Mit dem AI Act und verschärften DSGVO-Anforderungen wird die Wahl des richtigen LLM für europäische Unternehmen immer komplexer. Der AI Act ist am 1. August 2024 in Kraft getreten und wird ab dem 2. August 2026 vollständig anwendbar — inklusive der Pflichten für Anbieter sogenannter General-Purpose AI Models (GPAI). Für Unternehmen, die LLMs einsetzen, bedeutet das: Die Compliance-Frage ist nicht mehr optional, sondern geschäftskritisch. Wir haben alle 15 Modelle in unserem LLM Index auf ihre EU-Tauglichkeit geprüft.
Was der AI Act für LLM-Nutzer bedeutet
Der EU AI Act klassifiziert KI-Systeme nach Risikostufen. LLMs fallen als GPAI-Modelle unter eigene Transparenz- und Dokumentationspflichten. Anbieter müssen unter anderem technische Dokumentation bereitstellen, Urheberrechtsrichtlinien einhalten und bei Modellen mit „systemischem Risiko“ zusätzliche Sicherheitsbewertungen durchführen. Seit dem 2. Februar 2025 gelten bereits die Verbote für inakzeptable KI-Praktiken und die AI-Literacy-Pflichten. Ab August 2025 greifen die GPAI-Verpflichtungen, und ab August 2026 ist die Kommission befugt, Verstöße mit Geldbußen zu ahnden.
Für Unternehmen, die LLMs nutzen (nicht selbst entwickeln), ist vor allem relevant: Welcher Anbieter erfüllt die Anforderungen? Und wo werden die Daten verarbeitet?
DSGVO und Schrems II: Das Datenlokalisierungs-Problem
Die DSGVO verlangt, dass personenbezogene Daten nur unter strengen Bedingungen außerhalb der EU verarbeitet werden dürfen. Das Schrems-II-Urteil des EuGH von 2020 hat das EU-US Privacy Shield für ungültig erklärt und die Anforderungen an Standardvertragsklauseln (Standard Contractual Clauses, SCCs) massiv verschärft. Zwar gibt es seit 2023 das EU-US Data Privacy Framework als Nachfolger, doch Datenschützer warnen bereits vor einem möglichen „Schrems III“. Für sensible Branchen wie Gesundheit, Finanzen oder öffentliche Verwaltung reichen SCCs allein oft nicht aus — hier ist echte Datenlokalisierung innerhalb der EU gefragt.
Vollständig EU-compliant
Aktuell bieten mehrere Anbieter echtes EU-Hosting an:
- Mistral — als französischer Anbieter mit Sitz in Paris die europäischste Option. Daten werden ausschließlich in der EU verarbeitet. Mistral unterliegt direkt der französischen Datenschutzbehörde CNIL.
- Anthropic — bietet Claude über AWS Frankfurt (eu-central-1) an. Bei korrekter Konfiguration verlassen keine Daten die EU.
- Google — Gemini-Modelle können über Cloud-Regionen in Frankfurt und den Niederlanden betrieben werden, mit expliziter Datenlokalisierungs-Garantie.
- OpenAI — seit Februar 2025 bietet OpenAI europäische Datenresidenz für die API an. Neue Projekte können mit Region „Europe“ erstellt werden; API-Anfragen werden dann in der EU verarbeitet, mit Zero Data Retention.
Partial Compliance — Konfiguration erforderlich
Bei allen genannten Anbietern gilt: Der Default-Traffic läuft über US-Server. EU-Hosting ist eine Opt-in-Option, keine Standardeinstellung. Das bedeutet konkret:
- Unternehmen müssen bei der Projekterstellung aktiv die EU-Region auswählen.
- Bestehende Projekte können bei manchen Anbietern (z.B. OpenAI) nachträglich nicht umgestellt werden — ein neues Projekt ist erforderlich.
- Regelmäßige Audits sind nötig, um sicherzustellen, dass keine Daten versehentlich über US-Endpunkte geroutet werden.
- Data Processing Agreements (DPAs) müssen geprüft und gegebenenfalls angepasst werden.
Das erfordert technisches Know-how und eine klare interne Governance-Struktur. Ohne dedizierte Compliance-Verantwortliche ist das Risiko hoch, dass die Konfiguration lückenhaft bleibt.
Open Source als Alternative
DeepSeek, Llama und Qwen können vollständig on-premise oder in einer EU-Cloud betrieben werden. Das ist datenschutztechnisch die sicherste Option: Keine Daten verlassen die eigene Infrastruktur, keine Abhängigkeit von US-Anbietern, volle Kontrolle über Modell und Daten.
Die Kehrseite: Self-Hosting erfordert erhebliche Ressourcen. GPU-Infrastruktur, MLOps-Expertise und laufende Wartung sind nicht trivial. Für große Modelle (70B+ Parameter) braucht es mehrere High-End-GPUs — das ist für KMU oft nicht wirtschaftlich. Europäische Cloud-Anbieter wie OVHcloud, Hetzner oder IONOS bieten hier zunehmend GPU-Hosting innerhalb der EU an, was den Einstieg erleichtert.
Unter dem AI Act haben Open-Source-Modelle übrigens Sonderregelungen: Bestimmte Transparenzpflichten entfallen, solange die Modelle unter offenen Lizenzen bereitgestellt werden und kein systemisches Risiko darstellen.
Worauf es bei der Anbieter-Wahl ankommt
Für EU-Unternehmen mit sensiblen Daten ergeben sich drei strategische Optionen:
- EU-Datenresidenz: Einige Anbieter bieten inzwischen europäische Hosting-Regionen an — entscheidend ist, ob diese standardmäßig aktiv sind oder manuell konfiguriert werden müssen.
- Self-Hosting: Open-Source-Modelle auf eigener oder europäischer Infrastruktur bieten maximale Kontrolle — ideal für regulierte Branchen wie Finanzdienstleistung oder Gesundheitswesen.
- Hybride Ansätze: Nicht alle Anwendungen erfordern das gleiche Schutzniveau. Eine abgestufte Strategie — kritische Daten lokal, unkritische via API — ist oft der pragmatischste Weg.
Unabhängig vom Anbieter gilt: Dokumentieren Sie Ihre Compliance-Maßnahmen sorgfältig. Mit dem AI Act wird ab 2026 die Nachweispflicht deutlich strenger — wer jetzt die Grundlagen schafft, spart sich später teure Nachbesserungen.