Es ist ein Lehrstück darüber, wie Politik funktioniert – oder besser: nicht funktioniert. Während ein Bundesland zeigt, wie man sich von Big Tech emanzipiert, läuft ein anderes sehenden Auges in die totale Abhängigkeit. Bayern will bis Ende 2025 einen Vertrag mit Microsoft über die Nutzung von Microsoft 365 für die gesamte Landesverwaltung abschließen. Fast eine Milliarde Euro über fünf Jahre. Ohne Ausschreibung. Ohne ernsthafte Prüfung von Alternativen. Und das Schlimmste: ohne Lösung für das fundamentale DSGVO-Problem.

Die Staatsregierung nennt das “Zukunftskommission 5.0” und “Digitale Souveränität”. In Wahrheit ist es das Gegenteil: Eine komplette Kapitulation vor einem US-Konzern, dessen Produkte seit Jahren von Datenschützern als rechtswidrig eingestuft werden.

Die Fakten: Ein Deal ohne demokratische Legitimation

Die Zahlen sind erschreckend. Wie ein offener Brief bayerischer IT-Unternehmen vorrechnet, würden über fünf Jahre fast eine Milliarde Euro an Microsoft fließen. Das Paket Microsoft 365 E5 inklusive Teams kostet laut Listenpreis etwa 65 Euro pro Nutzer und Monat. Bei den geplanten 25.000 bis 30.000 Lizenzen für Ministerien und Behörden kommen schnell 187 Millionen Euro pro Jahr zusammen.

Das wäre schon schlimm genug – wenn das Geld wenigstens sinnvoll investiert wäre. Doch das ist es nicht. Denn die Kernprobleme sind ungeklärt:

Problem 1: Microsoft 365 ist DSGVO-rechtswidrig

Das ist keine Meinung, das ist der Beschluss der Datenschutzkonferenz vom 24. November 2022. Die deutschen Datenschutzaufsichtsbehörden stellten fest: “Eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich.” Und: “Für diesen Anwendungsfall ist es den Aufsichtsbehörden bislang nicht gelungen, ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten.”

Der EU-Datenschutzbeauftragte bezeichnete 2024 die Nutzung von Microsoft 365 in der EU-Kommission als rechtswidrig. Microsoft konnte nicht sicherstellen, dass keine Daten an US-Behörden abfließen.

Problem 2: Der Cloud Act macht jeden Datenschutz zur Illusion

Der Clarifying Lawful Overseas Use of Data Act (Cloud Act) von 2018 verpflichtet US-Unternehmen, auf Anforderung von US-Behörden Daten herauszugeben – unabhängig davon, wo diese Daten physisch gespeichert sind. Auch wenn Microsoft beteuert, die Daten würden in EU-Rechenzentren bleiben: Das spielt keine Rolle. Der Cloud Act hebelt jeden Speicherort aus.

Hinzu kommt der Foreign Intelligence Surveillance Act (FISA 702), der US-Geheimdiensten Massenüberwachung ermöglicht. Der EuGH stellte mehrfach fest, dass US-Gesetze eine Massenüberwachung durch Sicherheitsbehörden ermöglichen und der Datenschutzstandard in den USA nicht dem in der EU entspricht.

Problem 3: Microsoft selbst bestätigt das Problem

Im Oktober 2025 erklärte Anton Carniaux, Microsoft Frankreich, unter Eid, Microsoft könne nicht sicherstellen, dass keine Daten an US-Behörden abfließen. Das ist keine theoretische Gefahr, das ist Fakt.

Wer Microsoft 365 nutzt, gibt die Kontrolle über seine Daten ab. Punkt.

Bayern ignoriert das alles

Die Präsentation des bayerischen Finanzministeriums, die c’t vorliegt, räumt ein: Fragen zu Datenschutz und IT-Sicherheit würden “zentral geklärt”. Man wolle mit Microsoft “Vertragszusätze” abschließen, ähnlich wie Niedersachsen.

Das ist naiv. Niedersachsen hat eine datenschutzrechtliche Zusatzvereinbarung abgeschlossen – aber auch das löst das Grundproblem nicht. Denn Microsoft bleibt ein US-Unternehmen, das US-Gesetzen unterliegt. Kein Vertragszusatz der Welt kann den Cloud Act außer Kraft setzen.

Die Staatsregierung verkauft technische Flickschusterei als Lösung und hofft, dass niemand genau hinsieht.

Während Bayern kapituliert, zeigt Schleswig-Holstein, wie es geht

Der Kontrast könnte größer nicht sein. Schleswig-Holstein hat im Oktober 2025 die komplette Umstellung seines Mailsystems auf Open Source abgeschlossen: 30.000 Mitarbeiter, 40.000 Postfächer, über 100 Millionen E-Mails und Kalendereinträge. Von Microsoft Exchange und Outlook zu Open-Xchange und Thunderbird.

Digitalisierungsminister Dirk Schrödter formuliert es klar: “Wir wollen unabhängig werden von großen Tech-Konzernen und die digitale Souveränität sicherstellen.”

Schleswig-Holsteins Open Innovation und Open Source Strategie umfasst:

• Nextcloud statt Microsoft SharePoint
• OpenTalk für Videokonferenzen (DSGVO-konform, made in Germany)
• LibreOffice statt Microsoft Office
• Linux statt Windows
• Open-Source-Telefonsysteme

Das Land investiert in heimische IT-Unternehmen statt in einen US-Konzern. Es baut digitale Souveränität auf statt sie zu verkaufen. Bis Oktober 2025 soll sich der weit überwiegende Teil der Landesverwaltung von Microsoft Office verabschiedet haben.

Die bayerische IT-Wirtschaft läuft Sturm

In einem offenen Brief vom 24. Oktober 2025 wenden sich Unternehmen wie B1 Systems, OpenProject, Heinlein Group, NETWAYS und viele andere an die Staatsregierung:

“Fast eine Milliarde Euro an Lizenzkosten würden im Laufe von fünf Jahren an den US-Konzern fließen. Diese Mittel würden der bayerischen Wirtschaft, insbesondere innovativen Softwareherstellern im Land, entzogen.”

Die Kritikpunkte sind vernichtend:

Keine Ausschreibung: Der Deal läuft ohne transparente Prüfung von Alternativen.

Keine Wertschöpfung in Bayern: Von den 187 Millionen pro Jahr bleibt kein Cent in Bayern. Keine Arbeitsplätze, keine Innovation, keine lokale Wirtschaftsförderung.

Datenschutz ungelöst: Die Staatsregierung gibt selbst in internen Unterlagen zu, dass Datenschutzprobleme noch nicht gelöst seien und die Rechtslage zwischen USA und Europa “unlösbar widersprüchlich” ist.

Kein Exit-Szenario: Was passiert, wenn die USA den “Kill-Switch” betätigen? Wenn politischer Druck aufgebaut wird? Wenn Microsoft die Preise verdoppelt? Die Zukunftskommission hat darauf keine Antwort.

Die Opposition ist fassungslos

Benjamin Adjei, Sprecher für Digitales der Grünen-Fraktion, formuliert es treffend: “Bayern ist ein führender Hightech-Standort – mit herausragender Forschung, starker Digitalwirtschaft und einer wachsenden Open-Source-Community. Aber anstatt diese Stärke zu nutzen, verlässt sich die Staatsregierung lieber auf Anbieter aus den USA.”

Florian von Brunn (SPD) sagt: “Ich bin ziemlich erstaunt, dass digitale Unabhängigkeit von den USA und Trump für die Söder-Regierung keine Rolle spielt. Außerdem irritiert es mich, dass man einen solchen Auftrag ins Ausland vergibt, ohne an eigene Unternehmen zu denken.”

Das ist noch höflich formuliert. Die Wahrheit ist brutaler.

Edward Snowden würde die Tränen kommen

Erinnern wir uns: 2013 enthüllte Edward Snowden das Ausmaß der NSA-Überwachung. PRISM, XKeyscore, Tempora – Programme zur Massenüberwachung, bei denen US-Konzerne wie Microsoft bereitwillig kooperierten. Die Erkenntnis damals: Wer US-Cloud-Dienste nutzt, muss davon ausgehen, dass US-Geheimdienste mitlesen.

Zwölf Jahre später will eine deutsche Landesregierung sehenden Auges die komplette Verwaltung in genau diese Infrastruktur verlegen.

Snowden, der sein Leben riskierte, um uns vor dieser Überwachung zu warnen, würde bei so viel Ignoranz und Inkompetenz die Tränen kommen.

Die Frage nach den wahren Motiven

Warum tut eine Staatsregierung so etwas? Warum ignoriert sie alle Warnungen, alle Bedenken, alle Alternativen?

Es gibt drei mögliche Erklärungen:

1. Inkompetenz

Die Entscheider verstehen nicht, was sie da tun. Sie glauben Microsoft-Marketing und halten technische Versprechen für rechtsverbindlich.

2. Bequemlichkeit

Man nimmt die vermeintlich einfache Lösung. Microsoft 365 kennt jeder, die Umstellung auf Open Source erscheint aufwendig. Also macht man es sich leicht – auf Kosten der Datensouveränität.

3. Eigeninteresse

Das ist die unbequemste Hypothese, aber sie muss ausgesprochen werden. Gibt es persönliche Verbindungen? Gibt es Interessenkonflikte? Profitieren einzelne Politiker von diesem Deal?

Solange die Staatsregierung keine Ausschreibung durchführt, keine unabhängige Analyse veröffentlicht und keine plausible Erklärung liefert, warum sie den Weg Schleswig-Holsteins nicht geht, bleiben solche Fragen im Raum.

Was wirklich im Raum steht

Lassen wir die diplomatische Sprache beiseite. Was hier passiert, ist ein Skandal:

Eine Landesregierung verkauft die Datenhoheit über Bürger, Unternehmen und sensible Verwaltungsinformationen an einen US-Konzern.

Sie tut das ohne Rechtsgrundlage, denn Microsoft 365 ist DSGVO-rechtswidrig.

Sie ignoriert Alternativen, die funktionieren, günstiger sind und in Deutschland Arbeitsplätze schaffen würden.

Sie handelt gegen die Interessen der bayerischen Wirtschaft und der eigenen Bürger.

Wenn das nicht aus Inkompetenz geschieht, dann muss es aus Eigeninteresse geschehen. Tertium non datur.

Die technische Realität hinter den Marketing-Versprechen

Microsoft verspricht seit Jahren, die “EU-Datengrenze” zu implementieren. Das klingt gut, ist aber Augenwischerei.

Das Problem 1: Telemetriedaten

Selbst wenn Nutzerdaten in der EU bleiben – Microsoft sammelt umfangreiche Telemetriedaten: Was wird wann von wem geöffnet, welche Befehle werden genutzt, welche Dokumente erstellt. Diese Metadaten sind hochsensibel und fließen in die USA.

Das Problem 2: Zugriff bleibt Zugriff

Auch wenn Daten physisch in Frankfurt gespeichert sind: Microsoft als US-Unternehmen hat technischen Zugriff. Und damit greift der Cloud Act. Kein deutscher Server schützt vor US-Gesetzen.

Das Problem 3: Updates und Patches

Jede Software braucht Updates. Diese kommen von Microsoft in den USA. Wer kontrolliert, was in diesen Updates enthalten ist? Niemand. Man muss Microsoft blind vertrauen.

Das Problem 4: Kill-Switch

Microsoft kann jederzeit den Zugang kappen. Bei politischen Konflikten, bei Sanktionen, bei Zahlungsverzug. Eine Verwaltung, die von Microsoft 365 abhängt, ist erpressbar.

Was die Alternativen wären

Die Alternativen existieren. Sie funktionieren. Sie sind erprobt:

OpenDesk: Der vom Bund finanzierte Microsoft-Alternative-Arbeitsplatz ist auf über 100.000 Systemen der deutschen Verwaltung installiert. Bayern erwähnt das Projekt in seiner Präsentation nicht einmal.

LibreOffice: Kompatibel zu Microsoft Office, kostenlos, Open Source, keine Cloud-Anbindung nötig.

Nextcloud: Deutsche Cloud-Lösung für Zusammenarbeit und Dateiablage. DSGVO-konform, höchste Sicherheitsstandards.

OpenTalk: Videokonferenzen made in Germany. Wird bereits in Thüringen und Schleswig-Holstein genutzt.

Mailbox.org: Deutsche E-Mail-Lösung, die in Mecklenburg-Vorpommern und Thüringen Lehrkräften einen sicheren digitalen Arbeitsplatz bietet.

Die Kosten? Ein Bruchteil der Microsoft-Milliarde. Die Wertschöpfung? In Deutschland. Die Datensouveränität? Gewährleistet.

Das Märchen von der “technischen Unmöglichkeit”

Das häufigste Argument der Microsoft-Verteidiger: “Open Source ist nicht ausgereift genug für Massennutzung.”

Schleswig-Holstein widerlegt das gerade in Echtzeit. 30.000 Mitarbeiter arbeiten erfolgreich mit Open-Source-Lösungen. Die Umstellung läuft reibungslos. Die Akzeptanz ist hoch.

Was Bayern fehlt, ist nicht die Technik. Was Bayern fehlt, ist der politische Wille.

Die Geopolitik wird ignoriert

Wir leben in Zeiten, in denen digitale Infrastruktur offen als politisches Druckmittel verhandelt wird. Die US-Regierung unter Donald Trump setzt seit 2025 wieder stark auf Sanktionen. Der Internationale Strafgerichtshof und dessen Chefankläger Karim Khan wurden sanktioniert, weil der ICC Haftbefehle gegen Verbündete der USA ausstellte.

Was hindert die USA daran, europäische Regierungen über Cloud-Abhängigkeiten unter Druck zu setzen?

Bayern begibt sich freiwillig in diese Abhängigkeit. Das ist nicht nur technisch naiv, das ist geopolitisch fahrlässig.

Public Money, Public Code – das vergessene Prinzip

Die Initiative “Public Money, Public Code” fordert: Software, die mit Steuergeldern bezahlt wird, muss Open Source sein. Der Grund ist einfach: Die Öffentlichkeit hat dafür bezahlt, also sollte die Öffentlichkeit davon profitieren können.

Bayern macht das Gegenteil. Es nimmt Steuergeld und überweist es an einen US-Konzern – für proprietäre Software, deren Quellcode niemand einsehen kann, deren Datenverarbeitung intransparent ist und die nach deutschem Datenschutzrecht rechtswidrig ist.

Das ist nicht nur schlechte Politik. Das ist Verschwendung öffentlicher Mittel.

Die Rolle der Medien

Ein weiteres Problem: Die Berichterstattung ist zu zaghaft. Statt den Skandal beim Namen zu nennen, schreiben Medien von “umstrittenen Plänen” und “kritischen Stimmen”.

Das ist zu wenig. Hier wird das Tafelsilber verscherbelt. Hier wird die Datensouveränität eines Bundeslandes für eine Generation verspielt. Hier werden systematisch alle Warnungen ignoriert.

Das verdient keine neutrale Berichterstattung. Das verdient klare Worte.

Was jetzt passieren muss

Der Vertrag ist noch nicht unterschrieben. Es ist noch Zeit, diesen Irrweg zu stoppen.

1. Sofortiger Stopp der Verhandlungen

Bis die Datenschutzprobleme rechtsverbindlich geklärt sind – und das sind sie nicht – darf kein Vertrag geschlossen werden.

2. Öffentliche Ausschreibung

Eine echte, transparente Ausschreibung, in der auch Open-Source-Lösungen geprüft werden. Mit unabhängigen Gutachtern, nicht mit Microsoft-gesponserten Beratern.

3. Prüfung von Schleswig-Holsteins Weg

Eine Delegation bayerischer Beamter sollte nach Kiel fahren und sich ansehen, wie Open Source in der Praxis funktioniert. Nicht theoretisch, sondern konkret.

4. Rechtsgutachten zur DSGVO-Konformität

Bevor ein Cent fließt, muss ein unabhängiges Rechtsgutachten klären, ob Microsoft 365 überhaupt rechtskonform einsetzbar ist. Die Antwort kennen wir: Es ist es nicht.

5. Aufklärung der Hintergründe

Warum wurde keine Ausschreibung durchgeführt? Wer hat diese Entscheidung getroffen? Gibt es Interessenkonflikte? Diese Fragen muss der Landtag klären.

Fazit: Ein Lehrstück in schlechter Politik

Der bayerische Microsoft-Deal ist ein Lehrstück darüber, wie Politik nicht funktionieren sollte:

• Ignoranz gegenüber rechtlichen Problemen
• Missachtung von Alternativen
• Intransparente Entscheidungsprozesse
• Schädigung der heimischen Wirtschaft
• Gefährdung der Datensouveränität

Und das alles unter dem Deckmantel der “Digitalisierung” und “Zukunftssicherung”.

Bayern hatte die Chance, Vorreiter zu sein. Wie Schleswig-Holstein zu zeigen, dass digitale Souveränität machbar ist. Dass man sich von Big Tech emanzipieren kann. Dass Europa technologisch unabhängig werden kann.

Stattdessen wählt die Staatsregierung den Weg der Unterwerfung. Fast eine Milliarde Euro für Abhängigkeit statt Souveränität. Für Überwachungsrisiken statt Datenschutz. Für amerikanische Aktionäre statt bayerische Arbeitsplätze.

Edward Snowden riskierte alles, um uns vor dieser Überwachung zu warnen. Und Bayern antwortet darauf, indem es die komplette Verwaltung freiwillig in genau diese Infrastruktur verlagert.

Bei so viel Ignoranz kann einem nur noch schlecht werden. Oder die Tränen kommen. Je nachdem, wie man gestrickt ist.

Die digitale Souveränität Bayerns wird gerade für eine Milliarde Euro verscherbelt. Und die meisten schauen zu, als wäre das normal.

Das ist es nicht.

Weitere Informationen:

• Heise: Bayern will in die Microsoft-Cloud
• Offener Brief bayerischer IT-Unternehmen
• Pandolin: Bayern kauft “digitale Souveränität” bei Microsoft
• IT-Sicherheitscluster: Offener Brief zum Milliarden-Abo
• Schleswig-Holstein: Open-Source-Strategie
• DSK: Microsoft 365 und Datenschutz
• Cloud Act und DSGVO

Zum Handeln:

Der offene Brief kann über die Open Source Business Alliance mitgezeichnet werden. Kontaktiert eure Landtagsabgeordneten. Fordert Transparenz. Fordert eine echte Ausschreibung. Fordert die Prüfung von Open-Source-Alternativen.

Die digitale Souveränität Europas steht auf dem Spiel. Und Bayern ist gerade dabei, sie zu verspielen.

Siehe auch

• Cloud Act Gutachten: US-Behörden greifen ungehindert auf europäische Daten zu
• Digitale Souveränität: Nur mit Open Source
• Wenn Behördenbriefe an falsche Adressen gehen: Datenschutzpannen und ihre Folgen
• Die Schweiz zeigt, wie digitale Souveränität funktioniert: Faktisches Cloud-Verbot für Behörden
• GrapheneOS: Das Freiheitshandy – wenn Datenschutz und Sicherheit keine Kompromisse kennen