| TL;DR
1. Das Tech Sovereignty Package vom 3. Juni 2026 ist das erste Mal, dass die EU digitale Abhängigkeit nicht als Ziel, sondern als Rechtspflicht behandelt. Zwei Gesetze, eine Open-Source-Strategie, eine Energie-KI-Roadmap. |
Zehn Jahre geredet, jetzt ein Gesetz
Die Europäische Union hat das Thema digitale Souveränität in den vergangenen zehn Jahren in jeder erdenklichen Form behandelt: Strategiepapiere, Aktionspläne, Kommissionsberichte, politische Erklärungen. Was fehlte, war ein Instrument, das Abhängigkeiten tatsächlich korrigiert statt sie zu dokumentieren.
Seit dem 3. Juni 2026 gibt es dieses Instrument. Mit dem Tech Sovereignty Package präsentierte die Europäische Kommission erstmals ein Gesetzgebungspaket, das digitale Abhängigkeit als Compliance-Verpflichtung behandelt. Ursula von der Leyen: „We cannot afford to depend on others for the technologies that keep our hospitals running, our energy grids stable and our services secure.“ Vizepräsidentin Henna Virkkunen gegenüber CNBC: „We want to be sure nobody has a kill switch.“
Die Abhängigkeitszahlen kannte man seit Jahren. Neu ist, dass jetzt Konsequenzen folgen.
| 80%
Digitale Produkte, Dienste und Infrastruktur der EU von Nicht-EU-Anbietern EU Kommission, Juni 2026 |
70%
EU-Cloud-Markt in den Händen von drei amerikanischen Hyperscalern ERP Today / EU Kommission |
10%
Globale Halbleiterproduktion in Europa EU Kommission, Juni 2026 |
Vier Teile, vier verschiedene Zeithorizonte
Das Paket enthält vier Teile: den Cloud and AI Development Act (CADA), den Chips Act 2.0, eine neue EU Open Source Strategy und eine Roadmap für Digitalisierung und KI im Energiesektor. Die vier Teile betreffen unterschiedliche Zeiträume und unterschiedliche Arten von Abhängigkeit, was in der öffentlichen Debatte fast nie auseinandergehalten wird.
CADA betrifft Entscheidungen, die in den nächsten zwei bis drei Jahren anfallen. Der Chips Act 2.0 ist eine Infrastrukturwette auf sieben bis zehn Jahre. Die Open-Source-Strategie verändert langsam, wie öffentliche Stellen Software einkaufen. Die Energie-Roadmap betrifft direkt, wo und wie KI-Recheninfrastruktur in Europa gebaut wird.
| WICHTIG: NICHT GLEICHZEITIG DENKEN
Wer CADA-Compliance und Halbleiterfabrik in einem Atemzug nennt, beschreibt Entscheidungen mit einem Zeithorizont von zwei Jahren neben Entscheidungen mit einem Zeithorizont von zehn Jahren. Beides ist relevant, aber für andere Planungsebenen. |
CADA: Warum EU-Server allein nicht mehr reichen
Der Cloud and AI Development Act führt eine Unterscheidung ein, die in der bisherigen Datenschutzdebatte fehlt: den Unterschied zwischen Datenlokalisierung und struktureller Souveränität.
Datenlokalisierung bedeutet: Die Daten liegen auf Servern in Frankfurt. Strukturelle Souveränität bedeutet: Der Betreiber dieser Server unterliegt EU-Recht und ist nicht von einer US-Muttergesellschaft abhängig. Ein Unternehmen kann seine Daten auf AWS-Servern in Deutschland speichern und trotzdem strukturell nicht souverän sein, weil AWS ein US-Unternehmen ist. CADA schliesst diese Lücke. Für bestimmte Datenkategorien reicht Frankfurt künftig nicht mehr.
Behörden werden laut Global Policy Watch gesetzlich verpflichtet, zu bewerten, wie viel ihrer Infrastruktur von Nicht-EU-Anbietern abhängt, und ihre Workloads der entsprechenden Stufe zuzuweisen. CADA enthält zudem Mechanismen für strategische Projekte und Beschleunigungszonen für Rechenzentren. Ziel: die Kapazität europäischer Rechenzentren innerhalb von fünf bis sieben Jahren zu verdreifachen.
| Stufe | Name | Kernanforderung | Was das heisst |
| Tier 1 | Basic | Keine Einschränkung | Unkritische Workloads, kein regulatorischer Druck |
| Tier 2 | European | EU-Datenhaltung empfohlen | Anwendungen mit personenbezogenen Daten |
| Tier 3 | Sovereign | EU-Anbieter strukturell bevorzugt | Behörden, öffentliche Institutionen |
| Tier 4 | Strategic | Nur EU-Anbieter unter EU-Recht | Verteidigung, Sicherheit, kritische Staatsinfrastruktur |
Für Privatunternehmen ohne direkten Staatsbezug gibt es vorerst keine Pflicht. Der Druck kommt anders: Wer öffentliche Aufträge anstrebt oder in regulierten Branchen arbeitet, wird in Ausschreibungen und Audits auf CADA-Kriterien stossen. Und wer heute Dreijahresverträge mit US-Cloud-Anbietern unterzeichnet, unterschreibt in einem Umfeld, das sich bis Vertragsende verändert haben wird.
| ZUM BEISPIEL
AWS Frankfurt erfüllt Tier 2, aber nicht Tier 3. Für Tier 3 braucht es einen Anbieter, der rechtlich unter EU-Recht steht. Das wird für Unternehmen in regulierten Sektoren in zwei bis drei Jahren keine theoretische Frage mehr sein.
|
Chips Act 2.0: Eine Wette auf die übernächste Dekade
Der Chips Act 2.0 baut auf dem ersten Europäischen Chips Act von 2023 auf, der laut Digital Watch Observatory bereits mehr als 52 Milliarden Euro an öffentlichen und privaten Investitionen mobilisiert und rund 46.000 Arbeitsplätze geschaffen hat. Der Chips Act 2.0 nennt erstmals eine konkrete Infrastrukturzusage: eine EU-eigene Halbleiterfabrik für 3-Nanometer-Technologie und kleiner, mit Pilotproduktion laut Global Policy Watch zwischen 2030 und 2033.
Für aktuelle Beschaffungsentscheidungen in Unternehmen ist die Fabrik 2033 kein relevanter Faktor. Was kurzfristig zählt, ist die AI-Gigafactory-Ausschreibung im Juli 2026: Rechenkapazität für KI-Training als strategische europäische Infrastruktur, verwaltet über das EuroHPC Joint Undertaking. Rechenkapazität kann in Jahren aufgebaut werden. Chip-Produktionskapazität braucht Jahrzehnte.
| WAS EINE AI GIGAFACTORY IST
Keine Fabrik im industriellen Sinne, sondern eine grosse Rechenanlage speziell für das Training grosser KI-Modelle. Als strategische europäische Reserve betrieben, vergleichbar mit öffentlichen Rechenzentren, aber auf KI-Workloads spezialisiert. |
Open Source: Der Teil, über den kaum jemand spricht
Die EU Open Source Strategy zielt darauf ab, die öffentliche Beschaffung in der EU systematisch in Richtung Open-Source-Alternativen zu verschieben und europäische Softwareunternehmen beim Aufbau offener Infrastruktur zu unterstützen.
Wenn Behörden, Schulen und öffentliche Institutionen zunehmend Open-Source-Lösungen bevorzugen, öffnet sich ein Beschaffungsmarkt, der jahrelang von proprietären Anbietern wie Microsoft oder SAP dominiert wurde. Für europäische Technologieunternehmen, die auf offenen Standards aufbauen, ist das ein struktureller Vorteil, der nicht von Jahrzehnten Vorlaufzeit abhängt, sondern von Kaufentscheidungen.
Konkret sieht die Strategie vor, dass öffentliche Einrichtungen bei der Software-Beschaffung Open-Source-Lösungen gleichwertig zu proprietären Alternativen behandeln und bei vergleichbarer Funktionalität bevorzugen. Das ist keine Absichtserklärung, sondern ein beschaffungspolitischer Rahmen, der direkte Auswirkungen auf Ausschreibungen hat.
Die Open-Source-Strategie ist die einzige Komponente des Pakets, die Marktanteile direkt verschieben kann, ohne dass eine Halbleiterfabrik gebaut oder ein Gesetz vollständig ratifiziert werden muss.
Eigene Einschätzung auf Basis: ERP Today, Digital Watch Observatory, Europäische Kommission, Juni 2026
Warum Abwarten hier teuer wird
Das Paket ist vorgeschlagen, nicht verabschiedet. Der ursprüngliche Chips Act brauchte zwei Jahre von der Vorlage bis zur Verabschiedung. CADA berührt die Interessen grosser Handelspartner und wird Widerstand erfahren. Trotzdem ist die regulatorische Richtung eindeutig.
Wer heute Cloud-Verträge unterzeichnet, die über 2027 hinausgehen, sollte wissen, was bei einem Anbieterwechsel passiert. Ausstiegsklauseln und Datenportabilität sind keine theoretischen Fragen mehr. Wer im öffentlichen Sektor aktiv ist oder es werden will, sollte die eigenen Daten nach Sensitivität und Regulierungsbetroffenheit klassifizieren, bevor ein Audit das verlangt. Und wer im B2G-Bereich tätig ist, sollte die Open-Source-Strategie nicht als Randthema behandeln.
Besonders Unternehmen in regulierten Sektoren, Gesundheit, Energie, Finanz, sollten prüfen, welche ihrer KI-Anwendungen in einem CADA-Tier-3-Kontext betrieben werden. Wer heute ein KI-System auf AWS oder Azure aufbaut, das Patientendaten oder kritische Infrastruktur berührt, plant unter Annahmen, die CADA explizit adressiert. Wer das heute klärt, zahlt weniger als wer es in drei Jahren unter Druck tun muss.
Juli 2026 AI Gigafactories
Ausschreibung der Europäischen Kommission über EuroHPC. Europäische KI-Trainingsinfrastruktur als strategische Reserve.
2027 Erste CADA-Labels
Bewertungsschemas für Cloud-Souveränität. Behörden beginnen mit der verpflichtenden Klassifikation ihrer Infrastruktur.
2027-2028 CADA-Wirkung auf Beschaffung
Erwartete Auswirkungen auf öffentliche Aufträge und regulierte Sektoren. Schätzung auf Basis des bisherigen Gesetzgebungsrhythmus.
2030-2033 EU-Halbleiterfabrik
Pilotproduktion für 3nm-Chips. Langfristige Infrastruktur, kein kurzfristiger Beschaffungsfaktor.
Wer gewinnt, wer verliert
Nicht jeder profitiert gleich. Einige gewinnen Terrain, andere verlieren es.
Wer profitiert:
– OVHcloud, Scaleway, IONOS, STACKIT
– Open-Source-Anbieter
– Sovereign-AI-Anbieter mit EU-Basis
– Rechenzentrum-Betreiber in der EU
Wer unter Druck gerät:
– AWS, Azure, Google Cloud bei Tier-3- und Tier-4-Vergaben
– Software mit US-Cloud-Lock-in
– Integratoren ohne EU-Alternative
Was Unternehmen jetzt tun sollten
CADA ist noch nicht in Kraft. Aber die Richtung ist klar genug, um heute Entscheidungen daran auszurichten.
| Wenn Sie … | Jetzt handeln |
| KMU mit Cloud-Verträgen | Prüfen, welche Anbieter strukturell unter EU-Recht stehen. Ausstiegsklauseln und Datenportabilität in neuen Verträgen sicherstellen. |
| Öffentlicher Sektor / B2G-Anbieter | Cloud-Abhängigkeiten kartieren. Frühzeitig klären, welche Workloads Tier-3-Anforderungen unterliegen. |
| Gesundheitsversorgung | Patientendaten-Workloads identifizieren und prüfen, ob der Betreiber strukturell EU-souverän ist. AWS Frankfurt genügt für Tier 2, nicht für Tier 3. |
| Energiesektor | KI-Infrastruktur auf europäische Alternativen prüfen. Die Energie-KI-Roadmap des Pakets hat direkte Auswirkungen auf regulierte Infrastruktur. |
| Finanzdienstleistungen | Datensouveränitätsrisiken bei bestehenden KI-Systemen bewerten. Regulatoren werden CADA-Compliance zunehmend als Kriterium einsetzen. |
EU AI Act: Was CADA nicht erledigt
CADA und der EU AI Act werden in der Debatte oft in einen Topf geworfen. Sie sind aber zwei verschiedene Gesetze mit unterschiedlichen Mechanismen. CADA regelt, wer die Cloud betreibt. Der AI Act regelt, welche KI-Systeme unter welchen Bedingungen eingesetzt werden dürfen.
Der EU AI Act ist seit August 2024 in Kraft und wird stufenweise vollständig durchgesetzt. Für Hochrisiko-KI-Systeme, also Anwendungen in den Bereichen Gesundheit, kritische Infrastruktur, Beschäftigung und öffentliche Verwaltung, gilt ab dem 2. Dezember 2027 volle Durchsetzungspflicht (nach dem jüngsten AI Omnibus-Kompromiss). Anbieter müssen Risikomanagementsysteme, technische Dokumentation und menschliche Aufsicht nachweisen. Deployer, also Unternehmen, die KI-Systeme einsetzen, haften mit.
In der Praxis überlappen sich die beiden Gesetze: Ein KI-System, das auf einer US-Cloud läuft und Hochrisiko-Daten verarbeitet, muss AI-Act-konform und, je nach Sektor, CADA-konform sein. Zusammen legen sie fest, was „souveräne KI“ in der EU in den nächsten Jahren konkret bedeutet.
Das Gegenargument
Kritiker argumentieren, dass Souveränitätsanforderungen kurzfristig den Wettbewerb einschränken und Kosten erhöhen. Wer EU-Anbieter bevorzugt, zahlt heute oft mehr für weniger Skalierbarkeit.
Stimmt zum Teil, aber der Einwand ist unvollständig. Erstens: Die Marktkonzentration bei AWS, Azure und Google ist selbst ein Kostentreiber. Wer keine reale Alternative hat, verhandelt schlechter. Zweitens: Regulatorischer Druck schafft Nachfrage für europäische Anbieter, die dann investieren und skalieren können. Drittens: Die eigentliche Frage ist nicht Preis heute vs. Preis morgen, sondern ob man in drei Jahren noch die Kontrolle hat. Wer Verträge während laufender Audits umstrukturieren muss, zahlt mehr als wer es heute freiwillig tut.
Ein konkretes Beispiel
Ein Krankenhaus, das KI-gestützte Diagnostik auf AWS Frankfurt betreibt, erfüllt Tier 2. Datenlokalisierung ist gewährleistet, DSGVO wird eingehalten. Sobald das System jedoch in kritische Versorgungspfade eingebunden ist, stellt sich die Tier-3-Frage. AWS Frankfurt ist ein US-Unternehmen und erfüllt die strukturelle Souveränitätsanforderung von Tier 3 nicht.
In diesem Fall muss nicht sofort migriert werden. Aber die Frage sollte heute beantwortet sein: Welcher Anbieter ist die Alternative, was kostet eine Migration, wie lang dauert Datenportabilität technisch? Wer das nicht weiß, verliert Verhandlungsmöglichkeiten.
Das eigentliche Problem: der gesamte KI-Stack
Die Debatte über Cloud-Souveränität greift zu kurz, wenn man nur den Datenspeicher betrachtet. Die strukturelle Abhängigkeit Europas reicht tiefer, in Rechenleistung, Modelle und Kapital.
| über 80% der KI-Beschleuniger weltweit stammen von NVIDIA, einem US-amerikanischen Unternehmen. Wer heute ein KI-System trainiert oder betreibt, nutzt mit hoher Wahrscheinlichkeit US-Hardware.
Quelle: Motley Fool / Silicon Analysts, 2026 |
| 75% des globalen KI-Risikokapitals floss 2025 in US-Unternehmen (194 Mrd. USD). Die EU27 erhielt 6% (15,8 Mrd. USD). Das Kapital folgt den Modellen, und die Modelle folgen dem Kapital.
Quelle: OECD Venture Capital in AI, Februar 2026 |
| 2024 produzierten US-Institutionen 40 als „notable“ eingestufte KI-Modelle. China produzierte 15. Europa produzierte 3. Souveränität beginnt nicht beim Server, sondern beim Modell.
Quelle: Stanford AI Index 2025 / 2026 |
Das Paket adressiert die Cloud-Schicht und beginnt, die Compute-Schicht anzugehen (AI Gigafactories, Chips Act 2.0). Die Modell-Schicht bleibt weitgehend offen. Solange Europa keine wettbewerbsfähigen Foundation-Models in Skalierung bringt, ist Cloud-Souveränität eine notwendige, aber keine hinreichende Bedingung für echte digitale Unabhängigkeit.
Was das für KMU konkret heisst
CADA wird Unternehmen, die im öffentlichen Sektor oder in regulierten Sektoren tätig sind, irgendwann mit einer schlichten Frage konfrontieren: Wer betreibt meine KI-Infrastruktur, und unter welchem Recht? Großkonzerne haben Rechtsabteilungen und Cloud-Teams, die das intern klären. Für KMU ist das schwieriger.
Was agentivo hier bietet, ist nicht erst relevant, wenn CADA in Kraft tritt: KI-Infrastruktur auf EU-Basis, mit vollständiger Datenkontrolle und ohne Abhängigkeit von US-Konzernen. Das entspricht schon heute dem, was Tier-3-Konformität verlangt. KMU, die heute mit agentivo starten, treffen keine Entscheidung gegen künftige Regulierung, sondern mit ihr.
Fünf Kriterien bestimmen, ob ein KI-Einsatz für ein europäisches Unternehmen nachhaltig ist: konversationeller Aufbau, EU-AI-Act-Konformität, eigene Infrastruktur, Steuerung durch eigene Mitarbeiter und wirtschaftliche Sinnhaftigkeit für KMU. agentivo vereint diese fünf Kriterien in einer integrierten Plattform.
Verwendete Quellen
Europäische Kommission: Tech Sovereignty Package, 3. Juni 2026
The Next Web: EU tech sovereignty package curbs US cloud, Juni 2026
Digital Watch Observatory: EU Tech Sovereignty Package, Juni 2026
ERP Today: Europe Tech Sovereignty Package, 2026
Global Policy Watch: EU Tech Sovereignty Package, 4. Juni 2026
INSIGHT EU MONITORING: EU Commission targets digital dependencies, 3. Juni 2026
