Brüssel setzt der Cloud-Souveränität ein Datum
Das Gesetz für Cloud und KI, das die Europäische Kommission im Juni vorgestellt hat, soll am 15. Juli 2026 im Amtsblatt erscheinen und tritt am 4. August in Kraft. Es ist der erste EU-weite Rahmen, der Behörden in sensiblen Bereichen, Verteidigung, Justiz, Strafverfolgung und kritische Infrastruktur, vorgibt, wie sie vor dem Kauf abwägen sollen, wer ihre Cloud kontrolliert.
Der Grund ist eine Marktrealität. Drei US-Anbieter, Microsoft, Amazon Web Services und Google, halten mehr als 70 Prozent des europäischen Cloud-Marktes, während europäische Anbieter bei rund 15 Prozent liegen. Jahrelang lief die Souveränitätsdebatte über freiwillige Siegel und Bewertungsraster. Jetzt wird daraus ein datiertes Gesetz mit einer Beschaffungspflicht.
Vier Stufen, und wo das Geld wirklich landet
Das Gesetz kennt vier Sicherungsstufen. Stufe 1 verlangt Daten auf EU-Servern und die Zusicherung, dass kein Gesetz den Anbieter zwingt, Software-Schwachstellen an einen Drittstaat offenzulegen. Stufe 2 ergänzt, dass kein fremder Staat an die Daten gelangt oder einen Notausschalter betätigen kann. Stufe 3 verlangt, dass der Anbieter frei von Drittstaatskontrolle ist, bis hin zum Personal. Stufe 4 fordert Komponenten und Produkte ohne jede fremde Einflussnahme und die höchste Cybersicherheitszertifizierung.
Die Verteilung ist der Teil, den die meisten Schlagzeilen übersehen. Die Kommission erwartet rund 70 Prozent der Verträge auf Stufe 1, etwa 20 Prozent auf Stufe 2, unter 10 Prozent auf Stufe 3 und ungefähr 1 Prozent auf Stufe 4. Anders gesagt: Der Großteil der öffentlichen Cloud in Europa lässt die Hyperscaler weiter zu. Das Gesetz vertreibt sie nicht, es benotet sie und reserviert die strengen Stufen für den kleinen Anteil an Arbeitslasten, bei denen Kontrolle nicht verhandelbar ist.
Die Notausgänge wurden mit Absicht eingebaut
Zwei Ausnahmen dämpfen die Wirkung ganz bewusst. Artikel 30 erlaubt eine Ausnahme, wenn kein angemessener oder zumutbarer Alternativdienst existiert, ein Echo des Falls von 2023, in dem Frankreich zu dem Schluss kam, dass nur Microsoft seinen Gesundheitsdatenraum betreiben könne. Artikel 18 öffnet einen Weg für Anbieter aus assoziierten Drittstaaten mit einem EU-Angemessenheitsbeschluss, eine Tür, die im Prinzip auch die USA einschließen könnte, auch wenn die Auflagen gegen Notausschalter sie dennoch ausschließen könnten.
Diese Struktur zeigt, wie kurzfristig zu lesen ist. Ein europäischer Käufer muss AWS oder Azure dieses Jahr nicht herausreißen. Die unmittelbare Arbeit ist Einordnung: jeden Vertrag einer Stufe zuordnen, begründen und die Wahl verteidigen. Die Souveränitätsfrage wird vom Slogan zur Position in einer Beschaffungsakte, eine kleinere Veränderung als die Rhetorik nahelegt und eine dauerhaftere.
Der echte Hebel ist Beton, nicht Paragraf
Der härtere Ehrgeiz des Gesetzes ist physisch. Es will die Rechenzentrumskapazität der EU binnen fünf bis sieben Jahren mindestens verdreifachen und versucht, den Weg mit schnelleren Genehmigungen und besserem Zugang zu Energie, Fläche, Wasser und Finanzierung freizuräumen. Seine drei Säulen, Forschung, Kapazität und Autonomie, stellen den Ausbau auf eine Stufe mit dem Regelwerk, denn Souveränität, die man nicht hosten kann, ist eine Behauptung auf Papier.
Der Zeitplan bestätigt, wo die Zähne sitzen. Das Gesetz tritt am 4. August 2026 in Kraft, doch die erste Stufe der Souveränitätsanforderungen gilt ab Februar 2028 und die höchste Stufe wird bis August 2029 Pflicht. Die Compliance-Uhr und die Bau-Uhr laufen zusammen, und die Anbieter mit EU-kontrollierter Kapazität vor Ort im Jahr 2028 sind jene, die die strengen Stufen begünstigen sollen.
Was ein Eigentümer vor August tut
Der praktische Schritt ist eine Cloud-Inventur, gelesen durch die vier Stufen: welche Arbeitslasten könnte eine ausländische Anordnung stören, welche liegen in sensiblen Bereichen und welche würden heute einen Test der Stufe 3 nicht bestehen. Firmen, die Cloud oder Software an europäische öffentliche Stellen verkaufen, stehen vor der Kehrseite dieser Frage, denn ihre Käufer werden bald nach einer Stufe fragen, nicht nach einem Logo. Der transatlantische Konflikt ist real: Ein Anbieter zwischen einer Anfrage nach dem US CLOUD Act und einer CADA-Zusicherung steht vor einer unmöglichen Wahl, und dieses Risiko gehört jetzt in die Lieferantenprüfung.
Es lohnt, die Grenze ehrlich zu benennen. Wie der Rechtsanalyst Kenneth Propp anmerkt, hat die EU schon früher Souveränitätsinstrumente versucht, vom Abwehrgesetz bis zum Data Act, mit begrenzter praktischer Wirkung, und schon die Existenz von CADA liest sich eher als Symptom geringen transatlantischen Vertrauens denn als Heilmittel. Das Gesetz schaltet die US-Clouds dieses Jahr nicht ab. Es hängt der Abhängigkeit einen datierten, benoteten Preis an, und die Eigentümer, die diesen Preis jetzt kartieren, werden 2028 nicht die Hektischen sein.
Weiterlesen: Ein neues Tor vor Ihren Cloud-Verträgen | PEGI bewertet jetzt Ihr Geschäftsmodell



