Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gerät mit seinem neuen Rahmenwerk für Cloud-Autonomie massiv unter Beschuss. Der im Mai 2026 veröffentlichte Katalog „Criteria Enabling Cloud Computing Autonomy“ (C3A) sollte Standards für digitale Souveränität setzen. Doch Kritiker sehen darin vor allem Schlupflöcher, die großen US-Technologiekonzernen in die Hände spielen.
Schein-Souveränität statt echter Unabhängigkeit?
Der europäische Cloud-Verband CISPE und zahlreiche Anbieter warnen vor einer „vorgeblichen Souveränität“. Das Problem: Zwar müssen primäre Cloud-Anbieter unter europäischer Kontrolle stehen. Doch der Rahmen erlaubt diesen Anbietern, Subunternehmer einzusetzen – auch US-Hyperscaler –, solange diese einen eingetragenen Hauptsitz in der EU haben.
Neue EU-Gesetze und technologische Abhängigkeiten stellen Unternehmen vor immer komplexere Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt im Bereich der digitalen Sicherheit kennen müssen. Cyber Security Report jetzt kostenlos lesen
Besonders kritisch sehen die Gegner des Entwurfs, dass der C3A-Katalog keine strengen Anforderungen an die Eigentümerkontrolle dieser Subunternehmer stellt. Stattdessen setzt das BSI auf jährliche Risikoanalysen. Zudem fehlen verbindliche Schutzvorgaben für Metadaten und Telemetriedaten. Die Folge: Europäische Daten blieben anfällig für extraterritoriale Risiken und fremde Rechtsordnungen, so die Kritik.
BSI-Abteilungsleiterin Luise Kranich wies die Vorwürfe zurück. Der Katalog diene dazu, technische Abhängigkeiten zu steuern und zu kontrollieren – nicht den europäischen Markt völlig abzuschotten.
Kleine Anbieter im Nachteil
Doch nicht nur die Frage internationaler Subunternehmer sorgt für Unmut. Auch die Auswirkungen auf den heimischen Wettbewerb bereiten Sorgen. Die C3A-Anforderungen bedeuten für kleine und mittlere Unternehmen (KMU) erhebliche technische und finanzielle Belastungen.
Konkret verlangt der Katalog von Anbietern tägliche Kopien des Quellcodes und den Aufbau unabhängiger Build-Umgebungen. Diese „Quellcode-Pflichten“ benachteiligen europäische KMU gegenüber großen Playern, die solche Compliance-Standards leichter stemmen können. Hinzu kommt: Klare Interoperabilitätsanforderungen fehlen, was kleineren Anbietern die Integration in das europäische Ökosystem zusätzlich erschwert.
EU-Kommission plant groß angelegte Gegenoffensive
Die Debatte um den BSI-Rahmen kommt zu einem brisanten Zeitpunkt. Aktuelle Marktdaten zeigen: US-Cloud-Anbieter kontrollieren rund 70 Prozent des europäischen Marktes. Die EU will nun gegensteuern.
Die technologische Souveränität wird zunehmend durch strengere Vorschriften wie den EU AI Act reguliert, die viele Firmen noch nicht ausreichend kennen. Ein kostenloser Umsetzungsleitfaden verschafft Ihnen jetzt den notwendigen Überblick über Fristen, Pflichten und Risikoklassen. Kostenlosen Leitfaden zum EU AI Act sichern
Für den 3. Juni 2026 ist ein umfassendes „Technologiesouveränitätspaket“ geplant. Es umfasst:
- Das Cloud- und KI-Entwicklungsgesetz: Beschleunigung lokaler Rechenzentren und Förderung europäischer Künstlicher Intelligenz
- Den Chips Act 2.0: 120 Milliarden Euro Investitionen bis 2035, darunter eine 30-Milliarden-Euro-Foundry für 3nm-KI-Chips
- Open-Source-Förderung: Vorrang für quelloffene Software in öffentlichen Einrichtungen, um Abhängigkeiten zu vermeiden
EU-Wettbewerbskommissarin Teresa Ribera betonte die Notwendigkeit eigener Industriekapazitäten. Die geplanten Maßnahmen würden der Kommission zudem erlauben, in Krisen die prioritäre Produktion anzuordnen und gemeinsame Beschaffungen für kritische Technologien zu organisieren.
Während EU-Beamte diese Schritte als strategisch notwendig sehen, mahnen internationale Beobachter zur Vorsicht. US-Botschafter Andrew Puzder warnte jüngst vor Protektionismus – solche Politiken könnten die transatlantischen Handelsbeziehungen belasten. Der frühere EU-Cybersicherheitsdirektor Paul Timmers konterte: Souveränität bedeute, die eigene Zukunft gestalten zu können. Strategische Autonomie sei dafür das notwendige Mittel – durch bessere Kompetenzen und mehr Kontrolle.
