Wie schützt die EU Cloud-Daten vor ausländischem Zugriff? Vier Souveränitätsstufen geplant

Wer als Freelancer oder KMU sensible Kundendaten in US-Clouds speichert, kennt das Dilemma: Der Anbieter hat EU-Rechenzentren - aber amerikanische Gesetze wie der CLOUD Act erlauben US-Behoerden trotzdem Zugriff. Ein neuer EU-Entwurf soll hier Klarheit bringen: Der Cloud and AI Development Act definiert vier verbindliche Souveraenitaetsstufen fuer Cloud-Dienste.

Kurze Antwort

Der Cloud and AI Development Act definiert vier Stufen: von EU-Datenspeicherung (Level 1) bis vollstaendiger Lieferkettenkontrolle (Level 4). Der Act muss noch vom EU-Parlament und den Mitgliedsstaaten verabschiedet werden - er ist ein Entwurf, noch kein geltendes Recht.

Quellen: EU-Kommission: Cloud and AI Development Act | golem.de: Vier Sicherheitsniveaus geplant | t3n: EU Gesetzespaket gegen Tech-Abhaengigkeit

Warum braucht die EU dieses Gesetz?

US-Gesetze wie der CLOUD Act (2018) verpflichten amerikanische Unternehmen, Behoerden Zugriff auf Daten zu gewaehren - auch wenn diese physisch in der EU liegen. Schrems II (2020) hat den Privacy Shield gekippt und europaeische Unternehmen verpflichtet, genauer hinzuschauen, welche Daten bei US-Anbietern landen. Der Cloud and AI Development Act soll diese Luecke schliessen: Er schafft einen rechtlichen Rahmen, der klar definiert, wann ein Cloud-Dienst als souveraen gilt - und wann nicht.

Die vier Cloud-Souveraenitaetsstufen im Ueberblick

Level 1 - EU-Datenspeicherung: Daten werden ausschliesslich in EU-Infrastruktur verarbeitet und gespeichert. Fuer viele DACH-Unternehmen heute bereits gelebte Praxis - aber bisher ohne einheitlichen Standard.

Level 2 - Drittstaaten-Unabhaengigkeit: Der Anbieter muss nachweisen, dass er von Staaten ausserhalb der EU unabhaengig agiert, und volle Transparenz ueber seine Software-Lieferkette liefern. Relevant als Anforderung fuer Unternehmen wie AWS, Azure oder Google Cloud mit EU-Rechenzentren - ob US-Hyperscaler diese Anforderungen tatsaechlich erfuellen koennen, ist derzeit noch offen.

Level 3 - EU-Eigentuemer: Der Anbieter muss im EU-Besitz und unter EU-Kontrolle sein. Die EU-Kommission kann qualifizierte Drittstaaten-Anbieter auf dieser Stufe anerkennen - die genaue Ausgestaltung dieser Ausnahmen ist jedoch noch Gegenstand der Verhandlungen zwischen Kommission, Parlament und Mitgliedsstaaten.

Level 4 - Vollstaendige Lieferkettenkontrolle: Kein Drittstaaten-Einfluss erlaubt. Diese Stufe ist laut Entwurf europaeischen Sovereign-Cloud-Anbietern wie IONOS, Hetzner oder OVHcloud vorbehalten.

Was bedeutet der Cloud and AI Development Act fuer DACH-Unternehmen?

Kurzfristig keine Pflicht - der Entwurf muss erst verabschiedet werden. Aber drei Bereiche sind bereits jetzt relevant:

Oeffentliche Auftraege: Laut Entwurf koennten deutsche Kommunen und Behoerden kuenftig verpflichtet werden, bei sensiblen Ausschreibungen bevorzugt EU-souveraene Anbieter zu waehlen. Konkret bedeutet das: Eine Webagentur, die heute Projektmanagement-Tools bei US-Anbietern hostet, koennte bei oeffentlichen Auftraegen unter Druck geraten, auf europaeische Alternativen wie Hetzner oder IONOS umzusteigen - auch wenn deren EU-Rechenzentren auf dem Papier DSGVO-konform sind.

DSGVO-Konformitaet: Level 1 allein ersetzt keine rechtliche Pruefung. AVV, Standardvertragsklauseln und der tatsaechliche Serverstandort bleiben entscheidend. Der Cloud and AI Development Act ergaenzt die DSGVO - ersetzt sie nicht.

Vertragsgestaltung: Bei Neuabschluessen von Cloud-Vertraegen lohnt es sich, Flexibilitaet fuer kuenftige Compliance-Anforderungen einzubauen - auch wenn das Gesetz noch nicht gilt.

Entwurf, kein Gesetz

Ursula von der Leyen und EU-Digitalkommissarin Henna Virkkunen haben den Cloud and AI Development Act am 3. Juni 2026 vorgestellt. Wann und in welcher Form das Gesetz verabschiedet wird, ist offen. Gerade Level 3 mit seinen Ausnahmen fuer Nicht-EU-Anbieter wird im parlamentarischen Prozess voraussichtlich noch veraendert werden.