Stell dir einen Tag vor — nennen wir ihn den 12. Juni 2026, 17:21 Uhr Ortszeit Washington. Die US-Regierung verschickt einen Brief. Wenige Stunden später sind zwei der leistungsfähigsten KI-Modelle der Welt für alle Kundinnen und Kunden abgeschaltet. Nicht gedrosselt. Nicht reguliert. Aus. Ein Szenario — aber keine Fantasterei, sondern ein konsequent zu Ende gedachtes Gedankenexperiment.
Der Auslöser: eine Export-Kontroll-Anordnung, die jeglichen Zugriff durch ausländische Staatsangehörige untersagt — innerhalb wie außerhalb der USA, bis hin zu den eigenen ausländischen Mitarbeitenden des Anbieters. Praktisch ließe sich das nur erfüllen, indem man die Modelle für die ganze Welt deaktiviert. Eine deutsche Mittelständlerin, die ihren Kundenservice darauf aufgebaut hat, ein Startup in München, eine Behörde in Wien — alle säßen im selben Moment im Dunkeln. Wegen einer Entscheidung, die nicht einmal ihnen gilt.
Das ist kein Datenschutz-Thema. Das ist eine Frage der Handlungsfähigkeit. Und es ist der schärfste Beleg seit Jahren für eine These, die in Deutschland gern als Standortromantik abgetan wird: Wer seine wichtigste Infrastruktur nicht kontrolliert, hat keine Strategie — er hat eine Genehmigung auf Widerruf.
Keine Störung, sondern ein Schalter
Halten wir die Mechanik fest, denn sie ist der eigentliche Punkt. In diesem Szenario macht der Anbieter — ein führendes US-Labor — den Vorgang transparent: Die Regierung beruft sich auf nationale Sicherheit, nennt aber keine konkreten Details. Im Kern geht es um einen vermeintlichen „Jailbreak" — eine Methode, die Sicherheitsmechanismen des Modells zu umgehen. Die vorgeführte Technik bestünde im Wesentlichen darin, das Modell eine bestimmte Codebasis lesen und Schwachstellen beheben zu lassen. Die dabei gefundenen Lücken wären nach Darstellung des Anbieters bereits bekannt, gering und ließen sich auch von anderen, frei verfügbaren Modellen finden — ganz ohne Umgehung.
Trotzdem: Der Schalter wird umgelegt. Der Anbieter befolgt die Anordnung, widerspricht ihr aber deutlich. Das Argument, das ein solches Labor hier vorbringen würde, liegt auf der Hand:
„If this standard was applied across the industry, we believe it would essentially halt all new model deployments for all frontier model providers."
Übersetzt: Würde man jeden eng begrenzten Befund zum Anlass für einen Rückruf nehmen, käme die Einführung neuer Modelle praktisch zum Erliegen. Man muss diese Einschätzung nicht teilen, um die strukturelle Lehre zu sehen. Für ein europäisches Unternehmen ist die Frage nach Recht und Unrecht zweitrangig. Entscheidend ist: Die Verfügbarkeit unserer wichtigsten Werkzeuge hängt an einer Rechtsordnung, in der wir keine Stimme haben — und an einem Schalter, den wir nicht bedienen.
Eine Fußnote aus der Zukunft
Im Februar 2026 veröffentlichten der Researcher Citrini und Alap Shah ein bemerkenswertes Stück: „The 2028 Global Intelligence Crisis — A Thought Exercise in Financial History, from the Future". Kein Crash-Porno, keine KI-Doomer-Fanfiction, wie die Autoren selbst betonen, sondern ein Gedankenexperiment. Die Leitfrage lautet:
„What if our AI bullishness continues to be right … and what if that's actually bearish?"
Was, wenn wir mit unserem KI-Optimismus richtig liegen — und genau das das Problem ist? Das Szenario skizziert eine „globale Intelligenz-Krise" im Jahr 2028, ausgelöst nicht durch zu wenig KI, sondern durch ihre extreme Konzentration: Wenn die Produktivität ganzer Volkswirtschaften durch eine Handvoll Modelle weniger Anbieter fließt, wird diese Konzentration selbst zum systemischen Risiko.
Der 12. Juni 2026 in diesem Text ist die Generalprobe für dieses Szenario — im Kleinen durchgespielt, für ein paar Stunden, mit glimpflichem Ausgang. Die Mechanik ist exakt die beschriebene: ein einzelner Punkt, an dem ein politischer Beschluss eine wirtschaftliche Fähigkeit weltweit ausknipst. Wer das einmal durchdacht hat, kann es nicht mehr ungesehen machen.
Wie tief die Abhängigkeit wirklich reicht
Reden wir nicht über Gefühle, reden wir über Marktanteile. Die Zahlen sind seit Jahren stabil und unbequem:
- Rund 70 % des europäischen Cloud-Marktes entfallen auf drei US-Konzerne: AWS, Microsoft Azure und Google Cloud (Synergy Research Group).
- Etwa 80 % der professionellen Cloud-Ausgaben in der EU fließen an US-Anbieter.
- Europäische Cloud-Anbieter halten zusammen stabil nur rund 15 % ihres eigenen Heimatmarktes. SAP und Deutsche Telekom kommen auf je etwa 2 %, dann folgen OVHcloud, Telecom Italia, Orange.
Und der oft gehörte Trost „Aber meine Daten liegen doch in einem EU-Rechenzentrum" hilft hier nicht. Der US CLOUD Act und FISA 702 stellen klar: Die US-Jurisdiktion folgt dem Unternehmen, nicht dem Serverstandort. Wird ein US-Anbieter zur Herausgabe von Daten verpflichtet, muss er liefern — auch wenn die Server in Frankfurt stehen. „EU-Region" ist ein Häkchen in der Compliance-Liste, keine Souveränität. Und wie das Szenario zeigt, geht es ohnehin längst nicht mehr nur um Daten, sondern um die Fähigkeit selbst: Ein abgeschaltetes Modell exportiert keine Daten — es liefert einfach gar nichts mehr.
Wichtig: Es geht nicht darum, dass die US-Anbieter schlecht wären. Sie sind hervorragend — das ist ja das Problem. Eine Abhängigkeit von etwas Mittelmäßigem löst man durch Wechsel. Eine Abhängigkeit von etwas Exzellentem, das man nicht kontrolliert, ist die gefährlichere Sorte, weil sie so bequem ist.
Die unbequeme Wahrheit: Wir regulieren, was wir nicht bauen
Europa hat auf die digitale Abhängigkeit bisher vor allem mit Regeln geantwortet: DSGVO, Data Act, AI Act, DORA, NIS2. Das ist nicht falsch — gute Regeln sind ein Standortvorteil. Aber Regeln sind kein Ersatz für Fähigkeiten. Man kann nur regulieren, was andere bauen. Souverän wird man dadurch nicht.
Der Draghi-Report zur europäischen Wettbewerbsfähigkeit (September 2024) hat das ungeschönt aufgeschrieben. Die Produktivitätslücke zwischen EU und USA, so Draghi, sei „largely explained by the tech sector" — oder genauer: durch dessen Fehlen in Europa. Ein paar Zahlen, die wehtun:
- Der Rückstand der EU-Wirtschaftsleistung gegenüber den USA ist von rund 15 % (2002) auf etwa 30 % gewachsen.
- Europa investiert massiv in Mittel-Technologie (Autos), aber wenig in immaterielle Werte wie Software und F&E.
- Das Pathfinder-Programm des European Innovation Council hatte 2024 ein Budget von 256 Mio. Euro — die US-Forschungsagentur DARPA verfügt über mehr als das 15-Fache.
Draghis Empfehlung: rund 800 Mrd. Euro zusätzliche Investitionen pro Jahr (4–5 % des EU-BIP), eine echte Kapitalmarktunion, schlankere Regeln, beschleunigte Innovation. Es ist die Diagnose, die das Szenario in einen Satz presst: Wir haben uns auf Regulierung spezialisiert, weil uns die Produkte fehlen.
Was es nicht ist: Abschottung
Bevor jemand „Protektionismus" oder „digitale Festung Europa" ruft — das ist ausdrücklich nicht gemeint, und es wäre auch dumm. Souveränität heißt nicht Autarkie. Niemand baut die Lithografie-Maschinen nach (außer ASML, das ist europäisch), niemand will einen Binnenmarkt-Käfig.
Souveränität heißt Optionalität: die Fähigkeit, im Ernstfall zu wechseln, ohne dass der Laden stillsteht. Es heißt, dass es eine glaubwürdige europäische Alternative gibt — schon allein, weil das die Verhandlungsmacht gegenüber den Großen erhöht und die Preise diszipliniert. Eine zweite, unabhängige Quelle ist in jeder ernsthaften Lieferkette Standard. Bei unserer wichtigsten Infrastruktur haben wir sie uns abtrainiert. Das ist die einzige Forderung dieses Textes: eine zweite Quelle, die wir selbst kontrollieren. Pro-europäisch, nicht anti-amerikanisch.
Was zu tun ist: fünf Hürden, die fallen müssen
Der oft beschworene „europäische Champion" entsteht nicht durch Appelle. Er entsteht, wenn man Gründerinnen und Unternehmen die Steine aus dem Weg räumt, die heute systematisch dafür sorgen, dass europäische Software-Firmen entweder klein bleiben, abwandern oder verkauft werden. Fünf davon sind die wichtigsten — und keine davon ist eine Subvention im klassischen Sinn.
Diese fünf Hebel sind keine Wunschliste — sie liegen bereits auf europäischen Tischen. Die EuroStack-Initiative (getragen u. a. von Francesca Bria und Paul Timmers, im Juni 2025 vom ITRE-Ausschuss des EU-Parlaments unterstützt) skizziert genau diesen geschichteten Aufbau — von Rohstoffen über Chips, Netze und Cloud bis zu Software und KI — und beziffert den Bedarf auf rund 300 Mrd. Euro bis 2035, mit einem 10-Mrd.-Fonds als Anschub. Ihr ausdrückliches Ziel: die Einstiegshürden für KMU senken. Das geplante EU Tech Sovereignty Package mit dem Cloud and AI Development Act (CADA) soll eine vierstufige Souveränitäts-Klassifizierung und ein „Buy European / open by default" in der öffentlichen Beschaffung etablieren. Die Werkzeuge existieren. Es fehlt am Tempo und am Willen, sie scharf zu stellen.
Für Unternehmen: nicht auf die Politik warten
Die Politik ist langsam. Ein Unternehmen kann seine eigene Souveränität trotzdem heute erhöhen — und sollte es. Nicht aus Patriotismus, sondern aus Risikomanagement. Die Leitfrage ist simpel: Was passiert mit unserem Geschäft, wenn unser wichtigstes Modell morgen früh nicht mehr antwortet? Wer darauf keine Antwort hat, hat ein offenes Klumpenrisiko.
Vier pragmatische Schritte, in Reihenfolge:
- Portabilität einbauen. Setze nicht direkt auf ein einzelnes Modell, sondern auf eine Abstraktionsschicht (z. B. ein Gateway), über die du Anbieter und Modelle tauschen kannst. Vendor-Lock-in auf KI-Ebene ist vermeidbar — wenn man es von Anfang an mitdenkt.
- Einen Open-Weight-Fallback halten. Modelle wie Mistral oder Llama lassen sich selbst hosten. Sie müssen nicht das Beste sein — sie müssen verfügbar sein, wenn der Hauptanbieter ausfällt. Eine zweite Quelle, die niemand abschalten kann.
- Sensible Workloads europäisch hosten. Für kritische und regulierte Daten sind STACKIT, Hetzner, IONOS oder OVHcloud längst tragfähig. Nicht für alles — aber für das, was wirklich schützenswert ist.
- Den Ausfall einmal durchspielen. Ein Business-Continuity-Test für KI-Abhängigkeiten gehört 2026 zur Hausaufgabe wie das Backup. Wer das nie geübt hat, übt es im Ernstfall — schlecht.
| US-Standard | Europäische / offene Alternative | Reife |
|---|---|---|
| OpenAI / Anthropic API | Mistral (FR), Aleph Alpha (DE), self-hosted Llama | Gut, schnell wachsend |
| AWS / Azure / Google Cloud | STACKIT, Hetzner, IONOS, OVHcloud | Gut (Basis), wachsend (Enterprise) |
| Microsoft 365 / Google Workspace | Nextcloud, Open-Xchange, Mailbox.org | Mittel bis gut |
| Slack / Zoom | Matrix/Element, Jitsi, BigBlueButton | Gut |
Wer das systematisch angehen will, findet im Begleitartikel zur digitalen Souveränität für Unternehmen die Roadmap im Detail — inklusive Daten-Inventar und Klassifizierung. Und wer grundsätzlich vor der Frage steht, ob er kauft oder selbst baut, sollte den Make-or-Buy-Leitfaden für Software und die KI-Strategie für den Mittelstand lesen.
Häufige Fragen
Bedeutet digitale Souveränität, komplett auf US-Software zu verzichten?
Nein. Souveränität heißt Optionalität, nicht Autarkie. Das Ziel ist eine glaubwürdige, selbst kontrollierte Zweitquelle für das Kritische — damit ein Anbieter- oder Politikausfall nicht das Geschäft lahmlegt. Für unkritische Bereiche bleiben exzellente US-Lösungen oft die richtige Wahl.
Ist europäische Software nicht teurer und schlechter?
In einigen Enterprise-Funktionen sind die US-Hyperscaler weiterhin voraus — das stimmt. Aber europäische Cloud-Anbieter wie Hetzner oder STACKIT sind für viele Workloads ausgereift und preislich konkurrenzfähig, teils günstiger. Bei KI-Modellen schließt sich die Lücke schnell; für viele Aufgaben reichen offene Modelle völlig. Entscheidend ist der Vergleich pro Use Case, nicht das pauschale Vorurteil.
Macht „EU-Region" bei AWS oder Azure mein Setup souverän?
Nur eingeschränkt. Der US CLOUD Act und FISA 702 knüpfen an das Unternehmen an, nicht an den Serverstandort — ein US-Konzern kann zur Datenherausgabe verpflichtet werden, auch wenn die Server in Europa stehen. Und gegen eine Abschaltung des Dienstes selbst — wie im Szenario oben — hilft die Region gar nicht. Echte Souveränität braucht Kontrolle über die Lieferkette, nicht nur über den Speicherort.
Was kann ein Mittelständler diese Woche konkret tun?
Drei Dinge: erstens auflisten, welche Geschäftsprozesse von welchem einzelnen Anbieter abhängen; zweitens für den wichtigsten einen Fallback definieren (ein zweites Modell, ein zweiter Cloud-Anbieter); drittens diesen Ausfall einmal testen. Das kostet wenig und deckt die gefährlichsten Klumpenrisiken auf.
Fazit: Eigentum schlägt Erlaubnis
Ein Tag wie dieser muss nie kommen, damit die Lehre sitzt. Spielt man das Szenario ehrlich durch, zeigt es in wenigen Stunden, wie es sich anfühlt, wenn die Fähigkeit, die das eigene Geschäft trägt, an einem Schalter hängt, den man nicht kontrolliert — und über den man nie gefragt wurde.
Deutschland und Europa haben die Wahl. Wir können weiter exzellente Werkzeuge mieten und hoffen, dass der Vermieter freundlich bleibt. Oder wir bauen — endlich — eine zweite Quelle, die uns gehört. Das verlangt kein Wunder, sondern Entschlossenheit an fünf konkreten Stellen: Beschaffung, Kapital, Regulierung, Compute, Talent. Die Pläne liegen vor. Das Geld ist da. Was fehlt, ist die Bereitschaft, die Hürden für die eigenen Unternehmen zu senken, statt sie zu verwalten.
Eine Fähigkeit, die man nicht selbst einschalten kann, ist keine Fähigkeit. Sie ist eine Erlaubnis. Es wird Zeit, dass wir wieder welche besitzen.
Du willst die Abhängigkeiten deines Unternehmens systematisch reduzieren — von der Cloud bis zur KI-Strategie? Sprich mit uns.
