Cloud-Act on Dr. Christian Knebel

481 Millionen Euro für Microsoft. Dann kam DeepSeek. – Januar 2025 im E-Government-Rückblick.

Fri, 31 Jan 2025 20:00:00 +0100

Die Open Source Business Alliance veröffentlicht im Januar eine Zahl aus einer Bundestagsanfrage: 481,1 Millionen Euro hat die Bundesverwaltung 2024 für Microsoft-Lizenzen ausgegeben. 38 Prozent mehr als im Vorjahr. Am 20. Januar, dem Tag der Trump-Inauguration, erscheint DeepSeek R1: ein chinesisches Open-Source-Sprachmodell auf GPT-4-Niveau, trainiert für einen Bruchteil der üblichen Kosten, frei verfügbar und lokal betreibbar.

Zwei Nachrichten, ein Monat. Beide beschreiben dasselbe Problem von entgegengesetzten Seiten.

Was 481 Millionen wirklich bedeuten

Die Zahl ist kein Skandal. Sie ist ein Systemzustand.

Die Microsoft-Lizenzkosten der Bundesverwaltung sind in einem Jahr um 38 Prozent gestiegen – nicht weil die Nutzerzahl gewachsen wäre, sondern weil die Abhängigkeit so tief ist, dass kaum Verhandlungsmacht bleibt. Für 2026 sind weitere Preissteigerungen angekündigt . OSBA-Vorstandsvorsitzender Peter Ganten bringt es auf den Punkt: „Geld, das in die Lizenzen eines Konzerns fließt, fehlt für Lösungen, die gezielt auf die Bedürfnisse der Verwaltung zugeschnitten sind."

Die Delos Cloud war die Antwort auf genau dieses Unbehagen: eine „souveräne" Lösung, gebaut auf SAP- und Microsoft-Infrastruktur, mit deutschem Rechenzentrum. Im Januar räumt das Innenministerium Baden-Württembergs ein, was Fachleute seit Langem beobachten: Zugriffe durch Drittstaaten können nicht ausgeschlossen werden . Der Grund ist nicht die Hardware, sondern das Recht. Der CLOUD Act verpflichtet US-Unternehmen , auf behördliche Anordnung Daten herauszugeben – unabhängig davon, wo die Server stehen. Ein Microsoft-Frankreich-Direktor hat das im Juni 2024 unter Eid bestätigt: Er könne nicht garantieren, dass Daten französischer Behörden niemals ohne deren Zustimmung an die US-Regierung gehen.

Keine Architektur, kein Vertrag, kein nationales Rechenzentrum ändert daran etwas. Das ist kein technisches Problem. Das ist ein rechtliches. Und es macht eine ganze Klasse von „Souveränitätslösungen" strukturell wirkungslos.

Was hilft? Nicht das nächste Zertifikat für ein US-Produkt mit deutschem Label. Sondern die sachliche Frage, für welche Daten US-abhängige Infrastruktur überhaupt akzeptabel ist. Für unkritische Workloads kann das eine pragmatische Antwort sein. Für klassifizierte Verwaltungsvorgänge, Sicherheitsbehörden und kritische Infrastruktur ist es das nicht. Die Datenkategorie zieht die Grenze – nicht der Vertragstext.

Was DeepSeek mit Souveränität zu tun hat

Am 20. Januar erscheint DeepSeek R1 : ein chinesisches Open-Source-Sprachmodell, das in Benchmarks mit GPT-4 und Claude mithalten kann und dabei nach eigenen Angaben für einen Bruchteil der bisherigen Trainingskosten entwickelt wurde. Trump bezeichnet es als „Weckruf" für die US-KI-Industrie. An der Wall Street bricht der Nvidia-Kurs ein.

In der deutschen Verwaltungsdigitalisierungsdiskussion löst das vor allem eine Frage aus: Kann man einem chinesischen Modell vertrauen? Die Frage ist nicht falsch. Sie übersieht aber den wichtigeren Punkt.

Dass ein leistungsfähiges Open-Source-Modell existiert, bedeutet: Es lässt sich lokal betreiben. Auf eigener Infrastruktur. Ohne Hyperscaler. Ohne US-Rechenzentrum. Ohne CLOUD-Act-Risiko. Die Bedeutung von DeepSeek für die digitale Souveränität liegt nicht darin, ob man es einsetzt, sondern darin, was es beweist: Dass die technische Architektur moderner KI keine Milliardenpipeline nach Redmond oder Seattle braucht.

Das ist dieselbe Logik wie bei VMware. Nachdem Broadcom die Preise nach der Übernahme drastisch erhöht hatte, haben europäische Cloud-Anbieter begonnen, auf Open-Source-Alternativen zu migrieren. Das österreichische Unternehmen Anexia hat 12.000 virtuelle Maschinen umgestellt . Der Schmerz war real. Die Migration auch. Am Ende lief die Infrastruktur – auf offenen Systemen.

💡 Souveränität entsteht nicht durch Bekenntnis, sondern durch laufende Systeme.

Open Source als Betriebsmodell hat dort funktioniert, wo proprietäre Preispolitik den Anstoß gab. Das sollte kein Zufall sein, sondern Strategie.

Was trotzdem vorangeht

Deutschland ist im Januar 2025 ein Land im Vorwahlmodus. Die Regierung agiert geschäftsführend, die Koalitionsverhandlungen für den Koalitionsvertrag liegen noch vor uns. Trotzdem passieren Dinge.

Berlin bereitet den Einsatz von openDesk in der Verwaltung vor, dem Open-Source-Arbeitsplatz von ZenDiS. Schleswig-Holstein veröffentlicht ein Impulspapier zum Deutschland-Stack mit konkreten Vorschlägen, wie ein föderaler Technologiestapel mit Open-Source-Kern aussehen könnte.

Und das Bundeskabinett beschließt die rechtliche Grundlage für NOOTS, das Nationale Once-Only Technical System : die föderale Dateninfrastruktur, mit der Bürger:innen staatlichen Stellen einmal gemeldete Daten nicht immer wieder neu übermitteln müssen. Das klingt nach Selbstverständlichkeit. In der deutschen Föderalstruktur ist es ein jahrzehntelanger Kampf – an dem in einem politisch schwergewichtigen Monat trotzdem ein weiterer Schritt gelingt.

Der Weg ist nicht neu. Er wird nur endlich genommen.

Fazit

Januar 2025 in zwei Sätzen: Die Kosten der Abhängigkeit sind sichtbar geworden. Und die Alternativen auch.

481 Millionen Euro Lizenzgebühren zeigen, wohin ein Jahrzehnt ohne Ausstiegsstrategie führt. DeepSeek zeigt, dass Open Source als ernsthaftes Betriebsmodell funktioniert. Und wer die Delos-Diskussion ehrlich führt, landet bei einer simplen Erkenntnis: Souveränität ist keine Produktkategorie. Sie ist eine Beschaffungsentscheidung.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade vor der Frage stehen, welche Cloud-Abhängigkeiten ein echtes Souveränitätsrisiko darstellen und welche nicht – und einen Gesprächspartner suchen, der diese Abwägung ohne Verkaufsinteresse kennt: Schreiben Sie mich an.

Krieg in der Ukraine. Digitale Souveränität in neuem Licht. – Februar 2022 im E-Government-Rückblick.

Mon, 28 Feb 2022 20:00:00 +0100

Am 24. Februar beginnt der russische Angriff auf die Ukraine. Was das für die europäische Sicherheitsarchitektur bedeutet, wird in diesen Tagen intensiv diskutiert. Was es für die digitale Infrastruktur der deutschen öffentlichen Verwaltung bedeutet, wird zunächst weniger laut besprochen. Zu Unrecht.

Die Frage, wer welche Daten öffentlicher Verwaltungen auf welchen Servern unter welchem Rechtsrahmen speichert, war vorher eine Compliance-Frage. Ab jetzt ist sie eine geopolitische.

Was der Ukraine-Krieg für die öffentliche IT-Infrastruktur bedeutet

Die meisten deutschen Bundesbehörden, Länder und Kommunen nutzen Cloud-Dienste oder Software von US-amerikanischen Anbietern: Microsoft 365, AWS, Google Workspace in unterschiedlichen Varianten. Das ist kein Vorwurf. Es sind oft die leistungsfähigsten und am besten unterstützten Lösungen auf dem Markt.

Das Problem ist struktureller Natur. Der CLOUD Act von 2018 erlaubt US-Behörden unter bestimmten Umständen den Zugriff auf Daten von US-Unternehmen, auch wenn diese in Europa gespeichert sind. Das war vorher ein Datenschutzproblem. Im Kontext eines geopolitischen Konflikts wird es zu einer Infrastrukturrisikofrage.

Was öffentliche IT-Verantwortliche jetzt tun können: Das ist nicht der Moment für einen sofortigen Microsoft-Ausstieg. Das wäre operativ nicht umsetzbar und würde mehr Schaden als Nutzen bringen. Der richtige Schritt ist eine ehrliche Inventur: Welche Systeme haben welche Abhängigkeiten? Welche Daten liegen wo? Welche Verträge enthalten Exit-Klauseln? Diese Inventur schafft die Grundlage für einen mittelfristigen Migrationsplan, der machbar ist, statt einen Sofortausstieg, der es nicht ist.

Was GAIA-X dazu beitragen kann und was nicht

GAIA-X ist die europäische Antwort auf US-Cloud-Dominanz. Oder zumindest soll es das sein. Das Konsortium aus europäischen Unternehmen, Forschungseinrichtungen und Behörden arbeitet an einem Framework für einen europäischen Datenraum, der europäisches Recht respektiert.

Das Problem: GAIA-X ist ein Framework, keine Cloud. Es definiert Standards und Zertifizierungsprozesse, betreibt aber keine Infrastruktur. Wer eine sichere Alternative zu AWS braucht, findet in GAIA-X keinen Anbieter, sondern eine Spezifikation, die europäische Anbieter erfüllen können, wenn sie wollen.

Das ist nicht wertlos. Ein gemeinsamer Standard, der europäische Datenschutzregeln operationalisiert und Herstellerabhängigkeiten dokumentiert, ist eine Grundlage für informiertere Beschaffungsentscheidungen. Aber er ist kein Schnellschuss-Ersatz für AWS und Azure.

Was hilft: Der Fokus auf konkrete Bundescloud-Alternativen, also Rechenzentrumkapazitäten, die unter deutschem oder europäischem Recht operieren und für Verwaltungsdaten geeignet sind. Die BWI und die Infrastrukturen von Dataport oder ITDZ Berlin zeigen, dass solche Alternativen existieren. Was fehlt, ist der politische Wille, sie systematisch zu skalieren.

Was das für die nächste Beschaffungsentscheidung bedeutet

Wer gerade eine IT-Beschaffung vorbereitet, sollte zwei Fragen ergänzen, die bisher optional waren.

Erstens: Unter welchem Rechtsrahmen operieren Daten, die in diesem System verarbeitet werden? DSGVO-Konformität allein reicht nicht mehr als Antwort. Der CLOUD Act und ähnliche Drittstaaten-Zugriffsgesetze sind ein eigenes Risikofeld.

Zweitens: Wie sieht der Exit-Plan aus? Nicht als theoretische Option, sondern als konkrete Beschreibung, wie Daten und Prozesse in ein anderes System überführt werden könnten, wenn nötig. Wer das heute nicht beschreiben kann, hat sich in eine Abhängigkeit manövriert, die nicht zwangsläufig teuer war, aber im Ernstfall teuer wird.

Diese Fragen jetzt zu stellen, ist kein Panikmodus. Es ist Infrastruktur-Hygiene, die aus guten Gründen jetzt auf der Agenda steht.

Hat Sie das Thema interessiert?

Wenn die Souveränitätsfrage für Ihre IT-Infrastruktur gerade konkret wird und Sie einen Austausch suchen, der nicht mit einem Produkt endet: Das Kontaktformular unten ist der schnellste Weg zu mir.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.