Der digitale Kill-Switch: Wie Europa sich aus der US-Cloud befreien will

Das Tech-Sovereignty-Paket: Was Brüssels neues Mega-Gesetz für uns bedeutet

Die digitale Infrastruktur Europas liegt in den Händen weniger US-Konzerne – ein Abhängigkeitsverhältnis, das sich von einem wirtschaftlichen Problem längst zu einer handfesten sicherheitspolitischen Bedrohung entwickelt hat. Was passiert, wenn fremde Regierungen auf sensibelste europäische Daten zugreifen oder gar die digitale Lebensader eines ganzen Kontinents per „Kill-Switch“ kappen? Jahrelang wurde diese Gefahr als theoretisches Szenario abgetan, bis ein brisantes Geständnis von Microsoft im französischen Senat die harte Realität offenbarte. Nun zieht die Europäische Union die Reißleine. Mit dem historischen „Tech-Sovereignty-Paket“ aus dem Juni 2026 wagt Brüssel den Frontalangriff auf die Vorherrschaft von Amazon, Microsoft und Google. Der Plan: Milliardeninvestitionen, strenge Souveränitätskriterien und der Aufbau einer eigenen, unabhängigen Cloud- und KI-Infrastruktur. Doch der Weg zur digitalen Emanzipation ist gepflastert mit technologischen Rückständen und massiven geopolitischen Widerständen. Ein tiefer Einblick in Europas späten, aber unausweichlichen Befreiungsschlag.

Wer kontrolliert den Schalter an Europas digitaler Infrastruktur?

Eine Frage, die Europa zu spät gestellt hat

Es gibt Sätze, die erst in der Rückschau ihre volle Bedeutung entfalten. Einer davon fiel am 3. Juni 2026, als Henna Virkkunen, Vizepräsidentin der Europäischen Kommission für technologische Souveränität, das sogenannte Tech-Sovereignty-Paket vorstellte und dabei sagte: „Wir wollen sichergehen, dass niemand einen Kill-Switch hat.“ Gemeint ist damit die theoretische, aber keineswegs abwegige Möglichkeit, dass eine fremde Regierung oder ein ausländisches Unternehmen die digitale Infrastruktur Europas einfach abschalten, einfrieren oder auslesen könnte – ohne dass Brüssel, Berlin oder Paris irgendetwas dagegen unternehmen könnten.

Was nach technischem Alarmismus klingt, ist tatsächlich die nüchterne Beschreibung eines Zustands, in dem sich die Europäische Union seit Jahren befindet. Die drei größten Cloud-Anbieter, die den digitalen Alltag von Unternehmen, Behörden und kritischer Infrastruktur in Europa tragen, kommen ausnahmslos aus den Vereinigten Staaten: Amazon Web Services, Microsoft Azure und Google Cloud kontrollieren gemeinsam rund 70 Prozent des europäischen Cloud-Marktes. Europäische Anbieter, allen voran SAP und die Deutsche Telekom, kommen jeweils auf gerade einmal zwei Prozent Marktanteil. Der Rest des Kuchens entfällt auf kleinere US-amerikanische und asiatische Anbieter.

Diese Zahlen beschreiben keine abstrakte geopolitische Verwundbarkeit. Sie beschreiben ein handfestes ökonomisches und sicherheitspolitisches Abhängigkeitsverhältnis, das sich in den vergangenen Jahren nicht verbessert, sondern verschlechtert hat. Im Jahr 2017 hielten europäische Cloud-Anbieter noch 29 Prozent des europäischen Marktes. Heute sind es 15 Prozent – trotz eines Marktvolumens, das sich im selben Zeitraum versechsfacht hat. Europäische Anbieter konnten zwar ihre absoluten Umsätze verdreifachen, doch die US-Hyperscaler sind schneller gewachsen und haben den Abstand unaufhörlich ausgebaut.

Das Tech-Sovereignty-Paket: Was Brüssel wirklich beschlossen hat

Am 3. Juni 2026 stellte die Europäische Kommission ihr Europäisches Technologie-Souveränitätspaket vor. Das Paket besteht aus vier Bausteinen: dem Chips Act 2.0, dem Cloud and AI Development Act (CADA), einer Open-Source-Strategie sowie einem Energieplan für Rechenzentren. Jeder dieser Bausteine adressiert eine spezifische Dimension der technologischen Abhängigkeit Europas – doch der politisch und ökonomisch weitreichendste ist zweifelsohne der Cloud and AI Development Act.

Der CADA zielt auf drei Kernziele: erstens die Förderung von Forschung, Entwicklung und Innovation im Bereich Cloud- und KI-Technologien; zweitens den Ausbau der Rechenzentrumskapazitäten in der EU, die nach Kommissionsangaben innerhalb von fünf bis sieben Jahren verdreifacht werden sollen; und drittens die Einführung eines einheitlichen, EU-weiten Rahmens zur Bewertung von Cloud- und KI-Souveränität. Dieser dritte Punkt ist der entscheidende, denn er schafft erstmals klare, verbindliche Kriterien dafür, was ein „souveräner“ Cloud-Dienst im Sinne der EU bedeutet.

Das Herzstück des CADA ist ein vierstufiges Souveränitätsmodell. Auf der ersten Stufe genügt es, dass Daten innerhalb der EU gespeichert werden – ein Standard, den auch US-Hyperscaler durch ihre europäischen Rechenzentren formal erfüllen können. Auf der zweiten Stufe muss zudem weitgehend ausgeschlossen sein, dass Drittstaaten Zugriff auf die Daten haben oder den Zugang sperren können – eine Anforderung, die amerikanische Anbieter aufgrund des US CLOUD Act nicht erfüllen können. Die dritte Stufe verlangt, dass Anbieter aus einem von der EU anerkannten Drittstaat stammen, während die vierte und höchste Stufe ausschließlich europäisch kontrollierten Anbietern mit vollständiger Lieferkettenkontrolle vorbehalten bleibt.

Die strategische Logik dahinter ist ebenso einfach wie weitreichend: Künftige staatliche Aufträge in sensiblen Bereichen sollen mindestens die Anforderungen der zweiten Stufe erfüllen. Das bedeutet in der Praxis, dass Daten aus den Bereichen Verteidigung, Justiz, Gesundheitswesen und Strafverfolgung nicht mehr an US-amerikanische Hyperscaler vergeben werden dürfen. Laut Kommissionsschätzungen betrifft die höchste Souveränitätsstufe lediglich rund ein Prozent der öffentlichen Dienste – doch gerade dieses eine Prozent umfasst die sensibelsten Staatsgeheimnisse, Geheimdienstdaten und justizielle Informationen.

Gleichzeitig muss man die Reichweite des Pakets realistisch einordnen. Es handelt sich noch um einen Entwurf, der sowohl das Europäische Parlament als auch den Rat der Mitgliedstaaten passieren muss. Und es bindet primär die öffentliche Hand, nicht private Unternehmen. Dennoch gilt in der Regulierungsökonomie eine wohlbekannte Dynamik: Was der Staat heute für seine sensibelsten Daten verlangt, wird durch Ausstrahlungseffekte und den Druck entlang von Lieferketten morgen zum faktischen Industriestandard.

Der US CLOUD Act: Das Fundament des Problems

Um zu verstehen, warum das Tech-Sovereignty-Paket notwendig geworden ist, muss man die Funktionsweise des US CLOUD Act begreifen. Das Gesetz trat im März 2018 unter der ersten Trump-Administration in Kraft und erlaubt US-Behörden, von amerikanischen Unternehmen die Herausgabe elektronischer Daten zu verlangen – unabhängig davon, ob diese Daten sich auf Servern in den USA oder auf Servern im Ausland befinden. Der Clarifying Lawful Overseas Use of Data Act, so der vollständige Name, zwingt US-Cloud-Anbieter wie Amazon, Microsoft und Google, bei rechtlich gültigen Anordnungen Daten preiszugeben, auch wenn diese auf europäischen Servern gespeichert sind.

Diese extraterritoriale Reichweite des US-Rechts erzeugt einen fundamentalen Rechtskonflikt mit europäischem Datenschutzrecht. Die Datenschutz-Grundverordnung (DSGVO) sieht in Artikel 48 vor, dass Datentransfers in Drittländer grundsätzlich nur über internationale Rechtshilfeabkommen erfolgen dürfen. Der US CLOUD Act ist aus Sicht des Europäischen Datenschutzausschusses (EDSA) ein Versuch, genau diese bestehenden Rechtshilfeabkommen zu umgehen. Unternehmen, die sowohl dem CLOUD Act als auch der DSGVO unterliegen, befinden sich damit in einem rechtlichen Dilemma, das keine vollständig befriedigende Lösung kennt.

Das niederländische Nationale Cybersicherheitszentrum (NCSC) hat in einem detaillierten Rechtsgutachten festgestellt, dass dieser Konflikt nicht auf einfache technische Maßnahmen reduzierbar ist. Selbst wenn ein europäisches Unternehmen alle Daten über eine formal europäische Tochtergesellschaft eines US-Konzerns verarbeitet, kann die US-Muttergesellschaft dennoch als im Besitz der Daten stehend betrachtet werden – und ist damit weiterhin dem CLOUD Act unterworfen. Noch raffinierter ist der Hinweis des NCSC, dass US-Behörden unter Umständen über US-Bürger, die für EU-Unternehmen arbeiten, auf Daten zugreifen könnten – ohne dass der europäische Arbeitgeber überhaupt davon erfährt.

Microsofts Geständnis: Der Wendepunkt im französischen Senat

Was bisher in juristischen Fachkreisen als theoretisches Risiko diskutiert wurde, bekam im Juni 2025 ein Gesicht und eine Stimme. Anton Carniaux, Chefjustitiar von Microsoft France, wurde am 10. Juni 2025 vor der Untersuchungskommission des französischen Senats unter Eid befragt. Der Berichterstatter Dany Wattebled stellte die entscheidende Frage: Könne Carniaux garantieren, dass die Daten französischer Bürger, die Microsoft anvertraut wurden, niemals auf Anordnung der amerikanischen Regierung ohne ausdrückliche Zustimmung der französischen Behörden weitergegeben würden? Die Antwort war in ihrer Kürze vernichtend: Nein, das könne er nicht garantieren.

Carniaux präzisierte in der Anhörung, dass Microsoft bei einer formell gültigen US-Gerichtsanordnung gesetzlich verpflichtet sei, die angeforderten Daten herauszugeben. Selbst eine Offenlegung dieser Auskunftsersuchen gegenüber den europäischen Kunden sei nicht garantiert: Microsoft könne nur darum bitten, den Vorgang so weit wie möglich an den Kunden weiterzuleiten. Diese Aussagen sind deswegen so bedeutsam, weil sie das Versprechen einer „souveränen Cloud“ europäischer Prägung, das die US-Hyperscaler seit Jahren bewerben, in seinem Kern entwerten. Technische Maßnahmen wie europäische Rechenzentren, lokale Datenhaltung und eigene kryptografische Schlüssel ändern nichts an der rechtlichen Pflicht zur Datenweitergabe, wenn US-Recht greift.

Das Eingeständnis von Microsoft ist kein Einzelfall. Aus freigegebenen Behördendokumenten in Großbritannien geht hervor, dass Microsoft gegenüber schottischen Polizeibehörden schriftlich bestätigt hat, keine Garantie für Datensouveränität bei Microsoft 365 übernehmen zu können. Diese offiziellen Dokumente belegen, dass es sich nicht um eine verzerrte Interpretation des Gesetzes handelt, sondern um die nüchterne Einschätzung des Konzerns selbst. Besonders brisant ist auch der Umstand, dass Microsoft bereits das Konto des Chefanklägers des Internationalen Strafgerichtshofs gesperrt hat – ein Fall, der zeigt, dass amerikanische Interessen im Einzelfall die europäische Datensicherheit willkürlich aushebeln können.

Frankreich als Vorreiterstaat: Wenn Theorie zur Politik wird

Die vielleicht eindrucksvollste Reaktion auf diese strukturelle Abhängigkeit kommt nicht aus Brüssel, sondern aus Paris. Frankreich hat in einer Serie von Regierungsentscheidungen begonnen, die technologische Unabhängigkeit seiner Verwaltung systematisch herzustellen. Zu Beginn des Jahres 2026 verhängte die französische Regierung eine Nutzungssperre für Plattformen wie Microsoft Teams, Zoom, Google Meet und Cisco Webex in der gesamten öffentlichen Verwaltung. Bestehende Lizenzen laufen aus und werden schlicht nicht verlängert.

Die Ausmaße dieses Vorhabens sind erheblich: Rund 2,5 Millionen Staatsbedienstete sollen bis Ende des Jahrzehnts von US-Software auf einheimische Alternativen umsteigen. Als Videokonferenzlösung kommt künftig Visio zum Einsatz, ein europäisch entwickeltes System, dessen Pilotbetrieb bereits läuft. Das französische Nationale Zentrum für wissenschaftliche Forschung (CNRS) hat im Frühjahr 2026 rund 34.000 Zoom-Lizenzen durch Visio ersetzt – betroffen waren über 120.000 Forscher. Im April weitete die Regierung die Direktive auf Betriebssysteme aus: Eine schrittweise Migration von Microsoft Windows zu Linux auf allen Ministeriums-Arbeitsplätzen ist angeordnet worden.

Treibende Kraft ist die staatliche Digitalbehörde DINUM, die als Vorreiterin alle 250 ihrer Arbeitsplätze bereits auf Linux migriert hat. Bis Herbst 2026 müssen alle Ministerien verbindliche Abhängigkeitsreduktionspläne vorlegen. Die wirtschaftliche Logik dahinter ist ebenso überzeugend wie die sicherheitspolitische: Pro 100.000 Nutzer, die auf staatliche Lösungen umsteigen, spart Frankreich nach eigenen Berechnungen rund eine Million Euro pro Jahr an Lizenzkosten. Bei über zwei Millionen Beschäftigten im öffentlichen Dienst könnten die jährlichen Einsparungen auf über 20 Millionen Euro steigen – Geld, das statt an US-Konzerne in den Aufbau europäischer Technologieanbieter fließen könnte.

Das Europäische Parlament spricht mit einer seltenen Stimme

In der politischen Normalverfassung des Europäischen Parlaments sind klare Mehrheiten, die über Fraktionsgrenzen hinausgehen, selten. Die Abstimmung vom 22. Januar 2026 war eine der seltenen Ausnahmen. Mit 471 zu 68 Stimmen bei 71 Enthaltungen nahm das Parlament einen Bericht an, der die EU dazu auffordert, ihre Abhängigkeit von US-amerikanischer Technologie strukturell zu überwinden. Für die Resolution stimmten die Europäische Volkspartei, die Sozialdemokraten, die Liberalen und die Grünen. Widerstand kam lediglich von den Rändern: von der Fraktion der Linken und der rechtsextremen Patrioten für Europa.

Diese Abstimmung hat eine symbolische Dimension, die über den konkreten Beschlussinhalt hinausgeht. Sie zeigt, dass die Frage der digitalen Souveränität in Europa keinen ideologischen Lagercharakter mehr hat – sie ist zum seltenen Konsensthema geworden, das EVP-Konservative ebenso überzeugt wie grüne Abgeordnete. Das Parlament forderte dabei ausdrücklich eine klare Definition der souveränen Cloud im Rahmen der Verordnung über Cloud- und KI-Entwicklung. Es bereitet damit politisch den Boden für genau das Regelwerk, das die Kommission wenige Monate später mit dem CADA vorlegte.

Der Markt und seine Beharrungskräfte: Eine nüchterne Bestandsaufnahme

Zwischen politischem Wunsch und technologischer Realität klafft eine beträchtliche Lücke, die man nicht kleinreden sollte. Der globale Cloud-Markt wuchs allein im ersten Quartal 2025 auf ein Umsatzvolumen von rund 90,9 Milliarden US-Dollar. AWS hält dabei einen globalen Marktanteil von mehr als 30 Prozent, Microsoft Azure folgt mit rund 23 Prozent und Google Cloud mit 11 bis 13 Prozent. Im dritten Quartal 2025 kamen die drei US-Giganten gemeinsam auf 63 Prozent des globalen Marktes. Für das Gesamtjahr 2026 liegen die Investitionsprognosen von Amazon, Microsoft, Google und Meta bei über 600 Milliarden US-Dollar. Das ist mehr als das Dreifache des gesamten EU-Verteidigungshaushalts.

Europäische Anbieter können diesen Mitteln nahezu nichts entgegensetzen. SAP und die Deutsche Telekom führen das europäische Feld mit jeweils rund zwei Prozent Marktanteil an. Dahinter folgen OVHcloud, Telecom Italia und Orange mit noch geringeren Anteilen. Das Analysehaus Forrester kam Ende 2025 zu dem Schluss, dass kein europäisches Unternehmen im Jahr 2026 vollständig von US-Hyperscalern weggehen wird. Trotz zunehmender Bedenken seien wirtschaftliche Zwänge das entscheidende Hindernis – ein vollständiger Wechsel weg von AWS, Google Cloud und Microsoft Azure sei kurz- bis mittelfristig schlicht nicht realistisch.

Diese nüchterne Einschätzung ist nicht zynisch, sondern analytisch präzise. Unternehmen, die ihre gesamte digitale Infrastruktur auf US-Cloud-Diensten aufgebaut haben, stehen vor erheblichen Migrationskosten, Kompatibilitätsproblemen und dem schlichten Umstand, dass europäische Alternativen in vielen Bereichen – insbesondere in der KI-Infrastruktur und beim Hochleistungsrechnen – noch keine gleichwertige Tiefe aufweisen. Der Bitkom-Verband hat errechnet, dass 87 Prozent der deutschen Unternehmen digitale Technologien oder Services aus den USA oder der EU beziehen. Die USA und die EU liegen gleichauf – ein Hinweis darauf, wie tief die US-Abhängigkeit strukturell verankert ist.

Hinzu kommt die Kritik aus Industrieverbänden. Die Computer and Communications Industry Association (CCIA), die unter anderem US-Tech-Konzerne vertritt, bezeichnete den Cloud and AI Development Act als „direkte Anweisung zur diskriminierenden Marktfragmentierung“ und warnte, er schaffe ein „gefährliches Rezept für eine progressive Marktabschottung“. Der deutsche Internetverband eco mahnte ebenfalls, Souveränitätsstufen müssten klar begründet, verhältnismäßig und risikobezogen sein – und dürften nicht als pauschale Ausschlussmechanismen für nicht-europäische Anbieter wirken. Diese Einwände sind keine bloße Lobbyarbeit, sondern weisen auf reale Umsetzungsprobleme hin: Artikel 18 des CADA setzt laut CCIA einen unmöglichen Standard – keines der großen Technologieproduktionsländer, nicht einmal die EU selbst, erfülle ihn heute.

Unsere EU- und Deutschland-Expertise in Business Development, Vertrieb und Marketing - Bild: Xpert.Digital

Branchenschwerpunkte: B2B, Digitalisierung (von KI bis XR), Maschinenbau, Logistik, Erneuerbare Energien und Industrie

Mehr dazu hier:

• Xpert Wirtschaft Hub

Ein Themenhub mit Einblicken und Fachwissen:

• Wissensplattform rund um die globale wie regionale Wirtschaft, Innovation und branchenspezifische Trends
• Sammlung von Analysen, Impulsen und Hintergründen aus unseren Schwerpunktbereichen
• Ein Ort für Expertise und Informationen zu aktuellen Entwicklungen in Wirtschaft und Technologie
• Themenhub für Unternehmen, die sich zu Märkten, Digitalisierung und Brancheninnovationen informieren möchten

Die geopolitische Kulisse: Warum Trump den Anstoß gab

Es wäre unvollständig, Europas Technologiesouveränitäts-Offensive zu analysieren, ohne den geopolitischen Kontext zu benennen, der ihr eigentlicher Auslöser ist. Die Politik der Trump-Administration hat in Europa einen Reflexionsprozess in Gang gesetzt, der weit über die Handelspolitik hinausgeht. US-Sanktionen gegen Ermittler des Internationalen Strafgerichtshofs, Drohungen gegen NATO-Verbündete und die generelle Bereitschaft der Trump-Administration, multilaterale Institutionen und Abkommen infrage zu stellen, haben die bisher weitgehend akademische Debatte über digitale Souveränität in eine praktische Notwendigkeit verwandelt.

Virkkunen selbst machte deutlich, dass der US CLOUD Act, der US-Behörden Zugriff auf Daten ermöglicht, die auf europäischen Servern gespeichert sind, nicht mit den europäischen Regulierungen vereinbar ist. Und sie wies darauf hin, dass es für US-Unternehmen „äußerst schwierig“ wäre, die strengsten europäischen Souveränitätsstandards für Cloud-Computing in Bereichen wie Verteidigung zu erfüllen. Diese Aussage ist keine antiamerikanische Polemik, sondern die sachliche Beschreibung einer Rechtslage, die durch zwei unvereinbare Rechtsordnungen erzeugt wird.

Gleichzeitig betonte Virkkunen, dass die EU nicht vorhabe, sich zu isolieren und alles selbst zu produzieren. Europa sei global vernetzt und werde es bleiben. Ziel sei nicht Autarkie, sondern die Identifikation und Beseitigung riskanter Abhängigkeiten – insbesondere bei Infrastrukturen, die für Sicherheit und Rechtsstaatlichkeit von zentraler Bedeutung sind. Das ist eine wichtige Nuance, denn sie unterscheidet den europäischen Ansatz von einem primitiven Technologienationalismus.

Der Chips Act 2.0 und das Halbleiterproblem

Ein weiterer Pfeiler des Technologie-Souveränitätspakets ist der Chips Act 2.0, der ergänzend zum ursprünglichen Chips Act von 2023 konzipiert wurde. Während sich der erste Chips Act auf die Angebotsseite konzentrierte – also den Aufbau von Halbleiterproduktionskapazitäten –, fokussiert sich der Chips Act 2.0 auf die Nachfrageseite: Mitgliedstaaten sollen gezielt Halbleiter von europäischen Start-ups kaufen, um einen heimischen Markt zu schaffen. Bis 2035 werden öffentliche und private Investitionen in Höhe von 120 Milliarden Euro für notwendig erachtet.

Der Hintergrund ist ernüchternd. Das ursprüngliche Ziel, den EU-Anteil am globalen Halbleitermarkt bis 2030 auf 20 Prozent zu verdoppeln, droht zu scheitern. Europa produziert derzeit nur rund zehn Prozent der weltweiten Chips. Der Rückstand gegenüber Taiwan, Südkorea und den USA ist enorm, und der Bau großer Halbleiterfabriken erfordert nicht nur Kapital, sondern auch spezialisiertes Know-how und Lieferketten, die nicht über Nacht entstehen. Ein strategisches Projekt, das die Kommission erwägt, ist eine neue Fabrik für 3-Nanometer-Halbleiter für KI und fortschrittliche Chips – ein Vorhaben mit einem Volumen von 30 Milliarden Euro, finanziert durch die Kommission, Mitgliedstaaten und private Unternehmen.

Open Source als strategisches Mittel: Mehr als ein technisches Detail

Die Open-Source-Strategie, die als dritter Baustein des Technologie-Souveränitätspakets vorgestellt wurde, wird in der öffentlichen Debatte oft unterschätzt. Dabei ist sie in ihrer strategischen Logik besonders konsistent. Open-Source-Software entzieht sich per definitionem dem proprietären Zugriff eines einzelnen Anbieters. Sie kann nicht einseitig abgeschaltet, lizenzrechtlich eingeschränkt oder mit Backdoors versehen werden, die einer Aufsichtsbehörde verborgen bleiben. Was die Kommission mit dieser Strategie anstrebt, ist eine schrittweise Stärkung europäischer Open-Source-Alternativen in Schlüsselbereichen – von Betriebssystemen über Produktivitätssoftware bis hin zu KI-Modellen.

Frankreichs Erfahrungen sind hier aufschlussreich: Die staatliche Messaging-App Tchap wird bereits von über 600.000 Beamten genutzt. Für 80.000 Mitarbeiter der französischen Krankenkasse wurden Open-Source-Alternativen für Messaging und Dateitransfer eingeführt. Diese Pilotprojekte zeigen, dass der Umstieg auf souveräne Lösungen zwar mit Anlaufproblemen verbunden, aber technisch machbar ist – sofern politischer Wille und ausreichende Übergangsfristen vorhanden sind.

Ökonomische Konsequenzen: Wer gewinnt, wer verliert?

Für europäische Cloud-Anbieter ist das Tech-Sovereignty-Paket zweifellos eine Chance, die seit Jahren diskutiert wird, aber erst jetzt reale regulatorische Unterstützung findet. OVHcloud betreibt mehr als 400.000 Server in 33 eigenen Rechenzentren auf vier Kontinenten und positioniert sich explizit als der führende europäische Cloud-Anbieter mit vollständiger Kontrolle über die eigene Wertschöpfungskette. STACKIT, IONOS und Proact sind weitere Anbieter, die in Deutschland vom neuen Regulierungsrahmen profitieren könnten. Mistral AI aus Frankreich hat sich als europäischer KI-Champion etabliert und dürfte bei der öffentlichen Vergabe von KI-Infrastrukturleistungen systematisch bevorzugt werden.

Für US-Hyperscaler sind die Konsequenzen differenzierter. Ein vollständiger Ausschluss aus dem europäischen Markt steht nicht auf der Agenda – die Kommission hat ausdrücklich festgehalten, dass ein solcher Schritt angesichts der Marktdominanz der US-Anbieter derzeit unmöglich wäre. Was sich ändert, ist die Zugangsbedingung zu den lukrativsten öffentlichen Aufträgen. Handelsblatt-Recherchen zufolge plant die EU-Kommission zusätzlich, das Cloud-Geschäft von Amazon und Microsoft im Rahmen des Digital Markets Act zu regulieren – ein Schritt, der die Marktmacht der Hyperscaler strukturell beschränken soll.

Für europäische Unternehmen als Kunden und Nutzer von Cloud-Diensten ergibt sich eine komplexere Abwägung. Kurzfristig entstehen erhebliche Wechselkosten, wenn sie aus regulatorischen oder strategischen Erwägungen ihre IT-Infrastruktur von US-Cloud-Diensten auf europäische Alternativen migrieren. Langfristig dagegen reduzieren sie ihre Exposition gegenüber Rechtsrisiken, Preiserhöhungen und geopolitischen Schocks. Die Analyse von Cloud Computing Insider zeigt: CIOs sollten bereits jetzt einen Exit-Plan für Szenarien vorbereiten, in denen das transatlantische Datenschutzabkommen aufgehoben wird – unabhängig davon, ob Washington oder Brüssel dafür verantwortlich zeichnet.

200 Milliarden Euro und die Frage der Finanzierung

Die Kommission schätzt die Kosten für eine Verdreifachung der europäischen Rechenzentrumskapazitäten auf rund 200 Milliarden Euro, die hauptsächlich aus privaten Quellen stammen sollen. Zum Vergleich: Die US-amerikanischen Tech-Giganten Amazon, Microsoft, Google und Meta haben ihre Investitionsausgaben 2025 auf über 400 Milliarden Dollar erhöht und planen für 2026 mehr als 600 Milliarden Dollar. Europa will also mit staatlich koordinierten privaten Investitionen von 200 Milliarden Euro eine Infrastruktur schaffen, deren Gegenstück in den USA jährlich mit dem Dreifachen finanziert wird. Das verdeutlicht das strukturelle Ungleichgewicht, vor dem Europa steht.

Hinzu kommt die Frage der zeitlichen Realisierbarkeit. Rechenzentren werden geplant, genehmigt, gebaut und in Betrieb genommen – ein Prozess, der selbst mit beschleunigten Genehmigungsverfahren und eigens eingerichteten Beschleunigungszonen in der Regel mehrere Jahre in Anspruch nimmt. Die Kommission plant, solche Beschleunigungszonen einzurichten, in denen Rechenzentren schneller genehmigt werden können. Ob das ausreicht, um die Lücke in einem Zeitraum zu schließen, in dem KI-Infrastruktur und Rechenleistung zur entscheidenden strategischen Ressource werden, bleibt eine offene Frage.

Was das für die Praxis bedeutet: Die Normalunternehmen im Fokus

Der konkrete Handlungsdruck auf Unternehmen, die keine öffentlichen Aufträge vergeben und nicht unmittelbar von den neuen Souveränitätsstufen betroffen sind, ist zunächst begrenzt. Die neuen Regeln binden primär den Staat. Doch wer die Dynamik der vergangenen Jahre beobachtet hat, erkennt eine klare Signalwirkung: Was heute für Gesundheits-, Finanz- und Justizdaten des Staates gilt, wird morgen von Bankenaufsehern, Versicherungsregulatoren und Industrie-Compliance-Teams als Maßstab herangezogen. Unternehmen, die kritische Infrastruktur betreiben, im Finanzsektor tätig sind oder mit staatlichen Stellen zusammenarbeiten, werden diese Entwicklung nicht ignorieren können.

Ein realistisches Bild ergibt sich aus der Analyse von Rechtsrisiken. Wer Daten bei US-Hyperscalern speichert, muss damit rechnen, dass US-Behörden bei rechtlich begründeten Anordnungen Zugriff erhalten können – auch wenn die Daten physisch in Frankfurt oder Amsterdam liegen. Das ist kein hypothetisches Worst-Case-Szenario, sondern der durch Microsofts eigenes Eingeständnis dokumentierte Status quo. Für Unternehmen, die unter der DSGVO, DORA oder anderen europäischen Datenschutzregimes operieren, ergibt sich hieraus ein Compliance-Risiko, das sich mit zunehmender Regulierungsstrenge verschärft.

Zwischen Anspruch und Wirklichkeit: Eine kritische Gesamtbewertung

Das Tech-Sovereignty-Paket der Europäischen Kommission ist kein Durchbruch – es ist ein Anfang. Ein wichtiger, notwendiger und politisch bedeutsamer Anfang, aber gleichzeitig einer, der die strukturellen Defizite Europas im digitalen Sektor nicht innerhalb eines Legislativzyklus auflösen wird. Die Marktdominanz der US-Hyperscaler ist nicht das Resultat regulatorischer Fehler, sondern das Ergebnis jahrzehntelanger Technologieführerschaft, massiver Investitionsbereitschaft und der schlichten Tatsache, dass Amazon, Microsoft und Google bessere Produkte zu wettbewerbsfähigen Preisen anbieten als ihre europäischen Konkurrenten.

Regulierung kann Rahmenbedingungen setzen und Anreize verschieben, aber sie kann keine Innovation ersetzen. Europäische Cloud-Anbieter werden langfristig nur dann eine echte Alternative darstellen, wenn sie technisch mithalten, ihre Infrastruktur skalieren und ihre Dienste weiterentwickeln können. Das erfordert privates Risikokapital, einen funktionierenden europäischen Binnenmarkt für digitale Dienste und eine regulatorische Umgebung, die Investitionen begünstigt statt hemmt. Hier liegt eine der großen Spannungen in der europäischen Technologiepolitik: Dasselbe Brüssel, das mit dem CADA die Cloud-Souveränität fördern will, hat mit der DSGVO, dem AI Act und dem Digital Services Act ein Regulierungsgebäude errichtet, das europäische Start-ups und Scale-ups teils schwerer belastet als ihre US-amerikanischen Wettbewerber.

Dennoch ist die Richtung des Tech-Sovereignty-Pakets ökonomisch und sicherheitspolitisch korrekt. Die Konzentration von 70 Prozent des europäischen Cloud-Marktes bei drei US-Unternehmen ist keine neutrale Marktentscheidung, sondern eine strategische Vulnerabilität. Microsofts Eingeständnis, den US-Zugriff auf EU-Daten nicht ausschließen zu können, hat diese Vulnerabilität öffentlich dokumentiert. Die Abstimmung des EU-Parlaments mit 471 zu 68 Stimmen signalisiert politischen Willen. Und Frankreichs konkreter Umstieg für 2,5 Millionen Staatsbedienstete zeigt, dass die Umsetzung auch bei enormer Komplexität beginnen kann.

Die Frage, die bleibt

Henna Virkkunens Satz enthält in komprimierter Form die eigentliche politische und ökonomische Kernfrage der kommenden Dekade: Wer hält den Schalter an der Infrastruktur, auf der Europas Wirtschaft, Staat und Gesellschaft laufen? Die ehrliche Antwort lautet heute: im Wesentlichen drei amerikanische Konzerne, verpflichtet gegenüber US-Recht und ihren Aktionären – nicht gegenüber europäischer Rechtsstaatlichkeit oder europäischen Interessen.

Das ist kein böser Wille dieser Unternehmen. Es ist die logische Konsequenz aus dem globalen Siegeszug der US-amerikanischen Tech-Industrie und der gleichzeitigen Unfähigkeit Europas, eine vergleichbare Infrastruktur aufzubauen. Das Tech-Sovereignty-Paket ist der bisher ernsteste institutionelle Versuch, dieses Ungleichgewicht strukturell zu adressieren. Ob er gelingt, wird davon abhängen, ob politischer Wille, privates Kapital und technologische Innovationsfähigkeit in Europa koordiniert genug zusammenwirken – und ob Europa sich die Zeit nimmt, die eine solche Transformation unweigerlich braucht. Der Schalter liegt nicht in einer Hand. Noch nicht.

Die Quasi-Inhouse-Lösung: Wie Xpert.Digital operative Lücken in B2B-Marketing und Vertrieb schließt – Smart Content-Driven Business - Bild: Xpert.Digital

Xpert.Digital ist ein von Konrad Wolfenstein geführter, datengetriebener B2B-Industry-Hub. Das Unternehmen agiert als externe Quasi-Inhouse-Lösung für Industriepartner und schließt operative Lücken in Marketing, Content und Vertrieb – ohne zusätzlichen Ressourcenaufbau auf Kundenseite.

Mehr dazu hier:

• Die Quasi-Inhouse-Lösung: Wie Xpert.Digital operative Lücken in B2B-Marketing und Vertrieb schließt – Smart Content-Driven Business

☑️ Unsere Geschäftssprache ist Englisch oder Deutsch

☑️ NEU: Schriftverkehr in Ihrer Landessprache!

Konrad Wolfenstein

Gerne stehe ich Ihnen und mein Team als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie hier das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 7348 4088 965 an. Meine E-Mail Adresse lautet: wolfenstein∂xpert.digital

Ich freue mich auf unser gemeinsames Projekt.

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der Digitalstrategie und Digitalisierung

☑️ Ausbau und Optimierung der internationalen Vertriebsprozesse

☑️ Globale & Digitale B2B-Handelsplattformen

☑️ Pioneer Business Development / Marketing / PR / Messen