Mit dem am 3. Juni 2026 vorgeschlagenen Cloud and AI Development Act führt die EU erstmals ein vierstufiges Souveränitäts-Framework ein — und koppelt den Zugang zum öffentlichen Sektor daran. Wer Behörden bedienen will, muss mindestens Stufe 1 erfüllen. Damit wird aus einem Marketingwort eine zertifizierbare Eigenschaft.
Der 3. Juni 2026: Souveränität wird messbar
Am 3. Juni 2026 hat die Europäische Kommission den Cloud and AI Development Act (CADA) offiziell vorgeschlagen — als Teil des europäischen Pakets zur technologischen Souveränität. Den breiteren Rahmen dieses Pakets habe ich an anderer Stelle eingeordnet (siehe EU-Tech-Souveränitäts-Paket). Hier geht es um ein einzelnes, aber folgenreiches Detail: CADA führt das erste EU-weite, vierstufige Souveränitäts-Framework für Cloud- und KI-Dienste ein.
Das klingt nach Brüsseler Verwaltungssprache. Tatsächlich ist es eine der konkretesten regulatorischen Bewegungen seit Jahren. Denn bislang war "souverän" ein Adjektiv, das jeder Anbieter auf seine Folien schreiben konnte. Ein abgestuftes Framework macht daraus eine graduelle, prüfbare Eigenschaft — etwas, das man nachweisen muss, statt es zu behaupten.
Der Hintergrund ist bekannt: Über 70 Prozent des EU-Cloud-Markts liegen bei drei US-Hyperscalern. Eine Skala allein ändert diese Zahl nicht. Aber sie verändert, wonach Einkäufer fragen.
Klingt interessant?
Was die vier Stufen bedeuten
Der Kern des Vorschlags ist eine gestufte Souveränitäts-Zusicherung (sovereignty assurance) mit vier Niveaus. Statt einer binären Entweder-oder-Frage — souverän oder nicht — entsteht eine Leiter: von einem Basis-Niveau bis zu den höchsten Anforderungen an Datenresidenz, Betriebskontrolle und Unabhängigkeit von Rechtsordnungen ausserhalb der EU.
Entscheidend ist die Kopplung an den Markt: Alle Cloud-Anbieter, die den öffentlichen Sektor bedienen wollen, müssen mindestens Stufe 1 erfüllen — die niedrigste Stufe. Das ist bewusst niederschwellig gewählt. Stufe 1 ist keine Hürde, die nur europäische Nischenanbieter nehmen können; sie ist ein Mindeststandard, der überhaupt erst definiert, was als souverän genug für staatliche Daten gilt.
Damit passieren zwei Dinge gleichzeitig. Erstens entsteht ein gemeinsamer Massstab, an dem sich der gesamte Markt messen lassen muss — nicht nur die Anbieter, die freiwillig mitmachen wollen. Zweitens wird eine Souveränitätsstufe zu etwas, das Käufer von ihren Lieferanten einfordern werden. Wer heute eine Ausschreibung schreibt, wird morgen eine Stufe als Anforderung hineinschreiben.
Genau das ist der Mechanismus, der eine Skala wirksam macht: Sie wird nicht durch Strafen durchgesetzt, sondern durch Beschaffung. Der öffentliche Sektor ist in Europa ein riesiger Einkäufer. Sobald die unterste Sprosse der Leiter Zugangsvoraussetzung ist, definiert sie faktisch den Boden des Markts.
Was das für CTOs und Tech-Leads bedeutet
Ich halte drei Punkte für relevant — unabhängig davon, ob ihr selbst an öffentliche Auftraggeber liefert.
Erstens: Souveränität wird zu einer Eigenschaft, die ihr nachweisen müsst. Solange "souverän" ein Versprechen war, reichte ein Satz im Vertrieb. Eine zertifizierbare Stufe verlangt Belege — über Datenresidenz, über Betreiberstruktur, über die Frage, welcher Rechtsordnung euer Anbieter im Ernstfall unterliegt. Wer das heute nicht beantworten kann, hat morgen eine Lücke im Pflichtenheft.
Zweitens: Die Anforderung wandert die Lieferkette hinauf. Auch wenn ihr nicht direkt an Behörden verkauft — eure Kunden tun es vielleicht. Sobald deren Beschaffung eine Stufe verlangt, gebt ihr diese Anforderung an eure eigenen Unterauftragnehmer und Infrastrukturpartner weiter. Eine Stufe ist nur so glaubwürdig wie das schwächste Glied darunter.
Drittens: Nachrüsten ist teurer als richtig bauen. Eine Architektur, die fest an einen ausser-europäischen Anbieter gekoppelt ist, lässt sich nicht durch ein Zertifikat souverän machen. Die höheren Stufen der Leiter erreicht man durch Designentscheidungen — wo Daten liegen, wer den Betrieb kontrolliert, ob die Anwendungslogik an einen einzelnen Anbieter gebunden ist. Diese Entscheidungen trifft man am Anfang, nicht am Ende.
Die ehrliche Konsequenz: Eine Skala teilt den Markt nicht in "konform" und "nicht konform". Sie ordnet jeden auf einer Position ein — und macht damit sichtbar, wer am souveränen und wer am abhängigen Ende steht.
Und genau hier kommt nopex ins Spiel
CADA beschreibt eine Leiter, an deren Sprossen der Markt künftig gemessen wird. Die spannende Frage ist nicht, ob ein Anbieter Stufe 1 irgendwie erfüllt. Die spannende Frage ist, wo eine Architektur von Natur aus sitzt — bevor irgendjemand ein Zertifikat beantragt.
nopex ist von Anfang an für das souveräne Ende dieser Leiter gebaut, nicht dafür hingerüstet. Wir kombinieren agentenbasierte Softwareentwicklung mit einer Infrastruktur, die europäische Rechenzentren nutzt und keine harte Single-Vendor-Abhängigkeit schafft: offene Modelle wo möglich, proprietäre Modelle wo sinnvoll — aber die Anwendungslogik kennt den konkreten Anbieter nicht. Datenresidenz und Betreiberkontrolle sind keine nachträgliche Compliance-Übung, sondern Teil des Designs.
Das ist der Unterschied zwischen einem Anbieter, der eine Souveränitätsstufe als Hindernis erlebt, und einem, für den sie eine Beschreibung des Status quo ist. Wenn aus "souverän" eine zertifizierbare Eigenschaft wird, gewinnen die, die schon dort gebaut haben, wo die Leiter hinführt — statt sich nachträglich hochzuarbeiten.
CADA macht aus einem Marketingwort eine Skala. Die Frage für jeden Tech-Lead lautet künftig schlicht: Auf welcher Sprosse steht ihr?

