Europas Weg zur technologischen Souveränität: Was konkret passiert
I. Die Ausgangslage
Neunzig Prozent. So hoch schätzt Cristina Caffarra, Gründerin der Eurostack Foundation und Wettbewerbsökonomin, den Anteil der europäischen digitalen Infrastruktur — Cloud, Rechenkapazität, Software — der von nicht-europäischen, überwiegend amerikanischen Unternehmen kontrolliert wird. Drei Hyperscaler — Amazon Web Services, Microsoft Azure, Google Cloud — halten zusammen etwa zwei Drittel des europäischen Cloud-Markts. Der Marktanteil europäischer Anbieter ist trotz aller Initiativen der letzten Jahre bei rund 15 Prozent stabil geblieben.
Das ist der Ausgangspunkt. Keine Meinung, kein politisches Narrativ — eine Marktstruktur, die sich in Zahlen abbildet. Wer verstehen will, was Europas Initiativen zur technologischen Souveränität wert sind, muss sie an dieser Ausgangslage messen.
Und er muss das US-amerikanische CLOUD Act von 2018 kennen: das Gesetz, das amerikanischen Behörden erlaubt, von US-Unternehmen Daten herauszuverlangen — unabhängig davon, wo auf der Welt diese Daten gespeichert sind. Ein Rechenzentrum in Frankfurt, betrieben von Amazon Web Services, ist nach amerikanischem Recht zugänglich für amerikanische Behörden. Das ist keine Theorie. Das ist geltendes Recht. Und es macht jeden Ansatz, der auf amerikanischen Infrastrukturkomponenten aufbaut, zu einer juristischen Grauzone, wenn es um echte Souveränität geht.
II. Was Europa unternimmt — die Regulierungsseite
Europa hat in den letzten Jahren ein beeindruckendes Regelwerk aufgebaut, das weltweit Maßstäbe setzt. Die DSGVO reguliert Datenschutz. Der Digital Services Act und der Digital Markets Act regulieren Plattformverhalten. Der AI Act ist die erste umfassende KI-Regulierung der Welt, die ab 2026 schrittweise in Kraft tritt. Der Data Act schafft Regeln für die Datennutzung. Der Chips Act soll europäische Halbleiterproduktion aufbauen. Das Critical Raw Materials Act sichert Rohstoffzugänge.
Das ist keine Kleinigkeit. Europa hat sich zur regulatorischen Großmacht entwickelt — zum sogenannten Brussels Effect: weil der europäische Markt groß genug ist, passen globale Unternehmen ihre Produkte und Praktiken an europäische Standards an, auch außerhalb der EU. Die DSGVO hat weltweit Datenschutzdebatten ausgelöst. Der AI Act wird globale KI-Entwicklung beeinflussen.
Aber Regulierung ist nicht Infrastruktur. Man kann brillant regulieren und trotzdem vollständig abhängig sein — von den regulierten Unternehmen. Wer das Spiel definiert, aber es nicht selbst spielen kann, ist kein souveräner Akteur. Er ist ein Schiedsrichter in einem Spiel, das andere gewinnen.
III. Was Europa unternimmt — die Infrastrukturseite
Hier wird es konkreter — und ernüchternder.
GAIA-X wurde 2019 von Deutschland und Frankreich als "Airbus der Cloud" lanciert — ein europäisches Cloud-Ökosystem, das die Dominanz amerikanischer Hyperscaler brechen sollte. Was passierte: Amazon, Microsoft und Google wurden als Mitglieder aufgenommen. Scaleway, ein Gründungsmitglied, trat aus. Der Nextcloud-CEO nannte es ein "Papiermonster". Der europäische Cloud-Marktanteil sank während der gesamten GAIA-X-Existenz weiter. Die Initiative ist heute ein Standardisierungs- und Zertifizierungsrahmen — nützlich, aber weit entfernt von der ursprünglichen Vision.
EuroHPC — das gemeinsame Hochleistungsrechenprogramm der EU — hat echte Ergebnisse: LUMI in Finnland, einer der leistungsstärksten Supercomputer der Welt, wird für KI-, Klima- und Gesundheitsforschung genutzt. Jupiter, der nächste europäische Exascale-Supercomputer, ist in Bau. Diese Rechenzentren entwickeln sich zu "KI-Fabriken" — Infrastruktur, die unter europäischer rechtlicher und politischer Kontrolle bleibt. Das ist echter Fortschritt.
Der EU Chips Act mit 43 Milliarden Euro Investitionen soll bis 2030 den europäischen Anteil an der globalen Halbleiterproduktion von derzeit etwa 8 auf 20 Prozent verdoppeln. Intel hat eine Megafabrik in Magdeburg angekündigt — die dann wegen finanzieller Probleme verzögert wurde. TSMC baut in Dresden. Die Ambition ist real, die Umsetzung stockt.
EURO-3C — im März 2026 auf dem Mobile World Congress in Barcelona vorgestellt — ist die neueste Initiative: ein föderiertes Cloud-, KI- und Edge-Computing-Netzwerk, getragen von Telefónica und mehr als 70 Organisationen, unterstützt von der Europäischen Kommission. Es verbindet bestehende nationale Infrastrukturen zu einem gemeinsamen Netz, statt von Null zu bauen. "Wir brauchen Skalierung" — das ist die Kernbotschaft. Die Initiative klingt vielversprechender als ihre Vorgänger, weil sie auf bestehender Infrastruktur aufbaut. Ob sie liefert, wird sich zeigen.
CADA — Cloud and AI Development Act — soll in Q1 2026 von der Europäischen Kommission vorgeschlagen werden. Es wäre das erste bindende Gesetz zur Cloud-Souveränität — nicht ein freiwilliger Rahmen, nicht Leitlinien, sondern verbindliche Regulierung auf Basis von Artikel 114 TFEU. Es käme direkt aus dem Technologiesouveränitäts-Portfolio von Exekutiv-Vizepräsidentin Virkkunen. Kritiker fragen: EUCS, das europäische Zertifizierungsschema für Cloud, ist seit 2019 an der Frage blockiert, ob nicht-europäische Anbieter von den höchsten Sicherheitsstufen ausgeschlossen werden sollen. Wenn die Mitgliedstaaten sich sechs Jahre lang nicht einigen konnten, warum sollte CADA es schaffen?
IV. Das Problem: Sovereignty Washing
Hier liegt das strukturelle Problem, das alle europäischen Initiativen durchzieht: das, was Experten "Sovereignty Washing" nennen — die Übernahme des Souveränitätsvokabulars durch genau die Akteure, gegen die es sich richtet.
Microsoft, Google und Amazon haben die europäische Nachfrage nach Souveränität erkannt — und vermarkten jetzt "sovereign cloud"-Lösungen. Sie platzieren Rechenzentren auf europäischem Boden, gründen Gemeinschaftsunternehmen mit europäischen Partnern, versprechen EU-only-Supportteams und kundenkontrollierte Verschlüsselung. Frankreich hat Bleu (Microsoft + Orange + Capgemini) und S3NS (Google + Thales). Deutschland hat Delos (Microsoft + SAP).
Das Problem: Solange die Muttergesellschaft amerikanisch ist, bleibt sie dem CLOUD Act unterworfen. Ein Delos-Rechenzentrum in Deutschland, betrieben mit Microsoft-Technologie, ist juristisch nicht souverän — weil Microsoft als amerikanisches Unternehmen auf richterliche Anordnung amerikanischer Behörden Zugang gewähren muss, unabhängig von vertraglichen Souveränitätsversprechen. Caffarra bringt es auf den Punkt: "Ein Unternehmen, das den extraterritorialen Gesetzen der Vereinigten Staaten unterliegt, kann für Europa nicht als souverän gelten."
Das ist keine Kleinigkeit. Es bedeutet, dass ein erheblicher Teil der "Souveränitätslösungen", die europäische Regierungen und Unternehmen einkaufen, juristisch gesehen keine sind. Sie sind bequeme Lösungen, die den Schein der Compliance erzeugen, ohne das strukturelle Problem zu lösen.
V. Das Investitionsproblem
Hinter dem Sovereignty-Washing-Problem liegt ein noch grundlegenderes: das Investitionsproblem.
Amazon hat 2025 über 100 Milliarden Dollar in AWS-Infrastruktur investiert. Der gesamte europäische Cloud-Sektor zusammen kann diese Summe nicht annähernd aufbringen. Öffentliche Förderung kann helfen — aber sie kann keine Lücke schließen, die in Hunderten Milliarden Dollar gemessen wird. Der EU Chips Act mit 43 Milliarden Euro über mehrere Jahre klingt groß. In der Halbleiterindustrie, wo eine einzige moderne Chipfabrik 20 bis 30 Milliarden Dollar kostet, ist es kleines Geld.
Das ist keine Kritik an den europäischen Initiativen — es ist die Beschreibung der strukturellen Ausgangslage. Europa hat dreißig Jahre lang eine Wissensinfrastruktur, eine Industriekapazität und eine Investitionsbasis aufgebaut, die in bestimmten Bereichen schlicht nicht vorhanden ist. Das lässt sich nicht in fünf Jahren mit Förderprogrammen aufholen.
Hinzu kommt das Fragmentierungsproblem: Frankreich baut bilateral, Deutschland bilateral, jedes Land seine eigenen Lösungen — was genau die kollektive europäische Alternative unterminiert, die CADA und EURO-3C zu schaffen versuchen. Kristallisationspunkt ist wieder die alte europäische Achillesferse: nationale Interessen trumpfen kollektive Stärke.
VI. Was realistisch möglich ist
Pessimismus wäre der falsche Schluss. Es gibt echte Fortschritte und echte Handlungsmöglichkeiten — aber sie liegen nicht dort, wo die großen Ankündigungen gemacht werden.
Im öffentlichen Sektor passiert Konkretes. Das österreichische Bundesministerium für öffentliche Verwaltung hat seine Collaboration-Infrastruktur vollständig auf Nextcloud migriert — nicht aus Kostengründen, sondern aus Souveränitätsgründen. Der CIO: "Es geht nicht darum, Geld zu sparen. Es geht darum, Kontrolle über unsere eigenen Daten und Systeme zu behalten." Der Internationale Strafgerichtshof in Den Haag hat ähnliche Schritte unternommen. Das sind Blaupausen, keine Randnotizen.
Im Forschungsbereich ist EuroHPC real und funktional. Die LUMI-Infrastruktur liefert europäischen Forschern tatsächlich souveräne Rechenkapazität. Das ist kein Marketing.
Die Regulierungsseite — DSGVO, AI Act, DMA — wirkt. Sie zwingt amerikanische Unternehmen zu Verhaltensänderungen, schafft Marktbedingungen, die europäische Alternativen begünstigen, und setzt globale Standards. Das ist nicht nichts.
Aber das ehrliche Gesamtbild bleibt: Europa reguliert brillant und baut langsam. Es produziert Initiativen schneller als Infrastruktur. Es diskutiert Souveränität, während amerikanische Hyperscaler weitere Hunderte Milliarden investieren. Der Abstand wächst nicht mehr so schnell wie noch vor zehn Jahren — aber er schrumpft auch nicht.
Europa reguliert die Welt
und nutzt amerikanische Server,
um die Regulierung zu verwalten.
Das ist die präziseste Beschreibung
des aktuellen Stands
der europäischen technologischen Souveränität. — beyond-decay.org