Die EU-Kommission hat am Mittwoch in Brüssel ihr lang angekündigtes Tech-Souveränitätspaket vorgestellt. Im Zentrum steht der Cloud and AI Development Act, kurz CADA, der sensible Daten aus dem Zugriff amerikanischer Hyperscaler herauslösen soll. Begleitet wird er von einer zweiten Auflage des Chips Act mit Investitionen von 120 Milliarden Euro bis 2035 und einer Neuordnung der Satellitenfrequenzen. „Rund 80 Prozent der digitalen Schlüsseltechnologien kommen aus dem Ausland“, sagte Vizepräsidentin Henna Virkkunen bei der Präsentation. Das sei „strategisch wie wirtschaftlich eine Schwachstelle“.
Der CADA-Entwurf stützt sich auf Artikel 114 des EU-Vertrags und greift damit direkt in den Binnenmarkt ein. Vorgesehen ist ein vierstufiges Klassifikationsmodell für Cloud-Dienste. Auf der höchsten Stufe - „souveräne Infrastruktur“ - dürfen Mitgliedstaaten Daten aus Finanz-, Justiz-, Gesundheits- und Verteidigungsbereich nur bei Anbietern speichern lassen, die rechtlich, organisatorisch und betrieblich nicht dem US-Cloud-Act unterliegen. Für öffentliche Ausschreibungen gelten zusätzlich verpflichtende Nicht-Preis-Kriterien, die in der EU entwickelte Hard- und Software bevorzugen, wie Reuters aus dem Entwurf zitiert.
Die Zahlen, die die Kommission liefert, erklären die Dringlichkeit. Amazon Web Services, Microsoft Azure und Google Cloud halten zusammen rund 70 Prozent des europäischen Cloud-Marktes. Europäische Anbieter sind in den vergangenen acht Jahren von 29 auf etwa 13 Prozent zurückgefallen. Bei den Halbleitern liegt die globale EU-Quote bei rund zehn Prozent. Chips Act 2 soll sie bis 2030 verdoppeln. Ein einzelner Posten ragt heraus: 30 Milliarden Euro sind für eine 3-Nanometer-KI-Foundry auf europäischem Boden reserviert, ein Standort wurde noch nicht benannt.
Europas Verteidigungsfähigkeit hängt direkt von der Kontrolle über Daten, Cloud-Dienste, Künstliche Intelligenz und Software ab.
Industrie geteilt zwischen Hoffnung und Skepsis
Die europäische Cloud-Branche reagierte verhalten positiv. Der Verband CISPE, der unter anderem OVHcloud und Aruba vertritt, begrüßt zwar die Stoßrichtung, warnt aber vor einer „Fassade von Souveränität“. Wenn US-Anbieter weiterhin als Subunternehmer europäischer Joint Ventures auftreten dürften, ohne dass diese die Mehrheit kontrollierten, lasse sich der Zugriff über den Cloud Act nicht ausschließen. Amazon kündigte an, „Hindernisse für den Ausbau digitaler Infrastruktur“ abbauen zu wollen. Google nannte sich „Partner europäischer Wettbewerbsfähigkeit“. Microsoft lehnte eine Stellungnahme ab.
Aus dem Europaparlament kommt politischer Druck, das Paket zügig zu verabschieden. Präsidentin Roberta Metsola hatte am 27. Mai vor der Vorstellung „schnellere und mutigere Schritte“ gefordert; AI Act, DSA und DMA seien nur der Anfang gewesen. Auch das Bundesamt für Sicherheit in der Informationstechnik liefert Vorarbeit: Der am 27. April vorgestellte C3A-Kriterienkatalog soll Behörden helfen, Souveränitätsangaben von Anbietern systematisch zu prüfen - vom Datenstandort über die Übertragbarkeit bis zur Rechtsordnung des Mutterkonzerns.
Für deutsche Behörden und Unternehmen ist die Umsetzung der knifflige Teil. Eine Bitkom-Umfrage aus dem Frühjahr zeigt: Nur 28 Prozent der Unternehmen nennen digitale Souveränität als prioritäres Ziel, bei KI-Projekten sind es immerhin 64 Prozent. Die KPN-Schwarz-Digits-Allianz soll bis Mitte 2027 eine erste souveräne Cloud-Lösung in den Niederlanden anbieten, mit Fokus auf Behörden, Gesundheits- und Finanzsektor. Ob das reicht, um die Vorgaben des CADA flächendeckend zu erfüllen, hängt am Tempo, mit dem Rat und Parlament den Entwurf jetzt durchziehen.