Vendor-Lock-In on Dr. Christian Knebel

Schleswig-Holstein macht es für drei Millionen. Mai 2026 im E-Government-Rückblick.

Sun, 31 May 2026 12:08:06 +0200

Ein Jahr Bundesdigitalministerium. Die Bilanz, die sich aus den Zahlen ergibt, ist ernüchternd: Die Länder haben Microsoft im Jahr 2025 rund 191 Millionen Euro überwiesen - 84 Prozent mehr als 2021. Der BMI-Rahmenvertrag liegt bei weiteren 481 Millionen Euro . Oracle kommt allein aus neun Ländern auf über 261 Millionen . Das sind keine Schätzungen. Das sind Zahlen aus parlamentarischen Anfragen.

Gleichzeitig zeigt Schleswig-Holstein, was möglich ist, wenn man aufhört zu warten: Der Standardarbeitsplatz kostet dort heute drei Millionen Euro pro Jahr statt achtzehn. Nicht durch ein Sonderprogramm, nicht durch eine neue Behörde. Durch LibreOffice statt Microsoft Office.

Ein Jahr BMDS: Das Werkzeug liegt bereit, wird aber kaum angefasst

Der IT-Zustimmungsvorbehalt war die große strukturelle Neuerung des ersten Jahres. Das Digitalministerium kann seitdem IT-Projekte anderer Ressorts prüfen und stoppen, bevor neue Abhängigkeiten entstehen. In der Theorie ist das genau das Instrument, das jahrelang gefehlt hat. In der Praxis wurden bisher gerade einmal rund 200 Projekte geprüft - bei einem Bundeshaushalt, der Hunderte von IT-Vorhaben parallel trägt.

Das ist kein Versagen des Ministeriums. Es ist ein Kapazitätsproblem mit struktureller Ursache: Wer jeden Projektstart prüfen will, braucht Kriterien, die das automatisch filtern. Nicht ein Team, das manuell entscheidet. Der Weg führt nicht über mehr Personal, sondern über andere Defaults. Wer Open Source als Standardoption in Ausschreibungsvorlagen setzt, muss proprietäre Entscheidungen aktiv begründen. Dann prüft das System, nicht der Sachbearbeiter.

Golem hat das erste Jahr des Digitalministeriums analysiert und die Lücke zwischen Ankündigung und Umsetzung klar benannt. Was jetzt fehlt, ist die nächste Entscheidung: Vergabedefaults ändern. Nicht in einer Legislatur. In den nächsten sechs Monaten.

Dabei passiert auf der Konzeptebene gerade etwas Wichtiges: Das ZenDiS hat ein Diskussionspapier zu Souveränitätskriterien vorgelegt, das digitale Souveränität messbar machen will. Die OSBA-Stellungnahme begrüßt das, setzt aber einen klaren Punkt: Messbarkeit ohne Verbindlichkeit ist Souveränitätswashing. Wer ein europäisches Rechenzentrum bucht, aber weder Quellcode einsehen noch die Roadmap beeinflussen kann, hat keine Souveränität. Er hat einen anderen Lieferanten.

Das ist die richtige Debatte. Und der Begriff trifft.

Was Schleswig-Holstein beweist

Während Berlin diskutiert, liefert Kiel Zahlen. Die Migration der Landesverwaltung von Microsoft Office auf LibreOffice hat die jährlichen Lizenzkosten für den Standardarbeitsplatz von 18 Millionen auf 3 Millionen Euro gesenkt. Das ist kein Pilotprojekt. Das ist Regelbetrieb.

Die OSB Alliance hat im Mai nachgelegt : Unter dem Titel “Trauen Sie sich, Herr Minister!” benennt sie konkrete Hebel, die heute verfügbar sind - keine neuen Gesetze, keine Haushaltsmittel. EVB-IT Musterverträge , die Open-Source-Beschaffung strukturell bevorzugen; OSS-first Vergabekriterien, die den Beweislastwechsel einleiten; Pflichtmeldung bei Neuverträgen mit denselben Herstellern, die schon die Bestandssysteme dominieren. Das sind Verwaltungshandlungen, keine Gesetzgebung.

Der Einwand, den man an dieser Stelle hört, ist immer derselbe: Das Vergaberecht lasse das nicht zu. Schleswig-Holstein hat es trotzdem gemacht. Zürich testet gerade openDesk im Echtbetrieb . Frankreich hat die DINUM-Toolbox. Die Frage ist nicht, ob es geht. Die Frage ist, wer anfängt.

💡 Drei Millionen statt achtzehn ist kein Proof of Concept. Das ist ein Referenzwert, an dem sich jede neue Beschaffungsentscheidung messen lassen muss.

Europa gibt Rückenwind

Bisher mussten Entscheider:innen in Behörden die Open-Source-Entscheidung gegen den Strom treffen. Das ändert sich strukturell: Die EU hat für den 3. Juni die Verabschiedung des Cloud Alignment and Data Act (CADA) angekündigt - Teil des Tech Sovereignty Package. Die EU gibt derzeit schätzungsweise 264 Milliarden Euro pro Jahr für US-IT-Dienstleistungen aus. CADA verpflichtet öffentliche Auftraggeber, bei neuen Cloud-Verträgen aktiv Alternativen zu prüfen und die Entscheidung zu dokumentieren.

Das ist kein Verbot. Es ist ein Begründungszwang. Wer weiterhin AWS, Azure oder Oracle bucht, muss erklären, warum keine europäische Alternative in Frage kam. Das klingt nach Bürokratie, ist aber das Gegenteil: Es macht die implizite Entscheidung für den Incumbent sichtbar. Und angreifbar.

Für Ministerien und Landesbehörden, die intern ohnehin über Souveränität sprechen, ist CADA eine Entlastung. Die Frage “Darf ich das?” stellt sich dann nicht mehr. Die Frage wird: “Warum haben wir es nicht gemacht?”

Fazit

Mai 2026 in zwei Sätzen: Die Kosten steigen weiter, aber die Beweise, dass es anders geht, liegen auf dem Tisch - mit Namen, Zahlen und Kontaktpersonen. Wer jetzt noch auf eine gesetzliche Erlaubnis wartet, wartet auf etwas, das er nicht braucht.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade eine Ausschreibung vorbereiten und wissen wollen, wie OSS-first Kriterien vergaberechtssicher eingebaut werden: Schreiben Sie mir. Ich denke mit, ohne zu verkaufen.

500 Milliarden, 0,5 Prozent. März 2025 im E-Government-Rückblick.

Mon, 31 Mar 2025 20:00:00 +0200

Am 12. März startete die Deutsche Verwaltungscloud (DVC) in den Produktivbetrieb . Ina-Maria Ulbrich, Vorsitzende des IT-Planungsrats, sprach von einem „Meilenstein für die digitale Souveränität". In den Koalitionsverhandlungen zwischen CDU/CSU und SPD kursierte zeitgleich ein Zwischenstand der AG Digitales , der Deutschland-Stack, Once-Only und eine mögliche „Deutsche Digitalservice Einheit" skizzierte – und beim Thema Open Source eine auffällige Leerstelle hinterließ. Der Bundestag verabschiedete außerdem mit der alten Mehrheit das Sondervermögen Infrastruktur über 500 Milliarden Euro. Digitalisierung soll einen Teil davon bekommen. Wie viel: offen.

März 2025 ist der Monat vor dem Neustart. Was er zeigt, ist lehrreich.

Die DVC ist live. Die Frage bleibt offen.

Der Produktivstart der Deutschen Verwaltungscloud ist tatsächlich ein Fortschritt. Vier Jahre nach dem Beschluss des IT-Planungsrats zur Stärkung der digitalen Souveränität steht ein Marktplatz für Cloud-Dienste, über den Bund, Länder und Kommunen Angebote verschiedener Anbieter flexibel abrufen können sollen. Das ist keine Selbstverständlichkeit im föderalen Betrieb. Ein funktionierender Marktplatz, der Anbieterwechsel strukturell ermöglicht, ist genau das Instrument, das verhindert, dass eine Cloud-Entscheidung zur Einbahnstraße wird.

Die offene Frage, die der Start nicht beantwortet: Was ist hier eigentlich souverän? Netzpolitik hat sie gestellt und die Antwort der Bundesregierung analysiert. Die IT-Planungsrats-Definition von „Souveränität" schließt Vendor-Lock-in-Vermeidung explizit nicht ein. Eine Exit-Strategie gilt als Kann-Bedingung, nicht als Muss. Und die Integration proprietärer Angebote, etwa über sogenannte Integratoren, die Microsoft-Dienste nach DVC-Standards konfigurieren, ist ausdrücklich vorgesehen.

Das ist das bekannte Muster: Man nennt einen Rahmen souverän, weil er technisch in Deutschland betrieben wird – nicht, weil man ihn verlassen könnte. Die Delos-Cloud-Debatte der Vorjahre zeigt, wohin das führt: Microsoft bleibt, der Standort wechselt. Das ist kein Souveränitätsgewinn, das ist ein Repositionierungsgewinn für Anbieter, die das Narrativ übernehmen.

Der Weg wäre ein anderer: Die DVC-Finanzierungsentscheidung, die der IT-Planungsrat im März in Hannover traf, hätte der richtige Moment gewesen, Souveränität als Vertragsanforderung zu verankern – mit konkreten Interoperabilitätsstandards, die Open-Source-Basis voraussetzen, und einer Exit-Strategie, die als Mindestanforderung gilt, nicht als Bonus. Schleswig-Holstein hat diesen Anspruch bereits formuliert : Wer keine Exit-Option hat, hat keine Souveränität. Das ist kein Purismus, das ist Beschaffungshygiene.

0,5 Prozent – und 50 sollen es werden

Das andere Bild des März stammt aus den Koalitionsverhandlungen. Die OSB Alliance analysiert den Zwischenstand der AG Digitales und benennt, was zwischen den Zeilen steht: Der Open-Source-Anteil an den Bundesausgaben für Software-Entwicklung und Dienstleistungen lag in der vergangenen Legislaturperiode bei etwa 0,5 Prozent des Gesamthaushalts. Die SPD will diesen Anteil bis 2029 auf 50 Prozent heben. Die CDU will „ambitionierte Zielmarken definieren". Das klingt nach einer inhaltlichen Differenz. Es ist eine kategoriale: eine Seite beschreibt eine Marke, die andere beschreibt einen Prozess.

Zum Kontext: Der Bund hat Rahmenverträge über 4,8 Milliarden Euro mit Oracle abgeschlossen. Für Microsoft-Lizenzen und Schulungen wurden 1,3 Milliarden Euro vertraglich gebunden. Das ZenDiS-Budget, das genau die Open-Source-Alternative aufbauen soll, wurde im Haushalt 2024 von knapp 50 Millionen Euro auf 24,7 Millionen Euro halbiert. Wer in dieser Ausgangslage nur „Zielmarken definieren" will, ohne Institutionen, Budgets und Zeitrahmen zu benennen, beschreibt keine Digitalpolitik, er beschreibt eine Absichtserklärung.

Was fehlt, ist das, was die DMK in ihrer Sondersitzung Ende März als Kernbedingung formuliert (Tagesspiegel Background, Paywall): ein zentrales Digitalbudget mit echten Durchgriffsrechten. Nicht als Schönheitsoperation für das Organigramm, sondern als haushaltliche Steuerungsfunktion. Wer das IT-Budget der Bundesverwaltung nicht genehmigen muss, kann den Open-Source-Anteil nicht steuern. Das ist kein Politikproblem, das ist ein Mechanikproblem.

💡 Der Unterschied zwischen 0,5 und 50 Prozent lässt sich nicht durch Zielmarken schließen. Er lässt sich durch Rahmenvertragslogik schließen: Wer die nächsten Bundesrahmenverträge schreibt, entscheidet über die Ausgangslage in vier Jahren.

Das wäre kein Gesetzgebungsproblem. Das wäre eine Beschaffungsentscheidung, die ein Digitalministerium mit Digitalbudget treffen kann – wenn es den Willen dazu hat und die Mandat-Klarheit bekommt, die im März noch nicht existierte. Die Agora Digitale Transformation hatte in einem gleichzeitig erschienenen Papier genau das gefordert: eine Digitalagentur als operativer Arm, der Rahmenverträge steuert, nicht nur Konzepte schreibt.

Fazit

März 2025: Die DVC lebt, das Sondervermögen ist beschlossen, die Koalitionspositionen liegen auf dem Tisch. Und Souveränität bleibt das, was sie in Deutschland oft ist: ein Begriff, über den man sich einig ist, bevor man klärt, was er konkret bedeutet.

Die nächsten Wochen entscheiden, ob das Digitalministerium als echtes Steuerungsinstrument in den Koalitionsvertrag kommt oder als Schaufenster. Der Unterschied liegt nicht im Namen, er liegt im Budget.

Hat Sie das Thema interessiert?

Sie stehen vor einer Beschaffungsentscheidung, bei der die Frage „proprietär oder offen" mehr als eine Grundsatzfrage ist – und suchen jemanden, der die Konsequenzen in beide Richtungen kennt? Schreiben Sie mich an!

Souveränität für 15 Prozent Aufschlag. Februar 2025 im E-Government-Rückblick.

Fri, 28 Feb 2025 20:00:00 +0100

Am 23. Februar 2025 wählt Deutschland einen neuen Bundestag. CDU/CSU gewinnt, Friedrich Merz wird designierter Kanzler. Ein eigenständiges Digitalministerium gilt als sicher, die Besetzung ist noch offen. Ebenfalls im Februar: Deutschland hat 2024 mehr Geld an Microsoft gezahlt als je zuvor , über 200 Millionen Euro. Und SAP-Tochter Delos Cloud veröffentlicht ihre Preisliste für die „souveräne" Microsoft-Cloud für die Verwaltung: 15 Prozent Aufschlag auf den deutschen Standardpreis.

Das ist kein Fortschritt beim Thema Abhängigkeit. Das ist Abhängigkeit mit neuem Preisschild.

Der 15-Prozent-Irrtum

Die Idee hinter Delos klingt vernünftig: Microsoft-Produkte aus deutschen Rechenzentren, betrieben von SAP, geprüft vom BSI, rechtlich abgesichert gegen US-Zugriff. SAP-Vorstand Thomas Saueressig spricht von einer „digitalen Festung", Delos-CEO Nikolaus Hagl verspricht, dass die Cloud im Krisenfall „völlig autark weiterläuft". (Tagesspiegel Background, Paywall)

Was das Modell nicht beantwortet: Wer am Ende den Code schreibt, die Roadmap bestimmt und entscheidet, welche Features geliefert werden. Die Antwort ist dieselbe wie bisher: Microsoft. Delos kauft die Technologie ab und betreibt sie. Das ist ein operativer Fortschritt für den Fall einer akuten Krise, aber kein Ausstieg aus der strukturellen Abhängigkeit.

Neue Funktion. Gleicher Hersteller. Einige Monate autarker Betrieb im Krisenfall. Das ist der Wert des Modells. Und der 15-Prozent-Aufschlag ist der Preis dafür. Wer das für digitale Souveränität hält, verwechselt Notfallbetrieb mit Unabhängigkeit.

Dabei ist das Problem nicht neu. Eine PwC-Studie aus dem Jahr 2019 stellte schon damals fest, dass die Bundesverwaltung an vielen Stellen Standard-Produkte kommerzieller Anbieter einsetzt und dabei Abhängigkeiten entstehen, die Informationssicherheit und Flexibilität gefährden. Das Fazit war damals schon klar. Die Zahlen von 2024 zeigen: Es ist seitdem nicht besser, sondern teurer geworden.

Der Pfad aus dieser Situation führt nicht über einen günstigeren oder souveräner verpackten Microsoft-Vertrag. Er führt über andere Beschaffungsentscheidungen bei neuen Projekten. Wer heute ein neues Fachverfahren, eine neue Plattform oder eine neue Infrastrukturkomponente beschafft, hat die Wahl. Wenn die Antwort immer wieder proprietäre Software lautet, liegt das seltener am Vergaberecht und häufiger daran, dass die Ausschreibungskriterien diese Wahl nicht konsequent öffnen.

Was die Praxis liefert

Genau hier setzt ein Papier an, das im Februar wenig Aufmerksamkeit bekommen hat, aber operativ relevant ist: Die Open Source Business Alliance hat am 11. Februar Vergabekriterien für eine nachhaltige Beschaffung von Open Source Software veröffentlicht.

Das Dokument adressiert ein echtes Problem: Öffentliche Auftraggeber, die OSS beschaffen wollen, geraten regelmäßig in eine Dumpingfalle. Das günstigste Angebot gewinnt, aber es stammt oft von Anbietern, die die Software weder entwickeln noch langfristig pflegen. Das Geld fließt nicht an die Community zurück, die Entwicklung stagniert, die Sicherheit leidet. Und am Ende heißt es: „Open Source hat nicht funktioniert."

Das Papier zeigt, wie Vergabekriterien jenseits des Preises gesetzt werden können, um genau das zu verhindern: Qualifikationsanforderungen an Anbieter, Nachweise über Beiträge zur Community, Anforderungen an Wartung und Weiterentwicklung. Das ist kein Manifest. Das ist eine Checkliste für den Einkauf.

💡 Wer diese Kriterien in Ausschreibungen einbaut, trifft keine Grundsatzentscheidung für Open Source. Er stellt sicher, dass das, was er beschafft, auch hält, was es verspricht.

Parallel gewinnt die Diskussion um einen europäischen Technologie-Stack an Kontur. Die Idee: Statt US-Hyperscaler oder kostspieliger nationaler Wrappers eine koordinierte europäische Antwort auf Cloud, KI-Infrastruktur und Basisdienste. Ob das konkret wird, hängt von politischen Entscheidungen ab, die noch nicht getroffen sind. Aber die Richtung stimmt, und sie ist kein Gegensatz zu kurzfristigen Maßnahmen wie Delos, sondern deren sinnvolle Ergänzung.

Nach der Wahl, vor den Entscheidungen

Die OSB Alliance-Analyse der Wahlprogramme ist ein nüchternes Dokument. Ihr wichtigster Satz steht beim CDU/CSU-Kapitel: Open Source Software wird im Wahlprogramm der CDU/CSU an keiner Stelle erwähnt. Bei der SPD ebenfalls nicht.

Die Partei, die die neue Regierung führen wird, hat digitale Souveränität als Ziel formuliert, aber das wichtigste Werkzeug dafür nicht einmal benannt. Das ist keine Katastrophe, aber es ist ein Signal: Wer Open Source in der nächsten Legislatur politisch verankern will, muss das selbst einbringen. Es kommt nicht von allein.

Das Digitalministerium gilt als sicher . Die neue Regierung würde damit ein Ressort schaffen, das es bisher nicht gab. Ein Budget von rund 19 Milliarden Euro für Digitalisierung steht im Raum. Das ist Hebelmasse. Was damit gemacht wird, entscheidet sich in den Beschaffungsregeln, nicht in den Sonntagsreden.

Golem analysiert die strukturellen Probleme treffend: Föderale Zuständigkeitszersplitterung, fehlende zentrale Steuerung, jahrelange Investition in proprietäre Systeme. Das lässt sich nicht per Ministeriumsgründung auflösen. Aber ein Ministerium, das vom ersten Tag an andere Beschaffungsdefaults setzt, kann in vier Jahren etwas verschieben.

Das wäre kein Gesetzesproblem. Das wäre ein Reihenfolge-Problem. Erst Beschaffungskriterien ändern, dann liefern, dann berichten. Nicht umgekehrt.

Fazit

Februar 2025 in zwei Sätzen: Deutschland zahlt Microsoft immer mehr, und die große Lösung kostet 15 Prozent extra. Die Werkzeuge, es anders zu machen, liegen auf dem Tisch. Jetzt braucht es eine Regierung, die sie benutzt.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade vor einer Beschaffungsentscheidung stehen und wissen wollen, wie sich OSS-Kriterien in die Ausschreibung einbauen lassen, ohne das Vergaberecht zu strapazieren: Schreiben Sie mir. Ich denke mit, ohne mitzuverkaufen.

481 Millionen Euro für Microsoft. Dann kam DeepSeek. – Januar 2025 im E-Government-Rückblick.

Fri, 31 Jan 2025 20:00:00 +0100

Die Open Source Business Alliance veröffentlicht im Januar eine Zahl aus einer Bundestagsanfrage: 481,1 Millionen Euro hat die Bundesverwaltung 2024 für Microsoft-Lizenzen ausgegeben. 38 Prozent mehr als im Vorjahr. Am 20. Januar, dem Tag der Trump-Inauguration, erscheint DeepSeek R1: ein chinesisches Open-Source-Sprachmodell auf GPT-4-Niveau, trainiert für einen Bruchteil der üblichen Kosten, frei verfügbar und lokal betreibbar.

Zwei Nachrichten, ein Monat. Beide beschreiben dasselbe Problem von entgegengesetzten Seiten.

Was 481 Millionen wirklich bedeuten

Die Zahl ist kein Skandal. Sie ist ein Systemzustand.

Die Microsoft-Lizenzkosten der Bundesverwaltung sind in einem Jahr um 38 Prozent gestiegen – nicht weil die Nutzerzahl gewachsen wäre, sondern weil die Abhängigkeit so tief ist, dass kaum Verhandlungsmacht bleibt. Für 2026 sind weitere Preissteigerungen angekündigt . OSBA-Vorstandsvorsitzender Peter Ganten bringt es auf den Punkt: „Geld, das in die Lizenzen eines Konzerns fließt, fehlt für Lösungen, die gezielt auf die Bedürfnisse der Verwaltung zugeschnitten sind."

Die Delos Cloud war die Antwort auf genau dieses Unbehagen: eine „souveräne" Lösung, gebaut auf SAP- und Microsoft-Infrastruktur, mit deutschem Rechenzentrum. Im Januar räumt das Innenministerium Baden-Württembergs ein, was Fachleute seit Langem beobachten: Zugriffe durch Drittstaaten können nicht ausgeschlossen werden . Der Grund ist nicht die Hardware, sondern das Recht. Der CLOUD Act verpflichtet US-Unternehmen , auf behördliche Anordnung Daten herauszugeben – unabhängig davon, wo die Server stehen. Ein Microsoft-Frankreich-Direktor hat das im Juni 2024 unter Eid bestätigt: Er könne nicht garantieren, dass Daten französischer Behörden niemals ohne deren Zustimmung an die US-Regierung gehen.

Keine Architektur, kein Vertrag, kein nationales Rechenzentrum ändert daran etwas. Das ist kein technisches Problem. Das ist ein rechtliches. Und es macht eine ganze Klasse von „Souveränitätslösungen" strukturell wirkungslos.

Was hilft? Nicht das nächste Zertifikat für ein US-Produkt mit deutschem Label. Sondern die sachliche Frage, für welche Daten US-abhängige Infrastruktur überhaupt akzeptabel ist. Für unkritische Workloads kann das eine pragmatische Antwort sein. Für klassifizierte Verwaltungsvorgänge, Sicherheitsbehörden und kritische Infrastruktur ist es das nicht. Die Datenkategorie zieht die Grenze – nicht der Vertragstext.

Was DeepSeek mit Souveränität zu tun hat

Am 20. Januar erscheint DeepSeek R1 : ein chinesisches Open-Source-Sprachmodell, das in Benchmarks mit GPT-4 und Claude mithalten kann und dabei nach eigenen Angaben für einen Bruchteil der bisherigen Trainingskosten entwickelt wurde. Trump bezeichnet es als „Weckruf" für die US-KI-Industrie. An der Wall Street bricht der Nvidia-Kurs ein.

In der deutschen Verwaltungsdigitalisierungsdiskussion löst das vor allem eine Frage aus: Kann man einem chinesischen Modell vertrauen? Die Frage ist nicht falsch. Sie übersieht aber den wichtigeren Punkt.

Dass ein leistungsfähiges Open-Source-Modell existiert, bedeutet: Es lässt sich lokal betreiben. Auf eigener Infrastruktur. Ohne Hyperscaler. Ohne US-Rechenzentrum. Ohne CLOUD-Act-Risiko. Die Bedeutung von DeepSeek für die digitale Souveränität liegt nicht darin, ob man es einsetzt, sondern darin, was es beweist: Dass die technische Architektur moderner KI keine Milliardenpipeline nach Redmond oder Seattle braucht.

Das ist dieselbe Logik wie bei VMware. Nachdem Broadcom die Preise nach der Übernahme drastisch erhöht hatte, haben europäische Cloud-Anbieter begonnen, auf Open-Source-Alternativen zu migrieren. Das österreichische Unternehmen Anexia hat 12.000 virtuelle Maschinen umgestellt . Der Schmerz war real. Die Migration auch. Am Ende lief die Infrastruktur – auf offenen Systemen.

💡 Souveränität entsteht nicht durch Bekenntnis, sondern durch laufende Systeme.

Open Source als Betriebsmodell hat dort funktioniert, wo proprietäre Preispolitik den Anstoß gab. Das sollte kein Zufall sein, sondern Strategie.

Was trotzdem vorangeht

Deutschland ist im Januar 2025 ein Land im Vorwahlmodus. Die Regierung agiert geschäftsführend, die Koalitionsverhandlungen für den Koalitionsvertrag liegen noch vor uns. Trotzdem passieren Dinge.

Berlin bereitet den Einsatz von openDesk in der Verwaltung vor, dem Open-Source-Arbeitsplatz von ZenDiS. Schleswig-Holstein veröffentlicht ein Impulspapier zum Deutschland-Stack mit konkreten Vorschlägen, wie ein föderaler Technologiestapel mit Open-Source-Kern aussehen könnte.

Und das Bundeskabinett beschließt die rechtliche Grundlage für NOOTS, das Nationale Once-Only Technical System : die föderale Dateninfrastruktur, mit der Bürger:innen staatlichen Stellen einmal gemeldete Daten nicht immer wieder neu übermitteln müssen. Das klingt nach Selbstverständlichkeit. In der deutschen Föderalstruktur ist es ein jahrzehntelanger Kampf – an dem in einem politisch schwergewichtigen Monat trotzdem ein weiterer Schritt gelingt.

Der Weg ist nicht neu. Er wird nur endlich genommen.

Fazit

Januar 2025 in zwei Sätzen: Die Kosten der Abhängigkeit sind sichtbar geworden. Und die Alternativen auch.

481 Millionen Euro Lizenzgebühren zeigen, wohin ein Jahrzehnt ohne Ausstiegsstrategie führt. DeepSeek zeigt, dass Open Source als ernsthaftes Betriebsmodell funktioniert. Und wer die Delos-Diskussion ehrlich führt, landet bei einer simplen Erkenntnis: Souveränität ist keine Produktkategorie. Sie ist eine Beschaffungsentscheidung.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade vor der Frage stehen, welche Cloud-Abhängigkeiten ein echtes Souveränitätsrisiko darstellen und welche nicht – und einen Gesprächspartner suchen, der diese Abwägung ohne Verkaufsinteresse kennt: Schreiben Sie mich an.

Draghi rechnet ab. Schleswig-Holstein liefert. – September 2024 im E-Government-Rückblick.

Mon, 30 Sep 2024 20:00:00 +0200

Am 9. September 2024 veröffentlicht Mario Draghi seinen Bericht zur Zukunft der EU-Wettbewerbsfähigkeit . 400 Seiten, eine Investitionslücke von 800 Milliarden Euro jährlich und ein klares Urteil: Europa ist im Bereich digitaler Technologien von wenigen Lieferanten abhängig und handelt nicht, als wäre das ein Problem. Zur gleichen Zeit gibt Schleswig-Holsteins Digitalminister Dirk Schrödter in einem Brief an alle Landesbediensteten zu, dass die Open-Source-Migration Probleme hatte. Und setzt sie fort.

Zwei Aussagen, beide ungemütlich, beide notwendig.

Was Draghi sagt und was es für die Verwaltungsdigitalisierung bedeutet

Draghis Bericht ist kein digitalpolitisches Dokument im engeren Sinne. Er ist ein Wettbewerbsdiagnose-Bericht, der digitale Abhängigkeit als strukturelles Risiko behandelt. Die Schlussfolgerung ist ernüchternd: Europa ist besonders anfällig bei kritischen Rohstoffen und digitalen Technologien. Die Verwaltungsinfrastruktur kommt im Bericht nicht mit Namen vor. Die Beschaffungsmuster der deutschen Bundesverwaltung sind aber ein Lehrbuchbeispiel für das, was Draghi kritisiert.

800 Milliarden Euro Investitionslücke pro Jahr. Das ist die Größenordnung, die Europa benötigt, um mit den USA und China mitzuhalten. Ein Teil dieser Lücke betrifft digitale Infrastruktur. Wer sich die Verwaltungs-IT ansieht, die seit Jahrzehnten auf proprietären US-Systemen läuft, versteht, wo die Lücke entsteht: nicht im fehlenden Geld, sondern im fehlenden Willen, Geld in europäische Alternativen zu lenken.

Was bedeutet das konkret für Bund und Länder? Beschaffungsentscheidungen der nächsten Jahre. Jede Behörde, die jetzt Infrastrukturverträge neu verhandelt, sollte den Draghi-Bericht auf dem Tisch haben. Nicht als Argument für Schlussfolgerungen, die ohnehin gezogen werden. Sondern als Argument dafür, dass Abweichungen von der Standard-US-Infrastruktur keine ideologische Entscheidung sind, sondern eine wirtschaftspolitisch gebotene.

Das lässt sich übersetzen. Schlüsselwort ist Präferenz bei Gleichwertigkeit: europäische Anbieter und Open-Source-Lösungen als erste Wahl, wenn die Leistung vergleichbar ist. Das ist kein Vergaberecht-Umbau, das ist eine Beschaffungspolitik-Frage.

Schleswig-Holstein: Probleme zugeben, Migration fortsetzen

Schleswig-Holstein hat sich vorgenommen, 30.000 Behördenmitarbeitende von Microsoft auf Open-Source-Software umzustellen. LibreOffice statt Office, Thunderbird und Open-Xchange statt Outlook und Exchange, Linux statt Windows.

Im Sommer gab es Rückmeldungen aus der Praxis, die nicht schönzureden waren. Die Gewerkschaft der Polizei meldete E-Mail-Chaos nach der Migration, Mails aus dem Innenministerium landeten in falschen Abteilungen . Digitalminister Schrödter schrieb einen offenen Brief an alle Staatsbediensteten, räumte Fehler ein und erklärte, was die nächsten Schritte sind.

Das ist das Richtige. Nicht weil Transparenz schön ist, sondern weil sie die Einzige ist, die aus Piloten lernende Projekte macht. Wer Probleme vertuscht, macht in der nächsten Migration dieselben Fehler. Wer sie dokumentiert, gibt anderen Ländern die Möglichkeit, es besser zu machen.

Zum Zeitpunkt des Rückblicks sind rund 80 Prozent der Microsoft-Lizenzen in Schleswig-Holstein gekündigt. Die E-Mail-Migration läuft. Die Schulungen sind das, was am meisten Ressourcen bindet.

Was bedeutet das für andere Länder, die auf die SH-Erfahrung warten, bevor sie selbst entscheiden? Es bedeutet: Die Probleme sind real und lösbar. Das ist keine Werbung für Open Source als schmerzfreie Entscheidung. Es ist eine Einladung zu ehrlicher Migrationsvorbereitung, guter Schulungsplanung und dem Verzicht auf Big-Bang-Einführungen. SH hat nicht alles richtig gemacht. Es hat trotzdem weitergemacht. Das unterscheidet es von Bundesländern, die seit Jahren „prüfen".

EU AI Act: Die Uhr läuft

Am 1. August 2024 ist der EU AI Act in Kraft getreten. Der erste harte Termin – das Verbot bestimmter KI-Praktiken – gilt ab Februar 2025. Danach folgen in Zweijahresabständen weitere Stufen. Das klingt nach Vorlaufzeit.

Für öffentliche Verwaltungen, die KI-Systeme einsetzen oder planen, klingt es nach wenig. Wer risikoreiche KI im öffentlichen Sektor einsetzen will, muss vorher eine grundrechtliche Folgenabschätzung durchführen . Das ist keine Formalität, das ist ein Prozess. Behörden, die KI-Beschaffungsvorhaben jetzt starten, tun das in einem Rechtsrahmen, der sich noch in der Implementierung befindet und dessen nationale Umsetzungsgesetze noch nicht alle verabschiedet sind.

Der pragmatische Weg ist nicht Abwarten, sondern geordnete Bestandsaufnahme: Welche KI-Systeme sind bereits im Einsatz? Wie werden sie klassifiziert? Wer ist intern zuständig? Diese Fragen lassen sich jetzt beantworten, bevor die Behörde 2025 unter Druck steht.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

OZG 2.0 in Kraft. VMware kostet das Dreifache. – Juli 2024 im E-Government-Rückblick.

Wed, 31 Jul 2024 20:00:00 +0200

Am 24. Juli 2024 tritt das OZG-Änderungsgesetz in Kraft . Der Bundesrat hatte Ende Juni zugestimmt, nach einem langen Ringen zwischen Bund und Ländern. Das Gesetz war im Winter im Bundesrat hängengeblieben, weil die Länder mehr Einfluss auf die Umsetzungsarchitektur forderten. Ein offener Brief mittelständischer IT-Unternehmer hatte damals auf die Signalwirkung des Gesetzes aufmerksam gemacht. Jetzt ist es da.

Gleichzeitig verhandeln CIOs und IT-Verantwortliche in Behörden gerade eine andere Art von Gesetz: die neuen VMware-Lizenzpreise nach der Broadcom-Übernahme. Dreistellige Prozentanstiege, laufende Kosten statt Einmalkauf, gerichtliche Auseinandersetzungen in mehreren Ländern.

Was das OZG 2.0 wirklich ändert

Das OZG 1.0 war eine Frist ohne ausreichende Konsequenz. 575 Verwaltungsleistungen sollten bis Ende 2022 digitalisiert sein. Wer Anfang 2024 auf die öffentlich zugänglichen Dashboards schaute, sah je nach Zählweise zwischen 40 und 60 Prozent Erfüllungsgrad, mit erheblichen Unterschieden zwischen den Ländern.

Das OZG 2.0 räumt zwei strukturelle Fehler aus. Erstens baut es einen künftigen Rechtsanspruch auf digitale Verwaltung auf, der schrittweise eingeführt wird. Das ist kein Selbstvollzugsrecht, das Bürger:innen sofort einklagen können. Es ist die politische Commitmentstärke, die das OZG 1.0 nicht hatte.

Zweitens verankert es die Once-Only-Grundlage : Daten, die der Staat bereits kennt, soll er nicht mehrfach abfragen. Das ist der Hebel, der NOOTS seinen Sinn gibt. Kein technisches System kann Once-Only liefern, wenn es keine rechtliche Grundlage gibt, Daten zwischen Behörden zu teilen.

Was das OZG 2.0 nicht löst: die Umsetzungsarchitektur. Wer welche Leistung unter welchen Standards digitalisiert, wer finanziert, wer koordiniert, das sind Fragen, die das Gesetz zwar rahmt, aber nicht beantwortet. Genau hier ist die föderale Auseinandersetzung seit Jahren festgeklebt. Die gute Nachricht: Der IT-Planungsrat arbeitet daran. Die schlechte: Es dauert.

VMware und die Lektion, die niemand lernen wollte

Broadcom hat die VMware-Übernahme Ende 2023 abgeschlossen und danach die Preisgestaltung fundamental verändert. Weg von Dauerlizenz, hin zu Subscription. Weg von Einzelprodukten, hin zu Bundles. Die Preiserhöhungen für bestehende Kunden liegen laut Berichten zwischen 300 und 1.050 Prozent , je nach Vertragsstruktur.

Öffentliche Verwaltungen sind besonders betroffen. Sie haben VMware oft seit Jahrzehnten im Einsatz, mit tiefem Integrationsstatus in Fachverfahren und Rechenzentrumsarchitekturen. Verhandlungsmacht: gering. Alternativen: bekannt, aber nicht vorbereitet.

Die Alternative heißt ProxmoxVE, OpenStack oder schlicht bare-metal Linux. Das sind keine neuen Technologien. Sie sind seit Jahren stabil. Sie werden im kommunalen IT-Umfeld kaum eingesetzt, weil die Investition in Migration als Risiko galt, während die Investition in VMware als Standard galt.

Standard ist der Zustand, auf den man sich nicht vorbereitet. VMware war Standard. Jetzt ist Standard zu teuer.

Was die Broadcom-VMware-Situation für die Verwaltungsdigitalisierung konkret bedeutet: Sie ist ein Testlauf für jede andere proprietäre Plattform im öffentlichen Einsatz. Die Logik ist dieselbe. Ein Anbieter, der nach einer Konsolidierungsphase über genuinen Verhandlungsmacht verfügt, setzt Preise, die die Infrastruktur, die man braucht, unbezahlbar macht. Das passiert mit VMware. Es kann mit anderen Plattformen passieren.

Der einzige strukturelle Schutz dagegen ist nicht der Vertrag. Es ist die Exit-Fähigkeit. Wer auf offene Standards baut und dokumentiert, wie ein Systemwechsel aussehen würde, hat Verhandlungsmacht. Wer es nicht tut, zahlt die Rechnung, die Broadcom stellt.

Was der Juli zeigt

Zwei Schlagzeilen, eine Strukturdiagnose: Deutschland hat gerade Fortschritte beim OZG-Rechtsrahmen gemacht und gleichzeitig gezeigt, wie tief die Infrastrukturabhängigkeiten in proprietären Plattformen sitzen. Das OZG gibt dem Ziel eine neue Verbindlichkeit. VMware gibt der Frage nach digitaler Souveränität eine neue Dringlichkeit.

Beides zusammen ist keine Garantie für Fortschritt. Es ist ein Angebot. Man kann es annehmen.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

Schleswig-Holstein wirft Microsoft raus. Der Bundesrat hält das OZG auf. – April 2024 im E-Government-Rückblick.

Tue, 30 Apr 2024 20:00:00 +0200

Am 22. März lehnt der Bundesrat das OZG-Änderungsgesetz ab, mit 35 zu 34 Stimmen. Knapper geht es kaum. Ende März ruft die Bundesregierung den Vermittlungsausschuss an. Anfang April gibt Schleswig-Holstein bekannt, was es schon länger geplant hat : 30.000 Arbeitsplätze in der Landesverwaltung werden von Microsoft Windows und Office 365 auf Linux und LibreOffice umgestellt. Kabinettsbeschluss, Verbindlichkeit, Zeitplan.

Zwei Nachrichten, entgegengesetzte Richtungen. Der Bund hängt im föderalen Kompromiss fest. Ein Land liefert.

Was Schleswig-Holstein ankündigt – und was das bedeutet

Das Kabinett der schwarz-grünen Landesregierung hat beschlossen, was in der deutschen Verwaltungsdigitalisierung lange als theoretisches Szenario galt: den vollständigen Ausstieg aus der Microsoft-Office-Welt. Betroffen sind etwa 25.000 IT-Arbeitsplätze , die schrittweise auf LibreOffice umgestellt werden, dazu kommt der Wechsel von Exchange und SharePoint auf Open-Xchange und Nextcloud, mittelfristig auch der Wechsel von Windows auf Linux.

Das ist kein Pilotprojekt in zwei Behörden. Es ist ein Kabinettsbeschluss, der den gesamten Landesbetrieb betrifft.

Warum tut das Schleswig-Holstein? Die offizielle Begründung: digitale Souveränität, Kostensenkung und Unabhängigkeit von einzelnen Anbietern. Die ehrlichere Begründung dahinter: Lizenzkosten steigen, Verhandlungsmacht gegenüber Microsoft sinkt, und nach der Broadcom/VMware-Geschichte weiß jeder IT-Verantwortliche, was passiert, wenn der Anbieter die Preise nach einer Konsolidierung unilateral setzt.

Was das für andere Länder bedeutet: Schleswig-Holstein ist jetzt das Referenzprojekt. Wer in Bayern, Sachsen oder NRW überlegt, ob eine Microsoft-Migration machbar ist, schaut jetzt nach Kiel. Das ist gut. Es setzt aber auch Erwartungen: Wenn das Projekt scheitert oder hinter dem Plan zurückbleibt, wird es für Jahre als Argument gegen Open-Source-Migrationen zitiert werden.

Der Druck ist also nicht nur auf Schleswig-Holstein. Er ist auf das gesamte Ökosystem der Open-Source-Anbieter und -Dienstleister, die die Migration begleiten. Das ist keine übertriebene Formulierung. Es ist eine Anforderung an eine ehrliche Umsetzungsbegleitung: mit echten Fortschrittsberichten, ohne Beschönigung von Problemen.

Warum das OZG im Bundesrat gescheitert ist – und was das sagt

Der Bundesrat hat das OZG 2.0 abgelehnt , weil er dem Bund nicht das einseitige Recht zugestehen wollte, Implementierungsstandards festzulegen, ohne die Länder ausreichend einzubinden. Das ist kein Blockade-Akt aus schlechtem Willen. Das ist der Föderalismus, der so funktioniert, wie er konzipiert ist.

Das Problem ist, dass der Föderalismus bei digitaler Infrastruktur nicht so funktioniert, wie die Digitalisierung funktioniert. Software braucht Standards. Standards brauchen Verbindlichkeit. Verbindlichkeit braucht jemanden, der entscheidet. Im deutschen Föderalismus entscheidet niemand allein, also entscheidet es der Vermittlungsausschuss, also dauert es.

Das ist kein Vorwurf an den Bundesrat. Es ist eine Strukturdiagnose. Und die Lösung liegt nicht in einem Verfassungsprozess. Sie liegt in der politischen Einsicht, dass bestimmte digitale Infrastrukturentscheidungen einfacher und schneller fallen müssen, als das Grundgesetz es für Gesetzgebungsverfahren vorsieht.

Was das konkret bedeutet: Mehr EfA-Prinzip (Einer für alle), weniger gesetzliche Regulierung für jede Standardisierungsentscheidung. Einmal aushandeln, im IT-Planungsrat, was für alle gilt. Dann anwenden. Das setzt Vertrauen zwischen Bund und Ländern voraus. Der April 2024 zeigt, dass dieses Vertrauen noch erarbeitet werden muss.

Was beide Vorgänge gemeinsam zeigen

Schleswig-Holstein und das OZG-Scheitern beschreiben zwei verschiedene Pfade zur Verwaltungsdigitalisierung. Der Länderpfad: Ein entschlossenes Land trifft eine klare Entscheidung, setzt sie um und wird zum Modell. Der Bundesebenen-Pfad: Gesetze, Vermittlungsausschüsse, Kompromissformeln, Implementierungsregeln.

Keiner der beiden ist falsch. Aber es ist symptomatisch, dass der Länderpfad im April schneller vorankommt. Das spricht für mehr Spielraum der Länder – und für einen Bund, der seine Energie weniger in gesetzliche Standardsetzung investiert und mehr in Koordination und Anreize.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

Smart Country Convention: openDesk kündigt sich an. Und die OZG-Uhr tickt. – Oktober 2022 im E-Government-Rückblick.

Mon, 31 Oct 2022 20:00:00 +0100

Die Smart Country Convention 2022 in Berlin bringt E-Government, digitale Souveränität und föderale IT-Architektur auf eine Messe. Für die Szene ist sie der wichtigste Herbsttermin. Was in Berlin präsentiert wird, gibt den Ton für die nächsten Monate vor.

Im Hintergrund nimmt das Projekt für einen souveränen Verwaltungsarbeitsplatz Kontur an. Noch zwei Monate bis zur OZG-Deadline am 31. Dezember.

Was der souveräne Arbeitsplatz jetzt ist und was er werden soll

Die Bundesregierung plant ein Zentrum für Digitale Souveränität der öffentlichen Verwaltung. Die Aufgabe: einen Verwaltungsarbeitsplatz entwickeln, der nicht von US-amerikanischen Softwareanbietern abhängig ist. Die Bezeichnung, die sich durchzusetzen beginnt, ist openDesk.

Das Ziel ist klar. Der Weg dorthin ist es nicht vollständig.

Was openDesk werden soll: eine orchestrierte Zusammenstellung bewährter Open-Source-Software für den Verwaltungseinsatz. Kein proprietärer Lock-in, keine neue Eigenentwicklung von Rädern, die bereits existieren. Nextcloud für Dateispeicherung, Open-Xchange für Groupware, OpenProject für Projektmanagement, Jitsi für Videokonferenz.

Was das voraussetzt: eine Organisation, die diese Komponenten integriert, pflegt, sicher betreibt und bundesweit ausrollt. Das ist das Zentrum für Digitale Souveränität, das in Gründung ist.

Was die SCCON zeigt: Das Interesse ist groß. Behörden, die Microsoft 365 für teures Geld betreiben und gleichzeitig Souveränitätsbedenken haben, suchen Alternativen. Die Frage ist nicht, ob es Bedarf gibt, sondern ob das Angebot rechtzeitig und in ausreichender Qualität entsteht.

Der kritische Zeitplan: openDesk muss als Pilotprodukt 2023 entstehen, damit Behörden 2024 und 2025 in Pilots einsteigen können. Wer mit dem Aufbau der Organisation erst 2023 beginnt, hat keinen Vorlauf für Fehler.

Was SCCON über den Markt zeigt

Die Smart Country Convention ist auch ein GovTech-Markt. Start-ups, IT-Dienstleister und Beratungsunternehmen präsentieren Lösungen für die öffentliche Verwaltung. Was dieser Markt zeigt, ist Doppeltes.

Erstens: Es gibt echte Innovation im GovTech-Segment. Prozessautomatisierung, interoperable Schnittstellen, nutzerorientierte Frontends für Verwaltungsleistungen, Open-Source-Basisdienste. Der Markt ist aktiver als die öffentliche Debatte über Behördendigitalisierung suggeriert.

Zweitens: Die Vergabepraxis erreicht diese Innovation oft nicht. Kleine Unternehmen mit guten Lösungen scheitern an Anforderungen, die für Großprojekte gedacht sind. Referenzvolumen, Kapazitätsnachweise, Zertifizierungspflichten. Das ist kein böser Wille, das ist eine Vergabelogik, die auf Risikominimierung optimiert ist, nicht auf Innovationsoffenheit.

Was sich ändern ließe: § 19 VgV (Vergabeverordnung) erlaubt unter bestimmten Bedingungen, innovativen Unternehmen Zugang zu verschaffen. Was fehlt, ist die routinierte Anwendung. Wer das Vergaberecht kennt, findet dort mehr Spielraum als die meisten Ausschreibungen nutzen.

Zwei Monate bis zur OZG-Deadline

Noch zwei Monate. Was jetzt noch geht: Dienste, die im Testbetrieb sind und bis Dezember in Produktion gehen können, wenn alle Beteiligten Priorität setzen. Was nicht mehr geht: Neuentwicklungen.

Das bedeutet: Der Fokus der nächsten acht Wochen liegt auf Nachnutzung vorhandener EfA-Dienste, nicht auf neuer Entwicklung. Welche Länder haben welche Dienste noch nicht in Betrieb? Wo liegt der konkrete Hinderungsgrund? Geld, Kapazität, politischer Wille?

Diese Analyse jetzt zu machen, ist der erste Schritt für eine ehrliche Bilanz im Januar 2023.

Hat Sie das Thema interessiert?

Wenn digitale Souveränität in Ihrer Behörde kein Abstraktum bleiben soll und Sie konkrete nächste Schritte suchen: Schreiben Sie mir über das Kontaktformular unten.

Digitale Souveränität nach dem Schock. Was jetzt konkret passiert. – März 2022 im E-Government-Rückblick.

Thu, 31 Mar 2022 20:00:00 +0200

Ein Monat nach dem russischen Angriff auf die Ukraine ist die Souveränitätsdebatte in der deutschen Verwaltungs-IT angekommen. Ministerien, Behörden und IT-Dienstleister diskutieren Abhängigkeiten, die vorher als Selbstverständlichkeit galten. Das ist gut. Die Frage ist, ob aus dieser Diskussion Entscheidungen werden, oder ob der Druck nachlässt, bevor die ersten konkreten Schritte getan sind.

Denn Souveränitätsdebatten haben ein bekanntes Muster: Laut, solange der Anlass akut ist. Still, wenn der nächste Quartalsbericht kommt.

Was aus der Souveränitätsdebatte konkret wird

Die Bundesverwaltung nutzt Microsoft-Produkte in erheblichem Umfang . Lizenzen, Infrastruktur, Kollaborationswerkzeuge. Das ist kein Betriebsunfall, sondern das Ergebnis von Beschaffungsentscheidungen über Jahrzehnte, die auf Funktionalität, Preis und Marktdurchdringung optimiert haben. Nicht auf Exit-Optionen.

Der richtige nächste Schritt ist nicht die Kündigung aller Microsoft-Verträge. Das wäre operativ nicht umsetzbar. Der richtige Schritt ist eine Priorisierungsentscheidung: Welche Systeme verarbeiten besonders schützenswerte Daten? Welche davon haben tragfähige europäische oder Open-Source-Alternativen? Diese Systeme sind die Kandidaten für die erste Migrationswelle.

Was dabei hilft: Behörden, die diesen Weg bereits gegangen sind, haben Erkenntnisse, die andere nicht neu erarbeiten müssen. Schleswig-Holstein hat öffentlich dokumentiert, was eine Ablösung von Microsoft-Produkten erfordert. Das ist kein Blaupausen-Dokument, aber ein ehrlicher Erfahrungsbericht. Wer beginnen will, fängt mit solchen Berichten an, nicht mit generischen Souveränitätsstrategien.

Bundescloud: Was existiert und was noch fehlt

Deutschland hat keine leere Infrastrukturlandschaft. Die Bundescloud als Rechenzentrumsinfrastruktur des Bundes existiert. Dataport, ITDZ Berlin und weitere Landes-IT-Dienstleister betreiben eigene Cloud-ähnliche Infrastrukturen unter deutschem Recht.

Was fehlt, ist die Skalierung. Und die Standardisierung. Wer als Behörde von AWS zu einem deutschen Anbieter wechseln will, steht vor dem Problem, dass jeder Anbieter eigene Schnittstellen hat, eigene Servicekataloge, eigene Betriebsmodelle. Der Aufwand für eine Migration ist deshalb nicht nur technisch, sondern auch administrativ erheblich.

Was helfen würde: ein föderaler Rahmen, der definiert, welche Anforderungen eine souveräne Cloud für die öffentliche Verwaltung erfüllen muss, und der mehrere Anbieter zulässt, die denselben Standard erfüllen. Wettbewerb innerhalb eines gemeinsamen Standards ist besser als ein einziger nationaler Anbieter ohne Wettbewerb.

Was die OZG-Umsetzung mit Souveränität zu tun hat

Das OZG schreibt vor, was digitalisiert werden soll, nicht womit. Viele EfA-Dienste (Einer für Alle) laufen auf proprietären Plattformen oder nutzen proprietäre Komponenten. Das ist kurzfristig pragmatisch. Mittelfristig baut es genau die Abhängigkeiten auf, die die Souveränitätsdebatte gerade sichtbar macht.

Der konstruktive Umgang: OZG-Dienste, die neu entwickelt oder neu vergeben werden, sollten Interoperabilität und Austauschbarkeit als Anforderungen enthalten, nicht als Wunschliste. Offene Schnittstellen, standardisierte Datenformate, dokumentierter Quellcode. Das erhöht den Aufwand bei der Erstentwicklung minimal. Es verhindert Lock-in für Jahre.

Wer diese Anforderungen nicht in die Leistungsbeschreibung schreibt, schreibt sie implizit heraus.

Hat Sie das Thema interessiert?

Wenn Cloud-Abhängigkeiten in Ihrer Behörde gerade neu bewertet werden und Sie einen strukturierten nächsten Schritt suchen: Das Kontaktformular unten öffnet die Tür.

Krieg in der Ukraine. Digitale Souveränität in neuem Licht. – Februar 2022 im E-Government-Rückblick.

Mon, 28 Feb 2022 20:00:00 +0100

Am 24. Februar beginnt der russische Angriff auf die Ukraine. Was das für die europäische Sicherheitsarchitektur bedeutet, wird in diesen Tagen intensiv diskutiert. Was es für die digitale Infrastruktur der deutschen öffentlichen Verwaltung bedeutet, wird zunächst weniger laut besprochen. Zu Unrecht.

Die Frage, wer welche Daten öffentlicher Verwaltungen auf welchen Servern unter welchem Rechtsrahmen speichert, war vorher eine Compliance-Frage. Ab jetzt ist sie eine geopolitische.

Was der Ukraine-Krieg für die öffentliche IT-Infrastruktur bedeutet

Die meisten deutschen Bundesbehörden, Länder und Kommunen nutzen Cloud-Dienste oder Software von US-amerikanischen Anbietern: Microsoft 365, AWS, Google Workspace in unterschiedlichen Varianten. Das ist kein Vorwurf. Es sind oft die leistungsfähigsten und am besten unterstützten Lösungen auf dem Markt.

Das Problem ist struktureller Natur. Der CLOUD Act von 2018 erlaubt US-Behörden unter bestimmten Umständen den Zugriff auf Daten von US-Unternehmen, auch wenn diese in Europa gespeichert sind. Das war vorher ein Datenschutzproblem. Im Kontext eines geopolitischen Konflikts wird es zu einer Infrastrukturrisikofrage.

Was öffentliche IT-Verantwortliche jetzt tun können: Das ist nicht der Moment für einen sofortigen Microsoft-Ausstieg. Das wäre operativ nicht umsetzbar und würde mehr Schaden als Nutzen bringen. Der richtige Schritt ist eine ehrliche Inventur: Welche Systeme haben welche Abhängigkeiten? Welche Daten liegen wo? Welche Verträge enthalten Exit-Klauseln? Diese Inventur schafft die Grundlage für einen mittelfristigen Migrationsplan, der machbar ist, statt einen Sofortausstieg, der es nicht ist.

Was GAIA-X dazu beitragen kann und was nicht

GAIA-X ist die europäische Antwort auf US-Cloud-Dominanz. Oder zumindest soll es das sein. Das Konsortium aus europäischen Unternehmen, Forschungseinrichtungen und Behörden arbeitet an einem Framework für einen europäischen Datenraum, der europäisches Recht respektiert.

Das Problem: GAIA-X ist ein Framework, keine Cloud. Es definiert Standards und Zertifizierungsprozesse, betreibt aber keine Infrastruktur. Wer eine sichere Alternative zu AWS braucht, findet in GAIA-X keinen Anbieter, sondern eine Spezifikation, die europäische Anbieter erfüllen können, wenn sie wollen.

Das ist nicht wertlos. Ein gemeinsamer Standard, der europäische Datenschutzregeln operationalisiert und Herstellerabhängigkeiten dokumentiert, ist eine Grundlage für informiertere Beschaffungsentscheidungen. Aber er ist kein Schnellschuss-Ersatz für AWS und Azure.

Was hilft: Der Fokus auf konkrete Bundescloud-Alternativen, also Rechenzentrumkapazitäten, die unter deutschem oder europäischem Recht operieren und für Verwaltungsdaten geeignet sind. Die BWI und die Infrastrukturen von Dataport oder ITDZ Berlin zeigen, dass solche Alternativen existieren. Was fehlt, ist der politische Wille, sie systematisch zu skalieren.

Was das für die nächste Beschaffungsentscheidung bedeutet

Wer gerade eine IT-Beschaffung vorbereitet, sollte zwei Fragen ergänzen, die bisher optional waren.

Erstens: Unter welchem Rechtsrahmen operieren Daten, die in diesem System verarbeitet werden? DSGVO-Konformität allein reicht nicht mehr als Antwort. Der CLOUD Act und ähnliche Drittstaaten-Zugriffsgesetze sind ein eigenes Risikofeld.

Zweitens: Wie sieht der Exit-Plan aus? Nicht als theoretische Option, sondern als konkrete Beschreibung, wie Daten und Prozesse in ein anderes System überführt werden könnten, wenn nötig. Wer das heute nicht beschreiben kann, hat sich in eine Abhängigkeit manövriert, die nicht zwangsläufig teuer war, aber im Ernstfall teuer wird.

Diese Fragen jetzt zu stellen, ist kein Panikmodus. Es ist Infrastruktur-Hygiene, die aus guten Gründen jetzt auf der Agenda steht.

Hat Sie das Thema interessiert?

Wenn die Souveränitätsfrage für Ihre IT-Infrastruktur gerade konkret wird und Sie einen Austausch suchen, der nicht mit einem Produkt endet: Das Kontaktformular unten ist der schnellste Weg zu mir.

Nach Schrems II: Cloud-Souveränität wird operativ. – August 2020 im E-Government-Rückblick.

Mon, 31 Aug 2020 20:00:00 +0200

Ein Monat nach dem Schrems-II-Urteil. Was ist passiert? Wenig Konkretes. Viel Diskussion.

Datenschutzbehörden haben Stellungnahmen veröffentlicht, die im Kern bestätigen, was das Urteil sagt: Datenübermittlungen in die USA ohne angemessene Schutzmaßnahmen sind rechtswidrig. Konkrete Sanktionen: noch nicht. Konkrete Handlungsanleitungen: begrenzt.

Microsoft hat angekündigt, Datenspeicherung und Verarbeitung in Europa ausbauen zu wollen. Was das bedeutet: Die Daten könnten in Frankfurt oder Amsterdam liegen, aber der Anbieter bleibt ein US-Unternehmen, das dem CLOUD Act unterliegt. Europäische Server lösen das Schrems-II-Problem strukturell nicht.

Was Behörden jetzt wirklich tun können

Die Frage, die nach Schrems II alle beschäftigt, ist praktisch: Was tue ich jetzt, am Montag, mit meinen Microsoft-Verträgen?

Die pragmatische Antwort: Nichts Überstürztes. Schrems II hat keine Übergangsfrist definiert. Datenschutzbehörden haben angekündigt, Beschwerden nachzugehen, nicht proaktiv alle Behörden zu prüfen. Es gibt Zeit für eine geordnete Strategie.

Was eine geordnete Strategie erfordert: Erstens eine Datenklassifikation. Welche Daten verarbeite ich in welchen Systemen? Sensible Kategorien (Gesundheit, Sozialdaten, Personalakten) sind sofort priorisiert, andere können warten. Zweitens eine Alternativenbewertung für die priorisierten Systeme. Was gibt es in Europa? Was kann von GAIA-X -zertifizierten Anbietern bezogen werden? Drittens ein Migrationspfad, der in Jahren, nicht Wochen denkt.

Wer all das in einem Monat abschließen will, scheitert. Wer es in drei Jahren plant, schafft es.

Was an Microsoft-Kritik fair ist und was nicht

Die Kritik an Microsoft nach Schrems II ist manchmal schärfer als berechtigt. Microsoft ist kein böser Akteur. Es ist ein US-Unternehmen, das US-Recht unterliegt. Dass der CLOUD Act US-Behörden Datenzugriff erlaubt, ist eine Konsequenz der US-Rechtslage, nicht einer Kooperationsbereitschaft von Microsoft.

Was fair zu kritisieren ist: Der Lock-in, den Microsoft-Produkte in vielen Verwaltungen erzeugt haben. Wer 20 Jahre auf Microsoft-Produkten aufgebaut hat, kann nicht in zwei Jahren migrieren, auch wenn er das wollte. Dieser Lock-in ist das eigentliche Problem, nicht Microsoft als Anbieter.

Was das für Beschaffungsentscheidungen heute bedeutet: Jede neue Lösung, die eingeführt wird, sollte ein dokumentiertes Exit-Szenario enthalten. Nicht als Drohung gegen den Anbieter, sondern als Sicherheitsnetz gegen zukünftige Rechtsentwicklungen, die niemand vorhersagen kann.

Hat Sie das Thema interessiert?

Wenn Sie eine Cloud-Strategie entwickeln, die Schrems-II-konform und operativ machbar ist: Über das Kontaktformular unten bin ich erreichbar.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.