Souveränität war ein Versprechen. Jetzt wird sie zum Prüfkriterium.

Am 3. Juni 2026 hat die Europäische Kommission das Cloud and AI Development Act (CADA) vorgeschlagen – das Herzstück ihres neuen Tech Sovereignty Package. Im Kern: ein vierstufiges Modell, mit dem öffentliche Auftraggeber künftig bewerten sollen, wie souverän ein Cloud-Anbieter wirklich ist. Nicht nur, wo die Daten liegen. Sondern wem der Anbieter gehört, wer ihn kontrolliert, und welchem Rechtssystem er unterliegt.
Noch ist CADA ein Vorschlag, kein geltendes Recht, aber die Richtung ist bemerkenswert klar formuliert. Kommissions-Vizepräsidentin Henna Virkkunen hat es öffentlich benannt: Anbieter, die dem US CLOUD Act unterliegen, werden es strukturell schwer haben, die oberen beiden Level zu erreichen – unabhängig davon, wo ihre Rechenzentren in Europa stehen. Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen, egal wo auf der Welt diese Daten liegen. Wer diesem Gesetz unterliegt, kann „keine Einflussnahme durch einen Drittstaat“ kaum glaubhaft versprechen. Genau das ist der Test für Level 4.
Die vier Level, kurz erklärt
Die vier CADA-Souveränitätsstufen im Überblick
Standort EU
Daten und Infrastruktur liegen in der EU. Keine weiteren Anforderungen an Eigentum, Personal oder Software-Lieferkette.
✓ Für US-Hyperscaler mit EU-Region erreichbar
Unabhängigkeit & Transparenz
Zusätzlich: nachweisbare Unabhängigkeit von Drittstaaten und Transparenz über die gesamte Software-Lieferkette.
⚠ Abhängig von Eigentümerstruktur und Transparenzpflichten
EU-Eigentum & EU-Kontrolle
Der Anbieter muss in der EU ansässig, im EU-Eigentum und unter EU-Kontrolle stehen – inklusive Anforderungen an die Staatsbürgerschaft des Personals.
✗ Unter US CLOUD Act strukturell nicht erreichbar
Vollständige digitale Souveränität
Volle Transparenz und Kontrolle über die gesamte Software-Lieferkette, keine Einflussnahme durch Drittstaaten. Der höchste Grad an digitaler Unabhängigkeit, den das Regelwerk kennt.
✗ Unter US CLOUD Act strukturell nicht erreichbar
Warum das nicht bei Cloud-Infrastruktur endet
CADA ist explizit für die öffentliche Beschaffung von Cloud-Diensten geschrieben. Aber die Frage, die dahintersteckt, ist keine Cloud-spezifische Frage. Sie lautet: Wer kontrolliert die Software, die in kritischer Infrastruktur läuft – und welchem Rechtssystem ist derjenige rechenschaftspflichtig?
Diese Frage stellt sich mit derselben Berechtigung für jede sicherheitskritische Softwarekomponente. Und kaum eine Komponente sitzt tiefer im Herzen der IT-Sicherheitsarchitektur als das Vulnerability-Management-System, das weiß, wo jede Schwachstelle in der Infrastruktur eines Landes liegt.
Wer diese Software liefert, wer sie kontrolliert, wer im Zweifel gezwungen werden könnte, Zugriff zu gewähren oder zu schweigen – das ist keine akademische Frage mehr. Es ist die Frage, die CADA für Cloud-Anbieter gerade verbindlich macht.
Legt man diesen Maßstab an: Wo steht Greenbone?
Wir sind kein Cloud-Anbieter im Sinne von CADA und werden entsprechend nicht „CADA-zertifiziert“. Aber legt man dieselben Kriterien an ein IT-Sicherheitssystem an, zeigt sich ein klares Bild:
- Kontrolle & Rechtssystem: Greenbone ist ein in Deutschland gegründetes, europäisch verankertes Unternehmen. Wir unterliegen deutschem und europäischem Recht, nicht dem US CLOUD Act.
- Personal: Unser Entwicklungs- und Betriebsteam sitzt in Deutschland und der EU.
- Software-Lieferkette: OPENVAS ist Open Source. Nicht „auditierbar auf Anfrage“ – sondern vollständig einsehbar, für jeden, jederzeit. Das ist eine stärkere Position als „auditable software“, wie es CADA für Level 2/3 verlangt.
- Offenlegungspflichten: Weil wir keinem US-Recht unterliegen, gibt es keine rechtliche Konstruktion, über die wir zu stillschweigender Zusammenarbeit mit Drittstaats-Behörden gezwungen werden könnten – die Art von „hidden disclosure“, vor der CADA schützen will.
Viele etablierte Namen sind in den USA beheimatet. Diese strukturelle Tatsache macht CADA gerade zum ersten Mal messbar. Eine EU-Rechenzentrumsregion ändert daran nichts, solange das Mutterunternehmen dem CLOUD Act unterliegt.
Was das für Sie bedeutet
CADA ist noch nicht in Kraft. Aber die Kommission hat zum ersten Mal präzise definiert, was „digitale Souveränität“ konkret bedeutet – in vier überprüfbaren Stufen statt in Marketingsprache. Für Behörden, KRITIS-Betreiber und öffentliche Auftraggeber wird das absehbar zur Frage im Lastenheft.
Wer heute schon auf diesem Fundament steht, muss morgen nicht migrieren.



