Warum digitale Souveränität wichtig ist
Digitale Souveränität – das klingt nach politischem Grundsatzpapier oder europäischem Großprojekt mit vielen Logos, aber wenig praktischer Relevanz. Und doch ist sie mittlerweile ein realer, handfester Imperativ für jede Organisation, die sich ernsthaft mit Datenschutz, Informationssicherheit und langfristiger strategischer Resilienz beschäftigt. Unser Team hat genau deshalb den Ausstieg aus der Microsoft-365-Welt gewagt. Warum? Weil wir wissen, dass „alternativlos“ meistens nur ein anderes Wort für „nicht ausreichend durchdacht“ oder „hab ich gerade keine Lust, etwas zu ändern“ ist.
Die Abhängigkeit von US-amerikanischen Tech-Giganten ist kein hypothetisches Risiko mehr, sondern spätestens seit den Sanktionen gegen den Internationalen Strafgerichtshof real und belegbar. Microsoft deaktivierte die E‑Mail-Konten des Chefanklägers – wohl — so wird vermutet — auf Basis politischer Vorgaben. Für uns war bzw. ist klar: Wenn so etwas einer internationalen Institution passieren kann, sind deutsche Mittelständler und Behörden erst recht nicht geschützt.
Dazu kommt: Unter anderem mit dem CLOUD Act, dem Patriot Act und der Executive Order 12333 haben US-Behörden umfassende Zugriffsmöglichkeiten auf Daten – auch dann, wenn diese rein formal in einem deutschen oder europäischen Rechenzentrum liegen. Kurz gesagt: Die Nutzung von Microsoft-Cloud-Diensten kann im Zweifel bedeuten, dass man fremder Rechtsordnung unterliegt, ohne es kontrollieren zu können. Wer möchte schon, dass ein Tweet aus dem Weißen Haus bestimmt, ob der eigene Mailserver morgen noch erreichbar ist?
Und was, wenn Microsoft auch lokal den Stecker zieht?
Digitale Abhängigkeit endet nicht bei der Cloud. Selbst bei lokal installierten Systemen wie Windows-Servern oder Office-Clients hängt vieles an der Verbindung zu Microsofts Aktivierungs- und Lizenzservern. Sollte Microsoft – etwa durch geopolitische Spannungen, Sanktionen oder strategische Entscheidungen – diese Dienste für bestimmte Regionen einschränken, wären nicht nur einzelne Anwendungen betroffen. Ganze Arbeitsumgebungen könnten lahmgelegt werden: Betriebssysteme verweigern den Start, Office-Programme starten nur noch im eingeschränkten Modus, selbst Server- und Datenbankdienste könnten ausfallen. Mit anderen Worten: Ein Knopfdruck aus Redmond, und die Infrastruktur in deutschen Unternehmen und Verwaltungen steht still – selbst ohne Cloud.
Unsere Motivation für digitale Souveränität: Nicht nur reden, sondern handeln
Als externe Datenschutzbeauftragte müssen und mussten wir regelmäßig die Konformität von MS 365 bewerten – und tun uns dabei oft schwer, den berühmten „Segen des DSB“ zu geben. Gleichzeitig nutzten wir selbst einige Jahre Exchange Online, OneDrive, SharePoint und Co. Zwar abgesichert, zusätzliche Verschlüsselungslösungen, dokumentiert und nach bestem Wissen konfiguriert – aber eben dennoch auf Gedeih und Verderb an Microsoft gebunden.
Der sprichwörtliche Tropfen, der das Fass zum Überlaufen brachte, war ein Vorfall im Frühjahr 2023, als ein Sicherheitstoken bei Microsoft verlorenging – mit unklarem Ausmaß und völlig chaotischer Kommunikation seitens des Konzerns. „Ihr Tenant ist wahrscheinlich sicher, vielleicht aber auch nicht, aber danke der Nachfrage“ – war ungefähr der Stand der Kommunikation. Wir hatten endgültig genug.
Planung und Vorbereitung: Was brauchen wir wirklich für digitale Souveränität?
Die wohl wichtigste Phase vor jedem Systemwechsel ist – Trommelwirbel – die Vorbereitung. Hier entscheidet sich, ob man später stolz durch die Zielgerade trabt oder mit qualmenden Schuhsohlen im Migrationssumpf stecken bleibt.
Wir begannen mit einer systematischen Funktionsinventur. Das klingt trocken, war aber bitter nötig. In mehreren Sessions haben wir alle Tools, Workflows und Prozesse aufgelistet, die bei uns im Einsatz waren – egal ob täglich oder nur beim jährlichen Frühjahrsputz. Jeder im Team hatte die Aufgabe, seine Arbeitsweise ehrlich zu reflektieren. Ergebnis: Einige Tools wurden als unverzichtbar entlarvt, andere als kaum genutzte „Zombie-Anwendungen“ mit Ablaufdatum. Kurios: Die kamen oft von unserem Chef 🙂
Darauf folgte eine Relevanzklassifizierung: Was ist kritisch, was nice-to-have, was kann weg? Dabei half uns ein simples Ampelsystem – rot = kritisch, gelb = wichtig, grün = ersetzbar oder ganz überflüssig. Das machte Entscheidungen transparent und diskutierbar. Spoiler: Liebgewonnen bedeutet nicht alternativlos.
Parallel legten wir die Anforderungen an die neue Umgebung fest. Diese reichten von technischen Basics (Synchronisation, dezentrales Arbeiten, VPN, 2FA) über Datenschutzkriterien (Standort EU, AVV, kein CLOUD Act-Risiko) bis hin zur Frage: „Wie viele Klicks braucht es, um eine Datei freizugeben, und wird dabei jemand aus Versehen aus dem System geworfen?“ – Auch Usability zählt zur digitalen Souveränität!
Wir nutzten das Open Source Tool Draw.io (diagrams.net) (allerdings in der lokalen Variante, verfügbar für macOS, Linux und Windows) für die Prozessvisualisierung, einfache Tabellenkalkulation für die Tool-Matrix und ein geteiltes Notizboard in einer provisorischen Nextcloud als unser operatives Gehirn. Zusätzlich führten wir eine „Schatteninventur“ durch: Welche Schatten-IT hat sich etabliert? Wer nutzt private Tools (Evernote, Dropbox, WhatsApp Web), weil es die offiziellen Tools von den Funktionen nicht hergeben? Eine Erkenntnis, die oft schmerzhafter war als die Aussicht auf eine Woche Powerpoint-Vorlagendesign.
Abschließend gab es einen „Ready-Check“: Welche Systeme sind migrierbar, welche Daten liegen in Formaten vor, die portiert werden können? Wer braucht welche Schulung? Wer hat überhaupt Zeit für das Projekt – und wer macht es „nebenbei“ ? (Spoiler: Niemand sollte das!!)
Diese Vorbereitungsphase war arbeitsintensiv, aber unverzichtbar. Sie hat uns Klarheit verschafft, Erwartungen abgeglichen und die Migrationsplanung auf ein solides Fundament gestellt. Denn wie heißt es so schön: Wer keine Zeit für Planung hat, muss sich später viel mehr Zeit für Problemlösung nehmen. Beim Bund hieß es dazu früher “Einzelschicksal! Können wir keine Rücksicht drauf nehmen.” Heute würde man vielleicht auch sagen “Lernen durch Schmerz”.
Unsere Lösung als Alternative zu MS 365: Nextcloud + Zimbra + Open Source Tools
Wir entschieden uns für eine „managed“ Nextcloud bei einem deutschen Anbieter – mit Talk (für Chat & Video), Files (für Dateiablage & Sharing), Collabora Online (für Office) und Kollektive (für unser Wiki). Ergänzt wurde das Setup übergangsweise durch IMAP-Postfächer bei unserem Hoster und später Zimbra als Groupware-Komponente für E‑Mail, Kalender und Kontakte. Natürlich mit vorgeschaltetem Security-Gateway und Verschlüsselungsserver. Auch Notizen (Joplin), Aufgaben (Kanban-Modul in Nextcloud) und Prozessbearbeitung und Visualisierung (draw.io) fanden Platz in unserer neuen Umgebung.
Tipp: Kombiniert gezielt – nicht alles muss aus einem Guss sein. Unterschiedliche Tools für unterschiedliche Zwecke sind kein Makel, sondern ein strategischer Vorteil.
Migration: In drei Phasen zur digitalen Souveränität
Wir haben unsere Migration bewusst in drei klar strukturierte Phasen unterteilt – nicht weil wir besonders bürokratisch sind, sondern weil Planbarkeit gegen Panik hilft. Und seien wir ehrlich: Ein chaotischer IT-Wechsel ist schlimmer als Montagmorgen mit Excel und Kaffee ohne Koffein.
Phase 1: Analyse und Testmigration
- Nutzerbedarfe erfassen (wer nutzt was, wofür?)
- Mailkonten und Kalender migrieren (Testdaten!)
- Rechte- und Rollenkonzepte vorbereiten
- Pilotteams definieren und einbinden
Phase 2: Produktivumstellung Dateiablage und Kommunikation
- OneDrive aufräumen (Und das war echt nötig, gell lieber Chef?)
- Nextcloud-Struktur festlegen, Rollen setzen
- Talk-Räume und Chatgruppen vorbereiten
- Mail-Umstellung auf Produktivbetrieb
Phase 3: Wissensmanagement und Prozesse umziehen
- Notizen in Joplin transferieren
- Kollektive-Struktur definieren
- Wikis aus SharePoint/OneNote migrieren
- Prozesse abbilden, Verantwortlichkeiten klären
Tipp: Lieber drei kleine Schritte mit sauberer Dokumentation als ein großer mit Bauchlandung. Und nein – „Wir machen das irgendwann nebenbei“ funktioniert nie.
Inoffizielle Phase 4: Hinterfragen und Austausch weiterer Tools
Gegen Ende der Phase 3 merkten wir immer häufiger, dass Nextcloud in den letzten Jahren riesige Entwicklungssprünge getan hat. Wer Nextcloud auf etwas Filesharing und Collaboration reduziert, hat es sich einfach nicht richtig angeschaut – oder das liegt so lange her wie 4 Kannen kalter Kaffee.
Wir stellten fest, dass wir uns auch von einigen anderen europäischen und US-Dienstleistern weiter unabhängig machen können. Unser Ticketsystem (bisher ein US-Service) ist nun ein Kanban-Board in Nextcloud. Ebenso die Vertragsverwaltung und auch das ganze IT-Servicemanagement, beides Cloud-Anwendungen bisher, sind als Kanban-Board umgesetzt. Draw.io fügt sich nahtlos in die Nextcloud-Oberfläche ein. Die Dokumentation unseres Informationssicherheitsmanagementsystems (ISMS) fühlt sich in der Wiki-Funktion (Kollektive) ebenso wohl wie in der bisherigen ISMS-Software, wenn nicht sogar wohler.
So haben wir mit der Zeit weitere externe Services und Abhängigkeiten aufgelöst und unter ein zentrales Dach gebracht. Mission erfolgreich.
Herausforderungen & Lösungen
Egal wie gut geplant, jede Migration bringt ihre kleinen und großen Katastrophen mit sich. Und natürlich lief nicht alles glatt – sonst wäre das hier kein Erfahrungsbericht, sondern eine Werbebroschüre.
- Performanceprobleme? Anbieter wechseln. Unser erster Nextcloud-Hoster versprach viel Performance (gerade für Talk als Teams-Ersatz), lieferte da leider jedoch wenig. Die Ladezeiten erinnerten an DSL-Light auf dem Dorf. Nach zahlreichen Supporttickets und einem halben Nervenzusammenbruch war klar: Anbieterwechsel. Was bei einer Nextcloud-Instanz keine große Sache ist (Vorteil von Open Source). Danach – als hätte jemand den Turbo angeschaltet.
- Technische Stolpersteine? Durchatmen. Kalenderdaten ließen sich nicht einlesen, weil Outlook meinte, seine .ics-Dateien müssten „kreativ interpretiert“ werden können. Joplin wollte manchmal partout keine Synchronisation, wenn ein Sonderzeichen im Dateinamen auftauchte. Die Lösung: Geduld, Logs lesen, Foren wälzen, Plugin-Konflikte auflösen. Mit anderen Worten: Open Source ist mächtig – aber nicht fehlerverzeihend.
- Mitarbeitende mitnehmen? Kommunikation und Einbindung sind das A und O.
Die größte Herausforderung war nicht der Wechsel selbst, sondern die Begleitung und Einbindung aller Beteiligten. Manche begrüßten die Umstellung, andere beäugten diese skeptisch. Unsere Lösung: Humor, Geduld und viel Erklärmaterial. Und dann: Einfach mal machen. Wer die 100%-Lösung für den ersten Anlauf anstrebt, wird nie beginnen. Und dabei wird vergessen, dass die derzeitige Umgebung meist auch nur bei 65% performt — wenn überhaupt. 😉
Besonders bewährt haben sich:
- tägliche „Ask-me-anything“-Sprechstunden während der heißen Phase
- ein „Umzugshelfer:innen“-Team mit Power-Usern aus verschiedenen Bereichen mit unterschiedlichen Kenntnissen und Fertigkeiten
- Checklisten und Anleitungen, die auch Nicht-ITler verstehen konnten
Kleine Katastrophen mit Lerneffekt:
- Die Terminplanung für das Mail-Umzugsdatum kollidierte mit dem Quartalsabschluss. Doof, dass genau da das Buchhaltungspostfach offline war. Tipp: Projektkalender mit den diversen Beteiligten wie dem Finanzteam abgleichen.
- Der Chef stellte fest, dass sein Kalender leer war – weil er versehentlich den Kalender unserer Fellträgerin synchronisiert hatte. Sie kennen Fellträgerin nicht? Hier entlang. Tipp: Klar benannte Kalender helfen – auch digital.
Nichts davon war unlösbar, aber alles hätte uns ohne gute Vorbereitung deutlich mehr Zeit (und Nerven) gekostet. Und ganz ehrlich – ein bisschen Chaos gehört zu jedem guten Projekt dazu. Hauptsache, man kann danach drüber lachen. Oder einen Blogartikel schreiben.
Digitale Souveränität bei a.s.k.: Lessons Learned
- Erwarte keine Wunder. Auch Open Source macht nicht automatisch alles besser. Aber: Es macht vieles möglich.
- Plane Schulungen mit ein – und zwar für ALLE. Nicht nur für die „IT-Freaks“. Auch Tante Erna aus der Buchhaltung muss wissen, wie sie jetzt ihre Reisekostenabrechnung hochlädt.
- Akzeptiere, dass manche Dinge wegfallen. Doch oftmals sind die Alternativen sogar besser. Man kannte sie bisher nur noch nicht.
Fazit
War es einfach? Nein. War es nötig? Ja. Würden wir es wieder tun? Sofort.
Wir arbeiten heute mit mehr Kontrolle, mehr Transparenz und ohne Lizenzdruck oder politische Unwägbarkeiten. Unsere Umgebung ist nicht nur DSGVO-konform – sie ist auch ein Beleg dafür, dass digitale Souveränität im Alltag machbar ist. Nicht mit Ideologie, sondern mit Pragmatismus, Humor und der Bereitschaft, Dinge zu verändern.
Und ganz nebenbei sind wir in Bezug auf unsere Endgeräte, egal ob stationär oder mobil, vollkommen anbieter- und betriebssystemunabhängig geworden.
Dieser Erfahrungsbericht basiert auf eigenen Praxiserfahrungen, Dokumentationen und Testprotokollen von uns, der a.s.k. Datenschutz, 2023–2025.
Hahn IT Services, Schwaig
No responses yet