Der Begriff Digitale Souveränität spielt eine entscheidende Rolle für die Cybersicherheit moderner Staaten und Organisationen. Darunter versteht man allgemein die Fähigkeit, die eigene digitale Infrastruktur, Daten und Technologien selbstbestimmt zu kontrollieren und zu gestalten – frei von ungewollten Abhängigkeiten. Deutschland und Europa betonen zunehmend die Bedeutung dieser Unabhängigkeit: So verabschiedete die Bundesregierung 2024 eine Strategie zur Stärkung der digitalen Souveränität der IT der öffentlichen Verwaltung, um Abhängigkeiten von einzelnen Anbietern (insbesondere „Big Tech“) zu reduzieren und die Resilienz durch austauschbare Komponenten zu erhöhen.
Allerdings zeigen sich in der Praxis Spannungsfelder: Gleichzeitig wurde nämlich beobachtet, dass Bund und Länder (mit Ausnahme etwa Schleswig-Holsteins) weiterhin verstärkt auf insbesondere Microsoft-Produkte setzen und damit bestehende Abhängigkeiten noch vertiefen.
Ein aktuelles Beispiel dafür liefert der Freistaat Bayern: Dort plant die Regierung, flächendeckend Microsoft 365 in der Verwaltung einzuführen.[1] Diese Entwicklung hat eine Debatte ausgelöst, wie sie sich mit dem Anspruch der digitalen Souveränität und dem Datenschutz vereinbaren lässt – insbesondere im Lichte von aktuellen und vergangenen Gerichtsentscheidungen zum transatlantischen Datenschutzabkommen („Privacy Shield“ bzw. dessen Nachfolger). Im Folgenden soll zunächst der Begriff der digitalen Souveränität erläutert und sein Bezug zur Cybersecurity dargestellt werden. Anschließend betrachten wir kritisch die Pläne in Bayern rund um Microsoft 365 und die damit verbundenen Herausforderungen.
1. Was bedeutet digitale Souveränität?
Der Begriff digitale Souveränität beschreibt im Kern die Möglichkeit, in der digitalen Welt selbstbestimmt zu agieren. Im politischen und wirtschaftlichen Diskurs umfasst dies die Kontrolle über digitale Infrastruktur, Daten und Technologien durch Staat, Gesellschaft, Unternehmen und Individuen.[2] Mit anderen Worten: Wer digital souverän ist, kann IT-Systeme eigenständig betreiben, anpassen und weiterentwickeln, ohne auf einzelne externe Anbieter oder fremde Staaten angewiesen zu sein. Das umfasst sowohl die nötigen technischen Fähigkeiten als auch die rechtlichen und organisatorischen Befugnisse dazu.[3]
Eine solche Unabhängigkeit wird als strategisch wichtig erachtet. So definiert etwa das vom BMI gegründeten Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS) digitale Souveränität dahingehend, dass eine Behörde in der Lage sein muss, ihre IT-Infrastruktur selbstbestimmt zu betreiben und anzupassen – ohne unkontrollierbare Abhängigkeiten von einzelnen Anbietern oder Drittstaaten.[4] Hierbei geht es ausdrücklich nicht nur um Datenschutz, sondern auch um Wechselmöglichkeiten (kein Vendor-Lock-in), Kontrollmöglichkeiten im Krisenfall, Transparenz (z. B. einsehbarer Quellcode) und Mitgestaltungsmöglichkeiten.[5] Digital souverän zu sein bedeutet folglich, die Kontrolle über die eigenen digitalen Prozesse zu behalten und jederzeit Alternativen wählen zu können.
Warum ist das so bedeutsam? Wer technologische Abhängigkeiten verringert, gewinnt Gestaltungsspielraum und mindert Risiken. Laut einer Studie des Fraunhofer-Instituts für System- und Innovationsforschung ist der Aufbau eigener digitaler Kapazitäten nicht nur eine Voraussetzung für die Resilienz gegenüber externen Abhängigkeiten, sondern auch ein wesentlicher Faktor für langfristige Innovationsfähigkeit und Wettbewerbsfähigkeit.[6] Nicht zuletzt ist in Zeiten globaler Konflikte und Cyber-Bedrohungen die Fähigkeit, auf kritische Technologien selbst zurückgreifen zu können, ein entscheidender Vorteil für die nationale Sicherheit.
2. Digitale Souveränität als Sicherheitsfrage
Digitale Souveränität und die Thematik der Cybersicherheit sind eng miteinander verknüpft. Ein souveräner Umgang mit IT – also die Freiheit, Systeme und Daten unter eigener Kontrolle zu halten – bildet eine Grundlage, um Informationen und Prozesse wirksam vor unbefugtem Zugriff oder Manipulation zu schützen. Umgekehrt erhöhen Abhängigkeiten von fremden Plattformen oder Herstellern die Angriffsfläche und bergen Risiken: Wenn kritische Infrastrukturen oder vertrauliche Daten auf externen Servern liegen, die den Gesetzen und Einflüssen anderer Staaten unterworfen sind, verliert man ein Stück weit die Kontrolle über die Sicherheit dieser Daten.
Ein prominentes Beispiel ist die Problematik der Datenverarbeitung in US-Cloud-Diensten. US-Gesetze wie der CLOUD Act verpflichten amerikanische Anbieter wie Microsoft dazu, den US-Behörden auf Verlangen Zugriff auf gespeicherte Daten zu gewähren – selbst dann, wenn diese Daten physisch in Rechenzentren in der EU liegen.[7] Europäische Datenschützer weisen seit Jahren darauf hin, dass dies im Widerspruch zur EU-Datenschutzgrundverordnung (DSGVO) steht und öffentlichen Stellen in Europa eine schwer auflösbare Rechtskollision beschert.[8] Tatsächlich hat der Europäische Gerichtshof im sogenannten Schrems II-Urteil im Jahr 2020 das Privacy Shield (die frühere Datenschutz-Vereinbarung mit den USA) für ungültig erklärt, gerade weil US-Geheimdienstgesetze einen gleichwertigen Schutz europäischer Daten verhinderten.[9] Das danach neu geschaffene Datenschutzabkommen wurde erst letzten Monat vor dem EuG auf den Prüfstand gestellt und für den Moment bestätigt[10], ein Frieden, der wohl nicht lange anhalten wird. Diese unsichere Rechtslage erschwert einen bedenkenlosen Einsatz von US-Clouddiensten in Bereichen mit hohen Schutzanforderungen.
Doch die Gefahren gehen über juristische Aspekte hinaus. Auch operative Sicherheitsrisiken entstehen durch mangelnde digitale Souveränität. Wenn z. B. sicherheitskritische Updates und Patches für Software ausschließlich von einem ausländischen Hersteller bereitgestellt werden, macht das im Worst Case abhängig: Fällt der Lieferant aus oder gerät er unter politischen Druck, kann die eigene Infrastruktur nicht mehr zeitnah abgesichert werden. ZenDiS formuliert es pointiert: Eine vermeintlich „souveräne Cloud“, deren Lebensader wöchentlich die sicherheitsrelevanten Updates eines US-Anbieters sind, ist nicht wirklich souverän. Sie bedeutet vielmehr eine selbstgewählte Abhängigkeit.[11]
Ein Blick auf internationale Entwicklungen verdeutlicht zudem, welche sicherheitspolitischen Fragen mit der Wahl eines außereuropäischen IT-Dienstleisters verbunden sein können. So kam es im Jahr 2025 im Zusammenhang mit US-Sanktionsmaßnahmen zu Berichten, wonach ein Chefankläger des Internationalen Strafgerichtshofs vorübergehend den Zugang zu seinem Microsoft-Dienstkonto verlor.[12] Der Anbieter selbst erklärte später, es habe keine gezielte Sperrung gegeben. Der IStGH jedoch zog seine Konsequenzen und will nun dauerhaft aus der Nutzung von Microsoft Lösungen aussteigen und eine dutesche open source Lösung des ZenDis nutzen.[13] Gleichwohl zeigt der Vorfall, dass globale Technologieplattformen grundsätzlich dem nationalen Recht ihres Sitzstaates unterliegen und in bestimmten Fällen auch verpflichtet sein können, Nutzerkonten einzuschränken oder Dienste auszusetzen. Für staatliche Stellen stellt sich vor diesem Hintergrund die Frage, ob geschäftskritische Kommunikation und vertrauliche Verwaltungsdaten dauerhaft in einer Cloud-Infrastruktur aufgehoben sein sollten, die rechtlich und operativ außerhalb ihrer direkten Kontrolle liegt. Die Sicherstellung der digitalen Handlungsfähigkeit der öffentlichen Verwaltung erfordert daher auch eine sorgfältige Bewertung solcher geopolitisch bedingten Einflussmöglichkeiten.
Kurz gesagt: Ohne digitale Souveränität ist auch die Cybersicherheit eingeschränkt. Wer auf „blindes“ Fremdvertrauen in weit entfernte Cloud-Dienste angewiesen ist, kann Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen nicht vollumfänglich selbst gewährleisten. Daher fordert die Security-Community zunehmend, Abhängigkeiten zu reduzieren und Schlüsseltechnologien sowie Datenhoheit in eigene Hand zu nehmen.
3. Fallbeispiel Bayern: Microsoft 365 und die digitale Souveränität
In Bayern wird derzeit ein umfassender Umbau der digitalen Verwaltungsinfrastruktur vorbereitet.[14] Ziel des Vorhabens ist es, die bisher dezentral organisierten IT-Systeme der Landes- und Kommunalverwaltung zu vereinheitlichen und über einen zentralen Dienstleister zu betreiben. Diese Neuausrichtung, koordiniert durch die staatlich-kommunale Zukunftskommission Digitales Bayern 5.0[15] im Finanzministerium, sieht vor, flächendeckend auf Microsoft 365 als technologische Plattform zu setzen.[16] Damit sollen E-Mail, Büroanwendungen, Videokonferenzen, Zusammenarbeit und perspektivisch auch KI-gestützte Arbeitsprozesse künftig über eine einheitliche Lösung erfolgen.
Die Staatsregierung verfolgt damit das Ziel, Verwaltungsprozesse zu standardisieren, Fachkräfte zu entlasten und digitale Angebote effizienter bereitzustellen, ein Anliegen, das angesichts der fragmentierten IT-Strukturen in vielen Kommunen nachvollziehbar erscheint. Die Umsetzung soll über einen Rahmenvertrag mit Microsoft erfolgen, dessen geschätztes Volumen bei rund einer Milliarde Euro über fünf Jahre liegt. Der Vertrag ist nicht öffentlich ausgeschrieben worden.[17]
Gleichzeitig stößt das Vorhaben auf Kritik aus Fachkreisen. Datenschutzbeauftragte, IT-Verbände und Vertreter mittelständischer IT-Unternehmen bemängeln, dass zentrale Aspekte bislang ungeklärt oder unzureichend berücksichtigt seien. Dies betrifft insbesondere folgende Punkte[18]:
- Wettbewerbliche und industriepolitische Fragen:
Durch die direkte Vergabe an Microsoft wurde auf einen offenen Wettbewerb verzichtet. Alternative Lösungen – etwa auf Basis quelloffener Software oder europäischer Anbieter – hatten keine Chance, berücksichtigt zu werden. Zahlreiche Unternehmen der bayerischen IT-Wirtschaft sehen sich dadurch ausgeschlossen. Sie weisen darauf hin, dass mit einer langfristigen Festlegung auf eine proprietäre Lösung nicht nur wirtschaftliche Potenziale vor Ort verschenkt, sondern auch technologische Abhängigkeiten geschaffen würden. - Datenschutzrechtliche Unsicherheiten:
Microsoft 365 steht seit Jahren unter Beobachtung der Datenschutzaufsichtsbehörden. Die zentrale Problematik liegt in möglichen Datenzugriffen durch US-Behörden aufgrund von Gesetzen wie dem Cloud Act oder FISA, selbst wenn die Daten physisch in der EU gespeichert werden. Zwar hat das Europäische Gericht im September 2025 das neue EU-US Data Privacy Framework vorerst bestätigt, doch bleibt unklar, ob dies langfristig vor Gericht Bestand haben wird. Microsoft selbst räumt ein, keine Garantie gegen Zugriffe durch US-Stellen geben zu können.[19] Vor diesem Hintergrund erscheint eine vollständige Umstellung auf diese Plattform datenschutzrechtlich noch nicht abschließend bewertbar. - Abhängigkeit und Souveränitätsfragen:
Kritiker sprechen von einem Risiko struktureller Abhängigkeit. Zwar ist geplant, Microsoft 365 in einer speziellen Betriebsform mit Rechenzentren in Deutschland durch deutsche Partner zu betreiben. Doch zentrale Steuerungsfunktionen wie Softwareentwicklung, Sicherheitsupdates oder Benutzerverwaltung verblieben weiterhin vollständig beim US-Anbieter. Damit seien grundlegende Anforderungen an digitale Souveränität – wie Interoperabilität, Kontrollfähigkeit und Wechseloptionen – nicht erfüllt. - IT-Sicherheit und geopolitische Risiken:
Einzelne Vorfälle, wie der temporäre Ausschluss des Chefanklägers des Internationalen Strafgerichtshofs von seinem Microsoft-Konto im Zuge von US-Sanktionen, haben gezeigt, dass internationale politische Spannungen unmittelbare Auswirkungen auf digitale Dienste haben können. Fachleute vermissen bislang belastbare Konzepte, wie solche Risiken im bayerischen Kontext bewertet und abgesichert werden sollen. - Finanzielle Transparenz und Folgekosten:
Neben dem Volumen des geplanten Rahmenvertrags ist bislang nicht eindeutig geklärt, ob der Freistaat oder die Kommunen die laufenden Betriebskosten tragen werden. Diese Intransparenz in der Finanzierung wird von mehreren Seiten kritisiert, insbesondere mit Blick auf langfristige Haushaltswirkungen und die Frage, ob Mittel nicht auch für dezentrale, souveräne Alternativen zur Verfügung stehen sollten.
4. Fazit
Die Diskussion um digitale Souveränität zeigt: Es geht nicht um Technikskepsis oder Protektionismus, sondern um langfristige Sicherheit, Rechtskonformität und wirtschaftliche Zukunftsfähigkeit. Die Debatte um Microsoft 365 in Bayern zeigt exemplarisch, wie Verwaltungsmodernisierung und digitale Souveränität in ein Spannungsfeld geraten können. Auf der einen Seite steht das berechtigte Interesse, die öffentliche IT-Infrastruktur effizienter, einheitlicher und bürgerfreundlicher zu gestalten. Auf der anderen Seite darf die langfristige Unabhängigkeit des Staates von einzelnen Technologiekonzernen nicht aus dem Blick geraten. Andere Bundesländer demonstrieren bereits, dass es Alternativen gibt: Schleswig-Holstein etwa verfolgt eine Strategie, schrittweise aus der Microsoft-Abhängigkeit auszusteigen. Dort werden offene Lösungen eingesetzt – von Linux-Desktops über LibreOffice bis zu Nextcloud und Open-Source-Fachanwendungen – und bereits tausende Arbeitsplätze in der Landesverwaltung erfolgreich umgestellt.[20] Auch in Thüringen und Mecklenburg-Vorpommern kommen mit OpenTalk oder lokalen Cloud-Diensten datenschutzkonforme, souveräne Alternativen im Bildungs- und Verwaltungsbereich zum Einsatz.[21] Diese Beispiele belegen, dass Digitalisierung und Souveränität kein Widerspruch sein müssen.
Für Bayern wird entscheidend sein, die Vorteile der Standardisierung mit den Prinzipien der digitalen Souveränität in Einklang zu bringen. Gelingt dies, kann der Freistaat die Modernisierung seiner Verwaltung vorantreiben, ohne seine digitale Handlungsfreiheit zu opfern. Andernfalls könnte er Gefahr laufen, sich in eine schwer umkehrbare Abhängigkeit zu begeben. Die Chance besteht darin, digitale Verwaltung und digitale Souveränität gemeinsam zu denken, zum Wohle der öffentlichen Hand, der Wirtschaft und der Bürgerinnen und Bürger. Digitale Souveränität ist kein Selbstzweck, sie ist die Voraussetzung dafür, dass wir der Technologie vertrauen und sie sicher nutzen können. In diesem Sinne bleibt es spannend, den Fortschritt der Bestrebungen in Bayern weiter zu beobachten!
[1] https://background.tagesspiegel.de/digitalisierung-und-ki/briefing/bayern-und-nrw-laender-pruefen-nutzung-von-microsoft-clouddiensten .
[2] https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/digitale-souveraenitaet/digitale-souveraenitaet-node.html .
[3] https://www.cloudcomputing-insider.de/was-ist-digitale-souveraenitaet-a-7631925c241d476119933166f3d382cf/ .
[4] https://www.zendis.de/media/pages/newsroom/publikationen/souveraenitaets-washing/751a2c5eb1-1755243871/zendis-whitepaper-souveraenitaets-washing.pdf , S. 4.
[5] https://www.zendis.de/media/pages/newsroom/publikationen/souveraenitaets-washing/751a2c5eb1-1755243871/zendis-whitepaper-souveraenitaets-washing.pdf , S. 7.
[6] https://www.isi.fraunhofer.de/de/presse/2020/presseinfo-11-Technologiesouveraenitaet.html .
[7] https://www.justice.gov/d9/pages/attachments/2019/04/09/cloud_act.pdf , S. 2203, Rn. 5 ff.
[8] Martinek/Semler/Flohr, Handbuch des Vertriebsrechts, 5. Aufl. 2025, § 51 Internationales Datenschutzrecht, Rn. 68.
[9] https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18 .
[10] https://rsw.beck.de/aktuell/daily/meldung/detail/eug-t55323-datentransfer-usa-datenschutzabkommen-privacy-shield .
[11] https://www.zendis.de/media/pages/newsroom/publikationen/souveraenitaets-washing/751a2c5eb1-1755243871/zendis-whitepaper-souveraenitaets-washing.pdf , S. 3 f.
[12] https://www.egovernment.de/internationaler-strafgerichtshof-setzt-auf-open-source-statt-auf-microsoft-a-188bf20a319bb2a92f0c26f17e20f2db/ .
[13] https://netzpolitik.org/2025/sorge-vor-us-sanktionen-internationaler-strafgerichtshof-kickt-microsoft-aus-seiner-verwaltung/ .
[14] https://www.stmd.bayern.de/freistaat-baut-digital-vorsprung-aus-bayern-belegt-die-ersten-50-plaetze-im-bundesranking-und-90-der-top-100-mehring-unsere-digitalstrategie-geht-voll-auf-bayern-wird/ .
[15] https://www.stmfh.bayern.de/internet/stmf/aktuelles/pressemitteilungen/25842/ .
[16] https://www.heise.de/news/Umstrittene-Clouddienste-Bayern-will-Microsoft-365-in-Behoerden-einfuehren-9822874.html .
[17] https://www.it-sicherheitscluster.de/offener-brief-zum-milliarden-abo-des-freistaats-bayern-bei-microsoft/ .
[18] U.a.: https://auctores.de/unternehmen/aktuelles/news/offener-brief-zum-irrweg-der-zukunftskommission-5-0-3626727/ ; https://www.it-sicherheitscluster.de/offener-brief-zum-milliarden-abo-des-freistaats-bayern-bei-microsoft/ ; https://owncloud.osb-alliance.de/apps/richdocuments/documents.php/public?fileId=&shareToken=hDU4sviaDZLzNCb .
[19] https://www.heise.de/news/Nicht-souveraen-Microsoft-kann-Sicherheit-von-EU-Daten-nicht-garantieren-10494684.html .
[20] https://www.schleswig-holstein.de/DE/landesregierung/ministerien-behoerden/I/Presse/PI/2024/CdS/241125_cds_open-source-strategie .
[21] https://finanzen.thueringen.de/aktuelles/medieninfo/detailseite/digitale-souveraenitaet-dank-sicherer-open-source-loesung-thueringer-landesverwaltung-setzt-auf-opentalk-fuer-videokonferenzen ; https://www.datenschutz-mv.de/presse/?id=210005&processor=processor.sa.pressemitteilung.
