Die EU-Kommission hat am 27. Mai 2026 das Tech Sovereignty Package vorgestellt, ein Maßnahmenbündel zur Stärkung Europas technologischer Eigenständigkeit bei Halbleitern, Cloud, KI und Open Source. Im Zentrum steht der Cloud & AI Development Act (CADA), der einen EU-weiten Rahmen für souveräne Cloud-Angebote schafft und den „Sovereignty Score" als verbindliches Kriterium für öffentliche Beschaffungen einführt. Für die gesetz-liche Regulierung der Souveränität ist entscheidend, dass es nicht bei Ankündigungen bleibt.
Das Paket untersagt EU-Mitgliedstaaten erstmals gesetzlich den Einsatz US-amerikanischer Hyperscaler-Cloud-Anbieter (Microsoft, Amazon, Google) für sensible Daten im Gesundheitswesen, Finanzen und Justiz. Auslöser ist der US CLOUD Act, der US-Behörden Zugriff auf weltweit gespeicherte Daten gewährt, unabhängig vom physischen Speicherort. Das Cloud Sovereignty Framework definiert acht Souveränitätsziele und fünf Assurance-Stufen, die bei Vertragsvergaben nicht ignoriert werden dürfen.
Cloud und Rechenzentren in Deutschland und EU
Das Gesetz gilt direkt nur für den öffentlichen Sektor, erzeugt aber über Lieferketten indirekten Druck auf die Privatwirtschaft. Deutsche Krankenhäuser in öffentlicher Trägerschaft müssen ihre Patientendaten künftig auf europäischer Infrastruktur hosten. Europäische Anbieter wie Plusserver, IONOS und STACKIT profitieren von der Förderung, während die US-Konzerne aus sensiblen Bereichen verdrängt werden.
Bedeutung für das deutsche Gesundheitswesen
Für das Gesundheitswesen bedeutet das Paket einen Paradigmenwechsel: Die Frage „Wo liegen unsere Daten?" wird zur Vorstandsentscheidung, nicht mehr zur IT-Detailfrage. Elektronische Patientenakten, Krankenhausinformationssysteme (KIS) und telemedizinische Anwendungen dürfen nicht mehr auf US-Hyperscaler-Clouds gespeichert werden, wenn sie als sensibel klassifiziert sind. Das erfordert Migrationen zu europäischen Sovereign-Cloud-Lösungen und neue Datenklassifizierungen. Kritisch ist die praktische Umsetzbarkeit: Europäische Cloud-Kapazitäten sind begrenzt, und die Fragmentierung zwischen nationale Lösungen könnte Innovationsgeschwindigkeit behindern. Für IT-Manager bedeutet dies: Lieferantenlisten aktualisieren, Sovereign-Cloud-Pilote starten und Multi-Cloud-Strategien mit offenen Standards implementieren.
Krankenhäuser unter Druck
Cloud Sovereignty Framework enthält den verbindlichem Sovereignty Score für öffentliche Beschaffungen. Für deutsche Krankenhäuser bedeutet dies einen fundamentalen Paradigmenwechsel: Die Frage nach dem Datenstandort wird zur Vorstandsentscheidung, nicht mehr zur IT-Detailfrage.
Die größten Hürden sind strukturell-kapazitiver Natur. Erstens: Die begrenzten Kapazitäten europäischer Sovereign-Cloud-Anbieter wie Plusserver, IONOS und STACKIT reichen aktuell nicht für die flächendeckende Migration aller Krankenhäuser. Zweitens: Die Unterscheidung zwischen öffentlichen und privaten Krankenhäusern schafft Ungleichheit, öffentliche Träger sind direkt verpflichtet, private unterliegen nur indirektem Druck über Lieferketten. Drittens: Der Migrationsaufwand für KIS, ePA und telemedizinische Anwendungen ist enorm, especially bei veralteter IT-Infrastruktur. Viertens: Die Fragmentierung zwischen nationalen Cloud-Lösungen könnte Interoperabilität behindern und Innovationsgeschwindigkeit verringern.
Kritisch ist das Zeitfenster: Krankenhäuser stehen unter gleichzeitigem Druck durch NIS2, KRITIS und digitale Transformation, während das Souveränitätsgebot weitere Ressourcen bindet. Ein Hybrid-Cloud-Ansatz mit lokalen Kerndaten und Cloud-basierten skalierbaren Anwendungen erscheint praktikabel, erfordert aber erhebliche Investition in moderne IT-Architektur und Personalschulung.
Autor: Wolf-Dietrich Lorenz
Symbolbild: KI-Illustration, generiert mit ChatCPT/OpenAI