„Sollen wir uns nicht einfach ein eigenes KI-Modell bauen — wegen der Daten?" Diese Frage hören wir in fast jedem Erstgespräch mit einem Mittelständler. Die Sorge dahinter ist berechtigt. Die spontane Antwort darauf ist 2026 trotzdem meistens falsch.

Dieser Leitfaden ordnet die Build-vs-Buy-Entscheidung mit belegten Zahlen ein — Modellqualität, Kosten, Datenschutz, EU AI Act — und sagt dir auch, wo Eigenbetrieb sich wirklich lohnt und wo nicht. Eine Vorbemerkung: Modellpreise und Anbieter-Konditionen ändern sich 2026 im Monatstakt. Alle Zahlen sind ein datierter Snapshot, kein Naturgesetz.

01

Was „Corporate LLM" 2026 wirklich heißt

„Corporate LLM" oder „Enterprise LLM" ist kein einzelnes Produkt, sondern ein Spektrum. Bevor man Build gegen Buy abwägt, lohnt es, die Begriffe zu sortieren — weil die meisten Missverständnisse genau hier entstehen:

  • Buy — kommerzielle API im Enterprise-Tier. Du nutzt ein fertiges Modell (z. B. von OpenAI, Anthropic, Google) über eine Schnittstelle, mit vertraglichen Datenschutz-Zusagen. Kein eigenes Modell, kein eigener Betrieb.
  • Build — ein eigenes LLM selbst hosten. Du betreibst ein offenes Modell (Llama, Mistral, DeepSeek, Qwen) selbst — auf eigener oder gemieteter Infrastruktur. Volle Kontrolle, voller Betriebsaufwand.
  • RAG statt eigenes Modell. „Das Modell soll unsere Daten kennen" heißt fast nie „eigenes Modell trainieren". Meist ist Retrieval-Augmented Generation gemeint: ein fertiges Modell beantwortet Fragen auf Basis deiner Dokumente, ohne dass diese ins Modell eintrainiert werden.
  • Fine-Tuning. Ein bestehendes Modell wird auf deinen Stil oder deine Aufgaben nachtrainiert. Aufwändiger als RAG und nur in spezifischen Fällen nötig.
Häufigstes Missverständnis

„Eigenes Corporate LLM" wird oft mit „eigenes Modell trainieren" verwechselt. Für 95 % der Mittelstands-Anwendungsfälle ist die Frage in Wahrheit: kommerzielle API mit RAG oder self-hosted Open-Weight-Modell mit RAG — nicht „GPT von Grund auf nachbauen". Begriffe vertiefen wir im Digital-Maker-Glossar.

02

Build vs. Buy: die zwei Wege und ihre Kostenlogik

Der wichtigste Unterschied ist nicht der Preis pro Token, sondern die Struktur der Kosten und die Zeit bis zur Produktivität:

  • Buy ist der schnellste Weg zur Produktivität. Eine API ist in Tagen angebunden, du brauchst praktisch keine eigene Hardware. Die Vorab-Investition steckt in Security-Reviews, Integration und Schulung — nicht in Rechenzentrum und GPUs.
  • Buy skaliert variabel — mit Budget-Unsicherheit. Du zahlst nach Nutzung. Das ist im Einstieg günstig, schafft aber Planungsunsicherheit: Anbieter können Preise anpassen oder Einführungsrabatte beenden.
  • Build hat stabile, aber hohe Fixkosten. Eigene oder gemietete GPUs, Strom, Wartung und vor allem qualifiziertes Personal laufen unabhängig von der Nutzung weiter. Dafür ist der Preis pro Anfrage am Ende sehr niedrig — wenn die Auslastung stimmt.

Anders gesagt: Buy verschiebt die Kosten von der Investition (CAPEX) in den laufenden Betrieb (OPEX) und macht sie planbar klein — bis das Volumen sehr groß wird. Genau dort beginnt die Zahlen-Frage.

03

Die Zahlen: Qualität und Kosten

Zwei Größen entscheiden die rationale Wahl — wie gut die offenen Modelle inzwischen sind, und wie viel günstiger sie pro Token laufen. Dazu der DACH-Kontext, der den Datensouveränitäts-Druck quantifiziert:

7 Punkte

trennen das beste offene Modell (54) vom besten proprietären (61) im Intelligence Index. Der Abstand schrumpft — aber er ist real.

Artificial Analysis, Juni 2026
~20×

günstiger pro Token sind offene Spitzenmodelle gegenüber den proprietären Marktführern. Der Preisvorteil geht mit echtem Qualitätsabstand einher.

Artificial Analysis, Juni 2026
93 %

der deutschen Unternehmen würden einen KI-Anbieter aus Deutschland bevorzugen; 88 % halten das Herkunftsland für wichtig.

Bitkom Research, 2025
36 %

der deutschen Unternehmen setzen KI aktiv ein — doppelt so viele wie 2024 (20 %). Weitere 47 % planen oder diskutieren den Einsatz.

Bitkom Research, 2025

Die ehrliche Lesart: Offene Modelle sind dramatisch günstiger — aber der Preisvorteil kommt mit einem realen Qualitätsabstand zur proprietären Spitze. Für viele Standardaufgaben (Zusammenfassen, Klassifizieren, einfache Texte) reicht ein offenes Modell locker. Für anspruchsvolles Reasoning bleibt die proprietäre Spitze vorn.

Und der Break-even? Im Netz kursieren konkrete Schwellen — „ab 10 Millionen Token pro Tag rechnet sich Self-Hosting". Wir haben diese Zahlen geprüft und bewusst aussortiert: Sie stammen aus Sekundärquellen und halten einer Prüfung nicht stand. Belastbar ist nur die Richtung: Der Punkt, ab dem Eigenbetrieb insgesamt günstiger wird, liegt bei sehr hohem, dauerhaftem Volumen — für die meisten Mittelständler unrealistisch hoch. Wer dir eine pauschale Token-Schwelle nennt, rechnet zu einfach.

04

DSGVO & EU-Datenresidenz: hier entscheidet sich der Mittelstand

Das ist der Punkt, an dem die meisten US-Vergleiche schweigen — und der für den deutschen Mittelstand oft den Ausschlag gibt. Zwei Sorgen muss man trennen:

  • „Trainiert der Anbieter auf unseren Daten?" Im Enterprise- und API-Tier lautet die Antwort bei den großen Anbietern standardmäßig: nein. OpenAI, Azure OpenAI, Anthropic und Google trainieren laut eigenen Bedingungen per Default nicht auf Geschäftskunden-Daten und schließen Auftragsverarbeitungsverträge (AVV/DPA) ab. Achtung: Das gilt für die bezahlten Enterprise-Stufen — nicht für kostenlose Consumer-Apps.
  • „Wo werden die Daten verarbeitet?" Hier unterscheiden sich die Anbieter deutlich — und hier liegt die eigentliche Buy-Entscheidung für DSGVO-sensible Branchen.
AnbieterEU-DatenresidenzEinordnung
Google Vertex / Gemini Ja, inkl. Region Frankfurt Stärkste Option für echte Verarbeitung innerhalb der EU.
Microsoft Azure OpenAI EU-Optionen verfügbar Kein Default-Training, AVV; Zero-Data-Retention auf Antrag.
Mistral (europäisch) Ja, bis hin zum Self-Hosting Build und Buy aus einer Hand — vom EU-Cloud-Tenant bis ins eigene Rechenzentrum.
Anthropic Claude Nativ nein → via Bedrock/Vertex EU Stark im Reasoning, aber EU-Residenz nur über AWS- oder Google-Partnerclouds.

Diese Tabelle ist der Grund, warum „welches Modell ist das beste?" die falsche erste Frage ist. Für ein DSGVO-Publikum lautet sie: welcher Anbieter verarbeitet wo — und unter welchem Vertrag? Ein exzellentes Modell ohne EU-Verarbeitungspfad ist für sensible Daten keine Option, solange es nicht über eine EU-Partnercloud läuft.

05

EU AI Act: Wer haftet — der Anbieter oder du?

Der EU AI Act wird ab dem 2. August 2026 breit anwendbar, erste Pflichten (etwa zur KI-Kompetenz im Unternehmen) gelten bereits. Für die Build-vs-Buy-Frage ist eine Unterscheidung zentral:

  • Die meisten Mittelständler sind „Anwender" (Deployer), nicht „Anbieter". Laut Bitkom sehen sich nur 23 % der Unternehmen als Anwender betroffen, 1 % als Anbieter. Wer ein KI-System einkauft und nutzt, trägt deutlich weniger regulatorische Last als wer eines in Verkehr bringt.
  • Buy verlagert Provider-Pflichten auf den Anbieter. Kaufst du ein Modell als API ein, trägt der Anbieter den Großteil der Pflichten für das KI-Modell selbst. Baust du dein eigenes, rückst du näher an die Anbieter-Rolle — mit allem, was an Dokumentation und Konformität dranhängt.

Das ist ein selten genanntes, aber handfestes Argument für Buy: Compliance ist nicht nur eine Frage der Daten, sondern auch der Haftungsverteilung. Der Aufwand ist real — 93 % der betroffenen Unternehmen erwarten laut Bitkom einen hohen Umsetzungsaufwand (eine Wahrnehmungszahl, aber eine vielsagende).

06

Wann Build oder Hybrid trotzdem die richtige Wahl ist

Buy ist die Standard-Antwort — nicht die einzige. Es gibt klare Fälle, in denen Eigenbetrieb oder eine Hybrid-Architektur die bessere Entscheidung ist:

  • Strenge Datensouveränität. Wenn aus regulatorischen oder vertraglichen Gründen wirklich nichts das eigene Perimeter verlassen darf (z. B. Teile des Gesundheits-, Finanz- oder Verteidigungssektors), führt an einem self-hosted oder dedizierten Modell kaum ein Weg vorbei. Der europäische Anbieter Mistral etwa deckt genau diesen Mittelweg ab — bis hin zum Betrieb im eigenen Rechenzentrum.
  • Sehr hohes, dauerhaftes Volumen. Wer ein gleichbleibend hohes Anfragevolumen hat, kann den Fixkostenblock des Self-Hostings über die Auslastung rechtfertigen. Das ist eine Einzelfallrechnung, keine Faustregel.
  • Hybrid als Normalfall. In der Praxis ist die Frage selten „alles Cloud oder alles lokal", sondern: welcher Inhalt darf in die API, welcher bleibt lokal? Sensible Daten laufen über ein lokales Modell, der unkritische Rest über die beste verfügbare API. Genau diese Logik nutzen wir auch in unserer Analyse zu Local LLMs für den Mittelstand.
07

Das Entscheidungs-Framework

Wenn du es auf drei Fragen eindampfst, kommst du in den meisten Fällen zur richtigen Architektur:

  • Buy, wenn du schnell produktiv werden willst, kein Spezialteam für KI-Betrieb hast und mit einer EU-residenten Enterprise-API plus AVV deine Datenschutz-Anforderungen erfüllst. Das trifft auf die große Mehrheit der Mittelständler zu.
  • Hybrid, wenn ein Teil deiner Daten besonders sensibel ist, der Rest aber unkritisch. Sensibles lokal, den Rest über die beste API — das beste Verhältnis aus Schutz, Qualität und Aufwand.
  • Build, wenn harte Souveränitäts-Vorgaben oder ein sehr hohes, konstantes Volumen es rechtfertigen — und du den laufenden Betrieb wirklich stemmen kannst oder einen Partner hast, der ihn stemmt.
Aus unserer Praxis

Wir betreiben selbst 54 produktive KI-Agenten — und nutzen dafür kein einzelnes Modell, sondern wählen je Aufgabe das passende. Genau diese Multi-Model- und Hybrid-Logik empfehlen wir auch unseren Kunden:

  • Pro Aufgabe das passende Modell statt Anbieter-Monogamie — Details in unserer Multi-Model-Strategie.
  • Sensible Daten lokal, unkritische über die beste API — Hybrid statt Dogma.
  • Code-first und im Kundenbesitz: kein Vendor-Lock-in, jederzeit auf ein anderes Modell wechselbar.
  • DSGVO und EU-Residenz als Auswahlkriterium, nicht als Nachgedanke.

Häufige Fragen zu Corporate LLMs

Was ist ein Corporate LLM bzw. Enterprise LLM?

Ein Corporate LLM ist ein für den Unternehmenseinsatz betriebenes großes Sprachmodell. 2026 reicht das Spektrum von einer kommerziellen Cloud-API im Enterprise-Tier über ein privat (self-hosted) betriebenes Open-Weight-Modell bis zu einem Modell, das per RAG oder Fine-Tuning an die eigenen Unternehmensdaten angebunden wird. Die Grundsatzentscheidung dahinter heißt Build (selbst betreiben) vs. Buy (einkaufen).

Build oder Buy — was lohnt sich für den Mittelstand?

Für die meisten mittelständischen Unternehmen ist 2026 Buy die rationale Wahl: kommerzielle APIs im Enterprise-Tier bieten die schnellste Einführung, kaum Hardware-Investitionen und vertragliche DSGVO-Zusagen. Build bzw. Self-Hosting lohnt sich erst bei sehr hohem, dauerhaftem Nutzungsvolumen oder bei strengen Datensouveränitäts-Anforderungen. Häufig ist eine Hybrid-Architektur die Antwort: sensible Daten lokal, der Rest über die API.

Trainieren OpenAI, Anthropic und Google auf meinen Unternehmensdaten?

Im Enterprise- und API-Tier standardmäßig nein. OpenAI, Microsoft Azure OpenAI, Anthropic und Google trainieren laut ihren eigenen Bedingungen per Default nicht auf Geschäftskunden-Daten und schließen Auftragsverarbeitungsverträge (DPA/AVV) ab. Wichtig: Das gilt für die Enterprise-/API-Stufe — nicht automatisch für kostenlose Consumer-Versionen. Zusätzliche Zero-Data-Retention-Optionen sind verfügbar, aber meist vertraglich zu vereinbaren.

Welche LLM-Anbieter bieten EU-Datenresidenz für DSGVO?

Google Vertex AI / Gemini bietet die stärkste In-EU-Verarbeitung, inklusive einer Region in Frankfurt. Microsoft Azure OpenAI bietet EU-Optionen, und der europäische Anbieter Mistral kann bis hin zum Self-Hosting im eigenen Rechenzentrum betrieben werden. Anthropic Claude hat in der eigenen API keine EU-Datenresidenz — DSGVO-konform nutzbar wird Claude über AWS Bedrock oder Google Vertex in EU-Regionen (Frankfurt, Irland, Paris).

Ab wann lohnt sich ein selbst gehostetes LLM?

Offene Modelle wie Llama, Mistral, DeepSeek oder Qwen sind pro Token rund 20-mal günstiger als die proprietären Marktführer, verursachen aber feste Kosten für Hardware, Betrieb und Personal. Der Punkt, ab dem Self-Hosting insgesamt günstiger wird, liegt bei sehr hohem, kontinuierlichem Volumen — für die meisten Mittelständler unrealistisch hoch. Konkrete kursierende Schwellenwerte sind mit Vorsicht zu genießen; die ehrliche Antwort ist eine Rechnung für den konkreten Einzelfall.

Was bedeutet der EU AI Act für mein Unternehmen?

Die meisten Mittelständler sind im Sinne des EU AI Act Anwender (Deployer), nicht Anbieter eines KI-Systems. Wer kommerzielle APIs einkauft, verlagert einen Teil der Anbieter-Pflichten auf den LLM-Anbieter — ein praktisches Argument für Buy. Die breite Anwendbarkeit greift ab August 2026; Pflichten zur KI-Kompetenz (AI Literacy) gelten bereits. Laut Bitkom erwarten 93 % der betroffenen Unternehmen einen hohen Umsetzungsaufwand.