OpenAI for Germany: Souveräne KI für Behörden

SAP, OpenAI & Microsoft: KI „gebaut in Deutschland, für Deutschland“ – mit Delos Cloud auf Azure und strenger Datenhoheit.

Mit OpenAI for Germany wollen SAP, OpenAI und Microsoft ab 2026 KI sicher und rechtssicher in den deutschen öffentlichen Sektor bringen. Der Ansatz kombiniert SAPs Souveränitäts-Know-how (Delos Cloud) mit moderner KI-Technologie – für produktive Assistenten und Agenten, die im Verwaltungsalltag wirklich helfen.

Warum souveräne KI für den öffentlichen Sektor nötig ist

Behörden arbeiten mit besonders schutzwürdigen Daten. Gleichzeitig steigt der Druck, Verfahren zu digitalisieren, Bearbeitungszeiten zu senken und Fachkräfte zu entlasten. KI kann unterstützen – vorausgesetzt, Datenhoheit, Sicherheit und Rechtskonformität sind gewährleistet.

2026
Geplanter Start in DE
DE
Datenresidenz & Jurisdiktion
C5
BSI-Standards als Leitplanke
Hinweis: Angaben basieren auf öffentlichen Ankündigungen (Stand: 2025‑09‑24). Verbindliche Details ergeben sich aus Verträgen, Leistungsbeschreibungen und Zertifizierungen.

Was OpenAI for Germany liefert

Die Partnerschaft zielt darauf, KI-Assistenten und ‑Agenten entlang bestehender Verwaltungsprozesse nutzbar zu machen – mit klaren Leitplanken für Datenschutz und Sicherheit.

Kernelemente

  • Souveräne Architektur: Betrieb auf Delos Cloud in Deutschland (Azure-Technologie), strenge Access- & Jurisdiktionskontrollen.
  • Datenschutz by Design: Datenminimierung, Protokollierung, Verschlüsselung; Lieferkette & Drittlandtransfers geprüft.
  • Behörden‑Use‑Cases: Akten- und Vorgangsbearbeitung, Wissenssuche, Assistenz beim Bürgerservice, Auswertungen.
  • Skalierbarkeit: Ausbau der Infrastruktur in Deutschland – u. a. für rechenintensive KI‑Workloads.

Für dich bedeutet das: KI dort einsetzen, wo sie messbar entlastet – ohne Kompromisse bei Compliance und Souveränität.

Integration & Architektur‑Pattern

Für eine behördenkonforme Umsetzung brauchst du klare Integrationspfade. Typische Muster verbinden Fachverfahren, eAkte/Schriftgut, Verzeichnisdienste (z. B. Entra ID) und Wissensquellen mit KI‑Funktionen – strikt getrennt nach Datenklassen.

RAG mit behördeneigenen Quellen

Retrieval‑Augmented Generation auf basiszertifizierten Dokumenten/FAQs/Richtlinien. Versionierung, Quellverweise, Prüfschritte.

Agenten in Workflows

Teilautomatisierte Schritte (z. B. Klassifizieren, Entwurf erzeugen) mit Vier‑Augen‑Freigabe. Protokolliert, rückverfolgbar.

Identität & Rollen

RBAC/ABAC, minimale Rechte, getrennte Tenants/Umgebungen (Dev/Test/Prod), Logging/Alerting über zentrale SIEM.

Schnittstellen

Standardisierte APIs/Webhooks; Datenklassen‑Policies am Gateway; Quoten/Rate‑Limits; Outbound‑Kontrollen.

Praxis‑Tipp: Beginne mit lesendem Zugriff (Suche/Assistenz). Schreibende Automatisierung erst nach etabliertem Freigabe‑Prozess und Qualitätssicherung.

Deutschland‑Spezifika: Recht, Sicherheit, Akzeptanz

Die Lösung richtet sich gezielt an die Anforderungen deutscher Behörden – von DSGVO über EU AI Act bis zu BSI-Vorgaben. Entscheidend ist die Kombination aus technischer und rechtlicher Souveränität.

DSGVO
Datenschutz & Rechte
EU AI
Risikoklassen & Transparenz
BSI
C5, Grundschutz, NIS2

Compliance‑Bausteine

Relevante Rahmenwerke

  • DSGVO (Art. 5, 25, 28, 32) – Datenminimierung, Privacy by Design, Auftragsverarbeitung, TOMs.
  • EU AI Act – Governance je Risikoklasse, Dokumentation & Transparenzpflichten.
  • BSI C5 / IT‑Grundschutz – Mindeststandards & Bausteine für Cloud‑Betrieb.
  • NIS2 / KRITIS, TTDSG – sektor‑ & telekommunikationsnahe Vorgaben.
„Souveränität heißt: Fachbereiche können KI produktiv nutzen – die Kontrolle über Daten und Rechtsraum bleibt in Deutschland.“

Herausforderungen realistisch einschätzen

Einführung und Skalierung erfordern Governance, Skills und klare Verantwortlichkeiten. Pilotieren, evaluieren und iterativ ausbauen ist erfolgskritisch.

Erfolgsfaktoren

  • Klare Use‑Cases mit Kennzahlen statt technischer Showcases.
  • Datenschutz & Informationssicherheit frühzeitig einbinden.
  • Prozess‑ und Aktenbezug berücksichtigen (Sachakten, eAkte, Schriftgut).
  • Change & Schulung für Mitarbeitende fest verankern.

Fazit: Mit der richtigen Governance lässt sich KI in bestehende Verwaltungsabläufe integrieren – nachvollziehbar, sicher und skalierbar.

Partnerschaft & Souveränität: Überblick

Was vereinbart ist (laut Ankündigungen)

  • Partner: SAP (Delos Cloud), OpenAI und Microsoft (Azure). Ziel: Souveräne, rechtskonforme KI-Dienste für deutsche Behörden mit geplanter Einführung ab 2026.
  • Souveränität: Betrieb im deutschen Rechtsraum, regionale Datenresidenz, strenge Zugriffs- und Jurisdiktionskontrollen.
  • Skalierung: Ausbau der Infrastruktur in Deutschland (inkl. GPU-Kapazitäten) abhängig von Bedarf und Nachfrage.
  • Ausrichtung: Fokus auf produktive Assistenten/Agenten entlang bestehender Verwaltungsprozesse (Akten, Anträge, Auskünfte).

Quellenhinweis: OpenAI Global Affairs (Ankündigung „OpenAI for Germany“), SAP Newsroom (Souveränität/Investitionen), Microsoft Azure Cloud for Sovereignty, Delos Cloud, Bund/BSI/EU.

Souveränitäts-Architektur im Detail

  • Datenresidenz & Mandantentrennung: Speicherung/Verarbeitung in Deutschland, fachliche und technische Trennung inkl. rollenbasiertem Zugriff (RBAC) und Need-to-know-Prinzip.
  • Kryptografie & HSM: Transport-/Ruhend-Verschlüsselung, Schlüsselverwaltung mit HSM-Optionen, Protokollierung aller Schlüsseloperationen.
  • Audit & Nachvollziehbarkeit: Vollständige Protokolle für Prompts, Kontext, Ausgaben, Freigaben; exportfähige Audit-Trails für interne/ externe Prüfungen.
  • Lieferkette & Drittlandtransfers: Vertrags- & Technikmaßnahmen zur Kontrolle von Unterauftragnehmern und Datenflüssen; klare Exit- und Löschkonzepte.
  • Zertifizierungen/Standards: Orientierung an BSI C5, ISO 27001/27701, NIS2/IT‑Grundschutz; AI‑Act‑gerechte Dokumentation je Risikoklasse.

Behörden‑Use‑Cases mit klaren Leitplanken

  • Bürgerservice & Wissenssuche: Assistenten für Antragsauskünfte, Formularhilfe, Statusabfragen – mit verbindlichen Textbausteinen und Quellenverweisen.
  • Schriftgut & Akten: Entwürfe für Bescheide/Protokolle, Klassifizierung, Summarisierung – stets im Vier‑Augen‑Prinzip und mit Aktenzeichenbezug.
  • Fach‑Analytics: Auswertung strukturierter/unstrukturierter Daten (Berichte, Forschung, Monitoring) mit Datenschutz‑/Zweckbindung.
  • Interne Produktivität: Meeting-Notizen, Aufgabenentwürfe, Wissensmanagement – unter klaren Datenklassen und Speicherfristen.

Beschaffung & Vergabe (praxisnah)

  • Leistungsbeschreibung: Konkrete Use‑Cases, SLAs, Datenklassen, Lösch-/Aufbewahrungsfristen, Protokollierungs‑ und Freigabeprozesse festhalten.
  • Nachweise: Zertifikate/Berichte (z. B. C5/ISAE 3402), technische Architekturdiagramme, Rollen-/Rechtematrix, Exit‑Strategie.
  • Datenschutz/ISB: DSFA (falls erforderlich), TOMs, AV‑Vertrag, Löschkonzept; frühzeitige Einbindung von Datenschutz/Informationssicherheit.
  • Pilot → Rollout: Iterative Vergabe-/Vertragsbausteine erlauben schrittweise Skalierung bei nachgewiesener Wirksamkeit.

Risiken & Gegenmaßnahmen

  • Datenabfluss/Fehlklassifizierung: Datenminimierung, Eingangskontrollen, Pseudonymisierung, Policy‑Durchsetzung, strenge Rollen/Scopes.
  • Halluzinationen/Qualität: Quellenbindung (RAG), verpflichtende menschliche Freigaben, Testdatensets/Kalibrierung, Feedback‑Schleifen.
  • Lieferantenrisiken: Mehrlieferanten‑Strategien wo möglich, klare KPIs/Change‑Pfad, Exit‑Klauseln, Datenportabilität.
  • Akzeptanz/Change: Schulungsprogramme, klare Verantwortung, Transparenz über Grenzen und Einsatzregeln.

Statements der Partner

Christian Klein, CEO SAP SE

“Applied AI is what truly creates value. As a Business AI company with decades of experience serving public sector organizations, we believe OpenAI for Germany represents a huge step forward. We’re bringing together SAP Sovereign Cloud expertise with OpenAI’s leading AI technology to pave the way for AI solutions that are built in Germany, for Germany.”

Quelle: OpenAI – OpenAI for Germany

Sam Altman, CEO OpenAI

“Germany has long been a pioneer in engineering and technology, so it’s no surprise that millions of Germans already use ChatGPT to make their lives easier, drive scientific breakthroughs, and build new businesses. With OpenAI for Germany, we’ll work with local partners to extend this potential to the public sector—helping to improve services and ensuring that the benefits of AI are shared across the country, and doing so in line with German values of trust and safety.”

Quelle: OpenAI – OpenAI for Germany

Satya Nadella, Chairman & CEO Microsoft

“With this partnership we are looking forward to bringing more AI capabilities to Germany’s public sector. Azure as the platform for Delos Cloud will power this, helping to ensure AI is deployed with the highest standards of sovereignty, data privacy, regulatory compliance, and operational resilience—empowering public institutions to adopt AI confidently and responsibly.”

Quelle: OpenAI – OpenAI for Germany

3‑Phasen‑Roadmap für Behörden

Starte fokussiert, binde Datenschutz/ISB früh ein und skaliere entlang messbarer Ergebnisse.

Phase 1 (0–90 Tage): Pilot & Governance

Use‑Cases priorisieren, Datenschutz‑Folgenabschätzung (falls nötig), TOMs definieren, Zugriffskonzepte, Protokollierung & Audit, kleiner Pilot mit Erfolgskriterien.

Phase 2 (3–9 Monate): Ausweitung & Integration

Weitere Fachbereiche anbinden, eAkte/Schriftgut‑Schnittstellen prüfen, Schulungen, Betriebsprozesse (Incident/Change), Monitoring & KPIs etablieren.

Phase 3 (9–18 Monate): Skalierung & Qualitätssicherung

Agenten in Workflows, Automatisierungsschritte mit Vier‑Augen‑Prinzip, Audit‑Trails, kontinuierliche Wirksamkeitskontrolle, Rezertifizierungen.

Erfolgsfaktoren

  • Messbare Ziele (z. B. Bearbeitungszeit −20% , Wartezeiten −15% ).
  • Transparente Richtlinien und Freigabe‑Workflows.
  • Technische Leitplanken (Datenklassen, Prompt‑/Kontext‑Policies).
  • Kontinuierliche Schulung & Kommunikation.

KPIs & Metriken

  • Durchlaufzeit: Median‑Zeit von Antrag bis Bescheid (Ziel: −20% in 6–9 Monaten).
  • Erstlösungsquote: Anteil Fälle ohne Rückfrage (Ziel: +10–15 pp, fachbereichsspezifisch).
  • Bearbeitungszeit je Schritt: z. B. Recherche, Entwurf, Prüfung (Zielwerte je Prozess definieren).
  • Qualität & Compliance: Null Datenschutz‑Incidents, Audit‑Feststellungen ≤ tolerierter Schwellenwert.
  • Service‑Erlebnis: NPS/CSAT im Bürgerservice, Wartezeit in Hotlines/Terminen.

Messung: Vorher/Nachher‑Baseline, kontrollierte Piloten, definierte Kohorten, klarer Messplan.

Häufige Fragen

Welche Daten dürfen für KI verarbeitet werden? +
Nur die für den Zweck erforderlichen Daten (Datenminimierung). Prüfe Rechtsgrundlagen, führe – wo nötig – eine DSFA durch, und dokumentiere Zugriff/Weitergabe (Art. 5, 25, 32 DSGVO).
Ist ein On‑Prem‑Betrieb nötig? +
Nicht zwingend. Souveräne Cloud‑Modelle (z. B. Delos Cloud) können Datenresidenz, Jurisdiktion und Sicherheitskontrollen in Deutschland gewährleisten – vertragliche und technische Prüfungen vorausgesetzt.
Wie verhindere ich Schatten‑IT bei KI‑Tools? +
Zentral freigegebene Dienste, klare Policies, Single‑Sign‑On, Monitoring und Schulungen. Produktive Nutzung über geregelte Zugänge mit Protokollierung.
Welche Skills brauchen meine Teams? +
Fachwissen + KI‑Grundlagen (Prompting, Datenschutz), Prozessverständnis, Governance‑Know‑how, Change‑Kompetenz. Schulungen früh einplanen.
Wie läuft die Beschaffung und was kostet es? +
Nutze etablierte Vergabewege mit klarer Leistungsbeschreibung (Use‑Cases, SLAs, Datenklassen, Löschkonzept), Nachweisen (z. B. C5/ISAE 3402), AV‑Vertrag/TOMs und Pilot‑zu‑Rollout‑Stufen. Kosten hängen von Nutzerzahlen, Rechenvolumen (GPU/Inference), Support‑/Verfügbarkeits‑SLAs und Integrationsaufwand ab. Starte mit einem abgegrenzten Pilotbudget und skaliere nach nachgewiesenen Effekten.
Erhalten Forschungseinrichtungen Zugriff oder Sonderkonditionen? +
Die Ankündigungen adressieren explizit Verwaltungen und Forschung. Ob Sonderkonditionen gelten, ist vertrags‑ und partnerabhängig. Kläre früh die Anforderungen (z. B. Datenresidenz, Exportkontrollen, Drittmittelbedingungen) und fordere belastbare Nachweise (Architektur, Zertifikate, Vertragsklauseln) an. Pilotkooperationen mit klaren KPIs erhöhen die Chance auf passende Konditionen.

Fazit: KI nutzbar machen – ohne Souveränität zu opfern

OpenAI for Germany adressiert zentrale Hürden für KI in Behörden: Datenhoheit, rechtliche Sicherheit und Praxistauglichkeit. Wenn du jetzt Pilotfälle sauber aufsetzt, baust du Kompetenz und Vertrauen für die Skalierung ab 2026 auf.

Key Takeaways

  • Souveräne Architektur in Deutschland – technische und rechtliche Leitplanken.
  • Fokus auf produktive Use‑Cases mit klaren Kennzahlen.
  • Compliance als Enabler: DSGVO, EU AI Act, BSI‑Standards.
  • Schrittweise Einführung mit Governance, Schulung und Monitoring.

Weiterführende Informationen

OpenAI – OpenAI for Germany (Ankündigung) SAP News – Europäische Cloud‑Souveränität & Investitionen Microsoft – Azure Cloud for Sovereignty (Dokumentation) Delos Cloud – Souveräne Cloud in Deutschland Bund – KI‑Strategie & Digitalstrategie (DE) EU AI Act – Amtsblatt 2024/1689 BSI – C5:2020 Mindestanforderungen Cloud EU – NIS2 Directive (European Commission)