Digitale Souveränität oder nur Souveränitätswashing?

Deutschland spricht seit Jahren von digitaler Souveränität. Behörden, Ministerien und Sicherheitsbehörden erklären regelmäßig, wie wichtig Unabhängigkeit von internationalen Technologiekonzernen geworden sei. Gleichzeitig erleben wir jedoch, dass dieselben Institutionen weiterhin auf Infrastrukturen und Dienste setzen, die tief in den Händen amerikanischer Hyperscaler wie Amazon, Google oder Microsoft liegen.

Die aktuelle Diskussion rund um die neuen C3A-Kriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt exemplarisch, wie weit Anspruch und Realität inzwischen auseinanderliegen.

Die Illusion der digitalen Souveränität im Bildungssektor

Was als moderne Schulplattform angepriesen wird, entpuppt sich bei genauerer Betrachtung als weiteres Beispiel für die Abhängigkeit deutscher Bildungseinrichtungen von US-amerikanischen Tech-Konzernen. Die technische Analyse der Logineo NRW Messenger-Infrastruktur offenbart nicht nur interessante DNS-Details, sondern wirft grundlegende Fragen zur digitalen Souveränität und zum Datenschutz auf.

Technische DNS- und Netzwerkanalyse

Die Untersuchung einer anonymisierten Subdomain der Domain logineonrw-messenger.de mittels gängiger Konsolenwerkzeuge liefert aufschlussreiche Ergebnisse. Die durchgeführten Analysen umfassten:

Am 24. November 2025 setzte die Schweiz ein Zeichen, das in ganz Europa Wellen schlagen dürfte. Privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, verabschiedete eine Resolution, die auf ein faktisches Verbot internationaler Cloud-Dienste für Behörden hinausläuft. Insbesondere die Hyperscaler Microsoft, Google und Amazon sind betroffen. Die Botschaft ist eindeutig: Wer Bürgerdaten ernst nimmt, darf sie nicht in die Hände US-amerikanischer Konzerne legen.

Was heise online als “breites Cloud-Verbot” titelt, ist bei genauerer Betrachtung noch drastischer. Die Resolution lässt praktisch keine Möglichkeit mehr, Software-as-a-Service (SaaS)-Lösungen wie Microsoft 365 datenschutzkonform zu nutzen – zumindest nicht, wenn besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Daten verarbeitet werden. Und das betrifft praktisch alle Behördendaten, denn die meisten unterliegen dem Amtsgeheimnis.

Es ist ein Lehrstück darüber, wie Politik funktioniert – oder besser: nicht funktioniert. Während ein Bundesland zeigt, wie man sich von Big Tech emanzipiert, läuft ein anderes sehenden Auges in die totale Abhängigkeit. Bayern will bis Ende 2025 einen Vertrag mit Microsoft über die Nutzung von Microsoft 365 für die gesamte Landesverwaltung abschließen. Fast eine Milliarde Euro über fünf Jahre. Ohne Ausschreibung. Ohne ernsthafte Prüfung von Alternativen. Und das Schlimmste: ohne Lösung für das fundamentale DSGVO-Problem.

Einführung

Als Journalist, Aktivist und Datenschützer sehe ich in der neuesten Änderung von Microsoft Word mehr als nur ein Software-Update: Mit der neuen Standardoption, Dokumente automatisch in die Cloud (OneDrive) zu speichern, beginnt für viele öffentliche Verwaltungen und Behörden eine gefährliche Entwicklung – der mögliche Verlust der DSGVO-Konformität.

Faktenlage: Was ist passiert?

Microsoft testet derzeit in der Insider-Version Word für Windows (Version 2509, Build 19221.20000), dass neue Dokumente standardmäßig automatisch in OneDrive gespeichert werden – ohne aktives Zutun des Nutzers. Zwar lässt sich diese Funktion über „Datei → Optionen → Speichern“ deaktivieren, doch der Automatismus bleibt besorgniserregend (heise.de, learn.microsoft.com).

Digitale Souveränität oder digitale Illusion?

In der aktuellen Folge 139 des heise.de-Podcasts Auslegungssache dreht sich ab Minute 21 alles um ein altbekanntes und doch immer wieder erschreckendes Thema: den CLOUD Act der Vereinigten Staaten und dessen Auswirkungen auf europäische Datenräume. Besonders brisant ist die im Podcast besprochene Aussage aus Frankreich, dass US-Ermittlungsbehörden weiterhin Zugriff auf Daten und Server innerhalb der EU haben – selbst wenn diese physisch in Europa stehen.

“Wer glaubt, Daten seien sicher, nur weil sie in Frankfurt oder Paris liegen, irrt gewaltig.”

[Mehr]

Microsoft‑Cloud: Souveränität bleibt ein juristischer Trugschluss

Eine offizielle Anhörung im französischen Senat verdeutlichte: Microsoft kann europäische Daten juristisch nicht vor Zugriffen durch US‑Behörden (beispielsweise im Rahmen des Cloud Act) schützen.

Eigentlich nicht überraschend, aber in dieser Deutlichkeit doch erstaunlich : “Microsoft ist trotz allen Bemühungen, eine souveräne europäische Cloud-Plattform anzubieten und diese entsprechend zu vermarkten, nicht in der Lage, den Schutz der Daten vor den US-Behörden zu garantieren.”

Klartext aus Paris

Vertreter von Microsoft France räumten vor dem französischen Parlament ein, dass eine Garantie, dass „Daten niemals ohne Zustimmung französischer Behörden an US‑Agenturen übermittelt werden“, nicht gegeben werden kann – auch wenn die Daten in europäischen Rechenzentren liegen. Damit besteht: kein rechtlicher Schutz gegen US‑Gesetze wie den CLOUD Act. Man kann Sie nicht zwingen die Wahrheit zu sagen, man kann Sie aber zwingen immer dreister zu Lügen.

iPads an Schulen – Datenschutz im Fokus

Der 30. Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW, Drucksache 18/3948) enthält klare Aussagen zur Nutzung von iPads an Schulen. Im Mittelpunkt stehen dabei datenschutzrechtliche Anforderungen und Bedenken beim Einsatz sowohl privater als auch schulischer Geräte.

1. Private iPads (BYOD) – nur Übergangslösung

Die Nutzung privater iPads durch Schülerinnen und Schüler im Rahmen von “Bring Your Own Device” (BYOD) wird von der LDI kritisch bewertet:

Kill Switch – nur eine Illusion?

Immer wieder hört man, der sogenannte “Kill Switch” – also die Möglichkeit, digitalen Zugang zentral zu kappen – sei eine dystopische Idee, übertrieben oder rein theoretisch. Doch spätestens seit dem Vorfall in Venezuela 2019 sollte klar sein: Der Kill Switch ist real – und kann jederzeit aktiviert werden.

Was ist passiert?

Im Oktober 2019 wurden Nutzern in Venezuela der Zugang zu Adobe-Diensten wie der Creative Cloud verweigert – aufgrund eines US-Präsidentenerlasses (Executive Order 13884). Adobe musste entsprechend den US-Sanktionen handeln und alle Konten in Venezuela deaktivieren. Dies betraf Fotograf, Designer, Kreativschaffende – also Menschen, die teils beruflich auf diese Werkzeuge angewiesen sind.

In seinem aktuellen Beitrag „MS365: Papier schützt keine Daten – Warum juristische Freibriefe in die Irre führen“ beleuchtet Mike Kuketz ein besonders sensibles Thema im Spannungsfeld zwischen Datenschutz, juristischer Interpretation und technischer Realität.

Warum ist dieser Artikel wichtig?

Immer mehr Unternehmen und öffentliche Stellen setzen auf Microsoft 365 – oft in der Annahme, dass entsprechende Verträge und juristische Bewertungen genügen, um die Anforderungen der DSGVO zu erfüllen. Kuketz zeigt auf, dass diese Hoffnung trügerisch ist. Papier – sprich: vertragliche Regelungen – schützt keine Daten, wenn die technische Umsetzung nicht DSGVO-konform ist.