EU-gehostete KI-Modelle

Was bedeutet EU-gehosted genau?

EU-gehosted bedeutet, dass die Inferenz — die tatsächliche Ausführung des Sprachmodells auf einem GPU-Server — in Rechenzentren stattfindet, die sich physisch in der Europäischen Union befinden. Das ist etwas anderes als ein EU-Hauptsitz oder eine europäische Rechtspersönlichkeit im Handelsregister. Ein Unternehmen, das rechtlich in Amsterdam ansässig ist, aber seine gesamte Rechenleistung in Virginia betreibt, ist nicht EU-gehosted im technischen Sinne, der für die DSGVO-Pflichten relevant ist. Warum ist diese Unterscheidung wichtig? Weil die DSGVO von Verantwortlichen — und ihren betroffenen Personen — verlangt zu wissen, wo personenbezogene Daten während der Verarbeitung physisch gespeichert sind. Wenn eine Eingabeaufforderung mit personenbezogenen Daten (Namen, Adressen, medizinische Beschreibungen) eine LLM-API erreicht, ist das eine Übermittlung personenbezogener Daten an einen Auftragsverarbeiter. Der physische Standort dieser Verarbeitung bestimmt, welche Übermittlungsmechanismen gelten. Unterauftragsverarbeiter spielen ebenfalls eine Rolle. Ein europäischer Cloud-Anbieter kann GPU-Kapazitäten von einem Rechenzentrumsunternehmen mieten, das einem US-Mutterkonzern gehört. Das kann konform sein — sofern Standardvertragsklauseln (SCC) oder gleichwertige Übermittlungsmechanismen vorhanden sind — aber diese Information muss im Auftragsverarbeitungsvertrag (DPA) Ihres LLM-Anbieters ausdrücklich dokumentiert sein. Lesen Sie daher immer den DPA, nicht nur die Marketing-Seite.

DSGVO-Implikationen von EU-gehosteter Inferenz

Die DSGVO regelt, wie personenbezogene Daten von EU-Bürgern verarbeitet werden. Wenn Ihre Organisation eine LLM-API mit personenbezogenen Daten aufruft, sind Sie der Verantwortliche und der API-Anbieter ist der Auftragsverarbeiter. Daraus ergeben sich drei konkrete Pflichten: 1. Auftragsverarbeitungsvertrag (Artikel 28). Sie müssen einen DPA mit dem Anbieter abschließen. Prüfen Sie darin: welche Unterauftragsverarbeiter eingesetzt werden, in welchem Land sie ansässig sind und welcher Rechtsmechanismus gilt (SCC, Angemessenheitsbeschluss, verbindliche interne Datenschutzvorschriften). 2. Übermittlungsfolgenabschätzung (Artikel 46 / Schrems II). Ist der Anbieter amerikanisch — auch wenn er in Frankfurt hostet — ermöglicht das US-amerikanische FISA-702-Gesetz, dass US-Behörden unter bestimmten Umständen Zugang zu Daten verlangen können. Nach dem Schrems-II-Urteil des EuGH (2020) sind Standardvertragsklauseln plus eine Übermittlungs-Folgenabschätzung (TIA) der Standardmechanismus. Bei rein EU-gehosteten Anbietern ohne US-Muttergesellschaft entfällt diese Folgenabschätzung weitgehend, was den Compliance-Aufwand erheblich reduziert. 3. Speicherung und Löschung. Speichert der LLM-Anbieter Eingabe-Logs für Training, Fine-Tuning oder Qualitätsüberwachung? Falls ja, für wie lange, und können Sie einen Löschantrag stellen? EU-Hosting löst dies nicht automatisch; dafür sind vertragliche Zusagen im DPA erforderlich.

EU-gehostete Anbieter in der Tokonomix-Datenbank

Die folgende Tabelle zeigt Anbieter, deren Hosting-Region in der Tokonomix-Datenbank als EU-Region (eu / nl / de / fr) markiert ist. Der Durchschnittswert ist der mittlere Benchmark-Score der letzten 7 Tage; — bedeutet, dass noch keine aktuelle Messung vorliegt. Daten werden wöchentlich aus der Anbieter-Dokumentation und Benchmark-Läufen aktualisiert.

DSGVO-Compliance-Matrix: Modelle je Anbieter

Die folgende Tabelle listet alle aktiven EU-gehosteten Modelle in der Tokonomix-Datenbank auf, mit Inferenzregion, Herkunftsland des Modells und Ausgangsmodalität. Diese Daten sind live; die Tabelle wird automatisch aktualisiert, wenn Anbieter oder Modelle hinzugefügt oder geändert werden.

EU-KI-Verordnung — das Wichtigste

Die EU-KI-Verordnung (Verordnung 2024/1689) ist schrittweise in Kraft getreten. Für die meisten Organisationen, die LLM-APIs nutzen, sind die Regelungen für KI-Modelle allgemeiner Verwendung (GPAI) am relevantesten. Frontier-Modelle mit systemischem Risiko — bewertet anhand von Rechenleistungsschwellenwerten und Risikobewertungsverfahren — unterliegen zusätzlichen Transparenz- und Prüfpflichten für Anbieter, nicht für Sie als Betreiber. Als Betreiber haben Sie jedoch Transparenzpflichten, wenn Sie KI im direkten öffentlichen Kundenkontakt einsetzen (z.B. Chatbots) und in bestimmten Hochrisikoanwendungen (HR-Auswahl, Kreditbewertung usw.). EU-gehostete Inferenz verringert den Compliance-Aufwand bei der Datenübermittlung, entbindet Sie aber nicht von den Betreiberpflichten gemäß KI-Verordnung. Konsultieren Sie Ihren Datenschutzbeauftragten oder Rechtsberater für eine Bewertung Ihres spezifischen Anwendungsfalls.

Häufig gestellte Fragen

Ist EU-gehosted automatisch DSGVO-konform?

Nein. EU-gehosted ist eine notwendige, aber keine hinreichende Voraussetzung. Sie benötigen auch einen gültigen Auftragsverarbeitungsvertrag, müssen die Unterauftragsverarbeiter kennen und eine Übermittlungs-Folgenabschätzung durchgeführt haben, wenn der Anbieter eine US-Muttergesellschaft hat. EU-Hosting schützt Sie jedoch weitgehend vor Schrems-II-Problemen und verringert das Risiko, dass ausländische Behörden Zugang verlangen.

Welche Anbieter bieten ausschließlich EU-Inferenz an?

Basierend auf der Tokonomix-Datenbank sind OVH AI Endpoints (Gravelines, FR) und Mistral AI (EU) die Anbieter mit einer EU-Hosting-Region. Mistral AI ist ein französisches Unternehmen; OVH ist ein europäischer Cloud-Anbieter. Hinweis: Die Liste in der Datenbank umfasst nur Anbieter, für die Tokonomix API-Benchmarks ausführt. Es gibt weitere EU-gehostete Anbieter außerhalb unserer Datenbank.

Verändert die EU-KI-Verordnung, welche Modelle ich nutzen darf?

Die KI-Verordnung verbietet keine spezifischen Modelle für normale Geschäftsanwendungen. Verboten sind bestimmte Anwendungen, nicht Modelle als solche: z.B. Echtzeit-Biometrie im öffentlichen Raum, Social Scoring usw. Als Betreiber müssen Sie bei Hochrisikoanwendungen (HR, Finanz-Scoring, kritische Infrastruktur) zusätzliche Dokumentation führen. Nutzen Sie ein GPAI-Modell mit systemischem Risiko? Dann trägt der Anbieter zusätzliche Pflichten; fordern Sie seine Konformitätsdokumentation an.

Was gilt für US-amerikanische Anbieter mit EU-Regionen?

Ein Anbieter wie OpenAI oder Google bietet EU-regionale Optionen (z.B. Frankfurt/Paris), unterliegt als US-Unternehmen jedoch FISA 702. Das bedeutet, dass US-Geheimdienste grundsätzlich Zugang verlangen können, unabhängig vom physischen Standort der Daten. Das EU-US-Datenschutzrahmen (DPF, 2023) bietet einen Angemessenheitsbeschluss für teilnehmende Unternehmen, aber ob dieser für Ihren Anwendungsfall ausreichend ist, ist eine rechtliche Beurteilung. Rein EU-gehostete Anbieter ohne US-Muttergesellschaft tragen dieses Risiko nicht.

Was gilt für Nicht-EU-Modelle auf EU-Infrastruktur?

Viele Modelle im Tokonomix EU-Hosting-Pool wurden ursprünglich von Nicht-EU-Parteien (USA, China) entwickelt. Das ist DSGVO-relevant für das Modelltraining (Ihre Daten sind dort typischerweise nicht involviert), aber nicht für die Auftragsverarbeitungsbeziehung bei der Inferenz. Entscheidend ist, wo die Rechenleistung stattfindet. Läuft das Modell auf Servern in der EU, gilt der EU-Hosting-Vorteil für Übermittlungsbewertungen — sofern der Anbieter auch seine Unterauftragsverarbeiter korrekt dokumentiert hat.

Wie nutzt Tokonomix EU-Hosting für Consensus-Anfragen?

Im Tokonomix Consensus-Gateway können Sie den routing_intent auf 'eu' setzen. Tokonomix leitet die Anfrage dann ausschließlich an Anbieter weiter, deren hosting_region innerhalb der EU liegt. Das ist relevant für Anwendungen, bei denen alle teilnehmenden Modelle in der EU laufen müssen — z.B. für sektorspezifische Compliance im Gesundheits- oder Finanzdienstleistungsbereich. Der EU-Pool ist kleiner als der globale Pool; erwarten Sie etwas weniger Modellauswahl, aber volle regionale Übermittlungskontrolle.

Was ist der Unterschied zwischen EU-gehosted und EU-souverän?

EU-gehosted bedeutet: Server befinden sich in der EU. EU-souverän (oder 'Datensouveränität') geht weiter: Der Anbieter ist auch rechtlich und organisatorisch unabhängig von Nicht-EU-Jurisdiktionen, einschließlich keiner ausländischen Muttergesellschaft und keiner ausländischen Anteilseigner mit Kontrolle. OVH und Mistral nähern sich dem souveränen Modell; die meisten großen Hyperscaler (auch mit EU-Regionen) nicht. Für die anspruchsvollsten Compliance-Anforderungen (Behörden, kritische Infrastruktur) ist Souveränität das Kriterium, nicht nur Hosting.

Wie oft werden die Anbieterdaten aktualisiert?

Die Hosting-Regionsdaten in der Tokonomix-Datenbank werden wöchentlich aus offizieller Anbieter-Dokumentation aktualisiert. Benchmark-Scores werden täglich auf Basis automatisierter Testrunden neu berechnet. Wenn Sie eine Abweichung feststellen, können Sie über die Feedback-Schaltfläche auf der Anbieterseite eine Korrektur vorschlagen.