Confidential Computing – ein Ausweg aus dem europäischen KI-Dilemma?

Confidential Computing – ein Ausweg aus dem europäischen KI-Dilemma?

In English lesen →

Fast jeder nutzt inzwischen KI – ChatGPT, Gemini oder Copilot gehören für viele längst zum Alltag. Die Frage, die dabei selten gestellt wird, lautet: Wo landen eigentlich unsere Eingaben – und wer könnte sie dabei theoretisch mitlesen?

Wie real diese Frage ist, zeigt sich schon an einer alltäglichen Beobachtung: Viele Organisationen stellen ihren Mitarbeitenden die wirklich leistungsfähigen Werkzeuge – ein Claude Code etwa – gerade wegen dieser offenen Datenfrage nur zögerlich zur Verfügung. Das ist allerdings nur ein Ausschnitt eines größeren Dilemmas, das besonders uns in Deutschland und der EU betrifft.

Das Dilemma

Die leistungsfähigsten KI-Modelle kommen heute fast alle aus den USA (OpenAI, Anthropic, Google). Drei US-Anbieter machen zusammen rund drei Viertel des Enterprise-Markts für Sprachmodelle aus; auch bei Cloud (~70 %) und KI-Chips (Nvidia und AMD zusammen über 80 %) ist die Abhängigkeit groß. Europa hat mit Mistral (Frankreich) den einzigen eigenen Anbieter an der Spitze – stark etwa bei der Dokumenten-/OCR-Verarbeitung, beim „Vibe Coding“ (KI-gestütztes Programmieren) à la Claude Code oder OpenAI Codex aber noch nicht auf Augenhöhe.

Gleichzeitig ist der Serverstandort keine Garantie: Der US-CLOUD Act verpflichtet US-Unternehmen, Daten auf Basis eines gültigen US-Rechtsakts (z. B. eines richterlichen Beschlusses) an US-Behörden herauszugeben – ausdrücklich unabhängig davon, ob die Daten in den USA oder in einem EU-Rechenzentrum liegen. Ein „Frankfurt-Hosting“ von Microsoft, AWS oder Google löst das rechtliche Spannungsfeld mit Art. 48 DSGVO (Datenherausgabe an Drittstaaten) also nicht automatisch. Dass das keine graue Theorie ist, zeigte 2025 der Fall des IStGH-Chefanklägers Karim Khan, der nach Medienberichten infolge von US-Sanktionen von seinem Microsoft-Konto auf einen Schweizer Anbieter wechselte (Microsoft widersprach der Darstellung einer aktiven Abschaltung).

Und die naheliegende Idee „dann hosten wir offene Modelle eben selbst“ hat eigene Haken: Chinesische Spitzenmodelle (DeepSeek, Qwen) tragen dokumentierte Zensur direkt in den Modellgewichten – die bleibt auch beim lokalen Betrieb bestehen. Metas Llama 4 ist für EU-Unternehmen lizenzrechtlich teils ausgeschlossen. Und auch westliche Modelle sind nicht per se neutral: xAIs Grok fiel 2025 mehrfach mit extremen, dokumentierten Fehlausgaben auf.

Wo Confidential Computing ins Spiel kommt

Klassische Verschlüsselung schützt Daten beim Speichern und beim Übertragen – aber sobald ein Computer sie verarbeitet, liegen sie im Klartext im Arbeitsspeicher. Confidential Computing schließt genau diese Lücke: Die Verarbeitung läuft in einem von der Hardware abgeschotteten, verschlüsselten Bereich (einer „Enklave“), den selbst der Cloud-Betreiber oder ein Administrator nicht einsehen kann. Per „Attestation“ beweist die Hardware zudem kryptografisch, dass wirklich der erwartete, unveränderte Code läuft.

Für KI heißt das: Man könnte sensible Daten durch ein starkes Modell schicken, ohne dass der Betreiber sie im Klartext sieht.

Die ehrliche Frage

Ist das die Lösung aus dem Dilemma? Teilweise. Es schützt die Vertraulichkeit der Daten wirklich – aber es macht ein US-Modell nicht automatisch „souverän“: Die Vertrauensanker (Prozessoren von Intel, AMD, NVIDIA sowie die zugehörigen Attestierungsdienste) sind selbst US-kontrolliert, und der CLOUD Act setzt ohnehin an der Organisation an, nicht am Serverstandort. Gegen Bias oder Zensur eines Modells hilft die Technik gar nicht – sie schützt Daten, nicht Inhalte.

Die ehrliche Formel lautet daher: Confidential Computing macht starke (US-)KI DSGVO-konformer und risikoärmer – nicht automatisch DSGVO-konform und nicht souverän. Echte Souveränität entsteht erst mit europäisch kontrollierter Infrastruktur (Gaia-X, EuroHPC) – auf Frontier-Niveau ist die noch nicht so weit. Beides ist komplementär, nicht austauschbar.

Genau diese Chancen und Grenzen möchte ich in den nächsten Beiträgen Schritt für Schritt beleuchten: Warum ein EU-Rechenzentrum noch keine Souveränität bedeutet, welches Modell sich fürs Selbsthosten eignet, was Confidential AI in der Praxis heute leistet – und wie man Souveränität ehrlich rechnet.


Wenn dir dieser Beitrag weitergeholfen hat, teile ihn gern – und schreib mir, wie du die Datenfrage in deinem Umfeld siehst.


Quellen (Auswahl):