DSGVO-konforme LLM-Anbieter jenseits der großen Drei
Mindestens 15 Anbieter liefern heute produktionsreife LLM-APIs mit garantierter EU-Datenverarbeitung. Ein Überblick über europäische Souveränitäts-Champions und US-Hyperscaler mit EU-Regionen für IT-Entscheider im DACH-Raum.
DSGVO-konforme LLM-Anbieter jenseits der großen Drei
Wer LLMs im DACH-Raum DSGVO-konform einsetzen will, hat deutlich mehr Optionen als nur Mistral AI, Aleph Alpha und Azure OpenAI. Mindestens 15 Anbieter liefern heute produktionsreife LLM-APIs mit garantierter EU-Datenverarbeitung – darunter europäische Souveränitäts-Champions wie Scaleway, OVHcloud, T-Systems und STACKIT, aber auch US-Hyperscaler mit dedizierten EU-Regionen. Der europäische Markt für souveräne KI-Infrastruktur hat sich seit 2024 rasant entwickelt: Nahezu alle relevanten US-Anbieter bieten inzwischen EU-Datenresidenz, während ein wachsendes Ökosystem genuin europäischer Plattformen CLOUD-Act-freie Alternativen schafft. Für IT-Entscheider im DACH-Raum bedeutet das: Die Wahl des LLM-Anbieters ist keine Frage von „ob DSGVO-konform”, sondern eine strategische Entscheidung zwischen Leistungsfähigkeit, Souveränitätsgrad und Ökosystem-Integration.
Europäische Souveränitäts-Champions: LLM-Hosting ohne US-Rechtsrisiko
Die stärksten Alternativen für Organisationen, die maximale Datensouveränität benötigen – kein CLOUD Act, keine US-Jurisdiktion, vollständig europäische Wertschöpfungskette.
Scaleway (Frankreich) – Bester Drop-in-Ersatz für OpenAI
Firmensitz: Paris, Frankreich (Iliad-Gruppe, gegründet von Xavier Niel). Scaleway betreibt eigene Rechenzentren in Paris mit einem PUE von 1,16 und 100 % erneuerbarer Energie. Die Generative APIs bieten serverlose, token-basierte Inferenz mit OpenAI-kompatibler API – ein direkter Drop-in-Ersatz. Verfügbare Modelle umfassen Llama 3.3, Mistral Small 3, Mixtral-8x7B, DeepSeek R1, Pixtral 12B (Vision) und diverse Embedding-Modelle. Ergänzend gibt es Managed Inference auf dedizierten GPUs (H100, L4, L40S) mit VPC-Anbindung. Scaleway garantiert, dass keine Prompts oder Outputs gelesen, gespeichert oder für Training verwendet werden. Kostenloser Einstieg mit 1 Mio. Tokens. Kunden wie Mistral AI und Hugging Face selbst nutzen Scaleways Infrastruktur – ein starkes Vertrauenssignal.
DSGVO-Status: Vollständige DSGVO-Konformität, Daten verlassen nie Europa. AVV verfügbar. Enterprise-Readiness: ⭐⭐⭐⭐⭐ – Produktionsreif, breites Modellportfolio, sofort einsetzbar.
OVHcloud AI Endpoints (Frankreich) – Europas größter Cloud-Anbieter mit LLM-Service
Firmensitz: Roubaix, Frankreich. OVHcloud betreibt 43 Rechenzentren weltweit und ist als einziger großer EU-Cloud-Anbieter SecNumCloud-zertifiziert (höchste französische Sicherheitszertifizierung durch ANSSI). Die im April 2025 gestarteten AI Endpoints bieten über 40 Open-Source-Modelle serverless aus dem Rechenzentrum Gravelines: Llama 3.3 70B, Mixtral 8x7B, Qwen 2.5 Coder 32B, DeepSeek-R1, Mistral Small 3.2 (multimodal) sowie Embedding- und Speech-Modelle. Die API ist OpenAI-kompatibel. Für maximale Isolation bietet OVHcloud eine On-Premises Cloud Platform (OPCP), die air-gapped betrieben werden kann. SecNumCloud-zertifizierte KI-Services sind für Ende 2026 angekündigt.
DSGVO-Status: SecNumCloud, DSGVO-konform, vollständig europäische Infrastruktur ohne US-Abhängigkeit. AVV verfügbar. Enterprise-Readiness: ⭐⭐⭐⭐ – Reife Infrastruktur, AI Endpoints noch relativ neu (seit April 2025), aber von Europas größtem Cloud-Anbieter backed.
T-Systems / Deutsche Telekom (Deutschland) – Souveräne KI für regulierte Branchen
Firmensitz: Bonn/Frankfurt, Deutschland. T-Systems bietet mit den AI Foundation Services die umfassendste souveräne KI-Plattform im DACH-Raum. Über eine OpenAI-kompatible API stehen 15+ LLMs zur Verfügung: Meta Llama 3.3, Mistral Small 3, DeepSeek R1, und – als einziger kommerzieller Anbieter – das europäische Teuken-7B (alle 24 EU-Sprachen). Über Partnerschaften sind auch GPT-4o, Claude 3 und Gemini 1.5 Pro verfügbar. Ergänzende Services umfassen einen RAG-Service mit 50+ Retrieval-Einstellungen, Fine-Tuning (LoRA, DPO/RLHF) und T-Systems Smart Chat als Browser-Interface.
Kernelement ist die Industrial AI Cloud in München: über 10.000 NVIDIA Blackwell GPUs mit 0,5 ExaFLOPS Rechenleistung. Diese Infrastruktur hostet auch das SOOFI-Projekt – das kommende 100-Milliarden-Parameter EU-Souveränitätsmodell (Trainingsbeginn März 2026). T-Systems hat als erste Telko einen Chief Sovereignty Officer ernannt und betreibt den „Deutschland-Stack” gemeinsam mit SAP für öffentliche Verwaltung und regulierte Industrien.
DSGVO-Status: Maximale Konformität. Deutsche Rechenzentren, ISO 27001, frei vom US CLOUD Act. AVV verfügbar. Enterprise-Readiness: ⭐⭐⭐⭐⭐ – Vollständiges Enterprise-Angebot mit SLAs, Professional Services, 24/7-Support.
STACKIT / Schwarz Digits (Deutschland) – Der Handelsriese als Cloud-Anbieter
Firmensitz: Neckarsulm, Deutschland (Schwarz-Gruppe – Europas größter Einzelhändler, 575.000 Mitarbeiter). Rechenzentren ausschließlich in Deutschland und Österreich. Seit Mai 2025 bietet STACKIT AI Model Serving Pay-as-you-go-Zugang zu LLMs über eine OpenAI-kompatible API: Llama 3.1/3.3, Mistral, Gemma, GPT-OSS-120B, Qwen3-VL und DeepSeek. Besonders relevant: Aleph Alphas PhariaAI-as-a-Service ist exklusiv auf STACKIT verfügbar. Die Plattform basiert auf OpenStack (kein Vendor Lock-in) und ist BSI C5 sowie ISO 27001 zertifiziert. Daten werden weder gespeichert noch für Training verwendet.
DSGVO-Status: BSI C5, ISO 27001, Gaia-X-Mitglied, rein deutsche/österreichische Infrastruktur. AVV verfügbar. Enterprise-Readiness: ⭐⭐⭐⭐ – Produktionsreif, Token-basierte Abrechnung, intern bei Schwarz erprobt.
Hugging Face (Frankreich) – Das Open-Source-Ökosystem als Enterprise-Plattform
Firmensitz: Paris, Frankreich (Hugging Face SAS). Der Hub mit über 1 Million Modellen ist das Zentrum des Open-Source-KI-Ökosystems. Für Unternehmen relevant sind drei Deployment-Optionen: Inference Endpoints (dedizierte GPUs mit wählbarer EU-Region auf AWS/Azure), Inference Providers (serverlos, 200+ Modelle, Pay-as-you-go) und Enterprise Hub On-Premises für vollständige Kontrolle. SOC 2 Type 2 zertifiziert, DPA über den Enterprise Hub verfügbar (ab $50/User/Monat). Die französische CNIL ist zuständige Aufsichtsbehörde. Hugging Face ist weniger ein klassischer API-Anbieter als eine Plattform zum Betrieb beliebiger Open-Source-Modelle – ideal für Teams, die Modellauswahl und Infrastruktur selbst steuern wollen.
DSGVO-Status: SOC 2 Type 2, DSGVO-konform, DPA verfügbar. EU-Regionen wählbar. Enterprise-Readiness: ⭐⭐⭐⭐⭐ – Weltweit bei Fortune 500 im Einsatz. Dell-Partnerschaft für On-Prem-Deployment.
IONOS AI Model Hub (Deutschland) – Souveräne KI für den Mittelstand
Firmensitz: Deutschland (United Internet Gruppe). Rechenzentren in Berlin und Frankfurt, seit September 2025 ein neues Rechenzentrum mit NVIDIA DGX H200. Der AI Model Hub – als „Deutschlands erste multimodale KI-Plattform” positioniert – bietet Llama 3.3, Mistral-Modelle und Embedding-Modelle über eine OpenAI-kompatible API. Integrierter ChromaDB-Vektordatenbank für RAG-Anwendungen. Preislich auf den Mittelstand ausgerichtet mit Token-basierter Abrechnung. Das Modellportfolio ist kleiner als bei OVHcloud oder Scaleway, wächst aber. IONOS war Partner im OpenGPT-X-Projekt und bewirbt sich gemeinsam mit SAP, Telekom und Schwarz um EU-Förderung für ein souveränes KI-Rechenzentrum.
DSGVO-Status: Deutsche Rechenzentren, ISO-zertifiziert, frei vom CLOUD Act. AVV verfügbar. Enterprise-Readiness: ⭐⭐⭐ – Solide für KMU, wachsendes Portfolio. Für Großunternehmen noch eingeschränkt.
Weitere europäische Plattformen
LightOn (Frankreich) ist ein börsennotiertes Unternehmen (Euronext Growth, seit November 2024), das mit der Paradigm-Plattform On-Premises-RAG für sensible Branchen anbietet. SOC 2 Type 1 zertifiziert, null externe Datenübertragung. Kunden umfassen Safran (Luftfahrt), Groupama (Versicherung) und die französische Raumfahrtagentur CNES. Eigene Modelle wie ModernBERT (20 Mio.+ Downloads) und LightOnOCR ergänzen das Angebot. Enterprise-Readiness: ⭐⭐⭐⭐ – hervorragend für On-Premises-Deployment in regulierten Branchen.
plusserver (Köln) bietet mit plusAI eine souveräne KI-Plattform auf BSI-C5-auditierter Infrastruktur in vier DACH-Rechenzentren. Dedizierte GPU-Instanzen mit verschiedenen LLMs, Gaia-X-Gründungsmitglied. Fokus auf Mittelstand und öffentlichen Sektor. Enterprise-Readiness: ⭐⭐⭐.
CONET (Bonn) hat im November 2025 die Plattform sovira.ai gestartet: souveräne KI-Assistenten auf lokalen LLMs, betrieben On-Premises oder in der BSI-zertifizierten CONET-Cloud. Kunden: Deutscher Bundestag, Auswärtiges Amt. 2.000 IT-Experten im Haus.
US-Hyperscaler mit EU-Datenresidenz: Frontier-Modelle aus europäischen Regionen
Für Unternehmen, die Frontier-Modelle wie Gemini 2.5 Pro, Claude Sonnet 4.5 oder Llama 3.3 405B benötigen und das Restrisiko des US CLOUD Act akzeptieren, bieten die Hyperscaler inzwischen robuste EU-Datenresidenz-Garantien.
Google Vertex AI – Gemini vollständig in der EU verfügbar
Google Cloud garantiert für Vertex AI verifizierte EU-Datenresidenz: ML-Processing erfolgt in der Region, in der die Anfrage gestellt wird. Die Modelle Gemini 2.5 Pro, 2.5 Flash und 2.5 Flash-Lite sind in den Regionen Netherlands (europe-west4), Frankfurt (europe-west3) und France (europe-west9) sowie als EU-Multi-Region verfügbar. Ergänzend stehen Anthropic Claude (Sonnet 4.5, Opus 4.5, Haiku 4.5) und Mistral-Modelle in Belgien und den Niederlanden bereit. Das Cloud Data Processing Addendum (CDPA) deckt die DSGVO ab, Zero Data Retention ist optional aktivierbar. Wichtig: Nur regionale Endpoints nutzen – der globale Endpoint und Express Mode bieten keine Datenresidenz-Garantie. Zertifizierungen umfassen ISO 27001/27017/27018/27701, ISO 42001 (KI-Management) und SOC 1/2/3.
AWS Bedrock – Breitestes Modellportfolio in EU-Regionen
Amazon Bedrock ist in sieben+ EU-Regionen verfügbar: Frankfurt, Irland, Paris, Stockholm, London, Mailand und Spanien (letztere seit März 2025). Das Schlüsselfeature sind EU-scoped Cross-Region Inference Profiles: Diese garantieren, dass Daten niemals die EU-Geografie verlassen, und verteilen Last automatisch über EU-Regionen. Verfügbar mit EU-Profilen sind Claude Sonnet 4/4.5, Mistral Pixtral Large, Amazon Nova (Lite/Micro/Pro) und Llama-Modelle. Frankfurt und Irland bieten die breiteste Modellauswahl. AWS DPA mit Standard Contractual Clauses ist verfügbar, Kundendaten werden nicht für Training verwendet. Service Control Policies (SCPs) können Nutzung auf EU-Regionen beschränken.
Anthropic Claude – Seit 2025 auch direkt mit EU-Processing
Eine wichtige Entwicklung: Seit August/September 2025 bietet Anthropic für die direkte Claude API EU-basierte Datenverarbeitung und -speicherung an. Nutzer können die EU-Processing-Region wählen, API-Logs werden nur 7 Tage vorgehalten, und ein Zero-Data-Retention-Addendum ist für Enterprise-Kunden verfügbar. Kundendaten fließen nicht ins Training. Für die strikteste EU-Datenresidenz bleibt der Zugang über AWS Bedrock EU-Profile oder Google Vertex AI EU-Regionen empfehlenswert, da hier die vertraglichen Garantien der Hyperscaler zusätzlich greifen. Über Microsoft Azure/Foundry ist Claude zwar verfügbar, aber explizit von Microsofts EU Data Boundary ausgenommen – hier Vorsicht.
IBM watsonx.ai und Oracle OCI
IBM watsonx.ai hostet in Frankfurt Granite-Modelle, Llama 3.3/4, Mistral und bietet On-Premises-Deployment über Red Hat OpenShift. watsonx.governance liefert EU-AI-Act-Compliance-Beschleuniger. Oracle OCI GenAI sticht mit einer dedizierten EU Sovereign Cloud in Frankfurt hervor, die physisch und operativ isoliert und ausschließlich von EU-Personal betrieben wird. Verfügbare Modelle umfassen Cohere Command R+, Llama 4, Gemini 2.5 und xAI Grok. Beide Plattformen sind weniger verbreitet im DACH-Raum als AWS/Google/Azure, bieten aber solide DSGVO-konforme Optionen.
Internationale Spezialisten mit EU-Compliance
Cohere (Kanada) – Enterprise-RAG-Spezialist mit EU-Deployment
Firmensitz: Toronto, Kanada. Bewertung $5,5 Mrd. Cohere verfolgt einen Cloud-agnostischen Ansatz: Modelle laufen in der VPC des Kunden, On-Premises oder auf AWS/Azure/GCP in beliebigen EU-Regionen. Die Kernmodelle Command R und Command R+ sind auf RAG-Anwendungen optimiert; ergänzt durch Embed (Embeddings) und Rerank (Suchergebnis-Ranking). Die im August 2025 gestartete North-Plattform ermöglicht Enterprise-KI-Agenten mit Zitationen und Reasoning Chains. DSGVO-konform durch multi-jurisdiktionales DPA mit SCCs, ISO 27001, ISO 42001, SOC 2 Type II. Enterprise-Readiness: ⭐⭐⭐⭐⭐ – VPC/On-Prem/Air-Gapped-Deployment, HIPAA-konform, Kunden wie RBC und Dell.
AI21 Labs (Israel) – Hybrid-Architektur für lange Kontexte
Firmensitz: Tel Aviv, Israel. $636 Mio. Funding (Google, NVIDIA, Intel). Kein eigenes EU-Rechenzentrum, aber EU-Hosting über AWS Bedrock (Frankfurt, Irland, Paris) und Google Vertex AI. Die Jamba-Modelle (hybride Mamba-Transformer-Architektur) bieten 256K Kontextfenster und bis zu 2,5x schnellere Verarbeitung langer Dokumente. Jamba Reasoning 3B (Apache 2.0) läuft sogar auf Mobilgeräten. Der AI21 Maestro orchestriert Wissensagenten mit RAG und Echtzeit-Validierung. Enterprise-Readiness: ⭐⭐⭐ – Stark bei Dokumentenanalyse, DSGVO-Konformität nur über Cloud-Partner.
Groq (USA) – Schnellste Inferenz, jetzt mit EU-Präsenz
Firmensitz: Mountain View, USA. Groqs proprietäre Language Processing Units (LPUs) liefern die schnellste LLM-Inferenz am Markt – ca. 10x schneller als GPUs bei einem Drittel des Energieverbrauchs. Seit Juli 2025 betreibt Groq ein EU-Rechenzentrum in Helsinki (Partnerschaft mit Equinix), ergänzt durch ein KI-Rechenzentrum in Norwegen. SOC 2, DSGVO und HIPAA-konform. EU-DSGVO-Vertreter: DP-Dock GmbH in Hamburg. Open-Source-Modelle (Llama, Mixtral) auf LPU-Hardware. Für On-Premises bietet Groq das GroqRack an. Enterprise-Readiness: ⭐⭐⭐⭐ – Ideal für latenz-kritische Anwendungen mit EU-Anforderung.
Together AI und Fireworks AI – Wachsende EU-Präsenz
Together AI (San Francisco, $405 Mio. Funding) betreibt seit September 2025 GPU-Infrastruktur in Schweden und plant Expansion nach Frankreich, UK, Italien und Portugal. Über 200 Modelle serverless verfügbar. Fireworks AI (Redwood City, $331 Mio. Funding, ~$130 Mio. ARR) ist in 18 Regionen weltweit inkl. EMEA präsent, SOC 2 Type II und DSGVO-konform, mit Zero Data Retention als Standard. Beide bieten VPC-Deployment und wachsen schnell in den europäischen Markt. Enterprise-Readiness: ⭐⭐⭐ – Solide, aber EU-Infrastruktur noch im Aufbau.
Schweizer Souveränität und das SOOFI-Projekt: Was noch kommt
Zwei Entwicklungen verdienen besondere Aufmerksamkeit. Die Schweiz hat im September 2025 mit Apertus ein nationales LLM veröffentlicht: 8B und 70B Parameter, trainiert auf 15 Billionen Tokens in über 1.000 Sprachen (inkl. Schweizerdeutsch und Rätoromanisch), vollständig unter Apache 2.0 lizenziert. Trainiert auf dem Alps-Supercomputer mit 10.000+ NVIDIA Grace Hopper Chips bei 100 % erneuerbarer Energie. Kommerziell verfügbar über Swisscom’s Sovereign Swiss AI Platform und Phoenix Technologies (mit Confidential Computing). Ergänzend bietet Safe Swiss Cloud eine Private-AI-Plattform mit OpenAI-kompatibler API unter Schweizer Recht.
Das SOOFI-Projekt (Sovereign Open Source Foundation Models) ist die wichtigste europäische KI-Initiative: Ein 100-Milliarden-Parameter souveränes EU-Sprachmodell in allen 24 EU-Amtssprachen, aufbauend auf dem Teuken-7B des abgeschlossenen OpenGPT-X-Projekts. Der Vertrag wurde im November 2025 vergeben, Training startet im März 2026 auf T-Systems’ Industrial AI Cloud (~130 NVIDIA DGX B200 Systeme). Getragen von sechs deutschen Forschungsinstitutionen unter Führung der Leibniz Universität Hannover, unterstützt von Fraunhofer IAIS und dem Bundesverband KI (BVKI).
Was nicht als allgemeine LLM-Alternative taugt
Einige der initial genannten Kandidaten sind für allgemeine LLM-Anwendungen nicht relevant:
- DeepL (Köln): Bietet ausschließlich spezialisierte Übersetzungs- und Schreib-APIs – kein General-Purpose-LLM. Hervorragend in der Domäne (ISO 27001, SOC 2, HIPAA), aber kein Ersatz für GPT oder Claude.
- Black Forest Labs (Deutschland): Bietet nur Bildgenerierung (FLUX-Modelle) – keine Text-LLMs. Relevant für DSGVO-konforme Image Generation.
- Stability AI (London, UK): Primär Bildgenerierung, Text-LLMs nur bis 7B Parameter. Finanzielle Schwierigkeiten und Führungswechsel. Nicht EU-ansässig.
- Nyonic (Berlin): Trotz prominentem Team (Ex-SAP, Ex-OpenAI) seit über einem Jahr ohne sichtbare Fortschritte. Wonton-Modelle nicht frei zugänglich. Nicht für Produktiveinsatz empfohlen.
- Silo AI (Helsinki): 2024 von AMD für $665 Mio. akquiriert – kein unabhängiger EU-Anbieter mehr. Viking-Modelle als Open Source verfügbar, aber ohne gehostete API.
- deepset (Berlin) und Kern AI (Berlin): Beide bieten keine LLM-Hosting-Services, sondern Orchestrierungs- und Applikationsschichten (Haystack bzw. Cognition). Deepset ist exzellent als Framework für den Bau DSGVO-konformer Anwendungen auf beliebigen LLMs.
Entscheidungsmatrix: Den richtigen Anbieter für Ihr Szenario finden
| Anforderung | Empfohlene Anbieter | Begründung |
|---|---|---|
| Max. Souveränität (kein CLOUD Act) | T-Systems, STACKIT, Aleph Alpha, OVHcloud | Rein europäische Infrastruktur und Jurisdiktion |
| Frontier-Modelle (GPT-4-Klasse) | Google Vertex AI (Gemini 2.5), AWS Bedrock (Claude 4.x) | Leistungsstärkste Modelle mit EU-Datenresidenz |
| OpenAI-Drop-in-Replacement | Scaleway, OVHcloud, STACKIT, T-Systems | OpenAI-kompatible APIs mit EU-Hosting |
| On-Premises / Air-Gapped | LightOn, Hugging Face Enterprise, IBM watsonx | Vollständige Datenkontrolle ohne Cloud |
| Mittelstand / schneller Einstieg | IONOS AI, STACKIT, Scaleway | Einfache Einrichtung, Token-basierte Abrechnung |
| RAG-Spezialisierung | Cohere, T-Systems, IONOS | Integrierte Vektor-DBs und Retrieval-Services |
| Schnellste Inferenz | Groq (Helsinki) | Custom-LPU-Hardware, 10x GPU-Geschwindigkeit |
| Schweizer Recht | Safe Swiss Cloud, Swisscom (Apertus) | Schweizer Jurisdiktion, kein EU-/US-Zugriff |
| Multilingual EU (24 Sprachen) | Teuken-7B (via T-Systems), Apertus | Spezifisch für europäische Sprachen trainiert |
Fazit: Drei strategische Erkenntnisse
Der Markt hat sich grundlegend gewandelt. Erstens ist DSGVO-konforme LLM-Nutzung kein Kompromiss mehr: Frontier-Modelle wie Gemini 2.5 Pro und Claude Sonnet 4.5 stehen mit vertraglich garantierter EU-Datenresidenz zur Verfügung. Zweitens bietet das europäische Ökosystem aus Scaleway, OVHcloud, T-Systems und STACKIT erstmals eine vollständige, CLOUD-Act-freie Alternative – inklusive OpenAI-kompatibler APIs, die eine Migration technisch trivial machen. Drittens wird das SOOFI-Projekt (100B-Parameter EU-Modell, Training ab März 2026) die bisher fehlende europäische Frontier-Modellebene adressieren. IT-Entscheider sollten heute eine Multi-Provider-Strategie aufbauen: US-Hyperscaler für maximale Modellleistung mit EU-Regionen, europäische Souveränitätsplattformen für regulierte Daten und sensible Workloads, und Open-Source-Modelle auf eigener Infrastruktur für vollständige Kontrolle.