Ein Vorschlag, kein neues Gesetz von heute auf morgen

Am 3. Juni 2026 hat die EU-Kommission ein Paket vorgestellt, das die technologische Eigenständigkeit Europas stärken soll. Ein zentraler Bestandteil davon ist der sogenannte Cloud and AI Development Act, kurz CADA. In einigen Meldungen klang das so, als müsse sich nun jedes Unternehmen umgehend nach einem neuen Cloud-Anbieter umsehen. Das trifft nicht zu, und genau hier lohnt sich ein nüchterner Blick.

Bei dem Paket handelt es sich bislang um einen Vorschlag der Kommission, nicht um geltendes Recht. Es muss erst das Verfahren in Parlament und Rat durchlaufen, und die Pflichten, die der Entwurf vorsieht, richten sich an öffentliche Stellen, nicht an private kleine und mittlere Unternehmen. Trotzdem ist das Thema für KMU relevant, allerdings auf eine ruhigere, mittelbare Weise, als manche Schlagzeile nahelegt.

Dieser Beitrag ordnet ein, was hinter dem Paket und dem CADA steckt, wen es tatsächlich in die Pflicht nimmt und warum die Frage nach dem Datenstandort auch für kleine Betriebe an Gewicht gewinnt.

Auf einen Blick

  • Die **EU-Kommission** hat am **3. Juni 2026** ein Paket zur technologischen Souveränität vorgestellt — mit vier Bausteinen: einem **Chips Act 2.0**, dem **Cloud and AI Development Act (CADA)**, einer eigenständigen **Open-Source-Strategie** und einer Roadmap zu Digitalisierung und KI im Energiebereich.
  • **CADA** soll einen **einheitlichen, EU-weiten Rahmen** schaffen, um die Souveränität von Cloud- und KI-Diensten zu bewerten, und den Aufbau von Rechenzentren in Europa erleichtern.
  • Die vorgesehenen Pflichten betreffen **EU-Institutionen und nationale öffentliche Stellen**, die vor einer Cloud-Nutzung eine Souveränitäts- und Risikobewertung vornehmen sollen. **Private KMU sind nicht direkt verpflichtet.**
  • **Status:** ein **Kommissionsvorschlag**, noch **kein geltendes Recht** — das Gesetzgebungsverfahren steht aus. Das Branchennetzwerk **Gaia-X** begrüßt den Entwurf und mahnt einen praxistauglichen Weg an.
  • Für kleine Betriebe heißt das vor allem: **Wo liegen meine Daten und wer kontrolliert den Anbieter rechtlich?** Diese Frage wird zunehmend zum Auswahlkriterium — ohne Hektik, aber bewusst.

Was das Paket und der CADA vorsehen

Das Paket bündelt vier Vorhaben unter einem gemeinsamen Ziel: Europa soll bei zentralen digitalen Technologien weniger von einzelnen außereuropäischen Anbietern abhängen. Neben dem CADA gehören dazu eine Neuauflage der Chip-Förderung, eine eigene Strategie für quelloffene Software und eine Roadmap für den Einsatz von Digitalisierung und KI in der Energieversorgung. Im Mittelpunkt der Cloud-Debatte steht der CADA.

Der CADA verfolgt im Kern zwei Stoßrichtungen. Zum einen soll er einen einheitlichen, EU-weiten Rahmen schaffen, mit dem sich die Souveränität von Cloud- und KI-Diensten bewerten lässt. Heute beurteilt im Zweifel jede Behörde und jeder Mitgliedstaat für sich, was als ausreichend „souverän" gilt; ein gemeinsamer Maßstab soll diese Bewertung vereinheitlichen und vergleichbar machen. Zum anderen zielt der Entwurf darauf, den Ausbau von Rechenzentren innerhalb der EU zu erleichtern, damit mehr Kapazität tatsächlich in Europa entsteht.

Wichtig ist dabei, wen der Entwurf in die Pflicht nimmt. Die vorgesehenen Bewertungspflichten richten sich an EU-Institutionen und an nationale öffentliche Stellen. Diese sollen, bevor sie einen Cloud-Dienst nutzen, prüfen, wie es um dessen Souveränität und die damit verbundenen Risiken bestellt ist. Private Unternehmen, und damit auch kleine und mittlere Betriebe, werden durch den Vorschlag nicht unmittelbar verpflichtet, ihre Cloud-Nutzung umzustellen.

Genauso wichtig ist der Status. Was am 3. Juni vorgestellt wurde, ist ein Vorschlag der Kommission. Damit daraus verbindliches Recht wird, muss er das ordentliche Gesetzgebungsverfahren durchlaufen, in dem Parlament und Rat den Text beraten, verändern und am Ende beschließen. Bis dahin können sich Inhalt und Reichweite noch verschieben. Aus der Praxis kommt bereits Rückmeldung: Das Netzwerk Gaia-X, das sich seit Jahren mit europäischer Dateninfrastruktur befasst, begrüßt die Richtung des Entwurfs und mahnt zugleich an, dass der gewählte Weg im Alltag umsetzbar bleiben muss.

Rund um den Vorschlag kursieren auch konkretere Zahlen, etwa zu einer angestrebten Vervielfachung der europäischen Rechenzentrumskapazität über die nächsten Jahre oder zu abgestuften Souveränitätsstufen. Solche Angaben stammen bislang überwiegend aus Fachanalysen und Kanzlei-Einschätzungen, nicht eins zu eins aus den offiziellen Unterlagen. Sie geben eine Richtung wieder, sollten aber bis zur endgültigen Fassung mit der entsprechenden Vorsicht gelesen werden.

Was das für kleine Unternehmen heißt

Die erste und wichtigste Botschaft ist eine Entwarnung: Wenn Sie als kleiner oder mittlerer Betrieb heute Cloud-Dienste nutzen, ergibt sich aus diesem Vorschlag keine unmittelbare Pflicht und kein Handlungsdruck. Niemand muss aufgrund des CADA kurzfristig den Anbieter wechseln oder Verträge kündigen.

Dennoch verändert das Paket den Hintergrund, vor dem Cloud-Entscheidungen künftig getroffen werden. Die Frage, wo Daten verarbeitet werden und welcher Rechtsordnung ein Anbieter unterliegt, rückt weiter in den Vordergrund. Sie war schon bisher ein Thema des Datenschutzes; nun wird sie zusätzlich politisch und über einen einheitlichen Bewertungsrahmen greifbarer. Für die Auswahl eines Dienstleisters wird damit nicht nur entscheidend, was er kann und was er kostet, sondern auch, wo seine Rechenzentren stehen und wer rechtlich Zugriff auf die Daten hat.

Spürbar werden kann das für KMU vor allem auf einem indirekten Weg: über öffentliche Auftraggeber. Wenn Behörden und öffentliche Einrichtungen künftig stärker auf Souveränitätskriterien achten, ist es naheliegend, dass sie entsprechende Anforderungen auch in ihre Ausschreibungen und Vergaben aufnehmen. Wer als Unternehmen für die öffentliche Hand arbeitet oder als Zulieferer und Dienstleister in einer solchen Lieferkette steht, kann dann gebeten werden, eigene Nachweise zum Datenstandort oder zur eingesetzten Cloud beizubringen. So kann eine Anforderung, die formal nur öffentliche Stellen trifft, mittelbar bis zu kleinen Betrieben durchschlagen.

Daraus folgt kein Grund zur Hektik, wohl aber ein Anlass, die eigene Cloud-Strategie bewusst zu betrachten. Es genügt fürs Erste, sich Klarheit über drei Punkte zu verschaffen: welche Dienste Sie heute nutzen, wo deren Daten liegen und welcher Jurisdiktion die jeweiligen Anbieter unterliegen. Diese Bestandsaufnahme kostet wenig und schafft eine belastbare Grundlage, falls die Frage nach Souveränität später konkret an Sie herangetragen wird. Wer ohnehin über Anpassungen nachdenkt, kann den Datenstandort von vornherein als ein Kriterium unter mehreren mitführen, statt erst unter Zeitdruck zu reagieren.

Dass dieselbe Souveränitäts-Welle auch jenseits der Cloud-Infrastruktur sichtbar wird, zeigt das Beispiel europäischer Software-Alternativen wie der kürzlich gestarteten Office-Suite Euro-Office, die wir in einem eigenen Beitrag eingeordnet haben.

Fazit

Der Cloud and AI Development Act ist ein Vorschlag, der die Richtung anzeigt, in die sich die europäische Cloud-Politik bewegt — hin zu einem gemeinsamen Maßstab für Souveränität und mehr Rechenzentrumskapazität in Europa. Geltendes Recht ist er noch nicht, und verpflichtet sind zunächst öffentliche Stellen, nicht private KMU. Für kleine Betriebe ist das eine Einladung zum genauen Hinsehen, nicht zum überstürzten Handeln.

Wir unterstützen Sie dabei, diese Frage sachlich einzuordnen: Wir verschaffen Ihnen einen Überblick, welche Cloud-Dienste Sie einsetzen, wo Ihre Daten liegen und welcher Rechtsordnung Ihre Anbieter unterliegen — und ordnen ein, ob und wo der Datenstandort für Sie ein sinnvolles Auswahlkriterium ist. So treffen Sie Ihre Entscheidungen bewusst und in Ruhe, statt von einer kommenden Regelung überrascht zu werden.