Microsoft statt OpenDesk? Digitale Knechtschaft? Bayerns Milliarden-Wette und der Der Aufstand gegen Microsoft

Gefangen im Daten-Dilemma: Europas gefährliche Abhängigkeit von Microsoft

Ein beispielloses Datenchaos und ein Kampf um die digitale Zukunft Europas erschüttern derzeit Politik und Verwaltung. Im Zentrum des Konflikts steht die massive Abhängigkeit von Microsoft-Produkten, die durch jüngste Ereignisse in ein neues, alarmierendes Licht gerückt wird. Der Wendepunkt kam im Herbst 2025, als der Internationale Strafgerichtshof (IStGH) entschied, Microsoft vollständig durch die deutsche Open-Source-Lösung OpenDesk zu ersetzen. Auslöser war ein politisch motivierter Akt: Nachdem die US-Regierung Sanktionen verhängt hatte, sperrte Microsoft den E-Mail-Zugang des IStGH-Chefanklägers – ein einzelner Mausklick genügte, um eine internationale Justizbehörde empfindlich zu treffen.

Dieser Vorfall ist jedoch nur die Spitze des Eisbergs in einem grundlegenden Konflikt zwischen europäischem Datenschutzrecht und amerikanischer Gesetzgebung. Die Illusion, dass in der EU gespeicherte Daten sicher vor dem Zugriff von US-Behörden seien, zerbrach endgültig, als ein hochrangiger Microsoft-Manager unter Eid vor dem französischen Senat zugeben musste, genau dies nicht garantieren zu können. Der US-CLOUD Act verpflichtet amerikanische Unternehmen zur Herausgabe von Daten, unabhängig vom Speicherort, und steht damit in direktem Widerspruch zur europäischen Datenschutz-Grundverordnung (DSGVO).

Während Institutionen wie der IStGH und zahlreiche deutsche Behörden die Flucht nach vorn antreten und auf Open-Source-Alternativen umsteigen, um ihre digitale Souveränität zurückzugewinnen, schlägt ausgerechnet Bayern einen entgegengesetzten, höchst umstrittenen Weg ein. Mit einem geplanten Milliarden-Deal will die Staatsregierung die gesamte Verwaltung an Microsoft binden – ohne öffentliche Ausschreibung und entgegen der Warnungen von Datenschützern und der heimischen IT-Wirtschaft. Europa steht damit an einem Scheideweg: Gelingt der Aufbruch in eine selbstbestimmte digitale Zukunft oder verfestigt sich die kostspielige und riskante Abhängigkeit von US-Technologiekonzernen?

Passend dazu:

• Digitale Unabhängigkeit: Europas radikaler Plan, sich von den USA zu lösen – Der Fall Karim Khan war ein Weckruf

Wenn ein Mausklick genügt, um internationale Justiz lahmzulegen – Der Internationale Strafgerichtshof als Vorbote einer europäischen IT-Revolte

Die Entscheidung des Internationalen Strafgerichtshofs im Herbst des Jahres 2025, Microsoft-Produkte in der Verwaltung vollständig durch die deutsche Open-Source-Lösung OpenDesk zu ersetzen, markiert einen ökonomisch und politisch hoch bedeutsamen Wendepunkt im Umgang Europas mit seiner digitalen Infrastruktur. Diese Maßnahme erfolgte als unmittelbare Reaktion auf ein geopolitisch motiviertes Ereignis: Nachdem die US-Regierung unter Donald Trump Sanktionen gegen leitende IStGH-Mitarbeiter verhängte, sperrte Microsoft den E-Mail-Zugang des Chefanklägers Karim Khan. Ein einzelner Mausklick reichte aus, um die Arbeit einer internationalen Institution zu behindern, die für die Ahndung schwerster Verbrechen gegen die Menschlichkeit zuständig ist.

Der Schritt hin zu OpenDesk ist weit mehr als eine IT-Modernisierung. Vielmehr wird daran erstmals in global sichtbarer Weise deutlich, wie sehr Software längst zum Hebel internationaler Machtausübung geworden ist. Wer über digitale Infrastrukturen gebietet, kann anderen Akteuren das Handeln diktieren oder sie lahmlegen. Dass ausgerechnet eine Institution wie der Internationale Strafgerichtshof zum Opfer solcher Instrumentalisierung wird, veranschaulicht die Brisanz dieser Debatte exemplarisch. Die Konsequenz ist eindeutig: Rund 1800 Arbeitsplätze beim IStGH werden auf OpenDesk migriert, eine vom Zentrum für Digitale Souveränität entwickelte Plattform, die strategische Unabhängigkeit von US-Technologiekonzernen ermöglichen soll.

Europas strukturelle Abhängigkeit von US-amerikanischer IT-Infrastruktur

Langjährige Marktanalysen und aktuelle Ausgabenstatistiken bestätigen die fundamentale Abhängigkeit europäischer Verwaltungen von US-amerikanischen IT-Anbietern. In Deutschland etwa entfallen rund 96 Prozent der täglichen Büroarbeitsplätze und IT-Basisdienste der Bundesbehörden auf Microsoft-Produkte. Die Ausgaben der Bundesverwaltung für proprietäre Software, insbesondere Lizenzgebühren und Verwaltungskosten, sind zwischen 2017 und dem Jahr 2024 von rund 771 Millionen Euro auf weit über 1,2 Milliarden Euro pro Jahr gestiegen. Dies entspricht einem Zuwachs von etwa 57 Prozent binnen sieben Jahren. Im Bereich Cloud-Dienste stiegen die Kosten allein auf Bundesebene von 136 Millionen Euro im Jahr 2021 auf 344 Millionen Euro im Jahr 2024.

Zugleich sind europäische Alternativen wie OpenDesk bisher nur punktuell im Einsatz. Bis Ende 2025 sollen laut aktuellen Prognosen etwa 160.000 Arbeitsplätze in der öffentlichen Verwaltung Deutschlands auf OpenDesk migrieren. Dies entspricht gut zehn Prozent aller relevanten Nutzer, wobei die Trendkurve steil ansteigt. Allein auf Länderebene wie in Baden-Württemberg wurden bereits über 60.000 Lehrkräfte erfolgreich umgestellt. Insgesamt sprechen diese Kennzahlen von einer spürbaren, aber längst nicht vollzogenen Trendwende.

Die Schweiz zeigt ein ähnliches Bild: In den letzten zehn Jahren gab der Staat rund 1,1 Milliarden Schweizer Franken für Microsoft-Lizenzen aus. Die entsprechenden Abo-Preise steigen dabei kontinuierlich, was den finanziellen Druck auf öffentliche Haushalte verschärft und die Diskussion um Alternativen befeuert.

Passend dazu:

• Microsoft bestätigt unter Eid: US-Behörden können trotz EU-Cloud auf europäische Daten zugreifen

Microsoft unter Eid – Die Illusion der EU Data Boundary zerbricht

Die wachsende Sorge um Digitalautonomie begründet sich nicht nur in Kosten oder technischer Abhängigkeit, sondern auch in gravierenden juristischen und machtpolitischen Kategorien. Ein Ereignis im Juni 2025 brachte die latente Unsicherheit schlagartig an die Oberfläche: Bei einer öffentlichen Anhörung vor dem französischen Senat wurde Anton Carniaux, Chefjustiziar von Microsoft France, unter Eid gefragt, ob er garantieren könne, dass Daten französischer Staatsbürger, die in EU-Rechenzentren gespeichert sind, niemals ohne Zustimmung französischer Behörden an US-Behörden weitergegeben würden. Seine Antwort war unmissverständlich: Nein, das könne er nicht garantieren.

Diese Aussage markiert einen Wendepunkt in der europäischen Debatte über digitale Souveränität. Carniaux bestätigte, dass Microsoft im Falle einer rechtlich korrekten Anordnung nach dem US-amerikanischen CLOUD Act verpflichtet ist, Daten herauszugeben, unabhängig davon, wo diese physisch gespeichert sind. Technische Schutzmaßnahmen wie Verschlüsselung, das EU Data Boundary-Projekt oder regionale Speicherung bieten damit keinen Schutz vor rechtlichem Zugriff durch US-Behörden. Die juristische Zuständigkeit bleibt in den USA, selbst wenn die Server in Europa stehen.

Der CLOUD Act wurde 2018 verabschiedet und ermöglicht es US-Behörden, von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen, unabhängig vom Speicherort. Dies steht in fundamentalem Widerspruch zur europäischen Datenschutz-Grundverordnung. Artikel 48 der DSGVO besagt, dass die Übermittlung oder Offenlegung personenbezogener Daten an Behörden eines Drittlandes nur dann zulässig ist, wenn sie auf einer völkerrechtlichen Übereinkunft basiert, etwa einem Rechtshilfeabkommen. Der CLOUD Act allein erfüllt diese Voraussetzung nicht.

Der Europäische Datenschutzausschuss hat wiederholt betont, dass der CLOUD Act allein keine ausreichende Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA darstellt. Befolgen US-Unternehmen eine CLOUD Act-Anordnung ohne entsprechende MLAT-Grundlage, verstoßen sie gegen die DSGVO und riskieren hohe Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes sowie zivilrechtliche Klagen.

Microsofts EU Data Boundary, die im Februar 2025 vollständig implementiert wurde, verspricht zwar die Speicherung und Verarbeitung von Kundendaten innerhalb der EU und des EWR. Doch auch hier bestehen relevante Ausnahmen: Bei Cybersicherheitsbedrohungen, technischem Support bei Eskalationen oder bestimmten KI- und Analysediensten können Daten außerhalb der EU verarbeitet werden. Die technische Speicherung in Europa schützt nicht vor rechtlichem Zugriff nach dem CLOUD Act.

Vendor-Lock-in, Preisexplosionen und die ökonomische Falle der Abhängigkeit

Neben den juristischen Risiken entsteht aus der Abhängigkeit von US-Anbietern ein massives ökonomisches Problem. In Zeiten verschärfter politischer oder wirtschaftlicher Spannungen können Infrastrukturzugriffe, Dienstunterbrechungen oder plötzliche Preissteigerungen bei Lizenzen gezielt als Druckmittel eingesetzt werden. In den letzten drei Jahren stiegen etwa die Microsoft-Lizenzkosten für den öffentlichen Sektor um durchschnittlich 30 Prozent, für manche Produktlinien sogar noch deutlich mehr.

Im Jahr 2022 erhöhte Microsoft weltweit die Preise für seine Business-Produkte. Microsoft 365 Business Basic stieg von fünf auf sechs US-Dollar pro Nutzer und Monat, Microsoft 365 E3 von 32 auf 36 US-Dollar. Diese Preiserhöhungen gelten weltweit mit lokalen Marktanpassungen. Solche dynamischen Preisanpassungen, sogenannte Vendor-Lock-in-Effekte, erschweren jede Exit-Strategie und führen nicht selten zu kalkulierten Mehrkosten von 20 bis 50 Prozent gegenüber vergleichbaren Open-Source-Konzepten.

Der Vendor-Lock-in bezeichnet die technische und organisatorische Bindung an einen bestimmten Anbieter, die einen Wechsel zu alternativen Lösungen extrem kostspielig und aufwendig macht. Migrationskosten, Umschulungen, Anpassungen von Geschäftsprozessen und die Gefahr von Datenverlusten oder Kompatibilitätsproblemen binden Organisationen langfristig an ihren bisherigen Anbieter. Dies gilt insbesondere für komplexe IT-Landschaften mit integrierten Systemen, wie sie in öffentlichen Verwaltungen üblich sind.

Passend dazu:

• Die Gefahren von Vendor Lock-in: Warum Unternehmen Abhängigkeiten vermeiden sollten

OpenDesk als strategische Alternative – Kosten, Architektur und Nutzen

OpenDesk ist nicht einfach eine Gratislösung. Zwar fallen keine laufenden Lizenzkosten an, dafür entstehen bei Einführung, Anpassung und Organisation signifikante Anfangsinvestitionen für technische Migration, Schulungen und Anpassung der IT-Landschaft vor Ort. Diese Entscheidung ist daher langfristig angelegt: Je länger der Planungshorizont und je größer der Nutzerkreis, desto stärker schlägt sich das ökonomische Potenzial der Open-Source-Strategie nieder. Schätzungen zufolge lassen sich ab einer Nutzergruppe von 10.000 Arbeitsplätzen jährliche Einsparungen zwischen zehn und zwanzig Prozent der bisherigen Betriebskosten erzielen, während mittelfristig die Abhängigkeit von einem einzelnen Anbieter systematisch zurückgeht.

OpenDesk bietet damit vor allem für größere, heterogene Behördenlandschaften mit eigenen IT-Kapazitäten erhebliche strategische, organisatorische und finanzielle Vorteile. Zentrale Architekturmerkmale, etwa die Kombination modular entwickelter Komponenten wie Kollaborationssoftware, Projektmanagement, Cloud-Anwendungen und Kommunikationsdienste aus deutscher beziehungsweise europäischer Produktion, bieten zusätzliche Synergieeffekte: Anpassungsfähigkeit, Entwicklungstransparenz, Sicherheit und die Einbindung lokaler Softwaredienstleister sind im Zusammenspiel kaum erreichbar mit proprietärer US-Standardsoftware.

Daneben verhindert OpenDesk den Vendor-Lock-in, gibt Institutionen mit dem veröffentlichten Quellcode volle Kontrolle über Änderungen und Weiterentwicklung und verringert die Wahrscheinlichkeit von kurzfristigen Preisexplosionen oder technischen Blockaden signifikant. Die Migration auf OpenDesk ist jedoch anspruchsvoll und erfordert erhebliche Ressourcen. Budgetverantwortliche müssen neben dem Kauf der Lizenzen weitere Kostenstellen berücksichtigen: rechtskonformen Implementierungskosten, Einbindung von Gutachten für die technische und rechtliche Umsetzung, Datenschutzbeauftragte, Sicherheitsbeauftragte und Personalvertretung.

Die Datenschutzkonferenz und ihre fundamentale Kritik an Microsoft 365

Im November 2022 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder eine vernichtende Bewertung von Microsoft 365. Trotz einiger Änderungen im Datenschutznachtrag bewertete die DSK das neue Data Protection Addendum als nur geringfügige Verbesserung gegenüber der Version aus dem Jahr 2020. Die DSK stellte fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten Datenschutznachtrags vom 15. September 2022 nicht geführt werden könne.

Die DSK identifizierte sieben zentrale Kritikpunkte: Erstens sei die Verarbeitung personenbezogener Daten durch Microsoft zu eigenen Zwecken intransparent und die Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe f der DSGVO nicht einschlägig. Zweitens fehle es an einer Klarstellung der Arten und Zwecke der Datenverarbeitung und der verarbeiteten Datenarten in den Verträgen mit den Kunden. Drittens sei unklar, in welchen Fällen Microsoft als Auftragsverarbeiter und in welchen als Verantwortlicher tätig werde. Viertens werde nicht vollumfänglich dargestellt, welche Daten im Einzelnen verarbeitet werden. Fünftens sei das Weisungsrecht des Kunden in Bezug auf Offenlegungen der im Auftrag verarbeiteten Daten weiterhin stark eingeschränkt. Sechstens treffe Microsoft keine angemessenen Maßnahmen zum Schutz internationaler Datentransfers, die im Rahmen der Schrems II-Entscheidung erforderlich wären. Siebtens sei die Drittlandsübermittlung problematisch.

Diese Kritikpunkte sind auch nach mehreren Jahren und zahlreichen Gesprächen zwischen Microsoft und den Datenschutzbehörden nur teilweise ausgeräumt. Die neue Executive Order des US-Präsidenten vom Oktober 2022 hatte zum Zeitpunkt der Bewertung noch keinen Eingang in die Bewertung gefunden. Die DSK empfahl, dass Verantwortliche eine detaillierte Risikoanalyse durchführen und die bestehenden Risiken abwägen müssen.

Hessen und die bedingte Freigabe – Pragmatismus oder Kapitulation?

Im November 2025 veröffentlichte der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Professor Dr. Alexander Roßnagel, ein rund 120 Seiten starkes Gutachten, das zu dem Schluss kommt, dass Microsoft 365 in Hessen datenschutzkonform genutzt werden kann, allerdings nur unter bestimmten Voraussetzungen. Seit Januar 2025 hatte Roßnagels Behörde in rund einem Dutzend Treffen mit Vertretern von Microsoft über die sieben Kritikpunkte der Datenschutzkonferenz verhandelt und sei gemeinsam zu Lösungen gekommen, wie man Microsoft 365 datenschutzkonform nutzen könne.

Roßnagel betonte jedoch, dass seine Behörde die einzelnen Dienste von Microsoft technisch nicht untersucht habe. Dazu sei man personell überhaupt nicht in der Lage, aber man habe die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst. Wichtig sei, dass die Nutzer Microsoft entsprechend konfigurierten. Dabei hälfen die Empfehlungen im rund 120 Seiten starken Gutachten seiner Behörde.

Im Bezug auf die kritisierte Datenübertragung in die USA sei, auch aufgrund europarechtlicher Änderungen, nichts mehr zu beanstanden. Microsoft habe seine Datenverarbeitung angepasst. Diese Feststellung steht jedoch in deutlichem Kontrast zur Aussage von Anton Carniaux vor dem französischen Senat im Juni 2025, wonach Microsoft nicht garantieren könne, dass EU-Daten nicht an US-Behörden weitergegeben werden.

Das positive Ergebnis beruht laut Roßnagel auch auf der Erwartung, dass Microsoft und die Verantwortlichen zusammenwirken, damit Verantwortliche Microsoft 365 datenschutzrechtskonform nutzen können. Daher endet der Bericht mit Handlungsempfehlungen für die verantwortlichen öffentlichen und nicht-öffentlichen Stellen in Hessen. Auf ihrer Grundlage können verantwortliche Stellen einzelne Bestandteile von Microsoft 365 einer vertiefenden datenschutzrechtlichen Betrachtung für den konkreten Einsatz unterziehen und im Erfolgsfall datenschutzkonform einsetzen.

Kritiker sehen in dieser bedingten Freigabe jedoch eine pragmatische Kapitulation vor der Realität. Die technische Nichtüberprüfung der einzelnen Dienste und die Beschränkung auf Grundsatzfragen werfen die Frage auf, ob hier tatsächlich Rechtssicherheit geschaffen wurde oder ob man lediglich die Verantwortung auf die einzelnen Nutzer abgewälzt hat. Zudem bleibt die fundamentale Problematik des CLOUD Act bestehen, die durch vertragliche Regelungen nicht aufgelöst werden kann.

Branchenschwerpunkte: B2B, Digitalisierung (von KI bis XR), Maschinenbau, Logistik, Erneuerbare Energien und Industrie

Mehr dazu hier:

• Xpert Wirtschaft Hub

Ein Themenhub mit Einblicken und Fachwissen:

• Wissensplattform rund um die globale wie regionale Wirtschaft, Innovation und branchenspezifische Trends
• Sammlung von Analysen, Impulsen und Hintergründen aus unseren Schwerpunktbereichen
• Ein Ort für Expertise und Informationen zu aktuellen Entwicklungen in Wirtschaft und Technologie
• Themenhub für Unternehmen, die sich zu Märkten, Digitalisierung und Brancheninnovationen informieren möchten

Bayern und der Milliarden-Deal – Ein Sonderweg gegen den europäischen Trend

Während auf allen politischen Ebenen in Europa digitale Souveränität angestrebt wird, plant die bayerische Staatsregierung einen Schritt, der in die völlig entgegengesetzte Richtung führt. Die sogenannte Zukunftskommission 5.0 des Finanzministeriums unter Staatsminister Albert Füracker will die komplette bayerische Verwaltung auf Microsoft 365 umstellen. Fast eine Milliarde Euro an Lizenzkosten würden im Laufe von fünf Jahren an den US-Konzern fließen. Das Besondere am bayerischen Vorhaben: Es gibt keine öffentliche Ausschreibung, keine transparente Prüfung von Alternativen und keine Einbindung der heimischen IT-Wirtschaft.

Der als Bayernvertrag bezeichnete Deal soll bis Ende 2025 abgeschlossen werden und als Enterprise Agreement für staatliche Einrichtungen fungieren. Später soll er auch als Grundlage für einen Kommunalvertrag dienen, über den Städte und Gemeinden Zugang zu Microsoft 365 erhalten können. Konkret ist das Paket Microsoft 365 E5 mit Teams-Integration vorgesehen. Der Freistaat werde eine zentrale Bezugsmöglichkeit für Microsoft 365 schaffen, die komplett aus Microsofts Azure-Cloud komme, ohne Wertschöpfung für lokale Unternehmen, ohne Arbeitsplätze in Bayern zu schaffen und ohne Partizipationsmöglichkeiten für kleine und mittlere Unternehmen, Mittelstand oder große, erfolgreiche bayerische Unternehmen.

Das Staatsministerium der Finanzen und für Heimat will dieses Konstrukt trotz der erheblichen Kosten von fast einer Milliarde Euro über fünf Jahre verteilt ohne eigentlich vorgeschriebene Ausschreibung umsetzen, indem dafür ein Rahmenvertrag abgeschlossen wird. Werden dann Leistungen aus diesem Rahmenvertrag abgerufen, ist keine Ausschreibung mehr vonnöten. Diese bereits seit längerem kontrovers diskutierten Pläne gelangten durch einen offenen Brief Ende Oktober 2025 wieder in den öffentlichen Fokus. Initiiert wurde der Brief von zahlreichen bayerischen IT-Unternehmen und der Open Source Business Alliance Bundesverband für digitale Souveränität. Der Brief wurde bereits von mehr als 100 Persönlichkeiten aus Wirtschaft und Politik unterzeichnet.

Die Unterzeichner des offenen Briefs bemängeln mehrere fundamentale Punkte. Erstens entziehe der Schritt der regionalen Software-Wirtschaft wichtige Mittel und schwäche so heimische Anbieter. Zweitens seien Datenschutz- und Sicherheitsrisiken bei US-Anbietern bislang nicht ausreichend adressiert. Drittens fehle eine transparente Entscheidungsgrundlage inklusive Alternativen-Analyse und unabhängiger Bewertung. Viertens würden Sicherheitsrisiken, wie sie durch Software-Monokulturen entstehen, nicht bedacht. Fünftens seien selbst offene Fragen hinsichtlich einer Konformität mit der DSGVO nicht hinreichend bei der bevorzugten Behandlung des US-amerikanischen Softwareunternehmens bedacht.

Besonders brisant: Das bayerische Landesamt für Sicherheit in der Informationstechnik hatte die Risiken beim Einsatz von Microsoft-Produkten anhand verschiedenster sicherheitsrelevanter Vorfälle und offenkundiger Designschwächen dokumentiert und sich dabei auf Berichte der US-amerikanischen Cybersecurity and Infrastructure Security Agency berufen. Trotz dieser Warnungen aus dem eigenen Landesamt wird an der Umsetzung des fragwürdigen Konzeptes festgehalten.

Peer Heinlein, Gründer und CEO der Heinlein Gruppe, betont, dass es komplett unverständlich sei, dass Bayern Milliarden an Lizenzkosten ins Ausland überweisen möchte, statt im eigenen Land für eine nachhaltige Stärkung der hiesigen Open Source-Softwarehersteller und damit für digitale Unabhängigkeit zu sorgen. Mit einer gezielten Förderung heimischer Softwarehersteller könnte Bayern zum Vorreiter für digitale Souveränität und nachhaltige IT werden.

Florian von Brunn, Sprecher für Wirtschaft, Energie und Digitales in der SPD-Fraktion im bayerischen Landtag, äußerte sich verwundert, dass digitale Unabhängigkeit von den USA und Trump für die Söder-Regierung keine Rolle spiele. Außerdem irritiere es ihn, dass man einen solchen Auftrag ins Ausland vergebe, ohne an eigene Unternehmen zu denken. Auch die Opposition im Landtag kritisiert den geplanten Deal scharf und fordert Transparenz über Entscheidungsgrundlagen, Kostenverteilung und Risikobewertung hinsichtlich Datenabfluss in Drittstaaten.

Das bayerische Finanzministerium hält sich bedeckt. Auf Anfragen teilte das Ministerium lediglich mit, dass die Überlegungen zur Nutzung von Microsoft 365 ohne ein abschließend gesetztes Zieldatum erfolgten. Kern der Überlegungen sei auch nicht der Abschluss eines neuen Großvertrags, sondern die Weiterentwicklung der bestehenden Vertragssituation. Man bitte um Verständnis, dass derzeit keine weiteren Angaben gemacht werden könnten. Diese intransparente Kommunikation befeuert die Kritik zusätzlich.

Bayern steht mit diesem Kurs faktisch allein in Deutschland. Während Schleswig-Holstein bereits 2018 den Ausstieg aus Microsoft-Produkten beschloss und auf Open-Source-Lösungen umstieg, Baden-Württemberg über 60.000 Lehrkräfte auf OpenDesk migrierte und selbst die Bundeswehr sowie der öffentliche Gesundheitsdienst auf digitale Souveränität setzen, geht Bayern den umgekehrten Weg. Die Stadt München, die ebenfalls in Bayern liegt, plant dagegen strategisch die Migration auf Open-Source-Lösungen und souveräne Clouds, um die Abhängigkeit von US-Anbietern zu reduzieren.

Passend dazu:

• Sichere Cloud und digitale Souveränität in Europa: Sind Microsofts Investitionen in Europa datensicher?

Vom Symbolfall zur politischen Bewegung – OpenDesk als Katalysator europäischer Autonomie

Der Entscheid des Internationalen Strafgerichtshofs wird bereits als Vorbild in anderen Behörden und Institutionen wahrgenommen. Immer mehr deutsche Landesverwaltungen, große Ministerien, kommunale Organisationen und nicht zu unterschätzen die Bundeswehr und der öffentliche Gesundheitsdienst setzen auf OpenDesk. Die kombinierte Marktmacht öffentlicher Auftraggeber, gestützt durch strategische Allianzen wie das Zentrum für Digitale Souveränität, entwickelt zunehmend Hebelwirkung: Jeder weitere Nutzer, jede zusätzliche staatliche Beteiligung und jede Verbreiterung des Anwendungsfeldes stärkt das gesamte europäische IT-Ökosystem.

Pilotprojekte haben gezeigt, dass passgenaue Betriebsmodelle von OpenDesk helfen, spezifische Anforderungen kleiner Kommunen ebenso zu erfüllen wie komplexe Sicherheitsvorgaben im Verteidigungs- oder Justizbereich. Dieser Systemwandel ist zudem ein Mittel gegen den drohenden Kompetenzverlust heimischer Softwareanbieter, die bislang kaum an der milliardenschweren Digitalisierungsoffensive partizipieren konnten.

Offen bleibt jedoch die Frage von politischer Priorität und Durchhaltewillen. Trotz fortgeschrittener Technologie und nachgewiesener Wirtschaftlichkeit zögern manche Bundesländer und die Bundesregierung weiterhin, von reiner Pilotierung in den echten Massenbetrieb zu gehen. Zu komplex erscheint die politische Durchsetzung, zu groß die Trägheit gewachsener Verwaltungsstrukturen und zu gering immer noch die Bereitschaft, einer strategischen IT-Frage den Rang eines staatspolitischen Projekts einzuräumen.

Europa zwischen digitalem Aufbruch und geopolitischem Zwang

Hier zeigt sich die eigentliche Dimension der aktuellen Entwicklung: Digitale Souveränität ist in Europa längst mehr als ein abstraktes IT- oder Verwaltungsthema, sondern Kern einer Strategie zum Schutz von Wirtschaftswachstum, Innovationsfähigkeit, gesellschaftlicher Resilienz und demokratischer Handlungsfähigkeit. Die Auseinandersetzung um die Kontrolle über Daten, Software und Infrastrukturen entscheidet darüber, ob Europas Wirtschaft künftig selbstbestimmt agiert oder zum geopolitischen Spielball externer Mächte wird.

Der politische Druck, offene Standards und europäische Software zu stärken, nimmt rasant zu, angefeuert auch von massiven Investitionen in eigene Cloud-Lösungen, Datenschutz-Standards, Marktplätze für unabhängige IT-Dienstleister und gezielte regulatorische Eingriffe wie den Interoperable Europe Act und Gaia-X sowie neue Vergaberegeln für den öffentlichen IT-Sektor. Die Europäische Union hat erkannt, dass technologische Abhängigkeit zu politischer Erpressbarkeit führt.

Doch auch dies ist keine Einbahnstraße: Komplette technologische Autarkie ist angesichts globaler Arbeitsteilung und internationaler Innovationsdynamik weder realistisch noch wünschenswert. Vielmehr entspringt Europas Modell der digitalen Souveränität einer Balance aus Eigenständigkeit, Partnerschaft und gezielter Regulierung, getrieben durch politische Rahmenbedingungen, ökonomische Lenkungswirkung sowie die aktive Mitgestaltung technischer Standards auf globaler Ebene.

Die volkswirtschaftliche Dimension der digitalen Abhängigkeit

Die ökonomischen Kosten der digitalen Abhängigkeit gehen weit über die direkten Lizenzgebühren hinaus. Neben den bereits erwähnten Kostensteigerungen von 57 Prozent auf Bundesebene zwischen 2017 und 2024 entstehen versteckte Kosten durch eingeschränkte Verhandlungsmacht, mangelnde Kontrolle über Produktentwicklung und fehlende Möglichkeiten zur Anpassung an spezifische Bedürfnisse. Die Wertschöpfung fließt dabei fast vollständig an US-Konzerne, während europäische Softwaredienstleister kaum partizipieren können.

Der geplante bayerische Microsoft-Vertrag illustriert dieses Problem exemplarisch: Fast eine Milliarde Euro öffentlicher Mittel fließen über fünf Jahre an einen US-Konzern, ohne dass bayerische oder deutsche Unternehmen davon profitieren. Diese Summe hätte genutzt werden können, um eine nachhaltige europäische IT-Infrastruktur aufzubauen, Arbeitsplätze in Bayern zu schaffen und die digitale Souveränität zu stärken. Stattdessen werden Abhängigkeiten vertieft und die regionale Wirtschaft geschwächt.

Hinzu kommt die volkswirtschaftliche Dimension der Datenhoheit. Wenn sensible Daten öffentlicher Verwaltungen, Gesundheitseinrichtungen oder kritischer Infrastrukturen faktisch unter der Kontrolle ausländischer Jurisdiktionen stehen, entstehen nicht nur Datenschutzrisiken, sondern auch strategische Verwundbarkeiten. Im Krisenfall könnten Datenabflüsse, Zugangssperren oder gezielte Manipulationen die Handlungsfähigkeit staatlicher Institutionen massiv beeinträchtigen.

Die Migration auf OpenDesk und andere europäische Lösungen ist daher nicht nur eine Frage der Kostenersparnis, sondern eine strategische Investition in Resilienz, Handlungsfähigkeit und technologische Souveränität. Die langfristigen volkswirtschaftlichen Gewinne durch gestärkte europäische IT-Industrie, reduzierte Abhängigkeiten und erhöhte Krisenfestigkeit überwiegen die kurzfristigen Umstellungskosten bei weitem.

Passend dazu:

• Strategische Verständnisfragen: Rechenzentrum gegen Fabrik? Schnell & riskant vs. langsam & stabil?

Transparenz, Kontrolle und die Grenzen proprietärer Systeme

Ein zentrales Problem proprietärer Softwarelösungen liegt in der mangelnden Transparenz. Nutzer wissen nicht genau, welche Daten zu welchen Zwecken verarbeitet werden, welche Sicherheitsmaßnahmen tatsächlich implementiert sind und ob versteckte Hintertüren existieren. Dies gilt insbesondere für komplexe Cloud-Plattformen wie Microsoft 365, die aus über 400 einzelnen Diensten bestehen.

Die Datenschutzkonferenz hat wiederholt bemängelt, dass Microsoft nicht ausreichend transparent macht, welche personenbezogenen Daten zu eigenen Zwecken verarbeitet werden. Diese Intransparenz verhindert die Überprüfung, ob alle Schritte der Datenverarbeitung durch Microsoft rechtmäßig sind. Selbst nach intensiven Verhandlungen zwischen Datenschutzbehörden und Microsoft konnten diese Transparenzdefizite nur teilweise behoben werden.

Open-Source-Lösungen wie OpenDesk bieten hier einen fundamentalen Vorteil: Der Quellcode ist öffentlich einsehbar, Sicherheitsexperten können den Code überprüfen, Schwachstellen identifizieren und Verbesserungen vorschlagen. Diese Transparenz schafft Vertrauen und ermöglicht eine echte Kontrolle über die eigene IT-Infrastruktur. Zudem können Anpassungen und Erweiterungen ohne Abhängigkeit vom Hersteller vorgenommen werden.

Rechtliche Grauzonen und die Grenzen des Data Protection Framework

Das EU-US Data Privacy Framework, das im Juli 2023 in Kraft trat, sollte nach dem Scheitern von Safe Harbor und Privacy Shield eine rechtssichere Grundlage für Datentransfers in die USA schaffen. US-Unternehmen können sich selbst zertifizieren, indem sie sich bei der US-Handelsbehörde registrieren und sich verpflichten, die Anforderungen des DPF zu erfüllen. Diese Selbstverpflichtung ist jährlich zu wiederholen.

Doch auch das DPF ist kritisch zu sehen, denn auch trotz DPF gelten die US-Gesetze, vor allem FISA 702 und CLOUD Act, weiterhin, woraus sich Zugriffsrechte für US-Behörden ergeben können. Wichtige Kritikpunkte sind unklare und jederzeit einseitig änderbare Zusagen der US-Regierung außerhalb des US-Rechtsraums. Das neu besetzte PCLOB, das US-Schiedsgericht für das DPF, ist nach der Neubesetzung durch den US-Präsidenten nicht wirklich unabhängig. US-Behörden könnten Zugriff auf EU-Daten erhalten auch ohne Mitwirkung europäischer Stellen.

Besonders kritisch ist, dass betroffene Unternehmen oder Nutzer nicht immer informiert werden dürfen, wenn ihre Daten herausgegeben wurden. Der CLOUD Act erlaubt sogenannte Schweigeverpflichtungen. Microsofts eigene Transparenzberichte zeigen, dass regelmäßig Daten infolge behördlicher Anfrage übergeben werden, auch wenn es sich dabei noch kaum um europäische Business-Daten handelt. Tatsächlich gibt es bisher keine dokumentierten Fälle, in denen US-Behörden konkret auf Daten europäischer Firmen in der EU zugegriffen haben. Das kann aber auch an der Verschwiegenheitspflicht liegen: Denn Unternehmen dürfen laut CLOUD Act in vielen Fällen gar nicht offenlegen, dass sie Daten herausgeben mussten.

Die geopolitische Dimension digitaler Infrastrukturen

Die Kontrolle über digitale Infrastrukturen ist zu einem zentralen Instrument geopolitischer Machtausübung geworden. Die Sperrung des E-Mail-Zugangs des IStGH-Chefanklägers durch Microsoft auf Druck der US-Regierung ist nur ein Beispiel dafür, wie technische Kontrolle in politische Macht übersetzt werden kann. In einer zunehmend digitalisierten Welt bedeutet die Kontrolle über Kommunikationsinfrastrukturen, Cloud-Plattformen und Betriebssysteme die Fähigkeit, Informationsflüsse zu steuern, zu überwachen oder zu unterbrechen.

Die USA haben diese strategische Dimension digitaler Technologien früh erkannt und gezielt gefördert. Durch die dominante Stellung amerikanischer Tech-Konzerne verfügen die USA über weitreichende Einflussmöglichkeiten auf globale Datenströme und digitale Infrastrukturen. Dies wird nicht nur durch den CLOUD Act deutlich, sondern auch durch die enge Zusammenarbeit zwischen US-Geheimdiensten und Tech-Unternehmen, die durch die Snowden-Enthüllungen öffentlich wurde.

Europa hat diese Entwicklung lange unterschätzt. Die Digitalisierung wurde primär als Effizienzgewinn und Modernisierungsprojekt betrachtet, nicht als strategische Frage von Souveränität und Handlungsfähigkeit. Die aktuelle Debatte um OpenDesk, digitale Souveränität und europäische Cloud-Lösungen markiert einen Paradigmenwechsel: Digitale Infrastrukturen werden nun als kritische Ressource verstanden, deren Kontrolle für die politische und wirtschaftliche Selbstbestimmung entscheidend ist.

Europäische Alternativen und die Herausforderungen des Aufbaus

Der Aufbau europäischer Alternativen zu US-dominierten Plattformen ist ein anspruchsvolles Unterfangen. Neben OpenDesk gibt es zahlreiche weitere Initiativen wie Gaia-X für Cloud-Infrastrukturen, den Europäischen Digital Innovation Hub oder nationale Projekte für sichere Kommunikationsplattformen. Diese Projekte stehen jedoch vor erheblichen Herausforderungen: Fehlende Skalierungseffekte, begrenzte Ressourcen, fragmentierte Märkte und etablierte Nutzungsgewohnheiten erschweren den Markteintritt.

Zudem konkurrieren europäische Anbieter mit etablierten globalen Konzernen, die über enorme finanzielle Ressourcen, ausgereiftes Marketing und tiefe Integration in bestehende IT-Landschaften verfügen. Der Netzwerkeffekt spielt dabei eine entscheidende Rolle: Je mehr Nutzer eine Plattform hat, desto attraktiver wird sie für weitere Nutzer. Dieser sich selbst verstärkende Mechanismus hat zur dominanten Stellung der großen US-Tech-Konzerne beigetragen und erschwert den Markteintritt neuer Anbieter erheblich.

Dennoch zeigen die Erfolge von OpenDesk in Baden-Württemberg, beim öffentlichen Gesundheitsdienst und der Bundeswehr, dass eine Migration auf europäische Lösungen machbar ist. Entscheidend sind politischer Wille, ausreichende Ressourcen, klare Migrationspläne und die Bereitschaft, kurzfristige Umstellungskosten zugunsten langfristiger strategischer Vorteile in Kauf zu nehmen.

Die Rolle der öffentlichen Hand als Katalysator

Die öffentliche Hand spielt eine Schlüsselrolle bei der Förderung europäischer Alternativen. Durch ihre enorme Marktmacht als Nachfrager von IT-Dienstleistungen kann sie entscheidende Impulse setzen. Wenn Bundesbehörden, Landesverwaltungen und Kommunen systematisch auf Open-Source-Lösungen und europäische Anbieter setzen, entsteht ein stabiler Markt, der private Investitionen anzieht und Innovation fördert.

Vergaberegeln können so gestaltet werden, dass sie europäische Anbieter bevorzugen, sofern diese gleichwertige Leistungen erbringen. Interoperabilitätsstandards können vorgeschrieben werden, um Vendor-Lock-in zu verhindern. Investitionen in Forschung und Entwicklung können gezielt europäische IT-Projekte fördern. Diese strategische Industriepolitik ist kein Protektionismus, sondern eine notwendige Maßnahme zum Schutz kritischer Infrastrukturen und zur Sicherung digitaler Souveränität.

Die Migration des Internationalen Strafgerichtshofs auf OpenDesk sendet ein starkes Signal: Wenn selbst internationale Institutionen, die auf höchste Zuverlässigkeit und Sicherheit angewiesen sind, den Schritt wagen, können andere folgen. Die Signalwirkung ist enorm und könnte einen Dominoeffekt auslösen.

Passend dazu:

• Ein Hohelied auf Deutschland und die EU – Warum sie sich brauchen, um gegen USA und China bestehen zu können

Vom Vendor-Lock-in zur Freiheit: Ein Wendepunkt mit offenem Ausgang

Der Wechsel des Internationalen Strafgerichtshofs auf OpenDesk ist ein ökonomisches, politisches und symbolisches Menetekel für ganz Europa. Er markiert den Beginn eines umfassenden Paradigmenwechsels: Weg von fast vollständiger Abhängigkeit von US-Plattformen hin zu systematisch entwickelten, öffentlichen, modularen IT-Lösungen europäischer Provenienz. Die entscheidenden Faktoren sind dabei nicht allein die kurzfristigen Lizenz- und Betriebskosten, sondern insbesondere die erzielte Autonomie, die Stärkung regionaler Wertschöpfungsketten, der Schutz sensibler Daten und die Wiedergewinnung von Innovations- und Verhandlungsmacht gegen globale Konzerninteressen.

Die Aussage von Microsoft unter Eid, dass EU-Daten nicht vor US-Zugriff geschützt werden können, hat die Illusion der EU Data Boundary endgültig zerstört. Die fundamentale Kollision zwischen dem US-amerikanischen CLOUD Act und der europäischen Datenschutz-Grundverordnung ist nicht durch vertragliche Regelungen oder technische Maßnahmen auflösbar. Solange europäische Institutionen auf US-Anbieter setzen, bleiben sie der US-Jurisdiktion unterworfen.

Die bedingte Freigabe von Microsoft 365 durch den hessischen Datenschutzbeauftragten zeigt die pragmatische Schwierigkeit des Übergangs. Einerseits besteht ein enormer Druck, bestehende IT-Infrastrukturen aufrechtzuerhalten und nicht durch rigorose Verbote die Arbeitsfähigkeit von Behörden und Unternehmen zu gefährden. Andererseits bleiben die fundamentalen Datenschutz- und Souveränitätsrisiken bestehen. Die Lösung kann nur in einem schrittweisen, aber entschlossenen Übergang zu europäischen Alternativen liegen.

Der bayerische Sonderweg illustriert das Dilemma in verschärfter Form. Während ganz Europa und der Rest Deutschlands zunehmend auf digitale Souveränität und europäische Lösungen setzen, plant Bayern eine Milliarden-Investition in Microsoft-Produkte ohne Ausschreibung, ohne Risikoanalyse und ohne Einbindung der bayerischen IT-Wirtschaft. Diese Entscheidung steht nicht nur im Widerspruch zum europäischen Trend, sondern ignoriert auch die Warnungen des eigenen Landesamts für IT-Sicherheit und die fundamentalen Bedenken der Datenschutzkonferenz. Der offene Brief von über 100 Unterzeichnern aus Wirtschaft und Politik zeigt, wie groß der Widerstand gegen diesen Kurs ist.

Offen bleibt, ob daraus eine breite und nachhaltige Trendumkehr entsteht. Die technologische, organisatorische und wirtschaftliche Transformation hin zu digital souveränen Infrastrukturen ist anspruchsvoll, voller Umstellungs- und Lernkosten, aber obendrein volkswirtschaftlich rentabel und strategisch notwendig. Nur wenn dieser Weg konsequent und politisch vorausschauend verfolgt wird, kann Europa seine digitale Handlungsfähigkeit im internationalen Krisen- und Innovationswettbewerb bewahren und im besten Fall ausbauen. Die Weichen dafür sind nun erstmals sichtbar gestellt. Die Entscheidung, ob Europa diesen Weg konsequent geht oder erneut in Abhängigkeit und Handlungsunfähigkeit verharrt, wird in den kommenden Jahren fallen. Bayern steht exemplarisch für die Versuchung, den bequemen Weg der weiteren Abhängigkeit zu gehen. Der Rest Europas zeigt, dass ein anderer Weg möglich ist.

KI-Gamechanger: Die flexibelste KI-Plattform - Maßgeschneiderte Lösungen, die Kosten senken, Ihre Entscheidungen verbessern und die Effizienz steigern

Unabhängige KI-Plattform: Integriert alle relevanten Unternehmensdatenquellen

• Schnelle KI-Integration: Maßgeschneiderte KI-Lösungen für Unternehmen in Stunden oder Tagen, anstatt Monaten
• Flexible Infrastruktur: Cloud-basiert oder Hosting im eigenen Rechenzentrum (Deutschland, Europa, freie Standortwahl)

• Höchste Datensicherheit: Einsatz in Anwaltskanzleien ist der sichere Beweis
• Einsatz über die unterschiedlichsten Unternehmensdatenquellen hinweg
• Wahl der eigenen bzw. verschiedenen KI-Modelle (DE,EU,USA,CN)

Mehr dazu hier:

• Unabhängige KI-Plattformen vs. Hyperscaler: Welche Lösung passt?

Gerne stehe ich Ihnen als persönlicher Berater zur Verfügung.

Sie können mit mir unter wolfenstein∂xpert.digital Kontakt aufnehmen oder

mich einfach unter +49 89 89 674 804 (München) anrufen.

LinkedIn
 

 

Xpert.Digital verfügt über tiefgehendes Wissen in verschiedenen Branchen. Dies erlaubt es uns, maßgeschneiderte Strategien zu entwickeln, die exakt auf die Anforderungen und Herausforderungen Ihres spezifischen Marktsegments zugeschnitten sind. Indem wir kontinuierlich Markttrends analysieren und Branchenentwicklungen verfolgen, können wir vorausschauend agieren und innovative Lösungen anbieten. Durch die Kombination aus Erfahrung und Wissen generieren wir einen Mehrwert und verschaffen unseren Kunden einen entscheidenden Wettbewerbsvorteil.

Mehr dazu hier:

• Nutzen Sie die 5fach Kompetenz von Xpert.Digital in einem Paket - schon ab 500 €/Monat