Die Europäische Kommission hat einen ehrgeizigen Plan angekündigt, um sich aus ihrer fast vollständigen Abhängigkeit von ausländischer Technologie zu befreien.

In einem Schritt, den sie als „einen entscheidenden Moment zur Behauptung ihrer technologischen Souveränität“ bezeichnet hat, hat die Kommission ein Paket zur technologischen Souveränität Europas vorgelegt: einen umfassenden Vorschlag zur(neues Fenster) Stärkung der Kapazitäten Europas in den Bereichen Halbleiter, KI, Cloud und Open Source.

Ihr Ziel ist eindeutig: die Abhängigkeit der europäischen Infrastruktur von ausländischer Technologie zu verringern. In einer offiziellen Mitteilung der Kommission heißt es, dass „die EU bei über 80 % ihrer digitalen Produkte(neues Fenster), Dienstleistungen, Infrastrukturen und ihres geistigen Eigentums strukturell von Anbietern außerhalb der EU abhängig bleibt“.

Der Plan ist im Wesentlichen ein Aufruf zum Handeln für europäische Unternehmen, ihre eigenen Abhängigkeiten von US-Technologien zu prüfen. Dieser Artikel bietet einen Überblick über jede der vier Komponenten des Pakets:

  • Chips Act 2.0
  • The Cloud and AI Development Act (CADA)
  • Die EU-Open-Source-Strategie
  • Ein strategischer Fahrplan für Digitalisierung und KI im Energiesektor

Warum Europa jetzt der Unabhängigkeit der Infrastruktur Priorität einräumt

Die Union erkennt nun an, wovor viele Tech-Experten seit Langem warnen: Europa muss aufhören, strukturelle Abhängigkeit als akzeptablen Preis für Bequemlichkeit zu betrachten.

Wie Kommissionspräsidentin Ursula von der Leyen es ausdrückte: „Wir können es uns nicht leisten, bei den Technologien, die unsere Krankenhäuser am Laufen halten, unsere Energienetze stabilisieren und unsere Dienste sichern, von anderen abhängig zu sein. Es geht darum, unsere Bürgerinnen und Bürger zu schützen, unsere Interessen zu verteidigen und unsere eigenen Entscheidungen zu treffen.“

Die Abhängigkeit der Infrastruktur setzt jedes Land in der EU folgenden Risiken aus:

  • Kill Switches. Eine ausländische Regierung kann die Dienste deaktivieren oder stören, auf die deine Krankenhäuser, Energienetze und öffentlichen Einrichtungen angewiesen sind. EU-Tech-Chefin Henna Virkkunen nannte es explizit(neues Fenster): „Wir wollen sicher sein, dass wir in den kritischen Feldern immer in der Lage sind, die Dienste und die Daten in Europa zu kontrollieren.“
  • Rechtliche Hintertüren. US-Recht verpflichtet in den USA ansässige Cloud-Anbieter, Daten an amerikanische Behörden zu übergeben, selbst wenn sie in Europa gespeichert sind(neues Fenster). Europäische Daten auf US-Infrastruktur sind nicht durch die europäische Gerichtsbarkeit geschützt. Die GDPR-Konformität ändert daran nichts.
  • Ausgeschlossene Beschaffung. Kritische öffentliche Aufträge – im Gesundheitswesen, im Energiesektor, in der Verteidigung – werden derzeit von Anbietern erfüllt, die nicht unter europäischer Kontrolle stehen(neues Fenster). Die von der Kommission vorgeschlagene Lösung, für die sensibelsten öffentlichen Ausschreibungen in der EU hergestellte Software und Hardware vorzuschreiben, ist ein Eingeständnis, dass die derzeitige Situation unhaltbar ist.
  • Politisches Druckmittel. Wenn die Unternehmen, die deine Infrastruktur betreiben, enge Verbindungen zu einer Regierung haben, die deinen Interessen feindlich gesinnt ist, wird die Abhängigkeit zu einem Verhandlungsrisiko(neues Fenster). Der IStGH hat sich nicht freiwillig von Microsoft getrennt – er wurde praktisch dazu gedrängt. Das ist ein Kill Switch mit anderen Mitteln, und es ist bereits geschehen.

Mehr lesen: Bericht über die Risiken von US-Technologie

Was das europäische Paket für technologische Souveränität vorschlägt

Das Paket besteht aus vier Komponenten. Für europäische Unternehmen sind zwei am wichtigsten: der Cloud and AI Development Act und die Open-Source-Strategie.

Chips Act 2.0

Europa produziert nur etwa 10 % der weltweiten Halbleiter und bleibt sowohl bei herkömmlichen als auch bei hochentwickelten Chips stark von den USA und Ostasien abhängig. Der Chips Act 2.0(neues Fenster) soll die Halbleiterindustrie und die Lieferkette in Europa stärken.

Für europäische Unternehmen: Stelle dich darauf ein, dass Offenlegungen der Halbleiter-Lieferkette immer üblicher werden. Sie wären während einer „erklärten Krise“ erforderlich, eine Bedingung für Unternehmen, die eine EU-Förderung beantragen, und würden bei der Beschaffung gefördert. Wenn deine Lieferanten dir nicht sagen können, woher ihre Chips stammen, musst du damit rechnen, dass dies als Vertrauensmanko gewertet wird.

Der Cloud and AI Development Act (CADA)

Mehr als 70 % des europäischen Cloud-Marktes werden von drei US-Anbietern kontrolliert, während der eigene Anteil der EU von 29 % im Jahr 2017 auf 15 % im Jahr 2022 sank.

Der CADA führt vier Union Assurance Levels ein, die die Cloud-Souveränität über die reine Datenspeicherung vor Ort hinaus auf komplexere Fragen der Kontrolle, der Gerichtsbarkeit, des Eigentums, der Transparenz der Software-Lieferkette und der Einmischung von Drittstaaten ausweiten.

  • Level 1: Daten werden in einer in der EU befindlichen Infrastruktur verarbeitet und gespeichert.
  • Level 2: Anbieter müssen ihre Unabhängigkeit von Drittstaaten und Transparenz über ihre Software-Lieferkette nachweisen.
  • Level 3: Anbieter müssen sich in EU-Eigentum befinden und in der EU kontrolliert werden sowie zusätzliche Kriterien erfüllen, wobei Raum für anerkannte vertrauenswürdige Drittanbieter bleibt.
  • Level 4: Anbieter müssen die volle Transparenz und Kontrolle über ihre Software-Lieferkette haben und es darf keine Einmischung von Drittstaaten geben.

Für europäische Unternehmen: Datenspeicherung in der Region ist nicht gleichbedeutend mit Souveränität. Achte darauf, ob Anbieter bestehende, von den USA kontrollierte Infrastrukturen als „europäisch“ umetikettieren, ohne die Eigentums- und Kontrollanforderungen zu erfüllen, die die Sicherheitsstufen eigentlich verlangen. Level 3 erfordert Eigentum und Kontrolle in der EU. Eine europäisch gebrandete Hülle um AWS ist kein Level 3.

Die EU-Open-Source-Strategie

Die EU gibt derzeit jährlich 264 Milliarden € aus, größtenteils für proprietäre IT-Produkte und -Dienstleistungen aus den USA. Die Antwort der Strategie ist Software, die in Europa überprüft, wiederverwendet, angepasst und gewartet werden kann – unterstützt durch ein Open Source Maintenance Instrument zur Finanzierung der Sicherheit und Pflege wesentlicher Komponenten sowie durch die Erfassung von Abhängigkeiten und Spiegelungsfunktionen, um den kontinuierlichen Zugriff auf die kritischste Infrastruktur sicherzustellen.

Sie zielt speziell auf Cloud-Infrastrukturen, Anwendungen für den digitalen Arbeitsplatz, Tools für die Zusammenarbeit und Produktivität, Instant Messaging und sichere E-Mail ab, mit dem Ziel von 30 Millionen aktiven Benutzern von Open-Source-Alternativen bis 2030.

Das Prinzip „Öffentliches Geld, öffentlicher Code“ verpflichtet öffentliche Verwaltungen dazu, standardmäßig auf Open Source zu setzen, wo dies möglich ist.

Für europäische Unternehmen: Die Beschaffungskriterien verlagern sich hin zu Auditierbarkeit, Interoperabilität und Software, die du überprüfen kannst. Wenn deine aktuellen Tools geschlossen, proprietär und unter US-Kontrolle sind, musst du mit regulatorischem und wettbewerblichem Druck rechnen, diese Entscheidung zu rechtfertigen.

Ein strategischer Fahrplan für Digitalisierung und KI im Energiesektor

Eine neue delegierte Verordnung wird EU-weite Nachhaltigkeitsbewertungen für Rechenzentren einführen, was Transparenz über die Umweltleistung schafft und Greenwashing unterbindet. Wenn die Software, die eine kritische Energieinfrastruktur betreibt, außerhalb der europäischen Gerichtsbarkeit liegt, ist die Energiesouveränität ebenso theoretisch wie die Datensouveränität.

Für europäische Unternehmen: Stelle dich darauf ein, dass Nachhaltigkeitsbewertungen zu einem Beschaffungskriterium werden – und dass inländische Rechenzentrumskapazitäten eine neue Generation europäischer Anbieter hervorbringen, die zuvor allein im Bereich der Infrastruktur nicht wettbewerbsfähig waren.

Was das Paket für Europa bedeuten wird

Das Paket der Europäischen Kommission ist wichtig, aber es ist noch keine Revolution. Das Paket ist ehrgeizig, aber die Mandate sind begrenzt. Viel hängt davon ab, wie die Vorschläge ausgearbeitet, verhandelt, umgesetzt, geprüft und durchgesetzt werden.

Wenn Europa will, dass technologische Souveränität etwas bedeutet, muss es über die bloße Diagnose hinausgehen. Beschaffungsregeln, öffentliche Mittel, Zertifizierungsrahmen und Risikobewertungen müssen Anbieter belohnen, die die Abhängigkeit verringern, statt sie zu verstärken.

Digitale Unabhängigkeit wird durch Tausende von Technologieentscheidungen von Regierungen, Unternehmen und Einzelpersonen aufgebaut.

Bei Proton helfen wir dabei, den digitalen Übergang zu souveränen, die Privatsphäre schützenden europäischen Alternativen(neues Fenster) zu erleichtern. Proton ist bereits stark auf das technologische Souveränitätspaket der EU ausgerichtet: Alle unsere Apps sind Open Source(neues Fenster) und nutzen starke Kryptografie(neues Fenster), einschließlich Ende-zu-Ende-Verschlüsselung und Null-Zugriff-Verschlüsselung. Als Anbieter mit Sitz in der Schweiz profitieren Kunden von einem starken Schutz der Privatsphäre.

Um mehr Unternehmen den Wechsel zu europäischer Technologie zu erleichtern, haben wir vor Kurzem Easy Switch for Business eingeführt. Damit können Teams ihre E-Mails, Kalender und Kontakte mit minimalem Aufwand und ohne Ausfallzeiten von Google Workspace zu Proton migrieren.