Zum Inhalt springen
← Zurück zum Blog

Digitale Souveränität: Was „Made in Germany" für Ihre Verwaltungsdaten bedeutet

von Decidio Redaktion5 Min. Lesezeit

Im Oktober 2025 verkündete Schleswig-Holsteins Digitalminister Dirk Schrödter eine Nachricht, die weit über die Landesgrenzen hinaus Aufmerksamkeit erregte: 30.000 der 60.000 Landesbeamten arbeiten ab sofort mit Open-Source-Alternativen statt Microsoft-Produkten. Die geschätzte Ersparnis: 15 Millionen Euro pro Jahr. „We're done with Teams!", kommentierte Schrödter — und meinte damit keine impulsive Trotzreaktion, sondern das Ergebnis einer mehrjährigen, nüchternen Kosten-Nutzen-Analyse.

Was Schleswig-Holstein vormacht, ist kein Einzelfall, sondern Teil einer europäischen Neubewertung: Wer kontrolliert die digitale Infrastruktur des öffentlichen Sektors? Und warum ist die Antwort auf diese Frage für Kommunen wichtiger als für jedes Startup?

Das Problem: Kontrolle ist nicht gleich Standort

Beginnen wir mit einer Unterscheidung, die in der Debatte häufig untergeht: Datenresidenz ist nicht Datensouveränität.

Datenresidenz bedeutet, dass Daten physisch in Deutschland oder der EU gespeichert sind. Das klingt beruhigend, löst aber das zentrale Problem nicht. Der US-amerikanische CLOUD Act von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage amerikanischer Behörden herauszugeben — unabhängig davon, wo die Server stehen. Ein deutsches Rechenzentrum, betrieben von einem US-Konzern, unterliegt amerikanischer Jurisdiktion.

Datensouveränität geht weiter: Sie bedeutet, dass die Organisation, die Daten erhebt — in diesem Fall die Kommune —, die vollständige rechtliche und technische Kontrolle behält. Über Zugriff, Verarbeitung und Löschung. Ohne Hintertüren, ohne Jurisdiktionskonflikte.

Der Unterschied ist nicht theoretisch. Im April 2024 stellte der Europäische Datenschutzbeauftragte (EDSB) fest, dass die EU-Kommission selbst durch ihre Nutzung von Microsoft 365 gegen die DSGVO verstößt, wie das International Association of Privacy Professionals (IAPP) berichtete. Wenn die eigene Datenschutzbehörde der EU gegen EU-Recht verstößt, zeigt das die Dimension des Problems.

Warum der öffentliche Sektor anders ist

Ein Startup in Berlin kann pragmatisch entscheiden, seine Kundendaten bei einem US-Hyperscaler zu hosten. Die rechtlichen Risiken sind überschaubar, die Skalierungsvorteile groß, und die Alternative — eigene Infrastruktur — ist wirtschaftlich unsinnig.

Für eine Kommune gilt keines dieser Argumente. Kommunale Daten umfassen Meldedaten, Sozialleistungen, Bauanträge, Bürgerbeschwerden — sensible personenbezogene Informationen, die unter besonderem Schutz stehen. Kommunen sind keine Marktteilnehmer, die Risiken einpreisen. Sie sind treuhänderische Verwalter von Bürgerdaten.

Die Datenschutzkonferenz (DSK) machte diese Unterscheidung im September 2024 erneut deutlich, als sie den Einsatz von Microsoft 365 an Schulen für rechtswidrig erklärte. Die Begründung: Personenbezogene Daten von Kindern dürfen nicht in einer Infrastruktur verarbeitet werden, bei der ein Zugriff durch Drittstaaten nicht ausgeschlossen werden kann.

Was für Schulen gilt, gilt für die gesamte kommunale Verwaltung. Bürgerdaten sind kein Handelsgut. Sie verdienen eine Infrastruktur, die das widerspiegelt.

Schrems II — und was danach kommt

Das Rechtsumfeld für transatlantische Datenflüsse ist seit Jahren instabil. Der Europäische Gerichtshof kippte 2020 mit dem Schrems-II-Urteil das Privacy-Shield-Abkommen zwischen EU und USA. Das Nachfolgeabkommen — das EU-US Data Privacy Framework — steht erneut vor dem EuGH. Laut Analyse der Kanzlei WilmerHale (2025) sind die Erfolgsaussichten der neuen Klage nicht unerheblich, zumal die US-Seite die Aufsichtsstruktur PCLOB (Privacy and Civil Liberties Oversight Board) geschwächt hat.

Für Kommunen bedeutet diese Instabilität ein konkretes Risiko: Wer heute auf US-basierte Cloud-Dienste setzt, könnte morgen vor einem Rechtsvakuum stehen. Nicht weil die Technologie schlecht ist, sondern weil die rechtliche Grundlage wegbrechen kann.

82 Prozent der befragten Organisationen überarbeiten laut aktuellen Erhebungen (2025) ihre Cloud-Strategie explizit wegen Datensouveränitätsbedenken. Das ist keine Panikmache, sondern Risikomanagement.

Was sich bewegt: Deutsche Verwaltungscloud und neue Standards

Die gute Nachricht: Europa steht nicht still. Seit dem 1. April 2025 ist die Deutsche Verwaltungscloud (DVC) live — ein digitaler Marktplatz für Cloud-Dienste, der Behörden auf Bund-, Landes- und Kommunalebene zur Verfügung steht, wie Heise.de berichtete. Das Ziel: souveräne Alternativen verfügbar machen, ohne jede Kommune zu zwingen, eigene Server zu betreiben.

Im Dezember 2025 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktualisierten Cloud-Sicherheitsstandard C5:2025. BSI-Präsidentin Claudia Plattner formulierte das Ziel: „Achieving digital sovereignty faster" — digitale Souveränität beschleunigen, nicht als Abschottung, sondern als Qualitätsmerkmal.

Auch auf kommunaler Ebene tut sich etwas. Münchens grün-rote Koalition hat 2024 einen Fünf-Punkte-Plan für Open Source in der Stadtverwaltung vorgelegt, wie Kommunal.de berichtete — pragmatisch, schrittweise, ohne ideologische Grabenkämpfe.

Die ehrliche Abwägung

Wer über digitale Souveränität schreibt, muss auch die unbequemen Wahrheiten benennen.

US-Hyperscaler — Amazon Web Services, Microsoft Azure, Google Cloud — kontrollieren über 70 Prozent des europäischen Cloud-Markts. Der europäische Marktanteil hat sich laut Branchenanalysen seit 2017 halbiert. Diese Unternehmen sind technologisch führend, ihre Dienste sind ausgereift, ihre Ökosysteme tief integriert. Wer behauptet, europäische Alternativen seien in jeder Hinsicht gleichwertig, macht sich etwas vor.

Der europäische Cloud-Markt wächst — von geschätzten 177 Milliarden Euro (2025) auf prognostizierte 525 Milliarden Euro (2032). Aber Wachstum allein ist kein Beweis für Wettbewerbsfähigkeit. Der Draghi-Report zur EU-Wettbewerbsfähigkeit (September 2024) mahnt zu Recht: Souveränität darf nicht auf Kosten von Innovation gehen.

André Berghegger, Hauptgeschäftsführer des DStGB, warnt in eine ähnliche Richtung: „Wenn Digitalisierung im Schneckentempo vorangeht, verspielen wir unsere Zukunftschancen. Es droht ein schleichender Blackout."

Die Antwort liegt nicht in einem Entweder-oder. Globale Zusammenarbeit, offene Standards, Interoperabilität — all das ist richtig und wichtig. Aber für kritische Infrastruktur — und kommunale Verwaltung ist kritische Infrastruktur — braucht es zusätzlich Datenresidenz, Jurisdiktionskontrolle und Rechtssicherheit.

DSGVO als Qualitätsversprechen

Die DSGVO wird in Deutschland oft als Bürde wahrgenommen. Für Kommunen ist sie das Gegenteil: ein Qualitätsmerkmal.

„Developed in Germany, hosted in Germany, DSGVO-nativ" ist kein Marketingslogan. Es ist eine Beschreibung von Rahmenbedingungen, die Rechtssicherheit garantieren: Keine Jurisdiktionskonflikte mit Drittstaaten. Kein Risiko, dass ein Gerichtsurteil die Rechtsgrundlage der Datenverarbeitung über Nacht entzieht. Keine Abhängigkeit von politischen Abkommen zwischen Washington und Brüssel.

Privacy by Design — Datenschutz als Designprinzip, nicht als nachträglicher Aufkleber — wird in einer Welt, die zunehmend um Vertrauen und Kontrolle ringt, zum Standortvorteil. Nicht weil „deutsch" automatisch besser ist, sondern weil die rechtlichen Rahmenbedingungen für den Umgang mit Bürgerdaten in der EU die strengsten und verlässlichsten weltweit sind.

Kommunen, die diesen Vorteil nutzen — durch Anbieter, die diese Standards nicht als Pflicht, sondern als Fundament verstehen —, treffen eine Entscheidung für Verlässlichkeit. Plattformen wie decidio sind ein Beispiel für diesen Ansatz: in Deutschland entwickelt, in Deutschland gehostet, DSGVO-nativ von der ersten Zeile Code an.

Die Redaktion von decidio berichtet über Digitalisierung, Datenschutz und Verwaltungsmodernisierung in deutschen Kommunen.