Brüssel – Die Europäische Kommission verschärft den Kurs: Künftig sollen sensible Daten aus Finanz-, Justiz- und Gesundheitsbehörden nur noch auf europäischen Servern liegen dürfen. Das geplante „Tech-Souveränitätspaket“ zielt direkt auf US-Dominanz im Cloud-Markt.
Schutz vor US-Zugriff: Warum die EU jetzt handelt
Der Vorstoß kommt nicht überraschend. Seit Jahren warnen europäische Datenschützer vor dem US CLOUD Act, der amerikanischen Behörden Zugriff auf Daten von US-Unternehmen erlaubt – unabhängig vom Speicherort. Ein unhaltbarer Zustand für die EU-Kommission, denn das Gesetz kollidiert fundamental mit der Datenschutz-Grundverordnung (DSGVO).
Angesichts der verschärften EU-Regeln zur Datensouveränität müssen Unternehmen ihre Dokumentationspflichten heute präziser denn je erfüllen. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, ein rechtssicheres Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend zu erstellen und Bußgelder zu vermeiden. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen
Das neue Regelwerk, das am 27. Mai offiziell vorgestellt werden soll, setzt genau hier an. Es verpflichtet Mitgliedstaaten, bestimmte Datenkategorien als „souverän“ einzustufen. Diese Daten müssen dann auf Infrastruktur gespeichert werden, die vollständig unter europäischer Kontrolle steht. Ausländische Anbieter wären faktisch von öffentlichen Aufträgen in sensiblen Bereichen ausgeschlossen – es sei denn, sie arbeiten über europäische Joint Ventures, die sicherstellen, dass EU-Recht Vorrang vor ausländischen Zugiffsrechten hat.
Der Cloud and AI Development Act: Neue Hürden für US-Giganten
Herzstück des Pakets ist der Cloud and AI Development Act (CADA). Er soll einheitliche Souveränitätsstandards für den gesamten Binnenmarkt schaffen. Bisher herrscht ein Flickenteppich: Jeder Mitgliedstaat hat eigene Sicherheitsanforderungen an Cloud-Anbieter. Das soll sich ändern.
Die Kommission plant sogenannte „Sovereignty Effectiveness Assurance Levels“ (SEAL) – ein abgestuftes System von Basis-Compliance bis zur höchsten Stufe, die eine vollständig europäische Lieferkette verlangt: von der Hardware über Halbleiter bis zur Software-Ebene.
Hintergrund: US-Hyperscaler wie Amazon, Microsoft und Google kontrollieren rund 70 Prozent des europäischen Cloud-Marktes. Der öffentliche Sektor ist für sie ein besonders lukratives und stabiles Standbein. Genau dieses soll nun geschützt werden.
Privatwirtschaft bleibt außen vor – vorerst
Die EU-Kommission zieht eine klare Grenze: Die neuen Pflichten gelten ausschließlich für öffentliche Einrichtungen. Private Unternehmen dürfen weiterhin frei wählen, bei welchem Anbieter sie ihre Daten hosten. Sie unterliegen lediglich den bestehenden Regeln wie dem EU-US Data Privacy Framework.
Diese Unterscheidung ist politisch klug. Sie soll Handelskonflikte mit den USA entschärfen und verhindern, dass die heimische Wirtschaft unter übermäßiger Regulierung leidet. Branchenverbände hatten genau davor gewarnt.
Dennoch: Bestehende Joint Ventures wie S3NS (Thales und Google Cloud) oder ähnliche Kooperationen mit Microsoft und Amazon werden genau unter die Lupe genommen. Nur wenn sie die geforderten SEAL-Stufen erreichen, dürfen sie weiterhin sensible Behörden-Daten hosten.
Während der Staat die Cloud-Regeln verschärft, rücken durch den neuen EU AI Act auch für Unternehmen zusätzliche Pflichten bei der Nutzung künstlicher Intelligenz in den Fokus. Dieser kostenlose Ratgeber verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen, den Ihre IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen – Jetzt kostenlos herunterladen
Milliardenschwerer Markt: Europäische Cloud-Anbieter im Aufwind
Die finanziellen Dimensionen sind enorm. Analysten erwarten, dass die Ausgaben für souveräne Cloud-Dienste in Europa in diesem Jahr um über 80 Prozent steigen werden. Gleichzeitig haben kumulierte DSGVO-Strafen bereits die 7,1-Milliarden-Euro-Marke geknackt – ein Großteil davon wegen illegaler Datentransfers in Drittstaaten.
Die Kommission verfolgt mit dem Paket eine doppelte Strategie: Schutz der Bürgerdaten und Stärkung der heimischen Industrie. Ein erster Erfolg: Im Frühjahr wurde ein 180-Millionen-Euro-Auftrag für eine souveräne Cloud-Lösung an ein Konsortium europäischer Anbieter vergeben – darunter STACKIT, Scaleway, Post Telecom und Proximus. Dieser Auftrag gilt als Blaupause für künftige Vergaben.
Der Weg ist steinig: Hürden bis zur Umsetzung
Bis das Paket Gesetz wird, ist es noch ein weiter Weg. Es muss von allen 27 Mitgliedstaaten und dem Europäischen Parlament genehmigt werden. Während Länder wie Frankreich auf strikte Souveränitätsregeln drängen, zeigen andere Staaten Skepsis – vor allem wegen der Kosten und technischen Herausforderungen einer Abkopplung von globalen Cloud-Riesen.
Sollte das Paket wie geplant Ende Mai vorgelegt werden, beginnen die Verhandlungen im Herbst. Bei einer Verabschiedung müssten öffentliche Einrichtungen mit einer mehrjährigen Übergangsphase rechnen, um sensible Daten in zertifizierte europäische Plattformen zu migrieren.
Die entscheidende Frage: Können europäische Cloud-Anbieter schnell genug skalieren, um die technischen Anforderungen großer Behörden zu erfüllen? Bisher fehlt es oft an der Leistungsfähigkeit und den KI-Funktionen, die US-Anbieter so dominant gemacht haben. Die kommenden Monate werden zeigen, ob die EU ihren Worten Taten folgen lassen kann – oder ob die Abhängigkeit von amerikanischer Technologie größer ist als der politische Wille zur Unabhängigkeit.
