Digitale Souveränität ist 2026 keine politische Forderung mehr, sondern eine konkrete, messbare Zielgröße in der öffentlichen Verwaltung und im deutschen Mittelstand. Schleswig-Holstein migriert die gesamte Landesverwaltung von Microsoft zu Open Source. Das Bundesinnenministerium koordiniert über das Zentrum für Digitale Souveränität (ZenDiS) die Beschaffung von openDesk und Deutscher Verwaltungscloud (DVC). Der Europäische Gerichtshof hat in Schrems II die Übermittlung personenbezogener Daten in die USA stark eingeschränkt. Die Datenschutzkonferenz (DSK) hat Microsoft 365 für die öffentliche Verwaltung als nicht DSGVO-konform eingestuft. Wer jetzt nicht handelt, riskiert Bußgelder, Reputationsschäden und ein Versorgungsproblem bei Audits.

Wir sind DATUREX GmbH: TÜV+BSI+IHK-zertifizierte externe Datenschutzbeauftragte mit Sitz in Dresden, seit 2012 in der DSGVO-Beratung tätig, mit über 500 laufenden Mandaten in ganz Deutschland. Wir kombinieren externe Datenschutzbeauftragte (Art. 37 DSGVO), Open-Source-Architekturberatung und Migrationsbegleitung — von der ersten Risikoanalyse bis zum produktiven Betrieb.

Was bedeutet digitale Souveränität konkret?

Der Begriff digitale Souveränität (englisch: digital sovereignty) beschreibt die Fähigkeit eines Staates, einer Organisation oder einer Person, selbstbestimmt über digitale Werte, Prozesse und Infrastrukturen zu verfügen — ohne strukturelle Abhängigkeit von einzelnen Anbietern, Jurisdiktionen oder Lieferketten. In der politischen Debatte taucht der Begriff seit den Snowden-Enthüllungen 2013 verstärkt auf. Mit der DSGVO, dem CLOUD Act, dem Schrems-II-Urteil und der NIS-2-Richtlinie wurde aus einem politischen Schlagwort eine konkrete rechtliche Anforderung.

Die Bundesregierung hat 2022 das Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS GmbH) gegründet — ein bundeseigenes Unternehmen mit Sitz in Bochum, getragen vom Bundesinnenministerium und vom Bundesverwaltungsamt. Aufgabe: die öffentliche Verwaltung von einzelnen Anbietern zu lösen, indem Open-Source-Alternativen gebündelt, weiterentwickelt und betreuten Betrieb angeboten wird. Das wichtigste Produkt von ZenDiS ist openDesk, der souveräne Arbeitsplatz für Behörden.

Drei Säulen digitaler Souveränität

• Datenhoheit (Data Sovereignty) — Personenbezogene Daten werden ausschließlich in Europa, idealerweise in Deutschland, verarbeitet. Kein Zugriff durch US-Behörden über den CLOUD Act, FISA Section 702 oder Executive Order 12333. Backup-Standorte, Subunternehmer und Logfile-Lokationen sind dokumentiert und vertraglich abgesichert.
• Technologie-Unabhängigkeit (Technological Sovereignty) — Software ist quelloffen, der Quellcode prüfbar. Es gibt keinen Vendor-Lock-in: Sie können den Anbieter jederzeit wechseln, ohne dass Daten oder Workflows verloren gehen. Standards wie OpenDocument Format (ODF), OAuth 2.0 und SCIM sichern die Migrationsfreiheit.
• Wertschöpfungs-Souveränität (Public Money? Public Code!) — Steuergelder fließen in Open-Source-Code, der allen Behörden, Bundesländern und auch der Privatwirtschaft zugutekommt. Die Free Software Foundation Europe (FSFE) hat diese Forderung 2017 in einer Kampagne formalisiert. Schleswig-Holstein, Thüringen und Hamburg orientieren sich heute explizit daran.

Warum Microsoft 365 datenschutzkritisch ist

Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat in mehreren Beschlüssen festgestellt, dass Microsoft 365 für Behörden derzeit nicht DSGVO-konform einsetzbar ist. Die wichtigsten Kritikpunkte im Überblick:

1. Telemetrie und Diagnosedaten — Microsoft erhebt umfangreiche Diagnosedaten zur Funktionsweise von Office, Windows und den Cloud-Diensten. Auch wenn der Administrator die Telemetrie auf das Minimum reduziert, fließen weiterhin Daten an Microsoft-Server in den USA. Eine vollständige Abschaltung ist technisch nicht vorgesehen.
2. Auftragsverarbeitung nach Art. 28 DSGVO — Microsofts Datenschutzbestimmungen für M365 lassen erhebliche Spielräume bei der Verarbeitung von Kundendaten für eigene Zwecke (z.B. Modell-Verbesserung). Die Landesdatenschutzbeauftragten in NRW, Hessen und Berlin haben mehrfach festgestellt, dass die vertragliche Konstruktion die Anforderungen aus Art. 28 nicht vollständig erfüllt.
3. US-CLOUD Act und FISA — Der US Clarifying Lawful Overseas Use of Data Act (CLOUD Act) von 2018 verpflichtet US-Anbieter, auf richterliche Anordnung auch auf Daten zuzugreifen, die außerhalb der USA gespeichert sind. Microsoft Irland kann sich davon nicht befreien. Das EuGH-Urteil Schrems II (Juli 2020) hat den Privacy Shield gekippt und die Übermittlung in die USA an strenge Bedingungen geknüpft.
4. Subunternehmer-Kette — Microsoft setzt für M365 mehrere hundert Subunternehmer in unterschiedlichen Jurisdiktionen ein. Eine vollständige Liste ist öffentlich nicht verfügbar. Wer als deutsche Behörde personenbezogene Daten in M365 verarbeitet, weiß nicht, wer am Ende technischen Zugriff hat.
5. Verschlüsselung und Schlüssel-Management — Microsoft bietet Customer Lockbox und Bring-Your-Own-Key-Lösungen an, allerdings sind die Zugriffsmöglichkeiten begrenzt. Vollständige Ende-zu-Ende-Verschlüsselung mit selbstverwalteten Schlüsseln ist in M365 für die meisten Funktionen nicht möglich.

Die Konsequenz: Behörden, die M365 weiterhin einsetzen, riskieren Bußgelder bis zu 4 Prozent des Jahresumsatzes (Art. 83 DSGVO), Beanstandungen durch Aufsichtsbehörden und Reputationsverluste. Mehrere Bundesländer haben daher den Wechsel offiziell angekündigt oder bereits begonnen.

openDesk, ZenDiS und Deutsche Verwaltungscloud — das Ökosystem im Überblick

Die staatlichen Souveränitäts-Initiativen werden oft verwechselt. Hier der Überblick über die wichtigsten Komponenten und Akteure:

Initiative	Funktion	Träger	Status 2026
openDesk	Souveräner Arbeitsplatz: Office (Collabora), Dateien (NextCloud), Projektmanagement (OpenProject), Wiki (XWiki), Chat (Element), Videokonferenz (Jitsi). Gegenstück zu Microsoft 365.	ZenDiS GmbH (Bochum)	Produktiv, in Pilot bei mehreren Bundesländern
ZenDiS GmbH	Zentrum für Digitale Souveränität — koordiniert Open-Source-Beschaffung, Weiterentwicklung und Betrieb für die öffentliche Verwaltung.	Bundesregierung (BMI + BVA)	Operativ seit 2022
Deutsche Verwaltungscloud (DVC)	Cloud-Infrastruktur des Bundes mit verbindlichen Sicherheits- und Souveränitätsstandards. Schnittstellenspezifikation (DVS) seit April 2026 verfügbar.	FITKO + Bundesländer	Schrittweise produktiv ab 2026
PhoenixSuite (Phoenix)	Norddeutsche Open-Source-Suite mit ähnlichem Ziel wie openDesk. Mittelfristig Zusammenführung mit openDesk geplant.	Dataport AöR	Produktiv in 6 Bundesländern
GAIA-X	Europäische Cloud-Initiative für vertrauenswürdige Datenräume. Federation Services definieren Identitäts-, Compliance- und Souveränitäts-Standards.	GAIA-X AISBL (Brüssel)	Spec-finalisiert, Produkte im Aufbau
Sovereign Cloud Stack (SCS)	Einheitlicher technologischer Standard für souveräne Cloud-Anbieter in Europa. Open-Source-Referenzimplementierung auf OpenStack.	OSB Alliance e.V.	Produktiv bei mehreren EU-Cloudbetreibern

DSGVO-konforme Alternativen — der vollständige Stack

Der Wechsel zu souveränen Lösungen erfordert Migration in jedem Bereich. Hier die wichtigsten Microsoft-Komponenten und ihre Open-Source-Alternativen:

Microsoft 365 Komponente	Souveräne Open-Source-Alternative	DSGVO-Status
Word, Excel, PowerPoint	LibreOffice, Collabora Online (im openDesk), OnlyOffice	✓ Vollständig konform
OneDrive, SharePoint	NextCloud, Seafile, ownCloud Infinite Scale	✓ Vollständig konform
Outlook + Exchange	Thunderbird + Mailcow, Open-Xchange App Suite, Mailbox.org Business	✓ Vollständig konform
Microsoft Teams	Element/Matrix, Jitsi Meet, BigBlueButton, Mattermost	✓ Vollständig konform
Active Directory	Univention Corporate Server, Samba 4, Keycloak, Authentik	✓ Vollständig konform
Microsoft Defender	Wazuh, OSSEC, ClamAV, CrowdSec	✓ Vollständig konform
Power Platform / Power Automate	n8n, Apache NiFi, Activepieces, NocoDB	✓ Vollständig konform
Project / Planner	OpenProject, Taiga, Kanboard	✓ Vollständig konform
OneNote / Loop	Joplin, Logseq, BookStack, XWiki (im openDesk)	✓ Vollständig konform
Microsoft Forms / Stream	LimeSurvey, Formbricks, PeerTube	✓ Vollständig konform

Schleswig-Holstein als Vorbild: Die Migration eines Bundeslandes

Schleswig-Holstein hat 2024 als erstes Bundesland den vollständigen Wechsel zu Open Source beschlossen. Bis Ende 2026 wird die gesamte Landesverwaltung migriert — das betrifft 25.000 Arbeitsplätze in Ministerien, Landesbehörden und Bildungseinrichtungen. Der Migrationsplan umfasst:

• Phase 1 (2024-2025): Pilotbetrieb in einer Behörde (Ministerium für Justiz und Gesundheit). LibreOffice ersetzt Microsoft Office, Thunderbird ersetzt Outlook, NextCloud ersetzt OneDrive, Element/Matrix ersetzt Teams.
• Phase 2 (2025-2026): Rollout über alle Ministerien. Schulungen für 25.000 Mitarbeiterinnen und Mitarbeiter. Überarbeitung der Geschäftsprozesse, die bisher auf Microsoft-spezifische Funktionen angewiesen waren.
• Phase 3 (2026 ff.): Erweiterung auf nachgelagerte Behörden, Schulen und kommunale Einrichtungen. Übergang zu vollständig BSI-Grundschutz-konformer Linux-Workstation.

Das Modell folgt explizit den Lehren aus dem LiMux-Projekt der Stadt München (2003-2017): klare politische Rückendeckung, schrittweise Migration mit Schulung, Investition in Eigenanpassungen und enge Zusammenarbeit mit der Open-Source-Community. München hatte das LiMux-Projekt 2017 nach Regierungswechsel rückabgewickelt — Schleswig-Holstein verzichtet bewusst auf den Sonderweg und setzt auf etablierte Open-Source-Suiten wie openDesk und NextCloud.

Migration weg von Microsoft 365 — der DATUREX 5-Phasen-Ansatz

Aus über 30 begleiteten Migrationen haben wir einen pragmatischen Fahrplan abgeleitet, der für Behörden, Verbände und Mittelständler gleichermaßen funktioniert:

1. Bestandsaufnahme + DSGVO-Risikobewertung (4-6 Wochen). Wir erfassen alle eingesetzten Microsoft- und SaaS-Tools, dokumentieren Datenflüsse, prüfen Auftragsverarbeitungsverträge und identifizieren konkrete DSGVO-Risiken. Ergebnis: ein priorisiertes Risikoregister, das den Handlungsbedarf transparent macht.
2. Architektur-Design (2-4 Wochen). Auf Basis der Risikobewertung entwerfen wir den Zielzustand: vollständig auf openDesk, NextCloud + Mailcow + Element-Matrix, oder eine hybride Lösung mit Microsoft 365 für nicht-personenbezogene Bereiche und Open Source für sensible Daten. Hostingoptionen: On-Premise, deutsche Cloud-Anbieter (Hetzner, IONOS, OVHcloud Frankfurt) oder Deutsche Verwaltungscloud.
3. Pilotbetrieb (8-12 Wochen). Eine ausgewählte Abteilung migriert vollständig auf den Zielstack. Wir messen Akzeptanz, identifizieren Schulungsbedarf und stabilisieren technische Schnittstellen. Aus dem Pilot leiten wir die finalen Geschäftsprozesse für die Vollmigration ab.
4. Daten- und Anwendungsmigration (12-24 Wochen). OneDrive zu NextCloud, Exchange zu Mailcow, SharePoint zu NextCloud Workspaces, Teams-Chats zu Element/Matrix. Office-Dokumente bleiben in den offenen Formaten ODF und OOXML voll editierbar. Auftragsverarbeitungsverträge nach Art. 28 DSGVO werden mit allen neuen Anbietern geschlossen.
5. Schulung + laufende Betreuung. Anwender-Schulungen (1-2 Tage je Mitarbeiter), Administrator-Schulungen für interne IT-Teams. Übergabe der Betriebsdokumentation und optional laufende Betreuung als externer Datenschutzbeauftragter mit monatlichem Reporting und quartalsweiser Compliance-Überprüfung.

Kosten und Sparpotenzial in der Praxis

Die Wirtschaftlichkeitsrechnung hängt von der Größe der Organisation und der gewählten Hosting-Variante ab. Drei Szenarien aus laufenden Mandaten:

Mittelständler (50 Arbeitsplätze)

• Microsoft 365 E3 + EMS: ca. 18.000 € Lizenzkosten pro Jahr
• openDesk auf Hetzner: ca. 8.000 € pro Jahr (Hosting + Support)
• Migrationsaufwand einmalig: 15-25.000 € (Architektur, Datenmigration, Schulung)
• Amortisation: ca. 24 Monate

Größere Organisation (250 Arbeitsplätze)

• Microsoft 365 E3: ca. 90.000 € Lizenzkosten pro Jahr
• openDesk + NextCloud-Cluster (Hetzner): ca. 35.000 € pro Jahr
• Migrationsaufwand einmalig: 50-90.000 €
• Amortisation: ca. 18 Monate

Behörde / Großkunde (500 Arbeitsplätze)

• Microsoft 365 E3: ca. 180.000 € Lizenzkosten pro Jahr
• openDesk auf DVC oder eigenem Rechenzentrum: ca. 65.000 € pro Jahr
• Migrationsaufwand einmalig: 80-150.000 €
• Amortisation: ca. 12-15 Monate

In allen drei Szenarien ist die laufende Einsparung 50-65 Prozent. Hinzu kommen weiche Faktoren: keine versteckten Lizenzerhöhungen, keine Abhängigkeit von Wechselkursen, keine Nutzungsbeschränkungen bei Wachstum, vollständige rechtliche und technische Auditierbarkeit, und — politisch zunehmend wichtig — die Investition fließt in europäische Wertschöpfung statt in US-Dividenden.

Häufige Fragen zu digitaler Souveränität und DSGVO

Ist Microsoft 365 für Behörden DSGVO-konform einsetzbar?

Nein, derzeit nicht ohne erhebliche rechtliche Risiken. Die Datenschutzkonferenz (DSK) hat in ihrem Beschluss von 2022 und in mehreren Folgeprüfungen festgestellt, dass die Datenflüsse, Telemetrie und der CLOUD-Act-Zugriff durch US-Behörden eine rechtssichere DSGVO-Nutzung verhindern. Behörden migrieren daher zunehmend auf openDesk und NextCloud. Für Unternehmen ist die Lage etwas weniger streng, aber das Risiko bleibt erheblich, insbesondere bei sensiblen Datenkategorien nach Art. 9 DSGVO.

Was ist openDesk und wer betreibt es?

openDesk ist der souveräne Arbeitsplatz der öffentlichen Verwaltung Deutschlands. Betrieben wird das Projekt vom Zentrum für Digitale Souveränität (ZenDiS GmbH), einem bundeseigenen Unternehmen mit Sitz in Bochum. openDesk integriert Open-Source-Komponenten wie Collabora Online (Office), NextCloud (Dateien), OpenProject (Projekte), XWiki (Wissen), Element (Chat) und Jitsi (Videokonferenz) zu einer einzigen, integrierten Plattform — als direkte Alternative zu Microsoft 365.

Was kostet eine Migration weg von Microsoft 365?

Die Migrationskosten variieren nach Größe und Komplexität: Eine Organisation mit 50 Arbeitsplätzen zahlt typischerweise 15-30.000 € einmalig für die Migration und 8-15.000 € jährlich für Betrieb. Bei 500 Arbeitsplätzen liegen die einmaligen Migrationskosten bei 80-150.000 €. Die laufenden Kosten sind danach 50-65 Prozent günstiger als Microsoft-365-Lizenzen. Hinzu kommen weiche Vorteile wie Auditierbarkeit und Vendor-Lock-in-Vermeidung.

Welche Bundesländer migrieren bereits zu Open Source?

Schleswig-Holstein hat 2024 den vollständigen Wechsel beschlossen — bis Ende 2026 wird die gesamte Landesverwaltung mit 25.000 Arbeitsplätzen migriert. Thüringen, Bremen und Mecklenburg-Vorpommern testen openDesk in größeren Pilotprojekten. Hamburg, Berlin und Niedersachsen setzen über Dataport auf PhoenixSuite. Auf Bundesebene treibt das Bundesinnenministerium über das ZenDiS die Verbreitung in den Bundesbehörden aktiv voran. München hatte mit LiMux Pionierarbeit geleistet und nach Regierungswechsel 2017 das Projekt zurückgefahren — der heutige Ansatz mit standardisierten openDesk-Komponenten unterscheidet sich davon bewusst.

Was ist der Unterschied zwischen openDesk und der Deutschen Verwaltungscloud?

openDesk ist die Anwendungs-Suite (Office, Dateien, Chat, Videokonferenz). Die Deutsche Verwaltungscloud (DVC) ist die zugrundeliegende Cloud-Infrastruktur mit verbindlichen Sicherheits- und Souveränitätsstandards. Die Schnittstellenspezifikation (DVS) ist seit April 2026 öffentlich verfügbar. openDesk wird zunehmend auf der DVC betrieben und bildet damit den vollständigen souveränen Arbeitsplatz: Anwendung (openDesk) auf Infrastruktur (DVC), beide unter deutscher Hoheit.

Was sagt das Schrems-II-Urteil und wie wirkt es sich auf Microsoft 365 aus?

Das Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 (C-311/18) hat den EU-US Privacy Shield für ungültig erklärt. Begründung: US-Geheimdienste haben durch Section 702 FISA und Executive Order 12333 weitreichenden Zugriff auf personenbezogene Daten von EU-Bürgern, ohne dass effektiver Rechtsschutz besteht. Übermittlungen in die USA sind seitdem nur unter strengen Zusatzbedingungen zulässig (Standardvertragsklauseln plus zusätzliche Maßnahmen, sogenanntes Transfer Impact Assessment). Das EU-US Data Privacy Framework von 2023 ist umstritten — Schrems hat bereits Klage angekündigt. Die rechtssichere Lösung ist und bleibt: Daten in Europa belassen.

Brauchen wir trotz Open Source einen externen Datenschutzbeauftragten?

Ja. Auch souveräne Open-Source-Lösungen benötigen DSGVO-konforme Auftragsverarbeitungsverträge nach Art. 28 DSGVO, ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO, ein Verfahren zur Meldung von Datenpannen nach Art. 33 DSGVO und gegebenenfalls eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Open-Source-Software ist das Werkzeug; der externe Datenschutzbeauftragte ist der verantwortliche Mensch, der den rechtssicheren Betrieb sicherstellt. Unsere externen Datenschutzbeauftragten begleiten Open-Source-Migrationen mit allen erforderlichen DSGVO-Dokumenten und vertreten Sie gegenüber Aufsichtsbehörden.

Was ist mit Microsoft Copilot und der KI-Integration in M365?

Microsoft Copilot greift auf nahezu alle Daten in M365 zu — E-Mails, Dokumente, Kalender, Teams-Chats. Die Datenschutzkonferenz hat im November 2024 deutlich gemacht, dass eine DSGVO-konforme Nutzung von Copilot in der öffentlichen Verwaltung praktisch nicht möglich ist. Die EU-KI-Verordnung (AI Act) verschärft diese Einschätzung zusätzlich, weil Copilot in vielen Anwendungsfällen unter die Hochrisiko-Kategorien fallen kann. Souveräne Alternative: lokal gehostete LLMs auf Mistral oder Llama mit RAG-Architektur — siehe unser Schwesterportal souveräne KI.

Wie lange dauert eine vollständige Migration realistisch?

Aus unseren Mandaten: 12-18 Monate für eine vollständige Migration einer mittelständischen Organisation mit 50-250 Arbeitsplätzen. Behörden mit 500+ Arbeitsplätzen brauchen typischerweise 18-30 Monate, wenn der Wechsel parallel zu Tagesgeschäft und Compliance-Anforderungen erfolgt. Die kritischsten Phasen sind nicht die Technik (die ist heute weitgehend ausgereift), sondern Schulung und Akzeptanz: Mitarbeiter müssen die neuen Werkzeuge nicht nur bedienen, sondern auch wertschätzen lernen. Wir investieren daher viel Zeit in Change-Management.

Können wir hybrid bleiben — manche Daten in M365, andere in NextCloud?

Ja, das ist ein häufig gewählter pragmatischer Weg. Personenbezogene Daten der Mitarbeiter, Bewerbungsunterlagen und Gesundheitsdaten gehen in NextCloud. Allgemeine Bürokommunikation kann übergangsweise in M365 verbleiben. Die hybride Architektur erfordert klare Klassifizierung der Daten (was geht wohin) und entsprechende DSGVO-Dokumentation. Wir haben mehrere Mandate, die mit der hybriden Lösung gestartet sind und schrittweise weitere Bereiche zu Open Source migrieren — typisch über 24-36 Monate.

Souveräne Beratung anfragen

DATUREX kombiniert externe Datenschutzbeauftragte (DSGVO), externe Informationssicherheitsbeauftragte (BSI/ISO 27001/NIS-2) und individuelle Open-Source-Software-Entwicklung. Unser Team unterstützt Sie von der ersten DSGVO-Risikoanalyse über Pilotbetrieb bis zur vollständigen Migration weg von Microsoft 365 oder Google Workspace. Bundesweit, mit über 500 Mandaten seit 2012, TÜV+BSI+IHK-zertifiziert.