rohdata
AI · BUSINESS · KLARTEXT
KW 19 / 2026 — Das Muster dieser Woche: Europa redet Souveränität. Und kauft sie gerade von Kanada ein.
Digitale Souveränität ist das meistgebrauchte Wort der europäischen Technologiepolitik 2026. Und diese Woche zeigt in fünf Formaten, was es in der Praxis bedeutet — oder eben nicht bedeutet. Aleph Alpha, einmal als europäischer KI-Champion gefeiert, geht zu 90% an ein kanadisches Unternehmen. Digitalminister Wildberger nennt es einen Meilenstein. Die BARC-Studie zeigt zeitgleich: Europa investiert weniger in Datensouveränität als jede andere Region der Welt. Die deutschen Datenschützer kämpfen gegen eine Chatkontrolle, die trotz jahrelanger Ablehnung durch das EU-Parlament in der vierten Trilogrunde erneut verhandelt wird. Microsoft veröffentlicht seinen Jahresbericht zu den European Digital Commitments — und zählt Rechenzentren. Und heise fragt, ob das alles Sovereignty Washing ist. Die Antwort auf diese Frage ist unbequem — aber notwendig.
Aleph Alpha + Cohere: Was als KI-Champion gefeiert wird, ist wirtschaftlich ein Notverkauf — 90% gehen an die Kanadier.
Am 4. Mai berichtet das Handelsblatt in einer Live-Analyse über den Zusammenschluss von Aleph Alpha und Cohere — und zeichnet dabei ein ambivalentes Bild. Offiziell präsentieren Bundesdigitalminister Wildberger und sein kanadischer Amtskollege Evan Solomon den Deal als „globalen KI-Champion — sicher, souverän, wettbewerbsfähig.“ Die Zahlen hinter der Inszenierung erzählen eine andere Geschichte: Cohere-Anteilseigner halten rund 90% der kombinierten Gesellschaft, Aleph Alpha rund 10%. Cohere, zuletzt mit 6,8 Milliarden Dollar bewertet und 240 Millionen Dollar ARR, übernimmt. Aleph Alpha, das seinen Rückzug aus der Frontier-Modell-Entwicklung bereits 2025 vollzogen hatte, bringt europäische Glaubwürdigkeit und Kundenkontakte im öffentlichen Sektor ein — aber kaum Umsatz. Der eigentliche Deal läuft über die Schwarz Gruppe: Sie investiert 600 Millionen Dollar als Lead-Investor in Coheres Series E — und bekommt dafür STACKIT als technisches Rückgrat des kombinierten Unternehmens. Die Schwarz Gruppe kauft sich einen Großkunden für ihre Cloud-Infrastruktur. Die kombinierte Bewertung von 20 Milliarden Dollar basiert nicht auf Umsatz, sondern auf politischem Rückenwind und Souveränitäts-Narrativ. Cohere wird künftig dual headquartered in Toronto und Heidelberg — solange das Unternehmen nicht an die Börse geht und die Eigentümerschaft in internationale Hände wandert.
Warum es zählt: Souverän ist, wer die Kontrolle hat — nicht wer die schönere Pressemitteilung schreibt. Wenn 90% der kombinierten Gesellschaft beim kanadischen Partner liegen, ist das eine transatlantische Übernahme, keine Fusion auf Augenhöhe. Das ist keine Kritik am Deal selbst: Für Aleph Alpha war es nach dem strategischen Rückzug aus der Frontier-Entwicklung die einzige realistische Option. Für DACH-Unternehmen und Behörden, die Aleph Alpha als souveräne europäische Alternative evaluiert haben, stellen sich jetzt neue Fragen: Unter welcher Jurisdiktion liegt das Unternehmen nach dem Börsengang? Wer kontrolliert die Roadmap? Und gilt kanadische Eigentümerschaft für regulierte deutsche Behörden als ausreichend souverän?
BARC-Studie: 38% haben Datensouveränität in der Strategie. Europa investiert trotzdem am wenigsten — das Aleph-Alpha-Ergebnis ist kein Zufall.
Die neue BARC Data Sovereignty Survey 2026, präsentiert am 6. Mai auf der Big Data & AI World Frankfurt, befragt 320 Unternehmen weltweit. Das zentrale Ergebnis: 38% haben Datensouveränität bereits in ihrer Datenstrategie verankert. Aber beim Blick auf die tatsächlichen Investitionen zeigt sich eine Lücke, die zur europäischen Debatte nicht passt: Nordamerikanische Unternehmen führen sowohl bei der wahrgenommenen Relevanz (62% stufen Souveränität als sehr wichtig ein, gegenüber 48% in Europa) als auch bei der Umsetzung (73% mit finanzierten Initiativen, gegenüber 56%). Gleichzeitig hat sich die politische Motivation verschoben: Regulierung bleibt zwar der häufigste externe Treiber mit 61%, verlor aber 8 Punkte gegenüber 2025. Risikothemen steigen: US-politische Entwicklungen (+8 Punkte), Cybersecurity-Vorfälle (+7), Cloud-Abhängigkeit (+6). Die meistgenannte Architekturantwort: Hybrid by design — Cybersecurity-Härtung (43%) und On-Premises-Strategien (35%). Repatriierungsprojekte haben sich in einem Jahr verdoppelt auf 16%.
Warum es zählt: Die BARC-Zahlen erklären, warum Aleph Alpha bei einem kanadischen Unternehmen landet: Wer Datensouveränität als politisches Ziel formuliert, aber nicht als Investitionsentscheidung trifft, kauft sie irgendwann von außen ein — und nennt das einen Champion. Nordamerika handelt. Europa debattiert. Für Unternehmen in DACH ist die konkrete Frage: Hat Datensouveränität in Ihrer Organisation Budget — oder nur Folien?
→ barc.com
Chatkontrolle: Deutsche Datenschützer verschärfen den Ton — die vierte Trilogrunde am 11. Mai entscheidet.
Am 5. Mai veröffentlicht die Konferenz der deutschen Datenschutzbehörden (DSK) eine Entschließung und appelliert direkt an EU-Parlament, Rat und Bundesregierung: Die Chatkontrolle soll endgültig aufgegeben werden. Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider schreibt in ihrem Jahresbericht, sie hoffe, dass die anlasslose und massenhafte Chatkontrolle „hoffentlich endgültig vom Tisch“ sei. Hintergrund: Die bisherige Übergangsregel, die das freiwillige Scannen privater Nachrichten erlaubte, ist seit April 2026 ausgelaufen. Am 11. Mai findet die vierte Trilogrunde zwischen EU-Parlament, Rat und Kommission statt — die entscheidende Verhandlungsrunde darüber, ob private verschlüsselte Kommunikation künftig anlasslos durchsucht werden darf. Die Kritik der DSK zielt auf die Verhältnismäßigkeit: Millionen Bürger würden unter Generalverdacht gestellt, und Hintertüren in der Verschlüsselung gefährdeten die Sicherheit aller — nicht nur der Verdächtigen.
Warum es zählt: Wer Ende-zu-Ende-Verschlüsselung für Behörden öffnet, öffnet sie für alle. Das ist keine datenschutzrechtliche Spitzfindigkeit — es ist ein Infrastrukturproblem. Jede Hintertür in Signal, WhatsApp oder Threema ist eine Angriffsfläche, die nicht nur Strafverfolgungsbehörden nutzen können. Für Unternehmen, die vertrauliche Kommunikation über Messenger-Dienste führen: Die Trilogrunde am 11. Mai ist der Moment, der darüber entscheidet, ob Europa seinen eigenen Datenschutzversprechen treu bleibt — oder sie aus Sicherheitspolitik opfert.
→ heise.de
Sovereignty Washing: Woran man erkennt, ob Cloud-Souveränität real ist — oder nur gut klingt.
Ein aktueller heise-Hintergrundbeitrag analysiert systematisch, was Cloud-Souveränität tatsächlich bedeutet — und was darunter verkauft wird. Vier Dimensionen werden unterschieden: Datensouveränität (Kontrolle über Speicherort und Zugriff), Betriebssouveränität (wer kann das System abschalten), Softwaresouveränität (wer kontrolliert den Code und die Updates) und rechtliche Souveränität (unter welcher Jurisdiktion operiert der Anbieter im Ernstfall). Ein Anbieter kann europäische Rechenzentren betreiben und trotzdem vollständig unter US-amerikanischem Recht stehen — etwa über den CLOUD Act. Die Checkliste für eine ehrliche Bewertung: Gibt es einen nachgewiesenen Mechanismus, der verhindert, dass US-Behörden auf Daten zugreifen können? Wer hält den Schlüssel zur Verschlüsselung? Gibt es einen vertraglich abgesicherten Exit-Pfad ohne Datenverlust? Kann der Anbieter technisch gezwungen werden, Daten herauszugeben — unabhängig davon, was der Vertrag sagt?
Warum es zählt: Sovereignty Washing ist das KI-Äquivalent zu Greenwashing — und genauso schwer zu erkennen, wenn man nicht weiß, wonach man suchen muss. Für DACH-Unternehmen und Behörden, die gerade Sourcing-Entscheidungen für KI-Infrastruktur treffen: Die vier Dimensionen aus diesem Artikel sind eine praktische Checkliste. Ein Anbieter, der keine klare Antwort auf die Frage nach dem CLOUD Act gibt, hat keine.
→ heise.de
Microsoft Azure: Ein Jahr European Digital Commitments — 200+ Rechenzentren, 40% mehr Kapazität. Und die Frage bleibt.
Am 29. April veröffentlicht Microsoft seinen Einjahres-Fortschrittsbericht zu den European Digital Commitments, die im April 2025 angekündigt wurden. Die Zahlen: 40% mehr Rechenzentrums-Kapazität in Europa, neue Cloud-Regionen in Österreich, Dänemark und Belgien, neue Milliarden-Investitionen in Portugal, Norwegen und Großbritannien — insgesamt über 200 Rechenzentren auf dem Kontinent. Parallel veröffentlicht Microsoft auf Azure einen begleitenden Blogpost zur langfristigen Infrastrukturperspektive für Europa. Die Kernaussagen: Kundenkontrolle über Datenspeicherort und -zugriff, Verschlüsselung und Schlüsselverwaltung, Verpflichtung zur Rechtskonformität nach europäischen Gesetzen. Microsoft verpflichtet sich, jeden staatlichen Befehl zur Unterbrechung des Cloud-Betriebs in Europa juristisch zu bekämpfen — und designierte europäische Partner mit Kontinuitätsplänen zu benennen.
Warum es zählt: Microsoft liefert dieser Woche die direkte Gegenantwort zur Wildberger-Debatte aus KW16 — und sie ist aus der Souveränitätsperspektive sowohl stärker als auch schwächer als Aleph Alpha/Cohere. Stärker: Weil die Infrastruktur tatsächlich da ist, in Europa steht und europäischem Recht unterliegt. Schwächer: Weil der CLOUD Act nie erwähnt wird und die Frage nach dem US-Behördenzugriff im Ernstfall offen bleibt. Wer Microsoft Fabric oder Azure als Datenplattform einsetzt, sollte den Sovereignty Washing-Check aus Item #4 auf diesen Bericht anwenden — und ehrlich antworten, welche der vier Dimensionen wirklich erfüllt sind.
Diese Woche stellt Europa dieselbe Frage in fünf Formaten — und beantwortet sie unbequem. Aleph Alpha landet zu 90% bei einem kanadischen Unternehmen, weil das Kapital fehlte. Die BARC-Studie zeigt, dass das kein Zufall ist: Europa investiert am wenigsten in das, worüber es am lautesten redet. Die Datenschützer kämpfen gegen eine Chatkontrolle, die trotz jahrelanger Ablehnung immer noch nicht vom Tisch ist. Und Microsoft zählt Rechenzentren, ohne die CLOUD-Act-Frage zu beantworten. Sovereignty Washing ist das Greenwashing des Digitalzeitalters. Der Unterschied zwischen echter und inszenierter Souveränität liegt nicht in Pressemitteilungen — er liegt in vier konkreten Fragen: Wer hat den Schlüssel? Wer kann abschalten? Welchem Recht unterliegt der Anbieter im Ernstfall? Und gibt es einen Exit?
Nicht als Newsletter-Empfehlung, sondern weil das Gespräch stattfinden sollte.
rohdata erscheint wöchentlich. Kein Hype. Keine Werbung. Nur das was zählt.
→ andrewehr.com/rohdata