KI-Tools mit EU-Hosting: Der DACH-Check 2026

Worum es hier geht#

"DSGVO-konform" steht auf jeder KI-Marketingseite. EU-Hosting steht auf deutlich weniger. Und genau das ist die Frage, die ein DACH-Unternehmen beim Tool-Kauf wirklich interessiert: Werden meine Prompts, meine Dokumente und meine Kundendaten physisch in der EU gespeichert und verarbeitet, oder reisen sie in die USA?

Dieser Post nutzt drei harte, an Anbieterdokumenten verifizierbare Kriterien und prüft sechs der meistgenutzten KI-Tools dagegen. Es ist kein Marketing-Reblog, sondern ein datengestützter Check: Die Bewertung stammt aus den DachCompliance-Feldern, die wir auf AI Tool Radar pro Tool pflegen und am 19. April 2026 gegen die Anbieterdokumente abgeglichen haben.

Wenn du die vollständige Fünf-Kriterien-Methodik mit AV-Verträgen, Subunternehmer-Listen und Schrems-II-Details willst, lies den ausführlichen DSGVO-konforme-KI-Tools-Post. Dieser hier ist die kompakte, auf EU-Hosting fokussierte Entscheidungshilfe.

Die drei Kriterien für "DACH-ready"#

Wir markieren ein Tool nur dann als DACH-ready, wenn alle drei Bedingungen erfüllt sind:

1. EU-Datenresidenz (euResidency): Daten werden nachweisbar in der EU gespeichert, idealerweise mit EU-Inferenz, in der Stufe, für die ein normales Unternehmen zahlt.
2. Öffentlicher AV-Vertrag (publicDpa): Ein prüfbarer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist öffentlich oder automatisch in die Terms inkorporiert.
3. EU-Abrechnung (euBilling): Eine EU- oder EWR-Vertragspartei stellt die Rechnung, was Reverse-Charge und Vertragsfragen vereinfacht.

Der wichtigste und am häufigsten falsch verstandene Punkt ist Nummer eins. Ein öffentlicher AV ist heute fast Standard. Echte EU-Datenresidenz in der Stufe, die du tatsächlich buchst, ist es nicht.

Der Daten-Check: Wer ist DACH-ready?#

Diese Tabelle bildet exakt die DachCompliance-Daten ab, die unsere isDachReady()-Funktion auswertet. Ein Tool gilt als DACH-ready, wenn alle drei Felder erfüllt sind.

Drei von sechs erfüllen alle Kriterien. Die anderen drei scheitern alle am selben Punkt: keine garantierte EU-Datenresidenz in der Standard-Stufe. Das ist das Muster, das DACH-Unternehmen am häufigsten übersehen.

Die drei DACH-ready Tools im Detail#

ChatGPT#

ChatGPT bietet EU-Datenresidenz für ChatGPT Enterprise, Edu und die API. Seit dem 16. Januar 2026 läuft auch die GPU-Inferenz für Europa in-region: Speicherung und Modellausführung passieren beide in EU-Rechenzentren, Prompts und Completions verlassen die Region nicht. Data Residency ist ohne Aufpreis in den Enterprise- und Education-Plänen enthalten.

Der Haken steht in unseren Notizdaten: EU-Datenresidenz gibt es nur in Enterprise, Edu und API. Nicht in ChatGPT Plus oder Business. Wer für 20 Euro im Monat (OpenAI Pricing) ChatGPT Plus bucht und damit Kundendaten verarbeitet, hat keine EU-Residenz. Mehr zur Tool-Einordnung im ChatGPT-Guide oder direkt beim Anbieter.

Gemini#

Gemini-Features in Google Workspace folgen seit Juni 2025 den Data-Regions-Einstellungen der Organisation. Enterprise- und ausgewählte Team-Workspaces können dedizierte EU-Regionen konfigurieren, darunter europe-west12 und de-central1, mit Verbleib der Daten in der konfigurierten Region. Gemini Enterprise listet explizite EU-Standorte und ML-Verarbeitungs-Commitments.

Ein realistischer Hinweis: Modell-Aktualität und Region sind nicht dasselbe. Stand Mai 2026 sind die neuesten Gemini-Modelle nicht zwingend sofort in allen EU-Regionen verfügbar. Wer EU-Residenz erzwingt, akzeptiert manchmal eine ältere Modellgeneration. Details im Gemini-Guide und beim Anbieter.

Microsoft Copilot#

Microsoft 365 Copilot fällt unter die EU Data Boundary, und Microsoft hat in-country Data Processing für 15 Länder angekündigt, darunter Deutschland. Das ist die stärkste EU-Hosting-Story der drei.

Aber Vorsicht bei einer Änderung von 2026: Flex Routing ist für berechtigte Tenants, die nach dem 25. März 2026 erstellt wurden, standardmäßig aktiviert. Flex Routing erlaubt, dass LLM-Inferenz bei Lastspitzen außerhalb der EU Data Boundary läuft, während die Daten at-rest in der EU bleiben (Quelle: Microsoft-Learn-Privacy-Dokumentation). Wer strikte EU-Inferenz braucht, muss das aktiv prüfen und gegebenenfalls deaktivieren. Mehr im Microsoft-Copilot-Guide.

Warum drei Tools nicht DACH-ready sind#

Claude#

Claude fällt nicht wegen fehlendem AV oder Abrechnung durch, sondern allein wegen euResidency: false. Die direkte Anthropic-API bietet nur US- und globale Speicherung. EU-Datenresidenz gibt es nur über AWS Bedrock (Frankfurt) oder Google Vertex AI, also über eine völlig andere Vertragsstruktur. Wer Claude direkt nutzt, hat keine EU-Residenz. Wer Claude EU-gehostet braucht, baut es über AWS oder GCP. Einordnung im Claude-Guide.

GitHub Copilot#

GitHub Copilot hat einen öffentlichen AV und EU-Abrechnung, aber keine dedizierte EU-Datenresidenz für die Copilot-Inferenz. Zusätzlich relevant: Der Consumer-Tier (Free, Pro, Pro+) trainiert seit dem 24. April 2026 im Default auf Prompts, Opt-out ist nötig. Business und Enterprise trainieren nicht und haben einen AV, aber EU-Residenz für Inferenz fehlt. Details im GitHub-Copilot-Guide.

Cursor#

Cursor scheitert am gleichen Punkt: keine EU-Datenresidenz. Der Pro-Tier hat keine Residenz-Garantie, die Primär-Infrastruktur liegt in den USA. Enterprise bietet Zero Data Retention mit OpenAI und Anthropic, aber keine EU-Datenresidenz. Für ein DACH-Unternehmen, das Quellcode mit personenbezogenen Daten verarbeitet, ist das ein offener Punkt für die Rechtsprüfung. Mehr im Cursor-Guide.

Was die Daten für deine Tool-Wahl bedeuten#

Die praktische Lese: Wer DACH-ready will und keinen EU-Anbieter-Stack baut, landet bei ChatGPT Enterprise, Google Workspace mit Gemini Enterprise oder Microsoft 365 Copilot, jeweils mit aktiv konfigurierter EU-Residenz. Wer Claude, GitHub Copilot oder Cursor braucht, akzeptiert entweder US-Verarbeitung mit SCCs und Transfer-Impact-Assessment oder baut einen Umweg über EU-gehostete Cloud-Infrastruktur.

Wenn echte EU-Souveränität der Treiber ist, lohnt der Blick auf reine EU-Anbieter wie Mistral oder Aleph Alpha. Die behandeln wir im DSGVO-konforme-KI-Tools-Post und im DACH-Solopreneure-Stack.

Weiterlesen#

• DSGVO-konforme KI-Tools 2026 für die vollständige Fünf-Kriterien-Methodik inklusive EU-Anbieter.
• Der 2026er AI-Stack für DACH-Solopreneure für konkrete Stacks mit verifizierten Preisen.
• Deutsche Unternehmen und KI 2026 für die breitere Adoptionslandschaft.

Quellen#

• AI Tool Radar interne DachCompliance-Daten, abgeglichen am 19.04.2026 (siehe lib/data/tools.ts)
• OpenAI Data Residency and Inference Residency for ChatGPT: https://help.openai.com/en/articles/9903489-data-residency-and-inference-residency-for-chatgpt
• OpenAI Introducing data residency in Europe: https://openai.com/index/introducing-data-residency-in-europe/
• Google Workspace Data Regions für Gemini: https://workspaceupdates.googleblog.com/2025/06/data-regions-support-for-gemini-features-in-google-workspace.html
• Google Gemini Enterprise Standorte: https://docs.cloud.google.com/gemini/enterprise/docs/locations
• Microsoft in-country Data Processing für 15 Länder: https://www.microsoft.com/en-us/microsoft-365/blog/2025/11/04/microsoft-offers-in-country-data-processing-to-15-countries-to-strengthen-sovereign-controls-for-microsoft-365-copilot/
• Microsoft 365 Copilot Privacy (Flex Routing): https://learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-privacy
• Anthropic Claude Data Residency: https://platform.claude.com/docs/en/build-with-claude/data-residency
• GitHub Copilot Privacy: https://docs.github.com/en/copilot/concepts/get-started/your-privacy
• Cursor Security: https://cursor.com/security