Recht und Compliance · Digitale Souveränität

Der EU Cloud Act für den Mittelstand

Der EU Cloud Act ist in aller Munde, doch kaum ein Begriff wird so oft verwechselt. Er heißt offiziell Cloud and AI Development Act, und er ist nicht dasselbe wie der gleichnamig klingende US CLOUD Act. Diese Seite trennt die beiden sauber, erklärt das neue Souveränitätsstufensystem und zeigt, was der Mittelstand jetzt konkret tun sollte.

3.6.2026
legte die EU-Kommission den Cloud and AI Development Act vor
EU-Kommission
4 Stufen
umfasst die neue Souveränitätsskala für die öffentliche Beschaffung
CADA-Entwurf 2026
> 70 %
des europäischen Cloud-Marktes halten US-Hyperscaler
Marktschätzung 2026
264 Mrd
Euro jährlich kostet die EU nach Schätzung ihre Cloud-Abhängigkeit
EU-Schätzung 2026
CADA US CLOUD Act SEAL-Stufen Beschaffung Jurisdiktion
Die häufigste Verwechslung

Zwei Gesetze, ein Missverständnis

Wer EU Cloud Act sagt, meint meist das neue europäische Souveränitätsgesetz. Verwechselt wird es ständig mit dem US CLOUD Act, der genau das Gegenteil bewirkt. Diese Gegenüberstellung schafft Klarheit, bevor es in die Details geht.

Europa

EU Cloud Act

Cloud and AI Development Act, CADA

Ein Vorschlag der EU-Kommission vom 3. Juni 2026. Er soll europäische Cloud-, KI- und Rechenzentrumsinfrastruktur fördern und Souveränität bei der öffentlichen Beschaffung verankern.

Wirkung: er will Unabhängigkeit stärken und Abhängigkeiten von Anbietern aus Drittstaaten verringern.

Ziel: mehr Souveränität
USA

US CLOUD Act

Clarifying Lawful Overseas Use of Data Act

Ein US-Gesetz von 2018. Es verpflichtet US-Unternehmen, Daten auf behördliche Anordnung herauszugeben, unabhängig davon, in welchem Land die Server physisch stehen.

Wirkung: es ermöglicht Datenzugriff, auch auf Daten in einem Rechenzentrum in Frankfurt, wenn der Anbieter US-Recht unterliegt.

Ziel: behördlicher Zugriff

Anbieterneutral, ohne Provision. Diese Einordnung folgt öffentlichen Quellen und dem Gesetzestext, unabhängig von einzelnen Anbietern. Sie ersetzt keine Rechtsberatung.

Mehr zur Neutralität
Das Herzstück

Die vier Souveränitätsstufen

Der Cloud and AI Development Act führt eine Souveränitätsskala ein, nach der öffentliche Stellen Cloud-Dienste einstufen. Die Stufen zeigen anschaulich, warum ein europäisches Rechenzentrum allein noch keine Souveränität bedeutet.

Stufe Was gefordert wird Wer sie typisch erfüllt Souveränität
Stufe 1 Daten werden in EU-Infrastrukturen gespeichert und verarbeitet auch US-Hyperscaler mit europäischen Rechenzentren niedrig
Stufe 2 Nachweis der Unabhängigkeit von Drittstaaten, transparente Lieferkette Anbieter mit offengelegter Software-Lieferkette niedrig bis mittel
Stufe 3 Anbieter in der EU ansässig und kontrolliert, Personal mit EU-Staatsangehörigkeit europäische Anbieter, für US-Anbieter schwer erreichbar hoch
Stufe 4 höchstes Souveränitätsniveau mit den strengsten Anforderungen auf Souveränität spezialisierte europäische Plattformen sehr hoch
Was das für Sie heißt

Warum es den Mittelstand doch betrifft

Direkt verpflichtet der Cloud and AI Development Act nur die öffentliche Beschaffung. Der Mittelstand ist rechtlich nicht unmittelbar adressiert. Trotzdem wirkt das Gesetz auf drei Wegen bis in mittelständische IT-Entscheidungen hinein.

Weg 1

Über die Lieferkette

Wer Behörden oder Betreiber kritischer Infrastrukturen beliefert, wird künftig häufiger Souveränitätsnachweise vorlegen müssen. Die Anforderung wandert vom öffentlichen Auftraggeber zum Zulieferer.

Weg 2

Über den Marktstandard

Was in der Beschaffung zur Norm wird, prägt den gesamten Markt. Anbieter richten ihre Angebote danach aus, und souveräne Optionen werden verfügbarer, sichtbarer und vergleichbarer.

Weg 3

Über das Risikobewusstsein

Cloud-Governance wird zur Führungsaufgabe. Fragen zu Jurisdiktion und Abhängigkeit gehören zunehmend in jede Softwareentscheidung, unabhängig von einer gesetzlichen Pflicht.

Der blinde Fleck

Warum der Standort allein nicht schützt

Der eigentliche Grund für die ganze Debatte ist der US CLOUD Act. Er kann US-Behörden Zugriff auf Daten von US-Unternehmen geben, auch wenn diese in einem deutschen Rechenzentrum liegen. Ein Serverstandort in Deutschland ist deshalb ein Anfang, aber kein Beweis für Souveränität.

Zugleich ist die europäische Antwort nicht unumstritten. Verbände wie CISPE warnen vor Sovereignty Washing, weil die unteren Stufen kaum echte Souveränität garantierten und außereuropäische Subunternehmer zugelassen blieben. Ein souverän wirkendes Konstrukt kann in der Praxis weiter auf der Technik eines US-Konzerns beruhen. Der Souveränitäts-Leitfaden ordnet das ein.

Jurisdiktion schlägt Standort

Entscheidend ist, welchem Recht ein Anbieter unterliegt, nicht allein, wo seine Server stehen.

Label ist kein Nachweis

Souverän auf der Folie sagt wenig. Prüfbar wird es über Stufe, Jurisdiktion und dokumentierte Nachweise.

Transparenz kennt Lücken

Viele Organisationen kennen den genauen Speicherort ihrer Daten nicht. Das ist der erste blinde Fleck.

Was jetzt zu tun ist

Sechs Schritte für den Mittelstand

Man muss nicht auf den formalen Abschluss des Gesetzes warten. Diese sechs Schritte bereiten Ihr Unternehmen unabhängig davon auf die absehbaren Souveränitätsanforderungen vor.

1

Speicherort klären

Verschaffen Sie sich Klarheit, welche Daten Sie wo speichern. Viele kennen den genauen Ort nicht.

2

Schutzbedarf bestimmen

Ordnen Sie Daten nach Sensibilität, um das nötige Souveränitätsniveau je Klasse festzulegen.

3

Jurisdiktion prüfen

Klären Sie, welchem Recht Ihre Anbieter unterliegen, nicht nur, wo die Server stehen.

4

Lieferkette antizipieren

Prüfen Sie, ob Kunden aus öffentlichem Sektor oder KRITIS bald Nachweise verlangen.

5

Auswahl erweitern

Machen Sie Souveränität zu einem festen Kriterium jeder Softwareauswahl.

6

Portabilität sichern

Achten Sie auf Interoperabilität und Ausstiegsfähigkeit, um einen Lock-in zu vermeiden.

FAQ

Häufige Fragen zum EU Cloud Act

Kompakte, eigenständige Antworten zu Begriff, Abgrenzung, Stufen und Handlungsbedarf.

Was ist der EU Cloud Act?

Mit EU Cloud Act ist umgangssprachlich der Cloud and AI Development Act gemeint, kurz CADA. Es handelt sich um einen Verordnungsvorschlag der Europäischen Kommission, der am 3. Juni 2026 als Teil des Tech-Souveränitäts-Pakets vorgelegt wurde. Ziel ist es, die europäische Cloud-, KI- und Rechenzentrumsinfrastruktur zu stärken und die Abhängigkeit von großen Anbietern aus Drittstaaten zu verringern. Der Name EU Cloud Act ist also kein offizieller Gesetzestitel, sondern eine verbreitete Bezeichnung.

Was ist der Unterschied zwischen dem EU Cloud Act und dem US CLOUD Act?

Es sind zwei völlig verschiedene Gesetze mit ähnlichem Namen. Der US CLOUD Act ist ein US-Gesetz, das US-Behörden den Zugriff auf Daten von US-Unternehmen erlaubt, unabhängig davon, wo die Server stehen. Der EU Cloud Act, also der Cloud and AI Development Act, ist ein europäischer Vorschlag, der europäische Cloud-Kapazitäten fördern und Souveränität bei der öffentlichen Beschaffung verankern soll. Der eine ermöglicht Datenzugriff, der andere soll Unabhängigkeit stärken.

Betrifft der EU Cloud Act private Unternehmen im Mittelstand direkt?

Direkt richtet sich der Cloud and AI Development Act vor allem an die öffentliche Beschaffung. Öffentliche Auftraggeber sollen künftig Cloud-Dienste nach einem Souveränitätsstufensystem bewerten und mindestens eine Basisstufe verlangen. Private Mittelständler sind davon nicht unmittelbar verpflichtet. Sie spüren die Wirkung aber indirekt, etwa wenn sie als Zulieferer für den öffentlichen Sektor oder für kritische Infrastrukturen tätig sind, oder weil sich Marktstandards verschieben.

Was ist das SEAL-Stufensystem im EU Cloud Act?

Das Herzstück des Cloud and AI Development Act ist eine Souveränitätsskala mit vier Stufen. Stufe 1 verlangt lediglich, dass Daten in EU-Infrastrukturen gespeichert werden, was auch US-Hyperscaler mit europäischen Rechenzentren erfüllen. Stufe 2 fordert Unabhängigkeit von Drittstaaten und eine transparente Lieferkette. Stufe 3 verlangt einen in der EU ansässigen und kontrollierten Anbieter mit EU-Personal, was für viele globale Anbieter schwer zu erreichen ist. Stufe 4 steht für das höchste Souveränitätsniveau.

Schützt ein Serverstandort in Deutschland vor dem US CLOUD Act?

Nicht automatisch. Wenn ein Anbieter oder sein Mutterkonzern US-Recht unterliegt, kann der US CLOUD Act einen Zugriff auf Daten ermöglichen, selbst wenn diese physisch in einem deutschen Rechenzentrum liegen. Das klassische Beispiel ist ein US-Konzern, der Daten auf einem Server in Frankfurt speichert und sie dennoch nach US-Recht herausgeben muss. Entscheidend ist also nicht nur der Standort, sondern auch die Jurisdiktion und die Kontrolle über den Anbieter.

Ab wann gilt der EU Cloud Act?

Der Cloud and AI Development Act ist zunächst ein Vorschlag der Europäischen Kommission vom 3. Juni 2026. Als EU-Verordnung durchläuft er das Gesetzgebungsverfahren mit Parlament und Rat, was üblicherweise einige Zeit in Anspruch nimmt und noch Änderungen bringen kann. Ein konkretes Datum des Inkrafttretens steht damit noch nicht fest. Unternehmen sollten die Entwicklung beobachten, aber nicht auf den formalen Abschluss warten, denn die zugrunde liegenden Anforderungen zeichnen sich bereits ab.

Was bedeutet Sovereignty Washing?

Sovereignty Washing beschreibt die Kritik, dass Dienste als souverän vermarktet werden, obwohl sie es bei genauer Prüfung nicht sind. Der europäische Verband CISPE argumentiert, dass die unteren Stufen des Souveränitätssystems nahezu jeder Anbieter erfüllen könne und damit kaum echte Souveränität garantiere. Zudem kritisiert er eine Klausel, nach der außereuropäische Subunternehmer die technische Infrastruktur liefern könnten. Für Anwender heißt das, genau auf die tatsächliche Stufe und die Nachweise zu achten.

Warum ist die Abhängigkeit von US-Anbietern ein Thema?

Große Anbieter aus den USA beherrschen einen sehr großen Teil des europäischen Cloud-Marktes, nach verschiedenen Schätzungen deutlich über zwei Drittel. Diese Konzentration schafft strategische Abhängigkeiten, die inzwischen als wirtschaftliches und geopolitisches Risiko gesehen werden. Der Cloud and AI Development Act ist die Antwort der EU darauf, indem er europäische Kapazitäten fördert und Souveränität bei der Beschaffung verankert. Für den Mittelstand ist das ein Signal, Abhängigkeiten bewusst zu steuern.

Muss der Mittelstand jetzt seine Cloud-Anbieter wechseln?

Nicht überstürzt. Sinnvoll ist zunächst eine nüchterne Bestandsaufnahme, welche Daten wo liegen und welchem Recht die Anbieter unterliegen. Auf dieser Basis lässt sich je Datenklasse entscheiden, wo ein höheres Souveränitätsniveau nötig ist und wo nicht. Ein pauschaler Wechsel ist selten die beste Antwort. Klüger ist eine abgestufte Strategie, die Schutzbedarf, Kosten und Portabilität in Einklang bringt und Souveränität fest in die Softwareauswahl einbindet.

Wie hängt der EU Cloud Act mit BSI C5 und C3A zusammen?

Sie ergänzen einander. Der BSI C5 regelt die Informationssicherheit, der C3A macht Souveränität technisch prüfbar, und der Cloud and AI Development Act schafft den europäischen Rechts- und Beschaffungsrahmen darüber. Während C5 und C3A konkrete Kriterien für einzelne Cloud-Dienste liefern, wirkt der Cloud and AI Development Act auf der Ebene von Markt und Vergabe. In der Praxis lohnt es sich, die Zertifizierungskriterien und den Rechtsrahmen gemeinsam zu betrachten.

Souveränität gehört in die Auswahl

Recht und Technik gehören zusammen gedacht. Verankern Sie Jurisdiktion, Serverstandort und Souveränitätsniveau als feste Kriterien in Ihrer Softwareauswahl, auf Basis realer Projekte und ohne Provision.