Warum Ihr Unternehmen V-PROOF benötigt V-PROOF keine Plattform außerhalb der Europäischen Union

Warum Ihr Unternehmen V-PROOF braucht V-PROOF keine Plattform außerhalb der Europäischen Union — V-PROOF
Regulierungsinformationen KI-Governance Technologische Souveränität
STRATEGISCHE ANALYSE · GARTNER MQ AI GOVERNANCE 2026 · EUROPÄISCHER MARKT

Warum Ihr Unternehmen V-PROOF
benötigt und keine Plattform außerhalb der Europäischen Union

Im Juni 2026 veröffentlichte Gartner den ersten Magic Quadrant für KI-Governance-Plattformen. Von den 13 bewerteten Anbietern hat keiner seinen Sitz in der Europäischen Union. Während das EU AI Act Datensouveränität EU AI Act , prüfen die meisten europäischen Organisationen weiterhin Tools, die Rechtsordnungen außerhalb des EU-Rechtsrahmens unterliegen – den USA, dem Vereinigten Königreich nach dem Brexit oder Anbietern aus Asien. Diese Analyse untersucht, warum diese Entscheidung das größte regulatorische Risiko des Geschäftsjahres darstellen könnte.

Datum · Juli 2026
Typ · Vergleichende Analyse
Geltungsbereich · EU AI Act DSGVO · CLOUD Act · eIDAS
Quelle: Gartner MQ AI Governance, Juni 2026
Wichtigste Erkenntnisse

Was diese Analyse ergibt

01
Der CLOUD Act (2018) verpflichtet jedes Unternehmen mit Sitz in den USA, Daten auf gerichtliche Anordnung hin an die US-Behörden zu übermitteln, unabhängig davon, in welchem Land diese Daten gespeichert sind. Dies betrifft alle in den USA ansässigen AI-Governance-Plattformen – sowie auch die amerikanischen Cloud-Anbieter (AWS, Azure, GCP), wenn der Kunde seine Infrastruktur in deren Regionen hostet.
02
EU AI Act, die DSGVO und die eIDAS-Richtlinie verlangen gemeinsam, dass die Daten aus KI-Systemen mit hohem Risiko, die zu Prüfungs- und Zertifizierungszwecken verarbeitet werden, unter europäischer Hoheitskontrolle stehen. Die Nutzung einer dem CLOUD Act unterliegenden Plattform zur Verwaltung dieser Nachweise stellt einen strukturellen Rechtswiderspruch dar.
03
V-PROOF ist die erste spanische und europäische Plattform zur Zertifizierung und Umsetzung des EU AI Act unveränderlichen kryptografischen Nachweisen und einer Bereitstellung vor Ort. Als spanischer Anbieter unterliegt sie nicht dem CLOUD Act und hat keinen Zugriff auf Kundendaten. Vollständige Souveränität setzt darüber hinaus voraus, dass der Kunde die Lösung auf einer Infrastruktur mit rechtlichem Sitz in der EU bereitstellt.

Ein Markt mit über 100 Anbietern, der von Ländern außerhalb der EU dominiert wird

Im Juni 2026 veröffentlichte Gartner seinen ersten „Magic Quadrant for AI Governance Platforms“ – ein Meilenstein, der die Reife des Marktes bestätigt. Dreizehn Anbieter wurden bewertet. Die Schlussfolgerung von Gartner selbst ist aufschlussreich: „Da mehr als 100 Anbieter Lösungen für KI-Governance vermarkten, kann die Bewertung der Optionen schnell überwältigend werden.“ Nur sehr wenige dieser Produkte, so Gartner weiter, erfüllen die umfassenden Anforderungen von KI-Governance-Verantwortlichen auf Unternehmensebene.

Was Gartner nicht ausdrücklich sagt, was der europäische Markt aber zwischen den Zeilen lesen sollte: Keiner der 13 bewerteten Anbieter hat seinen Sitz in der Europäischen Union. Die meisten stammen aus den USA, aber es gibt auch britische Anbieter (nach dem Brexit außerhalb der DSGVO) und sogar solche aus Asien. Wenn eine spanische oder europäische Organisation einen Anbieter für KI-Governance bewertet, wählt sie in den meisten Fällen zwischen Tools, die für Märkte außerhalb des europäischen Rechtsrahmens entwickelt wurden.

Diese Asymmetrie – die Nutzung von Tools aus Drittländern zur Einhaltung einer EU-Vorschrift – ist keine Frage der Präferenz. Es handelt sich um einen rechtlichen Widerspruch, den die Rechtsabteilungen und Datenschutzbeauftragten europäischer Organisationen vor der Unterzeichnung eines Vertrags klären müssen.

100+
Anbieter, die im Bereich „
“ und „AI Governance“ weltweit positioniert sind:
(Gartner, 2026)
13
Anbieter, die im ersten Gartner Magic Quadrant „

AI Governance“ (Juni 2026) bewertet wurden
€35M
Höchstbußgeld gemäß EU AI Act
bei Verstößen
(Art. 99)

Der Gerichtsstand des Anbieters: Die Klausel, die in den Demos niemand erwähnt

Wenn ein außerhalb der EU ansässiger Anbieter von KI-Governance seine Plattform vorstellt, zeigt er Compliance-Dashboards, Abbildungen zum EU AI Act Genehmigungsabläufe für Modelle. Was auf keiner Folie zu sehen ist, ist die rechtliche Realität seines Sitzes: Welches Land kann Ihre Daten anfordern, nach welchem Recht und ohne dass Sie dies verhindern können?

Der am besten dokumentierte Fall ist der amerikanische:

Der „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act, 2018) ermöglicht es den US-Justizbehörden, von jedem Unternehmen mit Sitz in den USA die Herausgabe von Daten zu verlangen, die an einem beliebigen Ort weltweit gespeichert sind, einschließlich Servern in Europa. Diese Verpflichtung ist einseitig: Sie erfordert weder die Zustimmung des Landes, in dem sich die Daten befinden, noch erfolgt sie im Rahmen der Mechanismen der justiziellen Zusammenarbeit der EU.

Die direkten Auswirkungen auf die Umsetzung des EU AI Act auf der Hand: Wenn Ihr Unternehmen eine US-amerikanische Plattform nutzt, um die technische Dokumentation seiner risikoreichen KI-Systeme zu erfassen – also Trainingsdaten, Prüfprotokolle, Risikobewertungen und Modellmetadaten –, können diese Informationen theoretisch den Anforderungen der US-Regierung ausgesetzt sein, ohne dass Sie davon wissen oder dies verhindern können.

⚠ Festgestelltes regulatorisches Risiko

EU AI Act, Art. 10 und 16, schreibt vor, dass Anbieter von Hochrisikosystemen technische Dokumentation und Trainingsdaten unter angemessener Kontrolle aufbewahren müssen. Die DSGVO, Art. 28 und 46, schränkt die Übermittlung von Daten in Drittländer ohne gleichwertige Garantien ein. Ein dem CLOUD Act unterliegender Anbieter kann diese Bedingungen nicht mit absoluter Rechtssicherheit gewährleisten, unabhängig davon, wo sich seine Server befinden.

Das Risiko ist nicht nur hypothetisch. Seit 2020 ist der Konflikt zwischen dem CLOUD Act und der DSGVO Gegenstand von Rechtsstreitigkeiten, Stellungnahmen des Europäischen Datenschutzbeauftragten und Analysen der Europäischen Kommission. Und der CLOUD Act ist nicht der einzige Faktor: Anbieter mit Sitz im Vereinigten Königreich (nach dem Brexit), in China oder in einem anderen Land außerhalb der EU unterliegen ebenfalls Rechtsrahmen, die mit der DSGVO und dem EU AI Act unvereinbar sind. Die Schlussfolgerung ist immer dieselbe: Die einzige strukturelle Lösung besteht darin, Anbieter mit rechtlichem Sitz innerhalb der Europäischen Union zu wählen.

Die wichtigsten Akteure im Gartner-Magin-Quadrant und ihre Souveränitätslücke

Im Folgenden werden die fünf wichtigsten Akteure auf dem Markt für KI-Governance mit Präsenz in Europa vorgestellt, zusammen mit ihrer Position im Gartner Magic Quadrant 2026 und ihrer strukturellen Lücke für Organisationen, die den EU AI Act europäischer Hoheit einhalten müssen. Keiner von ihnen hat seinen rechtlichen Sitz in der Europäischen Union.

Ganzheitliche KI
Großbritannien / USA

Position im Gartner Magic Quadrant: Challenger. Nr. 1 im Anwendungsfall „AI Risk & Compliance“. End-to-End-Plattform mit KI-basierter Erkennung, Bias-Tests und Durchsetzung der Compliance. Umfassende technische Abdeckung des EU AI Act, der NIST-Standards und der Norm ISO 42001.

Souveränitätslücke: Hauptsitz in den USA mit Geschäftstätigkeit in Großbritannien. Cloud-Infrastruktur. Daten werden außerhalb der lokalen Kontrolle des Kunden verarbeitet. Keine native eIDAS-Konformität. Keine unveränderlichen kryptografischen Nachweise.
Monitaur
USA

Position im Gartner Magic Quadrant: „Visionary“. Forrester Wave „Customer Favorite“. Stark im Bereich Versicherungen und Finanzdienstleistungen in den USA. Vollständiger Lebenszyklus von Modellen mit Richtlinienverwaltung und automatisierter Validierung.

Rechtslücke: Schwerpunkt auf US-amerikanischen Vorschriften (NY Local Law 144, NAIC). Begrenzte Abdeckung durch EU AI Act. Cloud-basiert, US-amerikanische Infrastruktur. CLOUD Act anwendbar. Kein eIDAS.
OneTrust AI Governance
USA

Position im Gartner Magic Quadrant: Im Magic Quadrant vertreten. KI-Governance-Modul in die führende Datenschutz-/GRC-Plattform integriert. Umfangreiches Ökosystem an Integrationen und eine große Unternehmenskundenbasis in Europa.

Souveränitätslücke: AI Governance als Add-on für eine Datenschutzplattform, nicht nativ. Hauptsitz in Atlanta, GA. Cloud-First. Der CLOUD Act findet Anwendung. Keine kryptografischen Nachweise. Keine eIDAS-Konformität.
ServiceNow IRM
USA

Position im Gartner Magic Quadrant: „Present“. In die GRC-Enterprise-Plattform integriertes AI-Risk-Modul. Hohe Akzeptanz in großen Unternehmen, in denen ServiceNow bereits als ITSM-Lösung eingesetzt wird.

Sicherheitslücke: AI-Governance-Nachrüstung auf Basis eines generischen GRC-Modells. Kein Modelllebenszyklus. Keine kryptografischen Nachweise. SaaS-Architektur mit Daten in der US-amerikanischen Cloud. Der CLOUD Act findet Anwendung. Keine eIDAS-Konformität.
IBM OpenPages MRM
USA

Position im Gartner Magic Quadrant: „Present“. Langjährige Erfahrung im Bereich Modellrisikomanagement im Bankwesen. Stark in regulierten Branchen mit ML-Modellen für Scoring, Kreditrisiko und Underwriting.

Lücke in der Souveränität: EU AI Act und nicht nativer Geltungsbereich EU AI Act . IBM Cloud-Infrastruktur. Anwendbarkeit des CLOUD Act. Keine Angleichung an eIDAS. Keine Blockchain/DLT zur Gewährleistung der Unveränderlichkeit als Beweismittel.
V-PROOF
Spanien · EU

Position: Führende spanische und europäische Plattform für die Zertifizierung und Umsetzung des EU AI Act unveränderlichen kryptografischen Nachweisen. Von Anfang an auf den europäischen Rechtsrahmen ausgelegt.

Vorteil der Souveränität: V-PROOF hat V-PROOF Zugriff auf Kundendaten und unterliegt als Anbieter nicht den Anforderungen des CLOUD Act. Vollständige Souveränität ist gewährleistet, wenn die Bereitstellung auf einer Infrastruktur mit rechtlichem Sitz in der EU erfolgt. SHA-256 + unveränderliche DLT. EU AI Act . DSGVO-konform von Grund auf. eIDAS-konform.

Souveränitätsmatrix: V-PROOF Plattformen außerhalb der EU

In der folgenden Tabelle werden die strukturellen Kriterien bewertet, anhand derer festgestellt wird, ob eine KI-Governance-Plattform mit den Souveränitätsanforderungen des EU AI Act, der DSGVO und der eIDAS-Verordnung für europäische Organisationen vereinbar ist.

Kriterium V-PROOF
Spanien · EU
Holistic AI
UK/US
Monitaur
USA
OneTrust
USA
ServiceNow-
, USA
Unternehmen mit europäischen bzw. spanischen Wurzeln
Nicht dem US-amerikanischen CLOUD Act unterworfen.
On-Premise-Bereitstellung (die Daten verlassen den Kunden nicht)
Unveränderliche kryptografische Nachweise (SHA-256 + DLT)
Native Konformität mit eIDAS 2.0
Unabhängige Überprüfung ohne Zugriff auf die Originaldaten
EU AI Act , nicht nachträglich angepasst) Teilprüfung Teilprüfung Teilprüfung
Gesamter Lebenszyklus von internen Modellen / LLMs Teilprüfung
Human-in-the-Loop mit festgelegter KI/Mensch-Verhältnis Teilprüfung Teilprüfung
DSGVO von Grund auf (keine Übermittlungen in Drittländer) Teilprüfung Teilprüfung Teilprüfung
Berichterstattung zu Urheberrecht und GenAI (Datensätze, Opt-out, Rechtsstreitigkeiten) Teilprüfung
API-First, CI/CD-Integration und bestehende Unternehmensumgebung

Quelle: V-PROOF öffentlich zugänglicher Unterlagen der einzelnen Anbieter, Gartner MQ AI Governance Platforms (Juni 2026) sowie des regulatorischen Rahmens EU AI Act DSGVO / eIDAS. Keiner der verglichenen Anbieter hat seinen Sitz in der Europäischen Union. „Teilweise“ bedeutet, dass die Abdeckung unvollständig ist oder von einer bestimmten Konfiguration abhängt.

Die Checkliste zur Souveränität: 10 Fragen, die Sie sich vor der Auswahl Ihrer AI-Governance-Plattform stellen sollten

Bevor Sie einen Vertrag mit einem Anbieter von KI-Governance-Lösungen abschließen, sollten Ihr Datenschutzbeauftragter (DPO), Ihr CISO und Ihre Rechtsabteilung diese zehn Kriterien bejahen können. V-PROOF erfüllt V-PROOF vollständig.

1. Verlassen die Daten niemals Ihre Infrastruktur?
Echte On-Premise-Bereitstellung. Weder Metadaten noch Hash-Werte noch technische Dokumentation werden über Server außerhalb des Kundenumfelds übertragen.
DSGVO Art. 28 · EU AI Act . 10
2. Unterliegt der Anbieter nicht dem Geltungsbereich des CLOUD Act?
V-PROOF ein spanisches Unternehmen: Es kann nicht aufgefordert werden, Kundendaten auf Anordnung der US-Behörden herauszugeben. Hinweis: Nutzt der Kunde eine US-amerikanische Cloud-Infrastruktur (AWS, Azure US …), unterliegt der Cloud-Anbieter sehr wohl dem CLOUD Act. Ein umfassender Schutz erfordert eine Infrastruktur mit rechtlichem Sitz in der EU.
CLOUD Act (2018) · Schrems II EuGH · DSGVO Art. 46
3. Sind die Beweise kryptografisch unveränderlich?
SHA-256 + DLT-Eintrag in einer öffentlichen Infrastruktur. Die Nachweise können nicht nachträglich verändert werden, auch nicht durch den Anbieter.
EU AI Act . 12 · eIDAS Art. 41
4. Kann die Aufsichtsbehörde die Überprüfung vornehmen, ohne auf das Originaldokument zugreifen zu können?
Unabhängige Überprüfung ausschließlich anhand des hash. Der Prüfer oder die Aufsichtsbehörde überprüft die Integrität, ohne den vertraulichen Inhalt einzusehen.
EU AI Act . 14 · eIDAS 2.0
5. Deckt es den gesamten Lebenszyklus interner Modelle (LLMs) ab?
Von der Datenerfassung und EDA bis hin zu Staging und Produktion. Jede Version verfügt über V-Seal . Auch Modelle, die die Bewertung nicht bestanden haben, werden in einem Verlaufsprotokoll erfasst.
EU AI Act . 53–55 (GPAI) · Art. 16
6. Wird das Verhältnis KI zu Mensch mit überprüfbarer Identität erfasst?
Human-in-the-Loop – an der Quelle Human-in-the-Loop . Urheberschaft, Rolle und rechtlicher Kontext werden pro Aktion und nicht pro Prozess erfasst.
EU AI Act . 14 (menschliche Aufsicht)
7. Entspricht es den Vorgaben von eIDAS 2.0?
Vorübergehende Versiegelung und kryptografische Nachweise mit Rechtsgültigkeit in der gesamten EU. Gewährleistet Nichtabstreitbarkeit und Echtheit im Rahmen europäischer Gerichtsverfahren.
eIDAS-Verordnung (EU) Nr. 910/2014
8. Deckt es urheberrechtliche Verpflichtungen und GenAI ab?
Dokumentation der Herkunft und Nutzung von Datensätzen mit rechtlicher Genauigkeit. Lizenzkontrollen und Opt-out-Regelungen, die auf Rechtsstreitigkeiten im Zusammenhang mit generativer KI vorbereitet sind.
EU AI Act . 53 Abs. 1 Buchst. c · Richtlinie zum geistigen Eigentum
9. Lässt sich das System ohne Änderungen an der bestehenden Architektur integrieren?
RESTful-API, native SDKs (Node.js, iOS, Android), GitHub Actions, CI/CD. Fest integrierte Compliance in den bestehenden Arbeitsabläufen. Keine Neugestaltung.
EU AI Act . 16 · Technische Umsetzung
10. Ist die Plattform auf das europäische Rechtsrahmenwerk zugeschnitten?
Von Anfang an für EU AI Act, die DSGVO und eIDAS konzipiert, nicht aus einem amerikanischen Compliance-Produkt nachgerüstet.
Natives Regulierungsdesign · EU-Souveränität

Erste spanische und europäische Plattform für die Zertifizierung und Umsetzung des EU AI Act

Wenn der EU AI Act in seine strengste Phase EU AI Act – im August 2026 für Hochrisikosysteme gemäß Anhang III –, benötigt der europäische Markt Anbieter, die die Verordnung nicht nur kennen, sondern deren Lösungen auch speziell für diese Verordnung entwickelt wurden, und zwar in einer Rechtsordnung, die mit deren Anforderungen vereinbar ist.

V-PROOF ist die erste spanische Plattform und – in ihrer spezifischen Kategorie der kryptografischen Beweismittel für die KI-Governance – die erste europäische Plattform dieser Art. Sie entstand nicht als Datenschutzplattform, der ein KI-Modul hinzugefügt wurde. Sie entstand auch nicht als amerikanisches GRC-System mit einer Ebene, die EU AI Act. Sie entstand als vertrauenswürdige Infrastruktur für die KI-Wirtschaft, die auf den Grundsätzen des europäischen Rechts aufbaut.

V-PROOF · Positionierung

Die erste Ebene des technischen Vertrauens – von Europa aus aufgebaut, für Europa

Unveränderliche kryptografische Nachweise. Vollständiger Lebenszyklus der Modelle. Überprüfbare Validierung durch Menschen. Native Konformität mit EU AI Act, der DSGVO und der eIDAS-Verordnung. Bereitstellung vor Ort. Keine US-amerikanische Gerichtsbarkeit.

EU AI Act ) eIDAS 2.0-konform DSGVO von Grund auf Vor Ort SHA-256 + DLT Europäische Souveränität

Technologische Souveränität ist kein Verkaufsargument. Es handelt sich um eine rechtliche Anforderung, die sich aus dem Zusammenspiel des CLOUD Act, der DSGVO, des EU AI Act der eIDAS-Richtlinie ergibt. Europäische Organisationen, die risikoreiche KI-Systeme mit Plattformen betreiben, die der amerikanischen Gerichtsbarkeit unterliegen, gehen ein rechtliches Risiko ein, das im schlimmsten Fall ihre eigenen Nachweise zur Einhaltung der Vorschriften ungültig machen kann.

Die Frage ist nicht, ob ein Standard für KI-Governance eingeführt werden soll. Die Frage ist, ob dieser Standard vor der europäischen Aufsichtsbehörde Bestand haben wird, wenn es an der Zeit ist, Nachweise vorzulegen.

V-PROOF · Strategische Analyse der Souveränität

V-PROOF dem europäischen Markt für KI-Governance: Wettbewerbsposition

Strukturelle Wettbewerbsvorteile gegenüber Plattformen aus Drittländern

F
Stärken
  • Einzige europäische Plattform mit unveränderlichen kryptografischen Nachweisen (SHA-256 + DLT) für die KI-Governance EU AI Act . 12 · eIDAS Art. 41
  • Native On-Premise-Lösung: V-PROOF greift V-PROOF auf Kundendaten zu und speichert diese auch nicht. Als spanischer Anbieter unterliegt das Unternehmen nicht dem CLOUD Act. Durch die Kombination von V-PROOF einer Infrastruktur in der EU wird vollständige Souveränität gewährleistet. DSGVO Art. 28 · Art. 46 · Schrems II
  • Gesamter Lebenszyklus interner ML-/LLM-Modelle: von der Datenaufnahme bis zur Produktivschaltung mit V-Seal Version EU AI Act . 53–55 (GPAI)
  • Human-in-the-Loop : Verhältnis KI/Mensch, Identität und Rolle, die für jede Aktion im Arbeitsablauf erfasst werden EU AI Act . 14
  • API-first ohne Neugestaltung: Integration in CI/CD, SAP, Salesforce, Oracle und mehr als 8 ERP-Systeme. Reibungsloser Ablauf für das technische Team EU AI Act . 16 · Umsetzung
V-PROOF · Nächster Schritt

Nutzt Ihre Organisation eine Plattform außerhalb der EU, um eine europäische Norm zu erfüllen?

Wir bewerten Ihren aktuellen AI-Governance-Stack, ermitteln die Risiken durch Rechtsordnungen außerhalb der EU und entwerfen die Nachweisstruktur, die Ihr Unternehmen bis August 2026 benötigt – ohne Ihre Infrastruktur zu verändern.

Lass uns reden →
Quellen und Literaturhinweise
  1. Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates — EU AI Act — Amtsblatt der EU, Juli 2024.
  2. Gartner, Magic Quadrant für KI-Governance-Plattformen – Lauren Kornutick, Sumit Agarwal, Priya Sundararaman, Nader Henein, Brandon Medford – 16. Juni 2026.
  3. Gartner, „Critical Capabilities for AI Governance Platforms“ – 17. Juni 2026.
  4. Gesetz zur Klärung der rechtmäßigen Nutzung von Daten im Ausland (CLOUD Act, 2018) – 18 U.S.C. § 2713 – Regierung der Vereinigten Staaten von Amerika
  5. Verordnung (EU) 2016/679 – DSGVO – Artikel 28, 44–46, Internationale Datenübermittlungen.
  6. Verordnung (EU) Nr. 910/2014 – eIDAS – Europäischer Rahmen für digitale Identitäten und Vertrauensdienste.
  7. Holistic AI, Holistic AI im ersten Gartner® Magic Quadrant™ für KI-Governance-Plattformen ausgezeichnet — Juli 2026 — holisticai.com
  8. Europäischer Datenschutzbeauftragter, Vorläufige Stellungnahme zum Zusammenspiel zwischen dem CLOUD Act und dem EU-Datenschutzrecht – EDPS, 2021.

Angeboten von V-Proof

Weiter
Weiter

Zeitplan für die Umsetzung des EU AI Act: Was bereits heute gilt und was sich mit dem „Digital Omnibus“ ändert