André Wehr

  • KW 16 – 2026: Europa entscheidet, ob es bei KI-Daten zuschaut oder mitspielt.

    André Wehr

    rohdata

    AI · BUSINESS · KLARTEXT

    André Wehr  ·  Managing Partner & Lead Data Architect, tractionwise GmbH

    KW 16 / 2026  —  Das Muster dieser Woche:  Europa entscheidet, ob es bei KI-Daten zuschaut oder mitspielt.

    WOCHENBLICK

    In der aktuellen Woche zeigt Europa an drei konkreten Fronten gleichzeitig, ob es bei KI und Daten eine eigene Position einnimmt — oder nur reagiert. Anthropics Mythos-Modell bleibt Europa verwehrt, weil das Vertrauen fehlte, das Gespräch aufzubauen. Bundesdigitalminister Wildberger benennt laut, was viele längst wissen: Die Microsoft-Abhängigkeit der Bundesverwaltung ist strategisch unhaltbar. Und die EU-Kommission erzwingt von Google die Öffnung von Suchdaten — weil wer die Daten kontrolliert, die KI-Zukunft kontrolliert. Dazwischen eine Praxis-Geschichte, die zeigt, wie es geht: Die Sparkasse hat KI produktiv im Einsatz — mit eigenem Rechenzentrum, Quellenpflicht und menschlicher Freigabe. Das ist kein Pilotprojekt. Das ist Architektur mit Konsequenz.

    #1  GOVERNANCE · DACH

    Claude Mythos ist nur für die USA. Europa steht draußen — und das BSI war das einzige, das überhaupt gefragt hatte.

    Project Glasswing, Anthropics defensives Cybersicherheitsprogramm rund um Claude Mythos Preview, umfasst zwölf ausgewählte Organisationen — ausnahmslos US-amerikanisch: Apple, Microsoft, Amazon, Google, CrowdStrike und weitere. Von acht befragten europäischen Cybersicherheitsbehörden hatte zum Zeitpunkt der Veröffentlichung (7. April) nur das BSI überhaupt Kontakt zu Anthropic aufgenommen. BSI-Präsidentin Claudia Plattner nennt das explizit eine Frage nationaler und europäischer Souveränität: Wenn KI-Modelle zur kritischen Sicherheitsinfrastruktur werden, entscheidet der Zugang über die Verteidigungsfähigkeit. Mythos kann autonom Zero-Day-Exploits in allen gängigen Betriebssystemen und Browsern finden — Fähigkeiten, die US-Finanzminister Bessent und Fed-Chef Powell zu einem kurzfristigen Krisentreffen mit den CEOs der wichtigsten US-Banken veranlassten.

    Warum es zählt: KI-Sicherheitsfähigkeiten sind keine Produktkategorie mehr — sie sind geopolitische Infrastruktur. Dass Europa bei Project Glasswing nicht am Tisch sitzt, ist kein Zufall und kein Versehen. Es ist das Ergebnis fehlender Beziehungen, fehlender Strukturen und fehlender strategischer Positionierung. Für DACH-Unternehmen in regulierten Branchen oder kritischer Infrastruktur bedeutet das: Die Frage, wer im Ernstfall Zugang zu den leistungsfähigsten Verteidigungswerkzeugen hat, wird nicht durch den Markt beantwortet — sondern durch Politik und Vertrauen, das vorher aufgebaut wurde.

    →  heise.de

    #2  REGULIERUNG · DACH

    Wildberger will weg von Microsoft. Die richtige Diagnose — aber die falsche Antwort.

    Bundesdigitalminister Karsten Wildberger (CDU) kündigt an, die Microsoft-Abhängigkeit der Bundesverwaltung systematisch zu reduzieren. Die Ausgaben des Bundes für Microsoft-Produkte lagen 2025 bei 481,4 Millionen Euro. Open-Source-Lösungen werden bereits im Ministerium selbst ausgerollt. Die bundeseigene KI-Plattform Kipitz soll für alle Behörden verpflichtend werden — wer eigene KI-Lösungen entwickeln will, muss das künftig begründen. Kommerzielle KI-Tools wie ChatGPT sind in Behörden aus Datensicherheitsgründen verboten. Parallel macht Frankreich mit der DINUM-Initiative ernst und drängt Microsoft ebenfalls aus Behörden.

    Warum es zählt: Wildberger hat das Problem richtig benannt. Die Antwort ist nicht „weg von Microsoft“ — sie ist „bewusste Architekturentscheidungen treffen“. Souveränität entsteht durch Datenhoheit, Portabilität und Governance-Kontrolle — nicht durch Anbieterwechsel. Wer Azure und Microsoft Fabric mit offenen Tabellenformaten wie Apache Iceberg, klaren Exit-Optionen und DSGVO-konformer Datenhaltung betreibt, ist souveräner als jemand, der auf einem proprietären deutschen System sitzt, das niemand migrieren kann. Die entscheidende Frage lautet nicht: Welcher Anbieter? Sondern: Wer kontrolliert die Daten, wer kann sie bewegen, und wer hat im Ernstfall den Schlüssel? Architekturen, die diese Fragen beantworten, sind souverän — unabhängig vom Logo auf der Rechnung.

    →  Golem

    #3  PRAXIS · GOVERNANCE

    Sparkasse rollt KI produktiv aus — mit eigenem Rechenzentrum, Quellenpflicht und menschlicher Freigabe.

    Der Data Culture Podcast (BARC, 13. April) mit Andreas Totok von Finanz Informatik Solutions Plus gibt seltenen Einblick in einen echten KI-Rollout im regulierten Betrieb. Der „S-KIPilot“ ist die interne KI-Plattform der Sparkassengruppe für den Mitarbeiter-Alltag — kein Prototyp, kein Pilotprojekt, sondern produktiver Betrieb. Vier Architekturentscheidungen stechen heraus: Erstens, alle Inhalte und Eingaben bleiben im eigenen Rechenzentrum — das ist die Datenschutz- und Compliance-Grundlage, nicht die Kür. Zweitens, RAG statt Fine-tuning: Dokumente und Richtlinien werden als Kontext mitgegeben, das Modell wird nicht nachtrainiert. Drittens, jede Antwort nennt ihre Quellen und bleibt überprüfbar. Viertens, bei widersprüchlichen Quellen klärt das System aktiv nach — statt eine scheinbar sichere Antwort zu produzieren. Die Kernregel: KI darf keinen finanziellen Schaden verursachen. Freigaben bleiben beim Menschen.

    Warum es zählt: Das ist das Modell, nach dem viele Mittelständler suchen — und das sie selten beschrieben finden. Eigenes Rechenzentrum, RAG-Architektur und Quellenpflicht sind keine Luxus-Anforderungen. Sie sind die Grundlage, auf der KI in regulierten oder haftungsrelevanten Umgebungen überhaupt einsetzbar ist. Wer KI einführt, ohne diese Fragen vorher zu entscheiden, baut auf Sand — und merkt es erst, wenn die erste Prüfung kommt oder der erste Fehler passiert.

    →  datakultur-podcast.de

    #4  REGULIERUNG · GOVERNANCE

    EU erzwingt von Google die Öffnung von Such- und Gemini-Daten — weil Daten die neue KI-Infrastruktur sind.

    Am 16. April teilt die EU-Kommission Google mit, wie das Unternehmen den Anforderungen des Digital Markets Act (DMA) besser entsprechen kann. Kernforderung: Wettbewerber sollen konkrete Daten zu klassischen Suchanfragen und KI-Suchanfragen erhalten — mehr Umfang, höhere Frequenz, geregelte Preisbildung. Wettbewerbskommissarin Teresa Ribera macht den strategischen Hintergrund explizit: „Daten sind ein wichtiger Input für die Online-Suche und für das Entwickeln neuer Dienste, einschließlich KI.“ Die öffentliche Konsultation läuft bis 1. Mai 2026, eine bindende Entscheidung ist bis 27. Juli geplant. Bei Nicht-Einigung droht ein förmliches DMA-Verfahren mit Strafen von bis zu 10 Prozent des weltweiten Jahresumsatzes.

    Warum es zählt: Die EU stellt hier eine grundsätzliche Frage: Darf ein Unternehmen die Daten kontrollieren, auf denen KI-Wettbewerber aufbauen müssten? Die Antwort, die Brüssel gibt, ist: nein. Das ist kein Spezialfall Google — es ist die Blaupause dafür, wie die EU den Datenzugang für KI regulieren will. Für DACH-Unternehmen ist das eine strukturelle Information: Der regulatorische Druck auf Plattformen, Daten zu öffnen, wird in den nächsten Jahren zunehmen — nicht abnehmen. Wer Datenstrategien baut, die von Plattform-Exklusivität abhängen, baut auf einem unsicheren Fundament.

    →  heise.de

    #5  VENDOR · GOVERNANCE

    Anthropic führt Ausweispflicht für bestimmte Nutzer ein — erster großer KI-Anbieter weltweit.

    Am 14. April aktualisiert Anthropic still seine Hilfeseiten: Für den Zugang zu bestimmten Funktionen oder höherwertigen Abonnements wird eine Identitätsprüfung eingeführt. Pflicht: Foto eines amtlichen Lichtbildausweises plus Echtzeit-Selfie — abgewickelt über den US-Drittanbieter Persona. Anthropic speichert keine Ausweisfotos auf eigenen Systemen. Weder OpenAI noch Google Gemini haben vergleichbare Maßnahmen angekündigt. In der Developer-Community wird die Maßnahme überwiegend kritisch aufgenommen und als „KI-KYC“ bezeichnet. Parallel bereitet Anthropic den Launch von Claude Opus 4.7 vor.

    Warum es zählt: Das ist ein Präzedenzfall. Zum ersten Mal verlangt ein führender KI-Anbieter den Nachweis der Identität — und verlagert diesen Prozess an einen US-Drittanbieter. Für DACH-Unternehmen, die Claude-Zugänge für Mitarbeitende bereitstellen, entstehen damit DSGVO-relevante Fragen: Welche Daten verlassen das Unternehmen? Wer verarbeitet sie? Welche Rechtsgrundlage gilt für die Identitätsprüfung durch Persona? Diese Fragen sollten vor dem nächsten Abonnement-Upgrade gestellt werden — nicht danach.

    →  borncity.com

    KERNAUSSAGE

    Die aktuelle Woche stellt dieselbe Frage an fünf verschiedenen Stellen: Wer kontrolliert die Daten, auf denen KI aufbaut — und wer hat das Recht, sie zu nutzen? Anthropic entscheidet, wer Mythos bekommt: Amerika zuerst, Europa wartet. Wildberger entscheidet, wessen Software in Behörden läuft — aber die eigentliche Antwort ist keine Anbieter-Entscheidung, sondern eine Architektur-Entscheidung. Die EU entscheidet, dass Google-Daten kein exklusives Gut sein dürfen. Und Anthropic entscheidet, dass KI-Zugang künftig mit Identitätsnachweis verknüpft ist. Die Sparkasse hat all diese Fragen für sich beantwortet — bevor sie die ersten Nutzer ongeboardet hat. Das ist der Unterschied zwischen Architektur mit Konsequenz und KI-Projekten, die auf den nächsten Audit warten.

    ● ● ●   KLARTEXT-FRAGE
    Wenn morgen jemand fragt, wer die Daten in Ihrer KI-Infrastruktur kontrolliert — welche Antwort können Sie geben? Und wer im Unternehmen weiß sie?
    Wenn eine dieser Fragen bei Ihnen etwas ausgelöst hat — leiten Sie diese Ausgabe weiter.
    Nicht als Newsletter-Empfehlung, sondern weil das Gespräch stattfinden sollte.

    rohdata erscheint wöchentlich. Kein Hype. Keine Werbung. Nur das was zählt.
    Teilen ausdrücklich erwünscht mit Quellenangabe.
    andrewehr.com/rohdata
    tractionwise GmbH, Nürnberg
    Recherche und Vorauswahl KI-gestützt. Auswahl, Urteil und Formulierung: André Wehr.