← Alle Artikel
Regulierung 3. Juni 2026

CADA: Die EU macht ernst mit KI-Souveränität

Mit dem Cloud and AI Development Act legt die Europäische Kommission erstmals verbindliche Souveränitätsstufen für KI- und Cloud-Beschaffung fest. Was das bedeutet – und warum es auch für Privatunternehmen relevant ist.

CADA: Die EU macht ernst mit KI-Souveränität

Die Europäische Kommission unternimmt jetzt offizielle Schritte, um ihre Abhängigkeit von US-amerikanischen Big-Tech-Unternehmen zu verringern.

Im Rahmen des „Cloud and AI Development Act” (CADA) legt sie klare Souveränitätsanforderungen für die Cloud- und KI-Beschaffung des öffentlichen Sektors vor. Private Unternehmen in kritischen Sektoren wie Bankwesen, Energie und Gesundheit dürfen dieselben Kriterien anwenden.

Damit signalisiert die Kommission: Wo die KI läuft und wer sie kontrolliert, ist mittlerweile genauso entscheidend wie das, was sie tut.

„Außerdem wird ein einheitlicher EU-weiter Rahmen zur Bewertung der Souveränität in den Bereichen Cloud und KI eingeführt. Dabei wird aber der Großteil unseres Marktes für gleich gesinnte Partner offen bleiben. Dies wird dazu beitragen, kritische Anwendungen und sensible Daten zu schützen und die Entwicklung und Einführung fortschrittlicher Cloud- und KI-Technologien zu unterstützen.”

— Europäische Kommission, Pressemitteilung – „Die Kommission schlägt ein Paket für technologische Souveränität vor, um Europas digitale Autonomie und Resilienz zu stärken”, 3. Juni 2026

Wer ist betroffen?

Verpflichtend – für den öffentlichen Sektor bei Beschaffung von KI und Cloud. Je sensibler die Aufgabe, desto höher die geforderte Schutzstufe.

Für alle anderen – ein Maßstab, um zu beurteilen, wie abhängig oder unabhängig die eigene Infrastruktur tatsächlich ist.

CADA bietet einen Rahmen zur Bewertung der Cloud- und KI-Souveränität

Die vier Sicherheitsstufen sind von öffentlichen Stellen für ihre Risikobewertungen zu nutzen – und die Kommission öffnet dasselbe Instrument für den privaten Sektor:

Stufe 1 – die Daten werden in einer Infrastruktur innerhalb der Union verarbeitet und gespeichert.

Stufe 2 – Anbieter weist Unabhängigkeit von Drittstaaten und Transparenz über ihre Software-Lieferkette nach.

Stufe 3 – Anbieter stammen aus der EU und unterliegen nur dem EU-Recht. Weitere Kriterien sind zu bewerten, etwa die Staatsangehörigkeit des Personals. Die Kommission kann Anbieter aus Drittstaaten anerkennen.

Stufe 4 – Der Anbieter hat volle Transparenz und Kontrolle über seine Software-Lieferkette und es besteht keine Einflussnahme durch einen Drittstaat.

Cloud-Anbieter können im Rahmen dieses Systems von den Mitgliedstaaten anerkannt werden, nachdem sie ein Audit durchlaufen haben.

Souveränität bedeutet mehr, als Daten in Europa zu verarbeiten

Unter CADA kommt es darauf an, wie viel echte Kontrolle Europa über Dinge wie diese hat:

  • Wo Daten verarbeitet und gespeichert werden
  • Wie unabhängig Anbieter von Drittstaaten sind
  • Wem die Betreibergesellschaft gehört und wer sie kontrolliert
  • Wie transparent die Software-Lieferkette ist
  • Wie stark ausländische Einflussnahme möglich ist

Für hohe Souveränität im Betrieb empfiehlt sich, die KI entweder bei einem Anbieter unter voller EU-Kontrolle zu betreiben oder lokal auf eigener Infrastruktur.

Schon bald wird es genauso wichtig sein, wo Ihre KI läuft, wie das, was sie tut.