Am 22. Januar 2026 stimmte das Europäische Parlament mit 471 zu 68 Stimmen für eine Resolution, die Europa auffordert, sich aus der Abhängigkeit von US-Technologie zu lösen. EVP, Sozialdemokraten, Liberale, Grüne — alle dafür. Der polnische Europaabgeordnete Michał Kobosko brachte die Lage auf eine Formel: „Wenn wir jetzt nicht handeln, um Europas technologische Abhängigkeit von ausländischen Akteuren zu verringern, riskieren wir, eine digitale Kolonie zu werden." Die Rhetorik ist politisch, aber das zugrunde liegende Problem ist strukturell: 70 % Marktanteil bei drei Anbietern unter einer einzigen Jurisdiktion ist, nach jeder Definition, ein Konzentrationsrisiko.

Monate später sind die Zahlen, die zu dieser Abstimmung geführt haben, unverändert. Über 80 % der digitalen Produkte, Dienste und Infrastrukturen in der EU stammen von Anbietern außerhalb Europas. Amazon, Microsoft und Google kontrollieren rund 70 % des europäischen Cloud-Markts. Europäische Anbieter kommen zusammen auf 15 %. Die installierte Leistungskapazität europäischer Rechenzentren liegt bei 16 Gigawatt IT-Last — gegenüber 48 in den USA und 38 in China. Europäische Organisationen geben geschätzt 265 Milliarden Euro jährlich für nicht-europäische digitale Produkte und Dienste aus. Nicht alles davon ist substituierbar — aber die Zahl verdeutlicht das Ausmaß der wirtschaftlichen Abhängigkeit.

Angesichts der Tatsache, dass Lizenzbedingungen die Einhaltung von US-Exportkontrollen vorsehen — Bestimmungen, die bereits gegen ganze Länder durchgesetzt wurden —, beschreiben diese Zahlen ein messbares Konzentrationsrisiko.

Die Parlamentsabstimmung schloss ein Jahr ungewöhnlich konkreter politischer Entwicklungen ab. Ein Bundeskanzler, der die Abhängigkeit als sicherheitspolitisches Versagen benennt. Ein deutsch-französischer Gipfel, der Milliarden mobilisiert. Software, die tatsächlich gebaut, eingesetzt und über Grenzen hinweg föderiert wird. Digitale Souveränität steht seit der Snowden-Affäre auf der Agenda — aber 2025 hat mehr konkrete Ergebnisse hervorgebracht als die zwölf Jahre zuvor zusammen.

Die Frage ist, ob das Momentum anhält.

Die Münchner Rede

Im Februar 2025 hielt Friedrich Merz seine Eröffnungsrede auf der Münchner Sicherheitskonferenz. Unter den erwartbaren Passagen zu NATO und Verteidigung fand sich ein Satz, der aufhorchen ließ: „Niemand hat uns in die übermäßige Abhängigkeit von den Vereinigten Staaten gezwungen. Diese Unmündigkeit war selbst verschuldet."

Das ist eine harte Formulierung für eine diplomatische Bühne. Noch bemerkenswerter war die Schlussfolgerung: „Wettbewerbspolitik ist Sicherheitspolitik und Sicherheitspolitik Wettbewerbspolitik. Genau deshalb wollen wir Treiber des Fortschrittes in den Zukunftstechnologien sein."

Merz hat damit etwas getan, was seine Vorgängerin in 16 Jahren nicht tat: die technologische Abhängigkeit Europas öffentlich als sicherheitspolitisches Versagen eingestuft. Ob das Überzeugung ist oder der Druck der Umstände — die Signalwirkung ist erheblich. Zugleich gilt: Bei der MSC wurden keine konkreten Gesetzesvorhaben oder Förderprogramme angekündigt. Eine Rede auf einer Sicherheitskonferenz ist ein Positionsstatement, kein Politikentwurf. Ob die Regierung die öffentliche IT-Beschaffung tatsächlich umsteuern wird, muss sich an konkreten Maßnahmen messen lassen.

Der Berliner Gipfel

Neun Monate später, am 18. November 2025, folgte der Gipfel zur europäischen digitalen Souveränität in Berlin. Deutschland und Frankreich hatten eingeladen, alle 27 EU-Mitgliedstaaten schickten Vertreter. Über 900 Teilnehmer aus Politik, Industrie und Forschung.

Macron formulierte es in für ihn typisch zugespitzten Worten und nannte Europa einen „Vasall" der US- und chinesischen Tech-Branche. „Wir wollen nicht der Kunde der großen Unternehmer oder der großen Lösungen sein, die aus den USA oder aus China geliefert werden. Wir wollen unsere eigenen Lösungen gestalten." Die Rhetorik ist politisch, aber das operative Anliegen ist real: Wenn Ihre Infrastruktur vollständig von Anbietern unter ausländischen Jurisdiktionen abhängt, werden Ihre strategischen Optionen durch deren Entscheidungen begrenzt, nicht durch Ihre. Merz formulierte nüchterner: „Digitale Souveränität bedeutet die Fähigkeit, Technologie über die gesamte Wertschöpfungskette im Einklang mit europäischen Interessen und Bedürfnissen zu gestalten."

Was den Gipfel von früheren Absichtserklärungen unterscheidet, sind die konkreten Ergebnisse. 12 Milliarden Euro an Investitionszusagen aus der Privatwirtschaft. Die Gründung der ESTIA, einer Industrie-Allianz für souveräne Cloud-Dienste, getragen von Airbus, Dassault Systèmes, Deutsche Telekom, Orange und OVHcloud. Die gemeinsame Weiterentwicklung von openDesk und LaSuite, den Open-Source-Arbeitsplatzumgebungen für die Verwaltung. Und ein Digital Commons-EDIC mit den Niederlanden und Italien.

Ob 12 Milliarden gegen die Marktmacht von Amazon, Microsoft und Google ausreichen, darf bezweifelt werden. Zudem: Investitionszusagen sind keine Investitionen, und die beteiligten Regierungen vergeben parallel weiterhin große IT-Verträge an US-Anbieter. Als politisches Signal ist es dennoch mehr als alles, was vorher kam.

Die Parlamentsabstimmung

Der Bericht zur technologischen Souveränität vom Januar 2026 ist das ambitionierteste digitalpolitische Dokument, das das Europäische Parlament je vorgelegt hat. Sein Abstimmungsergebnis von 471 zu 68 spiegelt einen Konsens wider, der alle großen Fraktionen umfasst — und die Forderungen gehen weit über die üblichen Rufe nach „mehr Koordinierung" hinaus.

Die Kernforderung: ein „Open Source first"-Ansatz bei öffentlichen Beschaffungen — Software, die mit Steuergeldern entwickelt wird, soll unter freien Lizenzen stehen. „Public Money, Public Code", wie die FSFE es seit Jahren fordert, ist jetzt offizielle Position des Parlaments. Dazu: ein Eurostack — eine durchgängig europäische Infrastruktur von Halbleitern bis Cloud. Ein Souveräner Technologiefonds von 10 Milliarden Euro. Volle EU-Jurisdiktion über Cloud-Infrastrukturen. Und ein Cloud and AI Development Act, der die Rechenkapazität der EU in sieben Jahren verdreifachen soll.

Der Anspruch ist real. Aber Berichte des Europäischen Parlaments sind nicht bindend. Die Umsetzung liegt bei der Kommission und den Mitgliedstaaten — und dort kollidieren Souveränitätsziele regelmäßig mit Haushaltsrealitäten und bestehenden Verträgen. Jeder Mitgliedstaat, der für diese Resolution gestimmt hat, wird am folgenden Montag weiterhin Microsoft-Lizenzen verlängern.

Was tatsächlich gebaut wird

Während in Brüssel abgestimmt und in Berlin konferiert wird, bauen Deutschland, Frankreich und die Niederlande tatsächlich an quelloffenen Alternativen für den Verwaltungsarbeitsplatz.

openDesk, entwickelt vom Zentrum für Digitale Souveränität (ZenDiS), integriert Nextcloud, Open-Xchange, Collabora, Jitsi und Element zu einer einheitlichen Arbeitsumgebung. Version 1.0 läuft seit Oktober 2024. LaSuite, das französische Pendant, wird von der interministeriellen Digitaldirektion (DINUM) entwickelt und setzt auf eigene Forks mit einheitlichem UI. Die Niederlande kombinieren unter dem Namen MijnBureau Komponenten beider Plattformen.

Entscheidend ist: Die drei Plattformen können miteinander föderieren. Ein deutscher Beamter kann mit einem französischen Kollegen an einem Dokument arbeiten, ohne dass die Daten über einen US-Cloud-Dienst laufen. Das klingt nach einem technischen Detail, ist aber genau das, was digitale Souveränität in der Praxis bedeutet.

Warum Skepsis angebracht ist

So weit die gute Nachricht. Jetzt die Einschränkungen.

Erstens: Gaia-X. Das deutsch-französische Vorzeigeprojekt für eine souveräne Cloud-Infrastruktur wurde 2019 mit Nachdruck gestartet, hat seitdem Arbeitsgruppen, Konsortien und Positionspapiere produziert — aber kaum etwas, das ein Systemadministrator installieren könnte. Gaia-X ist zum Synonym geworden für europäische Ankündigungspolitik, und jede neue Initiative muss sich an diesem Maßstab messen lassen.

Zweitens: der Talentabfluss. Europäische Entwickler und Gründertalente gravitieren zu Ökosystemen mit höherer Kapitalverfügbarkeit und schnelleren Beschaffungszyklen. Die Talentlücke ist kein Kommunikationsproblem — es ist ein Wettbewerbsfähigkeitsproblem, verwurzelt in Finanzierungsstrukturen und regulativem Overhead.

Drittens: die Regulierungslast. AI Act, Data Act, DSGVO-Bürokratie — jede einzelne Verordnung hat ihre Berechtigung. In der Summe schaffen sie ein Umfeld, in dem Compliance mehr Ressourcen bindet als Produktentwicklung. Dass der Berliner Gipfel selbst eine 12-monatige Verschiebung der Hochrisiko-Bestimmungen des AI Act forderte, ist ein stilles Eingeständnis dieses Widerspruchs.

Und viertens: die Zeit. Analysten rechnen mit einem Jahrzehnt oder mehr für einen substantiellen Umbau der europäischen digitalen Infrastruktur. In diesen zehn Jahren wird die Abhängigkeit nicht schrumpfen — sie wird wachsen, getrieben von Cloud-Migration, KI-Diensten und der Trägheit bestehender Systeme.

Was daraus folgt

Die politische und institutionelle Vorarbeit von 2025–2026 ist konkreter als alles, was zuvor kam.

Aber für Organisationen, die Beschaffungsentscheidungen treffen, bleibt die Frage praktisch: Der „Open Source first"-Beschluss hat keine bindende Kraft, solange einzelne Regierungen bestehende Anbieterverträge weiterhin standardmäßig verlängern. Die 12 Milliarden Investitionszusagen sind bedeutungslos, wenn sie in Hochglanzprojekte fließen statt in Infrastruktur. Und ESTIA muss liefern, wo Gaia-X gescheitert ist.

Die nächsten zwei Jahre werden zeigen, ob die institutionelle Dynamik sich in Beschaffungsmandate übersetzt — oder ob sie dem Muster früherer Initiativen folgt (Gaia-X, frühe eIDAS-Zeitpläne), bei denen die Ambition die Umsetzung übertraf.

Für Organisationen, die nicht darauf warten wollen, dass die Politik aufholt, schaffen die oben beschriebenen Entwicklungen konkrete Handlungsanlässe:

  • Der Data Act ist seit September 2025 anwendbar, und Wechselgebühren entfallen ab Januar 2027. Wer eine Cloud-Migration wegen Egress-Kosten aufgeschoben hat: Das regulatorische Fenster öffnet sich. Jetzt das Cloud-Audit starten.
  • Die EUDIW-Frist ist 2026. Wenn Ihre Dienste EU-Bürger authentifizieren, beginnen Sie die Integrationsbewertung. Ihren Identitäts-Stack evaluieren.
  • Der „Open Source first"-Beschluss gibt institutionelle Rückendeckung für Beschaffungsentscheidungen zugunsten von Open Source. Wenn Sie auf politische Absicherung gewartet haben — auf EU-Parlamentsebene gibt es sie jetzt. Nutzen Sie sie in der nächsten Ausschreibung.
  • Die Hochrisiko-Bestimmungen des AI Act treten schrittweise bis August 2027 in Kraft. Wenn Sie KI in HR, Gesundheitswesen oder Strafverfolgung einsetzen, beginnen Sie die Konformitätsbewertung. Ihre KI-Souveränitätsposition prüfen.

Nichts davon hängt davon ab, ob ESTIA liefert oder ob die Nachfolger von Gaia-X Realität werden. Es sind Maßnahmen, die Sie heute ergreifen können, innerhalb bestehender Rahmenwerke, unabhängig davon, was in Brüssel passiert.

Quellen

Themenübersicht: Digitale Souveränität in Europa