Morgen wird in Brüssel die Geduld der EU-Kommission zur Politik. Am 27. Mai 2026 stellt die Kommission voraussichtlich ein Tech-Sovereignty-Paket vor, das EU-Mitgliedstaaten untersagt, US-Cloud-Anbieter für sensible Daten in den Bereichen Gesundheitswesen, Finanzen und Justiz zu nutzen. Auslöser: der US CLOUD Act, der US-Strafverfolgungsbehörden Zugriff auf Daten gewährt, unabhängig vom Speicherort. Für deutsche Behörden, Versicherer und Banken kippt damit das Cloud-Modell der letzten zehn Jahre.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Was am 27. Mai konkret kommt
Die Kommission geht von Rhetorik zur Durchsetzung über. Drei Treiber stehen hinter dem Paket. Erstens die anhaltende Wirkung des CLOUD Acts, der durch keine bilaterale Vereinbarung suspendiert ist. Zweitens die ProPublica-Untersuchung zur FedRAMP-Zertifizierung von Microsoft GCC High, die im März 2026 grundlegende Schwächen im Risikomanagement offenlegte. Drittens Microsofts eigener Digital Sovereignty Summit im April 2026 in Brüssel, auf dem das Unternehmen Souveränität als „kontinuierliche Disziplin des Risikomanagements“ und nicht mehr als Zielzustand neu definierte. Das war faktisch ein Eingeständnis, dass Standortzusagen nicht ausreichen.
Konkret enthält das Paket das Cloud Sovereignty Framework, das die Kommission bereits im Frühjahr 2026 vorgelegt hat. Acht Souveränitätsziele, fünf Assurance-Stufen, ein aggregierter Sovereignty Score für Beschaffungsentscheidungen. Wer 2026 als öffentliche Stelle Cloud-Verträge vergibt, wird diesen Score nicht mehr ignorieren können.
Was deutsche Anwender konkret tun
Für Behörden ist das Paket ein Beschleuniger laufender Migrationen. Das BSI hat parallel den Cybersicherheitsmonitor 2026 mit jedem vierten Internetnutzer als Opfer veröffentlicht und im April den C5:2026 aktualisiert. Beide Dokumente schließen an die EU-Linie an.
Für die Privatwirtschaft gilt das Gesetz nicht direkt, der Druck steigt aber über Lieferkettenfragen. Wer als Auftragnehmer für Bundes- oder Landesbehörden arbeitet, wird zunehmend nachweisen müssen, dass die eigenen IT-Dienstleister nicht im CLOUD-Act-Risiko stehen. Die Frage „Wo liegen unsere Daten?“ wird 2026 zur Vorstandsfrage, nicht mehr zur IT-Detailfrage.
27. Mai ist nicht das Datum, an dem US-Cloud-Verträge enden. Es ist das Datum, an dem die Frage ‚Können wir uns das leisten?‘ in jeder Vorstandssitzung neu beantwortet werden muss. Wer 2026 keine Sovereign-Cloud-Option im Portfolio hat, läuft 2027 ins Compliance-Risiko.
— Markus Seyfferth, Chefredakteur Dr. Web
Was Geschäftsführer jetzt prüfen
Drei Hebel verdienen Aufmerksamkeit. Erstens: eine Datenklassifizierung, die unterscheidet, welche Daten in US-Hyperscaler-Clouds bleiben können und welche nicht. Zweitens: eine Lieferantenliste, die nachvollziehbar belegt, welche IT-Dienstleister vom US CLOUD Act betroffen sind. Drittens: ein Sovereign-Cloud-Pilot bei einem deutschen Anbieter wie Plusserver, IONOS oder STACKIT, der bei Bedarf schnell skalierbar ist.
Mehr Newshunger?
Aktuelle Stories aus dem Cybersecurity-, KI- und DACH-Cluster im Dr. Web-Newsroom: Im KI-Cluster relevant: die KI-Bilanzlüge der Hyperscaler, die SAP Autonomous Suite und der Ryzen AI Halo als Mittelstandsbeispiel. Im Cybersecurity-Bereich: 86 Prozent KI-Phishing und drei Schutzhebel und die Smart-Slider-Lehre mit 800.000 Sites. Auf der WordPress-Seite: CRA-Pflicht ab Mitte 2026 für Plugins und die Essential-Welle nach Plugin-Besitzerwechsel. Für den Adoption-Stand: 41 Prozent KI-Nutzung, 19 Prozent Stellenstreichung. Wer Audio-Strategien prüft: Spotify Studio und KI-Brand-Audio. Im Robotik-Cluster: Schaeffler holt hunderte Humanoide bis 2030. Den Reality-Check zur KI-Suche liefert Google I/O 2026 nach einer Woche.
