Souveränitäts-Washing: 25 europäische Cloud-CEOs fordern Klartext von der EU

25 Chefs europäischer Cloud-Unternehmen haben genug von hohlen Versprechen. In einem offenen Brief an die EU-Kommission fordern sie: Der geplante Cloud and AI Development Act (CADA) muss echte Souveränität definieren – und nicht zum Feigenblatt für schein-souveräne Angebote von US-Hyperscalern werden.

Der Brief vom 17. März 2026 richtet sich an Henna Virkkunen, die als Executive Vice-President für technologische Souveränität in der EU-Kommission federführend für CADA verantwortlich ist. Unterzeichnet haben die CEOs der im Branchenverband CISPE (Cloud Infrastructure Service Providers in Europe) organisierten Unternehmen. Ihr Vorwurf: AWS, Microsoft Azure und Google Cloud dominieren mit rund 70 Prozent Marktanteil den europäischen Cloud-Markt – und verkaufen sich dabei als „souverän", obwohl sie dem US CLOUD Act unterliegen und damit US-Behörden im Zweifel Zugriff auf europäische Daten gewähren müssen.

CISPE nennt das beim Namen: „Souveränitäts-Washing".

Fünf Forderungen gegen Schein-Souveränität

Die fünf Prinzipien, die CISPE in den CADA aufgenommen sehen will, sind klar formuliert:

Erstens: Souveränität muss über tatsächliche Kontrolle definiert werden – nicht über den bloßen Standort eines Rechenzentrums in der EU. Entscheidend für die Frage der Souveränität muss sein, wer die Infrastruktur betreibt, wem das Unternehmen gehört und welchem Rechtsraum es unterliegt.

Zweitens: Wo volle Souveränität nicht sofort umsetzbar ist, muss Resilienz sichergestellt werden – durch kundenseitig kontrollierte Verschlüsselung, Datenportabilität und technische Reversibilität. Konkret geht es darum, den Schutz vor extraterritorialen Zugriffen wie dem US CLOUD Act zu gewährleisten.

Drittens: Die Unterzeichner fordern reservierte Beschaffungsanteile für europäische Anbieter – nach dem Prinzip „Buy European – Ensure Resilience – or Explain". Große Rahmenverträge, die europäische Anbieter faktisch ausschließen, sollen verhindert werden.

Viertens: Wettbewerb und Interoperabilität sollen gestärkt, die wettbewerbswidrige Bündelung von KI- und Cloud-Diensten unterbunden und die Rolle von Open-Source-Software gestärkt werden.

Fünftens: Steuerfinanzierte Investitionen in Cloud- und KI-Infrastruktur sollen vorrangig dem europäischen Ökosystem zugutekommen.

Warum der Zeitpunkt kein Zufall ist

CADA ist das erste EU-Gesetz, das sich explizit an Cloud-Dienste und Künstliche Intelligenz richtet. Die EU-Kommission hatte den Entwurf für das erste Quartal 2026 angekündigt. Die Befürchtung der europäischen Anbieter: Wenn die Souveränitätsdefinition im Gesetz zu weich ausfällt, legitimiert Brüssel genau das, was die Branche als „Sovereignty Washing" kritisiert – und zementiert die Dominanz der US-Hyperscaler statt sie aufzubrechen.

CISPE-Generalsekretär Francisco Mingorance bringt es auf den Punkt: CADA sei eine „einmalige Chance, Europa in der digitalen Wirtschaft wieder nach vorne zu bringen". Man dürfe diese nicht verspielen, indem man Souveränitäts-Washing legitimiere.

Microsoft vor dem französischen Senat: „Nein, das kann ich nicht garantieren"

Dass die Kritik an den Souveränitätsversprechen der Hyperscaler nicht aus der Luft gegriffen ist, hat Microsoft selbst bestätigt. Im Juni 2025 wurde Anton Carniaux, Chefjustiziar von Microsoft Frankreich, vor dem französischen Senat unter Eid gefragt, ob er garantieren könne, dass Daten französischer Bürger niemals ohne Zustimmung französischer Behörden an US-Behörden weitergegeben würden. Seine Antwort fiel unmissverständlich aus: Er könne das nicht garantieren.

Dieses Eingeständnis betrifft nicht nur Microsoft. Jeder US-Anbieter unterliegt dem CLOUD Act – und damit derselben strukturellen Schwäche. Egal wie viele „EU Data Boundaries", „Sovereign Clouds" oder „Data Guardian"-Programme sie aufsetzen: Solange die Konzernmutter in den USA sitzt, bleibt der Zugriff durch US-Behörden rechtlich möglich.

Washington macht Druck: US-Regierung stellt sich gegen Europas Souveränitätsinitiativen

Wer den CISPE-Brief als reine Branchenpolitik abtut, übersieht den geopolitischen Kontext. Die US-Regierung hat unmissverständlich klargemacht, dass sie europäische Regulierung im Digitalbereich als Angriff auf amerikanische Unternehmen betrachtet – und bereit ist, dagegen vorzugehen.

Bereits am 21. Februar 2025 unterzeichnete Präsident Trump ein Memorandum mit dem Titel „Defending American Companies and Innovators from Overseas Extortion and Unfair Fines and Penalties". Darin wird europäische Digitalregulierung offen als „Erpressung" und „unfaire Bestrafung" amerikanischer Unternehmen bezeichnet. Das Memorandum ermächtigt den US-Handelsbeauftragten, Vergeltungszölle gegen Länder zu prüfen, deren Steuer- oder Regulierungsstruktur „diskriminierend" oder „unverhältnismäßig" auf US-Unternehmen wirkt.Namentlich genannt werden unter anderem Frankreich, Italien und Spanien.

Der Text zielt nicht nur auf Digitalsteuern: Er richtet sich ausdrücklich auch gegen Regulierungen, die „die globale Wettbewerbsfähigkeit oder den beabsichtigten Betrieb von US-Unternehmen untergraben". Das EU Institute for Security Studies (EUISS) ordnet das Memorandum als offenen Versuch ein, europäische Gesetzgebung zu beeinflussen – und als Signal, dass digitale Themen nicht mehr Gegenstand transatlantischer Kooperation sind, sondern zum Hebel in einem eskalierenden Wirtschaftskonflikt werden.

Ende 2025 verschärfte Washington den Ton weiter: US-Handelsminister Howard Lutnick verknüpfte bei einem Besuch in Brüssel den Abbau europäischer Digitalregulierung direkt mit möglichen Zollerleichterungen. Und die Trump-Administration verhängte Visa-Sanktionen gegen fünf europäische Bürger, darunter den ehemaligen EU-Kommissar Thierry Breton – mit der Begründung „extraterritorialer Zensur".

Die Ironie ist offensichtlich: Eine US-Regierung, die europäische Datenschutzgesetze und Souveränitätsinitiativen als „Erpressung" bezeichnet, erwartet gleichzeitig, dass europäische Unternehmen und Behörden ihre sensibelsten Daten bedenkenlos US-Anbietern anvertrauen – die demselben CLOUD Act unterliegen, den die EU als strukturellen Rechtskonflikt identifiziert hat. Wer in dieser Konstellation noch von „Partnerschaft auf Augenhöhe" spricht, hat den Ernst der Lage nicht verstanden.

Studie: 83 Prozent halten Cloud-Abschaltung für realistisch

Parallel zum CISPE-Brief liefert eine aktuelle Studie von Lünendonk & Hossenfelder alarmierende Zahlen: 83 Prozent der befragten Unternehmen in der DACH-Region halten ein sogenanntes „Kill-Switch-Szenario" für realistisch – also die Möglichkeit, dass ein Cloud-Provider den Zugang zu kritischen IT-Services einseitig einschränkt oder abschaltet. Gleichzeitig verfügen nur 57 Prozent über eine Exit-Strategie. Fast die Hälfte hat keinen Plan B.

Besonders aufschlussreich: 96 Prozent der befragten Unternehmen erwarten, dass digitale Souveränität in den nächsten drei Jahren weiter an Bedeutung gewinnt – selbst bei einer Entspannung der geopolitischen Lage.

Die Stunde der europäischen Anbieter

Die lokalen Cloud-Anbieter halten derzeit einen Marktanteil von rund 15 Prozent. Mit CADA könnten sie insbesondere bei öffentlichen Aufträgen und im Umgang mit sensiblen Daten Boden gutmachen. Dass europäische Investitionen in souveräne Cloud-Infrastruktur laut Gartner von 6,9 Milliarden Dollar (2025) auf 23,1 Milliarden Dollar (2027) steigen sollen, unterstreicht die Dynamik.

Das EU-Parlament hatte bereits im Januar 2026 mit breiter Mehrheit eine Resolution zur „European technological sovereignty and digital infrastructure" verabschiedet – der bislang deutlichste politische Schritt, Europas Abhängigkeiten in kritischen Bereichen zu reduzieren.  Auch der Bundestag diskutiert einen umfassenden Umbau seiner IT weg von Microsoft und hin zu europäischen Lösungen.

Was echte Souveränität in der Praxis bedeutet

CISPE vergleicht die Verwässerung des Souveränitätsbegriffs mit dem Phänomen des Greenwashings: Ein Cloud-Dienst ist entweder souverän oder er ist es nicht. Eine „75-Prozent-Souveränität" gibt es nicht – genauso wenig wie „75 Prozent Bio".

Vier Prüffragen helfen, Schein-Souveränität von echter Souveränität zu unterscheiden:

Jurisdiktion: Unterliegt der Anbieter ausschließlich EU-Recht – oder auch dem Recht von Drittstaaten?

Schlüsselkontrolle: Wer hält die Verschlüsselungsschlüssel wirklich? „Verschlüsselt" reicht nicht, wenn der Anbieter die Schlüssel kontrolliert.

Portabilität: Gibt es Standards, Exit-Pläne und getestete Migrationspfade?

Betrieb: Liegen alle Admin-Zugänge, Support-Prozesse, Updates und Incident-Response in Europa?

Warum SecureCloud bei Souveränität keine Kompromisse macht

SecureCloud gehört zu den europäischen Cloud-Anbietern, die von einer konsequenten Souveränitätsdefinition im CADA direkt profitieren – weil sie die Anforderungen bereits heute erfüllen. Unsere gesamte Infrastruktur steht ausschließlich in Deutschland: eigene Hardware, betrieben in Colocation bei noris network in Nürnberg. Keine US-Muttergesellschaft, keine Drittstaaten-Abhängigkeiten, keinerlei Angriffsfläche für den US CLOUD Act oder den Patriot Act.

SecureCloud ist BSI C5-testiert, ISO 27001-zertifiziert und DSGVO-konform. Die Plattform umfasst SecureShare für verschlüsselten Datenaustausch, SecureWork für kollaboratives Arbeiten mit nachvollziehbaren Rechten und Versionen, SecureSign für rechtsverbindliche digitale Signaturen und SecureMail für abgesicherte E-Mail-Kommunikation.

Gerade für Organisationen in hoch regulierten Branchen – Kanzleien, Kliniken, Finanzdienstleister, Behörden, verarbeitende Industrie – bedeutet das: echte Datensouveränität ohne Abstriche. Und der Wechsel ist einfacher und schneller, als die meisten denken.

Fazit: CADA darf kein Etikettenschwindel werden

Die Forderungen der 25 europäischen Cloud-CEOs sind berechtigt und überfällig. Wenn der Cloud and AI Development Act Souveränität als das definiert, was sie ist – Kontrolle, nicht Standort –, könnte Europa endlich ein wirksames Instrument gegen die strukturelle Abhängigkeit von US-Technologie bekommen. Wenn nicht, wird CADA zum nächsten Beispiel für Regulierung, die gut gemeint ist, aber an der Realität vorbeigeht.

Für Unternehmen mit sensiblen Daten ist die Botschaft klar: Warten Sie nicht auf die Regulierung. Prüfen Sie jetzt, wie souverän Ihr Cloud-Stack wirklich ist – und ob Ihre Daten im Ernstfall wirklich unter Ihrer Kontrolle bleiben.

Wenn Sie wissen möchten, wie ein Wechsel auf eine vollständig souveräne Cloud-Infrastruktur in der Praxis aussieht, sprechen Sie uns an – oder testen Sie SecureCloud kostenlos.