Die Europäische Kommission hat ihre Sovereign-Cloud-Ausschreibung abgeschlossen. 180 Millionen Euro, ein Rahmenvertrag über sechs Jahre, vier Gewinner. Klingt nach einem Meilenstein für die digitale Souveränität Europas. Ist es auch, zumindest teilweise. Aber der Teufel steckt wie immer im Detail.
Vier Konsortien gewinnen den Sechs-Jahres-Rahmenvertrag
Die vier Gewinner der Ausschreibung, die im Oktober 2025 gestartet wurde und es EU-Institutionen, -Behörden und -Agenturen erlaubt, souveräne Cloud-Dienste einzukaufen, sind:
Post Telecom (Luxemburgs staatlicher Telekommunikationsanbieter) in Partnerschaft mit CleverCloud und OVHcloud, StackIT (die Cloud-Marke der deutschen Schwarz Group, Mutterkonzern von Lidl und Kaufland), Scaleway (Cloud-Tochter der französischen Iliad Group), und Proximus in Partnerschaft mit S3NS sowie Clarence und Mistral AI.
Die Entscheidung, vier Verträge parallel zu vergeben, war laut Kommission bewusst: Man will Diversifizierung und Resilienz, keine Abhängigkeit von einem einzigen Anbieter. Das ist, für sich genommen, vernünftig.
Der amerikanische Elefant im Raum
Drei der vier Konsortien sind vollständig europäisch. Das vierte ist es nicht. S3NS ist ein Joint Venture, an dem Thales die Mehrheit hält und Google Cloud die technische Infrastruktur liefert. Mit anderen Worten: Einer der vier souveränen Cloud-Verträge der EU läuft auf Technologie, die einem amerikanischen Konzern gehört.
Die Kommission hat das in ihrer Ankündigung direkt angesprochen und erklärt, dass nicht-europäische Technologien souveräne Anforderungen erfüllen können, wenn der Betrieb in einem hinreichend strengen Governance-Rahmen erfolgt. Das ist eine bemerkenswerte Aussage, denn sie zieht eine Linie zwischen souveränem Betrieb und souveräner Technologie und erklärt ersteres für ausreichend, sofern die Kontrollmechanismen stimmen.
Das mag für bestimmte Anwendungsfälle pragmatisch sein. Als allgemeines Prinzip ist es eine erhebliche Aufweichung dessen, was Souveränität bedeuten soll.
Das CLOUD-Act-Problem bleibt ungelöst
Der CLOUD Act, US-amerikanisches Bundesrecht, erlaubt es US-Behörden, US-Unternehmen zur Herausgabe von Daten zu zwingen, die von deren europäischen Tochtergesellschaften oder Partnern verwaltet werden, unabhängig davon, wo diese Daten physisch liegen. Das ist keine Theorie. Ein Microsoft-Anwalt hat das unter Eid vor dem französischen Senat bestätigt, wie ich an anderer Stelle in diesem Blog bereits ausführlicher beschrieben habe.
Google Cloud unterliegt demselben Recht. Thales als Mehrheitseigner und Betreiber kann vertraglich und organisatorisch viele Sicherheitsvorkehrungen treffen. Ob diese im Ernstfall gegen eine US-Behördenanforderung standhalten, ist eine offene Rechtsfrage, die bisher niemand zufriedenstellend beantwortet hat.
CISPE, der europäische Cloud-Branchenverband, hatte vor der Vergabe gewarnt, dass die Bewertungsmethodik des Cloud Sovereignty Framework genau dieses Ergebnis produzieren könnte. Der Grund: Rechtszuständigkeit macht im Scoring-Modell nur 10 Prozent des Gesamtergebnisses aus. Wer in den übrigen sieben Kriterien gut abschneidet, kann trotz US-Jurisdiktion hoch genug punkten, um zu gewinnen.
Die Marktlage, die das alles erklärt
Warum lässt die Kommission das überhaupt zu? Die Zahlen geben einen Hinweis: US-Hyperscaler, also AWS, Microsoft Azure und Google Cloud, halten derzeit rund 70 Prozent der Cloud-Infrastruktureinnahmen in Europa. Europäische Anbieter kommen zusammen auf etwa 15 Prozent. Das ist das Ergebnis von Jahren, in denen man bei öffentlichen Aufträgen schlicht den Bequemlichkeitsweg gegangen ist und die US-Angebote günstiger, ausgereifter und durch Netzwerkeffekte tief verankert waren.
Europa beginnt gerade erst, aus dieser Abhängigkeit herauszuwachsen. ODF wird für die öffentliche Verwaltung ab 2027 verpflichtend, Deutschland baut seinen Verwaltungs-Stack um, Euro-Office entsteht als kollaborative Suite auf europäischer Infrastruktur. Dieser Auftrag ist Teil desselben Trends, und er zeigt, wie weit der Weg noch ist.
Die drei vollständig europäischen Gewinner
Positiv zu vermerken ist, was die übrigen drei Konsortien leisten. Post Telecom bringt mit OVHcloud Frankreichs größten Cloud-Anbieter an Bord, der bereits einen früheren Kommissionsvertrag hielt und als Subunternehmer beim Digitalen-Euro-Projekt der EZB beteiligt ist. StackIT, also die Schwarz Group, hat in Deutschland ernsthaft in Enterprise-Cloud-Infrastruktur investiert. Scaleway betreibt GPU-intensive Infrastruktur für KI-Workloads, Mistral AI gehört zu seinen Kunden.
Das sind keine Papierkonsortien. Das sind Anbieter mit operativer Substanz.
Der Rahmenvertrag als Vorlage
Die Kommission positioniert das Ergebnis ausdrücklich als Vorlage für Mitgliedstaaten und andere EU-Einrichtungen, die eigene Ausschreibungen gestalten wollen. Parallel arbeitet sie an einem Tech Sovereignty Package, das unter anderem den Cloud and AI Development Act (CADA), eine neue Open-Source-Strategie, einen Chips Act 2 und eine strategische Roadmap für Digitalisierung und KI in der Energieversorgung umfassen soll.
Der CADA soll auf EU-Ebene harmonisieren, was souveräne Cloud eigentlich bedeutet. Die entscheidende Frage dabei: Wird das Gesetz US-Hyperscaler faktisch aus der öffentlichen Vergabe ausschließen, oder wird das Proximus-S3NS-Modell als Blaupause dienen und Betreiberstrukturen über US-Infrastruktur salonfähig machen?
Vorsichtiger Fortschritt mit einem erheblichen Haken
Europa macht Fortschritte bei der digitalen Souveränität. Dieser Auftrag ist ein Schritt in die richtige Richtung, drei der vier Gewinner sind durch und durch europäisch, das Vergabemodell setzt auf Diversifizierung, das Budget ist ernstzunehmen, und das Rahmenwerk gibt anderen öffentlichen Stellen ein Werkzeug an die Hand.
Aber das Signal, das mit der Aufnahme von S3NS und Google Cloud gesendet wird, ist problematisch. Es sagt: Wir definieren Souveränität so, dass auch US-Infrastruktur darunter fallen kann, wenn die Governance stimmt. Das ist genau die Art von Aufweichung, gegen die DeepL ein konkretes Beispiel liefert: Vertragliche Zusicherungen über sicheren Umgang mit Daten werden stillschweigend geändert, sobald das Geschäftsmodell es verlangt. Governance-Strukturen sind nur so stark wie der Wille, sie einzuhalten, und Google Cloud schuldet europäischen Nutzer°Innen keinen solchen Willen, sondern seinen Aktionär°Innen.
Man darf gespannt sein, was der CADA daraus macht.
Quellen:
Ana-Maria Stanciuc: EU awards its €180 million sovereign cloud contract to four European providers, The Next Web, 17. April 2026, https://thenextweb.com/news/eu-sovereign-cloud-180-million-awarded
European Commission: Press release IP/26/833, https://ec.europa.eu/commission/presscorner/detail/en/ip_26_833