Build, Buy oder Control bei KI-Systemen: Die Entscheidungsmatrix für Vorstände im europäischen Mittelstand

Build, Buy oder Control bei KI-Systemen bezeichnet die strategische Entscheidung, ob Unternehmen KI eigenentwickeln, als Standarddienst lizenzieren oder über Fine-Tuning selektiv kontrollieren. Dr. Raphael Nagel (LL.M.) ordnet die Wahl entlang zweier Achsen: Datensensitivität und Wettbewerbsdifferenzierung. Die Entscheidung bestimmt Margenstruktur, Abhängigkeitsrisiko und regulatorische Position.

Build Buy oder Control bei KI-Systemen is ein strategisches Entscheidungsframework, das die Beschaffung künstlicher Intelligenz in drei Optionen gliedert: vollständige Eigenentwicklung (Build), Zukauf marktüblicher Dienste (Buy) und selektive Kontrolle über Fine-Tuning oder Open-Source-Modelle auf eigener Infrastruktur (Control). In ALGORITHMUS zeigt Dr. Raphael Nagel (LL.M.), dass die richtige Wahl nicht technologisch, sondern entlang zweier Dimensionen erfolgt: wie sensitiv die verarbeiteten Daten und wie stark die KI-Fähigkeit für den Wettbewerbsvorteil des Unternehmens differenzierend ist. Build schützt Souveränität, Buy liefert Effizienz, Control verbindet Kontrolltiefe mit überschaubarem Aufwand.

Warum Build, Buy oder Control die zentrale Entscheidung im KI-Zeitalter ist

Die Build-Buy-Control-Entscheidung bestimmt, ob ein Unternehmen im KI-Zeitalter Eigentümer seiner Entscheidungslogik bleibt oder zum Mieter einer fremden Plattform wird. Dr. Raphael Nagel (LL.M.) argumentiert in ALGORITHMUS, dass diese Wahl Margenstruktur, Abhängigkeitsrisiko und regulatorische Position gleichzeitig festlegt.

Die Dimension ist nicht technisch. Sie ist machtökonomisch. Wer Foundation Models wie GPT-4, Claude oder Gemini unverändert einkauft, akzeptiert die Preissetzung, die Nutzungsbedingungen und die strategische Roadmap des Anbieters. OpenAI hat zwischen 2022 und 2024 mehrfach Preise angepasst, Nutzungsbedingungen aktualisiert und in der internen Führungskrise vom November 2023 bewiesen, dass auch dominante Anbieter interne Instabilitäten erleben. Für Unternehmen, deren Kernprozesse davon abhängen, ist das ein strategisches Risiko, das auf Vorstandsebene zu bewerten ist.

Die historische Parallele ist präzise: 1980 lizenzierte IBM das Betriebssystem an Microsoft, ohne sich Exklusivität zu sichern. Aus dieser scheinbar technischen Entscheidung entstand das Plattformmonopol des PC-Zeitalters. Foundation Models wiederholen diese Logik. Wer heute unkritisch auf einen Anbieter standardisiert, trifft dieselbe Entscheidung, die IBM damals traf, und riskiert dasselbe Ergebnis.

Tactical Management beobachtet in Portfolioanalysen, dass Unternehmen ohne explizite Build-Buy-Control-Matrix systematisch überinvestiert in Bereichen, in denen Buy ausreicht, und unterinvestiert in Bereichen, in denen strategische Kontrolle den Wettbewerbsvorteil definiert. Das ist keine IT-Frage. Es ist eine Eigentumsfrage.

Die zwei Achsen: Datensensitivität und Wettbewerbsdifferenzierung

Die Entscheidungsmatrix für Build, Buy oder Control ruht auf zwei Achsen: Datensensitivität und Wettbewerbsdifferenzierung. Sensitive Daten in regulierten Branchen und differenzierende Fähigkeiten sprechen für Build oder Control. Unsensitive Daten und Commodity-Funktionen sprechen für Buy. Diese Matrix ist präziser als jede Technologie-Roadmap.

Die Datensensitivitätsachse ist regulatorisch definiert. Der US CLOUD Act von 2018 erlaubt amerikanischen Behörden unter bestimmten Umständen Zugang zu Daten auf Servern amerikanischer Unternehmen weltweit, einschließlich europäischer Rechenzentren von AWS, Azure und Google Cloud. Für Banken, Versicherer, Gesundheitseinrichtungen, Verteidigungsunternehmen und Kanzleien ist das ein compliance-relevantes Risiko, das gegen Buy von amerikanischen Hyperscalern spricht. Die DSGVO und der AI Act schärfen diese Anforderungen zusätzlich.

Die Differenzierungsachse ist ökonomisch definiert. Wenn alle Wettbewerber dieselbe Standard-KI nutzen, ist KI keine Differenzierung mehr, sondern Hygieneanforderung. Die Marge tendiert zur Branchennorm. Nachhaltige Margenvorteile entstehen, wie Dr. Raphael Nagel (LL.M.) in ALGORITHMUS darlegt, durch KI, die auf proprietären Daten und in proprietären Prozessen optimiert ist, die Konkurrenten nicht replizieren können. Siemens Xcelerator auf Basis jahrzehntelanger Maschinenbetriebsdaten ist das Lehrbeispiel dieser Strategie.

Die Praxis zeigt, dass dieselbe Organisation bereichsspezifisch alle drei Strategien parallel betreibt: Copilot für Office-Produktivität, proprietäre Predictive-Maintenance-Modelle auf eigenen Maschinendaten, und fine-getuntes LLaMA-3 für sensitive Kundenkommunikation auf eigenen Servern. Kohärenz entsteht nicht durch Einheitlichkeit, sondern durch eine explizite Entscheidungslogik.

Wann Build? Wann JPMorgan-Logik den Maßstab setzt

Build ist die richtige Strategie, wenn die KI-Fähigkeit das Wettbewerbsmodell direkt definiert und die verarbeiteten Daten so sensitiv sind, dass kein externer Anbieter sie sehen darf. JPMorgan Chase beschäftigt mehr als 1.500 KI-Ingenieure und entwickelt eigene Modelle für Kreditrisikoanalyse, Betrugserkennung und Kundeninteraktion, weil Algorithmus-Souveränität in algorithmisierten Märkten Wettbewerbssouveränität ist.

Die ökonomische Rechtfertigung von Build ist eng. Das Training eines Foundation Models der Spitzenklasse kostet nach Schätzungen zwischen 63 und 100 Millionen Dollar für GPT-4 und nach Prognosen des KI-Forschungsinstituts Epoch AI über eine Milliarde Dollar für die nachfolgende Generation. Solche Investitionen rechtfertigen sich nur, wenn die resultierende Fähigkeit den Kern des Wettbewerbsmodells bildet und nicht durch Fine-Tuning erreichbar ist.

Renaissance Technologies und sein Medallion Fund erzielten von 1988 bis 2018 eine durchschnittliche jährliche Rendite von rund 66 Prozent vor Gebühren. Die Ursache war algorithmische Überlegenheit, die niemand extern hätte liefern können. Das ist die Build-Logik in ihrer reinsten Form: Wer den besseren Algorithmus besitzt und ihn niemandem sonst zugänglich macht, gewinnt strukturell. Für den deutschen Mittelstand ist diese Reinform selten anwendbar, aber in Teilfunktionen relevant.

Virtu Financial dokumentierte in seinem IPO-Prospekt 2014 mehr als 1.237 aufeinanderfolgende Handelstage mit nur einem einzigen Verlusttag. Das Ergebnis einer algorithmischen OODA-Schleife in Mikrosekunden, die nur durch eigene Entwicklung möglich war. Build zahlt sich dort aus, wo Geschwindigkeit und Kontrolltiefe nicht delegierbar sind.

Wann Buy? Der Copilot-Case und die Grenzen der Effizienzlogik

Buy ist die richtige Wahl, wenn KI eine Commodity-Fähigkeit ist, die Daten nicht kritisch sind und die Wechselkosten überschaubar bleiben. Microsoft Copilot für rund 30 Dollar pro Nutzer und Monat ist das Lehrbeispiel: Bei durchschnittlichen deutschen Wissensarbeitergehältern und 20 Prozent Produktivitätsgewinn liegt die rechnerische Rendite bei über 10.000 Euro pro Nutzer jährlich.

Klarna berichtete Anfang 2024, dass sein zugekaufter KI-Assistent die Arbeit von 700 Vollzeit-Kundendienst-Agenten übernahm, bei stabilen Zufriedenheitswerten und Antworten in mehr als dreißig Sprachen. Das ist Buy in seiner produktivsten Form: standardisierter Prozess, nicht differenzierend, schnelle Amortisation. Wer Kundendienst als Hygienefunktion betrachtet und nicht als Markenerlebnis, trifft die rationale Entscheidung.

Die Grenze der Buy-Logik liegt im Lock-in. Gartner schätzt die Wechselkosten einer vollständigen Cloud-Migration auf zwölf bis achtzehn Monate Projektaufwand. Je tiefer die Integration in AWS, Azure oder Google Cloud, desto stabiler die Kundenbeziehung für den Anbieter und desto schwächer die Verhandlungsposition des Abnehmers. Dr. Raphael Nagel (LL.M.) empfiehlt in ALGORITHMUS deshalb Abstraktionsschichten wie LangChain, die den Austausch des Foundation-Model-Providers technisch ermöglichen, auch wenn sie initialen Mehraufwand kosten.

Ein zweites Buy-Risiko ist der AI Act. Zugekaufte Systeme, die in Hochrisikokategorien fallen, verlagern die Dokumentations- und Auditpflichten nicht vollständig auf den Anbieter. Der Deployer bleibt verantwortlich. Bußgelder bis zu sieben Prozent des globalen Jahresumsatzes treffen das einsetzende Unternehmen, nicht nur den Lieferanten. Buy ohne Compliance-Prüfung ist fahrlässig.

Wann Control? Fine-Tuning als dritter Weg zwischen Eigenentwicklung und Lizenz

Control ist die richtige Strategie, wenn das Unternehmen proprietäre Domänendaten besitzt, die das Verhalten eines Foundation Models wertvoll spezialisieren können, aber nicht die Ressourcen für eine vollständige Eigenentwicklung hat. Fine-Tuning von Meta LLaMA-3, Mistral oder Falcon auf eigenen Daten kostet typischerweise wenige Wochen und zehntausende Euro, nicht Milliarden.

Mistral 7B übertraf im September 2023 auf mehreren Benchmarks Modelle mit doppelt so vielen Parametern. Mixtral 8x7B übertraf im Dezember 2023 GPT-3.5 auf mehreren Aufgaben. Diese Leistungskurve macht Open-Source-Modelle als Control-Basis wettbewerbsfähig für die meisten Unternehmensanwendungen. Für eine Kanzlei, die KI-Assistenz für Vertragsanalyse ohne Mandantendatentransfer an externe Server benötigt, oder für eine Gesundheitseinrichtung, die Patientendaten nicht an amerikanische Cloud-Anbieter übertragen darf, ist Control die einzige rechtlich tragfähige Option.

Ein mittelständischer Maschinenbauer mit zwanzig Jahren Sensordaten, ein Pharmaunternehmen mit dreißig Jahren klinischen Versuchsdaten oder ein Logistikunternehmen mit jahrzehntelangen Routenoptimierungsdaten kann durch Fine-Tuning Modelle bauen, die allgemeinen Plattformlösungen überlegen sind. Das ist der strategische Königsweg für datenreiche europäische Akteure ohne Hyperscaler-Kapital, wie Dr. Raphael Nagel (LL.M.) in ALGORITHMUS herausarbeitet.

Control erfordert MLOps-Kompetenz: automatisiertes Re-Training, Monitoring auf Model Drift, Rollback-Mechanismen. Ohne diese Betriebsdisziplin degeneriert ein fine-getuntes System, weil die Welt sich verändert und das Modell nicht. Control ist nicht bequemer als Buy. Aber es ist souveräner und in sensiblen Branchen oft die einzige AI-Act- und DSGVO-konforme Option.

Die Entscheidungsmatrix in der Praxis: drei Fragen für jeden Einsatzbereich

Die Entscheidung Build, Buy oder Control ist nicht unternehmensweit zu treffen, sondern bereichsspezifisch. Drei Fragen strukturieren sie: Ist die Fähigkeit für das Wettbewerbsmodell differenzierend? Sind die Daten so sensitiv, dass ein externer Anbieter sie nicht sehen sollte? Hat das Unternehmen die internen Fähigkeiten für Build oder Control, oder müsste es sie erst aufbauen?

Die NIS2-Richtlinie, seit Oktober 2024 in nationales Recht umzusetzen, verschärft die dritte Frage durch persönliche Vorstandshaftung. Für KRITIS-Betreiber in Energie, Wasser, Gesundheit, digitaler Infrastruktur und Post sind Buy-Entscheidungen, die kritische Steuerungsprozesse extern verlagern, nicht nur technologisch riskant, sondern persönlich haftungsrelevant. Der Vorstand entscheidet hier über sein eigenes Risiko.

Der EU AI Act, der im August 2024 in Kraft trat und dessen Hochrisiko-Anforderungen schrittweise bis August 2026 wirksam werden, verschärft die zweite Frage durch Dokumentations-, Bias-Test- und Auditpflichten. Wer Buy wählt, muss sicherstellen, dass der Anbieter diese Anforderungen erfüllt und die Erfüllung vertraglich zusichert. Wer Build oder Control wählt, muss die Compliance selbst liefern. Beide Wege sind machbar. Keiner ist kostenfrei.

Tactical Management beobachtet in Portfolioanalysen, dass Unternehmen, die alle drei Strategien parallel und explizit entscheiden, systematisch höhere EBITDA-Margen realisieren als Unternehmen mit einer einheitlichen Standardstrategie. Ein Industrieunternehmen mit 100 Millionen Euro Umsatz kann durch differenzierte KI-Integration realistisch von 10 auf 15 bis 18 Prozent EBITDA-Marge kommen, bei Integrationskosten von ein bis drei Millionen Euro. Die Entscheidungsmatrix ist kein bürokratisches Instrument. Sie ist ein Wertschöpfungshebel.

Die Entscheidung Build, Buy oder Control bei KI-Systemen ist die wichtigste Beschaffungsentscheidung, die Vorstände im laufenden Jahrzehnt treffen. Sie definiert nicht nur Kostenstruktur und Margenpotenzial, sondern die regulatorische Position, die Haftungslage unter AI Act und NIS2 und die strategische Souveränität des Unternehmens gegenüber amerikanischen Hyperscalern und chinesischen Alternativanbietern. Dr. Raphael Nagel (LL.M.) zeigt in ALGORITHMUS, dass die richtige Strategie nicht einheitlich ist, sondern bereichsspezifisch entlang zweier Achsen entschieden wird: Datensensitivität und Wettbewerbsdifferenzierung. Wer diese Matrix explizit führt, realisiert messbare EBITDA-Vorteile. Wer sie nicht führt, trifft die Entscheidung trotzdem, nur implizit und meist zugunsten des bequemsten Anbieters. Tactical Management begleitet Unternehmen im europäischen Mittelstand bei dieser Matrix und bei der Übersetzung in konkrete Investitions- und Governance-Architekturen. Die vorausschauende Prognose: Der Brussels Effect des AI Acts wird in den kommenden drei Jahren weltweit Compliance-Architekturen angleichen. Unternehmen, die heute Control-Kompetenz aufbauen, werden diese Anforderungen als Exportvorteil in regulierten Märkten weltweit realisieren. Wer heute nur auf Buy setzt, wird morgen feststellen, dass Souveränität nicht nachrüstbar ist, sondern aufgebaut werden muss, bevor sie gebraucht wird.

Claritáte in iudicio · Firmitáte in executione

Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →

Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →