100 % EU-Hosting, EU AI Act-bereit, keine US-Backdoors. Dieser Stack ist die Standard-Architektur, die Adoption-X bei jedem Workshop, jedem Pilot und jeder Implementierung einsetzt — und mit der wir auch unser eigenes operatives Geschäft betreiben.
DSGVO (seit 2018): Personenbezogene Daten dürfen die EU nur unter klar definierten rechtlichen Grundlagen verlassen. Beim Einsatz von US-Cloud-KI-Anbietern ist diese Grundlage selten sauber gegeben — Verarbeitung in US-Regionen ist regelmäßig ein Verstoß, der bei Aufsichtsbehörden teuer werden kann.
Schrems II (EuGH-Urteil 2020): Privacy Shield ist gekippt. Der US-CLOUD-Act erlaubt US-Behörden den Zugriff auf Daten, die ein US-Unternehmen verwaltet — auch dann, wenn die Daten in EU-Rechenzentren liegen. Praktisch: OpenAI-API direkt, Pinecone in US-Region, Zapier, Make.com — alles strukturell mit Restrisiko behaftet.
EU AI Act (2024/2026/2027): Ab 02.08.2026 greifen die Pflichten für allgemeine KI-Modelle und Governance. Ab 02.08.2027 sind für Hochrisiko-KI-Anwendungen Sandbox-Tests (KI-Reallabore) verpflichtend — mit dokumentierter Test- und Audit-Historie. Wer jetzt anfängt, ist 2027 vorbereitet. Wer wartet, hat ein Compliance-Problem.
Für mittelständische Unternehmen bedeutet das: KI darf nicht mehr "irgendwie nebenbei" eingeführt werden. Sie braucht einen Stack, der diese drei Regulierungen in einer einzigen Architektur abbildet — bevor das Sales-Versprechen "DSGVO-konform" zur leeren Worthülse wird.
Acht Schichten — jede mit klar definierter EU-Verarbeitungsregion, Vertragsbeziehung in der EU, und ohne strukturelles CLOUD-Act-Risiko. Im Detail unten Schicht für Schicht erklärt.
Microsoft 365 mit EU Data Boundary als Frontend für alle Endanwender. E-Mails, Dokumente, Teams-Chats, Excel — die Arbeitsumgebung bleibt, was Ihre Mitarbeitenden ohnehin nutzen. KI-Funktionen (Chatbots, Assistenten, E-Mail-Automatisierung) docken hier transparent an, mit klarer Hinweispflicht laut EU AI Act.
Microsoft Entra ID (ehemals Azure AD) mit EU Data Boundary plus Conditional Access und Multi-Faktor-Authentifizierung. Jeder Zugriff auf Daten, jede Verbindung zwischen Diensten ist authentifiziert, autorisiert und auditierbar. Grundlage für jede DSGVO-konforme Zugriffslogik.
n8n als Self-Hosted-Variante in Azure EU (Germany West Central / Frankfurt). Die Orchestrierungs-Engine, die Eingangsmails klassifiziert, Auftragsdaten extrahiert, KI-Modelle aufruft und Ergebnisse in ERP-Systeme zurückschreibt. Kein Zapier, kein Make.com — volle Datenhoheit, vollständig auditierbar.
Anthropic Claude über AWS Bedrock EU in Frankfurt — Vertragsbeziehung mit AWS Germany, Daten verlassen die EU nicht. Alternativ Azure OpenAI Service in Sweden Central oder West Europe — Vertragsbeziehung mit Microsoft Ireland. Für besonders sensible Workloads steht Mistral aus Frankreich bereit — EU-Anbieter, EU-Recht, keinerlei US-Berührung.
PostgreSQL mit pgvector-Extension als Self-Hosted-Variante in der EU oder Qdrant Cloud (Frankreich/Deutschland) als Managed Service. Ihre Dokumente, Ihre historischen Aufträge, Ihre interne Wissensbasis — durchsuchbar gemacht, ohne in fremde Hände zu wandern. Keine Pinecone, keine Weaviate Cloud aus US-Region.
S3-kompatibler Object Storage bei IONOS, OVHcloud oder Hetzner für Rohdaten und Archive. SharePoint Online (EU Data Boundary) für strukturierte Dokumente und Berechtigungs-Vererbung. Alle Daten in europäischen Rechenzentren, keine Replikation in US-Regionen.
Azure Monitor und strukturierte Audit-Trails in PostgreSQL bzw. SharePoint. Aufbewahrungsfristen mindestens 36 Monate — auch über das gesetzliche Minimum hinaus, damit bei späteren EU-AI-Act-Audits die komplette Entscheidungshistorie nachvollziehbar bleibt: welche Eingabe hat welches Modell mit welchem Ergebnis verlassen, und wer hat den Output wann freigegeben.
Ein vollständig getrennter Microsoft-365-Tenant oder eine separate Azure-Subscription als Sandbox. Hier werden neue KI-Use-Cases entwickelt und getestet, bevor sie produktiv gehen — und ab 02.08.2027 wird genau diese Trennung für viele Anwendungen verpflichtend (KI-Reallabore). Wir betreiben und unterstützen diese Reallabore mit.
Die folgende Liste ist explizit — wir formulieren sie deutlich, weil Kunden sonst von anderen Anbietern entsprechende Vorschläge bekommen.
Vertragsbeziehung mit OpenAI LLC in den USA. Unterliegt CLOUD Act und FISA 702. Auch wenn OpenAI inzwischen einen "European Data Residency"-Tier anbietet — die Konzern-Struktur bleibt US-amerikanisch. Über Azure OpenAI Service (EU-Region) bekommt man dieselben Modelle mit Microsoft-Ireland-Vertragsbeziehung, ohne diese Risiken.
Beide Anbieter bieten zwar EU-Regionen an — die Mutter-Gesellschaften sitzen jedoch in den USA bzw. Niederlanden mit US-Kapitalstruktur. Qdrant Cloud (Frankreich/Deutschland) und Self-Hosted PostgreSQL+pgvector liefern dieselbe Funktionalität ohne diese Schicht an Komplikationen.
US-Unternehmen, Daten-Verarbeitung in US-Regionen. Für jeden Workflow mit personenbezogenen Daten ein Schrems-II-Problem. n8n Self-Hosted in der EU bietet dieselbe (teils bessere) Flexibilität, volle Daten- und Audit-Kontrolle, und ist ab mittleren Volumina auch kommerziell günstiger.
Der Markt ist voll von "Add KI to your business"-Tools, die im Kern API-Anfragen an OpenAI weiterleiten. Wenn der Anbieter nicht klar dokumentiert, in welcher Region verarbeitet wird, und kein vertraglicher Trainingsausschluss vorliegt — Finger weg. Ihre Geschäftsdaten könnten sonst im nächsten Modell-Training landen.
Dieser Stack ist keine theoretische Empfehlung. Adoption-X betreibt sein eigenes operatives Geschäft — Outreach, CRM, Wissensmanagement, Dokumentenverarbeitung — auf genau dieser Architektur. Jeder Pilot, jeder Workshop, jede Implementierung läuft auf demselben Setup.
Das hat zwei Konsequenzen, die für Ihnen relevant sind: Erstens kennen wir die Fallstricke aus eigener Erfahrung, nicht aus Hochglanz-Whitepapern. Zweitens funktioniert die Architektur in der Praxis — sonst würden wir sie nicht selbst nutzen. Mehr dazu auf Über uns.
30 Minuten, kostenfrei, kein Vertriebsgespräch. Wir gehen mit Ihnen durch Ihre aktuelle KI- und Cloud-Landschaft, identifizieren konkrete Schrems-II- oder EU-AI-Act-Risiken — und zeigen Ihnen, wie ein Übergang auf einen EU-souveränen Stack pragmatisch aussehen kann.
