Digitale Souveränität auf vier Stufen: Was CADA wirklich regelt - und zwei Stellen, an denen es noch nicht reicht

Mon, 08 Jun 2026 22:46:12 +0200

70 Prozent des europäischen Cloudmarkts liegen bei drei Unternehmen: Microsoft, Amazon Web Services und Google. Der Marktanteil europäischer Anbieter hat sich in weniger als zehn Jahren fast halbiert - von 29 Prozent im Jahr 2017 auf rund 15 Prozent heute. Gleichzeitig fließen jährlich schätzungsweise 264 Milliarden Euro aus dem EU-Wirtschaftsraum ab, während die Abhängigkeit von US-Infrastruktur wächst.

Das ist der Kontext, in dem die EU-Kommission am 3. Juni 2026 ihr sogenanntes Tech Sovereignty Package vorgelegt hat. Kern des Pakets: der Cloud and AI Development Act - kurz CADA. Dazu kommen ein Chips Act 2.0, eine Energieroadmap und eine EU-weite Open-Source-Strategie.

Was steckt da drin? Was bedeutet das für öffentliche Verwaltungen in Deutschland? Und wo bleibt der Vorschlag hinter seinen eigenen Ambitionen zurück?

Was CADA ist - und was es nicht ist

CADA ist kein US-Bann. Das ist das erste Missverständnis, das sich in der Debatte der letzten Tage hartnäckig hält.

Das Gesetz definiert vier Souveränitätsstufen für Cloud-Dienste, die aufeinander aufbauen. Welche Stufe für welchen Anwendungsfall gilt, entscheiden nicht Brüssel und nicht Berlin zentral - sondern die Behörden selbst im Rahmen einer vorgeschriebenen Risikoanalyse. Die Kommission gibt Methode und Kriterien vor; die Mitgliedstaaten wenden sie an.

Schauen wir uns die vier Stufen konkret an:

Level 1 ist die Basisstufe: Daten müssen innerhalb der EU verarbeitet werden, der Anbieter braucht eine europäische Niederlassung. US-Hyperscaler wie AWS, Microsoft Azure oder Google Cloud sind hier weiterhin zugelassen - solange sie eine EU-Tochter betreiben. Die Kommission schätzt, dass rund 70 Prozent der Anwendungsfälle im öffentlichen Sektor auf diesem Level landen.

Level 2 adressiert den „Kill Switch" - die Sorge, dass ein Drittstaat jederzeit Dienste einschränken oder Daten abgreifen könnte. Anbieter müssen nachweislich verhindern, dass Drittstaaten-Behörden auf Kundendaten zugreifen oder den Dienst stören können. Sicherheitsbehörden, Grenzschutz, kritische Infrastrukturen sollen mindestens auf diesem Level operieren.

Level 3 ist der Punkt, ab dem es für US-Hyperscaler real problematisch wird. Verschlusssachen dürfen hier in die Cloud - aber nur bei Anbietern, die von Drittstaaten-Gesetzen unabhängig sind, die Sicherheitsbehörden Datenzugriff ermöglichen. Das Problem: Der US Cloud Act tut genau das. Kommissionsvizepräsidentin Henna Virkkunen sagte es bei der Vorstellung des Pakets ohne Umschweife: „Es ist schwer, mit dem US Cloud Act dieses Level zu erreichen." Hinzu kommt eine Anforderung an die Staatsbürgerschaft der Mitarbeitenden - sie müssen aus der EU kommen und können auf Kundenwunsch sicherheitsüberprüft werden. Die Kommission schätzt den Anwendungsbereich auf rund neun Prozent der Fälle.

Level 4 ist die höchste Stufe: vollständige Kontrolle über den gesamten Software-Stack, europäische Lieferkette, keine außereuropäischen Anbieter. Verteidigung, Justiz, Strafverfolgung. Geschätzter Anwendungsbereich: ein Prozent.

Wichtig zu verstehen: Die Kommission sieht Unternehmen der Privatwirtschaft grundsätzlich nicht als verpflichtet an, nach CADA zu beschaffen. Es gibt eine Kann-Regel. Gleichzeitig behält sich die Kommission vor, in „hochkritischen Sektoren" durch weitere Rechtsakte auch private Unternehmen einzubeziehen - etwa die Rüstungsindustrie oder NIS-2-regulierte Sektoren.

Das ist der Rahmen. Jetzt kommen die zwei Debatten, die darin stecken.

Debatte 1: Souveränität oder Protektionismus?

Die EU-Kommission hat ihren eigenen Vorschlag mit einem ausdrücklichen Satz versehen: Das Paket bedeute „keine Isolation, keinen Protektionismus und keine technologische Abkopplung".

Auf der anderen Seite steht CCIA Europe - der Verband, der unter anderem große US-Tech-Unternehmen vertritt - und beschreibt CADA als „direktes Rezept für eine fragmentierte Diskriminierung in ganz Europa auf 27 verschiedene Arten" . Der Vorwurf: Durch den Ausschluss bewährter internationaler Anbieter aufgrund ihrer Herkunft zwinge die Kommission Nutzer:innen in ein Korsett aus weniger wettbewerbsfähigen Alternativen.

Das ist die Lobby-Position. Aber das strukturelle Argument dahinter ist nicht falsch.

Das Problem liegt nicht im Ziel, sondern in der Architektur der Entscheidung. CADA delegiert die Stufenzuweisung an die Mitgliedstaaten. Das klingt nach Subsidiarität, ist aber in der Praxis eine Einladung zur nationalen Interpretation. Und hier trennen sich Frankreich und Deutschland.

Frankreich hat eine längere Tradition aktiver Industriepolitik im Digitalen - von der Förderung nationaler Cloud-Anbieter bis hin zur Frage, welche US-Dienste für sensible staatliche Prozesse überhaupt infrage kommen. Frankreich wird Level-3-Anforderungen breiter und früher anwenden. Deutschland hingegen steht unter doppeltem Druck: Ein großer Teil der Verwaltungs-IT läuft heute auf US-Cloud, und es fehlen sowohl Haushaltsmittel als auch einsatzbereite europäische Alternativen für viele Anwendungsfälle.

Das Ergebnis: 27 Mitgliedstaaten mit 27 unterschiedlichen Auslegungen, was „souverän" bedeutet. Das ist kein europäisches Souveränitäts-Framework - das ist ein europäisches Fragmentierungs-Risiko. Heise Online zitiert Dennis-Kenji Kipker vom Cyberintelligence.Institute mit der treffenden Formulierung: Selbst wer das Ziel teilt, muss die „Gefahr einer technologischen Entkopplung" ernst nehmen.

Ich teile die Diagnose, aber nicht die Resignation dahinter. Souveränität und Offenheit sind kein Widerspruch - wenn man die Reihenfolge richtig denkt. Das Centre for European Policy Network formuliert es produktiv: Souveränität als Voraussetzung für Offenheit, nicht als Alternative dazu. Wer handlungsfähig sein will, muss zunächst sicherstellen, dass niemand den Schalter umlegen kann. Danach kann man wählen, mit wem man zusammenarbeitet.

Die Lösung des Architektur-Problems heißt: zentralisierte Kriterien, dezentrale Anwendung. Die Kommission muss die Risikoklassifizierungsmethode so verbindlich vorgeben, dass Level-3-Entscheidungen nicht zur nationalen Handelspolitik werden. Noch ist der Entwurf im parlamentarischen Prozess - das ist der Moment, um genau das einzufordern.

Debatte 2: “Open Source First” ohne Durchsetzungsmechanismus

Hier wird es konkret. Und hier liegt meiner Ansicht nach die wichtigere Schwäche des Entwurfs.

CADA enthält in Artikel 41 ein Prinzip namens „Open Source First" - ausdrücklich im operativen Gesetzestext verankert, nicht nur in einer Präambel. SUSE-Direktor Andreas Prins schreibt dazu: „Das ist die ambitionierteste Open-Source-Verpflichtung, die die Kommission je in ein Gesetz geschrieben hat." In seinem Kommentar vom 3. Juni listet er auf, was das Paket tatsächlich enthält: das OSPO-Netzwerk für die öffentliche Verwaltung, eine 2-Milliarden-Euro-Investitionshülle für die Open-Source-Strategie, eine nationale Pflicht zur Cloud-Strategie mit expliziter Open-Stack-Komponente.

Das ist viel. Aber Prins stellt auch die entscheidende Frage: Ist das bindend und durchsetzbar?

Lesen wir Artikel 41 wörtlich: „The Union and Member States shall take the necessary measures to encourage Union entities and public sector bodies to use and facilitate the reuse of open standards and components released under an open source licence."

Encourage. Ermutigen. Nicht verpflichten. Nicht vorschreiben. Nicht mit Begründungspflicht versehen.

Der FSFE-Projektmanager Johannes Näder begrüßt das Paket als großen Schritt, fordert aber verbindliche Vorgaben . Er rechnet vor: Würde nur die Hälfte der 264 Milliarden Euro, die die EU jährlich für proprietäre IT ausgibt, in europäische Open-Source-Alternativen fließen, wäre das ein struktureller Wendepunkt.

Warum bleibt das relevant? Weil die Zahlen aus Deutschland zeigen, wohin ein „Ermutigen" führt. Tagesspiegel Background hat recherchiert , was die Bundesländer seit 2021 für Microsoft ausgegeben haben: zehn von 16 Ländern haben geantwortet - zusammen über 686 Millionen Euro. Tendenz: +84 Prozent in fünf Jahren, durchschnittlich fast 17 Prozent Kostensteigerung pro Jahr. Die anderen sechs Länder wollten oder konnten keine Zahlen liefern.

Das ist kein Angriff auf Microsoft. Das ist die Beschreibung einer strukturellen Abhängigkeit, die sich ohne Richtungsänderung nicht auflöst. Schleswig-Holstein hat vorgemacht, was möglich ist : Der Wechsel auf LibreOffice hat die Kosten für den digitalen Standardarbeitsplatz von 18 Millionen Euro auf drei Millionen Euro reduziert - jährlich. Das ist keine ideologische Entscheidung. Das ist Verwaltungsökonomie.

💡 Open Source ist in diesem Kontext kein Kostenspar-Argument. Es ist ein Souveränitäts-Argument. Wer Open Source einsetzt, hat keinen Vendor-Lock-in, kann Sicherheitslücken selbst schließen lassen, und muss keine jährlichen Lizenzkosten steigerungen einkalkulieren.

Was also fehlt in CADA? Ein strukturierter Pfad, nicht nur eine Haltung. Konkret drei Elemente:

Erstens: Bevor öffentliche Mittel für proprietäre Cloud- oder KI-Software ausgegeben werden, muss eine dokumentierte Prüfung stattfinden, ob eine qualifizierte Open-Source-Alternative existiert. Nicht als Formalie - als echte Vergabevoraussetzung.

Zweitens: Diese Prüfung muss auditierbar sein. Nicht intern verschwinden.

Drittens: Die Begründungslast muss beim proprietären Kauf liegen, nicht beim Open-Source-Einsatz. Heute ist es umgekehrt. Wer Open Source beschaffen will, muss erklären, warum. Wer Microsoft kauft, hat keine Erklärungspflicht.

SUSE hat dazu gemeinsam mit über hundert Unterzeichner:innen einen offenen Brief an die Kommission geschrieben. Die Richtung ist klar. Die Formulierung im Gesetz muss folgen.

Was jetzt kommt

CADA ist ein Kommissionsvorschlag. Parlament und Rat haben noch nicht Stellung bezogen. Der Telekommunikationsrat der Mitgliedstaaten berät in wenigen Tagen erstmals über die Vorlage - dort werden die nationalen Positionen sichtbar.

Zwei Weichen entscheiden über den Wert des Gesetzes:

Die erste: Ob die Kommission die Risikoklassifizierung so verbindlich zentralisiert, dass nationale Auslegungen nicht zum Instrument nationaler Industriepolitik werden. 27 Level-3-Definitionen sind keine Souveränität. Sie sind 27 Verhandlungspositionen.

Die zweite: Ob aus „Ermutigen" eine Verfahrenspflicht wird. Nicht als ideologisches Statement, sondern als beschaffungsrechtliche Logik: Wer öffentliche Gelder ausgibt, muss begründen können, warum er eine Abhängigkeit eingeht.

Das Tech Sovereignty Package ist der richtige Schritt. Virkkunen hat Recht, dass Europa zu lange weggeschaut hat. Aber gute Absichten allein ändern keine Beschaffungslogik. Was es braucht, sind Verfahren, nicht Bekenntnisse.

Der parlamentarische Prozess hat gerade begonnen. Wer in der Digitalpolitik, in Verwaltungsführung oder im GovTech-Umfeld arbeitet, hat jetzt mehr Einfluss mit seinem Feedback als nach der Abstimmung.

Hat Sie das Thema interessiert?

Wollen Sie mehr wissen zum Vorhaben der EU und wie es sich auf Ihre konkrete Beschaffungsentscheidung auswirkt? Schreiben Sie mir.