EU-Paket zur technologischen Souveränität: Souveränität als Voraussetzung für Offenheit in Zeiten geopolitischer Veränderungen

Das Paket im Überblick

Aufbauend auf dem ersten Chips Act aus dem Jahr 2023 verlagert der Chips Act 2.0 den Schwerpunkt von der Forschung auf die Kommerzialisierung. Trotz der Absicht des Chips Act 1.0, Pilotlinien und Koordinierungsstrukturen innerhalb der EU zu etablieren, bleibt Europa bei fortschrittlichen Chips unter 5 Nanometern – genau dem Typ, der für KI-Anwendungen benötigt wird – fast vollständig von amerikanischen und asiatischen Lieferanten abhängig. Das neue Gesetz sieht die erste offene EU-Anlage für die Fertigung unter 3 nm vor, wobei die Pilotproduktion für 2030–2033 geplant ist. Außerdem sollen sogenannte „Demand Accelerators“ eingeführt werden, die Chip-Hersteller über Abnahmevereinbarungen mit Käufern verbinden sollen. Dies ist entscheidend, da neue Fabriken Ankerkunden benötigen, um sich zu etablieren und um lange genug zahlungsfähig zu bleiben.

CADA steht im Zusammenhang mit der Cloud- und KI-Dimension der technologischen Souveränität Europas. Der Kerngedanke des Gesetzes ist, dass die Mitgliedstaaten künftig verstärkt prüfen sollten, welche ihrer Systeme im öffentlichen Sektor von ausländischen Clouds abhängig sind. Auch sollen diese nach Souveränitätsgrad klassifiziert und die Beschaffung neuer Systeme entsprechend dieser Klassifizierung ausgerichtet werden. Die Verordnung zielt zudem darauf ab, die Kapazität von Rechenzentren in der EU in den nächsten 5 bis 7 Jahren zu verdreifachen, was Investitionen in Höhe von rund 200 Milliarden Euro erfordert, die größtenteils aus dem privaten Sektor stammen sollen. Darüber hinaus etabliert CADA vier Stufen der Cloud-Souveränität, die auf Kriterien basieren, die mit der Kontrolle über den Dienst und über die Lieferkette, der Verarbeitung von KI-Inferenzdaten, dem Standort der Infrastruktur und dem Niveau der Cybersicherheit zusammenhängen.

Obwohl sie am wenigsten diskutiert wird, ist die Strategie für offene digitale Ökosysteme in der EU der wohl interessanteste Teil des Pakets. Die EU finanziert derzeit sektorübergreifende Open-Source-Initiativen wie das openEuroLLM-Projekt und die EU-Brieftasche für die digitale Identität (European Digital Identity Wallet), jedoch ohne ein kohärentes Wartungsmodell. Um dieses Problem zu beheben, schlägt die Strategie u.a. ein neues „Open-Source Maintenance Instrument“ vor, das eine nachhaltige finanzielle Unterstützung sicherstellen soll, eine „European Digital Public Infrastructure Foundation“ zur Verwaltung der Repositorien sowie eine Open-Source-Standardvorgabe für öffentlich finanzierte F&E-Ausschreibungen.

Schließlich befasst sich die Strategische Roadmap für Digitalisierung und KI im Energiesektor mit dem wohl größten praktischen Engpass des Pakets: der Stromversorgung. Der Strombedarf von Rechenzentren in der EU wird sich bis 2030 voraussichtlich mehr als verdreifachen, von rund 10 GW auf etwa 35 GW installierte Leistung. Die Roadmap stützt sich auf drei Säulen: die Einbindung von Rechenzentren in die nationale Netzplanung durch dreiseitige Vereinbarungen zwischen Betreibern, Behörden und Energieversorgern; den Einsatz von KI im gesamten Energiesystem (zur Netzoptimierung und zur Flexibilisierung der Nachfrageseite); sowie die Einführung eines Bewertungssystems für die Effizienz von Rechenzentren, welches die Energieeffizienz, Wassereffizienz, die Nutzung erneuerbarer Energien sowie die Wiederverwendung von Abwärme umfasst.

Souveränität und Open Source: Wo wir die Denkweise für richtig halten

Die Strategie der Kommission besagt ausdrücklich, dass technologische Souveränität „nicht Isolation, Protektionismus oder technologischer Entkopplung“ bedeutet. Wir stimmen dieser Aussage vollumfänglich zu, da Souveränität letztlich bedeutet, die Fähigkeit zu haben, frei und eigenständig zu handeln. Was letztlich zählt, ist fairer Wettbewerb. Dies bedeutet, die Freiheit zu besitzen, zwischen verschiedenen Anbietern des Digitalsektors auswählen zu können, einen gewählten Anbieter ohne ruinöse Kosten austauschen zu können sowie kritische bzw. hochsensible Arbeits- und Geschäftsprozesse immer dann unter inländischer Rechtshoheit halten zu können, wenn dies, etwa zur Wahrung von Geschäftsgeheimnissen, wirklich wichtig erscheint. Entscheidend ist, dass dies nicht zwangsläufig bedeuten muss, spezifische Wettbewerber aus Drittstaaten per se von öffentlichen Ausschreibungen auszuschließen.

Anselm Küsters, Experte für Digitalisierung am cep, erklärt: „Souveränität ist eine Voraussetzung für Offenheit, nicht das Gegenteil. Wenn Europa nicht zumindest einen Teil seiner kritischen digitalen Infrastruktur selbst aufbauen und unterhalten kann, verliert es die Verhandlungsmacht gegenüber Anbietern, aber auch gegenüber geopolitischen Rivalen. Open-Source-Ökosysteme spielen dabei eine zentrale Rolle, da sie Institutionen und Unternehmen die Möglichkeit bieten, ohne Einflussnahme zu entwickeln. Die Strategie für offene digitale Ökosysteme in der EU wählt hier prinzipiell den richtigen Ansatz. Es ist jedoch noch unklar, ob das vorgesehene Finanzierungsmodell über den gesamten Software-Lebenszyklus hinweg Bestand haben wird.“

Die Cloud-Debatte ist noch nicht beendet

Der von der CADA-Verordnung etablierte Rahmen zur Souveränitätsbewertung gibt öffentlichen Verwaltungen ein Instrument an die Hand, dass sie dabei unterstützt, ihre diesbezüglichen Risiken zu verstehen. Ob dieses zusätzliche Verständnis jedoch in der Praxis Abhilfe schafft, muss sich erst noch erweisen. Dies zeigt sich an der Debatte über das EU-Zertifizierungssystem für Cybersicherheit in der Cloud (EUCS), das seit Jahren ins Stocken geraten ist, unter anderem weil die Mitgliedstaaten und die Kommission versucht haben, umstrittene politische Entscheidungen – wie Datenlokalisierung und Immunität gegenüber dem Recht von Drittländern – in einen technischen Zertifizierungsprozess einzubetten. Wie das cep bereits in einer Publikation dargelegt hat, handelt es sich bei der Festlegung von Souveränitätsanforderungen um legislative Entscheidungen, die eine ordnungsgemäße parlamentarische Kontrolle, eine Folgenabschätzung und eine klare Rechtsgrundlage erfordern. Eine Übernahme des wenig erfolgreichen EUCS-Ansatzes im Bereich Cybersicherheit würde das Risiko bergen, denselben Fehler zu wiederholen. Der derzeitige Zustand des KI-relevanten Cloud-Marktes rechtfertigt jedenfalls keine pauschalen Beschaffungspräferenzen: So sind die Preise über zwei Jahrzehnte hinweg kontinuierlich gesunken, und die meisten europäischen Unternehmen setzen heute auf Multi-Cloud-Strategien.

Laut dem cep-Experten Philipp Eckhardt, Ökonom in der Abteilung Informationstechnologien beim cep: „Die EUCS scheiterte, weil die umstrittensten Entscheidungen an ein technisches Gremium delegiert wurden, das weder das Mandat noch die Legitimität hatte, diese zu treffen. CADA benötigt einen klaren Rechtsrahmen für alle Souveränitätsanforderungen, die es einführt. Dieser Rahmen sollte klar unterscheiden zwischen, auf der einen Seite, wirklich sensiblen Systemen von öffentlichen Einrichtungen und von Betreibern kritischer Infrastrukturen und, auf der anderen Seite, der überwiegenden Mehrheit der Cloud-Anwendungsfälle, bei denen Wettbewerb, Portabilität und Preis im Vordergrund stehen sollten.“ Er betont, dass eine solche Unterscheidung aus mehreren Gründen entscheidend ist. Erstens würde die Einführung von allumfassenden Souveränitätsanforderungen die öffentliche Beschaffung nur verteuern und das Risiko bergen, Steuergelder zu verschwenden. Zweitens würde dies den bereits wachsenden bürokratischen Aufwand bei Ausschreibungsverfahren noch erhöhen und drittens bestünde die Gefahr, dass weitere Zielkonflikte zwischen den sehr unterschiedlichen Beschaffungszielen entstehen. „Eine legitime Industriepolitik sollte nicht die Überhand über die Wettbewerbspolitik gewinnen, insbesondere wenn europäische Anbieter selbst auf ausländische Chips und Software angewiesen sind.“

Chips: das Nachfrageproblem

Die Kommission räumt ein, dass der ursprüngliche „Chips Act“ zwar im Bereich der Forschungsinfrastruktur gute Ergebnisse erzielt habe, bei der tatsächlichen Produktionsautonomie jedoch nur „begrenzte“ Fortschritte erzielt worden seien. Angesichts der Tatsache, dass europäische Halbleiterfabriken im Vergleich zu Wettbewerbern in Ostasien mit höheren Baukosten, langsameren Genehmigungsverfahren und Fachkräftemangel konfrontiert sind, muss sich ein neuer „Chips Act 2.0“ auch mit der Nachfrage befassen: Ohne große inländische Abnehmer für in der EU entwickelte und hergestellte Chips werden neue Produktionskapazitäten kurzfristig nicht rentabel sein. Matthias Kullas, Halbleiterexperte beim cep, kommentiert: „Angesichts der aktuellen geopolitischen Lage muss Europa bei der Chip-Produktion autarker werden. Die stärkere Fokussierung des Chips Act II auf die Nachfrage nach europäischen Chips könnte das glaubwürdige Signal senden, das Investoren benötigen, um sich für neue Fabriken zu engagieren. Die Herausforderung wird darin bestehen, mittelfristig die angebotsseitigen Schwächen zu beseitigen.“

Drei Empfehlungen für den Gesetzgebungsprozess

Zu Open Source: Das „Maintenance Instrument“ ist der richtige Ansatz, doch der Finanzrahmen, den die Kommission derzeit auf 2 Milliarde Euro über sieben Jahre aus öffentlichen und privaten Quellen schätzt, ist zu knapp bemessen für eine Strategie, die jährliche Ausgaben von 264 Milliarden Euro für proprietäre IT-Lösungen ersetzen soll. Die Kommission sollte die Finanzierung ausdrücklich an Verpflichtungen im Wartungslebenszyklus knüpfen, nicht nur an Projektstarts.

Zu CADA: Souveränitätsrisikobewertungen für öffentliche Verwaltungen können ein hilfreiches Instrument sein, um mit dem aktuellen geopolitischen Klima umzugehen und die europäische Widerstandsfähigkeit zu stärken. Sollten Unternehmen und oder öffentliche Verwaltungen bestimmte Souveränitätskriterien verbindlich einhalten müssen, sollten solche Pflichten immer vom Gesetzgeber festgelegt werden. Eine Verlagerung in Durchführungsrechtsakte oder Zertifizierungssysteme sollte unterbleiben. Um die Souveränität Europas im digitalen Bereich zu stärken, sollte das Instrument der öffentlichen Auftragsvergabe zudem nur in begrenztem Umfang genutzt und auf eng definierte sicherheitsrelevante Bereiche beschränkt werden.

Zum Chips Act 2.0: KI-Gigafabriken und Beschleunigungszonen für Rechenzentren sind nur dann als Anker-Nachfrage sinnvoll, wenn die Beschaffungsvorschriften dies entsprechend untermauern. Ohne verbindliche Präferenzen für Hardware aus der EU, sofern diese vorhanden ist und in puncto Qualität konkurrenzfähig ist, bleibt die Investitionsbasis für neue Fabriken in Europa fragil.

Fazit

Das „Tech Sovereignty Package“ ist insgesamt der kohärenteste Versuch, den die EU-Kommission bisher unternommen hat, um strukturelle Technologieabhängigkeiten anzugehen. Das bedeutet nicht, dass er frei von Risiken ist. Souveränität, die durch Beschaffungspräferenzen und protektionistische Zertifizierungen angestrebt wird, führt eher nicht zu wettbewerbsfähigen, sondern zu geschützten Industrien. Die EU musste dies bereits in Sektoren von Solarmodulen bis hin zu Stahl leidvoll erfahren. Souveränität ist keine Alles-oder-Nichts-Entscheidung zwischen Offenheit und Autarkie. Wenn Souveränität das Ziel ist, muss zwingend in die Entwicklung dynamischer Fähigkeiten investiert werden. Nur über genug Talente, Kapital und eine industrielle Basis, kann es Europa gelingen, zu eigenen Bedingungen zu konkurrieren und sich in den umkämpften Märkten zu behaupten. Ein Europa, das gewinnt, indem es die Konkurrenz ausschließt, hat seine Technologieprobleme nicht gelöst, sondern lediglich aufgeschoben. Die Ambition Europas muss es sein, auf Grundlage der Qualität seiner Technologien konkurrenzfähig zu sein. Dies ist zugegebenermaßen ein anspruchsvolles Ziel – aber das richtige.