Der am 3. Juni 2026 beschlossene EU Cloud and AI Development Act enthält eine souveränitätsorientierte Vergabe-Dimension. Im Q3 2026 legen die Mitgliedstaaten ihre Positionen vor. Wer an oder mit dem öffentlichen Sektor arbeitet, sollte verstehen, warum Vergaberegeln nie beim Staat haltmachen.
Der 3. Juni 2026 und eine Klausel, die leicht übersehen wird
Am 3. Juni 2026 wurde der EU Cloud and AI Development Act (CADA) beschlossen. In der öffentlichen Diskussion ging es vor allem um Rechenzentren, Förderung und Industriepolitik. Eine Dimension blieb dabei unterbelichtet: CADA enthält eine souveränitätsorientierte Komponente für die öffentliche Beschaffung. Der Grundgedanke ist, öffentliche Einkäufer in Richtung EU- und souveräner Cloud- und KI-Anbieter zu lenken.
Noch ist nichts in Stein gemeisselt. Im dritten Quartal 2026 werden die Positionen der Mitgliedstaaten zu einem souveränen Vergabemandat erwartet. Danach folgen Trilog sowie die Positionen von Parlament und Rat — ein Prozess, der realistisch 12 bis 18 Monate dauert. Wir schreiben hier also über etwas, das gerade Form annimmt, nicht über fertiges Recht. Genau das macht es interessant: Wer früh versteht, wohin die Richtung zeigt, hat Zeit zu handeln.
Warum Vergaberegeln nie beim Staat haltmachen
Klingt interessant?
Die entscheidende Beobachtung ist nicht, was der Staat selbst einkauft. Es ist, was danach passiert.
Öffentliche Vergaberegeln kaskadieren. Wenn Behörden souverän einkaufen müssen, betrifft das nicht nur die direkten Anbieter. Es betrifft die gesamte Lieferkette darunter. Ein Unternehmen, das eine Software an eine Bundesbehörde oder eine kantonale Verwaltung verkauft, muss plötzlich nachweisen, wo seine Daten liegen, welche Modelle es nutzt und ob ein Anbieterwechsel ohne Bruch möglich ist. Dessen Subunternehmer müssen dasselbe nachweisen. Und so wandert die Anforderung Stufe für Stufe nach unten.
Das ist kein theoretisches Muster. Wir haben es bei der DSGVO gesehen, bei Barrierefreiheits-Vorgaben, bei IT-Sicherheitsstandards: Was als Pflicht für den öffentlichen Sektor beginnt, wird über Ausschreibungen zur Vertragsanforderung — und über die Vertragsanforderung zur Markterwartung. Erst ist Souveränität ein Kriterium in einem Tender. Dann ist sie ein Häkchen, das jeder Anbieter setzen können muss. Am Ende ist sie schlicht die Defaulterwartung, auch im rein privatwirtschaftlichen B2B-Geschäft.
Der Mechanismus ist banal und genau deshalb verlässlich: Niemand baut seine Infrastruktur zweimal. Wer souverän liefern muss, um den öffentlichen Auftrag zu gewinnen, liefert auch dem privaten Kunden souverän — weil es teurer wäre, zwei Stacks zu pflegen.
Was das für CTOs und Tech-Leads bedeutet
Drei Konsequenzen, die ich für relevant halte:
Erstens: Souveränität wird vom Verkaufsargument zur Eintrittskarte. Solange Digitale Souveränität ein Differenzierungsmerkmal war, konnte man sie als Marketing behandeln. Sobald sie in Vergabekriterien steht, wird sie zur Mindestanforderung. Der Unterschied ist fundamental: Ein Differenzierungsmerkmal bringt einen Vorteil, eine Mindestanforderung entscheidet über Teilnahme oder Ausschluss. Wer sie nicht erfüllt, sieht die Ausschreibung gar nicht erst von innen.
Zweitens: Nachrüsten ist die teure Variante. Eine KI-Architektur, die fest an einen aussereuropäischen Anbieter gekoppelt ist, lässt sich nicht in einer Woche souverän machen. Datenhaltung, Modell-Routing, Vertragsbeziehungen — all das nachträglich zu entkoppeln ist ein Projekt über mehrere Quartale. Die Unternehmen, die in 12 bis 18 Monaten die ersten souveränen Ausschreibungen gewinnen, sind die, die heute schon entsprechend gebaut haben.
Drittens: "Souverän" muss demonstrierbar sein, nicht behauptet. In einer Ausschreibung zählt nicht die Absicht, sondern der Nachweis. Wo liegen die Daten? Welche Anbieter sind im Spiel? Was passiert, wenn einer davon ausfällt oder per Anordnung wegfällt? Wer diese Fragen mit Architektur beantworten kann statt mit Beteuerungen, ist im Vorteil.
Und genau hier kommt nopex ins Spiel
CADAs Vergabe-Dimension bestätigt, was wir bei nopex von Anfang an als Ausgangspunkt genommen haben: Souveränität ist keine Compliance-Übung, die man später draufsetzt. Sie ist eine Architekturentscheidung, die man am besten trifft, bevor jemand sie verlangt.
nopex liefert agentenbasierte Softwareentwicklung auf europäischer Infrastruktur, mit anbieterunabhängigem Modell-Routing. Das heisst konkret: Die Anwendungslogik ist nicht an einen bestimmten KI-Anbieter gekoppelt. Daten bleiben in europäischen Rechenzentren. Und wenn sich die Modell-Landschaft verschiebt — politisch, regulatorisch oder kommerziell — wechselt der Stack, ohne dass das Produkt stehen bleibt.
Für ein mittelständisches Unternehmen, das an den oder mit dem öffentlichen Sektor verkauft, bedeutet das einen praktischen Vorteil: Die Souveränitätsanforderungen einer Ausschreibung lassen sich heute erfüllen, statt sie in zwölf Monaten unter Zeitdruck nachzurüsten. Und für alle anderen ist es eine Versicherung — denn was im öffentlichen Sektor zur Pflicht wird, wird im Markt zur Erwartung.
Die Mitgliedstaaten legen ihre Positionen im Q3 2026 vor. Die Richtung steht fest, das Tempo noch nicht. Die Unternehmen, die jetzt souverän bauen, müssen sich um beides nicht sorgen.


