Unternehmens-KI, die das europäische Recht nicht gegen Sie verwendet.

Was ist das?

Ein firmeneigener, kontrollierter Zugang zu KI-Modellen wie GPT und Claude — mit Protokoll, EU-Datenhaltung und Rechte-Verwaltung.

Welches Problem löst es?

Mitarbeiter nutzen KI längst heimlich mit Kundendaten. Ein Verbot verlagert das Risiko nur; dieses System holt es in einen kontrollierten Kanal zurück.

Wie soll ich es mir vorstellen?

Wie eine Schleuse am Werkstor: Jede Anfrage wird geprüft, registriert und bleibt in der EU — nichts verlässt unbemerkt das Haus.

Für wen?

Mittelständische Unternehmen, die KI erlauben wollen, ohne DSGVO, Betriebsrat und Haftung zu riskieren.

Die Nachfrage beschleunigt sich (Adoption 17 % → 41 % in einem Jahr), aber die größte Hürde ist nicht „Können wir KI?“, sondern „Dürfen wir KI mit unseren Daten?“. Datenschutz ist die meistgenannte Barriere, dicht gefolgt von Fachkräftemangel und rechtlicher Unsicherheit.¹

Das ist „Schatten-KI“ — das Leck, das ein Corporate LLM schließen soll: nicht ein neues Werkzeug zusätzlich, sondern die sanktionierte Alternative, die den Anreiz zum heimlichen Privat-Account beseitigt und den Datenfluss in einen kontrollierten, protokollierten Kanal zurückholt.

Der eigentliche Blocker ist Kapazität. Ohne Inhouse-Juristen bleibt die Rechtsgrundlagen-Prüfung liegen, ohne KI-Fachkräfte der governte Betrieb. Selbst ein williges Unternehmen kann DSGVO, BetrVG, NIS2 und den AI Act nicht gleichzeitig inhouse stemmen.¹

▸ EU AI Act — Rollen und Pflichten

Ein normaler unternehmensinterner KI-Assistent ist kein Hochrisiko-System. Er fällt standardmäßig in die Transparenz-Stufe (limited risk): die zentrale produktbezogene Pflicht ist die Offenlegung nach Art. 50, dass Nutzer mit KI interagieren bzw. dass Inhalte KI-generiert sind. Hinzu kommt — unabhängig von der Risiko-Stufe — die KI-Kompetenzpflicht nach Art. 4, die seit dem 02.02.2025 jeden Betreiber trifft (Personal muss im kompetenten KI-Einsatz geschult sein; Durchsetzung ab 08/2026). Sie ist organisatorisch: der Gateway flankiert sie über Audit und Offenlegung, erfüllt sie aber nicht.^3,4

Hochrisiko ist use-case-getrieben, nicht technologie-getrieben (Anhang III): erst wenn der Assistent z. B. Bewerber vorselektiert oder Kreditwürdigkeit bewertet, greifen die vollen Betreiberpflichten aus Art. 26 — menschliche Aufsicht, Protokollaufbewahrung ≥ 6 Monate, Information der Betroffenen.^5,6

Sanktionen: bis 35 Mio. € / 7 % (verbotene Praktiken), bis 15 Mio. € / 3 % (sonstige Verstöße), bis 7,5 Mio. € / 1 % (falsche Angaben gegenüber Behörden — hierunter fällt auch ein Verstoß gegen die KI-Kompetenzpflicht) — für KMU gilt jeweils der niedrigere der beiden Beträge. In Deutschland koordiniert die Bundesnetzagentur als zentrale Stelle die Marktüberwachung (Hybrid-Modell: sektorspezifische Behörden wie die BaFin bleiben für ihren Bereich zuständig); das Durchführungsgesetz zur KI-VO ist kabinettsbeschlossen (11.02.2026), aber noch nicht verabschiedet.^9,10

▸ DSGVO + Drittlandtransfer — ein Stapel, kein Schalter

Personenbezogene Daten an ein LLM zu senden ist erlaubt — aber nur, wenn der rechtliche Stapel gleichzeitig hält: eine Rechtsgrundlage (Art. 6, bei Beschäftigten- und Kundendaten mit dokumentierter Interessenabwägung), ein Auftragsverarbeitungs-Vertrag mit dem Anbieter (Art. 28), ein Übermittlungsmechanismus für jeden US-Schritt (Kapitel V: DPF, SCCs oder BCRs), ein Verzeichnis von Verarbeitungstätigkeiten und in den meisten LLM-Unternehmensfällen eine DSFA (Art. 35). Ein einziger fehlender Baustein macht den ganzen Fluss unrechtmäßig. Die EU-Region ist dabei kein Rechts-Baustein, sondern die technische Maßnahme, die den Kapitel-V-Schritt überhaupt erst vermeidbar macht.^{11,12,13,14,15}

▸ Deutsche Ebene — und der Betriebsrat

• NIS-2 weitet den Kreis betroffener Unternehmen massiv aus — ~29.500 in 18 Sektoren, viele Mittelständler neu im Anwendungsbereich und oft ohne es zu wissen. Nach langer Verzögerung (die EU-Frist Okt 2024 wurde verpasst) ist das deutsche NIS-2-Umsetzungsgesetz seit dem 06.12.2025 in Kraft; die BSI-Registrierungsfrist ist am 06.03.2026 abgelaufen — wer im Anwendungsbereich liegt, ist bereits in der Pflicht.
• DORA: für den Finanzsektor und dessen IT-Dienstleister direkt anwendbar seit 01/2025 — ein LLM-Gateway in dieser Kette ist mitbetroffen.
• BSI C5 / AIC4: der De-facto-Standard für Cloud- bzw. KI-Cloud-Sicherheit in Deutschland; die Posture, die Käufer und Auditoren erwarten.
• BetrVG § 87 Abs. 1 Nr. 6: die Einführung von KI-Tools löst echte Mitbestimmung aus, sobald das Tool zur Verhaltens-/Leistungskontrolle objektiv geeignet ist — Maßstab ist die objektive Eignung, nicht die Absicht des Arbeitgebers; dass er Nutzungsdaten einsehen kann, ist das entscheidende Indiz.

Zwei verschiedene US-Instrumente greifen auf Daten US-kontrollierter Anbieter zu — auch wenn diese auf EU-Servern liegen. FISA § 702 erlaubt US-Geheimdiensten den Zugriff ohne Richterspruch (der primäre Risiko-Vektor; keine bilateralen Ausnahmen). Der CLOUD Act verpflichtet US-Anbieter auf behördliche Anfrage zur Herausgabe, lässt aber bilaterale Abkommen als Korrektiv zu. Gerichtsbarkeit folgt dem Konzern, nicht dem Server-Standort. Eine „EU-Region“ reduziert die Routine-Exposition, hebt diesen rechtlichen Zwangszugriff aber nicht auf.²⁴

Ehrlich gesagt: ja, ein Corporate LLM ist ein Wrapper über mehreren Anbietern. Sein Wert steckt in dem, was der Gateway erzwingt: verifizierte Identität, einen Residenz-Chokepoint vor jedem Egress, ein Audit-Log über jede Anfrage und eine nachweisbare Löschung. Und darin, dass dieses System hier läuft und sich Stück für Stück nachprüfen lässt.

Gemessen an der Corporate-LLM-Definition des Marktes (Rechtssicheres Hosting · Multi-Modell-Aggregator · RAG mit eigener Vektor-Datenbank · Wissens-Bot · Workspace) deckt dieses System den technischen Kern ab: den Multi-Modell-Gateway, die eigene Vektor-DB-RAG (ausdrücklich gegen „PDF ins Custom-GPT laden“), EU-Hosting und eine Agenten-Runtime. Was fehlt, steht ehrlich unter „Grenzen“.

• Gateway + 451-Chokepoint: EU-Modell antwortet; ein US-Direkt-Endpunkt wird vor dem Egress mit HTTP 451 blockiert.
• Agent: Plan → Tool-Aufruf → Ergebnis → Antwort, jeder Schritt durch den Residenz-Gate.
• RAG: eine deutsche Frage, beantwortet aus hochgeladenem Firmendokument mit Quellen-Zitat.
• Audit + Löschung: eine Anfrage erzeugt eine Metadaten-Zeile; eine Löschung entfernt Inhalt und behält den Art.-30-Nachweis.
• Admin-Konsole: Login mit API-Key → Mandant, Nutzer, Token-Verbrauch, Audit-Log, Rollen.

Bereit.

• Quota ist ein nachlaufender Circuit-Breaker (Audit-Log-SUM), keine echte atomare Quote — bei Lastspitzen kann sie kurz überschießen.
• Metering-Rollup + Durability für Abrechnung in großem Maßstab stehen aus.
• Sub-Prozessor-Kaskade (vollständige AVV-Kette bis zum US-Anbieter) ist dokumentiert, nicht durchverhandelt.
• Backups / Point-in-Time-Recovery, Observability-PII-Scrubbing und Session-Owner-SPOF sind benannte, offene Härtungspunkte.
• Anthropic-Live-Routing ist code-fertig, aber nicht live verifiziert (kein API-Key; Claude EU-resident nur über Bedrock/Vertex).

Der Weg zur Produktion ist Härtung, nicht Neubau: echte atomare Quota, durable Metering, vollständige Sub-Prozessor-Verträge, Backups/PITR — und für den Verkauf die Zertifizierungen, die der Markt verlangt (ISO 27001, SOC 2, BSI C5).²¹

Der Kern steht: vier Module sind live und einzeln nachprüfbar. Was ein verkaufbares Produkt zusätzlich braucht, ist bekannt und benannt: Härtung, Verträge und Audits. Das ist solides Handwerk.

Die strategische Gabel ist die Risiko-Haltung, nicht das Volumen. Pass-through-plus-Marge ist dünn und risikolos, kommodifiziert aber schnell. Committed-Capacity-Arbitrage bringt echte Marge, trägt dafür Auslastungsrisiko und braucht Skala. Wer dem Kunden einen Festpreis gibt und oben metered einkauft, betreibt genau diese Arbitrage.²⁹

Hygienefaktor-Warnung: „DSGVO-konform / deutsche Server / kein Vendor-Lock-in“ ist im DACH-Markt der universelle Basis-Claim — dadurch kein Differenzierer. Der Vorsprung ist ein gebautes, nachprüfbares System plus die ehrliche L1/L2-Einordnung. Der Souveränitäts-Slogan allein genügt nicht. Scharfes Segment mit echtem Bedarf: Schweigepflicht-Berufe (Kanzleien, Steuerberatung, Praxen).³⁰

Unit-Preise (offizielle Cloudflare-Docs, 2026): Workers Paid 5 $/Monat inkl. 10 Mio. Requests; D1 25 Mrd. gelesene Zeilen inkl.; R2 mit kostenlosem Egress (Durable-Object-Requests werden separat gemessen). Selbst bei 1.000 Mandanten bleibt der Infra-Posten — getrieben von D1-Writes (Audit-Logs) und Durable-Object-Dauer — zweistellig im Euro-Bereich und verschwindet gegen die Token-Kosten.^31,32,33

1. Härtung: echte atomare Quota, durable Metering, Backups/PITR, Observability-PII-Scrubbing, Session-SPOF beseitigen.
2. Verträge: vollständige AVV-/Sub-Prozessor-Kette bis zum Modell-Anbieter; ROPA-Vorlagen je Use-Case.
3. Zertifizierung: ISO 27001, SOC 2 Type II, BSI C5 — die Kaufkriterien des Marktes.
4. L1→L2-Option: EU-eigenes Modell (Mistral/Aleph Alpha) + EU-Cloud + kundengehaltene Schlüssel als Konfigurations-Schalter für Souveränitäts-Kunden.
5. Produkt-Oberfläche: Workspace, Wissens-Bot in Schulungs-Tools, Self-Service-Onboarding für den Mittelstand.

mini-corporatellm ist eine eigenständige, von Grund auf selbst gebaute Implementierung — original-Code auf einem produktionstauglichen Stack: Bun, TypeScript, Hono auf Cloudflare Workers, D1, R2, Durable Objects. Das ist eine von mehreren tragfähigen Wahlen — Python/FastAPI, Go, Node oder AWS/Azure lösen dieselbe Aufgabe; hier fiel die Entscheidung auf EU-Residenz und niedrige Betriebskosten. Vier Module (Gateway, Agent + RAG, EU-Datenschicht, Multi-Mandant + Governance) sind live und einzeln nachprüfbar.

Die Gegenachse zum Markt-Standard ist bewusst: nicht „wir haben die Kategorie erfunden“, sondern „hier ist das gebaute System — sieh es dir an und brich es“. Jede Zahl auf dieser Seite trägt eine Quelle; jede Fähigkeit eine Live-Probe.

Gezeigter Beweis statt Standort und Druck.