Mitte 2026: EU-Tech-Souveränität – Ein Fortschrittsbericht

von BetterInEurope | | 7 Min. Lesezeit
digital-sovereigntyEU-toolsGDPRgovernancepolicy

Was sich im ersten Halbjahr 2026 geändert hat

Zu Jahresbeginn 2026 war europäische Tech-Souveränität überwiegend eine politische Diskussion. Ende Mai ist sie operative Realität geworden – mit konkreten Ereignissen, konkreten Anbietern und konkreten regulatorischen Mechanismen. Dies ist der konsolidierte Fortschrittsbericht.

Sechs Entwicklungen stechen hervor.

1. Die Überführung von Infomaniak in eine Stiftung

Im Mai 2026 hat Boris Siegenthaler die Stimmenmehrheit an Infomaniak auf die neu gegründete Infomaniak-Stiftung übertragen – eine Schweizer gemeinnützige Stiftung, deren nicht übertragbare Stimmrechtsanteile den Souveränitätsauftrag des Unternehmens strukturell gegen jede künftige Übernahme absichern.

Damit wendet erstmals ein größeres europäisches Cloud-Unternehmen das Modell der Verantwortungseigentümerschaft (Steward Ownership) auf der Governance-Ebene an. Carl-Zeiss-Stiftung, Robert Bosch Stiftung und ähnliche Stiftungen nutzen dieses Modell seit über einem Jahrhundert für Industrieunternehmen. Es auf ein Cloud-Infrastrukturunternehmen anzuwenden, das im europäischen Markt direkt mit AWS, Microsoft und Google konkurriert, ist tatsächlich neu – und dürfte als Vorlage für weitere Schritte dienen.

Es ist zu erwarten, dass in den Jahren 2026–2030 weitere europäische Tech-Gründer eine Stiftungs-Governance übernehmen werden, insbesondere bei Unternehmen, deren Wertversprechen auf langfristigem Vertrauen beruht. Datenschutzorientierte Tools, souveräne Cloud-Anbieter und KI-Unternehmen mit Selbstverpflichtungen gegen Datenausbeutung sind die wahrscheinlichsten nächsten Anwender.

2. Die IStGH/Microsoft-Lehre verfestigt sich

Der Vorfall aus dem Jahr 2025, bei dem der Chefankläger des Internationalen Strafgerichtshofs unter US-Sanktionsdruck den Zugang zu seinem Microsoft-E-Mail-Konto verlor, prägt weiterhin die europäische Beschaffung.

Konkrete Konsequenzen, die im ersten Halbjahr 2026 zu beobachten sind:

  • Mehrere Mitgliedstaaten haben Beschaffungsleitlinien für „Cloud-first-EU” für den öffentlichen Sektor und regulierte Industrien erlassen oder verschärft
  • Neue Mustervertragsklauseln für Beschaffungen, die Sanktions-Sperrszenarien adressieren, kursieren in europäischen Rechtsabteilungen
  • Die umstrittenen Souveränitätskriterien im EUCS-Schema erhielten erneuten Rückhalt von zuvor ambivalenten Mitgliedstaaten
  • Die Zahl europäischer Ausschreibungen für souveräne Cloud-Lösungen im öffentlichen Sektor ist deutlich gestiegen

Die Verschiebung verläuft nicht von „voll auf US-Clouds setzen” zu „komplett raus”. Sie verläuft von „abstrakter Sorge” zu „explizitem Eintrag im Risikoregister” – und dieser Eintrag prägt nun reale Beschaffungsentscheidungen.

3. Das AI Office im operativen Vollbetrieb

Das Europäische AI Office – im Rahmen des AI Act innerhalb der GD CNECT eingerichtet – hat bis Mitte 2026 sein erstes vollständiges Betriebsjahr abgeschlossen. Der Personalbestand ist auf mehrere hundert technische und politische Mitarbeitende gewachsen. Der erste Verhaltenskodex für GPAI (General Purpose AI) wurde Ende 2025 unter Beteiligung der wichtigsten Anbieter von Basismodellen veröffentlicht.

Die ersten formellen Durchsetzungsmaßnahmen des Office setzen nun Präzedenzfälle. Anbieter von Basismodellen, die den EU-Markt bedienen, haben jetzt einen klaren regulatorischen Ansprechpartner – und dieser Ansprechpartner hat gezeigt, dass er tatsächliche Befugnisse ausübt und nicht nur Leitlinien veröffentlicht.

Für europäische KI-Startups hat die Koordination der regulatorischen Sandboxes durch das AI Office das Experimentieren mit neuartigen Anwendungsfällen deutlich erleichtert. Mehrere mitgliedstaatliche Sandboxes sind von der Ankündigung in den operativen Testbetrieb übergegangen.

4. Die EHDS-Umsetzung beginnt

Der Europäische Gesundheitsdatenraum (EHDS), im März 2025 als Verordnung verabschiedet, wandelt sich 2026 vom Gesetz zur Infrastruktur. Health Data Access Bodies (HDABs) wurden in 23 von 27 Mitgliedstaaten benannt. Frankreich (Health Data Hub, im Rahmen des EHDS erweitert), Deutschland (Forschungsdatenzentrum Gesundheit), Finnland (Findata) und Estland (Tehik) sind operativ am weitesten fortgeschritten.

Die ersten grenzüberschreitenden Forschungsdaten-Genehmigungen werden ausgestellt. Die MyHealth@EU-Infrastruktur für die Primärversorgung wird im Hinblick auf die verbindliche Anwendung ab 2030 ausgebaut. Sichere Verarbeitungsumgebungen ausschließlich innerhalb der EU für sensible Gesundheitsdatenforschung werden beschafft.

Für Health-Tech-Anbieter wird EHDS-konforme Infrastruktur zu einer eigenen Beschaffungskategorie. Für Anbieter von Gesundheits-Clouds mit Sitz in den USA schränken die Souveränitätsanforderungen die direkte Teilnahme ein – Joint-Venture-Strukturen entstehen als Ausweg.

5. Strategische Projekte unter dem Critical Raw Materials Act genehmigt

Der Critical Raw Materials Act – die grundlegende Lieferkettenebene unterhalb der digitalen Souveränität – erlebte 2026 die erste Welle der Ausweisung als „strategisches Projekt”. Lithiumprojekte in Portugal, Tschechien und Deutschland erhielten beschleunigte Genehmigungen. Der Ausbau von Recyclingkapazitäten für Batterien wurde in mehreren Mitgliedstaaten als strategisches Projekt eingestuft.

Für die digitale Souveränität ist das relevant, weil Halbleiter, Batterien und KI-Recheninfrastruktur sämtlich von Materialien abhängen, die vom CRMA erfasst werden. Der EU-Zugang zu diesen Materialien ist nicht mehr nur eine Frage reiner Marktdynamik – er ist auch eine strukturelle politische Frage.

Strategische Partnerschaften wurden mit Australien, Kanada, Chile, Grönland, Kasachstan, Norwegen, Serbien, der Ukraine und Sambia unterzeichnet. Die Diversifizierungsvorgaben für Drittländer (nicht mehr als 65 % Abhängigkeit von einem einzelnen Nicht-EU-Land) prägen diese Partnerschaften explizit.

6. Der Cyber Solidarity Act wird zu echter Infrastruktur

Der Cyber Solidarity Act, Ende 2024 verabschiedet, ist in den Jahren 2025–2026 in die operative Umsetzung übergegangen. Der European Cybersecurity Shield ist teilweise einsatzbereit. Grenzüberschreitende SOC-Konsortien (Frankreich–Deutschland–Belgien, nordisch-baltisch) führen Threat-Intelligence-Austausch durch. Die ersten Rahmenverträge der EU-Cybersecurity-Reserve wurden mit geprüften europäischen Cybersicherheitsanbietern unterzeichnet.

Für Cybersecurity-Anbieter ist die Reserve-Mitgliedschaft zu einem aussagekräftigen Beschaffungssignal geworden. Für US-Cybersecurity-Firmen haben die Souveränitätsanforderungen strukturelle Teilnahmehürden geschaffen, im Einklang mit SecNumCloud und dem breiteren EU-Zertifizierungs-Ökosystem.

Was das für europäische Einkäufer bedeutet

Für die meisten europäischen Unternehmen war Souveränität 2024 und 2025 ein Konzept. Mitte 2026 ist sie zunehmend eine Beschaffungskategorie mit konkreten Anbietern, konkreten Zertifizierungen und konkreten Governance-Strukturen, die zu prüfen sind.

Die praktischen Konsequenzen sind konkret:

Für Beschaffungsteams: Die Lieferantenbewertung umfasst nun sinnvollerweise Unternehmensjurisdiktion, Stiftungs- bzw. Verantwortungseigentümer-Status, EU-Zertifizierung (EUCC, EUCS, SecNumCloud, BSI C5) und Lieferketten-Offenlegung (CRMA-konform). Vor zwei Jahren waren das akademische Überlegungen. Heute werden sie zunehmend beschaffungsrelevant.

Für CTOs und Engineering-Verantwortliche: Entscheidungen über Cloud, Datenbank und SaaS sind keine rein technischen Entscheidungen mehr. Der IStGH/Microsoft-Vorfall und die Ankündigung der Infomaniak-Stiftung rahmen ein Jahr ein, in dem strukturelles Lieferantenrisiko in vielen Organisationen zum Thema auf Vorstandsebene wurde.

Für Compliance-Teams in regulierten Branchen: NIS2, DORA, der AI Act, EHDS und der Cyber Resilience Act schaffen zusammen ein beschaffungsprägendes regulatorisches Umfeld, das 2023 schlicht nicht existierte. Souveränitätserwägungen sind keine optionalen redaktionellen Entscheidungen mehr – sie sind zunehmend Teil regulatorischer Erwartungen.

Für europäische Tech-Anbieter: Das Beschaffungssignal verschiebt sich. EU-Jurisdiktion, Stiftungs-Governance, zertifizierte Souveränität und Lieferkettentransparenz sind zunehmend Differenzierungssäulen, die Einkäufer aktiv prüfen. Das europäische Anbieter-Ökosystem (Infomaniak, OVHcloud, Scaleway, Mistral, Mullvad, Threema, Element, Mojeek, DeepL, Cubbit, Tixeo, Scalingo, Clever Cloud, Aiven und viele weitere) kann zunehmend mit mehr als nur Preis und Feature-Parität konkurrieren.

Was sich noch nicht geändert hat

Es lohnt sich, ehrlich zu sein, was sich noch nicht verschoben hat.

Die meisten europäischen Unternehmen setzen für den Großteil ihres Stacks weiterhin standardmäßig auf Microsoft 365, AWS und Salesforce. Migrationskosten bleiben real. Vertrautheit mit Skills und Ökosystem begünstigt weiterhin die etablierten Anbieter. Das europäische Tech-Ökosystem kann nach wie vor nicht in jeder Kategorie und auf jeder Skalierungsstufe mit den US-Hyperscalern konkurrieren.

Was sich geändert hat: Die Richtung der Veränderung weist nun strukturell zugunsten europäischer Anbieter, in einer Weise, wie es vor zwei Jahren nicht der Fall war. Die Kombination aus regulatorischem Druck (NIS2, DORA, AI Act, EHDS, CRA), durch Vorfälle geprägter Risikowahrnehmung (IStGH/Microsoft) und glaubwürdigen europäischen Alternativen erzeugt am Rand sichtbare Verschiebungen in der Beschaffung.

Dieser Rand kumuliert sich mit der Zeit.

Der ehrliche Ausblick

Europäische Tech-Souveränität ist Mitte 2026 nicht mehr ein defensives Narrativ, das davon handelt, kein weiteres Terrain zu verlieren. Sie ist zunehmend ein offensives Narrativ über konkrete strukturelle Vorteile – Unternehmensjurisdiktion, Stiftungs-Governance, zertifizierte Souveränität, Lieferkettentransparenz –, die europäische Anbieter glaubwürdig bieten können und US-Etablierte strukturell nicht.

Die nächsten 18–24 Monate werden zeigen, ob sich dieser Vorteil in signifikante Marktanteilsverschiebungen übersetzt oder als kleiner, aber dauerhafter struktureller Aufpreis bestehen bleibt. Die Voraussetzungen für Ersteres bauen sich sichtbar auf. Die Frage ist die Umsetzung.

Für alle, die für europäische Tech-Beschaffung verantwortlich sind, ist der Fortschrittsbericht zur Jahresmitte 2026 klar genug: Das Abstrakte ist nun operativ. Die Anbieter existieren. Die Zertifizierungen existieren. Die Governance-Strukturen existieren. Der regulatorische Druck passt dazu. Die Frage ist nicht mehr, ob Souveränität real ist. Die Frage ist, ob Ihre Organisation so aufgestellt ist, dass sie danach handelt.

Möchten Sie eine personalisierte Empfehlung für einen europäischen Stack? Probieren Sie unseren 2-Minuten-Entscheidungs-Assistenten – er stellt vier Fragen zu Ihren Prioritäten und liefert eine priorisierte Shortlist EU-basierter Tools. Oder nutzen Sie das US Exposure Assessment, um das Jurisdiktionsrisiko Ihrer aktuellen Lieferanten zu kartieren.

War das hilfreich?

Bleiben Sie Informiert

Erhalten Sie die neuesten Nachrichten über europäische Alternativen und digitale Souveränität.

Wir respektieren Ihre Privatsphäre. Jederzeit abmelden. Kein Tracking, kein Spam.