Die Krise als Weckruf – Digitale Souveränität und die Software Supply Chain
Teil 1 der Serie behandelte Europas digitale Abhängigkeit von nicht-europäischen Anbietern und wie das Vorzeigeprojekt GAIA-X daran wenig geändert hat. Der zweite Teil widmet sich Open-Source-Software und konkreten Initiativen, die als Alternativen zu großen Software-Produkten dienen können, wo Europas Abhängigkeit besonders stark ist.
Teil 2: Die Krise als Weckruf – Digitale Souveränität und die Software Supply Chain
Was lange ein Thema für Experten und Fachkreise war, ist nun in der Mitte der Gesellschaft angekommen, u.a. mit Sendungen und Beiträgen über die digitale Abhängigkeit Europas von US-Konzernen in Sendungen der öffentlich-rechtlichen Medien. Politische Spannungen, der wachsende Druck aus Washington und eine Reihe konkreter Vorfälle hatten diese Entwicklung vorangetrieben.
Wie sehr die Abhängigkeit von den USA im Digitalbereich tatsächlich ist, erfuhr der Internationale Strafgerichtshof nach den Haftbefehlen gegen den israelischen Premierminister Benjamin Netanjahu und den Verteidigungsminister Yoav Gallant. Die USA verurteilten diese Entscheidung, worauf das US-Finanzministerium sechs Richter und drei Staatsanwälte mit Sanktionen belegte.
Diese Verwundbarkeit hat den Handlungsdruck erhöht und neue Initiativen ausgelöst, darunter EuroStack und die Kooperation von ARD, ZDF, RTL Deutschland sowie ProSiebenSat.1 zur Entwicklung einer gemeinsamen souveränen Infrastruktur.
Öffentliche Institutionen und Verwaltungen handeln ebenfalls: Das Gesundheitsamt Frankfurt am Main hat in Zusammenarbeit mit dem Hessischen Ministerium für Familie, Senioren, Sport, Gesundheit und Pflege das Open-Source Tool GA-Lotse zur Datenverarbeitung eingeführt, das auf der europäischen Cloud-Infrastruktur von Exoscale betrieben wird. Das Land Schleswig-Holstein hat 80 Prozent der Arbeitsplätze auf LibreOffice umgestellt und spart damit 2026 über 15 Millionen Euro an Lizenzkosten (ohne die Annahme stark steigender Softwarekosten) bei einmaligen Investitionskosten von neun Millionen Euro. Ein guter Business Case? Der Internationale Strafgerichtshof wechselte nach dem oben genannten Vorfall zu openDesk, der quelloffenen Alternative zu Microsoft 365 und das österreichische Bundesheer hat die Umstellung auf LibreOffice bereits abgeschlossen.
Auch der regulatorische Rahmen zieht nach: Mit dem Data Act, der seit September 2025 in Kraft ist, sind Unternehmen verpflichtet, Daten aus vernetzten Geräten und digitalen Diensten im maschinenlesbaren Format zugänglich zu machen und so den Wechsel zwischen Anbietern zu erleichtern. Vertragsklauseln, die den Datenzugang erschweren oder Anbieterwechsel blockieren, sind künftig unzulässig. Wechselgebühren von Cloud-Anbietern werden schrittweise abgeschafft und ab Januar 2027 verboten.
Das Resümee aus Teil 1 verdeutlichte den noch nicht überall als durchsetzungswillig zu bewertenden politischen Willen zur Schaffung echter europäischer Alternativen zur Überwindung des Vendor-Lock-ins. Die politische Entwicklung der letzten Monate haben den politischen Willen in Parlamenten, Verwaltungen und auf politischen Entscheider-Gipfeln spürbar gestärkt. Dieser Artikel beleuchtet nun die jüngsten Fortschritte.
Der neue politische Wille
Berlin, 18. November 2025: Bundeskanzler Friedrich Merz und Frankreichs Präsident Emmanuel Macron luden zum ersten „Gipfel zur Europäischen Digitalen Souveränität" nach Berlin. Rund 1.000 Gäste aus allen Mitgliedstaaten neben den 23 Digitalministern der EU-Kommission kamen zusammen. „Europa muss in vereinter Kraftanstrengung einen eigenen digitalen Weg gehen und dieser Weg muss in die Souveränität führen“, sagte Bundeskanzler Merz. Der Gipfel wurde von einer Reihe von Wirtschaftskooperationen begleitet, darunter die des französischen KI-Unternehmens Mistral sowie auch SAP, um „Europas ersten vollständig souveränen KI-Stack“ zu entwickeln.
Der Digitalpolitik der deutschen Vorgängerregierung hatte zuvor die Gesellschaft für Informatik (GI) eine ernüchternde Bilanz ausgestellt. Die Ampel habe ihre selbst gesteckten Ziele für digitale Souveränität und Open Source deutlich verfehlt. Die Abhängigkeit von digitalen Monopolen habe sich massiv erhöht. Zwar wurde in den Koalitionsvereinbarung schon der einstigen Regierungsfraktionen die Bedeutung von offenen Standards, offenen Schnittstellen sowie von Open Source für die digitale Souveränität betont, doch seien kontraproduktiv milliardenschwere Verträge mit digitalen US-Monopolisten abgeschlossen worden.
Es sei Aufgabe der europäischen Regierungen und der EU-Kommission, die richtigen Rahmenbedingungen zu setzen, so das deutsch-französische Tandem auf Gipfel in Berlin. Dazu würden u.a. Schritte zur Vereinfachung und zur Entbürokratisierung gehören, um Unternehmen mehr Freiraum für Innovationen zu geben. Zudem sollen verstärkt europäische digitale Lösungen in der öffentlichen Verwaltung eingesetzt werden. „Wir müssen als Staat vorangehen, resilient sein und wir müssen insbesondere für Krisenzeiten vorbereitet sein”, so Merz.
Macron forderte, dass sowohl Regierungen als auch Unternehmen bei der Beschaffung von Technologie eine klare europäische Präferenz verfolgen sollten. Der Kanzler kündigte an, dass die Bundesverwaltung vermehrt auf digitale Produkte und Dienstleistungen aus Europa setzen wird. Eine Vereinfachung der DSGVO soll zur Förderung der KI-Entwicklung in Europa führen.
Zwölf Milliarden Euro wollen europäische Unternehmen in die Unabhängigkeit von USA und China investieren. Darüber hinaus sollen Vereinfachungen der DSGVO, zugunsten von KI in Europa, in das Omnibus-Paket im Digitalbereich aufgenommen werden.
Brüssel, einen Monat später: Eine fraktionsübergreifende Gruppe von Abgeordneten, darunter Birgit Sippel (SPD) und Marie-Agnes Strack-Zimmermann (FDP) forderte das Europäische Parlament auf, die Nutzung von Microsofts allgegenwärtiger Software zugunsten einer europäischen Alternative aufzugeben. Die 38 Unterzeichner des Brandbriefs verlangten nicht nur den Verzicht auf Microsoft-Programme, sondern verwiesen auch auf Bildschirme, Tastaturen und Mäuse von Dell, HP und LG, die im Parlament zum Einsatz kommen.
„Mit seinen Tausenden von Mitarbeitern und enormen Ressourcen ist das Europäische Parlament am besten positioniert, um den Vorstoß für technologische Souveränität voranzutreiben. Wenn selbst alte Freunde zu Feinden werden und ihre Unternehmen zu einem politischen Werkzeug, können wir uns dieses Maß an Abhängigkeit von ausländischer Technologie nicht leisten – geschweige denn weiterhin Milliarden an Steuergeldern ins Ausland überweisen. […] Unser mittelfristiges Ziel sollte die vollständige Abschaffung von Microsoft-Produkten sein, einschließlich des Betriebssystems Windows. […] Der Fuhrpark des Parlaments besteht fast ausschließlich aus Autos europäischer Marken. Dasselbe lässt sich auf Computer-Hardware übertragen", so die Abgeordneten. Sie orderten die Einrichtung einer Arbeitsgruppe aus Abgeordneten und Parlamentsbeschäftigten zur Überwachung und Begleitung des Übergangs. „Mit genügend politischem Willen werden wir diese Institution bis zum Ende der Legislaturperiode von der Gefahr der Abhängigkeit von ausländischer Technologie befreit haben.“
Trotz vieler Ankündigungen und Bekenntnisse zur digitalen Souveränität blieb der Berliner Gipfel nicht ohne Kritik: So nahm auch eine hochrangige Mitarbeiterin von Palantir an den Round Tables der „EU AI Champions Initiative“ teil, nach Angaben des Bundeskanzleramts ohne dessen Wissen. Zudem wurde bemängelt, dass Open-Source-Ansätze als Teil der Lösung weitgehend ausgeblendet blieben.
Der Faktor Open-Source
Der Digitalgipfel hätte die an ihn gestellten hohen Erwartungen nicht erfüllt, kritisierte die Gesellschaft für Informatik e. V. (GI). „Anstelle einer mutigen, auf Open-Source-Prinzipien basierenden Strategie wurde Symbolpolitik verfolgt. Dies resultiert in einer anhaltenden digitalen Abhängigkeit Europas, die mit signifikanten ökonomischen und sicherheitspolitischen Konsequenzen einhergeht.“ Dass Open-Source bei der Entwicklung, beim Einkauf und beim Betrieb öffentlicher IT auf dem Gipfel kein Thema war, kritisierte die Gesellschaft für Informatik (GI) als „das gravierendste Versäumnis“.
Zwar erwähnte Merz in seiner Gipfel-Rede die Rolle des Zentrums für digitale Souveränität (ZenDiS) in Deutschland und deren Produkt openDesk, um die öffentliche Verwaltung von Microsofts Bürosoftware unabhängig zu machen. In den vergangenen Jahren hat der Bund knapp 35 Millionen Euro in die Entwicklung von openDesk investiert mit künftig weiteren eingeplanten 10 Millionen für die Weiterentwicklung der Suite ZenDIS, doch waren Vertreter der Open-Source-Branche auf dem Gipfel nicht vertreten.
Wenige Tage später hat sich auf regulatorischer Ebene etwas Grundlegendes verändert: Der IT-Planungsrat hat auf seiner 48. Sitzung am 26. November 2025 überarbeitete Musterverträge für die IT-Beschaffung der öffentlichen Hand beschlossen: Acht der Ergänzenden Vertragsbedingungen für IT-Dienstleistungen (EVB-IT) wurden so angepasst, dass Bund, Länder und Kommunen Open-Source-Software künftig rechtssicher beschaffen können. Bislang waren die Vertragsvorlagen ausschließlich auf proprietäre Software ausgelegt.
Die gewichtigste Neuerung betrifft Neuentwicklungen: Bei neuen Softwareprojekten wird die Entwicklung und Bereitstellung als Open-Source-Software zum Standard. Vorgesehen ist die Veröffentlichung des Quell-Codes auf der Plattform OpenCoDE, dem zentralen Repository der öffentlichen Verwaltung für quelloffene Software. Die Plattform ermöglicht es Behörden, bereits bestehende Softwarelösungen wiederzuverwenden, Konfigurationen zu teilen und den gegenseitigen Wissenstransfer zu fördern. Die Überarbeitung beendet eine Phase erheblicher Unsicherheit: Viele Behörden interpretierten die bisherigen EVB-IT so, dass ein rechtssicherer Einkauf von Open Source nicht möglich wäre. Open-Source-Anbieter waren dadurch faktisch von zahlreichen Vergabeverfahren ausgeschlossen.
Der Umgang mit der Macht amerikanischer IT-Konzerne
„Wir haben uns damals für die Unabhängigkeit von einem amerikanischen Konzern entschlossen, dessen Umgang mit der Macht wir schon selber gespürt haben“, so Christian Ude mit, ehemaliger Oberbürgermeister Münchens in der ARD-Dokumentation „Das Microsoft Dilemma“ (2018) zur später gescheiterten Umstellung der Stadtverwaltung München auf Linux Dezember 2013. Seitdem hatte sich wenig geändert. Viele Unternehmen sind in einer klassischen Lock-in-Situation, und das nutzen Anbieter aus wie beispielweise Broadcom nach der Übernahme von VMware Ende 2023 mit Preiserhöhungen zwischen 800 und 1.500 Prozent. Krankenhäuser und öffentliche Dienste waren betroffen.
Diese Muster waren in der Branche seit Jahren bekannt. Die Open Source Business Alliance (OSBA) und andere deutsche Akteure forderten seit Längerem Alternativen zu ausländischen IT-Diensten und -Infrastrukturen, “die wir kontrollieren und gestalten können“. Wirtschaftsprüfer warnten 2019 in einer Studie für das Innenressort vor „Schmerzpunkten bei der Bundesverwaltung“ aufgrund von Abhängigkeiten von Microsoft-Produkten.
Vor dem Hintergrund dieser jahrelangen Abhängigkeiten europäischer Unternehmen von US-Anbietern wirkt die Formulierung, man wolle nun Lösungen schaffen, „which preserve European democratic values in the digital world“, wie in der Abschlusserklärung des Gipfels formuliert, wie eine Ad-hoc-Rechtfertigung, wie ein normatives Framing für jahrelange politische Inaktivität.
Der Weg zur Digitalen Souveränität
Für den Weg aus der digitalen Abhängigkeit gibt es kein Patentrezept. Die Anforderungen an digitale Souveränität unterscheiden sich je nach Größe, Sektor und Region erheblich.
Ein mittelständisches Unternehmen im ländlichen Raum steht vor völlig anderen Herausforderungen als eine Großstadtverwaltung. Eine individuelle Souveränitätsanalyse kann dabei helfen, den eigenen Handlungsbedarf zu ermitteln. Entscheidend sind hier die Führungskräfte: Digitale Souveränität erfordert (1.) die glaubwürdige Bereitschaft, sich auf Projekte einzulassen, die nicht als fertige Komplettpakete kommen, und (2.) in Open-Source-Kompetenzen und Fachkräfte zu investieren, auch wenn dies initial höhere Aufwände bedeutet als der Kauf einer US-Lizenz.
Häufig scheitert der Wechsel an der Sorge vor mangelndem Support. Doch mittlerweile hat sich in Europa ein Ökosystem aus spezialisierten IT-Dienstleistern und Systemhäusern gebildet. Diese meist mittelständischen Unternehmen übernehmen die Installation, Wartung und den Support. Die Suche nach dem passenden Partner wird durch Zertifizierungsprogramme erleichtert wie das „Zertifizierte LibreOffice-Partner“-, das „Proxmox Solution- & Hosting-Partner“ oder das „ZenDiS-Vertriebspartner“-Programm. Dieses Ökosystem ist das aktuelle Herz der digitalen Souveränität. Es sind oft regional agierenden Systemhäuser, die Open-Source „enterprise-ready“ Lösungen zur Reduzierung der Abhängigkeit anbieten.
Zudem bleibt die Gefahr des „Souveränitäts-Washing“, wie in Teil 1 beschrieben, bestehen. Wenn US-Hyperscaler wie aktuell eine „European Sovereign Cloud“ unter dem Deckmantel der DSGVO-Konformität vermarkten, ist keine echte Unabhängigkeit erreicht.
Begriffe wie „souverän“ dürfen nicht zur bloßen Fassade verkommen, hinter der die technische Kontrolle oder zumindest die Eingriffsmöglichkeit weiterhin bei außereuropäischen Akteuren liegt.
Orientierung bietet bei der vom BSI veröffentlichte Kriterienkatalog „C3A - Criteria enabling Cloud Computing Autonomy“ (27. April 2026), anhand dessen bewertet werden kann, ob ein Cloud-Dienst tatsächlich souverän genutzt werden kann.
Doch Bewusstsein allein reicht nicht. Die jüngsten Umfragen hinsichtlich der digitalen Souveränität unter Unternehmen kamen zu ähnlichen Ergebnissen: So fehlt es noch schlicht an verfügbaren Alternativen. Ein entscheidender Hebel hier ist die öffentliche Hand. Der Staat geht nun als „guter Abnehmer" voran und könnte so den Markt für europäische Lösungen überhaupt erst beleben, damit digitale Souveränität dort wirkt, wo sie entscheidend ist: Bei uns selbst, beim Individuum, in der konkreten Wahlfreiheit zwischen Abhängigkeit und Selbstbestimmung. Wir stehen erst am Anfang der möglichen Lösung.
Verfasser: Cüneyt Baluch