Das EU Tech Sovereignty Package: was sich für Ihren SaaS-Stack wirklich ändert
Brüssel hat am 27. Mai sein Tech Sovereignty Package vorgestellt. Aus einer defensiven Reaktion wird damit eine strukturierte industriepolitische Linie. Was sich 2026 für Beschaffung ändert, und was nicht.
Am 27. Mai 2026 hat die Europäische Kommission ihr Tech Sovereignty Package vorgestellt, ein koordiniertes Bündel politischer Instrumente rund um den Cloud and AI Development Act (CADA), das Cloud-/KI-Gesetz, das die Kommission zusammen mit dem Paket einbringt und das eine EU-weite Definition von „souveräner Cloud" harmonisieren und den Bau von Rechenzentren erleichtern würde, flankiert von der zweiten Auflage des Chips Act und einer erneuerten Open-Source-Strategie. Die zentrale Maßnahme ist eine vorgeschlagene Beschränkung der US-Hyperscaler (AWS, Azure und Google Cloud) für sensible Daten des öffentlichen Sektors in Gesundheit, Finanzen und Justiz, in allen 27 Mitgliedstaaten. Es ist ein Vorschlag, noch kein Gesetz: Er bedarf weiterhin der Zustimmung der Mitgliedstaaten, um in Kraft zu treten. Die Ankündigung war wochenlang absehbar; der Inhalt weniger. Diese Seite ist eine pragmatische Lesart aus der Sicht von Personen, die in den nächsten zwölf Monaten tatsächliche SaaS-Kaufentscheidungen treffen, kein politik-erklärender Text.
Die zentrale Einordnung lautet: Das Paket ist die institutionelle Verdichtung von Bewegungen, die bereits liefen, keine neue Richtung. NIS2 ist seit Oktober 2024 in Kraft. DORA seit Januar 2025. Die souveräne Cloud-Ausschreibung über 180 Mio. € vom 17. April 2026 an Scaleway, Clever Cloud, OVH und STACKIT (bei Ausschluss von AWS, Azure und Google Cloud) war das Signal, dass tatsächliches Beschaffungsbudget in Bewegung geraten ist. Frankreich migriert 2,5 Millionen Beamte von Microsoft weg. Schleswig-Holstein ist zu 80 % Microsoft-frei. Der Internationale Strafgerichtshof hat Microsoft im November 2025 zugunsten von OpenDesk verlassen. Niederländische Banken suchen öffentlich nach Alternativen. Das Paket ist der Rahmen, der diese Bewegungen zu einer Doktrin ordnet.
Für Käufer ist die praktische Frage nicht „ist US-Software jetzt verboten". Sie ist es nicht, und das Paket schlägt kein allgemeines Verbot für privatwirtschaftliche Käufer vor. Was es vorschlägt, ist eine verbindliche Beschränkung der US-Hyperscaler für sensible Daten des öffentlichen Sektors; alles außerhalb dieses Perimeters ist Richtungsvorgabe, kein Verbot. Die praktische Frage ist, wo Ihr aktueller Stack auf dem Spektrum der Resilienz steht und wie viel davon Sie vor der nächsten Vertragsverlängerung verändern müssen.
Drei Dinge ändern sich in der zweiten Jahreshälfte 2026 für europäische SaaS-Käufer, und sie ändern sich mit unterschiedlicher Geschwindigkeit.
Die Beschaffung im öffentlichen Sektor verschärft sich sofort, und nennt nun die Hyperscaler beim Namen. Die zentrale Beschränkung des Pakets zielt direkt auf AWS, Azure und Google Cloud für sensible Daten des öffentlichen Sektors in Gesundheit, Finanzen und Justiz. Über diese Sektoren hinaus werden Ausschreibungen für regulierte EU-Einheiten (öffentliche Verwaltung, Verteidigungs-Lieferkette, übriger Finanzsektor) zunehmend souveräne Cloud- und EU-Unterauftragsverarbeiter-Anforderungen direkt in das Angebot schreiben. Für Anbieter, die in diese Märkte verkaufen, ist das Fehlen einer EU-Hosting-Region oder einer sauberen Sub-Auftragsverarbeiter-Kette keine weiche Einrede mehr. Es ist eine Disqualifikation in der Beschaffungs-Vorprüfung. Das erste Anzeichen werden aktualisierte Standard-Formulierungen in Ausschreibungen deutscher Bundesländer, französischer Ministerien und großer EU-Institutionen sein.
Privatwirtschaftliche Käufer geraten durch nachgelagerten Druck unter Beschaffungsdruck. Eine französische SaaS, die in ein SecNumCloud-pflichtiges Ministerium verkauft, muss selbst in einer SecNumCloud-konformen Aufstellung sein oder verliert die Ausschreibung. Ein deutsches Fintech unter DORA muss nachweisen, dass seine kritischen Unter-Lieferanten (Analytics, Identity, E-Signatur, Observability) gleichwertige Anforderungen an die operative Resilienz erfüllen. Dieser Druck wandert. Ein DACH-KMU, das sich vor Souveränitätsfragen geschützt wähnte, beantwortet plötzlich Lieferanten-Due-Diligence-Fragebögen, die es vor zwölf Monaten nicht beantworten musste.
Die Standardfrage ändert sich. Bis 2025 lautete die Standardfrage im Beschaffungsgespräch: „Ist dieses Tool funktional ausreichend, mit unterzeichnetem AVV?" 2026 lautet sie: „Ist dieses Tool funktional ausreichend, mit unterzeichnetem AVV, und ist die Hosting- plus Sub-Auftragsverarbeiter-Kette gegen eine Schrems-II-Transferfolgenabschätzung verteidigbar?" Der dritte Halbsatz war früher Spezialistensache. Er gehört jetzt zur Standard-Checkliste.
Eine klare Lesart muss auch benennen, was das Paket nicht ändert, weil Hype-Zyklen nach solchen Ankündigungen Käufer zu vergeudeten Migrationsprojekten verleiten können.
Der CLOUD Act bleibt. Ein US-eingetragenes Unternehmen unterliegt (auch wenn es alle Daten in Frankfurt speichert) weiterhin US-extraterritorialer Subpoena. Das Paket ändert US-Recht nicht und kann es nicht ändern. Was es ändert: CLOUD-Act-Exposure wird ein sichtbareres Beschaffungssignal, besonders für regulierte Käufer. Das Signal war schon immer da; das Paket erhöht sein Gewicht.
Schrems II verlangt weiterhin eine anbieterspezifische Transferfolgenabschätzung. Keine Zertifizierung (auch nicht SecNumCloud oder BSI C5) entlässt einen Verantwortlichen pauschal aus der Schrems-II-Pflicht. Die Bewertung bleibt pro Verantwortlichem, pro Datenfluss. Das Paket dürfte diese Frameworks positiv referenzieren, aber eine Referenz ist keine Befreiung.
EU-eigen heißt nicht automatisch Schrems-sicher. Mehrere europäische Anbieter betreiben erhebliche Workloads auf US-Hyperscalern, leiten E-Mail über Mailgun oder Postmark oder schicken Analytics-Events an Segment. Eigentum ist ein unabhängiges Signal; die Sub-Auftragsverarbeiter-Kette ein zweites; das physische Hosting ein drittes. Sie müssen getrennt bewertet werden. Genau diese Praxis versucht dieses Verzeichnis zu einer Routine zu machen.
Die meiste US-Software verschwindet nicht schnell. Die Wechselgeschwindigkeit bei tief verankerten horizontalen Tools (Slack, Notion, Salesforce, GitHub) wird durch Wechselkosten, Integrations-Wildwuchs und Team-Vertrautheit gebremst. Das Paket beschleunigt die Richtung, kürzt aber nicht den Zeithorizont. Erwarten Sie Migrationen Kategorie für Kategorie, beginnend dort, wo der Käufer die größte Hebelwirkung hat (E-Mail, E-Signatur, Passwortmanagement, Filespeicher), bevor tief verankerte Kollaborations-Suiten an der Reihe sind.
Für Käufer mit begrenzter Zeit ist die nützlichste operative Lesart ein Vier-Fragen-Audit, angewandt auf jedes Tool im aktuellen Stack.
- Wem gehört die betreibende Einheit? EU-eigen, EU-Sitz mit US-Finanzierung, US-eigen. Das ist das Eigentums-Signal: am einfachsten zu prüfen und maßgebend für die Basis-Exposition gegenüber dem CLOUD Act.
- Wo liegen die Daten im Ruhezustand, in welcher Region, auf wessen Infrastruktur, und wer hält die Schlüssel? Ein „europäisches" Tool, dessen Primärspeicher
us-east-1ist, ist kein EU-gehostetes Tool. Das Rechenzentrum zählt mehr als die Unternehmensflagge. Nach den sich abzeichnenden „souveräne Cloud"-Kriterien von CADA dürfte selbst eine EU-Region allein nicht mehr ausreichen: Die Verwahrung der Verschlüsselungsschlüssel außerhalb der Kontrolle des Anbieters wird Teil des Tests. - Welche Sub-Auftragsverarbeiter berühren die Daten? Lesen Sie das öffentliche Sub-Auftragsverarbeiter-Dokument. Markieren Sie jeden US-eigenen Eintrag. Ein Anbieter mit zwei transienten US-Sub-Verarbeitern ohne Daten-im-Ruhezustand-Exposition ist in einer ganz anderen Lage als einer, der Events an Segment und Mixpanel schickt.
- Was sagt der öffentliche AVV tatsächlich über internationale Transfers? Standardvertragsklauseln sind nötig, aber nicht mehr ausreichend. Ergänzende Maßnahmen, genannte Hosting-Region, genannte Sub-Auftragsverarbeiter und eine Auditrechtsklausel: das ist es, was eine verteidigbare Beschaffungsakte heute enthält.
Wenden Sie dieses Audit auf die zehn wichtigsten Tools im Stack an. Diejenigen, die bei zwei oder mehr Fragen versagen, sind diejenigen, für die Sie zur nächsten Vertragsverlängerung eine Migration einplanen sollten, nicht zwangsläufig alle auf einmal, aber mit einem Kalender daneben.
Der Rahmen, den dieses Verzeichnis verwendet und den das Paket implizit bestätigt, ist Resilienz als Spektrum, kein binärer Zustand. Ein SaaS-Stack ist selten entweder „souverän" oder „kompromittiert". Er ist meist eine Mischung: EU-eigene Tools mit US-Sub-Verarbeitern; US-Tools mit deutscher Datenresidenz; selbst gehostete Open-Source-Lösungen; SecNumCloud-qualifiziert für die regulierten Workloads; pragmatische US-Entscheidungen dort, wo es noch keine glaubwürdige Alternative gibt.
Die Aufgabe von Käufern 2026 ist nicht, ein Souveränitäts-Maximum anzustreben. Es ist, die Kompromisse sichtbar zu machen, sie zu dokumentieren und die hebelstärksten Ersetzungen zuerst anzugehen. Das Tech Sovereignty Package ist der Rahmen, der sagt: Diese Kompromisse sind legitime Beschaffungsfragen. Die Arbeit, sie tatsächlich zu treffen, liegt weiterhin beim Käufer.
Stöbern Sie in unseren verifizierten europäischen Cloud-Anbietern, SecNumCloud-qualifizierten Diensten, DSGVO-konformen Cloud-Speichern, datenschutz-orientierten E-Mail-Anbietern, Open-Source-Passwortmanagern und EU-VPN-Anbietern. Jeder Eintrag ist mit Eigentum, Hosting, Sub-Auftragsverarbeiter-Kette, CLOUD-Act-Exposure und dem Datum der letzten Überprüfung öffentlicher Offenlegungen versehen. Das ist das Format, das die nächsten zwölf Monate belohnen werden.
Häufig gestellte Fragen
- Was ist das EU Tech Sovereignty Package?
- Ein koordiniertes Bündel politischer Instrumente, das die Europäische Kommission am 27. Mai 2026 vorgestellt hat. Im Zentrum steht der Cloud and AI Development Act (CADA), das Cloud-/KI-Gesetz, das die Kommission zusammen mit dem Paket einbringt und das eine EU-weite Definition von „souveräner Cloud“ harmonisieren und den Bau von Rechenzentren erleichtern würde, flankiert von der zweiten Auflage des Chips Act und einer erneuerten Open-Source-Strategie sowie einer vorgeschlagenen Beschränkung der US-Hyperscaler für sensible Daten des öffentlichen Sektors in Gesundheit, Finanzen und Justiz. Am besten zu lesen als institutionelle Verdichtung der Bewegungen, die mit NIS2 (Oktober 2024) und DORA (Januar 2025) begannen, und als Folgeschritt zur souveränen Cloud-Ausschreibung über 180 Mio. € vom 17. April 2026, die US-Hyperscaler ausschloss. Es ist Industriepolitik im Mantel von Lieferketten-Resilienz, kein Verbot US-amerikanischer Software.
- Muss ich jetzt von US-eigener SaaS migrieren?
- Nein. Das Paket führt kein allgemeines Verbot US-eigener Dienste für privatwirtschaftliche Käufer ein. Es schlägt eine verbindliche Beschränkung der US-Hyperscaler für sensible Daten des öffentlichen Sektors vor, eine Maßnahme, die noch der Zustimmung aller 27 Mitgliedstaaten bedarf, gibt bestehenden Schrems-II- und CLOUD-Act-Risikobewertungen mehr Gewicht und signalisiert, dass die Beschaffungsrichtung für regulierte Käufer eindeutig in eine Richtung weist. Privatwirtschaftliche KMU stehen 2026 vor keiner direkten rechtlichen Änderung, aber Ausschreibungen ihrer öffentlichen Kunden werden zunehmend EU-souveräne Unterlieferanten verlangen.
- Welche meiner Anbieter sind zuerst betroffen?
- Diejenigen, die in den öffentlichen Sektor, ins Gesundheitswesen, in die Verteidigungs-Lieferkette, in den Finanzbereich und in jede unter DORA fallende Finanzeinheit verkaufen. Cloud-Infrastruktur, E-Mail- und Kollaborations-Suiten, Identity-Provider, Analytics und Tools zur Vertragssignatur sind die ersten praktischen Engpässe. Eine nützliche Faustregel: Jedes Tool, das bereits in einer AVV-Kette steht, in der der Verantwortliche eine regulierte EU-Einheit ist, wird bei der nächsten Vertragsverlängerung Fragen aufwerfen.
- Ist ein SecNumCloud-qualifizierter oder BSI-C5-konformer Anbieter unter dem neuen Rahmen automatisch konform?
- Näher dran, aber nicht automatisch. Beide Qualifikationen reduzieren das Risiko extraterritorialer Rechtsanwendung und das Sicherheits-Kontrollrisiko deutlich, und das Paket dürfte sie positiv referenzieren. Keine ersetzt jedoch eine anbieterspezifische Transferfolgenabschätzung, die weiterhin von Eigentümerstruktur, Sub-Auftragsverarbeiter-Kette und physischer Hosting-Region abhängt. Behandeln Sie sie als starke Shortlist-Filter, nicht als pauschale Ausnahmen.
Für jedes Produkt prüfen wir den öffentlichen AVV, das Sub-Auftragsverarbeiter-Dokument, die Hosting-Region und die Eigentümerstruktur, jeweils mit Zeitstempel. Die Signale sind redaktionell und werden vierteljährlich neu verifiziert. Selbstauskünfte akzeptieren wir nicht.