Auf dem Markt für „deutsche KI-Alternativen“ werben immer mehr Anbieter mit denselben Versprechen: Hosting in der EU, DSGVO-Konformität, Datenschutz statt Datenabfluss in die USA. Für Geschäftsführer, die KI endlich rechtssicher einsetzen wollen, klingt das nach der gesuchten Lösung. Ein Blick an die richtige Stelle zeigt jedoch, dass „deutsch“ mehr ist als ein Server in Frankfurt.
Nehmen wir ein aktuelles, prominentes Beispiel: eine bekannte, als deutsche KI-Plattform vermarktete Lösung – betrieben von einer GmbH mit Sitz in Berlin. Ein Blick in das amtliche Handelsregister genügt, und das Bild verschiebt sich.
Was im Handelsregister steht
Die Gesellschafterliste der Langdock GmbH, einsehbar im Handelsregister beim Amtsgericht Charlottenburg (Berlin, HRB 254499), weist eine einzige Gesellschafterin aus: die Langdock Inc. mit Sitz in Delaware, USA. Sie hält 100 Prozent der Geschäftsanteile. Die deutsche GmbH ist damit eine vollständig kontrollierte Tochter einer US-amerikanischen Muttergesellschaft.
Das ist keine Spitzfindigkeit. Es ist der Unterschied zwischen dem Ort, an dem Daten liegen, und der Kontrolle darüber, wer auf sie zugreifen darf. Und für die Frage der digitalen Souveränität ist nicht der Ort entscheidend, sondern die Kontrolle.
„
Für die digitale Souveränität ist nicht der Ort der Daten entscheidend, sondern die Kontrolle über sie.
„
Warum das mehr ist als eine Fußnote
Der Kern des Problems heißt US CLOUD Act. Dieses US-Gesetz verpflichtet Unternehmen, die dem US-Recht unterliegen, US-Behörden auf Anordnung Zugriff auf gespeicherte Daten zu gewähren – und zwar unabhängig davon, ob die Server in den USA oder in einem deutschen Rechenzentrum stehen. Entscheidend ist nicht der Standort der Festplatte, sondern die rechtliche Reichweite über das Unternehmen, das die Daten kontrolliert.
Wird eine deutsche GmbH zu 100 Prozent von einer US-Gesellschaft beherrscht, lässt sich eine potenzielle Anwendbarkeit des CLOUD Act nicht allein dadurch ausschließen, dass die Anwendung auf europäischen Servern läuft. Genau hier entsteht das Spannungsfeld zwischen DSGVO und US-Recht, das seit dem Schrems-II-Urteil ungelöst über jedem transatlantischen Datenfluss schwebt. „EU-Hosting“ beantwortet diese Frage nicht – es verschiebt sie nur.
Eine faire Einordnung – und warum sie wichtig ist
Damit kein falscher Eindruck entsteht: Eine Konstruktion mit einer US-Holding über einer operativen deutschen GmbH ist bei kapitalstark finanzierten Start-ups völlig üblich. Internationale Investoren verlangen häufig eine Gesellschaft in Delaware. Das ist kein Skandal, kein Rechtsbruch und kein Vorwurf an das einzelne Unternehmen – und die betreffende Plattform ist ein technisch ausgereiftes, erfolgreiches Produkt mit Tausenden Kunden und anerkannten Zertifizierungen.
Der Punkt ist ein anderer, und er betrifft die ganze Branche: Der Begriff „digitale Souveränität“ wird zu oft auf den Serverstandort verengt. Wer sensible Daten verarbeitet, sollte die Frage präziser stellen – nicht „Wo liegen meine Daten?“, sondern „Wer kontrolliert das Unternehmen, dem ich meine Daten anvertraue, und welcher Rechtsordnung unterliegt es?“. Wer KI schnell und bequem nutzen will und zugleich amerikanische Leistungsfähigkeit, europäische Rechtssicherheit und deutsche Datenhoheit in einem Paket erwartet, sollte wissen: Dieses Paket gibt es selten zum Nulltarif.
FAQ & Überblick
Die wichtigsten Fragen
Souveränität auf einen Blick
| Kriterium | Worauf es ankommt |
| Serverstandort | Notwendig, aber nicht ausreichend |
| Eigentümerstruktur | Wer hält die Geschäftsanteile? |
| Beherrschender Einfluss | Wer entscheidet, wer kann verkaufen? |
| Subprozessoren | Welche Modelle, welches Land? |
| Rechtsordnung | Welcher Gerichtsstand im Ernstfall? |
| § 203 StGB | Pflichtfrage für Berufsgeheimnisträger |
Was Sie als Geschäftsführer konkret prüfen sollten
Bevor Sie einen KI-Anbieter unternehmensweit einführen, lohnt ein Blick hinter die Marketing-Oberfläche. Vier Fragen genügen für eine erste Einordnung:
- Eigentümerstruktur. Wem gehört die Gesellschaft laut Handelsregister? Steht eine ausländische Mutter dahinter? Die Gesellschafterliste ist öffentlich einsehbar.
- Beherrschender Einfluss. Wer bestimmt Geschäftsführung, Kapitalrunden und mögliche Verkaufsoptionen? Eigentum ist Kontrolle.
- Datenfluss und Subprozessoren. Welche KI-Modelle verarbeiten Ihre Prompts, bei welchem Cloud-Anbieter, in welchem Land? Eine schöne Oberfläche reicht oft Daten an Dritte weiter.
- Rechtsordnung. Welchem Recht und welchem Gerichtsstand unterliegt der Vertrag im Ernstfall?
Diese Prüfung ersetzt keine juristische Beratung, schützt aber vor dem teuersten Fehler: einer KI-Plattform zu vertrauen, deren Souveränitätsversprechen sich beim ersten genauen Hinsehen relativiert.
Besonders heikel für Berufsgeheimnisträger
Für die meisten Unternehmen ist das eine Frage der Datensouveränität. Für Rechtsanwälte, Steuerberater und Ärzte ist es eine Frage der Strafbarkeit. Wer mandanten- oder patientenbezogene Daten verarbeitet, unterliegt der Verschwiegenheitspflicht nach § 203 StGB. Gelangen solche Daten in den potenziellen Zugriffsbereich einer ausländischen Rechtsordnung, ist das nicht nur ein DSGVO-Problem, sondern berührt unmittelbar das Berufsgeheimnis. In regulierten Berufen reicht „läuft auf EU-Servern“ als Sorgfaltsnachweis schlicht nicht aus.
Souveränität, die diesen Namen verdient
Genau deshalb haben wir bios-UNIVERSE anders gebaut. Die Plattform wird von der bios-tec GmbH IT-Systemhaus betrieben – einem mittelständischen Unternehmen aus München, ohne US-Mutter im Hintergrund. Sie läuft single-tenant in einem Rechenzentrum in Bayern, ist anbieterunabhängig und auf Basis offener Modelle aufgebaut. Sensible Daten müssen so gar nicht erst in den Einflussbereich einer ausländischen Rechtsordnung geraten. Wie wir Sicherheit und Datensouveränität zusammendenken, lesen Sie unter IT Security.
Sie wollen wissen, wie souverän Ihre aktuelle oder geplante KI-Lösung wirklich ist? Sprechen Sie uns an für eine unverbindliche Erstberatung. Wir prüfen mit Ihnen Eigentümerstruktur, Datenflüsse und Rechtslage – und zeigen, welche Optionen für Ihr Unternehmen tatsächlich tragfähig sind.
Die wichtigsten Punkte in Kürze
- „Deutsche KI“ bezieht sich oft nur auf den Serverstandort – nicht auf die Eigentümerschaft.
- Eine als deutsche Plattform vermarktete Lösung kann laut Handelsregister vollständig von einer US-Muttergesellschaft kontrolliert werden.
- Über den US CLOUD Act kann US-Recht auch auf Daten in deutschen Rechenzentren durchgreifen, wenn der Anbieter US-kontrolliert ist.
- Prüfen Sie Eigentümerstruktur, beherrschenden Einfluss, Subprozessoren und Rechtsordnung – nicht nur den Hosting-Standort.
- Für Berufsgeheimnisträger (§ 203 StGB) ist das keine Komfort-, sondern eine Pflichtfrage.
Über den Autor:
Thomas Herzog, Geschäftsführer der bios-tec GmbH IT-Systemhaus (München), Betreiberin der KI-Plattform bios-UNIVERSE. Schwerpunkte: IT-Sicherheit und Managed KI für den Mittelstand.
Quellen:
Gesellschafterliste der Langdock GmbH, Amtsgericht Charlottenburg (Berlin), HRB 254499; eingereichte Liste datiert 14. Juni 2023, notariell beglaubigt durch Notar Dr. Christian Horn (Berlin) am 4. Juli 2023; abgerufen aus dem Handelsregister am 24. Juni 2026. Alleinige Gesellschafterin: Langdock Inc., Delaware/USA (Delaware-Registernummer 7493251), 100 % der Geschäftsanteile.
US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018); EuGH, Urteil „Schrems II“ (C-311/18), 16. Juli 2020.
