DSGVO-konform betreibbar, EU AI Act-bereit, bis zu 100 % EU-Hosting. Adoption-X liefert vier einsatzbereite Betriebsmodelle — von USA Native für maximale Innovation über EU Native und Sovereign Europe bis Sovereign Germany für maximale Datenhoheit. Wir beraten nicht nach Ideologie, sondern nach Anforderung.
DSGVO (seit 2018): Personenbezogene Daten dürfen die EU nur unter klar definierten Rechtsgrundlagen verlassen. Bei US-Cloud-KI-Anbietern hängt diese an Mechanismen wie dem EU-US Data Privacy Framework oder Standardvertragsklauseln — im Einzelfall zu prüfen und zu dokumentieren. Ohne saubere Transfergrundlage drohen Bußgelder.
Schrems II & US-Zugriffsgesetze: Der EuGH kippte 2020 das Privacy Shield. Der Nachfolger seit Juli 2023, das EU-US Data Privacy Framework, wurde 2025 erstinstanzlich bestätigt — das Rechtsmittel liegt bereits beim EuGH. Solche Abkommen können wieder fallen. Unabhängig davon erlauben CLOUD Act und FISA 702 US-Behörden den Zugriff auf Daten US-kontrollierter Konzerne — auch in EU-Rechenzentren. Wer diese Abhängigkeit architektonisch vermeidet, bleibt von der nächsten Wendung verschont.
EU AI Act (2024–2027): Seit 02.08.2025 gelten die Pflichten für allgemeine KI-Modelle und Governance, ab 02.08.2026 greift die Verordnung in voller Breite — für Hochrisiko-Anwendungen also Risikomanagement, menschliche Aufsicht und eine dokumentierte Test- und Audit-Historie. Bis 08/2026 richten die Mitgliedstaaten KI-Reallabore (Sandboxes) zur rechtssicheren Erprobung ein. Wer jetzt anfängt, baut diese Nachweise im laufenden Betrieb auf — wer wartet, muss sie nachträglich rekonstruieren.
Für den Mittelstand heißt das: KI lässt sich nicht mehr "irgendwie nebenbei" einführen. Sie braucht einen Stack, der alle drei Regulierungen in einer Architektur abbildet — bevor das Sales-Versprechen "DSGVO-konform" zur leeren Worthülse wird.
DSGVO-Konformität ist kein binärer Schalter, sondern ein Spektrum mit mehr als zwei Wegen. Je nach Branche, Risikoprofil und IT-Landschaft liefere ich eines von vier sofort einsatzbereiten Betriebsmodellen — von maximaler Innovation bis zu maximaler Datenhoheit. Ich berate nicht nach Ideologie, sondern nach Anforderung.
OpenAI, Claude & Gemini direkt — auf Azure, AWS oder Google Cloud. Volle Innovationsgeschwindigkeit der führenden US-Plattformen. Ideal für Innovations-Workloads ohne Personenbezug; sobald personenbezogene Daten im Spiel sind, greifen die EU- und Sovereign-Modelle.
Azure OpenAI in EU-Regionen (powered by Microsoft) und AWS Bedrock EU, gehostet ausschließlich in europäischen Rechenzentren. Dieselben Top-Modelle, DSGVO-konform betreibbar.
Mistral AI und Open-Source-Modelle auf europäischer Infrastruktur. Keine Vertragsbeziehung zu US-Konzernen — volle Unabhängigkeit von außereuropäischen Anbietern.
Mistral AI und Open Source, betrieben auf Hetzner in Deutschland. Jeder Datensatz und jeder Server bleibt im Land — strukturell ausgeschlossenes CLOUD-Act-Risiko.
Wir liefern alle vier Betriebsmodelle — DSGVO-konform, produktionsfähig, Betrieb & Support aus Deutschland. Welches Modell richtig ist, klären wir gemeinsam im Erstgespräch.
Unabhängig vom gewählten Betriebsmodell läuft jeder Vorgang denselben kontrollierten Weg. Bei den souveränen Modellen verlässt dabei kein Datensatz die EU bzw. Deutschland.
Ihre Daten (Mail, Dokument, Anfrage) gehen in das von Ihnen gewählte Betriebsmodell.
Modell und Server Ihres Betriebsmodells — bei EU- und Sovereign-Modellen ausschließlich in der EU bzw. auf Hetzner in Deutschland.
Jede Eingabe und jedes Ergebnis wird protokolliert — standardmäßig 36 Monate.
Menschliche Kontrolle, KI-Hinweispflicht erfüllt — das Ergebnis geht zurück an Sie.
Genau diese Audit-Spur ist es, die der EU AI Act für Hochrisiko-Anwendungen verlangt.
Die Architektur ist nach Schichten aufgebaut — das Prinzip bleibt in jedem Betriebsmodell gleich, nur die konkreten Werkzeuge je Schicht hängen von Ihrer Wahl ab: Microsoft 365, Google Workspace oder vollständig EU-souverän mit Mistral, Open Source und Hetzner.
Ihre gewohnte Arbeitsumgebung als Frontend — Microsoft 365 oder Google Workspace (E-Mail, Dokumente, Tabellen, Chat). KI-Funktionen (Chatbots, Assistenten, E-Mail-Automatisierung) docken transparent an, mit Hinweispflicht laut EU AI Act.
Zentrale Identitäts- und Zugriffsverwaltung — etwa Microsoft Entra ID oder Google Cloud Identity — mit Conditional Access und Multi-Faktor-Authentifizierung. Jeder Datenzugriff und jede Dienstverbindung ist authentifiziert, autorisiert und auditierbar — Grundlage jeder DSGVO-konformen Zugriffslogik.
n8n self-hosted in einer EU-Region (Hetzner oder EU-Cloud, z. B. Frankfurt). Die Orchestrierungs-Engine klassifiziert Eingangsmails, extrahiert Auftragsdaten, ruft KI-Modelle auf und schreibt Ergebnisse ins ERP zurück. Kein Zapier, kein Make.com — volle Datenhoheit, vollständig auditierbar.
Anthropic Claude über AWS Bedrock EU in Frankfurt — Vertragspartner AWS EMEA (Luxemburg), Verarbeitung in der EU-Region. Alternativ Azure OpenAI Service in Sweden Central oder West Europe — Vertragsbeziehung mit Microsoft Ireland. Für besonders sensible Workloads Mistral aus Frankreich — EU-Anbieter, EU-Recht, keinerlei US-Berührung.
PostgreSQL mit pgvector self-hosted in der EU oder Qdrant Cloud (Frankreich/Deutschland) als Managed Service. Ihre Dokumente, historischen Aufträge und interne Wissensbasis — durchsuchbar, ohne in fremde Hände zu wandern. Keine Pinecone, keine Weaviate Cloud aus US-Region.
Strukturierte Dokumentenablage in Ihrer Umgebung — SharePoint Online oder Google Drive, jeweils mit EU-Datenhaltung — plus S3-kompatibler Object Storage bei IONOS, OVHcloud oder Hetzner für Rohdaten und Archive. Alle Daten in europäischen Rechenzentren, keine Replikation in US-Regionen.
Strukturierte Audit-Trails in PostgreSQL plus das Monitoring Ihrer Plattform (z. B. Azure Monitor oder Google Cloud Logging). Aufbewahrung standardmäßig 36 Monate — eigener Qualitätsstandard, bewusst mehr als gesetzlich gefordert, damit bei späteren EU-AI-Act-Audits die komplette Entscheidungshistorie nachvollziehbar bleibt: welche Eingabe verließ welches Modell mit welchem Ergebnis, und wer gab den Output wann frei.
Eine vollständig getrennte Sandbox — ein separater Tenant bzw. eine eigene Subscription oder ein eigenes Projekt (Microsoft, Google oder EU-Cloud). Hier entstehen und reifen neue KI-Use-Cases, bevor sie produktiv gehen — genau die Test- und Dokumentationsdisziplin, die der EU AI Act für Hochrisiko-Anwendungen verlangt und sich in den KI-Reallaboren der Mitgliedstaaten (ab 2026) rechtssicher erproben lässt. Solche Sandbox-Umgebungen betreibe und unterstütze ich mit.
Diese Liste gilt für Setups mit personenbezogenen Daten und Souveränitäts-Anspruch — die EU-Native- und Sovereign-Modelle. Für reine Innovations-Workloads ohne Personenbezug (USA Native) gelten andere Maßstäbe. Ich formuliere deutlich, weil Kunden sonst anderswo entsprechende Vorschläge bekommen.
Vertragspartner für den EWR ist inzwischen OpenAI Ireland Ltd — die Konzernstruktur bleibt aber US-amerikanisch (CLOUD Act, FISA 702), und die Inferenz läuft auch im EU-Data-Residency-Tier standardmäßig auf US-Infrastruktur. Über Azure OpenAI Service (EU-Region) gibt es dieselben Modelle mit EU-Verarbeitung und Microsoft-Ireland-Vertragsbeziehung.
In US-Regionen sind beide für personenbezogene Daten kaum sauber einsetzbar — und auch in EU-Regionen bleibt die Drittland- und Konzernstruktur-Prüfung an Ihnen hängen. Qdrant Cloud (Frankreich/Deutschland) und self-hosted PostgreSQL+pgvector liefern dieselbe Funktionalität ohne diese Komplikationen.
Zapier verarbeitet als US-Anbieter in US-Regionen — für Workflows mit personenbezogenen Daten ein Drittlandtransfer mit Prüf- und Dokumentationsaufwand. Auch bei europäischen Cloud-Automation-Diensten bleiben Sie auf AVV, Region-Konfiguration und Audit-Tiefe des Anbieters angewiesen. n8n self-hosted in der EU bietet dieselbe (teils bessere) Flexibilität, volle Daten- und Audit-Kontrolle und ist ab mittleren Volumina kommerziell günstiger.
Der Markt ist voll von "Add KI to your business"-Tools, die im Kern API-Anfragen an OpenAI weiterleiten. Dokumentiert der Anbieter die Verarbeitungsregion nicht klar und fehlt ein vertraglicher Trainingsausschluss — Finger weg. Sonst landen Ihre Geschäftsdaten im nächsten Modell-Training.
Diese Betriebsmodelle sind keine theoretische Empfehlung. Adoption-X betreibt sein operatives Geschäft — Outreach, CRM, Wissensmanagement, Dokumentenverarbeitung — auf einer EU-gehosteten, n8n-orchestrierten Architektur mit Self-Hosting auf Hetzner und Open-Source-Komponenten. Jeder Pilot, Workshop und jede Implementierung läuft auf demselben Fundament.
Das hat zwei Konsequenzen für Sie: Erstens kenne ich die Fallstricke aus eigener Erfahrung, nicht aus Hochglanz-Whitepapern. Zweitens funktioniert die Architektur in der Praxis — sonst würde ich sie nicht selbst nutzen. Mehr dazu auf Über mich.
30 Minuten, kostenfrei, kein Vertriebsgespräch. Ich gehe mit Ihnen durch Ihre KI- und Cloud-Landschaft, zeige aus Architektursicht, wo Drittlandtransfer- oder EU-AI-Act-Risiken stecken (keine Rechtsberatung) — und wie ein Übergang auf ein passendes, bis hin zu vollständig EU-souveränes Betriebsmodell pragmatisch aussieht.
