EU-Souveränität: Kommission beschließt Cloud-Gesetz gegen US-Dominanz

Juni 2026 ihr umfassendes „Paket für technologische Souveränität“ vorgestellt. Kernstück ist der Cloud and AI Development Act (CADA), der ein abgestuftes System für Cloud-Dienste einführt. Ziel: Die Abhängigkeit von nicht-europäischen Anbietern drastisch reduzieren. Derzeit kontrollieren US-Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud rund 70 Prozent des europäischen Cloud-Marktes. Brüssel setzt nun auf Kontrolle statt auf reine Innovationsgeschwindigkeit.

Vier Sicherheitsstufen für Cloud-Dienste

Das CADA-Gesetz führt vier sogenannte Union Assurance Levels (UAL) ein. Sie bestimmen, welche Anbieter für bestimmte Daten und Dienste infrage kommen. UAL1 ist der Mindeststandard für öffentliche Aufträge: Anbieter müssen eine EU-Niederlassung haben und Daten innerhalb der Union speichern. UAL2 verschärft die Anforderungen: Infrastruktur, Personal und Daten müssen vollständig in der EU bleiben. Drittstaaten-Unternehmen ist es verboten, EU-Daten für KI-Training zu nutzen.

Anzeige: Wer die Auswirkungen des neuen EU-Cloud-Gesetzes auf seine IT-Infrastruktur prüfen muss, findet in diesem Report die wichtigsten Compliance-Hebel – von UAL-Stufen bis zu rechtlichen Fallstricken. Jetzt kostenlosen Compliance-Report anfordern

Die höheren Stufen gehen noch weiter. UAL3 verlangt, dass alle Mitarbeiter EU-Bürger sind. Die Kontrolle durch Drittstaaten wird weitgehend ausgeschlossen, Ausnahmen sind nur in Einzelfällen möglich. UAL4 fordert vollständige EU-Kontrolle ohne jede Ausnahme für ausländischen Einfluss.

Die Konsequenz: US-Hyperscaler dürften künftig von sensiblen Regierungsaufträgen ausgeschlossen werden. Die Kommission will damit „Kill-Switch“-Risiken und die Reichweite des US-amerikanischen CLOUD Act eindämmen. Juristen der Universität Köln hatten bereits 2025 darauf hingewiesen, dass der physische Standort von Servern oft zweitrangig ist – entscheidend sind die Kontrollrechte der US-Mutterkonzerne.

Milliardeninvestitionen für digitale Autonomie

Die EU beziffert den Kapitalbedarf für die digitale Unabhängigkeit auf gewaltige Summen. Über die nächsten zehn Jahre sind nötig:

• 120 Milliarden Euro für Halbleiterinvestitionen
• 200 Milliarden Euro für Rechenzentren
• 100 Milliarden Euro für Cloud- und KI-Entwicklung
• 2 Milliarden Euro für Open-Source-Initiativen

Flankiert wird das Paket vom Chips Act 2.0. Er räumt der Kommission Notstandsbefugnisse ein, um Lieferverträge außer Kraft zu setzen. Ziel: Der EU-Anteil am globalen Halbleitermarkt soll bis 2030 auf 20 Prozent steigen. Im Fokus steht der Bau einer eigenen Foundry für KI-Chips, gestützt auf europäische Player wie ASML und IMEC.

Der Gesetzgebungsprozess wird voraussichtlich zwei Jahre dauern. Doch einzelne Mitgliedstaaten ziehen bereits vor. Beim französischen „Choose France“-Gipfel am 1. Juni 2026 wurden Investitionen von insgesamt 93 Milliarden Euro angekündigt – darunter 15 Milliarden Euro von Amazon. Ironie der Geschichte: Während die EU eigene Alternativen aufbaut, fließt weiterhin US-Kapital in die Region.

Cyberangriff unterstreicht Dringlichkeit

Die neuen Souveränitätsmaßnahmen erhalten durch einen schwerwiegenden Vorfall zusätzliche Brisanz. Am 5. Juni 2026 traf ein Supply-Chain-Angriff die Microsoft-Plattform GitHub. Ein selbstreplizierender Wurm namens „Miasma“ infizierte 73 Microsoft-Repositories und zielte gezielt auf Azure Functions ab.

Der Wurm nutzte gestohlene Zugangsdaten aus einem früheren Angriff. Wenn Entwickler Projekte in Cursor oder VS Code öffneten, sammelte er Cloud-Zugangsdaten. GitHub gelang es zwar, die betroffenen Projekte innerhalb von 105 Sekunden zu isolieren. Der Vorfall zeigt jedoch die Verwundbarkeit zentralisierter Infrastruktur.

Rechtliche Fallstricke bei der Umsetzung

Neben technischen Herausforderungen drohen auch juristische Probleme. Ein Rechtsgutachten vom 4. Mai 2026 warnt: Maßnahmen gegen Hochrisiko-Anbieter könnten zu Schadensersatzforderungen ausländischer Investoren führen. Besonders heikel: Bestehende bilaterale Investitionsabkommen (BITs), etwa mit China, enthalten Sunset-Klauseln, die noch 10 bis 20 Jahre nachwirken. EU-Mitgliedstaaten riskieren kostspielige Klagen, wenn sie bestimmte Anbieter ausschließen.

Anzeige: US-Hyperscaler kontrollieren 70% des EU-Cloud-Markts – mit dem CLOUD-Act-Risiko für sensible Daten. Dieser Report zeigt, wie Sie Schritt für Schritt auf EU-Clouds migrieren und Kill-Switch-Gefahren vermeiden. EU-Cloud-Migrationsleitfaden jetzt sichern

Globale Bewegung hin zu souveräner KI

Während die EU auf Regulierung und öffentliche Aufträge setzt, bewegt sich die Privatwirtschaft in Richtung lokaler Infrastruktur. Am 6. Juni 2026 gaben GMI Cloud und Magna AI eine Partnerschaft bekannt. Sie planen ein globales Netzwerk „souveräner KI-Fabriken“ – unter anderem in Belgien und Rumänien. Die Anlagen nutzen High-End-Hardware und spezialisierte Cybersicherheit für lokale KI-Verarbeitung.

Die Entwicklungen in Europa sind Teil eines globalen Trends. Am 4. Juni 2026 verabschiedeten die USA den „Great American AI Act“. Er sieht empfindliche Tagesstrafen für große KI-Modelle vor, die nicht konform sind. Und im Mai 2026 sorgte ein Bericht für Aufsehen: Microsoft hatte auf eine Vorladung des US-Kongresses hin interne Dokumente mit den ungeschwärzten Namen niederländischer Regulierungsbehörden übergeben. Ein weiterer Beleg für die juristischen Konflikte zwischen nationaler Souveränität und globalen Datenströmen.

de | wissenschaft | 69497665 |