Bei der Einführung von künstlicher Intelligenz in Unternehmen steht die Funktionalität oft im Vordergrund; Fragen der digitalen Souveränität bleiben nachgelagert. Dabei greift kaum eine Technologie so tief in Daten, Prozesse und Infrastruktur ein wie KI.
Dabei stehen Entscheider vor Herausforderungen: Wer bei KI zögert, riskiert Wettbewerbsnachteile. Wer vorschnell handelt, verliert Handlungsspielräume. Wer hier nicht bewusst steuert, gibt schnell mehr Kontrolle ab als beabsichtigt. Digitale Souveränität hilft, in diesem Spannungsfeld Abhängigkeiten bewusst zu gestalten und strategische Optionen offen zu halten.
Dieser Artikel strukturiert Souveränität im KI-Kontext entlang zentraler Dimensionen, macht potenzielle Abhängigkeiten transparent und bietet Unternehmen Orientierung beim Einsatz von KI.
Welche Risiken für digitale Souveränität entstehen durch KI?
Die Implementierung künstlicher Intelligenz verläuft dynamischer als frühere Technologiewechsel. Tempo, Kostenvorteile und steigende Markterwartungen erhöhen den Druck auf Entscheider. Gleichzeitig dominieren bei leistungsstarken generativen KI-Systemen wenige globale Player den Markt. Wer wettbewerbsfähig bleiben will, greift schnell auf etablierte Lösungen zurück.
Diese Konzentration führt dazu, dass Unternehmen in neue Abhängigkeiten geraten: von Modellbetreibern, Cloud-Infrastrukturen und Datenquellen, auf die sie keinen direkten Zugriff haben. Sensible Unternehmensdaten geraten so möglicherweise in Umgebungen, in denen Sicherheits- und Nutzungsbedingungen nicht mehr kontrolliert werden können. Ein oft unterschätztes Risiko: Öffentliche KI-Systeme wie ChatGPT werden von Mitarbeitenden häufig eigenständig genutzt – auch ohne Wissen oder Freigabe des Unternehmens. Dabei können sensible Daten unbemerkt abfließen.
Hinzu kommt, dass der rechtliche, gesellschaftliche und politische Rahmen für den KI-Einsatz noch nicht vollständig ausdefiniert ist. Unternehmen müssen ihre KI-Strategien in einem Umfeld entwickeln, das sich kontinuierlich verändert und dabei Risiken adressieren, die heute noch nicht vollständig absehbar sind.
Souveränität schafft Handlungsspielraum
Genau hier wird digitale Souveränität entscheidend: Sie ermöglicht es, Abhängigkeiten in der KI-Implementierung bewusst zu gestalten, Steuerungsbedarfe frühzeitig zu erkennen und sich Handlungsspielräume zu bewahren, auch wenn sich die Rahmenbedingungen ändern.
Wer digitale Souveränität von Beginn an mitdenkt und bewusst klare Leitplanken für den KI-Einsatz schafft, erzielt drei entscheidende Vorteile:
Orientierung: Mitarbeitende wissen, was zählt – auch in unsicheren Phasen.
Vertrauen: Kunden und Partner erkennen klare Linien, jenseits von kurzfristigem Opportunismus.
Resilienz: Unternehmen, die heute bewusst gestalten, können morgen flexibler auf Veränderungen reagieren.
Exkurs: Was beduetet digitale Souveränität?
„Digitale Souveränität" ist zu einem zentralen Schlagwort in Strategiepapieren, Regierungserklärungen und Vorstandsdiskussionen geworden. Es geht darum, angesichts immer komplexerer IT-Landschaften Infrastrukturen selbstbestimmt zu gestalten und Unternehmen resilient und reaktionsfähig aufzustellen.
Entscheidend dabei ist, Unabhängigkeit, Wirtschaftlichkeit und Leistungsfähigkeit ins Gleichgewicht zu bringen. Es braucht keine vollumfängliche Autarkie, wohl aber bewusste Entscheidungen darüber, wo Abhängigkeiten vertretbar sind und wo nicht. Dabei hilft eine strukturierte Standort- und Zielbestimmung. Sie schafft Bewusstsein darüber, an welchen Punkten ein Unternehmen am angreifbarsten ist, und unterstützt Entscheider dabei, digitale Souveränität konsequent umzusetzen.
Digitale Souveränität im KI-Kontext
Digitale Souveränität beim Einsatz künstlicher Intelligenz bedeutet nicht, KI zu begrenzen oder ausländische Anbieter zu meiden. Vielmehr bedeutet sie, sich Kontrolle zu verschaffen, handlungsfähig zu bleiben und Risiken sichtbar zu machen. Sei es durch die Wahl des Anbieters, die Gestaltung der Infrastruktur oder die Definition klarer Governance-Regeln. Nur so kann KI verantwortungsvoll eingesetzt werden.
Wie kann KI Souveränität eingesetzt werden?
Für digitale Souveränität gibt es keine generischen Rezepte. Je nach Größe und Branche unterscheiden sich die Schwerpunkte erheblich – mit direkten Konsequenzen für Architektur, Verträge und Nachweispflichten.
Große Konzerne verfügen über die Ressourcen, eigene Modelle zu entwickeln und zu trainieren. So können sie ihre Technologiehoheit gezielt auszubauen, dedizierte Teams aufbauen und haben die Kapazität, KI-Systeme intern zu entwickeln und (offline) zu betreiben. Ihr Fokus liegt auf technologischer Souveränität und Unabhängigkeit von externen Anbietern.
KMU sind stärker auf externe Lösungen angewiesen. Für sie ist es entscheidend, diese Lösungen mit Bedacht auszuwählen und vor allem Governance und Datensouveränität abzusichern. Der Fokus liegt weniger auf eigener Entwicklung als auf kontrollierter Integration.
Banken und Versicherer stehen vor zusätzlichen regulatorischen Anforderungen. Die DORA-Verordnung, der EU AI Act und EIOPA-Leitlinien verschärfen Steuerungs- und Nachweispflichten deutlich. Compliance wird hier zu einem zentralen Treiber für digitale Souveränität.
Für jeden Anwendungsfall lassen sich die richtigen Prioritäten gezielt ermitteln, wenn digitale Souveränität in ihre verschiedenen Dimensionen aufgeschlüsselt wird. Nicht jedes Szenario erfordert cloudbasierte KI-Systeme mit breitem Weltwissen und externen Schnittstellen. Für viele Use Cases - wo insbesondere die kognitive Leistung der KI im Vordergrund steht - bieten Offline-KI-Lösungen eine sehr solide und souveräne Alternative: Daten verbleiben vollständig im Unternehmen, und durch gezieltes Finetuning lässt sich darüber hinaus zusätzliches Expertenwissen integrieren – bei deutlich höherer Kontrolle und geringen externen Abhängigkeiten.
Wie können Unternehmen ihre KI-Souveränität bewerten?
Digitale Souveränität lässt sich in drei Säulen unterteilen: Technologische Souveränität, Operative Souveränität und Datensouveränität. Sie bilden das Fundament, um Abhängigkeiten systematisch zu erfassen und gezielt zu steuern. Mit Blick auf den Einsatz von KI werden entlang dieser Säulen folgende Fragen beantwortet:
Technologische Souveränität
„Verfügen wir über ausreichende Kontrolle und Wahlfreiheit bei der eingesetzten KI-Technologie?“
Der Fokus liegt auf Infrastruktur, Architektur, Software, Anbieterunab-hängigkeit und internem Know-how.
Operative Souveränität
„Sind wir organisatorisch, personell und prozessual in der Lage, KI eigenständig zu betreiben und/oder zu verantworten?“
Prozesse, Verantwortlich-keiten und interne Entschei-dungsfreiheit stehen im Mittelpunkt.
Datensouveränität
„Haben wir in der KI-Anwendung die volle Kontrolle über Herkunft, Speicherung, Nutzung und Schutz unserer Daten?“
Hier werden Datenhoheit, regulatorischer Schutz und das Risiko ungewollten Datenabflusses betrachtet.
Die Sieben Ebenen der KI-Souveränität
Unter den drei Säulen lässt sich Souveränität in sieben aufeinander aufbauenden Ebenen betrachten:
- Hardware: Physische Komponenten (Chips, Server, physische Lokation)
- Infrastruktur: Cloud-Umgebung, Rechenzentren, Netzwerke
- Daten: Herkunft, Hoheit, Vertraulichkeit
- Modell: KI-Algorithmen und deren Training
- Use-Case: Konkrete Anwendungsfälle und Integrationen
- Governance: Steuerungs- und Kontrollprozesse
- Werte und Ethik: Grundsätze für verantwortungsvollen KI-Einsatz
Diese Ebenen helfen, Risiken im Einsatz von KI zu identifizieren und blinde Flecken aufzudecken – von der physischen Infrastruktur bis zur ethischen Verantwortung. Auf diese Weise erhalten Unternehmen eine Übersicht darüber, wie viel Kontrolle sie über Use Cases, Modelle und Governance‑Prozesse haben.
Die Matrix: 3 Säulen × 7 Ebenen
Durch die Kombination der drei Säulen und sieben Ebenen entsteht eine Matrix mit 21 Bewertungsfeldern. Sie ermöglicht Unternehmen eine differenzierte Selbsteinschätzung und beantwortet Fragen wie: In welchen Ebenen sind wir technologisch abhängig? Wo fehlt operative Kompetenz? An welchen Stellen ist unsere Datensouveränität gefährdet? So zeigt sie auf einen Blick, wo strategischer Handlungsbedarf besteht, und schafft eine fundierte Basis für Priorisierungsentscheidungen. Die Ebenen müssen dabei nicht linear bearbeitet werden. Entscheidend ist, Handlungsbedarf dort zu erkennen, wo er für das eigene Unternehmen am dringlichsten ist.
Konkret könnte ein Unternehmen so beispielweise feststellen, dass es zwar über eigene Daten verfügt (Ebene 3), aber keine Kontrolle über das verwendete KI-Modell (Ebene 5) oder die verwendete Cloud-Infrastruktur (Ebene 2) hat.
Wie KI Souverän angewendet wird
Eine mittelgroße Versicherung implementiert eine externe KI-Lösung zur automatisierten Risikoprüfung bei Lebensversicherungen. Die eingesetzten Modelle werden von einem Drittanbieter gehostet, die Trainingsdaten stammen aus anonymisierten Kundenakten. Auf den ersten Blick scheint die Lösung compliant und effizient. Doch bei einer internen Analyse zeigt sich ein anderes Bild. Die Versicherung identifiziert Schwachstellen:
Ebene 5 (Modell): Kein Einblick in das Modellverhalten oder die Entscheidungslogik
Ebene 2 (Infrastruktur): Keine Kontrolle über die Cloud-Infrastruktur des Drittanbieters
Ebene 6 (Governance): Keine ausreichende Governance-Prüfung
Ein Audit im Rahmen der KI-Risikoanalyse deckt weitere Lücken/Erkenntnisse auf: Es existiert kein durchgängiges Bias-Controlling, die Datenflüsse sind lückenhaft dokumentiert, für produktive sensible DSGVO-relevante Daten sind öffentliche KI-Modelle faktisch nicht erlaubt.
Das Ergebnis:
Die Aufsichtsbehörde stellt kritische Nachfragen. Die Versicherung muss kurzfristig deutlich nachbessern – unter Zeitdruck und mit erheblichem Mehraufwand.
Gerade in hochregulierten Branchen wie der Versicherungsbranche oder dem Finanzsektor wiegt mangelnde Souveränität besonders schwer: Hier treffen sensible Kundendaten, strenge Aufsicht durch DORA und EIOPA-Leitlinien sowie wachsende Anforderungen durch den EU AI Act aufeinander. Wer KI-gestützte Entscheidungen nicht nachvollziehbar gestaltet, riskiert nicht nur regulatorische Konsequenzen, sondern auch Reputationsschäden.
Digital souverän aufgestellte Unternehmen beugen solchen Situationen gezielt vor. Sie schaffen Transparenz über ihre Abhängigkeiten, etablieren klare Verantwortlichkeiten und entwickeln Exit-Strategien, bevor diese akut benötigt werden.
Den KI-Wandel gestalten, statt getrieben werden
Die KI‑Revolution ist nicht aufzuhalten und voller Potenzial. Doch sie fordert Haltung, Prinzipien und verlässliche Prozesse. Vor allem aber benötigt sie Transparenz über die eigenen Abhängigkeiten, um überhaupt Handlungsoptionen entwickeln zu können. Digitale Souveränität ist dabei keine Bremse für Innovation, sondern eine strategische Ressource, die strukturiert und kontinuierlich gestärkt werden muss. Denn wer nicht weiß, wo er Kontrolle abgibt, kann sie nicht zurückgewinnen.
Die msg advisors unterstützen Unternehmen mit Souveränitäts-Assessments und Strategieberatung dabei, KI digital souverän einzusetzen und von der Technologie zu profitieren, ohne einen hohen Preis dafür zu zahlen.