Was Self-hosted-KI-Agenten für Compliance-Teams wirklich bedeuten
Self-hosted-KI-Agenten verlagern die Kontrolle über Compliance zurück ins Unternehmen. Shadow-AI-Datenpannen kosten im Schnitt 4,63 Mio. USD. Was ein «Self-hosted»-Versprechen tatsächlich beweisen muss.

Im April 2026 veröffentlichten die US-Bankenaufsichtsbehörden SR 26-2, die lange erwartete Aktualisierung der 15 Jahre alten Leitlinien zum Modellrisikomanagement. Die neuen Leitlinien schliessen generative und agentische KI ausdrücklich von ihrem formellen Geltungsbereich aus und begründen dies mit einer Technologie, die «neuartig und sich rasch weiterentwickelnd» sei (Federal Reserve, 2026).
Für Compliance-Teams, die KI-Agentenplattformen evaluieren, ist diese Lücke der Ausgangspunkt, nicht eine Randnotiz. Die Regulatoren haben das Regelwerk für agentische KI noch nicht fertiggestellt, und dieses Fehlen entbindet ein Unternehmen nicht von der Pflicht, diese Systeme verantwortungsvoll zu governen. Es verlagert die Verantwortung auf denjenigen, der sie einsetzt.
«Self-hosted AI Agents» bedeutet, dass die Orchestrierungs-Engine, idealerweise auch die Modell-Inferenz selbst, innerhalb einer vom Unternehmen kontrollierten Infrastruktur läuft statt in der Cloud eines Anbieters. Diese eine architektonische Entscheidung bestimmt, wo Prompts, Dokumente und Reasoning-Traces physisch liegen, wer darauf zugreifen kann und welches Landesrecht eine Offenlegung erzwingen kann.
Dieser Beitrag untersucht, was der Begriff technisch und rechtlich tatsächlich verändert, und was nicht.
Die regulatorischen Vorgaben, mit denen Compliance-Teams schon heute konfrontiert sind
Zahlreiche verbindliche Vorgaben gelten bereits für KI-gestützte Automatisierung in regulierten Branchen, obwohl eine umfassende Regulierung agentischer KI noch Jahre entfernt ist. Der DORA (Digital Operational Resilience Act) gilt seit dem 17. Januar 2025 für jedes EU-Finanzunternehmen.
Er behandelt KI-Anbieter als IKT-Drittparteien, für die eine formelle Risikobeurteilung erforderlich ist (EIOPA, 2025). Compliance-Teams brauchen eine Liste dessen, was heute gilt, keine Prognose.
EU-Vorgaben: DORA und der AI Act
Der DORA verpflichtet EU-Finanzunternehmen, ein Informationsregister zu führen, das sämtliche IKT-Drittparteibeziehungen abdeckt, einschliesslich KI-Anbieter (EIOPA; ESMA, 2025). Das ist keine in Prüfung befindliche Leitlinie, sondern eine verbindliche operative Pflicht mit bestehendem Durchsetzungsmechanismus.
Der EU AI Act legt sich mit einem gestaffelten Zeitplan über den DORA. Die Regeln zu verbotenen Praktiken traten am 2. Februar 2025 in Kraft, die Transparenzpflichten für GPAI folgten am 2. August 2025 (Europäische Kommission, 2025).
Mit der «Digital Omnibus»-Einigung vom 7. Mai 2026 wurde die Frist für Hochrisikosysteme, die viele Anwendungen im Finanzsektor betrifft, von August 2026 auf den 2. Dezember 2027 verschoben; produktintegrierte Systeme erhielten Aufschub bis August 2028 (Holland & Knight; Travers Smith, 2026).
Die Bussgelder wurden dabei nicht verschoben. Für verbotene Praktiken gelten weiterhin Bussen von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (artificialintelligenceact.eu, 2025).
US-Vorgaben: ein zunehmend fragmentiertes Bild von Bundesstaat zu Bundesstaat
Colorados SB 26-189, unterzeichnet am 14. Mai 2026 und in Kraft ab 1. Januar 2027, reguliert automatisierte Entscheidungsfindung mit Vorab-Hinweisen und Erklärungspflichten bei nachteiligen Entscheiden (Colorado General Assembly; Norton Rose Fulbright, 2026). Es ist bisher das detaillierteste Regelwerk auf Bundesstaatsebene, und andere Bundesstaaten beobachten es genau.
Texas und Kalifornien verfolgen eigene Spuren. Der texanische TRAIGA trat am 1. Januar 2026 in Kraft, mit Bussen von bis zu 200'000 USD pro Verstoss (Norton Rose Fulbright, 2025). Kaliforniens CCPA-Regeln zu automatisierter Entscheidungsfindung treten am 1. Januar 2027 in Kraft (Baker Botts, 2026). Keine zwei Bundesstaaten nähern sich denselben Anforderungen an.
Versicherungsspezifische Vorgaben: das NAIC-Bulletin
Versicherer stehen vor einer parallelen, schneller voranschreitenden Entwicklung. Das NAIC Model Bulletin on Insurers' Use of AI, verabschiedet im Dezember 2023, verlangt ein schriftliches KI-Governance-Programm für Underwriting, Tarifierung, Schadenbearbeitung und Marketing.
Mehr als 20 US-Bundesstaaten hatten es bis Mitte 2026 übernommen, und die NAIC begann im März 2026 in 12 Bundesstaaten mit dem Pilotbetrieb eines KI-Bewertungstools für Marktverhaltensprüfungen (NAIC; Quarles Law; Plante Moran, 2026).
Sicherheits- und Risikobedenken, nicht regulatorische Unsicherheit, gelten inzwischen als das grösste Hindernis, das Organisationen bei der Skalierung agentischer KI nennen. Der durchschnittliche Reifegrad im Bereich Responsible AI stieg 2026 auf 2,3, gegenüber 2,0 im Vorjahr, und nur 14 % der Organisationen berichten von vollständig integrierter Datenbereitschaft (McKinsey, 2026). Nichts davon wartet auf Klarheit auf Bundesebene.
Was «Self-hosted» technisch tatsächlich verändert
Self-hosting verändert, wo vier konkrete Kontrollentscheidungen getroffen werden: Datenresidenz, Standort der Audit-Trails, Umfang der Sub-Prozessoren-Kette und Verwahrung der Verschlüsselungsschlüssel. Jede dieser Entscheidungen verlagert sich von einem anbietergesteuerten Standard zu einer unternehmensgesteuerten Konfiguration, was genau das ist, was die meisten Compliance-Rahmenwerke des Jahres 2026 heute von Organisationen verlangen nachzuweisen.
Datenresidenz: Deployment-Entscheidung statt Inferenz-Wette
Bei Self-hosted-Systemen ist die Datenresidenz zum Zeitpunkt des Deployments festgelegt. Bei cloudgehosteten agentischen Systemen wird sie zu einer laufenden Wette pro einzelner Anfrage. Agentische Architekturen treffen dynamische Routing-Entscheidungen: externe Tool-Aufrufe, regionsübergreifende Vektordatenbank-Replikate, Delegation an Sub-Agenten. Diese können Daten ausserhalb einer definierten Region bewegen, selbst wenn die Quelldatenbank selbst nie verlassen wurde.
Das bedeutet: Residenz-Zusicherungen, die bei Vertragsabschluss zu einer Cloud-Agentenplattform gemacht wurden, müssen sechs Monate später nicht mehr zutreffen. Neue Tools oder Sub-Agenten, die dem Workflow hinzugefügt werden, können verschieben, wo die Inferenz tatsächlich läuft.
Kontrolle über Audit-Trails
Cloud-LLM-APIs legen Prompt- und Antwort-Logs sowie Reasoning-Traces standardmässig auf der Infrastruktur des Anbieters ab. Damit verlässt der Audit-Trail den definierten Sicherheitsperimeter des Unternehmens. Self-hosting hält jeden Prompt, jedes abgerufene Dokument und jede generierte Antwort innerhalb der Infrastruktur, die das Unternehmen ohnehin nach bestehenden Kontrollen prüft. Ein separates Logging-System des Anbieters, das zusätzliche Zugriffsanfragen erfordert, wird überflüssig.
Tiefe der Sub-Prozessoren-Kette
Wer Daten an einen Cloud-LLM-Anbieter sendet, gewährt Vertrauen an dessen Sub-Prozessoren, und an alle Sub-Prozessoren, die diese Sub-Prozessoren später hinzufügen. Die Commercial Data Processing Agreement von Anthropic erteilt eine generelle Vorabgenehmigung für neue Sub-Prozessoren bei einer Ankündigungsfrist von nur 15 Tagen (Heuking, 2026). Self-hosting eliminiert diese Kette, da keine Daten die vom Unternehmen kontrollierte Infrastruktur verlassen.
Eigentum an Verschlüsselungsschlüsseln: BYOK vs. HYOK
Die Unterscheidung zwischen BYOK und HYOK ist der Punkt, an dem die meisten Beschaffungsgespräche zu früh enden. Bei BYOK, Bring Your Own Key, wird der Schlüssel des Kunden weiterhin im Key-Management-System des Anbieters selbst gespeichert, sodass der Anbieter den technischen Zugriff behält. Bei HYOK, Hold Your Own Key, verbleiben die Schlüssel ausschliesslich in der vom Kunden kontrollierten Infrastruktur (IBM, 2026).
| Merkmal | BYOK | HYOK |
|---|---|---|
| Speicherort des Schlüssels | Im Key-Management-System des Anbieters | In der vom Kunden kontrollierten Infrastruktur |
| Technischer Zugriff des Anbieters | Anbieter behält technischen Zugriff auf den Schlüssel | Anbieter hat keinen technischen Zugriff auf den Schlüssel |
| Compliance-Implikation | Daten können technisch weiterhin vom Anbieter entschlüsselt werden | Entschlüsselung liegt vollständig ausserhalb der Reichweite des Anbieters |
BYOK wird häufig mit einer Sprache vermarktet, die sich kaum von HYOK unterscheidet. Genau deshalb müssen Compliance-Prüfer die Anschlussfrage direkt stellen: Wo liegt der Schlüssel physisch, und wer kann technisch darauf zugreifen.
Warum Anbieter die Unterscheidung zwischen Orchestrierung und Inferenz gerne übergehen
Das entscheidende Detail bei einer «Self-hosted»-Behauptung ist, ob die Inferenz self-hosted läuft, nicht nur die Orchestrierung. Eine Workflow-Engine kann vollständig innerhalb der Unternehmensinfrastruktur laufen, während jeder Modellaufruf weiterhin an eine externe LLM-API geht.
Nur den Orchestrator selbst zu hosten, löst das Residenzproblem in keiner Weise, sofern die Inferenzschicht nicht separat abgesichert wird, typischerweise durch das Routing an ein self-hosted oder On-Premises-Modell statt an einen Cloud-KI-Endpunkt.
Diese Lücke zeigt sich branchenweit bei self-hosted Workflow- und KI-Agenten-Tools, nicht nur in einem Einzelfall. Anbieter thematisieren diese Unterscheidung selten von sich aus, weil «self-hosted» für sich genommen bereits vollständig klingt. In der Praxis sind Orchestrierung und Inferenz zwei getrennte architektonische Entscheidungen, jede mit eigenen Implikationen für Residenz, Logging und Sub-Prozessoren. Ein Compliance-Prüfer muss beide unabhängig voneinander bewerten, statt anzunehmen, dass die eine die andere einschliesst.
Viele Plattformen vermarkten Self-hosting ausdrücklich für Anforderungen aus GDPR, HIPAA und SOC 2. Lokale Orchestrierungsinfrastruktur allein garantiert jedoch keine lokale Inferenz; ein self-hosted Workflow kann jeden Modellaufruf weiterhin an einen externen LLM-Endpunkt leiten, sofern dies nicht separat unterbunden wird. Der Orchestrator sitzt innerhalb des Perimeters; das Reasoning häufig nicht.
VPC-isolierte LLM-Bereitstellung schliesst diese Lücke direkt, weil sie die Inferenz selbst, nicht nur Speicherung oder Orchestrierung, innerhalb einer kontrollierten Netzwerkgrenze hält. Dieses eine Merkmal erfüllt gleichzeitig die Anforderungen an Datenresidenz nach GDPR, PHI-Isolation und Rechenschaftspflicht im Finanzdienstleistungssektor.
Compliance-Teams, die eine Plattform evaluieren, sollten gezielt fragen, wo das Modell ausgeführt wird, nicht nur, wo die Workflow-Logik läuft. Genau auf diese Unterscheidung ist Lunnoa ausgerichtet: Orchestrierung und Inferenz laufen beide innerhalb der eigenen Infrastruktur des Kunden, nicht nur eines von beiden.
Warum ein SOC-2-Siegel nicht die Frage beantwortet, die ein Regulator stellen wird
Ein SOC-2-Bericht bescheinigt die internen Prozesskontrollen eines Anbieters; er bescheinigt nicht, wo Kundendaten oder KI-Inferenz tatsächlich liegen. SOC 2 enthält keine KI-spezifischen Kontrollen für die Verarbeitung von Trainingsdaten, Inferenz-Logging oder die Offenlegung von Modellgewichten (Linford & Co, 2026). Eine gemeinsam genutzte Cloud-Umgebung mit SOC-2-Kontrollen bleibt strukturell eine gemeinsam genutzte Umgebung.
Diese Lücke ist relevant, weil das KI-spezifische Risiko einer Datenpanne messbar anders ist als das Risiko, für das SOC 2 konzipiert wurde. Shadow AI, also KI-Tools, die ohne organisatorische Freigabe eingesetzt werden, verdeutlicht diesen Unterschied klar.
| Art der Datenpanne | Durchschnittliche Kosten |
|---|---|
| Standardvorfall | 4,44 Mio. USD |
| Mit Beteiligung von Shadow AI | 4,63 Mio. USD |
Quelle: IBM Cost of a Data Breach Report, 2025 (600 befragte Organisationen, März 2024 bis Februar 2025)
Source: IBM, «Cost of a Data Breach Report», 2025
Datenpannen mit Shadow AI kosten im Schnitt 4,63 Mio. USD, das sind 670'000 USD mehr als bei Standardvorfällen. Jede fünfte Organisation meldete eine Shadow-AI-bedingte Datenpanne, und nur 37 % verfügen über Richtlinien, um Shadow AI zu erkennen oder zu steuern (IBM, 2025).
Source: IBM, «Cost of a Data Breach Report», 2025
Separat berichteten 13 % der Organisationen von direkten Datenpannen bei KI-Modellen oder -Anwendungen, und in 97 % dieser Fälle fehlten angemessene Zugriffskontrollen für KI (IBM, 2025). Ein SOC-2-Siegel bei einem Cloud-KI-Anbieter sagt nichts darüber aus, ob eine Mitarbeiterin oder ein Mitarbeiter sensible Daten über ein nicht freigegebenes KI-Tool geleitet hat. Ebenso wenig sagt es etwas darüber aus, ob die KI-Zugriffskontrollen des Anbieters selbst ausreichend waren (Linford & Co, 2026).
Zwei Missverständnisse, die einer klaren Entscheidung im Weg stehen
Self-hosted KI ist cloudbasierten Frontier-Modellen nicht grundsätzlich unterlegen
Der Fähigkeitsunterschied zwischen self-hosted und cloudbasierten Frontier-Modellen hat sich so weit verringert, dass die meisten Analysen aus dem Jahr 2026 eher ein pragmatisches Hybrid-Routing beschreiben als einen absoluten Zielkonflikt. Vorhersehbare Workloads mit hohem Volumen laufen self-hosted, während Lastspitzen oder Aufgaben, die Frontier-Reasoning erfordern, bei Bedarf an Cloud-APIs geroutet werden. Wer Self-hosting als dauerhaften Verzicht auf Leistungsfähigkeit betrachtet, verkennt, wie Unternehmen es heute tatsächlich einsetzen.
Self-hosting ist bei realem Produktionsvolumen günstiger
Cloud-KI-Plattformen verrechnen typischerweise pro Token oder pro Ausführung, sodass die Rechnung mit jedem Workflow-Lauf steigt. Self-hosting entfernt diese laufende Verrechnung: Die Infrastrukturkosten bleiben unabhängig von der Nutzung fix, sodass sich der Kostenvorteil mit wachsender Nutzung verstärkt.
Für jede Organisation, die KI-Agenten produktiv betreibt und nicht nur einzelne Workflows pilotiert, ist Self-hosting über die Zeit der günstigere Weg, zusätzlich zum kontrollierteren.
Wie eine wirklich self-hosted Plattform in der Praxis aussieht
Das Muster in diesem Beitrag läuft auf eine Messlatte hinaus: Eine Plattform ist erst dann im vollen Sinn self-hosted, wenn Orchestrierung, Inferenz, Audit-Logging und Schlüsselverwaltung allesamt innerhalb der Infrastruktur laufen, die der Kunde bereits besitzt, ohne dass eine Komponente aus Bequemlichkeit beim Anbieter verbleibt.
Teilweises Self-hosting, bei dem nur die Workflow-Schicht vor Ort läuft, während Modellaufrufe und Logs den Perimeter weiterhin verlassen, erreicht diese Messlatte nicht, selbst wenn im Marketing «self-hosted» steht.
Lunnoa wurde von Anfang an nach genau dieser vollständigen Definition gebaut. Jede Komponente, einschliesslich Workflow-Engine, Dokumentenverarbeitung und LLM-Routing, läuft auf der eigenen Infrastruktur des Kunden, ob AWS, GCP, Azure oder On-Premises. Compliance-Teams, die eine Plattform evaluieren, Lunnoa eingeschlossen, sollten dieselbe Checkliste unten anwenden, statt die Selbstbeschreibung eines Anbieters ungeprüft zu übernehmen.
Eine praktische Checkliste zur Prüfung einer «Self-hosted»-Behauptung
Die Verwendung des Wortes «self-hosted» durch einen Anbieter ist keine Spezifikation, sondern eine Marketingaussage, die anhand von sechs konkreten architektonischen Fragen überprüft werden muss. Compliance- und Sicherheitsprüfer sollten vor der Freigabe schriftliche Antworten zu jedem einzelnen Punkt verlangen, nicht eine mündliche Zusicherung im Verkaufsgespräch.
Diese Liste ist nicht theoretisch. Lunnoa ist heute bei einer Private-Equity-Firma im Compliance-Bereich im Einsatz und automatisiert dort interne Compliance-Prozesse self-hosted; die folgenden Fragen spiegeln wider, was diese Implementierung tatsächlich zu klären erforderte, nicht eine Checkliste, die aus Marketingunterlagen von Anbietern zusammengestellt wurde.
- Läuft die Inferenz innerhalb der Unternehmensinfrastruktur, oder nur die Orchestrierung? Bestätigen Sie, dass Modellaufrufe die Netzwerkgrenze niemals verlassen.
- Wo genau liegen die Verschlüsselungsschlüssel physisch, und wer kontrolliert das dafür zuständige Key-Management-System? Bestätigen Sie HYOK, nicht BYOK: Der Anbieter sollte zu keinem Zeitpunkt technischen Zugriff auf den Schlüssel haben, auch nicht bei Schlüsselrotation oder Backup.
- Werden Prompts und Reasoning-Traces innerhalb des unternehmenseigenen Audit-Systems protokolliert, ohne ein separates Logging-System des Anbieters?
- Wie lautet die vollständige Liste der Sub-Prozessoren, und wie wird das Unternehmen über Änderungen informiert? Eine Ankündigungsfrist von 15 Tagen, wie im Commercial DPA von Anthropic, ist keine Vorabgenehmigung.
- Lässt sich die Datenresidenz pro Anfrage überprüfen, nicht nur bei Vertragsabschluss? Dynamische Tool-Aufrufe und die Delegation an Sub-Agenten können die Residenz nach dem Deployment verändern.
- Kontrolliert das Unternehmen, nicht der Anbieter, Modell-Updates und Versionswechsel? Unangekündigte Modelländerungen erschweren Audit-Trails und die Einhaltung von Konsistenzanforderungen.

Fazit
Die Regulatoren haben noch nicht abschliessend festgelegt, wie agentische KI in regulierten Branchen zu governen ist. Der ausdrückliche Ausschluss generativer und agentischer KI in SR 26-2 macht diese Lücke offiziell statt bloss theoretisch.
Self-hosting schliesst nicht jede offene regulatorische Frage. Es bringt Datenresidenz, Audit-Trails, das Ausmass der Sub-Prozessoren-Exposition und die Verwahrung der Schlüssel jedoch zurück unter die Kontrolle des Unternehmens, solange diese Fragen offen bleiben.
Die entscheidende Unterscheidung ist nicht, ob eine Plattform als «self-hosted» bezeichnet wird. Entscheidend ist, ob die Inferenz, nicht nur die Orchestrierung, tatsächlich innerhalb der vom Unternehmen kontrollierten Infrastruktur läuft.
Artikel teilen
Was Self-hosted-KI-Agenten für Compliance-Teams wirklich bedeuten. Self-hosted-KI-Agenten verlagern die Kontrolle über Compliance zurück ins Unternehmen. Shadow-AI-Datenpannen kosten im Schnitt 4,63 Mio. USD. Was ein «Self-hosted»-Versprechen tatsächlich beweisen muss.Häufig gestellte Fragen
Nein. Artikel 46 der GDPR verlangt Schutzmassnahmen für grenzüberschreitende Datenübermittlungen, und Self-hosting hilft nur dann, wenn die Modell-Inferenz, nicht nur die Orchestrierung, innerhalb der vorgesehenen Region bleibt. Wenn Ihre Reasoning-Traces an eine externe LLM-API geleitet werden, haben Sie die Frage der Residenz vermutlich noch nicht gelöst.
Es ist relevant, weil sich darin ein globales Muster zeigt: Regulatoren erarbeiten die spezifischen Leitlinien für agentische KI noch immer, selbst innerhalb ausgereifter Regelwerke. Wer mit der Governance eigener KI-Agenten auf vollständige regulatorische Klarheit wartet, wartet unter Umständen jahrelang über das tatsächliche Risiko hinaus.
Nicht allein. SOC 2 bescheinigt Prozesskontrollen des Anbieters, nicht, wo Ihre Daten oder die Inferenz tatsächlich liegen. Es enthält keine Kontrollen, die speziell auf Trainingsdaten, Inferenz-Logging oder Modellgewichte zugeschnitten sind.
Ja, bei realem Produktionsvolumen. Cloud-KI-Plattformen verrechnen typischerweise pro Token oder pro Ausführung, sodass die Rechnung mit jedem Workflow-Lauf steigt. Self-hosting entfernt diese laufende Verrechnung: Die Infrastrukturkosten bleiben unabhängig von der Nutzung fix, sodass der Kostenvorteil mit steigender Nutzung wächst.
Quellen
- European Commission, Zeitplan zur Umsetzung des EU AI Act, digital-strategy.ec.europa.eu, 2025.
- Holland & Knight; Travers Smith, Analyse der «Digital Omnibus»-Einigung, 2026.
- artificialintelligenceact.eu, Bussgeldstruktur des EU AI Act, 2025.
- EIOPA; ESMA, Anforderungen an das DORA-Informationsregister, 2025.
- Federal Reserve, SR-26-2-Leitlinien und Rede von Vice Chair Michelle Bowman, 1. Mai 2026.
- Consumer Finance Insights, Analyse zum Geltungsbereich von SR 26-2, 2026.
- Colorado General Assembly; Norton Rose Fulbright, Analyse zu SB 26-189, 2026.
- Norton Rose Fulbright, Analyse zum texanischen TRAIGA (HB 149), 2025.
- Baker Botts, Analyse zu den kalifornischen CCPA-ADMT-Regeln und dem AI Transparency Act, 2026.
- NAIC; Quarles Law; Plante Moran, Nachverfolgung der Übernahme des Model Bulletin on Insurers' Use of AI, 2026.
- Heuking, Analyse zur Sub-Prozessoren-Regelung im Commercial DPA von Anthropic, 2026.
- IBM, Analyse zu BYOK vs. HYOK bei der Verwahrung von Verschlüsselungsschlüsseln, 2026.
- Linford & Co, Analyse der KI-spezifischen Kontrolllücke bei SOC 2, 2026.
- IBM, Cost of a Data Breach Report 2025 sowie Newsroom-Erkenntnisse zu Shadow AI, 30. Juli 2025.
- McKinsey, «State of AI Trust in 2026», 2026.