TL;DR
- Neun Kriterien entscheiden die Vendor-Auswahl 2026: Hosting-Region, DSGVO-SCC, AI-Act-Pflichten, Training-Opt-out, Latenz/SLA, Preismodell, Roadmap, DACH-Support, Audit-Rights.
- Drei Provider-Cluster strukturieren den Markt: US-Hyperscaler (Anthropic, OpenAI, Google), EU-Souverän (Mistral, Aleph Alpha, IONOS), Open-Source-Self-Hosted (Llama, Qwen via vLLM).
- Default-Empfehlung Mittelstand: Anthropic Claude via AWS Bedrock EU als Primary, Mistral Frankfurt als Fallback, Aleph Alpha für hochsensitive On-Prem-Use-Cases.
9-Kriterien-Bewertungsmatrix
Wer Provider nach Demo-Bauchgefühl auswählt, kauft sich ein Lock-in, das nach dem AI-Act-Audit teuer wieder verlassen wird. Die neun Kriterien sind 2026 das Pflicht-Raster für jeden produktiven AI-Einkauf:
| # | Kriterium | KO bei |
|---|---|---|
| 1 | Hosting-Region | US-only, kein EU-Endpoint |
| 2 | DSGVO (SCC + AVV Art. 28, TIA) | Keine SCC, kein AVV |
| 3 | AI-Act Art. 53 | Keine AI-Act-Doku |
| 4 | Training-Opt-out | Default opt-in, Opt-out nur Enterprise |
| 5 | Latenz + SLA (< 800 ms p95, 99,5 %) | Keine SLA, Best-Effort |
| 6 | Preismodell (Token + Reasoning transparent) | Versteckte Reasoning-Cost |
| 7 | Roadmap (Deprecation-Notice ≥ 12 Mon.) | Modelle ohne Vorwarnung abgeschaltet |
| 8 | DACH-Support (< 4 h Response) | Nur EN, > 24 h Response |
| 9 | Audit-Rights (Pentest, ISO-27001/SOC-2) | Keine Audit-Klausel im MSA |
Kriterien 1–4 sind KO-Kriterien — wer auf Hosting-Region, SCC, AI-Act-Doku und Training-Opt-out keine harten Antworten liefert, fliegt aus dem Funnel. Alles andere ist verhandelbar.
Drei Provider-Cluster
- US-Hyperscaler via EU-Region. Anthropic Claude (AWS Bedrock Frankfurt/Irland) und OpenAI (Azure OpenAI EU) sind die Spitzen-Reasoning-Provider — beide nur über den Hyperscaler-Endpoint DSGVO-tauglich. Google Vertex AI (Frankfurt) ergänzt mit breitester Modell-Auswahl, Sweet-Spot multimodal, Latenz < 300 ms p95.
- EU-Souverän. Mistral (Paris) hat die bessere Roadmap (Mistral-Large-2, Codestral, Pixtral), Aleph Alpha (Heidelberg) die höhere Souveränitäts-Tiefe (deutsche Rechtshoheit, BSI-C5, On-Prem). IONOS AI Model Hub: BSI C5 + Karlsruhe-Hosting, aber schmale Modell-Auswahl. Sweet-Spot: Behörden, Versicherer, kritische Infrastruktur.
- Open-Source-Self-Hosted. Llama 3.3, Qwen 2.5, DeepSeek-V3 via vLLM auf eigener Infrastruktur — kein Provider-Risk, volle Datenhoheit, aber erheblicher Hardware- und MLOps-Aufwand. Sweet-Spot ab größeren Mittelständlern mit eigener IT-Tiefe.
Provider-Scorecards 2026
Bewertung: A = best-in-class, B = solid, C = akzeptabel, D = KO.
| Provider | Hosting | DSGVO | AI Act | Preis | Roadmap | Audit |
|---|---|---|---|---|---|---|
| Anthropic via Bedrock EU | A | A | B | B | A | A |
| OpenAI direct | D | C | C | A | C | C |
| Azure OpenAI EU | A | A | B | A | B | A |
| Google Vertex Frankfurt | A | A | B | B | B | A |
| Mistral (Paris) | A | A | A | A | B | B |
| Aleph Alpha (Heidelberg) | A | A | A | C | C | A |
| IONOS AI Model Hub | A | A | A | A | C | A |
Lesehinweis: Anthropic via Bedrock führt im Reasoning-Score, bezahlt aber den teuersten Token-Preis im Markt. Mistral-Large liegt bei rund halbem Preis und erreicht etwa 85–90 % der Reasoning-Leistung.
Default-Empfehlung Mittelstand 2026
Eine abgestufte Drei-Provider-Architektur ist die robusteste Empfehlung:
- Primary: Anthropic Claude via AWS Bedrock EU — beste Reasoning-Tiefe für komplexe Workflows (Vertrags-Analyse, MDR-Doku, ZIM-Anträge), kein Training auf Customer-Data, SOC-2 Type II via AWS.
- Fallback: Mistral-Large (Paris) — für weniger reasoning-kritische Last deutlich günstiger, EU-souverän, verhindert Single-Vendor-Lock-in.
- Hochsensitiv: Aleph Alpha On-Prem — überall dort, wo selbst EU-Region nicht reicht und deutsche Rechtshoheit Pflicht ist.
Ein Router-Layer (LiteLLM-Proxy oder eigener Code) routet nach Sensitivitäts-Klassifikation — typisch rund 80 % über Anthropic, 15 % über Mistral, 5 % über Aleph Alpha.
Was 2026 KO-Kriterium ist
Drei Punkte fliegen sofort aus dem Funnel: kein EU-Hosting (SCC + TIA tragen das unter Schrems-II-Druck nicht mehr), Training-on-Customer-Data als Default (Opt-out nur im teuersten Tarif ist nicht ausschreibungsfähig) und kein Audit-Right im MSA (ohne Pentest-Klausel, SOC-2-Type-II-Zugang und Incident-Notification < 72 h nach Art. 33 DSGVO regulatorisch nicht verwendbar).
Einordnung für den GF-Tisch
AI-Vendor-Assessment ist 2026 eine zentrale strategische Entscheidung — falsche Provider-Wahl bedeutet zwölf bis achtzehn Monate Migration. Robusteste Architektur ist die Drei-Provider-Pyramide: Anthropic via Bedrock EU, Mistral Paris als Fallback, Aleph Alpha hochsensitiv.
Praxis-Schritt: Ein 30-Min-Gespräch klärt, welche Use-Cases bei Ihnen welche Sensitivitäts-Klasse haben und welcher Migrations-Pfad aus einem bestehenden Single-Vendor-Setup sinnvoll ist. Erstgespräch anfragen → /anfrage
Stand Mai 2026. Provider-Bewertungen basieren auf öffentlich dokumentierten DPAs, AI-Act-Provider-Erklärungen und Pilot-Audit-Findings 2025/26. Förderpfad-Beratung und Antragsbegleitung in Kooperation mit autorisierten Partner-Beratungen — eigene BAFA-/go-digital-Akkreditierung in Vorbereitung Q3 2026.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.