Skip to content Skip to sidebar Skip to footer

Serverstandort Deutschland, Eigentümerin USA: Was „deutsche KI“ wirklich bedeutet

Auf dem Markt für „deutsche KI-Alternativen“ werben immer mehr Anbieter mit denselben Versprechen: Hosting in der EU, DSGVO-Konformität, Datenschutz statt Datenabfluss in die USA. Für Geschäftsführer, die KI endlich rechtssicher einsetzen wollen, klingt das nach der gesuchten Lösung. Ein Blick an die richtige Stelle zeigt jedoch, dass „deutsch“ mehr ist als ein Server in Frankfurt.

Nehmen wir ein aktuelles, prominentes Beispiel: eine bekannte, als deutsche KI-Plattform vermarktete Lösung – betrieben von einer GmbH mit Sitz in Berlin. Ein Blick in das amtliche Handelsregister genügt, und das Bild verschiebt sich.

Was im Handelsregister steht

Die Gesellschafterliste der Langdock GmbH, einsehbar im Handelsregister beim Amtsgericht Charlottenburg (Berlin, HRB 254499), weist eine einzige Gesellschafterin aus: die Langdock Inc. mit Sitz in Delaware, USA. Sie hält 100 Prozent der Geschäftsanteile. Die deutsche GmbH ist damit eine vollständig kontrollierte Tochter einer US-amerikanischen Muttergesellschaft.

Das ist keine Spitzfindigkeit. Es ist der Unterschied zwischen dem Ort, an dem Daten liegen, und der Kontrolle darüber, wer auf sie zugreifen darf. Und für die Frage der digitalen Souveränität ist nicht der Ort entscheidend, sondern die Kontrolle.


Für die digitale Souveränität ist nicht der Ort der Daten entscheidend, sondern die Kontrolle über sie.

Warum das mehr ist als eine Fußnote

Der Kern des Problems heißt US CLOUD Act. Dieses US-Gesetz verpflichtet Unternehmen, die dem US-Recht unterliegen, US-Behörden auf Anordnung Zugriff auf gespeicherte Daten zu gewähren – und zwar unabhängig davon, ob die Server in den USA oder in einem deutschen Rechenzentrum stehen. Entscheidend ist nicht der Standort der Festplatte, sondern die rechtliche Reichweite über das Unternehmen, das die Daten kontrolliert.

Wird eine deutsche GmbH zu 100 Prozent von einer US-Gesellschaft beherrscht, lässt sich eine potenzielle Anwendbarkeit des CLOUD Act nicht allein dadurch ausschließen, dass die Anwendung auf europäischen Servern läuft. Genau hier entsteht das Spannungsfeld zwischen DSGVO und US-Recht, das seit dem Schrems-II-Urteil ungelöst über jedem transatlantischen Datenfluss schwebt. „EU-Hosting“ beantwortet diese Frage nicht – es verschiebt sie nur.

Eine faire Einordnung – und warum sie wichtig ist

Damit kein falscher Eindruck entsteht: Eine Konstruktion mit einer US-Holding über einer operativen deutschen GmbH ist bei kapitalstark finanzierten Start-ups völlig üblich. Internationale Investoren verlangen häufig eine Gesellschaft in Delaware. Das ist kein Skandal, kein Rechtsbruch und kein Vorwurf an das einzelne Unternehmen – und die betreffende Plattform ist ein technisch ausgereiftes, erfolgreiches Produkt mit Tausenden Kunden und anerkannten Zertifizierungen.

Der Punkt ist ein anderer, und er betrifft die ganze Branche: Der Begriff „digitale Souveränität“ wird zu oft auf den Serverstandort verengt. Wer sensible Daten verarbeitet, sollte die Frage präziser stellen – nicht „Wo liegen meine Daten?“, sondern „Wer kontrolliert das Unternehmen, dem ich meine Daten anvertraue, und welcher Rechtsordnung unterliegt es?“. Wer KI schnell und bequem nutzen will und zugleich amerikanische Leistungsfähigkeit, europäische Rechtssicherheit und deutsche Datenhoheit in einem Paket erwartet, sollte wissen: Dieses Paket gibt es selten zum Nulltarif.

FAQ & Überblick

Die wichtigsten Fragen

Macht ein Serverstandort in Deutschland eine KI „souverän“?

Nein. Der Standort sagt nur, wo die Daten physisch liegen. Entscheidend ist, wer das Unternehmen kontrolliert und welcher Rechtsordnung es unterliegt.

Was ist der US CLOUD Act?

Ein US-Gesetz von 2018, das US-kontrollierte Unternehmen verpflichtet, US-Behörden Zugriff auf gespeicherte Daten zu gewähren – unabhängig vom Speicherort der Server.

Wie erkenne ich die Eigentümerstruktur eines Anbieters?

Über die öffentlich einsehbare Gesellschafterliste im Handelsregister. Sie zeigt, ob eine ausländische Muttergesellschaft hinter der deutschen GmbH steht.

Warum ist das für Anwälte, Steuerberater und Ärzte besonders kritisch?

Sie unterliegen der Verschwiegenheitspflicht nach § 203 StGB. Gelangen Mandanten- oder Patientendaten in eine ausländische Rechtsordnung, berührt das nicht nur die DSGVO, sondern das Berufsgeheimnis – mit strafrechtlicher Relevanz.

Wie macht bios-UNIVERSE es anders?

Betrieben von der bios-tec GmbH IT-Systemhaus aus München, ohne US-Mutter, single-tenant in einem Rechenzentrum in Bayern, anbieterunabhängig auf Basis offener Modelle.

Souveränität auf einen Blick

Kriterium Worauf es ankommt
Serverstandort Notwendig, aber nicht ausreichend
Eigentümerstruktur Wer hält die Geschäftsanteile?
Beherrschender Einfluss Wer entscheidet, wer kann verkaufen?
Subprozessoren Welche Modelle, welches Land?
Rechtsordnung Welcher Gerichtsstand im Ernstfall?
§ 203 StGB Pflichtfrage für Berufsgeheimnisträger

Was Sie als Geschäftsführer konkret prüfen sollten

Bevor Sie einen KI-Anbieter unternehmensweit einführen, lohnt ein Blick hinter die Marketing-Oberfläche. Vier Fragen genügen für eine erste Einordnung:

  1. Eigentümerstruktur. Wem gehört die Gesellschaft laut Handelsregister? Steht eine ausländische Mutter dahinter? Die Gesellschafterliste ist öffentlich einsehbar.
  2. Beherrschender Einfluss. Wer bestimmt Geschäftsführung, Kapitalrunden und mögliche Verkaufsoptionen? Eigentum ist Kontrolle.
  3. Datenfluss und Subprozessoren. Welche KI-Modelle verarbeiten Ihre Prompts, bei welchem Cloud-Anbieter, in welchem Land? Eine schöne Oberfläche reicht oft Daten an Dritte weiter.
  4. Rechtsordnung. Welchem Recht und welchem Gerichtsstand unterliegt der Vertrag im Ernstfall?

Diese Prüfung ersetzt keine juristische Beratung, schützt aber vor dem teuersten Fehler: einer KI-Plattform zu vertrauen, deren Souveränitätsversprechen sich beim ersten genauen Hinsehen relativiert.

Besonders heikel für Berufsgeheimnisträger

Für die meisten Unternehmen ist das eine Frage der Datensouveränität. Für Rechtsanwälte, Steuerberater und Ärzte ist es eine Frage der Strafbarkeit. Wer mandanten- oder patientenbezogene Daten verarbeitet, unterliegt der Verschwiegenheitspflicht nach § 203 StGB. Gelangen solche Daten in den potenziellen Zugriffsbereich einer ausländischen Rechtsordnung, ist das nicht nur ein DSGVO-Problem, sondern berührt unmittelbar das Berufsgeheimnis. In regulierten Berufen reicht „läuft auf EU-Servern“ als Sorgfaltsnachweis schlicht nicht aus.

Souveränität, die diesen Namen verdient

Genau deshalb haben wir bios-UNIVERSE anders gebaut. Die Plattform wird von der bios-tec GmbH IT-Systemhaus betrieben – einem mittelständischen Unternehmen aus München, ohne US-Mutter im Hintergrund. Sie läuft single-tenant in einem Rechenzentrum in Bayern, ist anbieterunabhängig und auf Basis offener Modelle aufgebaut. Sensible Daten müssen so gar nicht erst in den Einflussbereich einer ausländischen Rechtsordnung geraten. Wie wir Sicherheit und Datensouveränität zusammendenken, lesen Sie unter IT Security.

Sie wollen wissen, wie souverän Ihre aktuelle oder geplante KI-Lösung wirklich ist? Sprechen Sie uns an für eine unverbindliche Erstberatung. Wir prüfen mit Ihnen Eigentümerstruktur, Datenflüsse und Rechtslage – und zeigen, welche Optionen für Ihr Unternehmen tatsächlich tragfähig sind.

Die wichtigsten Punkte in Kürze

  • „Deutsche KI“ bezieht sich oft nur auf den Serverstandort – nicht auf die Eigentümerschaft.
  • Eine als deutsche Plattform vermarktete Lösung kann laut Handelsregister vollständig von einer US-Muttergesellschaft kontrolliert werden.
  • Über den US CLOUD Act kann US-Recht auch auf Daten in deutschen Rechenzentren durchgreifen, wenn der Anbieter US-kontrolliert ist.
  • Prüfen Sie Eigentümerstruktur, beherrschenden Einfluss, Subprozessoren und Rechtsordnung – nicht nur den Hosting-Standort.
  • Für Berufsgeheimnisträger (§ 203 StGB) ist das keine Komfort-, sondern eine Pflichtfrage.

Über den Autor:
Thomas Herzog, Geschäftsführer der bios-tec GmbH IT-Systemhaus (München), Betreiberin der KI-Plattform bios-UNIVERSE. Schwerpunkte: IT-Sicherheit und Managed KI für den Mittelstand.

Quellen:
Gesellschafterliste der Langdock GmbH, Amtsgericht Charlottenburg (Berlin), HRB 254499; eingereichte Liste datiert 14. Juni 2023, notariell beglaubigt durch Notar Dr. Christian Horn (Berlin) am 4. Juli 2023; abgerufen aus dem Handelsregister am 24. Juni 2026. Alleinige Gesellschafterin: Langdock Inc., Delaware/USA (Delaware-Registernummer 7493251), 100 % der Geschäftsanteile.
US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018); EuGH, Urteil „Schrems II“ (C-311/18), 16. Juli 2020.

Noch offene Fragen?

bios-tec GmbH
Stabile IT für den Mittelstand
📍 Nymphenburger Str. 13, 80335 München
📧 info@bios-tec.de
🌐 www.bios-tec.de

Ja. bios-UNIVERSE verbindet jede einzelne Anwendung
Sie teilen uns mit welche Software Sie nutzen
und wir verbinden die Software für Sie. 

Nicht sicher? → Fragen Sie uns. 

Standard-Systeme (M365, DATEV, etc.): 5-10 Minuten pro System
Spezial-Software: 1-2 Stunden (mit unserer Hilfe)

Typisches Setup für 5 Systeme: ~1 Stunde
Danach läuft alles automatisch.

✓ Ihre Daten bleiben in Ihren Systemen und gemietetem Server
✓ Hosting in Bayern/Deutschland
✓ Single-Tenant (Ihre eigene Instanz, komplett isoliert)
✓ DSGVO, §203 StGB, EU AI Act konform

Nein. 

Das Interface ist ein Chat – einfach Fragen stellen und Befehle tippen.