EU-Parlamentssitzungssaal mit Flaggen der Mitgliedstaaten, auf einem Bildschirm ist ein Organigramm der neuen Tech-Souveränitätsgesetze sichtbar

EU-Souveränitätspaket 2026: Chips Act 2.0, Cloud and AI Development Act und was deutsche Unternehmen jetzt wissen müssen

Amazon, Microsoft und Google kontrollieren 70 % des EU-Cloudmarktes. Der US CLOUD Act zwingt sie zur Datenweitergabe. Drei neue EU-Gesetze sollen das Verhältnis neu verhandeln.

Die EU hat im Mai 2026 ein Gesetzgebungspaket zur technologischen Souveränität vorgestellt, das drei Bereiche gleichzeitig adressiert: Halbleiter-Versorgungssicherheit durch Chips Act 2.0, Datensouveränität durch den Cloud and AI Development Act sowie strukturelle Abhängigkeitsreduktion durch Open-Source-Förderung und eine Energieroadmap für Rechenzentren. Das Paket reagiert auf eine klare Diagnose: Die EU ist in kritischen Technologiebereichen strukturell abhängig von zwei externen Akteuren.

Zusammenfassung

Das EU-Souveränitätspaket 2026 besteht aus drei Säulen. Chips Act 2.0 gibt der EU Kriseneingriffsbefugnisse bei Halbleiterlieferketten, ermöglicht die Überschreibung bestehender Verträge und plant ein zentrales Chip-Einkaufssystem. Der Cloud and AI Development Act (CAIDA) verbietet sensible Gesundheits-, Finanz- und Justizdaten von EU-Behörden auf US-Cloud-Diensten und definiert vier Souveränitätsstufen, Zieldatum für den Gesetzgebungsvorschlag ist das vierte Quartal 2027. Die Open-Source-Strategie soll strukturelle Abhängigkeit von proprietärer US-Software verringern. Hintergrund: Amazon, Microsoft und Google kontrollieren rund 70 % des EU-Cloudmarktes, der US CLOUD Act von 2018 verpflichtet diese Anbieter zur Datenweitergabe auch bei EU-Serverstandorten. Im Halbleiterbereich produziert die EU weniger als 10 % des globalen Outputs, Taiwan mehr als 90 % der fortgeschrittenen Chips. Das ursprüngliche Ziel von 20 % EU-Marktanteil bis 2030 ist gescheitert, Intels geplante Fabrik in Deutschland wurde gestrichen. Kritiker monieren fehlende verbindliche Investitionszusagen, Bayern testet im Juni 2026 Microsoft-Alternativen. Investitionsziel: 120 Milliarden Euro bis 2035.

Warum die EU jetzt handelt

Die Abhängigkeit der EU von externen Technologieanbietern ist kein neues Problem, aber die geopolitischen Verschiebungen der vergangenen drei Jahre haben die Kosten dieser Abhängigkeit sichtbar gemacht. Drei Datenpunkte strukturieren die Ausgangslage.

70 %
EU-Cloudmarkt in Händen von Amazon, Microsoft und Google
< 10 %
EU-Anteil an der globalen Chipproduktion
> 90 %
Taiwan-Anteil an fortgeschrittenen Halbleitern
120 Mrd. €
EU-Investitionsziel für Tech-Souveränität bis 2035
~10 %
Tatsächlicher Chip-Zielstand statt ursprünglich angestrebter 20 %
Juni 2026
Bayern testet Microsoft-Alternativen in der Verwaltung

Der US CLOUD Act von 2018 ist der zentrale Rechtskonflikt. Er verpflichtet US-amerikanische Cloud-Anbieter dazu, auf Verlangen US-Behörden Zugang zu gespeicherten Daten zu gewähren, unabhängig vom physischen Serverstandort. Das gilt also auch für Daten, die auf AWS-Servern in Frankfurt oder Azure-Servern in Dublin liegen. Die DSGVO verbietet genau das: eine Datenweitergabe an Drittstaatsbehörden ohne entsprechende EU-Rechtsgrundlage.

Rechtlicher Kern

DSGVO und US CLOUD Act sind für Anbieter wie Amazon, Microsoft und Google strukturell unvereinbar, wenn es um sensible Daten geht. Kein Data Privacy Framework löst diesen Widerspruch auf. Die einzige vollständige Lösung ist ein Anbieter ohne US-Konzernstruktur.

Im Halbleiterbereich ist die Abhängigkeit von Taiwan besonders heikel. Taiwan produziert heute mehr als 90 % aller fortgeschrittenen Chips unterhalb von 10 Nanometer. Die EU ist beim ursprünglichen Chips Act von 2022 davon ausgegangen, ihren Weltmarktanteil bis 2030 von damals unter 10 % auf 20 % zu verdoppeln. Dieses Ziel ist de facto gescheitert: Intel hat die geplante Halbleiterfabrik in Magdeburg nach massiven Kostensteigerungen gestrichen, der EU-Anteil verharrt unter 10 %.

Das Souveränitätspaket: drei Gesetzessäulen

Das EU-Souveränitätspaket 2026 ist kein einzelnes Gesetz, sondern ein koordiniertes Bündel aus drei Initiativen, die unterschiedliche Abhängigkeiten gleichzeitig adressieren sollen.

Chips Act 2.0: Krisenreaktion statt Marktanteil

Chips Act 2.0 reagiert auf das Scheitern der ursprünglichen Ziele mit einem anderen Ansatz: statt neue Fabriken zu fördern, setzt er auf Eingriffsbefugnisse für Versorgungskrisen. Die EU soll in Engpasssituationen bestehende Halbleiterlieferverträge überschreiben und Lieferungen umleiten können. Zusätzlich sind Bußgelder von bis zu 300.000 Euro für Verstöße gegen Berichtspflichten vorgesehen, und ein zentrales EU-weites Chip-Einkaufssystem soll Verhandlungsmacht bündeln.

2022

Chips Act 1.0 verabschiedet

Ziel: 20 % EU-Weltmarktanteil bis 2030. 43 Milliarden Euro Fördervolumen. Intel kündigt Fabrik in Magdeburg an.

2024-2025

Intel streicht Deutschland-Investition

Kostensteigerungen und Nachfragerückgang veranlassen Intel, die geplante Fabrik in Magdeburg zu canceln. Das 20-%-Ziel ist faktisch gescheitert.

2026

Chips Act 2.0 im Souveränitätspaket

Kriseneingriffsbefugnisse, Vertragsdurchbrechung in Engpasslagen, zentrale EU-Chip-Beschaffung, Bußgelder bis 300.000 Euro.

Q4 2027

CAIDA-Gesetzgebungsvorschlag geplant

Zieldatum für den formellen Gesetzgebungsvorschlag zum Cloud and AI Development Act durch die EU-Kommission.

EU-Chipproduktion aktuell < 10 %
Ursprüngliches Ziel Chips Act 1.0 bis 2030 (verfehlt) 20 %
Taiwan: Anteil fortgeschrittener Chips > 90 %

Cloud and AI Development Act (CAIDA): Datensouveränität per Gesetz

Cloud and AI Development Act (CAIDA) ist eine geplante EU-Verordnung, die sensible Gesundheits-, Finanz- und Justizdaten von EU-Behörden aus Diensten mit US-Konzernmutter verbannen soll. Sie definiert vier Stufen der Cloud-Souveränität und verpflichtet zu einer Verdreifachung der EU-Rechenzentrumskapazität in fünf bis sieben Jahren. Der formelle Gesetzgebungsvorschlag ist für das vierte Quartal 2027 geplant.

CAIDA ist das politisch weitreichendste Element des Pakets. Das Verbot sensibler Behördendaten auf US-Cloud-Diensten wäre ein struktureller Markteingriff, den Amazon, Microsoft und Google als faktisches Ausschlusskriterium für bestimmte öffentliche Aufträge erleben würden. Die vier Souveränitätsstufen lehnen sich an das bestehende SEAL-Framework der EU-Kommission an, sind aber als verbindliches Recht konzipiert.

Außenansicht eines modernen europäischen Rechenzentrums mit Kühleinheiten und Sicherheitszäunen, abends beleuchtet
EU-Rechenzentrumskapazität soll laut CAIDA in fünf bis sieben Jahren verdreifacht werden - ein Ziel, das bereits hinter dem Zeitplan liegt.

Die vier Souveränitätsstufen nach CAIDA strukturieren, welche Daten auf welchen Diensten verarbeitet werden dürfen:

Stufe 1
Basisdienste ohne besondere Souveränitätsanforderungen
Stufe 2
Datensouveränität: EU-Speicherort und Schutz vor Drittstaatszugriff
Stufe 3
Operative Souveränität: EU-Lieferkette, Resilienz gegen Drittstaatsdruck
Stufe 4
Vollständige EU-Souveränität: Hardware, Software und Betrieb in EU-Hand
"Die Welt hat sich dauerhaft verändert."
Ursula von der Leyen, Präsidentin der Europäischen Kommission, zum EU-Souveränitätspaket 2026

Open-Source-Strategie und Energieroadmap für Rechenzentren

Die dritte Säule ist weniger spektakulär, aber strukturell wichtig. Die EU-Open-Source-Strategie zielt darauf ab, die Abhängigkeit von proprietärer US-Software in öffentlichen Verwaltungen zu verringern, indem Open-Source-Alternativen aktiv gefördert und in Beschaffungsprozessen bevorzugt werden. Bayern ist mit seinem Pilotprojekt im Juni 2026 ein frühes Testfeld.

Die Strategische Roadmap für KI in der Energie adressiert eine strukturelle Kollision: Der Energiebedarf von Rechenzentren wächst durch KI-Workloads schneller als die Netzplanung es bisher berücksichtigt hat. Die Roadmap soll Rechenzentren in die europäische Energiesystemplanung integrieren, damit der EU-eigene Kapazitätsaufbau nicht an Strommangel scheitert.

Was sich für deutsche Unternehmen ändert

Für deutsche Unternehmen hat das Souveränitätspaket drei konkrete Wirkungsebenen: rechtliche Pflichten, Beschaffungsregeln und Wettbewerbsposition.

DSGVO trifft US CLOUD Act: der unlösbare Widerspruch

Wer Kundendaten, Gesundheitsdaten oder Finanzdaten auf AWS, Azure oder Google Cloud verarbeitet, lebt heute in einer rechtlichen Grauzone. Die DSGVO verlangt, dass personenbezogene Daten nicht ohne gerichtliche Genehmigung nach EU-Recht an Drittstaatsbehörden übermittelt werden. Der US CLOUD Act verpflichtet die Anbieter trotzdem zur Herausgabe. Kein Data Privacy Framework löst diesen Widerspruch auf, weil er im US-Bundesrecht verankert ist.

Rechtsrahmen Verpflichtung Rechtsfolge bei Verstoß
DSGVO (EU) Keine Datenweitergabe ohne EU-Rechtsgrundlage an Drittstaaten Bis zu 4 % Jahresumsatz oder 20 Mio. EUR
US CLOUD Act (USA) Datenzugang für US-Behörden auf Anfrage, weltweit Verachtungsstrafe, Geschäftslizenz-Entzug in den USA
CAIDA (geplant) Sensible Behördendaten nur auf EU-souveränen Diensten Vergabeausschluss, Bußgelder (genaue Höhe noch offen)

Bayern als Testlabor für Microsoft-Alternativen

Bayern startet im Juni 2026 einen Pilotversuch mit Alternativen zu Microsoft in der Landesverwaltung. Der Versuch ist politisch bedeutsam, weil Bayern als Wirtschaftsstandort mit starken Industrie- und Tech-Interessen bisher zu den Bundesländern mit der stärksten Microsoft-Nutzung gehört. Wenn dort Alternativen getestet werden, ist das ein Signal für den gesamten deutschen öffentlichen Sektor.

Für Unternehmen mit öffentlichen Aufträgen

Wer Dienstleistungen für Behörden, Kommunen oder regulierte Sektoren erbringt, sollte jetzt prüfen, welche Souveränitätsstufe nach CAIDA für seine Leistung künftig Pflicht wird. Vergaben für sensible Gesundheits- und Finanzdaten werden US-Cloud-Dienste zunehmend ausschließen.

Deutsche Cloud-Anbieter als Profiteure

Anbieter wie IONOS, STACKIT der Schwarz Gruppe, Hetzner und Noris Network sind durch das Paket strukturell begünstigt. Sie haben keine US-Konzernmutter, unterliegen nicht dem US CLOUD Act und können CAIDA-Stufe-3- und Stufe-4-Zertifizierungen anstreben. Wer heute Verträge mit diesen Anbietern vorbereitet, hat 18 bis 24 Monate Vorlauf gegenüber Wettbewerbern, die erst nach CAIDA-Verabschiedung wechseln.

Kritische Einordnung

Das Souveränitätspaket ist politisch ambitioniert, aber an mehreren Stellen ohne bindende Umsetzungsgarantien. Wer die EU-Kommunikation mit den tatsächlichen Fakten abgleicht, findet drei Schwachstellen.

Keine verbindliche Investitionszusage für 120 Milliarden Euro

Das Investitionsziel von 120 Milliarden Euro bis 2035 ist in keinem vorliegenden Gesetzestext als verbindliche Verpflichtung verankert. Es handelt sich um eine politische Absichtserklärung. Das ist relevant, weil das Scheitern des ursprünglichen Chips Acts im Wesentlichen daran lag, dass private Investitionen ausblieben, nachdem öffentliche Förderung allein nicht ausreichte.

EU-Rechenzentrumsausbau bereits hinter dem Zeitplan

CAIDA sieht eine Verdreifachung der EU-Rechenzentrumskapazität in fünf bis sieben Jahren vor. Nach Angaben von Marktbeobachtern liegt der aktuelle Ausbau bereits hinter den selbst gesetzten Zwischenzielen. Der Energiebedarf durch KI-Workloads wächst schneller als neue Kapazität zugebaut wird.

Globale Lieferketten bleiben entflechtet

68 % der europäischen Unternehmen unterhalten trotz aller Souveränitätsinitiativen aktive China-Lieferketten. Diese Zahl zeigt, dass die wirtschaftlichen Anreize zur Diversifizierung bisher nicht stark genug waren. Chips Act 2.0 mit seinen Kriseneingriffsbefugnissen setzt auf staatlichen Zwang statt Marktanreiz - ob das in der Praxis funktioniert, ist offen.

Kritikpunkte im Überblick

Kein verbindliches 120-Milliarden-Versprechen. EU-Rechenzentrumsbau hinter Plan. 68 % der europäischen Unternehmen weiter in China-Lieferketten. US-Regierung bezeichnet das Paket als protektionistisch. CAIDA-Vorschlag erst für Q4 2027 geplant, Umsetzung damit nicht vor 2029-2030.

Die USA haben das Paket offiziell als protektionistisch kritisiert. Das ist politisch erwartbar, ändert aber nichts an der rechtlichen Logik des CAIDA-Entwurfs, der auf bestehendes Unionsrecht und das SEAL-Framework aufbaut.

Was du jetzt tun solltest

Das Souveränitätspaket wird die Beschaffungsregeln und Compliance-Anforderungen für alle Unternehmen verändern, die mit Behörden zusammenarbeiten oder sensible Daten verarbeiten. Wer jetzt beginnt, hat 18 bis 36 Monate Vorlauf gegenüber dem Feld.

  1. Cloud-Verträge auf US-CLOUD-Act-Risiko prüfen

    Erstelle eine Liste aller aktuellen Cloud-Anbieter und prüfe, ob deren Konzernmutter in den USA registriert ist. Für jeden Anbieter mit US-Konzernstruktur: ermittle, welche Datenkategorien du dort verarbeitest und wie hoch das Risiko einer US-Behördenanfrage einzuschätzen ist. Besonderes Augenmerk auf Gesundheitsdaten, Finanzdaten und personenbezogene Kundendaten.

  2. CAIDA-Souveränitätsstufe für dein Kerngeschäft bestimmen

    Analysiere, welche CAIDA-Stufe für deine wichtigsten Verarbeitungen perspektivisch Pflicht werden könnte. Wer im Gesundheitswesen, in der Finanzverwaltung oder im öffentlichen Sektor aktiv ist, sollte mit Stufe 3 oder Stufe 4 als Planungsgrundlage rechnen. Das hilft, Lieferantenentscheidungen heute bereits CAIDA-konform zu treffen.

IT-Manager vor zwei Monitoren mit einer Checkliste auf Papier, auf der Cloud-Anbieter und Compliance-Anforderungen notiert sind
Wer heute eine strukturierte Cloud-Bestandsaufnahme macht, hat 2027 einen klaren Verhandlungsvorteil gegenüber Anbietern.

  1. Europäische Alternativen in die Shortlist aufnehmen

    Für alle Datenkategorien mit erhöhtem Souveränitätsbedarf: prüfe IONOS, STACKIT, Hetzner oder OVHcloud als Alternativen. Diese Anbieter haben keine US-Konzernmutter und können SEAL-3-Zertifizierungen vorweisen oder anstreben. Kein sofortiger Wechsel nötig - aber eine Shortlist für laufende Vertragsverlängerungen ist jetzt sinnvoll.

  2. Halbleiterlieferkette auf Taiwanabhängigkeit kartieren

    Wenn dein Unternehmen Elektronik einkauft oder produziert, kartiere den Taiwan-Anteil deiner kritischen Komponenten. Chips Act 2.0 gibt der EU das Recht, in Krisenlagen Lieferungen umzuleiten - eine Krisenplanung, die das berücksichtigt, ist Pflicht für jedes Unternehmen in fertigungsnahen Branchen.

  3. Q4 2027 als Planungshorizont für CAIDA setzen

    Der formelle CAIDA-Gesetzgebungsvorschlag ist für das vierte Quartal 2027 geplant. Rechne mit weiteren 18 bis 24 Monaten für Trilog und Umsetzungsfrist. Dein Planungshorizont für Cloud-Sourcing-Entscheidungen sollte 2030 sein, aber mit CAIDA-konformem Ergebnis. Verankere das Thema jetzt in der IT-Strategie, damit du nicht unter Zeitdruck in teure Notlösungen flüchten musst.

Weiterführende Informationen

innobu: Digitale Souveränität - Frankreich handelt, Deutschland zögert innobu: EU AI Act Hochrisiko-Fristen und Digital Omnibus 2026 innobu: EU SEAL-Framework - Wie souverän sind Europas Sovereign Clouds? innobu: KI-Sicherheit und Datenschutz in Deutschland innobu: AI Act Omnibus - Trilog gescheitert, August-Frist bleibt Europäische Kommission: EU Chips Act Überblick und Dokumentation Europäische Kommission: EU Cloud-Strategie und Souveränität

Häufig gestellte Fragen

Was ist der Cloud and AI Development Act (CAIDA)? +

Der Cloud and AI Development Act, kurz CAIDA, ist eine geplante EU-Verordnung, die sensible Gesundheits-, Finanz- und Justizdaten von EU-Behörden aus Diensten mit US-Konzernmutter verbannen soll. Er definiert vier Stufen der Cloud-Souveränität und verpflichtet zu einer Verdreifachung der EU-Rechenzentrumskapazität in fünf bis sieben Jahren. Der Gesetzgebungsvorschlag ist für das vierte Quartal 2027 geplant.

Warum ist der US CLOUD Act ein Problem für europäische Unternehmen? +

Der US CLOUD Act von 2018 erlaubt US-Behörden, Anbieter wie Amazon, Microsoft und Google dazu zu zwingen, Daten weltweit herauszugeben - auch wenn diese Daten auf EU-Servern liegen. Das kollidiert direkt mit der DSGVO, die eine solche Weitergabe ohne gerichtliche Genehmigung nach EU-Recht verbietet. Für Unternehmen mit sensiblen Kundendaten entsteht dadurch ein rechtliches Risiko, das keine technische Lösung beseitigt, solange US-Anbieter genutzt werden.

Was ändert der Chips Act 2.0 gegenüber dem ursprünglichen Chips Act? +

Chips Act 2.0 gibt der EU in Versorgungskrisen das Recht, bestehende Verträge zu überschreiben und Halbleiterlieferungen umzuleiten. Zusätzlich sind Bußgelder von bis zu 300.000 Euro vorgesehen und ein zentrales EU-weites Chip-Einkaufssystem geplant. Das ursprüngliche Ziel von 20 % Weltmarktanteil für EU-Chips bis 2030 gilt als gescheitert - der tatsächliche Stand liegt bei unter 10 %.

Sind DSGVO und US CLOUD Act wirklich unvereinbar? +

Für sensible Daten, die EU-Recht unterliegen, ja. Die DSGVO untersagt die Übermittlung personenbezogener Daten an US-Behörden ohne ausdrückliche Rechtsgrundlage nach EU-Recht. Der US CLOUD Act verpflichtet US-Anbieter unabhängig davon zur Herausgabe. Da kein Data Privacy Framework diesen Widerspruch auflöst, empfehlen Datenschutzbehörden für besonders sensible Verarbeitungen europäische Anbieter ohne US-Konzernmutter.

Was testet Bayern im Juni 2026? +

Bayern startet im Juni 2026 einen Pilotversuch mit Alternativen zu Microsoft in der Landesverwaltung. Der Test ist politisch bedeutsam, weil Bayern zu den Bundesländern mit der stärksten Microsoft-Nutzung gehört. Wenn dort Alternativen getestet werden, ist das ein Signal für den gesamten deutschen öffentlichen Sektor.

Wann kommt der Cloud and AI Development Act? +

Der Gesetzgebungsvorschlag für den Cloud and AI Development Act ist für das vierte Quartal 2027 geplant. Rechne mit weiteren 18 bis 24 Monaten für Trilog und nationale Umsetzungsfristen. Ein verbindliches Anwendungsdatum ist daher realistisch nicht vor 2029 bis 2030 zu erwarten.