rohdata
AI · BUSINESS · KLARTEXT
KW 20 / 2026 — Das Muster dieser Woche: Souveränität als Beschaffungsentscheidung. Nicht als Pressemitteilung.
Letzte Woche haben wir gefragt, welche KI- und Cloud-Anbieter den Sovereignty-Washing-Check bestehen. Diese Woche liefert die ersten konkreten Antworten, und sie sind widersprüchlich. Der Verfassungsschutz kauft eine europäische Datenanalysesoftware und macht Souveränität zur Beschaffungsentscheidung. Europa verhängt das höchste DSGVO-Bußgeld für illegale Datentransfers, das je ausgesprochen wurde. Und Baden-Württemberg streicht gleichzeitig 40% der Stellen bei der Behörde, die das durchsetzen soll. VMware wird zur KI-Infrastrukturplattform, ob die Kunden das wollen oder nicht. Und die Schweiz zieht klarere Grenzen für US-Cloud in Bundesbehörden als jedes EU-Land bisher. Fünf Signale, alle mit demselben Befund: Souveränität entsteht durch Entscheidungen mit Konsequenzen. Nicht durch Bekenntnisse ohne Budget.
Verfassungsschutz kauft ChapsVision statt Palantir: die erste Bundesbehörde, die Souveränität zur Beschaffungsentscheidung macht.
Am 13. Mai berichten WDR, NDR und Süddeutsche Zeitung: Das Bundesamt für Verfassungsschutz (BfV) hat die KI-gestützte Datenanalysesoftware ArgonOS des französischen Unternehmens ChapsVision erworben und damit bewusst auf Palantir verzichtet. BfV-Präsident Sinan Selen hatte den Kurswechsel bereits im Dezember 2025 angekündigt: „Wir sind gut beraten, unseren europäischen Fokus zu schärfen.“ Die Proof-of-Concept-Phase ist erfolgreich abgeschlossen, ArgonOS gilt als einsatzbereit und soll in Terrorismusbekämpfung und Spionageabwehr eingesetzt werden. ChapsVision wird bereits vom französischen Inlandsgeheimdienst DGSI genutzt. Das BfV ist damit die erste deutsche Bundesbehörde, die sich aktiv für eine europäische Palantir-Alternative entschieden hat. Der politische Riss ist sichtbar: Bayern und Hessen setzen weiterhin auf Palantir, Baden-Württemberg diskutiert offen den Ausstieg, in NRW steht die Zusammenarbeit auf dem Prüfstand. Bundesinnenminister Dobrindt schließt Palantir auf Bundesebene weiterhin nicht aus, trotz wachsender Kritik aus den eigenen Sicherheitsbehörden.
Warum es zählt: Das ist der erste dokumentierte Fall, in dem eine deutsche Bundesbehörde Souveränität nicht als politisches Bekenntnis formuliert, sondern als Beschaffungsentscheidung mit nachgewiesener Funktionsfähigkeit der Alternative trifft. Für Unternehmen und Behörden, die gerade Datenanalyse- oder KI-Plattformen evaluieren, ist das ein Orientierungspunkt. Die Frage ist nicht, ob europäische Alternativen existieren. Sie ist, ob die eigene Organisation die Konsequenz zieht, sie zu wählen, und bereit ist, den dafür nötigen Aufwand zu tragen.
→ heise.de
100 Millionen Euro DSGVO-Bußgeld gegen Yango: Wenn der Verschlüsselungsschlüssel beim falschen Staat liegt, reichen Standardvertragsklauseln nicht.
Am 12. Mai verhängen die Datenschutzbehörden aus Finnland, den Niederlanden und Norwegen eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V., Muttergesellschaft des Fahrdienstes Yango, einer Yandex-Tochter. Der Vorwurf: Standortdaten, Bankverbindungen und Ausweiskopien europäischer Nutzer wurden ohne ausreichende Schutzmaßnahmen nach Russland übermittelt. Die Verschlüsselung war unzureichend, weil die Schlüssel in Russland lagen und damit nach dem russischen Jarowaja-Gesetz für dortige Sicherheitsbehörden zugänglich waren. Die eingesetzten Standardvertragsklauseln (SCCs) wurden als unzureichend eingestuft: Ein und derselbe Geschäftsführer kontrollierte sowohl den europäischen Betreiber als auch die russischen Empfängerfirmen, funktionale Unabhängigkeit fehlte vollständig. Die Behörden ordneten den sofortigen Stopp aller Datentransfers an. Yango kündigte Berufung an. Es ist das höchste DSGVO-Bußgeld, das je für illegale Datentransfers verhängt wurde. Was auf europäischer Ebene mit Rekordstrafen durchgesetzt wird, trifft in Deutschland auf schrumpfende Behördenkapazitäten. Dazu mehr in #3.
Warum es zählt: Der Yango-Fall ist der Sovereignty-Washing-Check in der Praxis. Er zeigt, worauf es ankommt: Wer hält den Verschlüsselungsschlüssel? Unter welchem nationalen Recht operiert der tatsächliche Datenverarbeiter, nicht der Vertragspartner auf dem Papier? Ist die funktionale Trennung zwischen europäischem Betreiber und ausländischen Empfängern real oder nur dokumentiert? SCCs reichen nicht, wenn die rechtlichen Rahmenbedingungen des Empfängerlandes sie faktisch aushöhlen. Das gilt nicht nur für Russland-Transfers. Es gilt für jede Jurisdiktion, deren Nachrichtendienstrecht einen breiten Datenzugriff erlaubt.
Baden-Württemberg streicht 40% der Datenschutzstellen, während die Durchsetzungsintensität auf Rekordniveau steigt.
Direkt im Kontext des Yango-Bußgelds aus #2: Die neue Koalition in Baden-Württemberg plant, rund 40% der Stellen beim Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI BW) zu streichen, begründet mit Haushaltskonsolidierung und Verwaltungsmodernisierung. Der amtierende Datenschutzbeauftragte Tobias Keber warnt öffentlich, dass lokale Ansprechpartner für Bürger und Unternehmen wegfallen würden. Der Verband Deutscher Datenschutzbeauftragter (DVD) sieht darin einen möglichen Verstoß gegen die DSGVO selbst, die vorschreibt, dass Aufsichtsbehörden über ausreichende Mittel verfügen müssen, um ihre Aufgaben wirksam zu erfüllen. Das Timing ist bemerkenswert: Die Landesdatenschutzbehörden hatten 2025 Rekordwerte bei Beschwerden und Datenpannen verzeichnet, Baden-Württemberg allein mit +90% bei Beschwerden und +20% bei Datenpannen. Mit KI Act, DMA und Data Act steigen die Anforderungen an die Prüfkapazitäten strukturell weiter.
Warum es zählt: Europa verhängt in dieser Woche das höchste DSGVO-Bußgeld für illegale Datentransfers, und eines seiner größten Bundesländer baut gleichzeitig die Behörde ab, die das in der Fläche durchsetzen soll. Weniger Kapazität bedeutet weniger Orientierung, weniger Dialog und mehr Rechtsunsicherheit, aber keine geringeren Pflichten. Wer auf behördliche Klärung wartet, wartet künftig länger. Wer auf eine Strafe wartet, zahlt trotzdem.
→ heise.de
VMware wird zur KI-Plattform: Broadcom baut die Enterprise-Infrastruktur zur AI Factory um, ob Kunden das wollen oder nicht.
Am 13. Mai kündigt Broadcom die strategische Neupositionierung von VMware Cloud Foundation (VCF) als KI-Infrastrukturplattform an. VCF wird zur zentralen Schicht für den Betrieb von NVIDIA AI Enterprise, GPU-Workloads und LLM-Inference in bestehenden Private-Cloud-Umgebungen. Unternehmen, die vSphere und VCF bereits betreiben, sollen damit KI-Agenten und ML-Modelle auf derselben Infrastruktur ausführen können, die heute ihre produktiven Workloads trägt, ohne separate KI-Cluster aufzubauen. Broadcom bewirbt das als „AI Factory in a Box“: GPU-Partitionierung, Workload-Orchestrierung, Integration mit NVIDIA NIM Microservices und Support für Modelle bis zur Größenklasse Llama 3 und Mistral 7B. Die Repositionierung kommt im Kontext massiv gestiegener Lizenzkosten nach der Broadcom-Übernahme: Viele VMware-Kunden evaluieren gerade Alternativen und sollen mit dem KI-Pivot zum Bleiben bewogen werden.
Warum es zählt: Für DACH-Unternehmen, die VMware-Infrastruktur betreiben, ist das eine doppelte Botschaft. Die bestehende Infrastruktur wird zur KI-Plattform, was den Aufwand für separate KI-Cluster reduziert und die Einstiegshürde für On-Premises-KI senkt. Gleichzeitig trifft Broadcom diese Entscheidung für seine Kunden, nicht mit ihnen. Wer VMware nutzt, ist nun Teil einer KI-Infrastrukturstrategie, ohne explizit zugestimmt zu haben. Der Anbieter entscheidet die Richtung. Die Kunden folgen oder zahlen den Ausstieg.
→ heise.de
Die Schweiz setzt Grenzen: US-Cloud für Bundesbehörden nur noch mit strengen Auflagen, und macht damit vor, was Europa diskutiert.
Am 13. Mai berichtet heise.de über neue Schweizer Beschaffungsrichtlinien für Bundesbehörden im Bereich Cloud-Dienste. US-amerikanische Cloud-Anbieter dürfen für Bundesbehörden künftig nur noch unter definierten Auflagen eingesetzt werden. Datenspeicherung und Verarbeitung muss auf Schweizer Boden erfolgen, CLOUD-Act-Exposition muss vertraglich adressiert sein, und für besonders sensitive Daten gelten erweiterte Anforderungen an Verschlüsselung und Schlüsselverwaltung. Die Richtlinien gelten für neue Beschaffungen ab sofort und für laufende Verträge bei der nächsten Vertragsverlängerung. Hintergrund ist eine parlamentarische Initiative, die nach dem Bekanntwerden mehrerer Datenzugriffe durch US-Behörden auf Daten in europäischen Microsoft- und Amazon-Rechenzentren lanciert worden war.
Warum es zählt: Die Schweiz macht in kompakter Form vor, was Deutschland und die EU in langen Debatten noch nicht umgesetzt haben: klare operative Kriterien, wann US-Cloud akzeptabel ist und wann nicht. Das ist kein Verbot, sondern eine Checkliste mit Konsequenzen. Datenspeicherort, CLOUD-Act-Adressierung und Schlüsselverwaltung als Mindestanforderungen sind ein praktischer Referenzrahmen für DACH-Unternehmen, die gerade Cloud-Sourcing-Entscheidungen treffen. Wer diese drei Fragen für seine aktuellen Anbieter nicht beantworten kann, hat eine Lücke. Unabhängig davon, ob man in der Schweiz, Deutschland oder Österreich sitzt.
→ heise.de
Diese Woche zeigt, was Souveränität als Praxis bedeutet und was sie kostet. Der Verfassungsschutz trifft eine mutige Beschaffungsentscheidung. Europa verhängt das höchste DSGVO-Bußgeld für illegale Datentransfers. Und Baden-Württemberg baut gleichzeitig die Behörde ab, die das durchsetzen soll. VMware-Kunden werden zur KI-Infrastrukturstrategie ihres Anbieters, ohne gefragt worden zu sein. Und die Schweiz zeigt, dass konkrete Auflagen möglich sind, wenn der politische Wille da ist. Souveränität entsteht durch Beschaffung, Budgets und Konsequenz. Nicht durch Bekenntnisse.
Nicht als Newsletter-Empfehlung, sondern weil das Gespräch stattfinden sollte.
rohdata erscheint wöchentlich. Kein Hype. Keine Werbung. Nur das was zählt.
→ andrewehr.com/rohdata