EU-Datenhaltung als Tier, nicht als Marke

Die klarste Position erwies sich nicht als 'EU-souveräne KI'

Als ich begann, die Corial Responsible AI Charter zu schreiben, nahm ich an, dass die stärkste Position EU-souverän wäre. Wir sind ein französisches Unternehmen, unsere Daten liegen in Deutschland, unser Datenschutzbeauftragter sitzt in Chantilly. Die KI-Schicht genauso zu branden schien naheliegend.

Je mehr ich schrieb, desto mehr brach diese Position zusammen. Sie überstand den Kontakt mit dem, was unsere Kunden 2026 wirklich von einem KI-Arbeitsassistenten brauchen, nicht.

Also haben wir eine andere Antwort umgesetzt. EU-Datenhaltung bei Corial ist ein Tier. Kunden wählen es schriftlich beim Onboarding. Der Standard-Tier nutzt US-Routing unter Standardvertragsklauseln. Der EU-Tier routet jeden KI-Aufruf über Google Cloud Vertex AI in europäischen Rechenzentren zu einem Aufpreis von ca. 10 %. Dieser Beitrag ist das Argument dafür, warum ein Tier ehrlich ist, wo eine Marke es nicht ist.

Die zwei schlechten Antworten, die die meisten Anbieter geben

Gehen Sie 2026 durch die Ausstellungsfläche einer europäischen SaaS-Konferenz, und Sie sehen zwei Positionen wiederholt. Keine davon ist richtig.

Die erste ist die Souveränitätsmarke. Der Anbieter positioniert sich als die europäische Wahl. Die Website trägt die Farben. Das Pitch-Deck hat eine Folie über Schrems II. Unter der Haube ist die KI-Schicht auf einen einzigen europäischen Anbieter beschränkt, dessen Flaggschiff-Modelle oft merklich schwächer sind als das, was in den USA verfügbar ist. Der Kunde zahlt für die Marke und erhält ein Produkt, das bei der eigentlichen Arbeit schlechter abschneidet.

Die zweite ist die 'Standard und nicht erwähnen'-Haltung. Der Anbieter routet alles über US-Clouds, weil dort die besten Modelle sind, und das Thema Datenhaltung kommt einfach nicht auf, es sei denn, die Beschaffung fragt. Wenn die Beschaffung fragt, kommt die Antwort als vager Verweis auf Standardvertragsklauseln und der Hoffnung, dass das Gespräch weitergeht. Die meisten B2B-SaaS-Produkte heute. Einschließlich einiger sehr großer. Befinden sich hier.

Warum das Ignorieren der Frage keine Option ist

Wenn Sie 2026 an europäische Kunden verkaufen, kommt die Frage. Die DSGVO ist seit acht Jahren in Kraft. Das französische Datenschutzgesetz fügt eine nationale Schicht hinzu. Das EU-KI-Gesetz trat schrittweise durch 2024 und 2025 in Kraft und greift nun tief in KI am Arbeitsplatz ein. Nationale Aufsichtsbehörden, insbesondere die CNIL in Frankreich, haben spezifische Leitlinien zu KI-Anbietern und Inferenzgeografie veröffentlicht.

Die kommerzielle Ebene ist genauso wichtig wie die regulatorische. Unsere Kunden sind B2B-Rohstofflieferanten, deren Kunden die Konsumentenmarken am Ende der Lieferkette sind. L'Oréal, Unilever und Henkel führen formale Lieferantenrisikoprüfungen durch. Diese Prüfungen enthalten jetzt eine Frage dazu, welche KI-Anbieter der Lieferant für Beziehungsdaten nutzt. Die Antwort des Lieferanten fließt die Kette hinauf. Eine schwache Antwort schafft ein Problem zwei Ebenen unterhalb des Ortes, wo die KI angesiedelt ist.

Das Ignorieren der Frage mag noch ein Jahr lang funktionieren. Für die Dauer eines Enterprise-Vertrags wird es nicht funktionieren. Die Beschaffung fragt. Der Lieferant fragt. Der Kunde des Lieferanten fragt. Bis 2027 wird das Fehlen einer EU-Datenhaltungsoption zu einer Beschaffungsvoraussetzung, nicht zu einem Nice-to-have.

Der Tier als dritter Weg

Der dritte Weg besteht darin, dem Kunden den Kompromiss als Wahl anzubieten. Schriftlich, beim Onboarding. Zwei Tiers. Der Standard-Tier nutzt US-Routing unter Standardvertragsklauseln. Der EU-Datenhaltungs-Tier routet jeden KI-Aufruf über Google Cloud Vertex AI innerhalb der Europäischen Union, zu einem Aufpreis von ca. 10 % auf die KI-Zeile des Vertrags.

Der Mechanismus ist ein einziger Boolean im Tenant-Datensatz. Ein Plattformadministrator fügt die Google-Cloud-Dienstkonto-Anmeldedaten einmalig in die Administrationskonsole ein, validiert sie mit einem Ein-Token-Ping und setzt dann das EU-Datenhaltungs-Häkchen für jeden Tenant, der den Tier gebucht hat. Die nächste KI-Anfrage des Tenants wird über Vertex AI EU gerouted. Kein Code-Deployment. Kein Neustart. Keine Änderung auf Kundenseite.

Im EU-Tier werden Anthropic-Claude-Modelle auf Vertex unter Lizenz bereitgestellt und Google-Gemini-Modelle direkt auf Vertex EU. Dieselben Modellnamen, dieselben Fähigkeiten, aus europäischen Regionen bereitgestellt. Die derzeit genutzten EU-Regionen der Claude- und Gemini-Familien sind Belgien, Niederlande, Frankfurt, Paris, Madrid und Finnland. Modellspezifische Regionskarten in unserer Modellregistrierung stellen sicher, dass neuere Modelle automatisch die richtige Region erhalten.

Was '100 % Abdeckung wenn aktiviert' wirklich bedeutet

Wenn Sie sagen, dass die Daten eines Tenants in der EU verbleiben, muss jeder KI-Code-Pfad dies einhalten. Eine einzige Ausnahme. Ein Admin-Tool, das für 'nur dieses eine Feature' einen US-Endpunkt aufruft, ein Transkriptionspfad, der aus Legacy-Gründen anders geroutet wird. Bricht das Versprechen. Die meisten Datenhaltungsansprüche von Anbietern scheitern genau an dieser Naht.

Wir haben die Codebasis auditiert, bevor wir den Anspruch veröffentlichten. Wenn ein Tenant im EU-Datenhaltungs-Tier ist, routen die folgenden KI-Code-Pfade über Vertex AI EU:

• Der Orchestrator-Agent, sowohl auf dem leichten als auch auf dem schweren Pfad, einschließlich aller Tool-Use-Workflows
• E-Mail-Entwurf, Recherche und Personen-Query-Subagenten
• Tagesüberblick-Generierung, Meeting-Prep-Briefs und Product-Intelligence-Synthese
• Sprachnotiz-Transkription über den Gemini-Transkriptions-Helper
• Grounded-Lookups für LinkedIn, Unternehmen und Nachrichten über den Gemini-Grounding-Helper
• Der Hintergrund-Branchennachrichten-Monitor und Intelligence-Worker
• Jeder strukturierte JSON-Extraktionsaufruf im gesamten System

Die peripheren Pfade teilen denselben Helper wie der Haupt-Gateway-Dispatch. Eine einzige Funktion löst das EU-Datenhaltungs-Flag des Tenants einmal pro Anfrage auf und gibt den richtigen Client für die richtige Region zurück. Es gibt keine Ausnahmen und keine zweite Routing-Schicht. Wenn Sie eine finden, ist das ein Fehler, und wir möchten davon erfahren.

Der ehrliche Kostenkompromiss

Der EU-Datenhaltungs-Tier kostet auf der KI-Zeile des Vertrags rund 10 % mehr. Das ist der tatsächliche Vertex AI-Aufpreis für Claude und Gemini in EU-Regionen gegenüber deren direkten US-Endpunkten, zuzüglich des Betriebsaufwands für den Betrieb regionaler Client-Pools. Wir geben ihn zu Selbstkosten weiter.

Was sich nicht ändert: Modellkapazität, Modellname, kundenseitiger Code, kundenseitige Konfiguration, beobachtbare Latenz auf Anwendungsebene. Ein Tenant im EU-Tier nutzt dasselbe Corial-Produkt wie ein Tenant im Standard-Tier.

Was sich ändert: Wo die Inferenz läuft, welcher Unterauftragsverarbeiter-Untervertrag gilt und welche Datenverarbeitungsvereinbarung der Kunde unterzeichnet. Der Kunde trifft die Wahl. Nicht das Produktteam.

Was wir nicht vortäuschen werden

Ein Teil dieses Arguments wird im europäischen KI-Marketing oft still übergangen. Ich möchte es laut aussprechen.

Die stärksten KI-Fähigkeiten liegen 2026 noch immer bei US-basierten Anbietern. Anthropic und Google veröffentlichen leistungsfähigere Frontier-Modelle, umfassendere Sicherheits-Frameworks und detailliertere Transparenzberichte als europäische Anbieter. Der Stanford Foundation Model Transparency Index 2025 bewertete Mistral, das führende französische KI-Unternehmen, mit 15 von 100. Anthropic und Google lagen höher. Wir nutzen Mistral als dritten Anbieter, hinter dem Gateway, per Task opt-in. Und wir sind froh, dass es ihn gibt -, aber so zu tun, als würde es die Fähigkeitslücke schließen, würde ein schlechteres Produkt für Kunden liefern, die uns dafür bezahlen, ihnen beim Verkauf von Rohstoffen an die größten Marken der Welt zu helfen.

Die Charter sagt das direkt. Wir haben 'nur EU-Anbieter' nicht zu einer harten Regel gemacht, weil das einen merklich schwächeren Assistenten erzwingen würde. Der Datenhaltungs-Tier beantwortet die Frage des Datenflusses. Die Charter beantwortet die Frage der Anbieterwahl. Wenn europäische Kapazitäten die Lücke bei den Workloads, auf die es unseren Kunden ankommt, schließen, mag sich der Standard verschieben. Wir werden es sagen, wenn es so weit ist.

Das Prinzip: Den Kunden den Kompromiss wählen lassen

Hinter der Technik steckt ein Prinzip über Respekt. Souveränitätsmarke und US-Standard entscheiden beide im Voraus für den Kunden. Das Tier-Modell legt den Kompromiss auf den Tisch, wo er hingehört, und bittet den Kunden zu wählen.

Einige unserer Kunden werden den EU-Tier wählen, weil ihre nachgelagerten Markenkunden irgendwann fragen werden. Andere bleiben beim Standard-Tier, weil der 10-%-KI-Aufpreis bei ihrer Größenordnung bedeutsam ist und der SCC-Weg für ihre aktuelle Risikoposition ausreicht. Beides ist vertretbar. Keines ist für jeden die richtige Antwort.

Was nicht vertretbar ist: den Kompromiss hinter einer Marke zu verstecken. Wenn Sie die Datenhaltungsseite Ihres KI-Anbieters lesen und nicht erkennen können, in welcher Region Ihre Inferenz heute läuft und in welcher sie morgen unter einer anderen Option laufen würde, hat der Anbieter für Sie entschieden. Das ist der Teil, gegen den es sich lohnt, sich zu wehren.

Wenn Sie die ausführlichere politische Version dieses Arguments sehen möchten, finden Sie die Charter unter corial.app/responsible-ai-charter und die vollständige Trust-Seite unter corial.app/trust. Die Modellkarte mit jedem Anbieter, jeder Region und jedem unabhängigen Drittanbieter-Score finden Sie unter corial.app/models. Die vollständige Unterauftragsverarbeiterliste unter corial.app/legal/subprocessors.