Das EU-Parlament macht Druck: Europa soll sich in kritischen Bereichen schneller von US-Clouds und Big-Tech-Abhängigkeiten lösen und eigene Infrastruktur für Cloud und KI aufbauen. Hintergründe: Rechtskonflikte durch den US CLOUD Act, Dienstsperren in politischen Konflikten und ein massiver Geldabfluss aus der EU in digitale US-Dienste.
Das EU-Parlament hat mit breiter Mehrheit eine Resolution zur „European technological sovereignty and digital infrastructure“ verabschiedet – und damit den bislang deutlichsten politischen Schritt gemacht, um Europas Abhängigkeit von US-Technologien in kritischen Bereichen zu reduzieren. Der Kern: Europa soll eigene Cloud- und KI-Kapazitäten massiv ausbauen, offene Standards und Interoperabilität zur Pflicht machen, und Open Source stärken. Das Ganze wird über den „EU cloud and AI development act“ gefördert und beschleunigt.
Die Fakten: Wie abhängig Europa wirklich ist
Das Dokument belegt eine Zahl, die eigentlich kein Geschäftsführer*in einer Behörde, KRITIS, Klinik oder Kanzlei mehr ignorieren kann: Die EU, heißt es darin wörtlich, „relies on non-EU countries for over 80% of digital products, services, infrastructure and intellectual property“ – also in einem Großteil dessen, was den täglichen operativen IT-Betrieb trägt.
Es ist aber noch nicht einmal nur Technik, es ist auch die Wertschöpfung: Der Rat der EU beziffert das Dienstleistungsbilanzdefizit der EU gegenüber den USA für 2024 auf rund 148 Mrd. Euro – also reale Wertschöpfung, die Jahr für Jahr aus der EU abfließt.
Zwei Risiken, die man trennen muss
In der Praxis geht es um zwei unterschiedliche Gefahren, denen die EU mit unterschiedlichen Gegenmaßnahmen begegnen will:
- Datenzugriff / Rechtskonflikt (Cloud Act) und
- Dienstsperre / politische Erpressbarkeit
1. Cloud Act: Warum „Rechenzentrum in der EU“ nicht “souverän” genug ist
Der US CLOUD Act hat 2018 klargestellt, dass US-Anbieter Daten herausgeben müssen, über die sie „possession, custody, or control“ haben – unabhängig davon, wo diese Daten gespeichert sind. Damit ist Region „EU“ allein kein Schutzschild mehr, wenn Jurisdiktion und Kontrolle über die Daten außerhalb Europas liegen.
Aus europäischer Sicht ist das ein klassischer Clash der Rechtsräume: EDPB und EDPS haben 2019 in einer gemeinsamen Einschätzung die extraterritoriale Reichweite und mögliche Konflikte mit EU-Datenschutzrecht dokumentiert.
Dazu kommt: Artikel 48 DSGVO ist explizit dafür geschaffen worden, die Herausgabe von Daten an Drittstaaten rechtlich zu unterbinden, beziehungswese stark einzgrenzen. Der EDPB hat das 2025 noch einmal konkretisiert.
2. Dienstsperre: Wenn die Politik den Betrieb lahmlegt
Das zweite Risiko kann direkt in den Arbeitsalltag eingreifen – und tut das auch schon: Im Mai 2025 berichtete Associated Press, dass US-Sanktionen die Arbeit des Internationalen Strafgerichtshofs massiv behinderten – inklusive deaktiviertem E-Mail-Zugang; in der Berichterstattung wird Microsoft als Hebel dieser Abhängigkeit benannt. Der Effekt ist das Entscheidende – und der ist für jede Organisation mit sensiblen Mandaten relevant: Wenn ein Anbieter in einem Sanktions- oder Druckszenario Leistungen nicht mehr liefern kann oder darf, steht plötzlich nicht „nur IT“ auf dem Spiel, sondern die operative Handlungsfähigkeit.
Der IStGH reagierte genau in diese Richtung: 2025 wurde öffentlich, dass das Gericht sein Arbeitsumfeld weg von Microsoft hin zu „openDesk“ verlagern will – einer europäischen Open-Source-Suite aus dem Umfeld von ZenDiS.
Das Problem mit dem „Souveränitäts-Washing“
Die Gesellschaft für Informatik (GI) fordert „European Tech First“ in der öffentlichen Beschaffung und warnt davor, dass „souveräne Cloud“ bei Hyperscalern oft nur auf dem Papier souverän ist, wenn letztliche Kontrolle (Updates, Support, Admin-Zugriffe, Rechtszugriff) außerhalb Europas bleibt. Konkret heißt das: Labels sind egal – entscheidend für die “digitale Souveränität” sind Jurisdiktion, Schlüsselkontrolle, Portabilität und echte Exit-Optionen.
Es geht doch: Schleswig-Holstein und der Exit in Zahlen
Wer wissen will, ob „weg von Microsoft“ mehr ist als ein Gedankenspiel für Talk-Runden, sollte nach Schleswig-Holstein schauen: Die Landesverwaltung hat den Umstieg ihres Mailsystems von Exchange/Outlook auf Open-Xchange und Thunderbird abgeschlossen – mit über 40.000 Postfächern, deutlich mehr als 100 Mio. migrierte E-Mails und Kalendereinträgen.
Und dann gibt es darüber hinaus noch die harten Zahlen zur Wirtschaftlichkeit: Das Land spricht von bereits mehr als 15 Millionen Euro an eingesparten Lizenzkosten; für 2026 stehen dem einmalige Investitionen von neun Millionen Euro gegenüber.
Zugegeben: Auch dieser Change verlief nicht reibungslos. Aber das ist genau der Punkt – Souveränität ist kein PR-Programm, sondern eine strategische Grundsatzentscheidung.
Internationale Erfolgsbeispiele: Open Source in großen Flotten
Es gibt auch internationale Erfolgsgeschichten: Frankreichs Gendarmerie hat zehntausende Arbeitsplätze schrittweise auf Ubuntu („GendBuntu“) migriert; Canonical dokumentiert u. a. 85.000 PCs in einer Fallstudie, und auch die EU-Open-Source-Beobachtung hat die Migration dokumentiert.
Auch auf EU-Institutionsebene gibt es ähnliche Projekte: Der Europäische Datenschutzbeauftragte (EDPS) startete 2023 Nextcloud und Collabora als Open-Source-Pilot – als Alternative für sichere Zusammenarbeit.
Was „souveräne Cloud“ wirklich heißt
Vier Prüffragen reichen oft, um Schein-Souveränität zu identifizieren:
Jurisdiktion (unterliegt ein Unternehmen ausschließlich EU-Recht oder auch dem Recht von Drittstaaten?)
Schlüsselkontrolle (wer hält die Kontrolle über Keys wirklich?)
Portabilität (gibt es Standards, Exit-Pläne, wurde eine Rückmigration getestet?) und
Betrieb (liegen alle Admin-Zugänge, Support, Updates, Incident-Response in Europa?).
Genau in diese Richtung zielt die EU-Resolution: Europäische Dateninfrastruktur soll gestärkt, Abhängigkeiten reduziert, Interoperabilität und offene Standards durchgesetzt werden.
Was jetzt konkret zu tun ist – nach Branchen
Für öffentliche Verwaltung, Mittelstand/KRITIS, Healthcare, Kanzleien und IP-intensive Unternehmen gilt: Es ist nicht nötig, sofort alles auf einmal zu ersetzen – wichtig ist eine zügige Bestandaufnahme, um Abhängigkeiten messbar zu machen und konkrete Gegenmaßnahmen abzuleiten. Ein entsprechender Plan sollte die folgenden Aspekte abdecken:
1. Inventur der kritischen Plattformen (Cloud, Identity, Collaboration, Backup, Security, KI)
2. Schutzbedarf der Daten (Patientenakten, Mandatsdaten, Forschung, Baupläne, Quellcode)
3. Exit-Fähigkeit als verbindliches Ziel (Standards, Datenportabilität, Wiederanlauf-Szenarien).
Europäische Datensouveränität – geht das überhaupt?
Wenn Sie aus der Diskussion ein realistisches Programm ableiten wollen, sollten Sie die Optionen kennen, die in EU-Jurisdiktion betrieben werden, alle technischen Anforderungen erfüllen und sauber migrierbar sind: souveräne IaaS/PaaS als Basis, Managed Nextcloud als europäische Collaboration-Alternative, Backup/Disaster-Recovery mit getesteten Restore-Prozessen und Beratung/Migration, um Lock-in kontrolliert abzubauen.
Fazit
Die These aus der EU-Resolution trifft in Zeiten, in denen eine US-Administration die eigenen Verbündeten militärisch erpresst, einen Nerv: Europäische digitale Souveränität ist nötig, möglich – und sie ist wichtig genug, um jetzt auch auf höchster Ebene politisch gefordert und gefördert zu werden. Jetzt auf echte Kontrolle umzustellen (Jurisdiktion, Keys, Exit), hat nichts mit Ideologie oder Nationalismus zu tun. Sie reduziert das Betriebsrisiko, stärkt Compliance und schützt Intellectual Property.