Was der Entwurf tatsächlich vorschlägt
Am 3. Juni 2026 hat die Europäische Kommission einen Vorschlag für den Cloud and AI Development Act angenommen, bekannt als CADA. Es ist ein Vorschlag, kein geltendes Gesetz. Er muss noch die Verhandlung zwischen dem Europäischen Parlament und dem Rat durchlaufen, und sein Wortlaut kann sich ändern, bevor ein Teil davon verbindlich wird. Dies ist also ein Signal für die Richtung, keine Regel, die Sie heute einhalten müssen. Die Richtung ist jedoch klar genug, um darauf hin zu planen.
Der für Einkäufer entscheidende Teil ist ein einheitlicher EU-weiter Rahmen, der Cloud- und KI-Anbieter über vier Sicherheitsstufen der Union einstuft. Die niedrigste Stufe ist als Mindestanforderung für die Belieferung des öffentlichen Sektors gedacht, mit engen Ausnahmen. Höhere Stufen gelten dort, wo ein Anbieter Funktionen unterstützt, die mit der öffentlichen Ordnung verbunden sind, nach einer Risikobewertung durch die Mitgliedstaaten und Unionsstellen, in Bereichen wie Energie, Gesundheitswesen, Verkehr, Wasser, Strafverfolgung, Grenzmanagement, nationaler Sicherheit und Verteidigung. Kurz gesagt: Je sensibler die Rolle, desto höher die Hürde, die ein Anbieter nehmen muss.
Warum US-Hyperscaler an eine Grenze stoßen
Die höheren Sicherheitsstufen sehen Berichten zufolge über den Standort des Rechenzentrums hinaus und prüfen, wem der Anbieter gehört, wer seinen Betrieb kontrolliert und ob der Dienst gegen außereuropäisches Recht abgeschirmt werden kann. Genau an diesem letzten Kriterium stoßen die großen US-Anbieter an eine strukturelle Grenze. Nach dem US CLOUD Act kann ein Unternehmen mit Hauptsitz in den USA gezwungen werden, Daten herauszugeben, die es kontrolliert, unabhängig davon, wo auf der Welt diese Daten physisch liegen. Eine europäische Datenregion beseitigt diesen Zugriff nicht.
Das ist keine Behauptung, dass AWS, Microsoft oder Google unsicher wären oder dass die meisten Workloads betroffen sind. Für die große Mehrheit der Geschäftsdaten bleiben sie starke, etablierte Optionen. Der Punkt ist enger gefasst und betrifft das obere Ende der Skala. Für die sensibelsten Kategorien, auf die der Entwurf abzielt, kann ein US-kontrollierter Anbieter die rechtliche Abschottung nicht vollständig garantieren, weil eine ausländische Rechtsordnung weiterhin einen Anspruch auf die Daten geltend machen kann. Das ist eine Frage des Rechtsraums, nicht der Technik, und deshalb lohnt es sich, die genauen Kriterien pro Stufe in den Anhängen des Entwurfs zu beobachten, während der Text verhandelt wird.
Aus Abhängigkeit ein Vergabekriterium machen
Jahrelang wurde Cloud-Souveränität als abstraktes Abhängigkeitsrisiko behandelt, leicht zu vermerken und leicht aufzuschieben. CADA formuliert es zu etwas Konkretem um: einem Tor am Punkt der Unterschrift. Wenn ein Vertrag regulierte oder wirklich sensible Daten berührt, wird der Rechtsraum, dem Ihr Anbieter untersteht, zu einer Vertragsbedingung und nicht zu einer Fußnote. Diese Verschiebung belohnt Einkäufer, die die Frage früh stellen, und bestraft jene, die sie während einer Prüfung oder einer Verlängerung entdecken.
Die angemessene Reaktion ist eine Bewertung des Rechtsraum-Risikos, bevor Sie unterzeichnen oder verlängern. Erfassen Sie, welche Ihrer Daten in die sensiblen Kategorien fallen würden, die der Entwurf beschreibt, ermitteln Sie, wem jeder Anbieter letztlich gehört und wer ihn kontrolliert, und prüfen Sie, was Ihre Verträge zu ausländischem Rechtszugriff, Datenstandort und Ausstieg sagen. Wo das Risiko real ist, können Sie alltägliche Workloads dort belassen, wo sie sind, und nur die sensible Stufe an einen Anbieter leiten, der eine höhere Sicherheitsstufe erfüllen kann. Nichts davon ist Rechtsberatung, und der Text kann sich noch bewegen, doch die Bewertung selbst kostet wenig und positioniert Sie gut, wie auch immer das endgültige Gesetz ausfällt.
Weiterlesen: Ihre KI spricht jetzt rechtlich für Sie · Eine US-Quantenfrist erreicht Ihre Lieferkette