Wenn es um Europäische Souveränität geht, ist immer wieder vom CLOUD AI Act die Rede. Um Missverständnisse aufzuklären, hier eine tiefergehende Analyse.
Der „CLOUD AI Act“ geistert durch die Debatte um europäische digitale Souveränität. Doch was steckt wirklich dahinter? Ein gescheiterter US-Gesetzentwurf gegen chinesischen Cloud-Zugriff auf KI-Chips – und ein echtes Gesetz, das für ganz andere Konflikte sorgt.
Wenn in Brüssel oder Berlin von „CLOUD AI Act“ die Rede ist, schwingen oft Ängste vor US-Übergriffen mit. Doch die Realität ist komplizierter: Es gibt nicht nur Verwechslungen zwischen zwei völlig unterschiedlichen US-Gesetzen, sondern auch einen gescheiterten Entwurf, der inzwischen durch einen stärkeren Nachfolger ersetzt wurde. Zeit für eine Entwirrung – und einen Blick darauf, wie Europa darauf reagiert.
Es gibt nicht nur zwei unterschiedliche US-Gesetze mit ähnlichem Kürzel, sondern auch einen gescheiterten Entwurf, der inzwischen in neuer Form wiederauferstanden ist. Zeit, die Fakten zu entwirren.
Zunächst die gute Nachricht für alle, die dramatische Gerichtsurteile oder EU-Klagen erwartet haben: Der CLOUD AI Act (H.R. 4683) aus dem Jahr 2023 wurde nie verabschiedet. Er blieb im Ausschuss hängen und starb mit dem Ende des 118. Kongresses im Januar 2025 einen ruhigen Tod. Keine Bußgelder, keine Klagen, keine Rechtswirkung. Der Entwurf, überparteilich eingebracht von Demokraten und Republikanern um Congressman Jeff Jackson und Mike Lawler, zielte auf eine konkrete Sicherheitslücke ab: Chinesische Akteure umgingen die US-Exportkontrollen für fortschrittliche KI-Chips, indem sie über Cloud-Dienste aus der Ferne darauf zugreifen.
Der Gesetzentwurf wollte genau das verbieten – US-Personen und deren ausländische Tochtergesellschaften sollten chinesischen oder macauischen Einheiten keine Unterstützung für den Fernzugriff auf bestimmte Hochleistungs-Chips (Export Control Classification Numbers 3A090 und 4A090) mehr gewähren. Das Handelsministerium sollte strenge Regeln erlassen. Stattdessen schloss die Biden-Administration die Lücke 2023 einfach per Verordnung über das Bureau of Industry and Security (BIS).
Der eigentliche CLOUD Act von 2018 hingegen ist ein geltendes Bundesgesetz. Er entstand aus dem berühmten Microsoft-Ireland-Fall und klärt, dass US-Strafverfolgungsbehörden Daten von US-Tech-Firmen auch dann verlangen können, wenn diese auf Servern im Ausland liegen. Erstens stellt er klar, dass US-Strafverfolgungsbehörden Technologieunternehmen verpflichten können, Daten auf Grundlage eines US-Rechtsbeschlusses bereitzustellen, auch wenn diese Daten außerhalb der USA gespeichert sind. Zweitens schafft er einen Rahmen für Strafverfolgungsbehörden außerhalb der USA, über bilaterale Exekutivabkommen direkt Daten von US-Technologieunternehmen anzufordern.
Zusätzlich schafft er die Möglichkeit bilateraler Abkommen, über die ausländische Behörden direkt Daten anfordern können. Bislang gibt es solche Deals mit Großbritannien und Australien.
Hier liegt der eigentliche Reibungspunkt mit Europa: Der CLOUD Act kollidiert frontal mit der DSGVO. Europäische Datenschützer sehen in US-Cloud-Anbietern ein systemisches Risiko, weil US-Behörden theoretisch jederzeit Zugriff verlangen könnten – unabhängig davon, wo die Daten physisch gespeichert sind. Das Schrems-II-Urteil auf Initiative des österreichischen Datenschutzaktivisten Max Schrems des Europäischen Gerichtshofs (EuGH) 2020 machte genau diesen Konflikt zum zentralen Argument gegen den Privacy Shield.
Der direkte Nachfolger: Remote Access Security Act (2026)
Der Geist des CLOUD AI Act ist jedoch keineswegs tot. Das Repräsentantenhaus verabschiedete den Remote Access Security Act im Januar 2026 mit einer überwältigenden überparteilichen Mehrheit von 369 zu 22 Stimmen. Das ist der direkte legislative Nachfolger des CLOUD AI Acts.
Das Gesetz modernisiert den Export Control Reform Act, indem es die Bundesbefugnis erweitert, den Fernzugriff ausländischer Gegner auf Technologien — einschließlich KI-Chips — über Cloud-Computing-Dienste zu beschränken. Es stellt klar, dass Cloud-Compute genauso dem US-Exportkontrollrecht unterliegt wie physische Chips.
Hauptsponsor war Congressman Mike Lawler (R-NY) — derselbe, der 2023 bereits den ursprünglichen CLOUD AI Act miteingebracht hatte.
Warum jetzt so viel Druck?
Der politische Kontext hatte sich gegenüber 2023 drastisch verschärft: Chinesische Unternehmen, die mit Exportkontrollen für Hochleistungs-Nvidia-GPUs konfrontiert waren, haben sich seit mindestens 2023 über Plattformen wie Amazon Web Services Zugang verschafft. Chinesische Cloud-Anbieter wie Alibaba und Tencent sollen Kunden in China den Zugang zu exportkontrollierten GPUs ermöglicht haben, indem sie Cloud-Hardware anmieteten, die außerhalb Chinas gehostet wird.
Die parallele Entwicklung auf Exekutivebene (BIS)
Während der Kongress agierte, handelte auch die Exekutive — allerdings widersprüchlich: Eine neue BIS-Regel stellt eine erhebliche Abkehr von der bisherigen Praxis dar, dass Fernzugriff auf Cloud-Dienste ohne weitere Faktoren kein „Export“ sei — möglicherweise ein Vorbote einer grundlegenden Neubetrachtung dieser Politik angesichts der Kritik aus dem Kongress.
Gleichzeitig lockerte die Trump-Administration die Kontrollen an anderer Stelle: Im August 2025 kündigte Präsident Trump an, Nvidia Exportlizenzen für den Verkauf von H20-Chips nach China zu erteilen — unter der Bedingung, dass das Unternehmen 15 Prozent seiner Einnahmen aus diesen Verkäufen an die US-Regierung abführt. Im Dezember 2025 wurde das Modell auf H200-Chips mit 25 Prozent ausgedehnt.
Weitere laufende Gesetzesinitiativen (119. Kongress)
Mehrere weitere Gesetzesentwürfe sind im 119. Kongress anhängig: Der GAIN AI Act würde US-Unternehmen Vorrang beim Erwerb fortschrittlicher KI-Chips vor dem Export nach China einräumen. Der STRIDE Act würde das Außenministerium verpflichten, mit Partnerländern zusammenzuarbeiten, um deren Halbleiter-Exportkontrollen zu stärken. Der AI Overwatch Act würde eine parlamentarische Überprüfung von Exportlizenzen für fortschrittliche KI-Chips nach China vorschreiben.
Steigende Durchsetzungskapazität
Der Kongress genehmigte zuletzt eine Erhöhung des BIS-Budgets um 23 Prozent für das Haushaltsjahr 2026, wobei mehrere Mitglieder ausdrücklich überparteiliche Unterstützung für eine stärkere Exportkontrolldurchsetzung signalisierten und mehrere Millionen Dollar speziell für halbleiterbezogene Durchsetzungsmaßnahmen vorgesehen sind.
Europas Reaktion: Souveränität mit Fragezeichen
In Europa wird die US-Gesetzgebung weniger mit Protestnoten als mit eigener Industrie- und Regulierungspolitik beantwortet. Der Konflikt mit dem CLOUD Act von 2018 bleibt jedoch bestehen und wird in jeder Datenschutz-Folgenabschätzung sichtbar.
Europäische Rezeption des CLOUD AI Act und des Remote Access Security Act
Die europäische Reaktion auf diese US-Gesetzgebung lässt sich nicht isoliert betrachten: Sie ist Teil einer tiefgreifenden geopolitischen Neubewertung der digitalen Abhängigkeit Europas von amerikanischen Technologiekonzernen — beschleunigt durch Trump, dem chinesischen Open Source Angebot DeepSeek und den wachsenden Halbleiter-Nationalismus.
1. Der CLOUD AI Act (2023): Kaum direkte Resonanz
Der gescheiterte CLOUD AI Act von 2023 wurde in Europa kaum eigenständig rezipiert. Sein Thema — China-spezifische KI-Chip-Exportkontrolle — betraf europäische Unternehmen nur indirekt als potenzielle Cloud-Anbieter, die chinesischen Kunden Rechenzeit verkaufen. Die breitere europäische Debatte drehte sich zu dieser Zeit noch um den CLOUD Act von 2018 und seine DSGVO-Konflikte.
2. Der Remote Access Security Act (2026): Direkte Compliance-Folgen für EU-Unternehmen
Der Remote Access Security Act würde die Regelung des Fernzugriffs auf kontrollierte Güter — einschließlich fortschrittlicher KI-Chips — über Netzwerkverbindungen wie Cloud-Computing-Dienste ausweiten. Konkret müssten Cloud-Anbieter und „GPU-Vermietungs“-Intermediäre stärkere Compliance-Pflichten bei der Kundenüberprüfung erfüllen, Lizenzen beantragen und den Fernzugriff auf kontrollierte Beschleuniger beschränken
Für europäische Rechenzentren und Cloud-Anbieter bedeutet das: Wer US-amerikanische KI-Chips (Nvidia H100, H200 etc.) betreibt und chinesischen Kunden — auch indirekt — Cloud-Zugang gewährt, fällt künftig unter US-Exportkontrollrecht. Im Januar 2026 einigte sich BIS bereits auf einen Vergleich von 1,5 Millionen US-Dollar mit einem europäischen Unternehmen wegen der unrechtmäßigen Weitergabe von Halbleiter-Fertigungsgütern an eine Fabrik auf der Entity List über eine China-Tochter.
3. Das strukturelle CLOUD-Act-Dilemma: DSGVO vs. US-Recht
Parallel dazu bleibt der CLOUD Act von 2018 das dauerhafteste Reibungsthema zwischen Europa und den USA:
Der Kern des Problems liegt in einem direkten und unauflösbaren Rechtskonflikt: Der US-CLOUD Act erlaubt amerikanischen Behörden, US-Technologieunternehmen zur Herausgabe von Daten zu zwingen, unabhängig davon, wo diese gespeichert sind — was direkt mit Europas DSGVO kollidiert.
Der Konflikt zwischen dem CLOUD Act und dem europäischen Datenschutzrecht wird durch Artikel 35 der DSGVO zu einem praktischen Hindernis, der vor dem Einsatz von Technologien mit hohem Risiko für natürliche Personen eine Datenschutz-Folgenabschätzung verlangt. Bei US-Hyperscaler-Diensten identifizieren diese Assessments den CLOUD Act regelmäßig als erhebliches, oft inakzeptables Risiko.
Ein konkreter Vorfall illustriert die Brisanz: Im November 2025 kündigte der amerikanische IT-Konzern Kyndryl an, den niederländischen Cloud-Anbieter Solvinity zu übernehmen. Das kam als „unangenehme Überraschung“ für mehrere staatliche Kunden, darunter die Gemeinde Amsterdam und das niederländische Justizministerium, die Solvinity explizit gewählt hatten, um ihre Abhängigkeit von amerikanischen Firmen und CLOUD-Act-Risiken zu reduzieren.
4. Europas strategische Antwort: Die digitale Souveränitätsbewegung
Die EU reagiert nicht primär mit diplomatischen Protesten, sondern mit einer umfassenden legislativen und industriepolitischen Gegenstrategie.
Der Cloud and AI Development Act (CADA) — Europas direkter Gegenentwurf
Das vorgeschlagene EU Cloud and AI Development Act zielt darauf ab, Europas Führungsposition im Cloud-Computing und in der KI zu stärken, indem es einen robusten Regulierungsrahmen für Hochleistungsrechenressourcen und digitale Infrastruktur schafft — und dabei Europas technologische Souveränität sichern soll.
Das CADA wird versuchen, Europas Rückstand im Cloud- und KI-Bereich durch die Förderung neuer Rechenzentren zu schließen und soll EU-weite Zulassungsanforderungen für Cloud-Diensteanbieter sowie harmonisierte Beschaffungsverfahren einführen — auf eine Art, die die Beteiligung nicht-europäischer Unternehmen einschränken könnte.
Der EU-Rat hat dabei explizit Sicherheitsvorkehrungen für die Beteiligung von Drittländern eingeführt: Hochrisiko-Anbieter — eine implizite Anspielung auf Huawei und ZTE — werden nicht zur Teilnahme an EU-geförderten Projekten zugelassen.
Das EuroStack-Konzept
In Europa befinden sich 2024 52 Prozent der Unternehmen in der Cloud; die Europäische Kommission will diesen Anteil bis 2030 auf 75 Prozent erhöhen. Cloud-Infrastruktur ist dabei ein Kernbestandteil für essentielle Staatsfunktionen, von E-Government bis zur Durchführung militärischer Operationen.
Im März 2025 riefen führende europäische Technologieunternehmen und Industrieverbände die Europäische Kommission zu „radikalen Maßnahmen“ auf, um eine souveräne digitale Infrastruktur aufzubauen. Im Zentrum steht das „EuroStack“-Konzept: eine integrierte europäische Technologie-Schichtarchitektur, die Halbleiter, Cloud-Systeme, Betriebssysteme und digitale Identität umfasst. Einer Bertelsmann-Stiftung-Studie zufolge könnte die Transformation ein Jahrzehnt dauern und bis 2035 bis zu 300 Milliarden Euro erfordern.
Der Cybersecurity Act 2 (CSA2)
Am 20. Januar 2026 veröffentlichte die Europäische Kommission einen Vorschlag zur Aktualisierung des Cybersecurity Acts. Er würde erstmals einen horizontalen EU-Rahmen für die ICT-Lieferkettensicherheit einführen, der erhebliche Folgen für Organisationen haben könnte, die Komponenten von Anbietern aus Hochrisiko-Jurisdiktionen beschaffen. Verstöße können mit Bußgeldern von bis zu 7 Prozent des weltweiten Jahresumsatzes geahndet werden.
5. Das Dilemma zwischen Souveränitätsanspruch und Realität
Die ehrlichste Analyse liefert die kritische Innenperspektive:
Mitgliedstaaten propagieren „Souveränität“ und handeln bilateral: Frankreich setzt sich für europäische Cloud-Souveränität ein, baut gleichzeitig aber „Bleu“ (Microsoft + Orange + Capgemini) und „S3NS“ (Google + Thales) auf — Joint Ventures, die US-Hyperscaler-Technologie in französische Rechtsstrukturen einbetten. Deutschland macht dasselbe mit „Delos“ (Microsoft + SAP).
Fazit: Mehr als nur Namensverwechslung
Der „CLOUD AI Act“ ist also vor allem eines: ein Lehrstück in Sachen Verwechslungsgefahr und geopolitischer Realpolitik. Der gescheiterte 2023er-Entwurf hat keine direkten Folgen für Europa, sein Kernanliegen aber sehr wohl – über den Remote Access Security Act. Der eigentliche Dauerbrenner bleibt der CLOUD Act von 2018 mit seinen DSGVO-Konflikten.
Europa versucht, mit Regulierung und Milliarden-Investitionen aufzuholen. Ob das reicht, um echte Souveränität zu erreichen, bleibt offen. Die Abhängigkeit von amerikanischer Technologie ist tief, die chinesische Herausforderung real und der politische Wille groß – aber noch nicht ausreichend mit Kapital unterlegt.
Wer in der Debatte mitreden will, sollte deshalb genau hinschauen: Welches „CLOUD“-Gesetz ist eigentlich gemeint? Und vor allem: Wie viel Souveränität ist in einer vernetzten Welt überhaupt machbar?
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de