US-Cloud-Abhängigkeit, Nvidia-Monopol, GAIA-X als Luftschloss – ein Realitätscheck europäischer Digitalpolitik
SerieDigitale Souveränität
Teil 11 von 11
Seit Jahren beschwört Europa die „digitale Souveränität”. Ministerien veröffentlichen Strategiepapiere, Förderprogramme wie GAIA-X oder IPCEI Cloud verschlingen Milliarden, auf Gipfeln in Berlin und Brüssel wird die europäische Unabhängigkeit beschworen.
Die Realität läuft in eine andere Richtung.
Fast jedes zweite europäische Unternehmen hostet seine sensibelsten Daten bei AWS, Microsoft oder Google. Künstliche Intelligenz ohne Nvidia-GPUs und taiwanesische Halbleiter? Praktisch undenkbar. Und der KI-Boom hat die Abhängigkeit nicht verringert – er hat sie zementiert.
Die Frage drängt sich auf: Ist digitale Souveränität 2026 schon gescheitert – oder war sie nie wirklich erreichbar?
Zeit für Realismus statt Rhetorik.
US-Cloud-Dominanz: Performance schlägt Politik
Die Zahlen sind eindeutig. AWS hält 2026 rund 32 Prozent des europäischen Cloud-Marktes, Azure etwa 25 Prozent, Google Cloud rund 12 Prozent. Europäische Anbieter wie OVHcloud, IONOS oder die Schwarz-Gruppe kommen zusammen auf weniger als 10 Prozent.
Das ist kein Zufall. Es ist eine Marktentscheidung.
Deutsche Mittelständler migrieren trotz DSGVO-Bedenken auf US-Clouds – weil Performance, Tooling und Preis stimmen. Wer einmal in AWS investiert hat, wechselt nicht für ein politisches Versprechen. Lock-in ist kein Fehler, sondern Geschäftsmodell.
Dazu kommen Risiken, die selten offen diskutiert werden. Der US CLOUD Act erlaubt amerikanischen Behörden den Zugriff auf Daten, die bei US-Anbietern gespeichert sind – unabhängig vom Serverstandort. Die AWS-Outages 2025 haben gezeigt, wie fragil die Abhängigkeit von einem einzelnen Hyperscaler sein kann. Und mit jeder neuen US-Administration verschiebt sich die geopolitische Lage.
Souveränität? Solange AWS günstiger und besser ist, bleibt es bei der US-Cloud-Party.
Ohne Nvidia keine KI – Punkt
Die Cloud-Abhängigkeit ist sichtbar. Die Hardware-Abhängigkeit ist es weniger – und sie wiegt schwerer.
Nvidia kontrolliert 2026 rund 90 Prozent des Marktes für KI-GPUs. Wer ein Large Language Model trainieren will, braucht Nvidia-Hardware. Wer KI-Inferenz in Produktion betreiben will, braucht Nvidia-Hardware. Alternativen wie AMD oder Intel existieren, spielen im KI-Training aber eine Nebenrolle.
Dahinter steht TSMC in Taiwan mit rund 60 Prozent der globalen Wafer-Produktion. Ein geopolitisches Risiko, das Europa nicht kontrollieren kann – und das auch nicht europäisch lösbar ist.
Die EU-Versuche, eigene Chip-Kapazitäten aufzubauen, kommen zu spät und zu klein. Der EU Chips Act hat Milliarden mobilisiert, aber die neuen Fabs produzieren keine KI-Chips. Intel Foundry strauchelt. Bosch und Infineon fertigen Automotive-Chips, keine GPUs.
Digitale Souveränität endet beim Grafikkartenkauf. Das klingt zynisch, ist aber die technische Realität. Ohne eigene KI-Hardware bleibt Europa Konsument – nicht Gestalter.
GAIA-X und Co.: Ein europäisches Luftschloss?
GAIA-X sollte die Antwort sein. Eine europäische Cloud-Infrastruktur, interoperabel, souverän, datenschutzkonform. Gestartet 2020 mit großen Ambitionen und noch größeren Pressemitteilungen.
2026 liegt der Marktanteil bei unter 5 Prozent.
Das Problem ist nicht die Idee – sondern die Umsetzung. GAIA-X ist fragmentiert in nationale Federated Clouds, die kaum miteinander kommunizieren. Die Bürokratie hat Innovation erstickt, bevor sie entstehen konnte. Unternehmen, die eine Cloud brauchen, wählen die, die funktioniert – nicht die, die eine EU-Flagge trägt.
IPCEI Cloud – das milliardenschwere Förderprogramm für souveräne Infrastruktur – zeigt ein ähnliches Bild. Viel Geld, wenig Adoption. Die geförderten Projekte sind technisch solide, aber am Markt irrelevant, weil niemand seine bestehende Infrastruktur für ein Förderprojekt umstellt.
Der Berliner Gipfel zur europäischen digitalen Souveränität 2025 hat das Problem nicht gelöst, sondern illustriert. Umfragen zeigen, dass 9 von 10 europäischen Unternehmen nach wie vor abhängig von US-Diensten sind. Nicht aus Unwissenheit – sondern weil die Alternativen nicht mithalten.
Der sogenannte „Brüssel-Effekt” – die Fähigkeit der EU, durch Regulierung globale Standards zu setzen – funktioniert bei Datenschutz und Plattformregulierung. Bei Cloud-Infrastruktur greift er nicht. Man kann Meta regulieren, aber man kann kein AWS regulieren.
Anspruch vs. Wirklichkeit
| Programm | Ziel (2020er) | Status 2026 | Warum es stockt |
|---|---|---|---|
| GAIA-X | Europäische Cloud-Infrastruktur | Unter 5 % Markt, fragmentiert | Nationale Silos, keine Interoperabilität |
| IPCEI Cloud | Souveräne Infrastruktur | Geringe Adoption | Bürokratie, Preis, Lock-in bei Bestehenden |
| EU Chips Act | Eigene Halbleiterfertigung | Minimaler Impact auf KI-Segment | Zu spät gestartet, falsche Chip-Typen |
| DMA/DSA | Faire Plattformmärkte | Regulierung greift | Kein Einfluss auf Infrastruktur-Abhängigkeit |
Das Muster ist durchgängig: Europa reguliert gut, baut aber schlecht. Die Stärke liegt im Ordnungsrahmen – nicht in der Wertschöpfung. Das reicht, um Missbrauch einzudämmen. Es reicht nicht, um Abhängigkeit zu reduzieren.
Milliarden-Strafen und ein strukturelles Problem
Die EU-Regulierung hat gezeigt, dass sie Zähne hat. Die Irische Datenschutzbehörde verhängte allein gegen Meta seit 2023 Strafen in Milliardenhöhe: 1,2 Milliarden Euro für illegale Datentransfers in die USA, 251 Millionen Euro nach dem Facebook-Datenbreach von 2018, 91 Millionen Euro wegen intern unverschlüsselt gespeicherter Passwörter. Die EU-Kommission legte im April 2025 noch einmal 200 Millionen Euro nach – das erste Bußgeld unter dem Digital Markets Act, wegen Metas „Pay or Consent”-Modell.
Diese Summen klingen beeindruckend. Sie sind es für ein Unternehmen mit einem Jahresumsatz von über 160 Milliarden Dollar weniger. Meta reagierte nicht mit Rückzug aus Europa, sondern mit juristischen Verzögerungstaktiken, Modell-Anpassungen und Beschwerdeverfahren. Die Plattformen sind weiter da. Die Abhängigkeit europäischer Nutzer ist dieselbe.
Der DMA-Ansatz versucht, diesen Kreislauf zu durchbrechen: nicht mehr nur bestrafen, sondern Verhalten dauerhaft strukturieren. Ob das gelingt, wird sich zeigen – aber das grundlegende Problem bleibt: Europa kann das Verhalten von Plattformen regulieren, aber nicht die Infrastruktur ersetzen, auf der sie laufen.
Altersverifikation: Regulierung als Hilflosigkeitsgeste
Das deutlichste Beispiel für regulatorische Erschöpfung ist die aktuelle Debatte um Altersverifikation in sozialen Medien.
Frankreich verabschiedete im Januar 2026 ein Gesetz, das Kindern unter 15 die Nutzung sozialer Medien verbietet – Umsetzungspflicht ab September 2026. Deutschland debattiert ein ähnliches Modell, vorerst auf Mitte 2026 vertagt. Die EU-Kommission arbeitet an einem EU-weiten Altersverifikationssystem als Übergangslösung bis zur EU Digital Identity Wallet.
Das Ziel ist verständlich. Der Weg dorthin illustriert das strukturelle Dilemma.
Altersverifikation funktioniert nur, wenn sie auf einer Ebene stattfindet, die Plattformen nicht umgehen können. Plattformseitige Selbstdeklaration schützt nichts – Jugendliche klicken auf „Ja, ich bin 18”. Dokumentenbasierte Verifikation funktioniert, schafft aber das nächste Problem: Millionen Ausweisdaten bei privaten Drittanbietern, die diese Daten aggregieren, weiterverkaufen oder verlieren. Der Verifikationsdienstleister AU10TIX hatte jahrelange Datenpannen; ein Discord-Breach setzte Ausweisbilder von zehntausenden Nutzern frei.
Die einzige technisch saubere Lösung wäre eine Verifikation auf Betriebssystemebene – und genau das bauen gerade Apple und Google. Apples Declared Age Range API liefert Apps eine Alterskategorie zurück, ohne das genaue Geburtsdatum preiszugeben. Google arbeitet an einem ähnlichen System. Beide Ansätze funktionieren über Eltern-Accounts, Family Sharing und Gerätekonfiguration.
Aber auch dieser Ansatz ist kein Freifahrtschein. Apples Family Sharing und Googles Eltern-Account-Systeme sind keine neutralen Infrastrukturen – sie sind Datenpunkte. Wer ein Kind unter 13 registriert, gibt Informationen über Haushaltszusammensetzung, Gerätenutzung und App-Verhalten an Konzerne weiter, die diese Signale in ihre Werbeprofile einbauen. Die Frage ist nicht, ob Daten anfallen. Die Frage ist immer nur: bei wem, und für welchen Zweck.
Und jedes funktionierende System schafft die Infrastruktur für das nächste. Eine Alterskategorie, die heute Kinder von bestimmten Apps fernhält, ist morgen die technische Grundlage für weitere Einschränkungen – nach Inhalt, nach Region, nach Kontext. Das ist kein Verschwörungsdenken, sondern die normale Logik von Präzedenzfällen: Was einmal gebaut ist, wird genutzt.
Handwerklich schlechte Politik
Das eigentliche Problem ist nicht die Intention. Es ist die Methode.
Wenn Politiker offen einräumen, dass ein Verbot umgangen werden wird – und es trotzdem durchsetzen –, dann ist das kein Zeichen von Realismus. Es ist ein Zeichen, dass das Gesetz nicht für die Wirkung gedacht ist, sondern für die Haltung. Man demonstriert Handlungsfähigkeit, ohne die tatsächlichen Verursacher anzugehen.
Die Union nutzt den Alkohol-Vergleich als Pro-Argument – „Wir verbieten Jugendlichen auch Alkohol” – und übersieht dabei das Entscheidende: Beim Alkohol gibt es einen regulierbaren Vertriebsweg. Und selbst dort wird das Verbot regelmäßig umgangen. Bei sozialen Medien gibt es keinen vergleichbaren Flaschenhals. Die Plattformen sitzen in Kalifornien, die Server in US-Datenzentren, die Unternehmensstruktur ist so aufgebaut, dass sie europäischen Vollzugsbehörden systematisch entzogen ist.
Das Ergebnis: Die Regulierung trifft nicht die Plattformen. Sie trifft den freien Internetzugang für alle. Wer Altersverifikation für soziale Medien vorschreibt, schreibt sie faktisch für das ganze Netz vor – denn die Logik lässt sich auf jeden Dienst ausdehnen, der nicht belegen kann, dass er keine Minderjährigen hat. Europa schützt keine Kinder vor Instagram. Es schränkt ein, was alle dürfen.
Die eigentlichen Hebel – konsequente DMA-Durchsetzung, strukturelle Trennung von Plattform und Algorithmus, verpflichtende Interoperabilität – sind unbequemer, langwieriger und setzen juristische Auseinandersetzungen mit Konzernen voraus, deren Anwaltsetats größer sind als manche nationalen Regulierungsbudgets. Also wählt man den anderen Weg: Gesetze, die schnell verabschiedet werden können, symbolisch wirken und den Schaden an anderer Stelle erzeugen.
Die eigentlichen Gegenargumente
Es gibt handfeste Einwände gegen Altersverifikation als Instrument, die in der Debatte systematisch unterbelichtet bleiben:
Jugendliche weichen aus. Erste Evaluierungen zeigen, dass rund 40 Prozent der betroffenen Jugendlichen auf alternative, weniger regulierte Plattformen ausweichen – oft auf solche ohne Moderationsstandards. Das Schutzversprechen kehrt sich um: Wer regulierte Plattformen verlässt, landet auf unregulierten.
Chilling Effects treffen die Falschen. Jugendliche, die anonym Informationen zu sensiblen Themen suchen – Gesundheit, Sexualität, politische Identität – stoßen auf Altersverifikationssysteme und gehen. Der Schutzmechanismus blockiert genau die, die informationellen Schutz brauchen.
Identitätsdaten als Angriffsfläche. Jede Verifikationspflicht erzeugt irgendwo ein Datensilo. Wer die Daten hält, wer Zugriff hat, wie lange sie gespeichert werden – diese Fragen sind selten klar beantwortet, bevor Gesetze in Kraft treten.
Wirkung auf KI-Schätzung ist ungleich verteilt. Systeme, die Alter per Gesichtserkennung schätzen, schneiden bei weißen, westlich normierten Gesichtern besser ab als bei allen anderen. Sie diskriminieren strukturell, nicht absichtlich – aber systematisch.
Das Grundproblem ist nicht die böse Absicht hinter Altersverifikationsgesetzen. Es ist, dass sie ein strukturelles Infrastrukturproblem mit regulatorischen Mitteln lösen wollen – und dabei die Abhängigkeit von eben der Infrastruktur vertiefen, die das Problem mitverursacht hat.
Was realistisch machbar ist
Volle digitale Unabhängigkeit ist Wunschdenken. Ein „europäischer Nvidia” wird nicht entstehen. Eine europäische Cloud, die es mit AWS aufnimmt, auch nicht – zumindest nicht in diesem Jahrzehnt.
Was machbar ist: gezielte Resilienz.
Open Source als strategischer Vorteil. Europa hat mit Nextcloud, LibreOffice, Matrix und OpenStack relevante Open-Source-Projekte hervorgebracht. Sie ersetzen keine Hyperscaler, aber sie reduzieren Abhängigkeiten an kritischen Stellen – Kommunikation, Kollaboration, Basisdienste.
Edge Computing und Hybrid-Architekturen. Sensible Workloads on-premise oder bei europäischen Anbietern, skalierbare Workloads bei den Hyperscalern – mit Verschlüsselung und klarer Datenklassifizierung. Kein Entweder-oder, sondern ein bewusstes Sowohl-als-auch.
Multi-Cloud als Versicherung. Wer bei einem einzigen Anbieter all-in geht, ist verwundbar. Wer seine Architektur auf Portabilität auslegt – Container, Kubernetes, Infrastructure as Code – kann im Ernstfall wechseln. Das eliminiert die Abhängigkeit nicht, aber es macht sie steuerbar.
| Aspekt | Europäische Stärke | Abhängigkeit | Machbarkeit |
|---|---|---|---|
| Cloud-Infrastruktur | OpenStack, europäische Anbieter | US-Hyperscaler dominieren | Mittel – Hybrid-Ansätze |
| KI-Hardware | Forschung (DFKI, Fraunhofer) | Nvidia, TSMC | Niedrig – kein eigenes Ökosystem |
| Regulierung | DMA, DSA, DSGVO | Globale Durchsetzung begrenzt | Hoch – bewährt und wirksam |
| Open Source | Nextcloud, Matrix, OpenStack | Keine Abhängigkeit | Hoch – bereits nutzbar |
Pragmatische Strategien für Unternehmen
Was bedeutet das für Unternehmen, die nicht auf ein europäisches Wunder warten wollen?
1. Abhängigkeiten auditieren. Wo liegen die Daten? Welche Dienste sind geschäftskritisch? Was passiert bei einem Ausfall oder einem geopolitischen Schock? Die meisten Unternehmen haben diese Analyse nie gemacht.
2. Multi-Vendor-Strategie. Kein Anbieter sollte unersetzlich sein. Das bedeutet nicht, alles doppelt aufzubauen – sondern Architekturentscheidungen zu treffen, die Portabilität ermöglichen. Kubernetes statt proprietärer Container-Services. Terraform statt Cloud-spezifischer Konsolen.
3. Sensible Daten separat behandeln. Nicht alles muss in die US-Cloud. Kundendaten, Finanzdaten, Gesundheitsdaten – für diese Kategorien existieren europäische Alternativen, die DSGVO-konform und performant genug sind. Der Rest darf bei AWS liegen.
4. Skills aufbauen. RISC-V als offene Chip-Architektur wird mittelfristig relevant. Open-Source-KI-Modelle wie Llama oder Mistral reduzieren die Abhängigkeit von proprietären APIs. Wer heute in diese Skills investiert, hat morgen Optionen.
Souveränität ist keine Eigenschaft, die man kaufen kann. Sie ist eine Strategie, die man aufbauen muss – und sie beginnt im eigenen Rechenzentrum, nicht in Brüssel.
Unterm Strich
Digitale Souveränität als Totalutopie ist gescheitert. Europa wird keinen eigenen Hyperscaler bauen, keine eigene GPU-Fertigung hochziehen und kein alternatives Chip-Ökosystem aus dem Boden stampfen. Nicht in diesem Jahrzehnt.
Aber digitale Souveränität als Strategie ist nicht gescheitert – sie hat nur nie richtig angefangen.
Der Unterschied zwischen Abhängigkeit und Ausgeliefertsein ist Vorbereitung. Wer seine Architektur auf Portabilität auslegt, wer sensible Daten bewusst platziert, wer Open-Source-Alternativen nicht aus Idealismus nutzt, sondern aus Kalkül – der ist nicht souverän im politischen Sinne. Aber handlungsfähig. Und das ist 2026 mehr wert als jedes Strategiepapier.