Die EU-Kommission hat heute ein Maßnahmenpaket für technologische Souveränität beschlossen. Das „Tech Sovereignty Package“ soll die Abhängigkeit im IT-Sektor von Anbietern aus Drittstaaten reduzieren - und europäische Alternativen stärken. Doch was EU-Kommissarin Virkkunen als großen Wurf präsentiert, wirkt eher wie Stückwerk. Ein stimmiges Gesamtbild für den Ausstieg aus den digitalen Infrastrukturen von Big Tech ergibt sich aus dem Paket nicht.
Kurz & Knapp
In der Open-Source-Strategie und einem Cloud Act 2.0 finden sich viele kluge Analysen und warme Worte. Doch was fehlt sind finanzielle Zusagen und konkrete Schritte. Brüssel hofft offenbar darauf, dass Mitgliedstaaten und große Firmen die notwendigen Großinvestitionen stemmen. Es bleibt weitgehend unklar, wie die EU das Ziel erreichen will, ihre Kapazitäten an Rechenzentren zu verdreifachen und zu einem wichtigen Akteur im Bereich KI-Chips zu werden.
Die größte Neuerung steckt im „Cloud and AI Development Act“: Erstmals definiert die EU-Kommission selbst, was sie unter einer „souveränen Cloud“ versteht. Künftig sollen die Mitgliedstaaten dazu verpflichtet sein, eine Risikoanalyse durchzuführen, bevor sie Cloud-Services beschaffen. Je nach Einsatzbereich gibt es vier aufsteigende Stufen. In sensiblen Bereichen, wie innere oder äußere Sicherheit, dürfen dann nur durch EU-Unternehmen kontrollierte Lösungen oder solche aus vertrauenswürdigen Partnerländern zum Einsatz kommen – ob darunter auch die USA fallen, will die EU-Kommissarin nicht final beantworten. Die Entscheidung, ob Amazon AWS, Google oder Microsoft faktisch ausgeschlossen sind, verbleibt wohl bei den Mitgliedstaaten und Auditoren, die den Einzelfall prüfen. Ein Befreiungsschlag von Big-Tech-Abhängigkeiten ist das nicht. Doch immerhin dürften die es die vier Risikostufen erschweren, unreflektiert auf die marktdominanten US-Hyperscaler zu setzen. Die Nachfrage nach europäischen Alternativen dürfte ein wenig steigen - jedenfalls im öffentlichen Sektor, den der CADA unmittelbar adressiert.
Digital rights need a strong voice — your support helps make it heard.
As a non-profit organisation, we rely on donations to fund our work. Help us curb abuses of power and strengthen digital sovereignty.
Die Ausgangslage: Wenig souverän, hohe Abhängigkeit von USA
Die EU bezieht pro Jahr digitale Dienstleistungen im Wert von über 300 Milliarden Euro aus den USA. Mehr als 80% ihrer digitalen Produkte, Dienste, Infrastrukturen und das dazugehörige geistige Eigentum beziehen privater und öffentlicher Sektor aus dem nicht-europäischen Ausland. Allein die Bundesregierung gab zuletzt jährlich knapp 500 Millionen für Microsoft-Lizenzen pro Jahr aus, 650 Millionen jährlich gehen an Larry Ellison‘s Oracle.
Auf einem Europäischen Gipfel für digitale Souveränität im November 2025 hatten der deutsche Bundeskanzler Friedrich Merz, der französische Präsident Emmanuel Macron und die EU-Kommissarin Henna Virkkunen noch ein starkes Signal gesendet: Europa werde sich angesichts der geopolitischen Veränderungen nun entschlossen auf den Weg in die digitale Souveränität machen. Die nationalen Regierungen und die EU-Institutionen arbeiten seitdem an Lösungen.
Was hat die EU-Kommission konkret vor?
Das „Tech Sovereignty Package“ ist ein erster Schritt und besteht aus vier Maßnahmen: einem Gesetzentwurf für die Entwicklung von KI und Cloud, einem Chips Act 2.0, einer Open-Source-Strategie und einer Strategie für KI und Digitalisierung im Energiebereich.
Up to date in 5 minutes
Once a week, get the top stories from the past seven days and the most interesting finds delivered as a newsletter.
Cloud and AI Development Act (CADA)
Mit dem „Cloud and AI Development Act“ (CADA) will die EU-Kommission erstmals rechtlich festzurren, was eine „souveräne Cloud“ eigentlich ist. Daran arbeitet seit dem Europäischen Gipfel für digitale Souveränität im November auch eine deutsch-französische Taskforce. Mit vier Souveränitäts-Stufen will Brüssel den Mitgliedstaaten einen Maßstab an die Hand geben, um künftig mehr „souveräne“ Clouds und KI-Lösungen zu beschaffen. Wenn eine Behörde künftig Cloud-Lösungen ausschreibt, muss sie zuerst eine Risikoanalyse durchführen.
Für die Entscheidung, ob der Cloud-Service auf den vier Stufen als „souverän“ gilt, sollen das Ausmaß an Kontrollmöglichkeit über den Dienst und die Lieferkette, das Ausmaß an Verarbeitung von KI-Inferenzdaten sowie der Standort der Infrastruktur und das Niveau der Cybersicherheit entscheiden. Ein wichtiger Faktor ist die Frage, ob ausländische Staaten Zugriff auf Cloud-Daten erlangen oder die Infrastruktur durch einen „kill switch“ abschalten können. In besonders sensiblen Bereichen – man denke an Verteidigung oder Polizei – könnten Behörden dann zu dem Ergebnis kommen, dass es geboten ist, nur auf europäische Soft- und Hardware oder nur auf Anbieter aus vertrauenswürdigen Partnerländern zu setzen.
Auf der Pressekonferenz deutete EU-Kommissarin Virkkunen an, dass auf Stufe 3 oder 4 derzeit wohl keine US-Konzerne zum Zuge kommen könnten. Als Grund nennt sie den US Cloud Act, der es US-Sicherheitsbehörden erlaubt, Daten von Unternehmen herauszuverlangen – auch, wenn sie in der EU gespeichert sind. Um der US-Jurisdiktion zu unterliegen, genügt es schon, dass ein Unternehmen Geschäftsbeziehungen in den USA unterhält. Doch was ist mit Konstellationen, in denen US-Konzerne als Subunternehmer oder Technologielieferant an einer Cloud-Infrastruktur mitwirken? Auf Nachfrage, ob die EU-Kommission die USA auch künftig als vertrauenswürdigen Partner einstufen wird, reagierte Virkkunen ausweichend. Die EU-Kommissarin verweist auf die Mitgliedstaaten und Audit-Firmen, die den Einzelfall prüfen sollen.
Eine klare Absage an Big Tech und pseudo-souveräne Lösungen ist das nicht. Es ist eine Hilfestellung, ein sanfter Fingerzeig in Richtung europäischer Alternativen – aber kein Befreiungsschlag. Sich aus einer strukturellen Abhängigkeit durch eine Risikoanalyse zu lösen, die ohnehin nur für die öffentliche Verwaltung gilt und viel Auslegungsspielraum lässt, wirkt alles anderes als mutig. Ob dadurch genug Nachfrage nach europäischen Lösungen entsteht, die dann auch die Wirtschaft nutzt, erscheint fragwürdig. Und so analytisch reizvoll es auch sein mag, eine Risikomatrix zu bauen: Wo Auslegungsspielraum bleibt, werden die Lobbyisten und Anwälte von Amazon, Google und Microsoft ihre Argumente in die Waagschale werfen und Einfluss auf Vergabestellen ausüben.
Ein anderer Aspekt des CADA ist das Ziel, im Bereich Rechenzentren „die EU-Kapazitäten in den nächsten 5 bis 7 Jahren zu verdreifachen und die für die Union erforderliche Kapazität bis 2035 zu erreichen“. Wie genau die EU-Kommission das Ziel erreichen will, bleibt unklar. Der CADA soll es ermöglichen, bestimmte „data center acceleration“-Zonen auszuweisen, in denen Rechenzentren schnell, strukturiert und nachhaltig entstehen können. Durch staatliche Vermittlung, schnellere Genehmigungsverfahren und Musterverträge soll dies künftig leichter werden. Richtig konkret klingt das alles nicht.
Digital rights need a strong voice — your support helps make it heard.
As a non-profit organisation, we rely on donations to fund our work. Help us curb abuses of power and strengthen digital sovereignty.
Chip Act 2.0
Mit einem Chip Act 2.0 will die EU-Kommission die Nachfrage nach europäischen Halbleitern und KI-Chips stärken. Denn ohne Abnehmer kein Markt. Virkkunen erwartet, dass der Halbleiter-Markt bis 2030 zu 70% durch KI-Chips wie von NVIDIA dominiert sein wird. Die EU will hier nun eigene Kapazitäten aufbauen. Der erste Chip Act setzte vor allem auf ein besseres Angebot. Insgesamt flossen wohl 32 Milliarden an Mitteln an Unternehmen, Start-Ups und Förderprojekte ab, um die die Halbleiter-Industrie anzukurbeln. Doch zum Beispiel die Intel-Chipfabrik in Magdeburg, die aus den EU-Mitteln subventioniert werden sollte, kam nie.
Auf Nachfrage äußert sich Virkkunen vage, wie es der EU künftig genau gelingen soll, mehr als etwa 10 % der weltweit hergestellten Halbleiter zu produzieren. Es ist jedenfalls fragwürdig, ob Beschaffungsgemeinschaften und sog. „demand accelarators“ einen Wachstumsmarkt für KI-Chips auf dem europäischen Kontinent befeuern können. Die EU-Kommissarin kündigt an, man wolle bis 2030 zusammen mit Mitgliedstaaten und Unternehmen in einer ersten Pilotphase sein. Ambitioniert klingt anders.
Darüber hinaus soll der Chip Act 2.0 neue Notstandsbefugnisse schaffen, um in Lieferketten einzugreifen, wenn es brenzlig wird. Das ist als Reaktion auf die Exportkontrollen der US-Regierung auf KI-Chips von Nvidia und Co. zu verstehen. Wenn es hart auf hart kommt, will die EU-Kommission sicherstellen, dass europäische Halbleiter auf dem Kontinent bleiben – die Hersteller müssten dann priorisieren und dürften bestehende Verträge mit ausländischen Anbietern mitunter nicht mehr erfüllen.
Open-Source-Strategie
Mit einer Open-Source-Strategie will die EU die Abhängigkeit von proprietärer US-Software reduzieren. Die EU-Kommission verweist auf die Diskrepanz zwischen IT-Einkäufe aus den USA in Höhe von 264 Milliarden Euro auf der einen – und 3 Millionen Menschen in der EU, die zu Open-Source-Lösungen beitragen. Die EU-Kommission will das bestehende Ökosystem stärken und ausbauen, bei eigenen IT-Großprojekten wie die EUID-Wallet konsequent auf offenen Quellcode setzen und die eigenen Mastodon-Instanzen ausbauen. Inhaltlich bietet das Strategiepapier wenig Neues. Aber es ist immerhin ein Bekenntnis, das auch mit Fördermilliarden unterlegt sein soll.
Strategic Roadmap for Digitalisation and AI in Energy
Up to date in 5 minutes
Once a week, get the top stories from the past seven days and the most interesting finds delivered as a newsletter.
Eine weitere Strategie zielt darauf, die Energieversorgung stärker zu digitalisieren und den Ausbau von nachhaltigen Rechenzentren zu beschleunigen. Die Vorgaben für energieeffiziente und ressourcenschonende Rechenzentren sollen überarbeitet und angeschärft werden – am Ende könnte ein Energieeffizienz-Siegel für Rechenzentren stehen. Darüber hinaus sollen EU-weit digitale Zwillinge („digital twins“) der Versorgungsinfrastruktur entstehen. Rechenzentren sollen künftig auch dazu beitragen, das Stromnetz zu stabilisieren, und in der Infrastrukturplanung stärker Berücksichtigung finden. Die EU-Kommission kündigt zudem an, künftig Vereinbarungen zwischen Stromproduzenten, Verbraucherinnen, Rechenzentren und anderen Akteuren vermitteln zu wollen. Auch die Abwärme großer Rechenzentren soll konsequenter genutzt werden, statt zu verpuffen.
Welche Investitionen und Fördersummen sind geplant?
Ein Blick auf die Zahlen zeigt, dass die EU-Kommission selbst nur beschränkt Geld in die Hand nehmen will. Bei den erhofften Investitionen in Höhe von 120 Milliarden Euro bis 2035 für das Halbleiter-Ökosystem und den 200 Milliarden Euro für den Ausbau der Rechenzentrumskapazitäten bis 2036 hofft die Kommission auf überwiegend private Quellen. Für eine Forschungs- und Innovationsinitiative nach dem CADA sind rund 2 Milliarden Euro in den nächsten 7 Jahren auf EU-Ebene angedacht. Zur Umsetzung der Open-Source-Strategie soll in den nächsten sieben Jahren ein Budget von 2 Milliarden Euro durch den öffentlichen und den privaten Sektor mobilisiert werden. Dabei handelt es sich um relativ geringe Beträge, die nicht ausreichen, um die Marktmacht von Big Tech zu überwinden.
Der Worte sind genug gewechselt - wo sind die Taten?
Es ist zweifelhaft, ob die Maßnahmen des „Tech Sovereignty Package“ eine spürbare Wirkung entfalten werden. Es fehlt an den notwendigen Investitionen – und an klaren und verpflichtenden Regeln durch die EU selbst. Stattdessen gibt es unklare Prognosen und eine Hoffnung auf privates Kapital.
Dass EU-Kommissarin Virkkunen von der Gefahr eines „kill switch“ warnt, den ausländische Mächte betätigen könnten, um unsere digitale Infrastruktur auszuschalten, zeigt immerhin: Brüssel ist sich bewusst, was auf dem Spiel steht. Aber eine Risikoanalyse für Cloud-Lösungen mit viel Auslegungsspielraum, bei denen einzelne Behörden oder Auditoren das letzte Wort haben, ist alles andere als die politische Entschlossenheit, die es bräuchte. Es wirkt eher wie ein Wegdelegieren und ein sanftes Anregulieren als eine Richtungsentscheidung. So wird es nichts mit dem engagierten Aufbruch zur digitalen Souveränität.
Redaktion: Joris Kanowski
Digital rights need a strong voice — your support helps make it heard.
As a non-profit organisation, we rely on donations to fund our work. Help us curb abuses of power and strengthen digital sovereignty.