11 min Lesezeit · 21 Jun 2026

EU-Datenresidenz für KI-Apps im Jahr 2026: OpenAI, Azure OpenAI, Mistral, Hetzner oder Self-Hosting?

Wenn Sie in Europa eine KI-App bauen und Daten in der EU halten müssen, sind Ihre realistischen Optionen im Jahr 2026: OpenAI API mit EU-Datenresidenz (nur über den Vertrieb, Speicherung im Ruhezustand im EWR), Azure OpenAI mit einem EU-Data-Zone-Deployment (die am besten dokumentierte Garantie für regionsinterne Verarbeitung eines Hyperscalers), Mistral (Hauptsitz in der EU, EU als Standard), AWS Bedrock mit EU-übergreifenden Inferenz-Profilen oder Self-Hosting von Open-Weight-Modellen auf Hetzner-GPUs in Deutschland oder Finnland. Nur Mistral und Hetzner entziehen sich vollständig der US-Jurisdiktion. Die Falle, in die fast jeder tappt: "EU-Datenresidenz" bedeutet meist Speicherung im Ruhezustand in der EU, nicht dass das Modell in der EU läuft. Das sind getrennte Zusagen. Verlangen Sie beide, ausdrücklich.

Das ist eine Engineering-Sicht, kein Verkaufspitch, und sie hat eine kurze Haltbarkeit. Die Residenz-Angebote haben sich über 2025 und 2026 stark verändert. Jede Aussage unten ist auf Mitte 2026 datiert; prüfen Sie die verlinkte Anbieterseite erneut, bevor Sie etwas unterschreiben oder eine Architektur festlegen.

Brauchen Sie Hilfe bei der Auswahl und Verkabelung eines EU-konformen KI-Stacks?

Kostenloses Erstgespräch buchen

Zuerst die Begriffe klären

Die meiste Verwirrung in der EU-KI-Beschaffung entsteht durch das Verwechseln von Begriffen, die Unterschiedliches bedeuten. Klären Sie diese, bevor Sie irgendetwas vergleichen.

Datenresidenz ist eine Standortaussage: wo Daten physisch liegen. Es ist eine Konvention, kein in der DSGVO definierter Begriff.
Datensouveränität ist eine Jurisdiktionsaussage: wessen Gesetze für die Daten gelten. EU-Daten in einer US-eigenen Cloud können EU-resident sein und trotzdem unter dem US CLOUD Act erreichbar bleiben. Der rechtliche Anker ist hier Kapitel V der DSGVO zu Datenübermittlungen, nicht das Wort "Residenz".
Speicherung im Ruhezustand ist der Ort, an dem Ihre Daten dauerhaft abgelegt werden. Verarbeitung oder Inferenz ist der Ort, an dem die GPU den Aufruf tatsächlich ausführt. Nach Art. 4 Abs. 2 DSGVO umfasst "Verarbeitung" ausdrücklich sowohl das Speichern als auch das Nutzen von Daten, sodass ein Inferenz-Aufruf in einer Nicht-EU-Region selbst ein Verarbeitungsvorgang ist, auch wenn die Speicherung in der EU bleibt.
Zero Data Retention (ZDR) bedeutet, dass der Anbieter Ihre Anfrage oder Antwort überhaupt nicht speichert. "Kein Training mit Ihren Daten" bedeutet nur, dass sie nicht damit trainieren; es sagt nichts darüber aus, ob die Daten geloggt oder gespeichert werden. Das ist voneinander unabhängig. Ein Anbieter kann ein Training mit Ihren Daten ablehnen und sie trotzdem 30 Tage zur Missbrauchsüberwachung aufbewahren.

Der eine Satz, den Sie sich merken sollten: EU-Datenresidenz bedeutet fast immer Speicherung im Ruhezustand in der EU. Regionsinterne Verarbeitung ist eine separate, engere und oft neuere Zusage. Gehen Sie nie davon aus, dass Residenz gleich EU-only-Inferenz ist.

Der Vergleich auf einen Blick

Wie die wichtigsten Optionen über die Dimensionen abschneiden, die eine Beschaffung tatsächlich entscheiden. Alle Angaben sind auf Mitte 2026 datiert und sollten pro Anbieter erneut verifiziert werden.

Dimension	OpenAI API	Azure OpenAI	Mistral	AWS Bedrock	Hetzner (Self-Host)
EU-Speicherung im Ruhezustand	Ja (pro Projekt, nur über Vertrieb)	Ja (Kundengeografie)	Ja, standardmäßig	Ja (aufgerufene Region)	Ja (Sie steuern es)
EU-regionsinterne Verarbeitung	Separates Add-on; Umfang bestätigen	Ja, über EU Data Zone	EU als Standard; Übermittlungen möglich	Ja, über EU-Inferenz-Profile	Ja, vollständig
Kein Training standardmäßig	Ja (seit 2023)	Ja	Bezahlt: ja. Kostenlos: nein	Ja	Entfällt (Sie besitzen es)
Zero Data Retention	Genehmigungspflichtig	Über modifizierte Missbrauchsüberwachung	Scale-Plan, auf Anfrage	Ja (Modus: none), oft freizuschalten	Inhärent
Self-Service-Anmeldung	Nein (Vertrieb)	Ja	Ja	Ja	Ja
Risiko durch US CLOUD Act	Ja (US-Unternehmen)	Ja (US-Unternehmen)	Nein (EU-Unternehmen)	Ja (US-Unternehmen)	Nein (DE/FI-Unternehmen)
Betriebsaufwand	Gering	Gering bis mittel	Gering	Mittel	Hoch
Qualität der Frontier-Modelle	Höchste	Höchste	Stark (EU)	Breiter Katalog	Open-Weight-Obergrenze

Nur Mistral und Hetzner haben ihren Hauptsitz in der EU und liegen damit außerhalb der Reichweite des US CLOUD Act, der für die Hyperscaler selbst bei EU-residenten Daten gilt. Für die US-Anbieter sind kundenverwaltete Verschlüsselungsschlüssel die übliche ergänzende Maßnahme, aber kein Allheilmittel.

OpenAI API

OpenAI bietet Datenresidenz pro Projekt konfiguriert an, mit Europa (EWR und Schweiz) unter den Regionen, und das sowohl für die API-Plattform als auch für ChatGPT Enterprise. Es läuft über den Vertrieb, nicht im Self-Service, und wird typischerweise bei neuen Projekten gesetzt. Die wichtige Nuance: Die Standardgarantie ist Speicherung im Ruhezustand in der gewählten Region. Regionsinterne Inferenz ist eine separate Sache; wenn das Modell selbst für die rohe API in der EU laufen muss, bestätigen Sie das ausdrücklich mit dem Vertriebsteam, statt es anzunehmen. An die API gesendete Daten werden seit März 2023 nicht zum Training von OpenAI-Modellen verwendet, sofern Sie sich nicht aktiv dafür entscheiden, und ZDR ist verfügbar, aber genehmigungspflichtig und entfernt die rund 30-tägige Aufbewahrung zur Missbrauchsüberwachung. Beachten Sie einen Preisaufschlag 2026 auf Datenresidenz-Endpunkte für neuere Modelle.

Azure OpenAI

Azure liefert die klarste Story zur regionsinternen Verarbeitung unter den Hyperscalern, weil der Deployment-Typ entscheidet, wo die Inferenz läuft. Global-Deployments können in jeder Azure-Region weltweit verarbeiten. Data-Zone-Deployments verarbeiten nur innerhalb einer festgelegten Zone, und die EU Data Zone beschränkt die Verarbeitung auf die EU Data Boundary. Regionale Deployments bleiben in der Deployment-Region. Die Speicherung im Ruhezustand bleibt bei allen in Ihrer gewählten Geografie. Zwei Fallen, die eine Erwähnung wert sind: Batch-Jobs laufen standardmäßig in Global-Verarbeitung, sofern Sie nicht die Data-Zone-Batch-Variante wählen, und die EU Data Zone (ein Verarbeitungsbereich aus mehreren Regionen) ist nicht dasselbe wie die umfassendere EU-Data-Boundary-Residenzzusage. Menschliche Prüfer für EWR-Deployments sind im EWR ansässig, was ein echtes Verkaufsargument ist. Azure OpenAI ruft nicht die eigenen Dienste von OpenAI auf und teilt Ihre Daten nicht mit dem Modellanbieter.

Mistral

Mistral hat seinen Hauptsitz in der EU und gibt an, dass Ihre Daten standardmäßig in der Europäischen Union gehostet werden; die Nutzung des US-Endpunkts ist ein ausdrückliches Opt-in. Zwei Dinge gilt es richtig zu machen. Erstens lautet die offizielle Formulierung "Europäische Union", nicht ein bestimmtes Land, also schreiben Sie nicht, es werde "in Schweden gehostet", denn die schwedische Anlage ist ein künftiges Inferenz-Zentrum, nicht der heutige Speicherort der La-Plateforme-Daten. Zweitens unterscheiden sich die Trainings-Standards je nach Plan: Bezahl- und Scale-Pläne sind standardmäßig vom Training abgemeldet, während der kostenlose Tarif angemeldet ist, sofern Sie das nicht ändern. ZDR existiert im Scale-Plan für zustandslose Aufrufe und ist auf Anfrage freizuschalten. Für maximale Kontrolle bietet Mistral auch selbstgehostete und dedizierte VPC-Deployments an, und seine Open-Weight-Modelle lassen sich selbst betreiben. Ein Vorbehalt: Auf Cloud-Marktplätzen wie Bedrock oder Azure folgt die Residenz der von Ihnen gewählten Cloud-Region, nicht dem EU-Standard von Mistral.

Hetzner und Self-Hosting

Hetzner ist Allzweck-Hosting, keine verwaltete LLM-API, also bringen Sie Ihr eigenes Modell und Ihren eigenen Inferenz-Stack mit. Was Sie bekommen, ist die volle Kontrolle über Speicherung und Verarbeitung, komplett innerhalb der EU, unter einem Auftragsverarbeitungsvertrag nach Art. 28, ohne Drittanbieter-Modell im Spiel. Seine eigenen EU-Rechenzentren stehen in Deutschland (Nürnberg, Falkenstein) und Finnland (Helsinki), und es bietet Single-GPU-Dedicated-Server: grob eine 20-GB-Karte für die Inferenz kleinerer Modelle und eine 96-GB-Karte für das Training oder den Betrieb eines quantisierten 70B-Modells. Die Parks sind nach ISO 27001 zertifiziert. Der Preis dieser Kontrolle ist real: Sie verantworten nun Kapazitätsplanung, Quantisierungsentscheidungen, Batching, Autoscaling, Verfügbarkeit, Patching und Monitoring.

Wenn Sie vollständig auf Open Weights selbst hosten, achten Sie auf die Lizenzen. Die meisten Open-Modelle von Mistral stehen unter Apache 2.0 und sind am wenigsten belastet. Llama ist kein OSI-Open-Source; seine Community-Lizenz enthält eine umfangreiche Klausel zu monatlich aktiven Nutzern und eine Attributierungspflicht, und EU-Teams sollten die aktuelle Acceptable-Use-Policy sorgfältig prüfen, bevor sie sich auf multimodale Varianten verlassen. Die Qwen-Lizenzierung ist je nach Modell gemischt. Self-Hosting gewinnt bei der Kontrolle, nicht bei Kosten oder Qualität bei geringem Volumen, wo eine dedizierte GPU im Leerlauf steht.

Der Entscheidungsbaum

Wählen Sie den ersten Zweig, der zu Ihrer harten Anforderung passt, nicht zu Ihrer Vorliebe.

Keine US-Entität darf jemals auf die Daten zugreifen können. Hosten Sie Open Weights auf Hetzner selbst, oder betreiben Sie Mistral selbstgehostet oder on-premise. Das sind die einzigen Optionen unter EU-Jurisdiktion.
Sie brauchen EU-Residenz, geringen Betriebsaufwand und Frontier-Qualität, und die Verarbeitung durch ein US-Unternehmen ist mit einem AVV und Standardvertragsklauseln akzeptabel. Azure OpenAI mit einem EU-Data-Zone-Deployment oder OpenAI API EU-Residenz, sobald Sie den Umfang der Inferenz-Residenz mit dem Vertrieb bestätigt haben.
Sie wollen eine verwaltete API mit Hauptsitz in der EU bei minimalem Aufwand. Mistral in einem Bezahl- oder Scale-Plan, Training standardmäßig aus, ZDR bei Bedarf hinzugefügt.
Sie sind bereits in AWS zuhause und wollen EU-eingeschlossene Inferenz. Bedrock mit EU-übergreifenden Inferenz-Profilen, plus Zero Data Retention, falls Sie es brauchen.
Sie haben hohes Dauervolumen und internes MLOps und wollen alles selbst besitzen. Hosten Sie Open Weights auf Hetzner selbst, dem Modell entsprechend dimensioniert, mit den oben genannten Lizenz-Vorbehalten.

"EU-Datenresidenz im Vertrag bedeutet meist, dass Ihre Daten in der EU gespeichert werden. Es bedeutet nicht, dass das Modell in der EU läuft. Das sind zwei verschiedene Versprechen, und die meisten Teams fragen nur nach dem ersten."

Wo Residenz ins größere Bild passt

Residenz ist ein Baustein eines belastbaren EU-KI-Systems, nicht die ganze Antwort. Die schwierigeren Probleme sind meist Retrieval-Qualität, nutzerbezogene Berechtigungen, Evals und Kosten, die wir in unserer RAG-Produktionsreife-Checkliste für die EU behandeln. Und Residenz sitzt innerhalb eines größeren Compliance-Stacks aus RAG-Datenflüssen, DSGVO und dem AI Act, den wir in wie DSGVO und der AI Act für ein DACH-SaaS zusammenspielen entwirren. Bringen Sie das Residenz-Modell früh in Ordnung, denn den Datenstandort nach dem Launch nachzurüsten gehört zu den teuersten Dingen, die Sie tun können.

Häufig gestellte Fragen

Bedeutet EU-Datenresidenz, dass meine Prompts in der EU verarbeitet werden?

Nicht zwingend. Sie garantiert meist die Speicherung im Ruhezustand in der EU. Regionsinterne Verarbeitung ist eine separate Zusage, die jeder Anbieter anders benennt, also bestätigen Sie den Verarbeitungsort eigenständig, statt anzunehmen, dass die Residenz ihn abdeckt.

Ist "kein Training mit meinen Daten" dasselbe wie Zero Data Retention?

Nein. "Kein Training" bedeutet, dass Ihre Daten nicht zur Verbesserung von Modellen genutzt werden. Zero Data Retention bedeutet, dass sie überhaupt nicht gespeichert werden. Ein Anbieter kann das Erste tun und Ihre Daten dennoch rund 30 Tage zur Missbrauchsüberwachung aufbewahren.

Welcher Anbieter ist sicher vor dem US CLOUD Act?

Nur solche mit Hauptsitz in der EU, in der Praxis Mistral und Hetzner. US-Anbieter wie OpenAI, Azure und Bedrock bleiben selbst bei EU-residenten Daten unter US-Recht erreichbar. Kundenverwaltete Verschlüsselungsschlüssel reduzieren dieses Risiko, beseitigen es aber nicht.

Was ist die EU Data Zone in Azure?

Ein Deployment-Typ, der die Inferenz auf die EU Data Boundary beschränkt. Sie unterscheidet sich von der umfassenderen EU-Data-Boundary-Residenzzusage, und die genaue Liste der zonen-internen Regionen ändert sich im Lauf der Zeit, also prüfen Sie die aktuelle Microsoft-Dokumentation.

Bleibt Azure Batch in der EU?

Nur wenn Sie die Data-Zone-Batch-Variante nutzen. Einfaches Batch läuft standardmäßig in Global-Verarbeitung, die in jeder Azure-Region weltweit laufen kann.

Wird Mistral in Schweden gehostet?

Nein. Die offizielle Formulierung lautet standardmäßig "Europäische Union", heute primär Frankreich und EU-Unterauftragsverarbeiter. Der schwedische Standort ist ein künftiges Inferenz-Rechenzentrum, nicht der Ort, an dem die aktuellen La-Plateforme-Daten liegen.

Bekomme ich OpenAI-EU-Residenz in einem Self-Service-Plan?

Nein. Sie läuft über den Vertrieb und wird pro Projekt konfiguriert, typischerweise bei neuen Projekten. Außerdem gibt es 2026 einen Preisaufschlag auf Datenresidenz-Endpunkte für neuere Modelle.

Wann lohnt sich Self-Hosting auf Hetzner wirklich?

Wenn Sie die volle EU-Kontrolle über Speicherung und Verarbeitung ohne Drittanbieter brauchen oder hohes Dauervolumen und internes MLOps haben. Es gewinnt bei der Kontrolle, nicht bei Kosten oder Qualität bei geringem Volumen, wo die GPU im Leerlauf steht.

Welches Open-Weight-Modell ist für kommerzielles EU-Self-Hosting am saubersten?

Apache-2.0-Modelle von Mistral sind am wenigsten belastet. Llama trägt eine umfangreiche Klausel zu monatlich aktiven Nutzern plus Attributierung und einen zu prüfenden EU-Acceptable-Use-Vorbehalt, und die Qwen-Lizenzierung ist gemischt. Lesen Sie jede Modellkarte, bevor Sie sich festlegen.

Wie oft ändert sich das?

Oft. Die Residenz-Angebote haben sich über 2025 und 2026 verschoben. Behandeln Sie jede Aussage hier als Mitte 2026 und verifizieren Sie die Anbieterseite erneut, bevor Sie sich vertraglich oder architektonisch festlegen.

Fazit

EU-Datenresidenz ist nicht ein einziger Schalter. Es ist ein Bündel separater Versprechen: Speicherort, Verarbeitungsort, Aufbewahrung, Training und Jurisdiktion. Der teuerste Fehler ist, "EU-Datenresidenz" in einem Vertrag so zu behandeln, als meine sie das ganze Bündel, obwohl sie meist nur die Speicherung im Ruhezustand meint.

Entscheiden Sie, welche dieser Versprechen Sie tatsächlich brauchen, geordnet nach der Härte der Anforderung. Wenn keine US-Entität die Daten je berühren darf, wählen Sie zwischen Mistral und Self-Hosting auf EU-Infrastruktur. Wenn vertragliche Schutzmaßnahmen akzeptabel sind, sind Azures EU Data Zone und OpenAIs EU-Residenz die betriebsarmen Frontier-Optionen. Schreiben Sie dann das Datum neben jede Aussage, denn das wird sich wieder verschoben haben, bis Sie es lesen.

Wollen Sie eine zweite Meinung zu Ihrer EU-KI-Architektur, bevor Sie unterschreiben?