Microsoft on Dr. Christian Knebel

Schleswig-Holstein macht es für drei Millionen. Mai 2026 im E-Government-Rückblick.

Sun, 31 May 2026 12:08:06 +0200

Ein Jahr Bundesdigitalministerium. Die Bilanz, die sich aus den Zahlen ergibt, ist ernüchternd: Die Länder haben Microsoft im Jahr 2025 rund 191 Millionen Euro überwiesen - 84 Prozent mehr als 2021. Der BMI-Rahmenvertrag liegt bei weiteren 481 Millionen Euro . Oracle kommt allein aus neun Ländern auf über 261 Millionen . Das sind keine Schätzungen. Das sind Zahlen aus parlamentarischen Anfragen.

Gleichzeitig zeigt Schleswig-Holstein, was möglich ist, wenn man aufhört zu warten: Der Standardarbeitsplatz kostet dort heute drei Millionen Euro pro Jahr statt achtzehn. Nicht durch ein Sonderprogramm, nicht durch eine neue Behörde. Durch LibreOffice statt Microsoft Office.

Ein Jahr BMDS: Das Werkzeug liegt bereit, wird aber kaum angefasst

Der IT-Zustimmungsvorbehalt war die große strukturelle Neuerung des ersten Jahres. Das Digitalministerium kann seitdem IT-Projekte anderer Ressorts prüfen und stoppen, bevor neue Abhängigkeiten entstehen. In der Theorie ist das genau das Instrument, das jahrelang gefehlt hat. In der Praxis wurden bisher gerade einmal rund 200 Projekte geprüft - bei einem Bundeshaushalt, der Hunderte von IT-Vorhaben parallel trägt.

Das ist kein Versagen des Ministeriums. Es ist ein Kapazitätsproblem mit struktureller Ursache: Wer jeden Projektstart prüfen will, braucht Kriterien, die das automatisch filtern. Nicht ein Team, das manuell entscheidet. Der Weg führt nicht über mehr Personal, sondern über andere Defaults. Wer Open Source als Standardoption in Ausschreibungsvorlagen setzt, muss proprietäre Entscheidungen aktiv begründen. Dann prüft das System, nicht der Sachbearbeiter.

Golem hat das erste Jahr des Digitalministeriums analysiert und die Lücke zwischen Ankündigung und Umsetzung klar benannt. Was jetzt fehlt, ist die nächste Entscheidung: Vergabedefaults ändern. Nicht in einer Legislatur. In den nächsten sechs Monaten.

Dabei passiert auf der Konzeptebene gerade etwas Wichtiges: Das ZenDiS hat ein Diskussionspapier zu Souveränitätskriterien vorgelegt, das digitale Souveränität messbar machen will. Die OSBA-Stellungnahme begrüßt das, setzt aber einen klaren Punkt: Messbarkeit ohne Verbindlichkeit ist Souveränitätswashing. Wer ein europäisches Rechenzentrum bucht, aber weder Quellcode einsehen noch die Roadmap beeinflussen kann, hat keine Souveränität. Er hat einen anderen Lieferanten.

Das ist die richtige Debatte. Und der Begriff trifft.

Was Schleswig-Holstein beweist

Während Berlin diskutiert, liefert Kiel Zahlen. Die Migration der Landesverwaltung von Microsoft Office auf LibreOffice hat die jährlichen Lizenzkosten für den Standardarbeitsplatz von 18 Millionen auf 3 Millionen Euro gesenkt. Das ist kein Pilotprojekt. Das ist Regelbetrieb.

Die OSB Alliance hat im Mai nachgelegt : Unter dem Titel “Trauen Sie sich, Herr Minister!” benennt sie konkrete Hebel, die heute verfügbar sind - keine neuen Gesetze, keine Haushaltsmittel. EVB-IT Musterverträge , die Open-Source-Beschaffung strukturell bevorzugen; OSS-first Vergabekriterien, die den Beweislastwechsel einleiten; Pflichtmeldung bei Neuverträgen mit denselben Herstellern, die schon die Bestandssysteme dominieren. Das sind Verwaltungshandlungen, keine Gesetzgebung.

Der Einwand, den man an dieser Stelle hört, ist immer derselbe: Das Vergaberecht lasse das nicht zu. Schleswig-Holstein hat es trotzdem gemacht. Zürich testet gerade openDesk im Echtbetrieb . Frankreich hat die DINUM-Toolbox. Die Frage ist nicht, ob es geht. Die Frage ist, wer anfängt.

💡 Drei Millionen statt achtzehn ist kein Proof of Concept. Das ist ein Referenzwert, an dem sich jede neue Beschaffungsentscheidung messen lassen muss.

Europa gibt Rückenwind

Bisher mussten Entscheider:innen in Behörden die Open-Source-Entscheidung gegen den Strom treffen. Das ändert sich strukturell: Die EU hat für den 3. Juni die Verabschiedung des Cloud Alignment and Data Act (CADA) angekündigt - Teil des Tech Sovereignty Package. Die EU gibt derzeit schätzungsweise 264 Milliarden Euro pro Jahr für US-IT-Dienstleistungen aus. CADA verpflichtet öffentliche Auftraggeber, bei neuen Cloud-Verträgen aktiv Alternativen zu prüfen und die Entscheidung zu dokumentieren.

Das ist kein Verbot. Es ist ein Begründungszwang. Wer weiterhin AWS, Azure oder Oracle bucht, muss erklären, warum keine europäische Alternative in Frage kam. Das klingt nach Bürokratie, ist aber das Gegenteil: Es macht die implizite Entscheidung für den Incumbent sichtbar. Und angreifbar.

Für Ministerien und Landesbehörden, die intern ohnehin über Souveränität sprechen, ist CADA eine Entlastung. Die Frage “Darf ich das?” stellt sich dann nicht mehr. Die Frage wird: “Warum haben wir es nicht gemacht?”

Fazit

Mai 2026 in zwei Sätzen: Die Kosten steigen weiter, aber die Beweise, dass es anders geht, liegen auf dem Tisch - mit Namen, Zahlen und Kontaktpersonen. Wer jetzt noch auf eine gesetzliche Erlaubnis wartet, wartet auf etwas, das er nicht braucht.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade eine Ausschreibung vorbereiten und wissen wollen, wie OSS-first Kriterien vergaberechtssicher eingebaut werden: Schreiben Sie mir. Ich denke mit, ohne zu verkaufen.

Souveränität für 15 Prozent Aufschlag. Februar 2025 im E-Government-Rückblick.

Fri, 28 Feb 2025 20:00:00 +0100

Am 23. Februar 2025 wählt Deutschland einen neuen Bundestag. CDU/CSU gewinnt, Friedrich Merz wird designierter Kanzler. Ein eigenständiges Digitalministerium gilt als sicher, die Besetzung ist noch offen. Ebenfalls im Februar: Deutschland hat 2024 mehr Geld an Microsoft gezahlt als je zuvor , über 200 Millionen Euro. Und SAP-Tochter Delos Cloud veröffentlicht ihre Preisliste für die „souveräne" Microsoft-Cloud für die Verwaltung: 15 Prozent Aufschlag auf den deutschen Standardpreis.

Das ist kein Fortschritt beim Thema Abhängigkeit. Das ist Abhängigkeit mit neuem Preisschild.

Der 15-Prozent-Irrtum

Die Idee hinter Delos klingt vernünftig: Microsoft-Produkte aus deutschen Rechenzentren, betrieben von SAP, geprüft vom BSI, rechtlich abgesichert gegen US-Zugriff. SAP-Vorstand Thomas Saueressig spricht von einer „digitalen Festung", Delos-CEO Nikolaus Hagl verspricht, dass die Cloud im Krisenfall „völlig autark weiterläuft". (Tagesspiegel Background, Paywall)

Was das Modell nicht beantwortet: Wer am Ende den Code schreibt, die Roadmap bestimmt und entscheidet, welche Features geliefert werden. Die Antwort ist dieselbe wie bisher: Microsoft. Delos kauft die Technologie ab und betreibt sie. Das ist ein operativer Fortschritt für den Fall einer akuten Krise, aber kein Ausstieg aus der strukturellen Abhängigkeit.

Neue Funktion. Gleicher Hersteller. Einige Monate autarker Betrieb im Krisenfall. Das ist der Wert des Modells. Und der 15-Prozent-Aufschlag ist der Preis dafür. Wer das für digitale Souveränität hält, verwechselt Notfallbetrieb mit Unabhängigkeit.

Dabei ist das Problem nicht neu. Eine PwC-Studie aus dem Jahr 2019 stellte schon damals fest, dass die Bundesverwaltung an vielen Stellen Standard-Produkte kommerzieller Anbieter einsetzt und dabei Abhängigkeiten entstehen, die Informationssicherheit und Flexibilität gefährden. Das Fazit war damals schon klar. Die Zahlen von 2024 zeigen: Es ist seitdem nicht besser, sondern teurer geworden.

Der Pfad aus dieser Situation führt nicht über einen günstigeren oder souveräner verpackten Microsoft-Vertrag. Er führt über andere Beschaffungsentscheidungen bei neuen Projekten. Wer heute ein neues Fachverfahren, eine neue Plattform oder eine neue Infrastrukturkomponente beschafft, hat die Wahl. Wenn die Antwort immer wieder proprietäre Software lautet, liegt das seltener am Vergaberecht und häufiger daran, dass die Ausschreibungskriterien diese Wahl nicht konsequent öffnen.

Was die Praxis liefert

Genau hier setzt ein Papier an, das im Februar wenig Aufmerksamkeit bekommen hat, aber operativ relevant ist: Die Open Source Business Alliance hat am 11. Februar Vergabekriterien für eine nachhaltige Beschaffung von Open Source Software veröffentlicht.

Das Dokument adressiert ein echtes Problem: Öffentliche Auftraggeber, die OSS beschaffen wollen, geraten regelmäßig in eine Dumpingfalle. Das günstigste Angebot gewinnt, aber es stammt oft von Anbietern, die die Software weder entwickeln noch langfristig pflegen. Das Geld fließt nicht an die Community zurück, die Entwicklung stagniert, die Sicherheit leidet. Und am Ende heißt es: „Open Source hat nicht funktioniert."

Das Papier zeigt, wie Vergabekriterien jenseits des Preises gesetzt werden können, um genau das zu verhindern: Qualifikationsanforderungen an Anbieter, Nachweise über Beiträge zur Community, Anforderungen an Wartung und Weiterentwicklung. Das ist kein Manifest. Das ist eine Checkliste für den Einkauf.

💡 Wer diese Kriterien in Ausschreibungen einbaut, trifft keine Grundsatzentscheidung für Open Source. Er stellt sicher, dass das, was er beschafft, auch hält, was es verspricht.

Parallel gewinnt die Diskussion um einen europäischen Technologie-Stack an Kontur. Die Idee: Statt US-Hyperscaler oder kostspieliger nationaler Wrappers eine koordinierte europäische Antwort auf Cloud, KI-Infrastruktur und Basisdienste. Ob das konkret wird, hängt von politischen Entscheidungen ab, die noch nicht getroffen sind. Aber die Richtung stimmt, und sie ist kein Gegensatz zu kurzfristigen Maßnahmen wie Delos, sondern deren sinnvolle Ergänzung.

Nach der Wahl, vor den Entscheidungen

Die OSB Alliance-Analyse der Wahlprogramme ist ein nüchternes Dokument. Ihr wichtigster Satz steht beim CDU/CSU-Kapitel: Open Source Software wird im Wahlprogramm der CDU/CSU an keiner Stelle erwähnt. Bei der SPD ebenfalls nicht.

Die Partei, die die neue Regierung führen wird, hat digitale Souveränität als Ziel formuliert, aber das wichtigste Werkzeug dafür nicht einmal benannt. Das ist keine Katastrophe, aber es ist ein Signal: Wer Open Source in der nächsten Legislatur politisch verankern will, muss das selbst einbringen. Es kommt nicht von allein.

Das Digitalministerium gilt als sicher . Die neue Regierung würde damit ein Ressort schaffen, das es bisher nicht gab. Ein Budget von rund 19 Milliarden Euro für Digitalisierung steht im Raum. Das ist Hebelmasse. Was damit gemacht wird, entscheidet sich in den Beschaffungsregeln, nicht in den Sonntagsreden.

Golem analysiert die strukturellen Probleme treffend: Föderale Zuständigkeitszersplitterung, fehlende zentrale Steuerung, jahrelange Investition in proprietäre Systeme. Das lässt sich nicht per Ministeriumsgründung auflösen. Aber ein Ministerium, das vom ersten Tag an andere Beschaffungsdefaults setzt, kann in vier Jahren etwas verschieben.

Das wäre kein Gesetzesproblem. Das wäre ein Reihenfolge-Problem. Erst Beschaffungskriterien ändern, dann liefern, dann berichten. Nicht umgekehrt.

Fazit

Februar 2025 in zwei Sätzen: Deutschland zahlt Microsoft immer mehr, und die große Lösung kostet 15 Prozent extra. Die Werkzeuge, es anders zu machen, liegen auf dem Tisch. Jetzt braucht es eine Regierung, die sie benutzt.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade vor einer Beschaffungsentscheidung stehen und wissen wollen, wie sich OSS-Kriterien in die Ausschreibung einbauen lassen, ohne das Vergaberecht zu strapazieren: Schreiben Sie mir. Ich denke mit, ohne mitzuverkaufen.

Smart Country Convention: openDesk kündigt sich an. Und die OZG-Uhr tickt. – Oktober 2022 im E-Government-Rückblick.

Mon, 31 Oct 2022 20:00:00 +0100

Die Smart Country Convention 2022 in Berlin bringt E-Government, digitale Souveränität und föderale IT-Architektur auf eine Messe. Für die Szene ist sie der wichtigste Herbsttermin. Was in Berlin präsentiert wird, gibt den Ton für die nächsten Monate vor.

Im Hintergrund nimmt das Projekt für einen souveränen Verwaltungsarbeitsplatz Kontur an. Noch zwei Monate bis zur OZG-Deadline am 31. Dezember.

Was der souveräne Arbeitsplatz jetzt ist und was er werden soll

Die Bundesregierung plant ein Zentrum für Digitale Souveränität der öffentlichen Verwaltung. Die Aufgabe: einen Verwaltungsarbeitsplatz entwickeln, der nicht von US-amerikanischen Softwareanbietern abhängig ist. Die Bezeichnung, die sich durchzusetzen beginnt, ist openDesk.

Das Ziel ist klar. Der Weg dorthin ist es nicht vollständig.

Was openDesk werden soll: eine orchestrierte Zusammenstellung bewährter Open-Source-Software für den Verwaltungseinsatz. Kein proprietärer Lock-in, keine neue Eigenentwicklung von Rädern, die bereits existieren. Nextcloud für Dateispeicherung, Open-Xchange für Groupware, OpenProject für Projektmanagement, Jitsi für Videokonferenz.

Was das voraussetzt: eine Organisation, die diese Komponenten integriert, pflegt, sicher betreibt und bundesweit ausrollt. Das ist das Zentrum für Digitale Souveränität, das in Gründung ist.

Was die SCCON zeigt: Das Interesse ist groß. Behörden, die Microsoft 365 für teures Geld betreiben und gleichzeitig Souveränitätsbedenken haben, suchen Alternativen. Die Frage ist nicht, ob es Bedarf gibt, sondern ob das Angebot rechtzeitig und in ausreichender Qualität entsteht.

Der kritische Zeitplan: openDesk muss als Pilotprodukt 2023 entstehen, damit Behörden 2024 und 2025 in Pilots einsteigen können. Wer mit dem Aufbau der Organisation erst 2023 beginnt, hat keinen Vorlauf für Fehler.

Was SCCON über den Markt zeigt

Die Smart Country Convention ist auch ein GovTech-Markt. Start-ups, IT-Dienstleister und Beratungsunternehmen präsentieren Lösungen für die öffentliche Verwaltung. Was dieser Markt zeigt, ist Doppeltes.

Erstens: Es gibt echte Innovation im GovTech-Segment. Prozessautomatisierung, interoperable Schnittstellen, nutzerorientierte Frontends für Verwaltungsleistungen, Open-Source-Basisdienste. Der Markt ist aktiver als die öffentliche Debatte über Behördendigitalisierung suggeriert.

Zweitens: Die Vergabepraxis erreicht diese Innovation oft nicht. Kleine Unternehmen mit guten Lösungen scheitern an Anforderungen, die für Großprojekte gedacht sind. Referenzvolumen, Kapazitätsnachweise, Zertifizierungspflichten. Das ist kein böser Wille, das ist eine Vergabelogik, die auf Risikominimierung optimiert ist, nicht auf Innovationsoffenheit.

Was sich ändern ließe: § 19 VgV (Vergabeverordnung) erlaubt unter bestimmten Bedingungen, innovativen Unternehmen Zugang zu verschaffen. Was fehlt, ist die routinierte Anwendung. Wer das Vergaberecht kennt, findet dort mehr Spielraum als die meisten Ausschreibungen nutzen.

Zwei Monate bis zur OZG-Deadline

Noch zwei Monate. Was jetzt noch geht: Dienste, die im Testbetrieb sind und bis Dezember in Produktion gehen können, wenn alle Beteiligten Priorität setzen. Was nicht mehr geht: Neuentwicklungen.

Das bedeutet: Der Fokus der nächsten acht Wochen liegt auf Nachnutzung vorhandener EfA-Dienste, nicht auf neuer Entwicklung. Welche Länder haben welche Dienste noch nicht in Betrieb? Wo liegt der konkrete Hinderungsgrund? Geld, Kapazität, politischer Wille?

Diese Analyse jetzt zu machen, ist der erste Schritt für eine ehrliche Bilanz im Januar 2023.

Hat Sie das Thema interessiert?

Wenn digitale Souveränität in Ihrer Behörde kein Abstraktum bleiben soll und Sie konkrete nächste Schritte suchen: Schreiben Sie mir über das Kontaktformular unten.

Digitale Souveränität nach dem Schock. Was jetzt konkret passiert. – März 2022 im E-Government-Rückblick.

Thu, 31 Mar 2022 20:00:00 +0200

Ein Monat nach dem russischen Angriff auf die Ukraine ist die Souveränitätsdebatte in der deutschen Verwaltungs-IT angekommen. Ministerien, Behörden und IT-Dienstleister diskutieren Abhängigkeiten, die vorher als Selbstverständlichkeit galten. Das ist gut. Die Frage ist, ob aus dieser Diskussion Entscheidungen werden, oder ob der Druck nachlässt, bevor die ersten konkreten Schritte getan sind.

Denn Souveränitätsdebatten haben ein bekanntes Muster: Laut, solange der Anlass akut ist. Still, wenn der nächste Quartalsbericht kommt.

Was aus der Souveränitätsdebatte konkret wird

Die Bundesverwaltung nutzt Microsoft-Produkte in erheblichem Umfang . Lizenzen, Infrastruktur, Kollaborationswerkzeuge. Das ist kein Betriebsunfall, sondern das Ergebnis von Beschaffungsentscheidungen über Jahrzehnte, die auf Funktionalität, Preis und Marktdurchdringung optimiert haben. Nicht auf Exit-Optionen.

Der richtige nächste Schritt ist nicht die Kündigung aller Microsoft-Verträge. Das wäre operativ nicht umsetzbar. Der richtige Schritt ist eine Priorisierungsentscheidung: Welche Systeme verarbeiten besonders schützenswerte Daten? Welche davon haben tragfähige europäische oder Open-Source-Alternativen? Diese Systeme sind die Kandidaten für die erste Migrationswelle.

Was dabei hilft: Behörden, die diesen Weg bereits gegangen sind, haben Erkenntnisse, die andere nicht neu erarbeiten müssen. Schleswig-Holstein hat öffentlich dokumentiert, was eine Ablösung von Microsoft-Produkten erfordert. Das ist kein Blaupausen-Dokument, aber ein ehrlicher Erfahrungsbericht. Wer beginnen will, fängt mit solchen Berichten an, nicht mit generischen Souveränitätsstrategien.

Bundescloud: Was existiert und was noch fehlt

Deutschland hat keine leere Infrastrukturlandschaft. Die Bundescloud als Rechenzentrumsinfrastruktur des Bundes existiert. Dataport, ITDZ Berlin und weitere Landes-IT-Dienstleister betreiben eigene Cloud-ähnliche Infrastrukturen unter deutschem Recht.

Was fehlt, ist die Skalierung. Und die Standardisierung. Wer als Behörde von AWS zu einem deutschen Anbieter wechseln will, steht vor dem Problem, dass jeder Anbieter eigene Schnittstellen hat, eigene Servicekataloge, eigene Betriebsmodelle. Der Aufwand für eine Migration ist deshalb nicht nur technisch, sondern auch administrativ erheblich.

Was helfen würde: ein föderaler Rahmen, der definiert, welche Anforderungen eine souveräne Cloud für die öffentliche Verwaltung erfüllen muss, und der mehrere Anbieter zulässt, die denselben Standard erfüllen. Wettbewerb innerhalb eines gemeinsamen Standards ist besser als ein einziger nationaler Anbieter ohne Wettbewerb.

Was die OZG-Umsetzung mit Souveränität zu tun hat

Das OZG schreibt vor, was digitalisiert werden soll, nicht womit. Viele EfA-Dienste (Einer für Alle) laufen auf proprietären Plattformen oder nutzen proprietäre Komponenten. Das ist kurzfristig pragmatisch. Mittelfristig baut es genau die Abhängigkeiten auf, die die Souveränitätsdebatte gerade sichtbar macht.

Der konstruktive Umgang: OZG-Dienste, die neu entwickelt oder neu vergeben werden, sollten Interoperabilität und Austauschbarkeit als Anforderungen enthalten, nicht als Wunschliste. Offene Schnittstellen, standardisierte Datenformate, dokumentierter Quellcode. Das erhöht den Aufwand bei der Erstentwicklung minimal. Es verhindert Lock-in für Jahre.

Wer diese Anforderungen nicht in die Leistungsbeschreibung schreibt, schreibt sie implizit heraus.

Hat Sie das Thema interessiert?

Wenn Cloud-Abhängigkeiten in Ihrer Behörde gerade neu bewertet werden und Sie einen strukturierten nächsten Schritt suchen: Das Kontaktformular unten öffnet die Tür.

Krieg in der Ukraine. Digitale Souveränität in neuem Licht. – Februar 2022 im E-Government-Rückblick.

Mon, 28 Feb 2022 20:00:00 +0100

Am 24. Februar beginnt der russische Angriff auf die Ukraine. Was das für die europäische Sicherheitsarchitektur bedeutet, wird in diesen Tagen intensiv diskutiert. Was es für die digitale Infrastruktur der deutschen öffentlichen Verwaltung bedeutet, wird zunächst weniger laut besprochen. Zu Unrecht.

Die Frage, wer welche Daten öffentlicher Verwaltungen auf welchen Servern unter welchem Rechtsrahmen speichert, war vorher eine Compliance-Frage. Ab jetzt ist sie eine geopolitische.

Was der Ukraine-Krieg für die öffentliche IT-Infrastruktur bedeutet

Die meisten deutschen Bundesbehörden, Länder und Kommunen nutzen Cloud-Dienste oder Software von US-amerikanischen Anbietern: Microsoft 365, AWS, Google Workspace in unterschiedlichen Varianten. Das ist kein Vorwurf. Es sind oft die leistungsfähigsten und am besten unterstützten Lösungen auf dem Markt.

Das Problem ist struktureller Natur. Der CLOUD Act von 2018 erlaubt US-Behörden unter bestimmten Umständen den Zugriff auf Daten von US-Unternehmen, auch wenn diese in Europa gespeichert sind. Das war vorher ein Datenschutzproblem. Im Kontext eines geopolitischen Konflikts wird es zu einer Infrastrukturrisikofrage.

Was öffentliche IT-Verantwortliche jetzt tun können: Das ist nicht der Moment für einen sofortigen Microsoft-Ausstieg. Das wäre operativ nicht umsetzbar und würde mehr Schaden als Nutzen bringen. Der richtige Schritt ist eine ehrliche Inventur: Welche Systeme haben welche Abhängigkeiten? Welche Daten liegen wo? Welche Verträge enthalten Exit-Klauseln? Diese Inventur schafft die Grundlage für einen mittelfristigen Migrationsplan, der machbar ist, statt einen Sofortausstieg, der es nicht ist.

Was GAIA-X dazu beitragen kann und was nicht

GAIA-X ist die europäische Antwort auf US-Cloud-Dominanz. Oder zumindest soll es das sein. Das Konsortium aus europäischen Unternehmen, Forschungseinrichtungen und Behörden arbeitet an einem Framework für einen europäischen Datenraum, der europäisches Recht respektiert.

Das Problem: GAIA-X ist ein Framework, keine Cloud. Es definiert Standards und Zertifizierungsprozesse, betreibt aber keine Infrastruktur. Wer eine sichere Alternative zu AWS braucht, findet in GAIA-X keinen Anbieter, sondern eine Spezifikation, die europäische Anbieter erfüllen können, wenn sie wollen.

Das ist nicht wertlos. Ein gemeinsamer Standard, der europäische Datenschutzregeln operationalisiert und Herstellerabhängigkeiten dokumentiert, ist eine Grundlage für informiertere Beschaffungsentscheidungen. Aber er ist kein Schnellschuss-Ersatz für AWS und Azure.

Was hilft: Der Fokus auf konkrete Bundescloud-Alternativen, also Rechenzentrumkapazitäten, die unter deutschem oder europäischem Recht operieren und für Verwaltungsdaten geeignet sind. Die BWI und die Infrastrukturen von Dataport oder ITDZ Berlin zeigen, dass solche Alternativen existieren. Was fehlt, ist der politische Wille, sie systematisch zu skalieren.

Was das für die nächste Beschaffungsentscheidung bedeutet

Wer gerade eine IT-Beschaffung vorbereitet, sollte zwei Fragen ergänzen, die bisher optional waren.

Erstens: Unter welchem Rechtsrahmen operieren Daten, die in diesem System verarbeitet werden? DSGVO-Konformität allein reicht nicht mehr als Antwort. Der CLOUD Act und ähnliche Drittstaaten-Zugriffsgesetze sind ein eigenes Risikofeld.

Zweitens: Wie sieht der Exit-Plan aus? Nicht als theoretische Option, sondern als konkrete Beschreibung, wie Daten und Prozesse in ein anderes System überführt werden könnten, wenn nötig. Wer das heute nicht beschreiben kann, hat sich in eine Abhängigkeit manövriert, die nicht zwangsläufig teuer war, aber im Ernstfall teuer wird.

Diese Fragen jetzt zu stellen, ist kein Panikmodus. Es ist Infrastruktur-Hygiene, die aus guten Gründen jetzt auf der Agenda steht.

Hat Sie das Thema interessiert?

Wenn die Souveränitätsfrage für Ihre IT-Infrastruktur gerade konkret wird und Sie einen Austausch suchen, der nicht mit einem Produkt endet: Das Kontaktformular unten ist der schnellste Weg zu mir.

Nach Schrems II: Cloud-Souveränität wird operativ. – August 2020 im E-Government-Rückblick.

Mon, 31 Aug 2020 20:00:00 +0200

Ein Monat nach dem Schrems-II-Urteil. Was ist passiert? Wenig Konkretes. Viel Diskussion.

Datenschutzbehörden haben Stellungnahmen veröffentlicht, die im Kern bestätigen, was das Urteil sagt: Datenübermittlungen in die USA ohne angemessene Schutzmaßnahmen sind rechtswidrig. Konkrete Sanktionen: noch nicht. Konkrete Handlungsanleitungen: begrenzt.

Microsoft hat angekündigt, Datenspeicherung und Verarbeitung in Europa ausbauen zu wollen. Was das bedeutet: Die Daten könnten in Frankfurt oder Amsterdam liegen, aber der Anbieter bleibt ein US-Unternehmen, das dem CLOUD Act unterliegt. Europäische Server lösen das Schrems-II-Problem strukturell nicht.

Was Behörden jetzt wirklich tun können

Die Frage, die nach Schrems II alle beschäftigt, ist praktisch: Was tue ich jetzt, am Montag, mit meinen Microsoft-Verträgen?

Die pragmatische Antwort: Nichts Überstürztes. Schrems II hat keine Übergangsfrist definiert. Datenschutzbehörden haben angekündigt, Beschwerden nachzugehen, nicht proaktiv alle Behörden zu prüfen. Es gibt Zeit für eine geordnete Strategie.

Was eine geordnete Strategie erfordert: Erstens eine Datenklassifikation. Welche Daten verarbeite ich in welchen Systemen? Sensible Kategorien (Gesundheit, Sozialdaten, Personalakten) sind sofort priorisiert, andere können warten. Zweitens eine Alternativenbewertung für die priorisierten Systeme. Was gibt es in Europa? Was kann von GAIA-X -zertifizierten Anbietern bezogen werden? Drittens ein Migrationspfad, der in Jahren, nicht Wochen denkt.

Wer all das in einem Monat abschließen will, scheitert. Wer es in drei Jahren plant, schafft es.

Was an Microsoft-Kritik fair ist und was nicht

Die Kritik an Microsoft nach Schrems II ist manchmal schärfer als berechtigt. Microsoft ist kein böser Akteur. Es ist ein US-Unternehmen, das US-Recht unterliegt. Dass der CLOUD Act US-Behörden Datenzugriff erlaubt, ist eine Konsequenz der US-Rechtslage, nicht einer Kooperationsbereitschaft von Microsoft.

Was fair zu kritisieren ist: Der Lock-in, den Microsoft-Produkte in vielen Verwaltungen erzeugt haben. Wer 20 Jahre auf Microsoft-Produkten aufgebaut hat, kann nicht in zwei Jahren migrieren, auch wenn er das wollte. Dieser Lock-in ist das eigentliche Problem, nicht Microsoft als Anbieter.

Was das für Beschaffungsentscheidungen heute bedeutet: Jede neue Lösung, die eingeführt wird, sollte ein dokumentiertes Exit-Szenario enthalten. Nicht als Drohung gegen den Anbieter, sondern als Sicherheitsnetz gegen zukünftige Rechtsentwicklungen, die niemand vorhersagen kann.

Hat Sie das Thema interessiert?

Wenn Sie eine Cloud-Strategie entwickeln, die Schrems-II-konform und operativ machbar ist: Über das Kontaktformular unten bin ich erreichbar.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.