Der Satz, der die Arbeit leistete, war der von Henna Virkkunen. Auf der Pressekonferenz in Brüssel am Dienstag, dem 3. Juni 2026, sagte die Exekutiv-Vizepräsidentin für Tech-Souveränität, Sicherheit und Demokratie den Reportern, wozu das Tech-Souveränitätspaket da sei: „Wir wollen sicher sein, dass niemand einen Kill-Switch hat." Ursula von der Leyen legte die Politik darum: „Wir können es uns nicht leisten, für die Technologien, die unsere Krankenhäuser betreiben, unsere Energienetze stabil halten und unsere Dienste sicher machen, von anderen abhängig zu sein."

Hinter dem Satz standen vier Instrumente. Ein Gesetzgebungsvorschlag für den Cloud and AI Development Act (CADA) mit einem Souveränitäts-Bewertungsrahmen und Beschränkungen für Nicht-EU-Anbieter bei sensitiven Regierungsdaten. Ein Gesetzgebungsvorschlag für den Chips Act 2.0, der den EU-Zielanteil an der globalen Chipproduktion anhebt. Eine Open-Source-Strategie, die Open Source als strukturelles Element der EU-Digitalpolitik formalisiert. Und eine strategische Roadmap zur Digitalisierung und KI im Energiesektor. Kommissar Dan Jørgensen, zuständig für Energie, trat mit Virkkunen auf das Podium.

Die Kommission hat nun getan, was die Kommission tun kann. Die entscheidenden Beschlüsse liegen jenseits dieser Ankündigung, nicht davor.

Was CADA tatsächlich vorschlägt

Die Cloud-Komponente ist die substantiellste. CADA schlägt eine Vier-Stufen-Souveränitätsbewertung in aufsteigender struktureller Trennung von Nicht-EU-Kontrolle vor. Die höchste Stufe ist nach ihrer eigenen rechtlichen Logik für US-ansässige Anbieter nicht erreichbar, weil der CLOUD Act einen strukturellen Konflikt erzeugt.

CADA schlägt vor, dass Finanz-, Justiz- und Gesundheitsdaten von Regierungen und Organisationen des öffentlichen Sektors auf Infrastruktur der höchsten Souveränitätsstufe laufen müssen. Das ist keine Empfehlung. Es ist eine bindende Pflicht, geschrieben in den Vorschlag, mit benannten nationalen Behörden zur Durchsetzung.

Rechtsgrundlage ist Artikel 114 AEUV — Binnenmarkt-Harmonisierung. Das ist relevant: Artikel 114 erzeugt unmittelbar anwendbare Verordnung mit Binnenmarktwirkung, keine Richtlinie, die Mitgliedstaaten umsetzen. Wenn CADA verabschiedet wird, sind die Mitgliedstaaten nicht frei, ihre Anwendung individuell zu schwächen.

Was das Paket richtig macht

Das Paket schreibt einen für US-Anbieter nicht passierbaren Souveränitätstest in bindende Regulierung. Frühere europäische Souveränitätsinstrumente hatten entweder keine Zähne (Gaia-X-Labelschema), waren aspirational (ENISA-Cybersicherheitsschema) oder sektorspezifisch. CADA schlägt eine horizontale regulatorische Maßnahme vor, die von US-Anbietern ausdrücklich nicht ohne architektonische Umstrukturierung erfüllbar ist. Das ist strukturell anders.

Es paart Souveränitätsbeschränkung mit Kapazitätsaufbau. Virkkunen war, von Reportern gefragt, ob das Paket auf den Ausschluss von US-Anbietern abziele, präzise: „Europa will in der Lage sein, eigene Entscheidungen zu treffen und riskante Abhängigkeiten von einzelnen dominanten Anbietern, einem Konzern oder einem Drittland zu vermeiden." Chips Act 2.0 und die Open-Source-Strategie liefern die angebotsseitige Antwort auf die Beschränkung. Reine Beschränkung ohne Alternativkapazität ist unmöglich; die Kommission hat das vermieden.

Es behandelt Open Source als Infrastruktur statt als Politik-Theater. Die Open-Source-Strategie, aufbauend auf der Aufforderung zur Stellungnahme von Januar/Februar 2026, rahmt OSS als langfristiges strukturelles Element statt als Hobbyisten-Anliegen. Diese Sprache stand nicht in früheren Kommissionsmitteilungen. Sie öffnet Raum für an OSS-Infrastruktur ausgerichtete Beschaffungs- und Förderinstrumente.

Was das Paket nicht adressiert

CADA adressiert Cloud-Infrastruktur und bestimmte Kategorien von Regierungsdaten. Es adressiert im aktuellen Vorschlag nicht die Schichten unterhalb der Cloud.

Code-Hosting-Infrastruktur: EU-Souveränitätslösungen werden vorwiegend auf GitHub gehostet, das Microsoft gehört. Das ist die tiefste Souveränitätslücke und die am wenigsten adressierte. Kryptographische Vertrauensketten: Zertifizierungsstellen und DNS-Root-Server-Betrieb bleiben US-dominiert. CADAs Souveränitätsstufen führen Vertrauensketten-Kriterien nicht explizit auf. CI/CD-Pipelines: GitHub Actions, npm, PyPI, Docker Hub — die Build-, Paket- und Verteilungsinfrastruktur, von der alles abhängt, bleibt überwiegend US-gehostet.

Das ist keine Kritik an CADAs entworfenem Umfang. Es ist die Beobachtung, dass CADA für sich genommen Souveränität auf den Schichten unterhalb der Cloud-Infrastruktur nicht liefert. Eine Leserin, die CADA als Abschluss des europäischen Souveränitätsprojekts feiert, liest etwas, was der Vorschlag nicht beansprucht — und was auch Virkkunen in Brüssel nicht beanspruchte.

Der Trilog, und wer sich dafür positioniert

Der cui-bono-Pass ist geradlinig. EU-souveräne Cloud-Anbieter profitieren breit — OVHcloud, IONOS, Schwarz Digits/StackIT, Outscale, die Sovereign-Sparte von Atos. Diese Unternehmen lobbyieren seit Jahren genau für diesen Regulierungsrahmen. Mistral, Aleph Alpha und das europäische KI-Infrastruktur-Cluster profitieren von der KIPITZ-artigen verpflichtenden Adoptionslogik, auf EU-Ebene skaliert. Die Kommission erweitert institutionell Kompetenz: Artikel-114-Verordnung erzeugt Direktwirkung statt nationaler Umsetzung. Französische und deutsche Industriepolitik profitiert, weil beide starke Anbietercluster haben, die CADA-Kriterien entsprechen. Italienische, spanische und osteuropäische Cluster haben weniger Industriebasis, um die Beschaffungschance zu nutzen.

Drei ernsthafte Einwände kursieren, von denen die Kommission keinen allein klären kann.

Erstens: Artikel 114 sei die falsche Rechtsgrundlage. Binnenmarkt-Harmonisierung ist als Grundlage für Beschränkungen anfechtbar, die primär geopolitisch und nicht marktfunktional sind. Der Europäische Gerichtshof hat historisch die Binnenmarktintegrations-Logik von Artikel 114 geschützt. Eine Klage vor dem EuGH könnte den bindenden Umfang der Verordnung nach Annahme einengen.

Zweitens: Der Trilog werde die höchste Souveränitätsstufe verwässern. Im Rat sitzen Mitgliedstaaten mit tieferen US-Tech-Industrie-Investitionspositionen — Irland, Luxemburg, die Niederlande. Der Trilog mildert Kommissionsvorschläge typischerweise am Rand. Die für US-Anbieter nicht passierbare Höchststufe ist genau die Art von Bestimmung, die gemildert wird.

Drittens: Die Industrie werde die Beschränkungen über europäische Tochtergesellschaften umgehen. Ein US-Hyperscaler kann eine europäische Tochter gründen, Governance und Schlüsselverwahrung im Inland strukturieren und die höchste Souveränitätsstufe beantragen. Ob eine solche Struktur den materiellen Test besteht, hängt davon ab, wie streng die Bewertungsbehörde „Kontrolle" auslegt. Microsofts bestehender Sovereign-Cloud-Vorschlag ist im Kern eine Wette darauf, dass diese Umgehung möglich ist.

Was dieser Artikel nicht ist

Es ist keine Behauptung, CADA werde wie entworfen verabschiedet. Der Trilog wird den Vorschlag modifizieren; die Frage ist, wie stark.

Es ist keine Behauptung, die Open-Source-Strategie sei leer. Sie rahmt OSS strukturell. Ob sie Förderung erzeugt, ist eine separate Frage, entschieden im nächsten Mehrjährigen Finanzrahmen, nicht im Juni 2026.

Es ist keine Behauptung, die europäische Souveränität sei mit dem Paket geklärt. Das Paket adressiert eine Schicht der Abhängigkeit, lässt andere unberührt und hängt von einem Gesetzgebungsverfahren ab, das bis 2027 oder 2028 läuft.

Was zuerst zu beobachten ist

Das erste Signal ist die erste Lesung im Rat. Mitgliedstaaten mit US-nahen Tech-Industrie-Positionen werden durch ihre allgemeine Ausrichtung anzeigen, wie stark sie um die höchste Souveränitätsstufe kämpfen wollen.

Das zweite ist die Berichterstatterbenennung im Europäischen Parlament — welcher Ausschuss, welche politische Gruppe. ITRE, IMCO, LIBE werden jeweils unterschiedliche Fassungen von CADA produzieren, und die Wahl der Ausschusszuständigkeit wird die Betonung des Vorschlags zwischen Industriepolitik, Binnenmarkt und Grundrechten prägen.

Das dritte ist, ob im nächsten EU-Haushaltszyklus Umsetzungsförderung für die Open-Source-Strategie-Komponenten zustande kommt. Ohne Budget bleibt OSS-als-Infrastruktur Rhetorik, gleichgültig wie überzeugend Virkkunens Rahmung auf der Pressekonferenz war.

Die Kommission hat die politischen und rechtlichen Bedingungen gesetzt. Die nächsten zwei Jahre interinstitutioneller Verhandlung werden entscheiden, ob die Bedingungen halten.

Quellen

Themenübersicht: Digitale Souveränität in Europa Verwandte Artikel: Microsoft liefert NL-Beamte aus, Souveränität als Vergaberecht