Die Europäische Kommission hat am heutigen Dienstag, den 26. Mai 2026, weitreichende Pläne für ein sogenanntes „Tech-Sovereignty-Paket“ bekannt gegeben. Das Gesetzesvorhaben zielt darauf ab, die Abhängigkeit von US-amerikanischen Cloud-Giganten massiv einzuschränken und den Zugriff ausländischer Behörden auf sensible europäische Daten zu unterbinden.
Direkter Angriff auf den US Cloud Act
Kern der neuen Initiative ist ein Verbot für Unternehmen aus Drittstaaten – primär die USA –, sensible Datenkategorien von EU-Bürgern und Institutionen zu speichern oder zu verarbeiten. Betroffen sind vor allem:
- Finanzdaten: Transaktionsdaten, Bankverbindungen und Steuerinformationen.
- Gesundheitsdaten: Elektronische Patientenakten und genetische Informationen.
- Kritische Infrastruktur: Steuerungsdaten für Energie- und Wasserversorgung.
Hintergrund ist der seit Jahren schwelende Konflikt mit dem US CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses US-Gesetz erlaubt es amerikanischen Behörden, US-Unternehmen wie Microsoft, Amazon (AWS) und Google zur Herausgabe von Daten zu zwingen, selbst wenn diese physisch auf Servern innerhalb der Europäischen Union gespeichert sind.
„Daten-Souveränität ist nicht verhandelbar“
Ein Sprecher der EU-Kommission betonte in der heutigen Pressekonferenz in Brüssel, dass die bisherigen Datenschutzabkommen (wie das Data Privacy Framework) nicht ausreichen, um den Zugriff durch US-Geheimdienste effektiv zu verhindern. „Digitale Souveränität bedeutet, dass europäische Daten unter europäischem Recht bleiben müssen – ohne Hintertür für Drittstaaten“, so das Statement.
Für die großen Cloud-Anbieter wie AWS, Azure und Google Cloud könnte dies das Ende ihres bisherigen Geschäftsmodells für den öffentlichen Sektor und regulierte Industrien in Europa bedeuten. Zwar hatten die Anbieter in den letzten Jahren versucht, durch „Sovereign Clouds“ und Treuhand-Modelle (wie in Kooperation mit T-Systems oder Orange) gegenzusteuern, doch das neue Paket geht deutlich weiter und fordert eine strikte rechtliche und operative Trennung von US-Mutterkonzernen.
Chancen für europäische Anbieter
Das „Tech-Sovereignty-Paket“ wird als massiver Rückenwind für die europäische Cloud-Initiative Gaia-X und lokale Anbieter wie OVHcloud, IONOS und die STACKIT-Cloud der Schwarz-Gruppe gewertet. Analysten erwarten, dass in den kommenden Monaten Milliardenbeträge an IT-Budgets von US-Anbietern zu europäischen Dienstleistern umgeschichtet werden.
Kritiker warnen hingegen vor einer Fragmentierung des globalen Internets und steigenden Kosten für europäische Unternehmen, die auf die hochintegrierten KI- und Analyse-Tools der US-Anbieter angewiesen sind.
Was bedeutet das konkret? Unternehmen in der EU, die sensible Daten verarbeiten, müssen spätestens bis Ende 2027 ihre Cloud-Strategie validieren und gegebenenfalls auf Anbieter umstellen, die keiner ausländischen Zugriffskontrolle unterliegen.
Das Gesetz soll noch im Herbst 2026 das EU-Parlament passieren und Anfang 2027 in Kraft treten.