pdf2okf·

Wiki

Datenhoheit für KI: Residenz vs. Souveränität vs. digitale Souveränität

Drei Wörter, behandelt wie eines

Wer heute „souveräne KI" kauft, bekommt womöglich eines von drei verschiedenen Dingen. Datenresidenz, Datensouveränität und digitale Souveränität werden in Vertriebsfolien synonym verwendet. Dabei beantworten sie drei verschiedene Fragen, und genau in den Lücken dazwischen zerfällt eine Compliance-Geschichte leise.

Die kürzeste Eselsbrücke: Residenz sagt dir, wo deine Daten schlafen; Souveränität, wessen Recht sie wecken kann; digitale Souveränität, wer das Licht ausschalten kann.

Datenresidenz: wo deine Daten schlafen

Datenresidenz ist eine Frage der Geografie. Sie fragt nur eines: In welchem Land liegen die Bytes physisch? „In der EU gehostet", „Speicherung in unserer Frankfurt-Region", „Daten verlassen Deutschland nie". Das sind Residenz-Aussagen. Sie lassen sich leicht prüfen, leicht vermarkten und sind für Latenz und manche vertragliche Zusagen echt nützlich.

Aber Residenz betrifft nur den Ort im Ruhezustand. Sie sagt nichts darüber, wer die Daten erreichen kann, unter wessen Hoheit, oder was passiert, wenn ein ausländisches Gericht eine Anordnung erlässt. Ein Rechenzentrum in Frankfurt, das einem Unternehmen in Seattle gehört, bleibt eine Frankfurter Adresse mit einem Vermieter in Seattle.

Datensouveränität: wessen Recht sie weckt

Datensouveränität ist eine Frage der Rechtshoheit. Sie fragt: Welches Rechtssystem regiert diese Daten tatsächlich, und wer kann ihre Herausgabe erzwingen? Hier hört Residenz auf zu genügen.

Der entscheidende Fall ist der US CLOUD Act (2018). Er erlaubt US-Behörden, einen US-Anbieter zur Herausgabe von Daten unter seiner Kontrolle zu zwingen, unabhängig davon, wo auf der Welt diese Daten liegen. Die deutsche Region eines US-Hyperscalers gibt dir also EU-Residenz und lässt dich zugleich unter US-Recht. Die Daten schlafen in Frankfurt; US-Recht kann sie trotzdem wecken. Residenz ohne Souveränität ist die häufigste Lücke im Markt, und sie fällt den meisten Käufern erst auf, wenn ein Jurist fragt.

Digitale Souveränität: wer das Licht ausschalten kann

Digitale Souveränität ist der weiteste der drei Begriffe. Es geht um die Kontrolle über den gesamten Stack: nicht nur darum, wo Daten liegen und welches Recht gilt, sondern wer den Betrieb führt, wem die Software gehört, wer die Updates ausliefert und ob ein ausländischer Anbieter oder Staat deinen Zugang drosseln oder kappen könnte. Es ist der Unterschied zwischen dem Mieten und dem Besitzen einer Fähigkeit.

Eine „souveräne" Lösung, die weiterhin davon abhängt, dass die Laufzeit eines ausländischen Konzerns eingeschaltet bleibt, ist in diesem Sinne nicht souverän. Wenn jemand im Ausland einen Schalter umlegen kann (Lizenzentzug, Exportkontroll-Anordnung, Diensteinstellung) und dein System geht dunkel, dann hast du Residenz und vielleicht sogar juristischen Trost, aber keine digitale Souveränität.

Der Souveränitäts-Schub 2025–26 und „Sovereignty-Washing"

Europa hat 2025 und 2026 versucht, diese Lücken zu schließen. Im öffentlichen Sektor und in regulierten Branchen gibt es einen starken Souveräne-Cloud-Schub, und Brüssel ging weiter: Der Cloud and AI Development Act (CADA) wurde am 3. Juni 2026 vorgelegt, aber er ist ein Vorschlag, kein geltendes Recht, und darf nicht behandelt werden, als wäre er bereits in Kraft.

Als Reaktion verkauft heute jeder große US-Hyperscaler eine „souveräne Cloud"-Variante. Kritiker nennen vieles davon Sovereignty-Washing: eine europäisch klingende Hülle um Infrastruktur, deren letztlicher Eigentümer, und damit deren letztliche Rechtshoheit, sich nicht geändert hat. Ist die kontrollierende Firma weiterhin US-amerikanisch, reist die CLOUD-Act-Aussetzung mit, „souveränes" Etikett hin oder her. Residenz kann man aufmalen. Souveränität nicht.

Lokale Inferenz löst die Frage auf

Es gibt eine strukturell saubere Antwort, die nicht davon abhängt, einem Etikett zu trauen: die Daten gar nicht erst bewegen. Läuft die Inferenz auf deiner eigenen Hardware (das Modell liest deine Dokumente lokal, die Bytes verlassen die Maschine nie), fallen die drei Fragen zu einer einzigen, einfachen Antwort zusammen. Residenz: hier. Rechtshoheit: deine. Kontrolle über den Stack: deine, weil kein externer Anbieter in der Schleife ist, den man zwingen, abschalten oder umetikettieren könnte. Die Souveränitätsfrage wird nicht so sehr beantwortet, sie löst sich auf, weil die Bedingung, die sie erzeugt (deine Daten auf dem Computer eines anderen), nie eintritt.

Wo pdf2okf ins Bild kommt

pdf2okf ist für genau diese strukturelle Antwort gebaut. Es ist der Kern einer souveränen KI. Es verwandelt deine PDFs in OKF-kompatible Wissens-Bundles auf deiner eigenen Hardware oder gegen deinen eigenen Schlüssel. Keine Seite wird an Dritte hochgeladen. Es gibt keine ausländische Region zu auditieren, keinen Anbieter, den man vorladen, und keine Laufzeit, die ein anderer abschalten kann. Du bekommst Datenresidenz (die Dateien liegen auf deiner Platte), Datenhoheit im rechtlichen Sinn (nur dein Recht gilt) und digitale Souveränität (dir gehört die gesamte Pipeline) aus demselben Grund: Die Daten sind nie gegangen. Zur rechtlichen Mechanik dahinter siehe DSGVO-konforme KI und den CLOUD Act.

Quellen

pdf2okf.com

Sei dabei, wenn es aufgeht.

pdf2okf entsteht gerade im Privaten, self-hosted, souverän. Hinterlass eine Mail, du bist als Erstes drin.