Sign in Subscribe
By Axel - The Pandolin in Digitale Souveränität

Bayern kauft "digitale Souveränität" bei Microsoft. Und nennt das Fortschritt.

Bayern plant einen zentralen Microsoft-365-Arbeitsplatz für die gesamte Verwaltung – per Rahmenvertrag ohne Ausschreibung und für Hunderte Millionen Euro bei einem US-Konzern. Schleswig-Holstein zeigt parallel: Digitale Souveränität geht offen, lokal, vendor-unabhängig.

Bayern kauft "digitale Souveränität" bei Microsoft. Und nennt das Fortschritt.

Am 24. Oktober 2025 ist in Bayern ein offener Brief veröffentlicht worden, initiiert u. a. von Holger Dyroff (Open Source Business Alliance / OSBA), Markus Feilner (Feilner IT), B1 Systems, OpenProject, Heinlein Group / OpenTalk / OpenCloud, NETWAYS, Hallo Welt! und anderen bayerischen und deutschen IT-Unternehmen. Der Brief richtet sich direkt an die bayerische Staatsregierung.

Der Vorwurf: Das bayerische Finanzministerium wolle über die „Zukunftskommission 5.0“ einen einheitlichen digitalen Arbeitsplatz für die gesamte Landesverwaltung – technisch komplett auf Basis von Microsoft 365, Teams, Meetings, Collaboration, KI-Assistent (Copilot) und mehr. Geplant sei ein zentraler Rahmenvertrag, der ohne echte Ausschreibung auskommt und damit bayerische Anbieter faktisch ausschließt. Zudem sei dafür über mehrere Jahre ein Budget im hohen dreistelligen Millionenbereich bis nahe an eine Milliarde Euro vorgesehen – Geld, das primär in ein einziges US-Unternehmen fließen soll, statt in lokale Wertschöpfung. (Quelle: offener Brief der Initiatoren, 24.10.2025)

Der Brief nennt das einen industriepolitischen Kahlschlag. Nicht nur technisch, sondern strategisch. Und er stellt die Frage, die man eigentlich für eine rhetorische Pointe halten könnte, wenn sie nicht so bitter ernst wäre: Vertraut die bayerische Staatsregierung der eigenen bayerischen IT-Wirtschaft nicht? Und warum "verschiebt" sie lieber einer Milliarde Euro Steuergelder über Dublin in die USA statt sie in die eigenen heimischen Unternehmen zu reinvestieren?

Was Bayern offiziell plant

Um fair zu bleiben: Bayern verkauft diesen Schritt nicht als „Wir kaufen Microsoft“. Bayern verkauft ihn als Verwaltungsreform. Und diese ist zugegebenermaßen bitter nötig.

Die staatlich-kommunale „Zukunftskommission #Digitales Bayern 5.0“ wurde im März 2024 gegründet, angeführt vom Bayerischen Staatsministerium der Finanzen und für Heimat. Mit am Tisch sitzen Staatskanzlei, Innenministerium, Digitalministerium und die kommunalen Spitzenverbände. Auftrag: Die Verwaltung „leistungsfähiger, einheitlicher und effizienter“ machen.

Die Kommission beschreibt das Problem so:

Heute nutzt jede Behörde, jede Kommune ihre eigene IT-Landschaft. Das kostet Geld, Zeit, Personal und speziell das Personal fehlt besonders in den Kommunen. Der durch die Alterspyramide zu erwartende explodierende Mangel an Personal verschärft das Problem deutlich. Die Bürger erwarten (digitale) übergreifende Dienste, aber der Flickenteppich blockiert Tempo und Qualität.

Die Antwort aus Sicht der Staatsregierung lautet richtigerweise: Standardisierung. Konkret ist geplant, einerseits bis Ende 2025 einen zentralen IT-Dienstleister für alle bayerischen Kommunen aufzubauen (großartige Idee), IT-Aufgaben zu bündeln, anstatt jede Stadt/Gemeinde allein kämpfen zu lassen (das wäre schon beim Limux-Projekt 2014 ein Beschleuniger gewesen) sowie "ein solides kommunales IT-Fundament für eine nachhaltige Digitalisierung im Freistaat“ zu schaffen.

Das heißt übersetzt: Bayern will den Verwaltungsarbeitsplatz zentral definieren und zentral betreiben lassen. Samt Kollaboration, Kommunikation, Dokumentenbearbeitung und künftig auch KI-gestützter Assistenz für Verwaltungsmitarbeitende.

Bis hierhin kann man sagen: Das Ziel (Weg vom Flickenteppich, Entlastung der Kommunen) ist völlig legitim und der richtige Weg.

Warum diese Entscheidung heikel ist (und nicht nur technisch)

1. Kein echter Wettbewerb, keine lokale Wertschöpfung

Laut offenem Brief der OSBA-nahen Initiatoren soll dieses „Einheits-Arbeitsplatz“-Modell über einen zentralen Rahmenvertrag laufen. Rahmenvertrag heißt: Der Freistaat verhandelt nur einmal groß. Die Kommunen sowie Landesbehörden steigen dann ohne eigene Ausschreibung ein.

Das spart Vergabeaufwand, wirkt im ersten Moment effizient. Aber es schaltet Wettbewerb faktisch aus. Bayerische Anbieter von Collaboration, Videokonferenz, Wissensmanagement, Groupware, E-Mail, Projektarbeit, Ticketsystemen etc. kommen dann gar nicht mehr zum Zug, weil die technische Blaupause bereits politisch auf einen einzigen Anbieter festgeschrieben ist.

Die Kritik der Unterzeichner ist deshalb nicht rein „Open Source gut, Microsoft böse“. Die Kritik ist: Mit einem Rahmenvertrag über Jahre wird ein exklusiver proprietärer Stack zementiert. Staatlich abgesegnet, milliardenschwer finanziert. Und die eigene mittelständische Softwareindustrie wird nicht als sicherheitskritische Infrastruktur betrachtet, sondern als Störfaktor.

Das ist Industriepolitik. Reine Lobbypolitik. Und zwar zugunsten eines einzelnen US-Anbieters. So wie seinerzeit auch der Limux-Ausstieg mit dem folgenden Umzug Microsofts von unterschleißheim nach München ein wie der Schwabe sagen würde "Geschmäckle" hatte.

2. „Souveräne Cloud“ als Marketing-Verpackung

Bayern argumentiert sinngemäß so: Wir nehmen Microsoft 365, aber in einer speziell abgeschotteten Betriebsform. Rechenzentren in Deutschland, betrieben von einem deutschen Unternehmen, getrennt von der globalen Microsoft-Cloud. Dieses Modell orientiert sich an der sogenannten „souveränen Cloud“ für den öffentlichen Sektor, wie sie u. a. unter dem Label Delos Cloud vermarktet wird. Dort stellt ein deutscher Betreiber (z. B. SAP/Arvato) Microsoft-Dienste wie Azure und Microsoft 365 für Behörden bereit und verspricht Datenhaltung in Deutschland, deutsches Personal, DSGVO-Konformität.

Klingt nach: Alles gut, alles souverän.

Jetzt kommt der Dämpfer: Das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) – eine vom Bund gegründete Stelle, deren Job es ist, genau solche Konstrukte zu bewerten – nennt dieses Modell beim Namen: „Souveränitäts-Washing“.

Im aktuellen Whitepaper erklärt ZenDiS:

Große nicht-europäische Hyperscaler vermarkten ihre Angebote gerne als „souverän“, indem sie auf europäische Rechenzentren, „Datengrenzen“ oder Partnerschaften mit lokalen Betreibern verweisen.

Bei genauer Betrachtung bleiben aber zentrale Hebel (Produkt-Roadmap, Funktions-Updates, Sicherheits-Patches, Account- und Zugriffsverwaltung und nicht zuletzt der Code) in der Hand des US-Konzerns.

Diese Modelle lösen deshalb die strukturelle Abhängigkeit nicht, sie verpacken sie nur neu. Und zementieren langfristige Abhängigkeiten. Den gefürchteten Vendor-Lock-In.

ZenDiS definiert „Digitale Souveränität“ so: Ein Staat oder eine Behörde muss in der Lage sein, digitale Infrastruktur selbstbestimmt zu betreiben, weiterzuentwickeln und anzupassen und dies ohne unkontrollierbare Abhängigkeit von einzelnen Anbietern oder Drittstaaten. Das umfasst nicht nur Datenschutz, sondern ausdrücklich auch Wechselmöglichkeit (kein Vendor-Lock-in), Kontrollfähigkeit im Krisenfall (auch bei Ausfall oder Sperrung von Konten), Transparenz (z. B. einsehbarer Quellcode) und Mitgestaltung.

ZenDiS nennt die Delos Cloud explizit als Negativ-Beispiel: Ja, die Infrastruktur wird in Deutschland betrieben, aber sie baut technisch auf Microsoft Azure und Microsoft 365 auf. Damit bleiben sicherheitskritische Updates, Funktionsfreischaltungen und operative Kontrolle in den Händen eines US-Konzerns. Die strukturelle Abhängigkeit wird nicht aufgelöst, sondern verwaltet. Die Betriebsfähigkeit der Verwaltung hängt damit weiterhin von einer externen, politisch beeinflussbaren Instanz ab.

Oder kürzer formuliert: Eine „souveräne Cloud“, deren Lebensader wöchentlich sicherheitsrelevante Updates eines US-Anbieters braucht, ist nicht wirklich souverän. Sie ist freundlich selbst freiwillig eingezäunte Abhängigkeit. ZenDiS warnt ausdrücklich davor, das irrigerweise als „Souveränität“ zu verkaufen.

Das ist politisch heikel für Bayern. Denn die Staatsregierung bewirbt genau diese Richtung als Teil ihrer Modernisierungslösung.

3. Geopolitik 2025: Das ist längst Sicherheits- und Außenpolitik

Dieser Punkt ist der unangenehmste und gleichzeitig der, den man in München derzeit am liebsten klein halten würde.

Wir befinden uns in einem internationalen Klima, in dem digitale Infrastruktur offen als politisches Druckmittel verhandelt wird. Die US-Regierung unter Präsident Trump setzt seit Anfang 2025 wieder stark auf Sanktionen als außenpolitisches Werkzeug. Inklusive Sanktionen gegen den Internationalen Strafgerichtshof (ICC) und dessen Chefankläger Karim Khan, nachdem der ICC in heiklen Völkerrechtsfragen gegen Verbündete der USA (u. a. Israel) vorgegangen ist. Laut übereinstimmenden Berichten haben diese Sanktionen dazu geführt, dass Khan zeitweise keinen Zugriff mehr auf sein Microsoft-Postfach hatte; Microsoft wird in diesem Kontext als ausführender Dienstleister genannt, bestreitet aber, bewusst Accounts blockiert zu haben. Nun ja. Wollen wir hier über Glaubwürdigkeit diskutieren?

Parallel dazu hat die US-Regierung Sanktionen und Reise-/Finanzbeschränkungen auch auf weitere ICC-Mitarbeiter, kritische Journalisten, ja sogar auf Richterinnen und Richter ausgedehnt, mit dem klar formulierten Ziel, internationalen Ermittlungen gegen US-Interessen politischen und wirtschaftlichen Schmerz zuzufügen. Europäische Stimmen und auch Abgeordnete des EU-Parlaments sehen darin verständlicherweise einen massiven Eingriff in die Souveränität internationaler Justizstrukturen.

Warum ist das relevant für Bayern? Weil dieser Fall zeigt, dass ein US-Anbieter, der zentrale Kommunikationsinfrastruktur betreibt, unter geopolitischem Druck gezwungen sein kann, Dienste für einzelne Personen oder Institutionen einzuschränken. Ganz legal, gestützt auf US-Sanktionsrecht. Das ist kein Sci-Fi-Szenario, sondern real dokumentierte Praxis.

Dazu kommt der CLOUD Act der USA: Der CLOUD Act verpflichtet US-Anbieter wie Microsoft, Daten herauszugeben, wenn US-Behörden das verlangen. Auch dann, wenn diese Daten in der EU oder in Deutschland liegen. Europäische Juristen weisen seit Jahren darauf hin, dass dies in direktem Widerspruch zur DSGVO steht und die öffentliche Hand in Europa damit in eine strukturelle Rechtskollision bringt.

Mit anderen Worten: Wer seine komplette Verwaltungsarbeit wie Mails, Dokumente, Besprechungen, Chat, Wissensspeicher, KI-Funktionen auf einen einzigen US-Anbieter legt, akzeptiert damit auch die Möglichkeit, dass außenpolitische Interessen Washingtons theoretisch direkte Auswirkungen auf den laufenden Betrieb einer deutschen Landesverwaltung haben könnten.

Damit ist dies kein normales „IT-Projekt“ sondern faktische Sicherheitspolitik.

Und spätestens hier knirscht es richtig im Freistaat: Bayern präsentiert das alles als reine Effizienzmaßnahme. Aber in Wahrheit ist es eine Weichenstellung, wie abhängig sich der Staat Bayern zukünftig von der Außenpolitik einer fremden Regierung mit Hegemonialansprüchen macht.

4. Wer zahlt am Ende?

Die Zukunftskommission begründet ihre Marschrichtung mit der Lage der Kommunen: Personalmangel, Kostendruck, steigende Erwartungen der Bürger, überforderte IT-Abteilungen. Laute gute und wahre Argumente. Deshalb, so die offizielle Linie, brauche es einen zentralen IT-Dienstleister und zentrale Plattformen, um Kommunen zu entlasten. Nur die Antwort ist grundfalsch.

Die Initiatoren des offenen Briefs stellen die Gegenfrage: Wenn jetzt ein zentraler Microsoft-Stack über einen bayernweiten Rahmenvertrag ausgerollt wird, also inklusive Microsoft 365, Teams, KI-Funktionen etc., der volle Stack, wer trägt die laufenden Lizenz- und Betriebskosten wirklich? Der Freistaat? Die Kommunen? Oder am Ende doch die kommunalen Haushalte, die man angeblich „entlasten“ möchte?

Diese Kosten- und Verteilungsfrage ist öffentlich derzeit nicht transparent beantwortet. Und das ist, gelinde gesagt, suboptimal, wenn man über Beträge im Bereich „fast eine Milliarde Euro über fünf Jahre“ diskutiert.

Schleswig-Holstein zeigt, wie es auch gehen kann

Das wirklich Bittere (aus bayerischer Sicht): Das Gegenmodell existiert längst sehr erfolgreich in Deutschland, in Produktion, mit fünfstelliger Nutzerzahl. Und nicht in dem Modellstaat "Laptop und Lederhose".

Schleswig-Holstein hat eine offene, langfristig angelegte Exit-Strategie aus dem Microsoft-Vendor-Lock-in zur offiziellen Linie erhoben. Laut Landesregierung basiert der „digital souveräne IT-Arbeitsplatz“ auf sechs Säulen:

  1. Linux Arbeitsplatz: ein verwaltungsfähiger Linux-Desktop samt Infrastruktur
  2. LibreOffice als Standard-Office-Suite
  3. webbasierte Kollaboration und Dateiaustausch (u. a. Nextcloud)
  4. Open-Source-Identitäts- und Verzeichnisdienste
  5. Plattform-unabhängige Fachverfahren
  6. Open-Source-basierte Telefonie
6 Säulen Modell Schleswig Holsteins (Quelle Dataport)

Und das ist nicht nur ein Konzeptpapier sondern es handelt sich um harte Fakten: Schleswig-Holstein hat LibreOffice bereits als Standard-Büropaket auf rund 25.000 IT-Arbeitsplätzen der Landesverwaltung ausgerollt und stellt Schritt für Schritt auf offene Formate um. Ebenso wurde Microsofts proprietäres Exchange gegen OpenExchange ausgetauscht. Ziel ist explizit, staatliche Arbeitsfähigkeit nicht vom Lizenzwillen eines einzelnen Anbieters abhängig zu machen. Ebenso wichtiges politisches Ziel ist es die Wertschöpfung im eigenen Land zu halten und nicht in die USA abfließen zu lassen. Ethische IT.

Schleswig-Holstein nennt das ganz offen „digitale Souveränität“ und „den digital souveränen IT-Arbeitsplatz in der Landesverwaltung“. Das ist nicht nur Kostenthema. Das ist Staatsräson: eigene Kontrolle, eigene Weiterentwicklung, eigene Roadmap.

Man muss das so hart sagen: Während Schleswig-Holstein gerade öffentlich feiert, dass man erfolgreich 25.000 staatliche Arbeitsplätze aus der Microsoft-Abhängigkeit herausführt, präsentiert Bayern den Einstieg in ein Microsoft-zentriertes Modell als Zukunft und nennt es „souverän“. Das ist nicht nur kommunikativ schwierig. Das ist ein Widerspruch in der Sache.

Was Bayern jetzt liefern muss

Der offene Brief fordert keine Revolution. Er fordert Hausaufgaben, die eigentlich selbstverständlich sein sollten, bevor man die IT-Architektur eines Bundeslands für die nächsten zehn bis fünfzehn Jahre festnagelt:

  1. Offenlegung der Entscheidungsgrundlagen.
    Welche Alternativen wurden geprüft? Nach welchen Kriterien? Wie ist man zu der Microsoft-Lösung gekommen?
  2. Transparenz bei den Kosten.
    Wer trägt welche Lizenz- und Betriebslasten dauerhaft – Freistaat oder Kommunen?
  3. Risikobewertung.
    Welche Vorkehrungen existieren gegen geopolitische Eingriffe, Sanktionen oder politisch motivierte Account-Sperrungen, wie sie aktuell im Kontext des Internationalen Strafgerichtshofs diskutiert werden?
  4. Echte Souveränitätskriterien.
    Teilt Bayern die ZenDiS-Definition von digitaler Souveränität? Also Wechselmöglichkeit, technologische Eigenkontrolle, Transparenz, Weiterentwickelbarkeit durch europäische Akteure? Oder ersetzt Bayern „Souveränität“ einfach durch eine heile Traumwelt a la „steht in Bayern“?
  5. Industrielle Verantwortung.
    Warum ist extrem leistungsfähige bayerische IT-Wirtschaft in einem IT-Großprojekt des Freistaats seitens der eigenen Regierung nicht gesetzt als Teil der Lösung sondern buchstäblich außen vor?

IMHO

Bayern hat recht, wenn es sagt: Die Verwaltung muss standardisiert werden. Die Kommunen sind überlastet. Und es wird nicht besser werden. Wir können uns nicht länger leisten, dass jedes Landratsamt seine eigene Kollaborationsplattform baut. Das steht sogar sehr klar in den Unterlagen der Zukunftskommission: Ein zentraler IT-Dienstleister soll bis Ende 2025 entstehen, um Kommunen zu entlasten und eine einheitliche digitale Infrastruktur bereitzustellen.

Aber:
Wer dann gleichzeitig die komplette Arbeitsfähigkeit des bayerischen Staates, also Kommunikation, Dateien, Meetings, Wissensspeicher, KI-Unterstützung, etc. an einen einzigen US-Anbieter koppelt und das unter dem Label „Souveränität“ verkauft, ignoriert zwei Dinge:

Einerseits die politische Realität 2025.
Wir haben inzwischen Schwarz auf Weiß erlebt, wie US-Sanktionspolitik IT-Infrastruktur internationaler Institutionen trifft. Es gab die oben genannten Berichte, dass selbst der Chefankläger des Internationalen Strafgerichtshofs zeitweise aus seinem Microsoft-Postfach gesperrt wurde – nicht wegen Technik, sondern wegen Geopolitik. Microsoft widerspricht wenig überraschend einzelnen Darstellungen, aber der Punkt bleibt: Diese Art Druck ist möglich. Und sie wird eingesetzt.

Andererseits das existierende Gegenmodell.
Schleswig-Holstein rollt gerade einen „digital souveränen IT-Arbeitsplatz“ aus, auf Basis freier Software, offener Standards, Linux-Desktop (+1 Linux), LibreOffice als Standard, Nextcloud-Ansatz und klarer Wechsel- und Weiterentwicklungsfähigkeit für rund 25.000 Arbeitsplätze!!! in der Landesverwaltung. Das ist nicht Zukunftsmusik. Das läuft, heute, in Deutschland. Und ohne nennenswertes Knirschen im Getriebe.

Wenn der Freistaat Bayern also ernsthaft glaubwürdig von „digitaler Souveränität“ sprechen möchte, dann muss er jetzt einiges liefern:

  • vollständige Transparenz über Kosten, Alternativen, Risiken,
  • eine klare Exit-Strategie aus dem Vendor-Lock-in (nicht nur ein hübscher Rahmenvertrag),
  • verbindliche Kriterien für Souveränität, die mehr sind als „steht im bayerischen Rechenzentrum“.

Bis dahin bleibt ein schaler Beigeschmack:
Wir nennen es Souveränität.
Wir kaufen es aber in Redmond.

Subscribe to pandolin.io

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe