-4 (operative Souveränität). Die operative Leitfrage ist nicht 'Wo liegen meine Daten?', sondern 'Wer hat letztlich die Kontrolle?'.
Daten-Residenz in der EU-Region eines US-Hyperscalers erreicht im SEAL-Modell höchstens SEAL-2 und ist von SEAL-3 und SEAL-4 strukturell ausgeschlossen. Der Grund ist kein technischer Mangel, sondern die Rechtslage: Der US CLOUD Act verpflichtet US-Unternehmen, Daten in ihrer 'possession, custody or control' herauszugeben — unabhängig vom physischen Speicherort. Solange ein US-Mutterkonzern dahintersteht, bleibt die Unternehmens-Nationalität bestehen, egal wie viele regionale Betriebskontrollen darüber gelegt werden.
Erst echte operative und jurisdiktionelle Kontrolle — EU-Governance über den Zugriff, EU-Jurisdiktion über die Daten, dokumentierte Isolation gegen extraterritoriales Recht — hebt einen Anbieter Richtung SEAL-3/4. Datenresidenz allein ist dafür notwendig, aber nicht hinreichend.
Daten-Residenz in der EU-Region eines US-Hyperscalers erreicht maximal SEAL-2 und ist von SEAL-3/4 strukturell abgeschnitten — weil der US CLOUD Act an der Unternehmens-Nationalität ansetzt, nicht am Speicherort. Residenz ist notwendig, aber nicht hinreichend.
Der CLOUD Act ist kein Aktivisten-Verdacht mehr — es ist offiziell zugegeben
Lange war der Einwand, US-Konzerne könnten zur Datenherausgabe gezwungen werden, eine Position von Datenschützern. Seit dem 18. Juni 2025 ist es eine eidesstattliche Aussage eines Hyperscalers selbst. Vor einer französischen Senatsuntersuchung zur öffentlichen Beschaffung wurde Anton Carniaux, Director of Public & Legal Affairs bei Microsoft France, gefragt, ob er garantieren könne, dass Daten französischer Bürger nie ohne Zustimmung französischer Behörden an US-Behörden gehen. Seine Antwort: 'Nein, das kann ich nicht garantieren, aber es ist bisher noch nie passiert.'
Zwei Dinge daran sind verb-ehrlich zu trennen. Erstens: Ein US-Konzern kann den rechtlichen Zugriff nicht ausschließen — das ist nun offiziell, nicht mehr nur Theorie. Zweitens: 'Noch nie passiert' ist kein Rechtsschutz, sondern eine empirische Aussage über die Vergangenheit. Die rechtliche Pflicht besteht weiter.
Hinzu kommt eine strukturelle Rechtskollision: Der CLOUD Act verlangt die Herausgabe, während Artikel 48 DSGVO die Übermittlung an Drittstaat-Behörden ohne bilaterales Rechtshilfeabkommen verbietet. Der Europäische Datenschutzausschuss (EDPB) hat klargestellt, dass EU-rechtsunterworfene Anbieter Transfers in die USA nicht allein auf einen CLOUD-Act-Request stützen dürfen. Es gibt also keinen sauberen Compliance-Pfad — das Unternehmen sitzt zwischen zwei widersprüchlichen Rechtsordnungen.
Am 18. Juni 2025 sagte Microsofts Director of Public & Legal Affairs Frankreich unter Eid vor einer Senatsuntersuchung auf die Frage nach garantiertem Ausschluss von US-Behördenzugriff wörtlich: 'Non, je ne peux pas le garantir' — Nein, das kann ich nicht garantieren.
Warum 'EU Data Boundary' und 'Sovereign Cloud'-Label das Problem nicht lösen
Microsoft hat seine EU Data Boundary Ende 2025 in drei Phasen abgeschlossen — von Kundendaten über pseudonymisierte Daten bis zu Support- und Professional-Services-Daten. Das ist ein echter Residenz-Fortschritt. Aber es löst die Souveränitätsfrage nicht: Die EU Data Boundary regelt, wo Daten liegen, nicht, wer rechtlich den Zugriff kontrolliert. Als US-kontrollierte Entität bleibt der Konzern unabhängig davon dem CLOUD Act und FISA 702 unterworfen — und statutorische Pflichten überschreiben vertragliche Zusagen.
Auch rein technische Maßnahmen schließen die Lücke nicht vollständig. Kundengehaltene Schlüssel (BYOK/HYOK im eigenen HSM) schützen Daten im Ruhezustand, aber zur Verarbeitung müssen Daten im Arbeitsspeicher entschlüsselt werden — ein Residual-Gap. Metadaten bleiben ungeschützt. Und eine FISA-702-Anordnung zur 'technical assistance' könnte ein vom US-Mutterkonzern signiertes HSM-Firmware-Update erzwingen. Echter Ausschluss erfordert deshalb einen nicht-US-kontrollierten Betreiber oder ein belastbares rechtliches Ring-Fencing.
Das gilt auch für abgeleitete 'souveräne' Angebote, die auf der Technik eines US-Hyperscalers aufsetzen: Selbst wenn sie in deutschen Rechenzentren physisch getrennt und von einer europäischen Gesellschaft betrieben werden und die BSI-Cloud-Anforderungen erfüllen, bleibt die Technologie- und Lizenzkontrolle beim US-Konzern. Datenresidenz und EU-Personal ja — strukturelle CLOUD-Act-Immunität auf höchster Stufe nein. 'Azure-basiert' ist nicht gleich 'CLOUD-Act-immun'.
Die EU Data Boundary adressiert Residenz (wo Daten liegen), nicht Souveränität (wer rechtlich Zugriff kontrolliert); als US-kontrollierte Entität bleibt der Konzern dem CLOUD Act unterworfen — statutorische Pflichten überschreiben vertragliche Zusagen.
Was echte Souveränität strukturell voraussetzt
Aus alldem folgt eine klare, verb-ehrliche Linie: Die höchste rechtliche Souveränitätsstufe lässt sich nur belegen, wenn im Hintergrund kein US-Konzern steht. Anbieter ohne US-Mutter — etwa europäische Cloud-Anbieter mit Betrieb ausschließlich auf EU-Gebiet und entsprechenden nationalen Sicherheitsnachweisen — können strukturelle Immunität gegen extraterritoriale Gesetze in einer Weise zusichern, die ein US-kontrollierter Konzern nach eigener Aussage nicht kann.
Genau hier setzt die EU-Beschaffung an: Ein für 2026 geplanter 'Cloud and AI Development Act' würde Mitgliedstaaten zu Souveränitäts-Risikobewertungen verpflichten und US-Hyperscaler bei den sensibelsten öffentlichen Vergaben in der obersten Stufe ausschließen — nur europäische oder nachweislich ring-gefencte Anbieter qualifizierten sich dann für die Top-Tiers. Stand 2026 ist das Entwurf und Diskussion, noch nicht in Kraft.
Der Markt bewegt sich bereits: Gartner prognostiziert für weltweite Sovereign-Cloud-Ausgaben rund 80 Milliarden US-Dollar im Jahr 2026 (plus 35,6 Prozent gegenüber 2025) und erwartet, dass etwa 20 Prozent bestehender Workloads von globalen Public Clouds zu lokalen Anbietern wandern. Souveränität ist also nicht nur ein juristisches, sondern ein zunehmend wirtschaftliches Argument.
Rechtliche Immunität gegen den US CLOUD Act ist nur belegbar, wenn KEIN US-Konzern im Hintergrund steht; das betrifft auch abgeleitete 'souveräne' US-Angebote.
Und die KI? Souveränität gilt auch für Modelle und Pipelines
Viele suchen ein eigenes 'KI-Souveränitäts-Level'. Das gibt es bei der EU nicht als separates Modell. Stattdessen erfasst das CSF Künstliche Intelligenz ausdrücklich unter SOV-3 ('Data and AI Sovereignty'): Es geht um die Kontrolle über den Datenstandort, über die Verschlüsselungs-Schlüssel und um EU-Aufsicht über die KI-Modelle und AI-Pipelines selbst. KI-Souveränität ist damit kein Sonderfall, sondern in dieselbe Skala integriert.
Für die Praxis heißt das: Eine souveräne KI-Lösung muss nicht nur sagen, wo die Trainings- und Eingabedaten liegen, sondern auch, wer die Modelle betreibt, wer Updates kontrolliert und wer im Zweifel den Zugriff erzwingen kann. Genau diese Fragen entscheiden über die SEAL-Einstufung — bei einem Chatbot ebenso wie bei einem Firmen-Wissens-Assistenten.
Der Druck dazu ist real: Laut Bitkom-Erhebung 2025 sehen sich 51 Prozent der deutschen Unternehmen 'stark abhängig' von den USA (Anstieg von 41 Prozent im Januar 2025); 68 Prozent halten Deutschland im KI-Bereich für zu stark von USA und China abhängig, und 60 Prozent wünschen sich mehr Unabhängigkeit von US-amerikanischen KI-Unternehmen.
SEAL/CSF erfasst KI explizit unter SOV-3 (Data and AI Sovereignty): Kontrolle über Datenstandort, Verschlüsselungs-Keys UND EU-Aufsicht über KI-Modelle und AI-Pipelines — ein separates eigenständiges KI-Souveränitäts-Stufenmodell der EU gibt es nicht; KI ist in das Cloud-CSF integriert.
Was am 2. August 2026 für Mittelständler wirklich beim EU AI Act gilt
Souveränität und Compliance gehören zusammen — gerade weil regulatorische Verunsicherung laut Bitkom mit 53 Prozent das Top-Hemmnis beim KI-Einsatz ist (gleichauf mit fehlendem Know-how). Hier räumen wir ein zweites verbreitetes Missverständnis aus: dass am 2. August 2026 'alle High-Risk-Pflichten' gelten.
Der EU AI Act ist am 1. August 2024 in Kraft getreten; Verbote (Artikel 5) gelten seit 2. Februar 2025, GPAI- und Governance-Regeln seit 2. August 2025. Das Digital/AI-Omnibus-Paket (Kommissionsvorschlag vom 19. November 2025) sieht jedoch vor, die High-Risk-Pflichten zu verschieben: auf den 2. Dezember 2027 für eigenständige Annex-III-Systeme (etwa Recruiting, Kreditscoring, Bildung, Strafverfolgung) und den 2. August 2028 für in Produkte eingebettete Annex-I-Systeme. Der ursprüngliche 'standards-readiness'-Trigger würde durch feste Kalenderdaten ersetzt.
Was am 2. August 2026 tatsächlich greift — und vom Omnibus nicht verschoben wird — sind die Transparenzpflichten nach Artikel 50: Nutzer müssen erkennen, dass sie mit einer KI interagieren (Chatbot), und KI-generierte Bild-, Audio- und Videoinhalte müssen als künstlich erzeugt gekennzeichnet werden. Für den allermeisten Mittelstands-KI-Einsatz (genAI-Chatbots, Textgenerierung) ist das 'limited-risk' — also Transparenz, nicht die schweren Artikel-26-Pflichten wie menschliche Aufsicht, mindestens sechs Monate Logging und Betroffenen-Benachrichtigung. Diese greifen nur bei echten Annex-III-Anwendungen.
Verb-ehrlicher Vorbehalt: Das Omnibus ist eine politische Einigung vom 7. Mai 2026, Stand Juni 2026 aber noch nicht im EU-Amtsblatt veröffentlicht. Bis zur formalen Verabschiedung bleibt der alte Zeitplan (High-Risk ab 2. August 2026) geltendes Recht. Die Verschiebung ist hochwahrscheinlich, aber noch nicht in Kraft — und wir sagen Ihnen das, statt es als Gewissheit zu verkaufen.
Am 2. August 2026 greifen für die meisten Mittelständler die Transparenzpflichten nach Artikel 50 (KI-Kennzeichnung bei Chatbots und KI-generierten Inhalten). Die schweren High-Risk-Pflichten sollen per politischer Omnibus-Einigung vom 7. Mai 2026 auf 2. Dezember 2027 (Annex III) bzw. 2. August 2028 (Annex I) verschoben werden — diese Einigung ist Stand Juni 2026 aber noch nicht im EU-Amtsblatt veröffentlicht; bis dahin gilt formal der alte Zeitplan.
Wie Amigeo sich ehrlich einordnet
Wir machen es uns nicht leichter als die Faktenlage erlaubt. Unsere KI-Anwendungen sind EU-resident, kontrollierbar, portierbar; Code, Daten und Dokumentation gehören dem Kunden ab Tag eins; und der Inhaber haftet persönlich. Was wir nicht behaupten: dass irgendeine in der EU-Region eines US-Hyperscalers betriebene Lösung 'CLOUD-Act-immun', 'Schrems-II-sicher' oder 'voll souverän' wäre. Das wäre genau die Lüge, die die hier zitierten Fakten widerlegen.
Im SEAL-Sinn ordnen wir uns ehrlich ein: Eine EU-residente Standard-Auslieferung bewegt sich auf SEAL-2-Niveau (Datensouveränität) — solide für viele Mittelstands-Anwendungsfälle, aber strukturell nicht SEAL-3/4. Für höchsten Schutzbedarf — typischerweise die öffentliche Hand und besonders sensible Daten — ist der ehrliche Weg nach oben, die fertige Anwendung als portierbares Paket auf einem souveränen, nicht-US-kontrollierten Ziel zu betreiben. Portierbarkeit ist deshalb kein Nebensatz, sondern die Voraussetzung dafür, dass eine SEAL-3-Aufstellung überhaupt möglich ist.
Die Leitfrage, an der wir uns messen lassen, ist dieselbe wie im CSF: nicht 'Wo liegen die Daten?', sondern 'Wer hat letztlich die Kontrolle?'. Weil der Code Ihnen gehört und die Lösung portierbar ist, bleibt die Antwort auf diese Frage bei Ihnen — nicht bei uns und nicht bei einem Plattform-Konzern.
Amigeo verspricht EU-resident, kontrollierbar, portierbar, mit Code- und Daten-Eigentum des Kunden ab Tag eins und persönlicher Haftung des Inhabers — und behauptet ausdrücklich nicht, gegen den US CLOUD Act immun oder 'voll souverän' zu sein.
Die SEAL-Stufen und unsere ehrliche Einordnung
| Stufe | Was sie bedeutet | Amigeo |
|---|---|---|
| SEAL-0 — Keine Souveränität | Dienst, Technologie und Betrieb vollständig unter Kontrolle von Nicht-EU-Dritten, ausschließlich Nicht-EU-Recht. | Nicht relevant — das liefern wir grundsätzlich nicht. |
| SEAL-1 — Jurisdiktionelle Souveränität | EU-Recht gilt formal, ist aber kaum durchsetzbar; operative Kontrolle bei Nicht-EU-Parteien. EU-Vertrag auf Papier, ausländische Mutter kann Zugriff erzwingen. | Unterhalb unseres Anspruchs — bewusst nicht unsere Auslieferung. |
| SEAL-2 — Datensouveränität | EU-Recht anwendbar UND durchsetzbar; verbleibende Nicht-EU-Abhängigkeiten heben den Datenschutz nicht aus. Mindestschwelle der 180-Mio-EUR-EU-Ausschreibung. | Hier verorten wir unsere EU-residente Standard-Auslieferung ehrlich — solide für viele Mittelstands-Fälle, aber NICHT 'voll souverän' und auf einer US-kontrollierten Plattform strukturell nicht SEAL-3/4. |
| SEAL-3 — Digitale Resilienz / Technologische Autonomie | EU-Akteure üben tatsächliche Kontrolle aus; Nicht-EU-Beteiligung marginal, gefährdet die Kontinuität nicht. Offene Architektur, strukturelle Immunität gegen Nicht-EU-Lieferketten. | Erreichbar, weil unsere Anwendungen portierbar sind und der Code dem Kunden gehört: Auslieferung als Paket auf ein souveränes, nicht-US-kontrolliertes Betriebsziel — der ehrliche Weg nach oben für hohen Schutzbedarf. |
| SEAL-4 — Volle digitale Souveränität | Technologie UND Betrieb vollständig unter EU-Kontrolle, null Nicht-EU-Abhängigkeiten — durchgehende EU-Lieferkette vom Chip bis zur Software. | Hängt an der gesamten EU-Lieferkette (Chip bis Software), nicht an einer einzelnen Anwendung — das versprechen wir nicht pauschal, sondern ordnen es transparent als die EU-weite Maximalstufe ein. |
Häufige Fragen
Ist eine EU-Region automatisch souverän?
Nein. Daten-Residenz (wo die Daten liegen) und Souveränität (wer rechtlich den Zugriff kontrolliert) sind zwei verschiedene Dinge. Im SEAL-Modell der EU-Kommission (CSF v1.2.1, Oktober 2025) erreicht eine Daten-Residenz in der EU-Region eines US-Hyperscalers maximal SEAL-2 und ist von SEAL-3/4 strukturell ausgeschlossen — weil der US CLOUD Act an der Unternehmens-Nationalität ansetzt, nicht am Speicherort. Residenz ist notwendig, aber nicht hinreichend.
Was ist mit dem US CLOUD Act — schützt mich ein deutsches Rechenzentrum davor?
Nicht vollständig. Der US CLOUD Act (2018) verpflichtet US-Unternehmen, Daten in ihrer Kontrolle herauszugeben, unabhängig vom Speicherort — also auch für in der EU gespeicherte Daten. Am 18. Juni 2025 hat Microsofts Director of Public & Legal Affairs Frankreich unter Eid vor dem französischen Senat eingeräumt, einen Ausschluss von US-Behördenzugriff nicht garantieren zu können ('Non, je ne peux pas le garantir'). Ein deutsches Rechenzentrum eines US-kontrollierten Konzerns verschiebt den Speicherort, nicht die Rechtspflicht. Echten strukturellen Ausschluss bietet nur ein nicht-US-kontrollierter Betreiber.
Sind 'Sovereign Cloud'-Angebote der großen Anbieter die Lösung?
Sie sind ein Residenz-Fortschritt, aber kein vollständiger Souveränitäts-Schutz. Maßnahmen wie eine EU Data Boundary regeln, wo Daten liegen, nicht, wer rechtlich Zugriff kontrollieren kann. Als US-kontrollierte Entität bleibt ein Konzern dem CLOUD Act und FISA 702 unterworfen; statutorische Pflichten überschreiben vertragliche Zusagen. Das gilt auch für abgeleitete 'souveräne' Angebote, die auf der Technik eines US-Hyperscalers aufsetzen: Technologie- und Lizenzkontrolle bleiben beim Konzern. 'Azure-basiert' ist nicht gleich 'CLOUD-Act-immun'.
Behauptet Amigeo, CLOUD-Act-immun oder voll souverän zu sein?
Nein, und das wäre auch unredlich. Wir liefern EU-resident, kontrollierbar und portierbar, mit Code- und Daten-Eigentum des Kunden ab Tag eins und persönlicher Haftung des Inhabers. Unsere EU-residente Standard-Auslieferung ordnen wir ehrlich auf SEAL-2-Niveau ein. Für höchsten Schutzbedarf ist der saubere Weg, die fertige, portierbare Anwendung auf einem souveränen, nicht-US-kontrollierten Betriebsziel zu betreiben — Richtung SEAL-3. Wer Ihnen pauschale 'volle Souveränität' auf US-kontrollierter Plattform verspricht, widerspricht der offiziellen Faktenlage.
Muss ich als Mittelständler ab 2. August 2026 die schweren KI-Auflagen erfüllen?
Für die meisten Mittelständler nicht. Am 2. August 2026 greifen primär die Transparenzpflichten nach Artikel 50 EU AI Act: Nutzer müssen erkennen, dass sie mit einer KI sprechen, und KI-generierte Inhalte müssen gekennzeichnet werden. Die schweren High-Risk-Pflichten (menschliche Aufsicht, mindestens sechs Monate Logging, Betroffenen-Benachrichtigung) sollen per politischer Omnibus-Einigung vom 7. Mai 2026 auf den 2. Dezember 2027 (Annex III) bzw. 2. August 2028 (Annex I) verschoben werden und betreffen ohnehin nur echte Hochrisiko-Anwendungen wie Recruiting oder Kreditscoring. Vorbehalt: Diese Einigung ist Stand Juni 2026 noch nicht im EU-Amtsblatt veröffentlicht; bis dahin bleibt formal der alte Zeitplan in Kraft.
Wie messe ich Souveränität überhaupt objektiv?
Über das SEAL-Modell der EU-Kommission im Cloud Sovereignty Framework (CSF v1.2.1, 20. Oktober 2025). Es kennt fünf Stufen (SEAL-0 bis SEAL-4) und bewertet über acht gewichtete Sovereignty Objectives — mit dem größten Gewicht auf der Lieferkette (20 Prozent), nicht auf der Geografie. Die entscheidende Leitfrage lautet nicht 'Wo liegen meine Daten?', sondern 'Wer hat letztlich die Kontrolle?'. Mit dieser Frage lässt sich jedes Angebot — auch das mit dem Wort 'souverän' im Prospekt — nachprüfbar einordnen.
Wollen Sie wissen, welche SEAL-Stufe für Ihren konkreten Anwendungsfall trägt — und wie eine portierbare, EU-residente KI-Anwendung mit Code-Eigentum für Sie aussieht? Sehen Sie sich unseren Katalog an, oder starten Sie mit einer lebenden Verfahrensdokumentation als erstem, prüfbaren Schritt.
Quellen
- · Europäische Kommission, DG DIGIT — Cloud Sovereignty Framework (CSF) v1.2.1, 20.10.2025 (SEAL-Modell)
- · The Register, 25.07.2025 — Microsoft France räumt unter Eid ein, US-Behördenzugriff nicht garantiert ausschließen zu können (Senatsanhörung 18.06.2025)
- · US CLOUD Act (2018) · DSGVO Art. 48 · EDPB-Leitlinien zu Drittstaaten-Transfers
- · EU AI Act (VO 2024/1689) · Digital/AI-Omnibus-Vorschlag 19.11.2025 (Stand Juni 2026 noch nicht im Amtsblatt)
- · Bitkom 2025 (US-Abhängigkeit deutscher Unternehmen) · Gartner 2026 (Sovereign-Cloud-Markt)
Stand Juni 2026. Allgemeine Information, kein Rechts- oder Steuerrat.