Die große Trennung

Wie Europa das Vertrauen in amerikanische Software verlor – und warum es so lange dauerte

Teil 1 von 3

An einem Morgen im April 2024 setzten sich Beamte im norddeutschen Bundesland Schleswig-Holstein an ihre Schreibtische und fanden etwas Ungewohntes vor: Word, Excel, Outlook und Teams waren verschwunden. An ihrer Stelle: LibreOffice, Open-Xchange, Thunderbird. Das Land hatte sich bewusst und parteiübergreifend entschieden, als erste Regierung in Europa vollständig aus dem Microsoft-Ökosystem auszusteigen. Sechzigtausend Staatsbedienstete und dreißigtausend Lehrkräfte sollten in den folgenden Monaten lernen, ohne die Werkzeuge zu arbeiten, die den Büroalltag für eine Generation geprägt hatten.¹

Der Schritt hatte politisches Gewicht. In ganz Europa wurde er aufmerksam verfolgt.

Ein Kontinent zieht Bilanz

Im Sommer 2025 kündigte Dänemarks Ministerium für Digitales einen ähnlichen Wechsel an: Microsoft Office 365 werde durch LibreOffice ersetzt, bei allen Mitarbeitenden der gesamten Behörde. Die zuständige Ministerin Caroline Stage Olsen brachte es auf den Punkt: „Wir dürfen uns niemals so abhängig von so wenigen machen, dass wir nicht mehr frei handeln können.“²

In der Schweiz fasste privatim, die Konferenz aller kantonalen Datenschutzbeauftragten, im November 2025 einen formellen Beschluss: Die Auslagerung sensibler Personendaten an internationale Cloud-Anbieter sei für öffentliche Stellen in den meisten Fällen rechtswidrig. Behörden wurden aufgefordert, bei Daten unter Berufsgeheimnis, darunter Krankenakten, Steuerdaten, Rechtsakten und Sozialhilfedaten, auf amerikanische Cloud-Dienste zu verzichten.³ Die Kommissare hielten fest: Datensouveränität lässt sich nicht allein über den Serverstandort herstellen. Es kommt darauf an, wer die Infrastruktur kontrolliert und wer die Verschlüsselungsschlüssel hält.

Der Bund ging noch weiter. Das Projekt Swiss Government Cloud, ein auf CHF 319 Millionen veranschlagtes Vorhaben für den Zeitraum 2025 bis 2032, soll souveräne Infrastruktur auf Bundesebene aufbauen.⁴

Frankreich hat sich schrittweise bewegt, von der Gesetzgebung zur operativen Planung. Das SREN-Gesetz schreibt bereits vor, dass sensible Staatsdaten zu Cloud-Anbietern migrieren müssen, die nach SecNumCloud zertifiziert sind, einem Standard, der Anbieter mit Anknüpfungspunkten an extraterritoriale Gesetzgebung wie den CLOUD Act strukturell ausschließt.⁵ Am 8. April 2026 veranstaltete die französische Digitalbehörde DINUM ein interministerielles Seminar, auf dem konkrete Maßnahmen und Zeitpläne für den Ersatz ausländischer IT-Systeme in allen Ministerien festgelegt wurden. Die DINUM selbst will Windows durch Linux ersetzen. Die Krankenversicherung Caisse nationale d'Assurance maladie stellt ihre rund 80.000 Beschäftigten auf staatlich betriebene Werkzeuge um: den Messenger Tchap, die Videokonferenzsoftware Visio und den Dateiübertragungsdienst FranceTransfert. Bis Herbst 2026 muss jedes Ministerium, einschließlich nachgeordneter Behörden, eine eigene Roadmap vorlegen, die Betriebssysteme, Kollaborationswerkzeuge, KI-Systeme und Netzwerkinfrastruktur abdeckt. Haushaltsminister David Amiel brachte den Anspruch auf den Punkt: „Der Staat kann sich nicht länger damit begnügen, seine Abhängigkeit festzustellen – er muss sie überwinden." ⁵

Im Berliner Reichstagsgebäude überdenkt man die digitale Architektur des Bundestags selbst. Eine interfraktionelle Kommission unter Leitung von Bundestagsvizepräsidentin Andrea Lindholz (CSU) arbeitet die Konsequenzen heraus, die sich daraus ergeben, dass das Parlament auf mehr als zehntausend Arbeitsplätzen Microsoft 365 betreibt. Ihre vollständige Digitalstrategie soll im Mai 2026 vorgelegt werden. Grünen-Abgeordnete Anna Lührmann formulierte es so: Die Arbeitsfähigkeit des Bundestags dürfe nicht komplett an der Infrastruktur einiger weniger Großunternehmen hängen.⁶

Das Risiko wird sichtbar

Die Sorge hinter all diesen Entscheidungen klingt abstrakt, bis sie es nicht mehr ist. Der Internationale Strafgerichtshof musste unlängst so auch erfahren, wie das in der Praxis aussieht.

Im Februar 2025 verhängte die Trump-Regierung Sanktionen gegen Beamte des Internationalen Strafgerichtshofs (IStGH), die auf die Verfolgung des israelischen Ministerpräsidenten Benjamin Netanjahu wegen mutmaßlicher Kriegsverbrechen in Gaza abzielten. Daraufhin wurde bekannt, dass Chefankläger Karim Khan keinen Zugang mehr zu seinem Microsoft Outlook-Konto hatte. Was das bedeutete, löste international Entsetzen aus: Ein amerikanischer Technologiekonzern hatte auf Washingtoner Druck hin möglicherweise den Chefankläger eines internationalen Gerichts von seiner eigenen institutionellen Infrastruktur abgeschnitten.⁷

Drei Monate später traf dieselbe Logik noch weiter. Richter Nicolas Guillou, ein französischer Magistrat an der Vorverfahrenskammer des IStGH, wurde wegen seiner Rolle bei der Ausstellung von Haftbefehlen gegen Netanjahu auf die US-Sanktionsliste gesetzt. Innerhalb weniger Tage funktionierte seine Visa-Karte nicht mehr. Seine Konten bei Amazon, Airbnb und PayPal wurden gesperrt. Eine über Expedia gebuchte Hotelreservierung wurde per E-Mail mit Verweis auf die Sanktionen storniert.

Ein Richter eines internationalen Gerichts, der in Den Haag tätig ist und ein Mandat ausübt, das ihm 125 Mitgliedstaaten übertragen haben, war zum digitalen Ausgestoßenen geworden. Nicht durch eine europäische Behörde, sondern durch eine Entscheidung in Washington, die über amerikanische Technologie- und Zahlungsunternehmen vollstreckt wurde. Guillou beschrieb seine Lage gegenüber Le Monde als eine Form des „bürgerlichen Todes“. Er warnte Brüsseler Beamte, dass jedem und jeder von ihnen dasselbe widerfahren könne.⁸

Der IStGH kündigte daraufhin an, Microsoft 365 durch OpenDesk zu ersetzen, eine europäische Open-Source-Suite, die vom deutschen Staatsunternehmen Zendis zusammengestellt wurde.⁹

Die rechtliche Grundlage

Was all diese Entscheidungen verbindet, ist eine einzige unbequeme Frage, der europäische Institutionen seit dem Inkrafttreten des Clarifying Lawful Overseas Use of Data Act, besser bekannt als CLOUD Act, im März 2018 mit einigem Erfolg ausgewichen sind: Was bedeutet es eigentlich, Daten über die Infrastruktur eines amerikanischen Unternehmens zu speichern, zu übermitteln oder zu verarbeiten?

Dem CLOUD Act zufolge können US-Behörden unter bestimmten Voraussetzungen (die im Teil 2 dieser Serie im Einzelnen beleuchtet werden), jedes amerikanische Unternehmen, das eine Cloud-Infrastruktur betreibt, zur Herausgabe der darüber verarbeiteten Daten zwingen. Gemeint sind damit nicht nur Daten in amerikanischen Büros oder von amerikanischen Nutzer*innen, sondern die Daten europäischer Behörden, Unternehmen und Bürger*innen: ein Server in Frankfurt, ein Rechenzentrum in Dublin, eine cloudbasierte Anwendung in Paris. Der Anknüpfungspunkt ist allein, dass das Unternehmen, das die Infrastruktur betreibt, seinen Hauptsitz in den USA hat. Datenspeicherung ist dabei nur ein Aspekt. Jedes Dokument, das ein US-kontrolliertes System durchläuft, jede Anfrage an eine Cloud-Anwendung, passiert Infrastruktur, die derselben rechtlichen Verpflichtung unterliegt. Das ist ein Umstand, über den man nachdenken sollte: Wenn diese Serie im abschließenden Teil zu KI-Tools kommt, steht er im Zentrum des Arguments.

Sieben Jahre des Wegschauens

Der CLOUD Act ist mittlerweile acht [CA1] Jahre alt. Das Schrems-II-Urteil, das den EU-US Privacy Shield mit der Begründung für ungültig erklärte, dass das amerikanische Überwachungsrecht mit europäischen Datenschutzstandards unvereinbar sei, ist fünf Jahre alt. Die rechtliche Risikolage hat sich seither nicht verändert. Die politische Bereitschaft, sie zu ignorieren, ist dagegen zusammengebrochen – zum Glück.

Die Implikationen waren nicht unbekannt: Sie wurden seit Jahren in wissenschaftlichen Aufsätzen und auf Datenschutzkonferenzen erörtert. Es fehlte nicht an Analyse, sondern an Dringlichkeit.

Ein wesentlicher Auslöser war die Rückkehr Donald Trumps ins Weiße Haus im Januar 2025. Was folgte, war eine so abrupte Verschiebung geopolitischer Gewissheiten. Risiken, die bis dahin eher als rein theoretische Gedankenspiele wahrgenommen wurden, sind plötzlich greifbar . Der IStGH-Fall war ein erstes konkretes Beispiel dafür, aber es ist zu erwarten, dass es nicht der letzte Fall bleiben wird. In Deutschland ließ das Bundesinnenministerium die Rechtslage deshalb auch von der Universität Köln zu Papier bringen. Ihr im Dezember 2025 nach einer Informationsfreiheitsanfrage veröffentlichtes Gutachten kam zu einem unmissverständlichen Ergebnis: US-Behörden können auf in Europa gespeicherte Cloud-Daten zugreifen.¹⁰ Das Bundesinnenministerium passte seine Geheimschutzregeln unmittelbar nach Eingang des Kölner Gutachtens an und erkannte damit faktisch an, dass Verschlusssachen nicht auf US-kontrollierter Infrastruktur verarbeitet werden dürfen.¹¹

„Nein, das kann ich nicht garantieren“

Im Juni 2025 wurde vor einem Untersuchungsausschuss des französischen Senats zu öffentlicher Beschaffung und digitaler Souveränität Anton Carniaux, damals Associate General Counsel bei Microsoft Frankreich, unter Eid gefragt, ob er garantieren könne, dass Daten französischer Bürger*innen auf Microsofts europäischen Servern niemals ohne Zustimmung der französischen Regierung an US-Behörden übermittelt würden. Seine Antwort war präzise und für viele sehr vernichtend: „Nein, das kann ich nicht garantieren.“¹²

Was europäische Entscheidungsträger immer gewusst hatten, stand nun offiziell im Protokoll des französischen Senats, unter Eid, gesprochen von einem ranghohen Unternehmensvertreter selbst.

 Beziehungsstatus: kompliziert

Mittlerweile werden deshalb verschiedene Wege diskutiert: souveräne europäische Cloud-Anbieter, Joint Ventures zwischen US-Hyperscalern und europäischen Partnern, kundenseitig verwaltete Verschlüsselung, SecNumCloud-zertifizierte Alternativen. Die Frage, ob sich durch all das die rechtliche Gefährdungslage tatsächlich auflöst oder lediglich neu verpackt wird, ist der Ausgangspunkt von Teil 2 dieser Serie.

Die Beziehungsveränderung ist somit im vollen Gange. Ob es dabei auch zur Trennung kommen kann, steht auf einem anderen Blatt.

Eines ist jedoch sicher: Washington hat ebenfalls bemerkt, dass sich der Wind gedreht hat. Am 18. Februar 2026 wies ein vom US-Außenminister Marco Rubio unterzeichnetes State-Department-Telegramm amerikanische Diplomaten weltweit an, aktiv gegen Datensouveränitätsgesetze zu lobbyieren und diese als Bedrohung für KI-Dienste, globale Datenflüsse und Bürgerrechte darzustellen. Die Diplomaten wurden aufgefordert, entsprechende Gesetzesinitiativen zu verfolgen und Regulierungen, die als übermäßig belastend eingestuft werden, entgegenzutreten. Die DSGVO wurde dabei namentlich als Beispiel für ein „unnötig belastendes“ Regelwerk angeführt.¹³

Europäische Regierungen, die sich von amerikanischer Cloud-Infrastruktur lösen (oder eben nicht), treffen damit keine bloße IT-Beschaffungsentscheidung mehr. Sie sind Teilnehmer einer geopolitischen Auseinandersetzung, ob sie es beabsichtigen oder nicht. Die kommenden Monate werden zeigen, wie sich dies weiter entwickeln wird.

Teil 2 dieser Serie untersucht die rechtliche Mechanik des CLOUD Act und der FISA Section 702, die Fiktion des „Sovereign Cloud“-Brandings und was das Gutachten der deutschen Bundesregierung über die Grenzen technischer Lösungsansätze aussagt.

Fußnoten

¹ Schleswig-Holstein begann seine Migration im April 2024 mit der Einführung von LibreOffice auf 30'000 Arbeitsplätzen, mit dem Ziel, bis Oktober 2025 70 % der Microsoft-Office-Installationen abzulösen und auf Open-Xchange für E-Mail umzusteigen. Siehe: „German State Schleswig-Holstein Ditches Microsoft for Open Source Software in 2025,“ Eagle Eye Technology, September 2025; EuroStack Directory Project, „Schleswig-Holstein's Bold Open Source Leap, “ März 2025.

² Das dänische Ministerium für Digitales kündigte seinen Wechsel im Sommer 2025 an, mit der Hälfte der Mitarbeitenden bis August und vollständiger Umsetzung bis Herbst. Zitat von Digitalministerin Caroline Stage Olsen, ursprünglich auf Dänisch auf ihrer LinkedIn-Seite veröffentlicht, Juni 2025. Übersetzt aus dem Dänischen; berichtet u.a. in: „A Search for Digital Sovereignty: EU Governments Shift from Microsoft to Linux & LibreOffice, “ 2-data.com, sowie The Document Foundation Blog, 8. Juli 2025.

³ privatim, „Resolution zur Auslagerung von Datenbearbeitungen in die Cloud, “ verabschiedet am 18. November 2025, veröffentlicht am 24. November 2025. privatim ist die Konferenz der schweizerischen Datenschutzbeauftragten. Volltext abrufbar unter: https://www.privatim.ch/de/publikation-resolution-zur-auslagerung-von-datenbearbeitungen-in-die-cloud/. Hinweis: Der Kanton Glarus hat von der Möglichkeit zum Opting-out nach Art. 18.2 der Statuten Gebrauch gemacht.

⁴ Angaben zum Projekt Swiss Government Cloud (SGC), Bundesamt für Informatik und Telekommunikation (BIT). Gesamtkosten CHF 319,4 Millionen, Laufzeit 2025 bis 2032. Siehe: bit.admin.ch/de/sgc

⁵ Frankreichs SREN-Gesetz (loi visant à sécuriser et réguler l'espace numérique) und die SecNumCloud-Zertifizierungsanforderungen. Analyse in „European Digital Sovereignty at Risk: Microsoft's Senate Testimony," Windows Forum, Juli 2025. Interministerielles Seminar vom 8. April 2026: Moritz Förster, „Frankreichs Plan: Weg von Windows, hin zu Linux," heise online, 10. April 2026. Primärquelle: Direction interministérielle du numérique (DINUM), numerique.gouv.fr.

⁶ Zitiert in „Operation Souveränität: Bundestag plant Befreiungsschlag von Microsoft & Co.,“ heise online / Table.Media, 2. Februar 2026.

⁷ Ob Microsoft den Zugang auf Druck der US-Sanktionen unterbrochen hat oder ob der IStGH das Konto vorsorglich deaktivierte, um Microsoft vor Sanktionshaftung zu schützen, ist umstritten. Microsoft bestritt, Dienste gesperrt zu haben, und forderte das britische Parlament später auf, eine Aussage als unzutreffend zu korrigieren. The Register, 18. Februar 2026: https://www.theregister.com/2026/02/18/microsoft_asks_uk_parliament_to_correct_record

⁸ „US Sanctions Turn ICC Judge's Daily Life into a Nightmare,“ Euronews, 18. Februar 2026; Interview Nicolas Guillou mit Le Monde, berichtet von Nordic Times, Dezember 2025; Verfassungsblog, „The Sanctioning of Law,“ Dezember 2025. Präsident Macron bat Trump in einem Brief formell, die Sanktionen aufzuheben; berichtet von Anadolu Agency, Politico und La Tribune Dimanche, Februar 2026.

⁹ „International Criminal Court Drops Microsoft 365 for European Open-Source Suite Amid Geopolitical Fears,“ WinBuzzer, 6. November 2025.

¹⁰ Rechtsgutachten der Universität Köln im Auftrag des Bundesministeriums des Innern, veröffentlicht per Informationsfreiheitsanfrage, Dezember 2025. Berichtet in: „Gutachten: US-Behörden haben weitreichenden Zugriff auf europäische Cloud-Daten,“ 10. Dezember 2025.

¹¹ Benjamin Stiebel, „BMI passt wegen Cloud-Gutachten Geheimschutzregeln an,“ Tagesspiegel Background, 11. Dezember 2025. https://background.tagesspiegel.de/it-und-cybersicherheit/briefing/bmi-passt-wegen-cloud-gutachten-geheimschutzregeln-an

¹² Aussage von Anton Carniaux, Director of Public and Legal Affairs, Microsoft Frankreich, vor dem Untersuchungsausschuss des Französischen Senats zu öffentlicher Beschaffung und digitaler Souveränität, 10. Juni 2025. Protokoll abrufbar unter senat.fr. Berichtet in: „Not Sovereign: Microsoft Cannot Guarantee the Security of EU Data,“ heise online, Juli 2025; „Microsoft Admits It Cannot Guarantee EU Cloud Data Sovereignty from US Government,“ WinBuzzer, 25. Juli 2025.

¹³ State-Department-Telegramm vom 18. Februar 2026, unterzeichnet von Außenminister Marco Rubio, berichtet von Reuters: „Exclusive: US Orders Diplomats to Fight Data Sovereignty Initiatives,“ 25. Februar 2026. Ebenfalls berichtet von TechCrunch und der Japan Times am selben Tag.