Europas Cloud-Rebellen schließen sich zusammen, um die US-Dominanz zu brechen

Der Kernkonflikt: Warum der US CLOUD Act das „Souveränitäts-Märchen“ platzen lässt

Der entscheidende rechtliche Treiber für die Eile in Brüssel ist bemerkenswerterweise kein europäisches, sondern ein amerikanisches Gesetz. Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018 erlaubt es US-Strafverfolgungsbehörden, jedes Unternehmen mit Hauptsitz in den USA zur Herausgabe von Daten zu zwingen – völlig unabhängig davon, wo auf der Welt diese Daten physisch gespeichert sind .

Das schafft ein fundamentales Paradoxon für europäische Regierungen. Selbst wenn Hyperscaler wie Amazon, Microsoft oder Google die Daten des öffentlichen Sektors über eine europäische Tochtergesellschaft auf Servern in Frankfurt oder Paris ablegen, bleiben sie rechtlich für US-Behörden greifbar. Analysten bezeichnen dieses Marketing-Versprechen als „Souveränitäts-Washing“: Eine reine Datenlokalisierung kann die extraterritoriale Reichweite des US-Rechts nicht aushebeln . Verschärft wurde das Misstrauen zudem durch Sicherheitsvorfälle wie die kürzliche Offenlegung von Cloud-Verschlüsselungsschlüsseln der US-Cybersicherheitsbehörde CISA . Für die EU-Politikebene steht daher fest: Echte technische Souveränität kann nur ein Anbieter gewährleisten, der nicht dem CLOUD Act unterliegt.

Was steckt im Tech-Souveränitätspaket?

Das am 27. Mai nach monatelangen Verzögerungen offiziell präsentierte Paket bündelt vier Kerninitiativen, die zusammen einen integrierten „europäischen Technologie-Stack“ schmieden sollen .

Cloud and AI Development Act (CADA)

Der CADA ist das legislative Herzstück. Er soll die Rechenzentrumskapazitäten in der EU innerhalb von fünf bis sieben Jahren mindestens verdreifachen und – das ist der springende Punkt – erstmals in EU-Recht festlegen, was eine „souveräne Cloud“ überhaupt ist . Ein durchgesickerter Entwurf zeigt, dass das Gesetz strenge Kriterien für „hochkritische“ staatliche Ausschreibungen vorschlagen wird, die darauf abzielen, Amazon Web Services, Microsoft Azure und Google Cloud aus sensiblen Projekten auszuschließen .

Chips Act 2.0

Ein strategischer Kurswechsel: Lag der Fokus der ersten Version auf dem Aufbau von Lieferkapazitäten, zielt der Chips Act 2.0 nun auf die Stimulierung der Nachfrage nach europäischen Halbleitern, insbesondere für KI-Anwendungen . Brisant: In Krisenzeiten könnte Brüssel Chip-Hersteller per Gesetz verpflichten, EU-Aufträge vorrangig zu bedienen – selbst wenn dies bestehende private Lieferverträge brechen würde .

Open-Source-Strategie und Energie-Roadmap

Abgerundet wird das Paket durch eine dezidierte Strategie zur Förderung europäischer Open-Source-Ökosysteme als Alternative zu proprietärer US-Software sowie einen sektorspezifischen Fahrplan für KI in der Energiewirtschaft .

So würden die Regeln die öffentliche Auftragsvergabe verändern

Die konkretesten Auswirkungen werden in der IT-Beschaffung aller 27 Mitgliedsstaaten zu spüren sein. Das Paket schlägt vor, die Nutzung von US-Cloud-Plattformen für sensible Daten der öffentlichen Hand kategorisch einzuschränken .

• Betroffene Bereiche: Explizit genannt werden Gesundheitsdaten, Finanzsysteme und justizielle Daten .
• Der Mechanismus: Es geht nicht um ein direktes Handelsverbot. Stattdessen erzeugt CADA einen faktischen „Buy European by Design“-Ansatz über Zertifizierungs- und Vergabekriterien, die US-Firmen kaum erfüllen können, und verdrängt sie so aus den lukrativsten Regierungsaufträgen .
• Die unmittelbare Folge: EU-Regierungen wären gezwungen, diese sensiblen Workloads zu europäischen Anbietern wie OVHCloud, Scaleway oder STACKIT zu migrieren – ein Prozess, der mit dem 180-Millionen-Euro-Pilotauftrag der Kommission bereits begonnen hat .

Die unverrückbaren Hürden auf dem Weg zur Entkopplung

Trotz der regulatorischen Aufbruchsstimmung warnen Analysten vor tiefgreifenden strukturellen Hindernissen, die das Vorhaben zu einem langwierigen und teuren Unterfangen machen.

Das CLOUD-Act-Paradox bleibt bestehen. Selbst eine erfolgreiche Migration zu einem rein europäischen Cloud-Anbieter garantiert keine absolute Immunität vor dem CLOUD Act. Ist ein US-Unternehmen an irgendeiner Stelle in der Lieferkette beteiligt, könnten die Daten juristisch weiterhin in Gefahr sein – eine schwer zu schließende, anhaltende Verwundbarkeit .

Marktmacht und wirtschaftliche Schwerkraft. Knapp 70 Prozent des europäischen Cloud-Marktes werden von den drei US-Hyperscalern kontrolliert . Europäische Unternehmen und Behörden stecken tief in den Ökosystemen von AWS, Azure und Google Cloud fest und sind auf deren fortschrittliche KI-Dienste und globale Netzinfrastruktur angewiesen. Die kleineren europäischen Anbieter können dies in Tempo und Umfang derzeit nicht bieten. Eine erzwungene, rasche Migration droht daher mit Lieferengpässen, Leistungseinbußen und erheblich höheren Kosten für die öffentliche IT .

Das Gespenst der Fragmentierung. Während Brüssel auf Harmonisierung setzt, behalten die Mitgliedsstaaten erheblichen Spielraum bei ihrer eigenen Beschaffung. Das birgt das reale Risiko einer ungleichen Umsetzung: Einige Länder könnten ihre Hintertür zu US-Technologien offenhalten und so den digitalen Binnenmarkt fragmentieren, den das Paket eigentlich einen soll .