Digital Sovereignty for EuropeDigitale Souveränität für Europa

A Policy Paper on Independent Digital InfrastructureEin Strategiepapier für unabhängige digitale Infrastruktur

February 2026Februar 2026

IntroductionEinleitung

Why Action Is Required NowWarum jetzt gehandelt werden muss

Europe’s public sector runs on digital infrastructure it doesn’t own and can’t control—and pays billions annually for the privilege. This paper analyzes what the dependency costs, the political action needed, and the opportunities of a sovereign digital infrastructure—for the economy, citizen services, security, and AI.

The Economic Drain

Europe’s public sector spends €80–100 billion annually on IT—€18–22 billion on software and licensing alone. At the German federal level, 88% of IT spending flows to US vendors. Germany alone transfers €2.5–4 billion per year in software licenses: operating systems, office suites, email, collaboration tools. Capital that neither strengthens European companies nor builds domestic innovation capacity.

Schleswig-Holstein saves over €5M annually (€170 per workstation) after switching to open source, with payback in under two years. An EU Commission study found that every euro publicly invested in open source generates four euros in economic value. The economic case for the transition is proven. What is missing is political action.

Full analysis

The Jobs and Innovation Loss

Every euro spent on foreign licenses is a euro not invested in European workers and companies. The EU Commission estimates that redirecting this spending would create tens of thousands of high-skilled jobs and generate 600+ new ICT startups annually.

Jobs & innovation data

The Citizen Benefit

Commercial software is built around corporate workflows — not the distinct requirements of public administration. Without architectural control, institutions cannot shape their digital services around citizen and administrative needs.

Germans spend 6–20 hours per person annually on tax compliance. Across 43 million taxpayers, this lost time alone costs over €10 billion per year. In countries with modern digital infrastructure, the same process takes 3–5 minutes. Meanwhile, tax fraud costs Germany an estimated €10–15 billion annually—and over €60 billion EU-wide—losses that automated cross-checks and real-time data matching dramatically reduce.

Modern digital infrastructure could give teachers 45 minutes back daily—time currently lost to administrative paperwork instead of teaching. Doctors re-enter patient data across incompatible systems instead of treating patients. Courts lag 10–15 years behind leading countries in digitalization—meaning justice depends on how long you can afford to wait.

Citizen benefits

The Sovereignty Risk

The US CLOUD Act (2018) requires American companies to provide data to US authorities regardless of where that data is stored—even if doing so violates European law.

Microsoft admitted to the French Senate (2019): it cannot guarantee European data protection from US government demands.¹

      Real-World Consequence: In February 2025, the US sanctioned the International Criminal Court (Executive Order 14203) after the ICC pursued arrest warrants against American allies. According to the Associated Press, Chief Prosecutor Karim Khan’s Microsoft email was blocked in compliance—while he was in the middle of active war crimes investigations.

      No cyberattack. No security breach. One policy decision in Washington.

The ICC’s response? Announced migration to openDesk, a European sovereign open-source workspace managed by Germany’s ZenDiS.

Over 80% of Europe’s digital infrastructure depends on non-EU providers—a strategic vulnerability demanding urgent action (EuroStack, Bertelsmann/CEPS, 2025). The European Parliament has identified EU dependency on non-EU countries for over 80% of digital products and infrastructure as an excessive strategic risk (Resolution P10_TA(2026)0022, January 2026, adopted 471–68).

Any European institution running on US infrastructure operates at the pleasure of US political decisions.

Security analysis

The EU has recognised that strategic technology cannot be left entirely to market forces: the European Chips Act commits €43 billion to semiconductor capacity; the Gaia-X initiative addresses cloud infrastructure sovereignty; and the newly established DC-EDIC targets sovereign administrative software. What is missing is not the institutional framework — it is the political and financial commitment at scale. That disparity — and how to close it — is the subject of this paper.

Europas öffentlicher Sektor läuft auf digitaler Infrastruktur, die Europa weder besitzt noch kontrollieren kann—und zahlt dafür jährlich Milliarden. Dieses Papier analysiert, was die Abhängigkeit kostet, den politischen Handlungsbedarf und die Chancen einer souveränen digitalen Infrastruktur—für Wirtschaft, Bürgerdienste, Sicherheit und KI.

Der wirtschaftliche Verlust

Europas öffentlicher Sektor gibt jährlich €80–100 Mrd. für IT aus—€18–22 Mrd. allein für Software und Lizenzen. Auf Bundesebene fließen 88% der IT-Ausgaben an US-Anbieter. Allein Deutschland transferiert €2,5–4 Mrd. pro Jahr an Softwarelizenzen: Betriebssysteme, Office-Pakete, E-Mail, Kollaborationstools. Kapital, das weder europäische Unternehmen stärkt noch heimische Innovationskraft aufbaut.

Schleswig-Holstein spart mit dem Umstieg auf Open Source über €5 Mio. jährlich ein (€170 pro Arbeitsplatz) bei einer Amortisation unter zwei Jahren. Zusätzlich ergab eine Untersuchung der EU-Kommission, dass jeder öffentlich investierte Euro in Open Source vier Euro wirtschaftlichen Nutzen erzeugt. Die wirtschaftliche Grundlage für den Umstieg ist belegt. Was fehlt, ist politisches Handeln.

Wirtschaftsanalyse

Der Verlust an Arbeitsplätzen und Innovation

Jeder Euro für ausländische Lizenzen ist ein Euro, der nicht in europäische Arbeitskräfte und Unternehmen investiert wird. Die EU-Kommission schätzt, dass eine Umleitung dieser Ausgaben Zehntausende hochqualifizierter Arbeitsplätze schaffen und über 600 neue IKT-Start-ups jährlich hervorbringen würde.

Arbeitsplätze & Innovation

Was Bürger gewinnen können

Software aus dem kommerziellen Bereich ist auf Unternehmensabläufe ausgelegt — nicht auf die besonderen Anforderungen öffentlicher Verwaltung. Ohne Kontrolle über die Architektur können Behörden ihre digitalen Dienste nicht nach Bürger- und Verwaltungsbedarf gestalten.

Deutsche verbringen jährlich 6–20 Stunden pro Person mit der Steuererklärung. Über 43 Millionen Steuerzahler hinweg kostet allein diese verlorene Zeit über €10 Milliarden jährlich. In Ländern mit moderner digitaler Infrastruktur dauert derselbe Vorgang 3–5 Minuten. Gleichzeitig entgehen Deutschland geschätzt €10–15 Milliarden jährlich durch Steuerbetrug—EU-weit über €60 Milliarden—Verluste, die automatisierte Gegenprüfungen und Echtzeit-Datenabgleich drastisch reduzieren.

Moderne digitale Infrastruktur könnte Lehrkräften täglich 45 Minuten zurückgeben—Zeit, die derzeit für Verwaltungsarbeit statt Unterricht verloren geht. Ärzte geben Patientendaten in inkompatible Systeme ein, statt Patienten zu behandeln. Gerichte hinken führenden Ländern 10–15 Jahre in der Digitalisierung hinterher—Gerechtigkeit hängt davon ab, wie lange man es sich leisten kann zu warten.

Bürgernutzen

Das Daten- und Kontrollrisiko

Der US CLOUD Act (2018) verpflichtet amerikanische Unternehmen, Daten an US-Behörden herauszugeben—unabhängig davon, wo diese Daten gespeichert sind, und selbst wenn dies europäisches Recht verletzt.

Microsoft räumte vor dem französischen Senat (2019) ein: Das Unternehmen kann nicht garantieren, dass europäische Daten vor Zugriffsforderungen der US-Regierung geschützt sind.¹

      Reale Konsequenz: Im Februar 2025 belegten die USA den Internationalen Strafgerichtshof mit Sanktionen (Executive Order 14203), nachdem der IStGH Haftbefehle gegen amerikanische Verbündete erwirkt hatte. Laut Associated Press wurde die Microsoft-E-Mail von Chefankläger Karim Khan daraufhin gesperrt—mitten in laufenden Kriegsverbrecherermittlungen.

      Kein Cyberangriff. Keine Sicherheitslücke. Eine politische Entscheidung in Washington.

Die Reaktion des IStGH? Migration zu openDesk—einem europäischen souveränen Open-Source-Arbeitsplatz, betrieben von Deutschlands ZenDiS.

Über 80% der digitalen Infrastruktur Europas hängen von Nicht-EU-Anbietern ab—eine strategische Verwundbarkeit, die dringendes Handeln erfordert (EuroStack, Bertelsmann/CEPS, 2025). Das Europäische Parlament hat die Abhängigkeit der EU von Drittländern bei über 80% der digitalen Produkte und Infrastrukturen als übermäßiges strategisches Risiko eingestuft (Resolution P10_TA(2026)0022, Januar 2026, angenommen mit 471–68).

Jede europäische Institution, die auf US-Infrastruktur läuft, ist amerikanischen politischen Entscheidungen ausgeliefert.

Sicherheitsanalyse

Die EU hat erkannt, dass strategische Technologie nicht allein dem Markt überlassen werden kann: Der Europäische Chips Act stellt 43 Milliarden Euro für Halbleiterkapazitäten bereit; die Gaia-X-Initiative adressiert souveräne Cloud-Infrastruktur; das neu gegründete DC-EDIC zielt auf souveräne Verwaltungssoftware. Was fehlt, ist nicht der institutionelle Rahmen — sondern das politische und finanzielle Bekenntnis im nötigen Maßstab. Diese Lücke — und wie sie geschlossen werden kann — ist Gegenstand dieses Papiers.

The Open Source AdvantageDer Open-Source-Vorteil

Why Open Markets Need Open SourceWarum offene Märkte Open Source brauchen

Monopolies extract rent. Open markets create platforms on which thousands of companies can build. Public digital infrastructure works like power grids and roads: society owns the foundation, private companies compete on top. Built openly, the entire economy benefits—innovation accelerates, competition drives quality, and value creation is shared broadly. Under monopoly control, public money flows as returns to a single corporation’s shareholders.

Dimension	Monopoly Model	Open Market Model
Innovation	Quality stagnation — no competition, features on vendor’s roadmap and timeline, tied to one ecosystem	Thousands of developers worldwide contribute; features emerge from real needs, not vendor strategy
Cost	Vendor dictates prices after lock-in (+27% in 4 years, above market inflation); switching costs engineered to be prohibitive	Multiple providers compete on quality — switch freely, prices follow the market
Security	Code is secret — backdoors stay hidden until breached (SolarWinds, Exchange ProxyLogon)	Code is public — thousands of eyes find bugs before attackers do. Fully auditable by BSI, CCC, Fraunhofer
Sovereignty	Subject to foreign law (CLOUD Act); access can be revoked by political decision (see ICC)	European law, European decisions — infrastructure society owns and controls
AI	Locked to vendor’s model and pricing (Copilot: €30/user/month, non-negotiable)	Any model, including European (Mistral) — on your own infrastructure

How open source accelerates innovation

When code is public, thousands of developers worldwide contribute improvements. Security vulnerabilities are identified and fixed rapidly. Features emerge from diverse needs. Companies compete on service quality rather than customer captivity. The result: faster innovation benefiting everyone—not just one corporation’s shareholders.

      Microsoft and Google run their own infrastructure on Linux. Azure runs on Linux. Google Cloud runs on Linux. They build AI on PyTorch and TensorFlow. These aren’t alternatives to US tech—they ARE US tech’s foundation. Microsoft and Google don’t innovate despite open source; they innovate on top of it. Europe isn’t proposing to reinvent the wheel. Europe is proposing to stop paying rent on wheels it already owns.
    

Infrastructure model

Monopole kassieren — offene Märkte schaffen Wettbewerb. Offene Plattformen ermöglichen es Tausenden Unternehmen, darauf aufzubauen. Öffentliche digitale Infrastruktur funktioniert wie Stromnetze und Straßen: Die Gesellschaft besitzt die Grundlage, private Unternehmen konkurrieren darauf. Offen gebaut profitiert die gesamte Wirtschaft—Innovation beschleunigt sich, Wettbewerb treibt Qualität, und die Wertschöpfung verteilt sich breit. Unter Monopolkontrolle fließen öffentliche Gelder als Rendite an die Aktionäre eines einzigen Konzerns.

Dimension	Monopolmodell	Offener Markt
Innovation	Qualitätsstagnation — kein Wettbewerb, Funktionen nach Zeitplan des Anbieters, an ein Ökosystem gebunden	Tausende Entwickler weltweit tragen bei; Funktionen entstehen aus realen Anforderungen, nicht aus Anbieterstrategie
Kosten	Anbieter diktiert Preise nach Lock-in (+27% in 4 Jahren, über Marktinflation); Wechselkosten gezielt prohibitiv gestaltet	Mehrere Anbieter konkurrieren über Qualität — frei wechselbar, Preise folgen dem Markt
Sicherheit	Code ist geheim — Hintertüren bleiben verborgen, bis sie ausgenutzt werden (SolarWinds, Exchange ProxyLogon)	Code ist öffentlich — Tausende Augen finden Fehler vor Angreifern. Vollständig prüfbar durch BSI, CCC, Fraunhofer
Souveränität	Unterliegt ausländischem Recht (CLOUD Act); Zugang kann durch politische Entscheidung entzogen werden (siehe IStGH)	Europäisches Recht, europäische Entscheidungen — Infrastruktur, die der Gesellschaft gehört
KI	An Modell und Preise des Anbieters gebunden (Copilot: €30/Nutzer/Monat, nicht verhandelbar)	Jedes Modell, auch europäische (Mistral) — auf eigener Infrastruktur

Wie Open Source Innovation beschleunigt

Wenn Code öffentlich ist, tragen Tausende Entwickler weltweit Verbesserungen bei. Sicherheitslücken werden schnell erkannt und behoben. Neue Funktionen entstehen aus vielfältigen Anforderungen. Unternehmen konkurrieren über Servicequalität statt über Kundenbindung. Das Ergebnis: schnellere Innovation zum Nutzen aller—nicht nur der Aktionäre eines einzelnen Konzerns.

      Microsoft und Google betreiben ihre eigene Infrastruktur auf Linux. Azure läuft auf Linux. Google Cloud läuft auf Linux. Sie entwickeln KI auf PyTorch und TensorFlow. Das sind keine Alternativen zu US-Technologie—sie SIND das Fundament der US-Technologie. Microsoft und Google innovieren nicht trotz Open Source; sie innovieren darauf. Europa schlägt nicht vor, das Rad neu zu erfinden. Europa schlägt vor, keine Miete mehr für Räder zu zahlen, die es bereits besitzt.
    

Infrastrukturmodell

Open Source — Proven AlternativeOpen Source — Bewährte Alternative

Open Source in Production Across EuropeOpen Source im produktiven Einsatz in ganz Europa

Open source digital infrastructure is not a future aspiration—it is a present reality. Governments across Europe are already deploying open source alternatives at scale, with measurable success.

Country / Region	Scale	Status	Key Achievement
France	500,000+ civil servants	Deploying 2025–2027	LiveKit-based video handles 100+ participants
Schleswig-Holstein	30,000 workstations	80% complete	40,000 mailboxes migrated
Estonia	Entire government	Operational	99% services online, 3–5 minute tax filing
Italy (Military)	100,000 desktops	Complete	€26M documented savings
Denmark	National	Operational	OS2 community: 82 municipalities, 400+ shared OSS products
Valencia	120,000 PCs	Complete	€1.5M annual savings since 2013

The technology works. The economics are proven. The security is verifiable.

AI sovereignty

Digitale Open-Source-Infrastruktur ist keine Zukunftsvision—sie ist gelebte Realität. Regierungen in ganz Europa setzen bereits Open-Source-Alternativen im großen Maßstab ein, mit messbarem Erfolg.

Land / Region	Umfang	Status	Kernerfolg
Frankreich	500.000+ Beamte	Rollout 2025–2027	LiveKit-basierte Videokonferenzen mit 100+ Teilnehmern
Schleswig-Holstein	30.000 Arbeitsplätze	80% abgeschlossen	40.000 Postfächer migriert
Estland	Gesamte Regierung	Operativ	99% aller Dienste online, 3–5 Minuten Steuererklärung
Italien (Militär)	100.000 Desktops	Abgeschlossen	€26M dokumentierte Einsparungen
Dänemark	National	Operativ	OS2-Gemeinschaft: 82 Kommunen, 400+ gemeinsame OSS-Produkte
Valencia	120.000 PCs	Abgeschlossen	€1,5M jährliche Einsparungen seit 2013

      Die Technologie funktioniert. Die Wirtschaftlichkeit ist belegt. Die Sicherheit ist überprüfbar.
    

KI-Souveränität

Section 1Abschnitt 1

The Economic DrainDer wirtschaftliche Verlust

Europe’s public sector IT spending represents one of the largest technology markets in the world—yet the vast majority flows to US corporations, building American capacity while Europe merely rents access.

1.1 What Germany and the EU Spend

Germany

Level	Annual IT Spending
Federal (Bund)	€1.2–1.5 billion
States (16 Länder)	€6–7 billion
Municipalities	€4–5 billion
TOTAL	€12–17 billion

European Union

Category	Annual Spending
Total Public Sector IT	€80–100 billion
Software & Licensing	€18–22 billion

[Technical Annex, Section 1: Complete breakdown by category]

1.2 The Economic Multiplier

Investing in open source generates significant economic returns.

The EU Commission’s 2021 study found a conservative 1:4 return: €1 invested in open source generates €4 in economic activity.⁴

1:4 Return on public open source investment (EU Commission, “conservative”)

Investment Level	Economic Return
Germany: €2 billion annually	€8 billion GDP activity
Germany: €5 billion annually	€20 billion GDP activity
EU coordinated: €20 billion annually	€80 billion GDP activity

What does “10% increase in open-source contributions” mean concretely?

Current EU open-source investment is approximately €1 billion annually. A 10% increase (€100 million additional) generates 0.4–0.6% additional GDP (€60–100 billion) through direct development, ecosystem growth, and reduced licensing outflows.

A 2024 Harvard Business School study independently corroborates this: globally, open-source software creates $8.8 trillion in demand-side value from just $4.15 billion in supply-side investment—a return ratio of over 2,100:1. Without open source, firms would need to spend 3.5× more on software. This is not a European estimate—it is a measured economic reality.

Source: Hoffmann, Nagle & Zhou, “The Value of Open Source Software,” Harvard Business School Working Paper 24-038 (2024).

[Technical Annex, Section 8: GDP multiplier methodology]

1.3 Where This Money Goes

The Core Finding: 88% Leaves Europe

88% flows to non-European vendors

At the German federal level, where detailed procurement data is available, 88% of IT spending flows to non-European vendors—primarily US corporations. Only 9% reaches German companies.²

The largest contracts tell the story: Oracle (€4.64 billion), Microsoft (€1.28 billion), and other US vendors dominate. The sole major German recipient is Secunet (€1.19 billion for security infrastructure).

[Technical Annex, Section 1.2: Federal framework contracts complete breakdown]

The Pass-Through Problem

When municipalities pay regional IT providers like Dataport (€1.4 billion revenue, 2024), the licensing share passes almost entirely to US vendors. Under IFRS 15 accounting, resellers act as “agents”—retaining only 2–5% margin on software licenses, with 95–98% flowing to Microsoft, Oracle, and Cisco. Much of what appears as “German IT services” is simply a payment channel.³

1.4 The Addressable Opportunity

€2.5–4 billion annually can be served by European open-source alternatives.

Open-source replacements for standard government software—operating systems, office suites, email, collaboration, video conferencing—are production-ready and deployed at scale. France operates sovereign communication tools for 500,000+ civil servants. Schleswig-Holstein has migrated 40,000 mailboxes and 80% of workstations. These are not pilots; they are production systems.

The thousands of specialized administrative applications (Fachverfahren) built on outdated technology represent technical debt requiring modernization anyway. Refactoring these systems to modern web standards—necessary for mobile access, security, and cloud capability—simultaneously enables European solutions. This is an opportunity, not a barrier.

With sovereign infrastructure as the foundation, European companies can develop better, more integrated solutions than the fragmented proprietary landscape currently allows.

[Technical Annex, Section 2: Component breakdown and addressability analysis]

1.5 The Lock-In Problem

Vendor lock-in occurs when switching becomes prohibitively expensive—not because alternatives are inferior, but because incumbents structure products to trap customers.

Fiscal Lock-In

The shift from purchasing software to subscribing creates long-term budget commitments. Bavaria’s €1 billion Microsoft contract locks operational budgets for years. Once committed, adding Microsoft features appears cheaper than alternatives—an economic moat against competition.

The Price Evidence

Per-seat license costs (Office 365 E3, Germany) since 2020:

Year	Annual Cost per User	Change from 2020
2020	€236.40	Baseline
2022	€271.20	+14.7%
2024	€301.00	+27.3%
2026 (July)	~€330*	+39.6%

*Microsoft M365 price increases effective July 2026: E3 +8.3% (€301→~€326/user/year); range +5.3%–16.7% across product lines.

Comparison with IT inflation (2020–2024):

Metric	4-Year Change
Microsoft O365 E3	+27.3%
Normal IT service inflation (~4.5%/year)	~19%
Microsoft premium above market	+8 percentage points

This is lock-in pricing: once customers depend on Microsoft, prices rise faster than the market. Switching costs make customers captive.⁵

Total federal Microsoft spending:

Year	Annual Spend	Change from 2015
2015	€43.5 million	Baseline
2024	€204.5 million	+370%

The gap tells the story: per-seat costs rose 27%, but total spending rose 370%. This reflects massive expansion of Microsoft’s footprint—more users, more services, deeper dependency.

[Technical Annex, Section 3: Microsoft pricing deep dive]

The Open Source Alternative

Solution	Annual Cost per User
Microsoft Office 365 E3	€301
Nextcloud Enterprise (files + collaboration)	€69
Collabora Office (LibreOffice enterprise)	€25
Full open-source stack	~€130

Microsoft O365 E3

€301/user

Open Source Stack

~€130/user

European alternatives cost less than half of equivalent Microsoft licensing in steady-state operation—before considering that open-source investments stay in Europe.

The full picture: Migration is an investment, not a cost.

Schleswig-Holstein is investing €9 million to migrate ~30,000 workstations—roughly €300 per user in one-time transition costs (migration, training, infrastructure). But the math is clear:

Microsoft path: €301/user/year × forever = permanent rent
Sovereign path: ~€300 one-time + ~€130/user/year ongoing
Break-even: <2 years. After that, €170/user/year in permanent savings
SH confirms: >€5 million/year net savings projected from 2030

[Technical Annex, Section 4: Open source cost analysis]

1.6 Investment vs. Rent

Factor	Rent (Current Path)	Invest (Sovereign Path)
10-year cost	€25–40 billion	€15–25 billion
Assets owned	Nothing	Full infrastructure
Jobs created	Minimal (sales offices)	15,000–20,000 European
Technology built	In United States	In Europe
Money retained	€0	€10–15 billion
Future dependency	Increases	Decreases

The economic case is clear. Every year of delay is another year of capital export and missed opportunity.

Die IT-Ausgaben des öffentlichen Sektors in Europa bilden einen der größten Technologiemärkte der Welt – doch der überwiegende Teil fließt an US-Konzerne und baut amerikanische Kapazitäten auf, während Europa lediglich Zugang mietet.

1.1 Was Deutschland und die EU ausgeben

Deutschland

Ebene	Jährliche IT-Ausgaben
Bund	€1.2–1.5 Mrd.
Länder (16)	€6–7 Mrd.
Kommunen	€4–5 Mrd.
GESAMT	€12–17 Mrd.

Europäische Union

Kategorie	Jährliche Ausgaben
Öffentlicher Sektor IT gesamt	€80–100 Mrd.
Software & Lizenzierung	€18–22 Mrd.

[Technischer Anhang, Abschnitt 1: Vollständige Aufschlüsselung nach Kategorie]

1.2 Der wirtschaftliche Multiplikator

Investitionen in Open Source erzeugen erhebliche volkswirtschaftliche Renditen.

Die Studie der EU-Kommission von 2021 ergab eine konservative Rendite von 1:4: €1 Investition in Open Source erzeugt €4 an wirtschaftlicher Aktivität.⁴

1:4 Rendite öffentlicher Open-Source-Investitionen (EU-Kommission, „konservativ“)

Investitionsniveau	Wirtschaftliche Rendite
Deutschland: €2 Mrd. jährlich	€8 Mrd. BIP-Aktivität
Deutschland: €5 Mrd. jährlich	€20 Mrd. BIP-Aktivität
EU-koordiniert: €20 Mrd. jährlich	€80 Mrd. BIP-Aktivität

Was bedeutet „10% Steigerung der Open-Source-Beiträge“ konkret?

Die aktuellen Open-Source-Investitionen der EU betragen ca. €1 Mrd. jährlich. Eine Steigerung um 10% (€100 Mio. zusätzlich) erzeugt 0.4–0.6% zusätzliches BIP (€60–100 Mrd.) durch direkte Entwicklung, Ökosystemwachstum und geringere Lizenzabflüsse.

Eine Studie der Harvard Business School (2024) bestätigt dies unabhängig: Global erzeugt Open-Source-Software einen nachfrageseitigen Wert von 8,8 Billionen US-Dollar bei nur 4,15 Milliarden US-Dollar angebotsseitiger Investition—ein Rendite-Verhältnis von über 2.100:1. Ohne Open Source müssten Unternehmen 3,5× mehr für Software ausgeben. Dies ist keine europäische Schätzung—es ist eine gemessene wirtschaftliche Realität.

Quelle: Hoffmann, Nagle & Zhou, „The Value of Open Source Software,“ Harvard Business School Working Paper 24-038 (2024).

[Technischer Anhang, Abschnitt 8: BIP-Multiplikator-Methodik]

1.3 Wohin dieses Geld fließt

Der Kernbefund: 88% verlassen Europa

88% fließen an nicht-europäische Anbieter

Auf Bundesebene, wo detaillierte Beschaffungsdaten vorliegen, fließen 88% der IT-Ausgaben an nicht-europäische Anbieter – vor allem an US-Konzerne. Nur 9% erreichen deutsche Unternehmen.²

Die größten Verträge sprechen für sich: Oracle (€4,64 Mrd.), Microsoft (€1,28 Mrd.) und weitere US-Anbieter dominieren. Der einzige große deutsche Empfänger ist Secunet (€1,19 Mrd. für Sicherheitsinfrastruktur).

[Technischer Anhang, Abschnitt 1.2: Vollständige Aufschlüsselung der Rahmenverträge des Bundes]

Scheinbare Wertschöpfung: Reseller als Zahlungskanal

Wenn Kommunen regionale IT-Dienstleister wie Dataport (€1,18 Mrd. Umsatz) bezahlen, fließt der Lizenzanteil nahezu vollständig an US-Anbieter. Gemäß IFRS-15-Bilanzierung agieren Reseller als „Agenten“—sie behalten nur 2–5% Marge bei Softwarelizenzen, 95–98% fließen an Microsoft, Oracle und Cisco. Ein großer Teil dessen, was als „deutsche IT-Dienstleistungen“ erscheint, ist schlicht ein Zahlungskanal.³

1.4 Was Europa zurückgewinnen kann

        €2,5–4 Mrd. jährlich können durch europäische Open-Source-Alternativen abgedeckt werden.
      

Open-Source-Ersatzlösungen für Standard-Verwaltungssoftware – Betriebssysteme, Office-Pakete, E-Mail, Zusammenarbeit, Videokonferenzen – sind produktionsreif und im großen Maßstab im Einsatz. Frankreich betreibt souveräne Kommunikationswerkzeuge für über 500.000 Beamte. Schleswig-Holstein hat 40.000 Postfächer und 80% der Arbeitsplätze migriert. Das sind keine Pilotprojekte – das sind Produktivsysteme.

Die Tausenden spezialisierten Fachverfahren auf veralteter Technologie stellen technische Schulden dar, die ohnehin modernisiert werden müssen. Diese Systeme auf moderne Webstandards umzubauen – notwendig für mobilen Zugriff, Sicherheit und Cloud-Fähigkeit – ermöglicht gleichzeitig europäische Lösungen. Das ist eine Chance, keine Hürde.

Mit souveräner Infrastruktur als Fundament können europäische Unternehmen bessere, stärker integrierte Lösungen entwickeln als es die fragmentierte proprietäre Landschaft derzeit zulässt.

[Technischer Anhang, Abschnitt 2: Komponentenaufschlüsselung und Adressierbarkeitsanalyse]

1.5 Das Lock-In-Problem

Anbieter-Lock-In entsteht, wenn ein Wechsel unverhältnismäßig teuer wird – nicht weil Alternativen schlechter sind, sondern weil Anbieter ihre Produkte so strukturieren, dass Kunden gefangen bleiben.

Fiskalisches Lock-In

Der Wechsel vom Softwarekauf zum Abonnement erzeugt langfristige Haushaltsbindungen. Bayerns €1 Mrd. Microsoft-Vertrag bindet operative Budgets über Jahre. Einmal festgelegt, erscheint die Erweiterung um Microsoft-Funktionen günstiger als Alternativen – ein wirtschaftlicher Burggraben gegen Wettbewerb.

Die Preisbelege

Lizenzkosten pro Arbeitsplatz (Office 365 E3, Deutschland) seit 2020:

Jahr	Jährliche Kosten pro Nutzer	Veränderung seit 2020
2020	€236.40	Ausgangswert
2022	€271.20	+14.7%
2024	€301.00	+27.3%
2026 (Juli)	~€330*	+39,6%

*Microsoft-Preiserhöhungen ab Juli 2026: E3 +8,3 % (€301→~€326/Nutzer/Jahr); Bandbreite +5,3–16,7 % über alle Produktlinien.

Vergleich mit der IT-Inflation (2020–2024):

Kennzahl	Veränderung über 4 Jahre
Microsoft O365 E3	+27.3%
Normale IT-Dienstleistungsinflation (~4.5%/Jahr)	~19%
Microsoft-Aufschlag über Marktniveau	+8 Prozentpunkte

Das ist Lock-In-Preisgestaltung: Sobald Kunden von Microsoft abhängig sind, steigen die Preise schneller als der Markt. Wechselkosten machen Kunden zu Gefangenen.⁵

Microsoft-Gesamtausgaben des Bundes:

Jahr	Jährliche Ausgaben	Veränderung seit 2015
2015	€43.5 million	Ausgangswert
2024	€204.5 million	+370%

Die Lücke spricht für sich: Die Kosten pro Arbeitsplatz stiegen um 27%, die Gesamtausgaben jedoch um 370%. Das spiegelt die massive Ausweitung von Microsofts Fußabdruck wider – mehr Nutzer, mehr Dienste, tiefere Abhängigkeit.

[Technischer Anhang, Abschnitt 3: Detailanalyse Microsoft-Preisgestaltung]

Die Open-Source-Alternative

Lösung	Jährliche Kosten pro Nutzer
Microsoft Office 365 E3	€301
Nextcloud Enterprise (Dateien + Zusammenarbeit)	€69
Collabora Office (LibreOffice Enterprise)	€25
Vollständiger Open-Source-Stack	~€130

Microsoft O365 E3

€301/Nutzer

Open-Source-Stack

~€130/Nutzer

Europäische Alternativen kosten im laufenden Betrieb weniger als die Hälfte vergleichbarer Microsoft-Lizenzen – und dabei ist noch nicht berücksichtigt, dass Open-Source-Investitionen in Europa bleiben.

Das Gesamtbild: Migration ist eine Investition, keine Kosten.

Schleswig-Holstein investiert €9 Millionen für die Migration von ~30.000 Arbeitsplätzen—rund €300 pro Nutzer als einmalige Umstellungskosten (Migration, Schulung, Infrastruktur). Aber die Rechnung ist klar:

Microsoft-Pfad: €301/Nutzer/Jahr × für immer = permanente Miete
Souveräner Pfad: ~€300 einmalig + ~€130/Nutzer/Jahr laufend
Break-even: <2 Jahre. Danach €170/Nutzer/Jahr an dauerhaften Einsparungen
SH bestätigt: >€5 Millionen/Jahr Nettoeinsparung ab 2030 prognostiziert

[Technischer Anhang, Abschnitt 4: Kostenanalyse Open Source]

1.6 Investieren statt Mieten

Faktor	Mieten (aktueller Pfad)	Investieren (souveräner Pfad)
10-Jahres-Kosten	€25–40 Mrd.	€15–25 Mrd.
Eigene Vermögenswerte	Nichts	Vollständige Infrastruktur
Geschaffene Arbeitsplätze	Minimal (Vertriebsbüros)	15.000–20.000 europäische
Technologie entsteht	In den Vereinigten Staaten	In Europa
Kapital verbleibt	€0	€10–15 Mrd.
Zukünftige Abhängigkeit	Steigt	Sinkt

Die wirtschaftliche Bilanz ist eindeutig. Jedes Jahr des Zögerns ist ein weiteres Jahr des Kapitalexports und verpasster Chancen.

Section 2Abschnitt 2

Innovation and JobsInnovation und Arbeitsplätze

Where money flows determines where innovation happens. Every euro spent on software funds R&D, creates jobs, and builds technological capacity—somewhere.

2.1 The Innovation Drain

Europe loses innovation capacity through three reinforcing mechanisms:

Mechanism	Impact	Trend
Capital Outflow	€2.5–4 billion/year from Germany to US	Ongoing
Talent Migration	Net inflow dropped 52,000 → 26,000	-50% (2022–2024)
Startup Funding Gap	EU $11B vs US $47B (AI, 2024)	$375B gap over decade

These mechanisms reinforce each other: capital leaves → companies don’t grow → talent leaves → startups relocate → capital leaves.

2.2 European Employment Creation

Redirecting €2.5–4 billion annually from US licenses to European development creates substantial employment.

Region	Jobs Created	Salary Range	Tax Revenue
Germany	15,000–20,000	€45,000–90,000	€150–300 million/year
European Union	50,000–100,000	Comparable	Proportional
New ICT Startups	600+/year (EU)	—	—

This transforms an import cost into domestic investment. Instead of €100 to Redmond for a license, €100 goes to a European system house—wages taxed locally, skills built locally, innovation happening locally.

2.3 How Open Source Retains Innovation

When code is public:

Developers build portfolios demonstrating real capabilities
Knowledge circulates rather than remaining locked in corporate silos
Skills transfer between public and private sectors
Startups build on public infrastructure without platform fees
European companies gain home-market advantage serving European public sector needs

The sovereign investment creates an innovation flywheel: public funding develops infrastructure → developers gain expertise → expertise flows to private sector → European tech ecosystem strengthens → more innovation capacity → repeat.

Wohin Geld fließt, dort entsteht Innovation. Jeder Euro für Software finanziert Forschung und Entwicklung, schafft Arbeitsplätze und baut technologische Kapazität auf—irgendwo.

2.1 Wie Europa Innovationskraft verliert

Europa verliert Innovationskapazität durch drei sich verstärkende Mechanismen:

Mechanismus	Auswirkung	Trend
Kapitalabfluss	€2.5–4 Mrd./Jahr von Deutschland in die USA	Anhaltend
Talentabwanderung	Nettozuwanderung sank von 52,000 → 26,000	-50% (2022–2024)
Startup-Finanzierungslücke	EU $11B vs USA $47B (KI, 2024)	$375B Lücke über ein Jahrzehnt

Diese Mechanismen verstärken sich gegenseitig: Kapital fließt ab → Unternehmen wachsen nicht → Talente wandern ab → Startups verlagern sich → Kapital fließt ab.

2.2 Europäische Beschäftigungseffekte

Die Umleitung von jährlich €2,5–4 Mrd. von US-Lizenzen in europäische Entwicklung schafft erhebliche Beschäftigung.

Region	Geschaffene Stellen	Gehaltsspanne	Steuereinnahmen
Deutschland	15,000–20,000	€45,000–90,000	€150–300 million/year
Europäische Union	50,000–100,000	Vergleichbar	Proportional
Neue IKT-Startups	600+/year (EU)	—	—

So wird ein Importposten zur Inlandsinvestition. Statt €100 nach Redmond für eine Lizenz fließen €100 an ein europäisches Systemhaus—Gehälter lokal versteuert, Kompetenzen lokal aufgebaut, Innovation vor Ort.

2.3 Wie Open Source Innovation sichert

Öffentlicher Quellcode bewirkt:

Entwickler bauen Portfolios auf, die reale Fähigkeiten belegen
Wissen zirkuliert, statt in Unternehmenssilos eingesperrt zu bleiben
Kompetenztransfer zwischen öffentlichem und privatem Sektor
Startups bauen auf öffentlicher Infrastruktur auf—ohne Plattformgebühren
Europäische Unternehmen erhalten einen Heimmarktvorteil bei der Bedienung europäischer öffentlicher Auftraggeber

Die souveräne Investition erzeugt ein Innovationsschwungrad: öffentliche Mittel entwickeln Infrastruktur → Entwickler gewinnen Expertise → Expertise fließt in die Privatwirtschaft → Europas Tech-Ökosystem wird gestärkt → mehr Innovationskapazität → Wiederholung.

Section 3Abschnitt 3

Citizen BenefitsWas Bürger gewinnen können

3.1 Reclaiming Lost Time

Germany’s tax compliance burden—over €10 billion in lost time annually—illustrates what modern infrastructure could deliver.

Country	Time to File	Method
Germany	6–20 hours	Compile receipts, navigate software, often pay professionals
Estonia	3–5 minutes	Pre-filled data, review, one-click confirmation
Denmark	0 minutes	Automatic filing, silence equals acceptance
Sweden	1 minute	File by SMS

Germans spend 6–20 hours annually on tax compliance. Estonians spend 3–5 minutes. Different infrastructure, dramatically different outcomes.

At national scale, this gap costs Germans over €10 billion worth of time—not in taxes paid, but in hours lost. Hours collecting receipts. Hours navigating software. Hours that Estonian computers handle automatically.

That’s time people could spend with family, pursuing education, building businesses, or however they choose. Infrastructure that works gives citizens their lives back.

[Technical Annex, Section 5.1: Tax compliance methodology]

3.2 Healthcare: The Infrastructure Failure

Germany’s Elektronische Patientenakte (ePA) achieved less than 1% adoption under the previous opt-in system. Citizens couldn’t trust a system they couldn’t verify.

The problem wasn’t privacy concerns—it was justified skepticism. The ePA was developed as a closed system. Citizens couldn’t see how their data was protected, who could access it, or whether it was secure. The code was hidden. Trust was demanded rather than earned.

Why open source solves this:

When code is public, security researchers verify claims. The Chaos Computer Club, BSI, and Fraunhofer can audit every component. Citizens can see exactly what happens to their data. Trust is built on transparency, not promises.

The benefit of verified digital health infrastructure:

Patients control their complete medical history
Information follows the patient, not the institution
Duplicate tests and procedures eliminated
Care coordination across providers becomes possible
Citizens choose what to share, with whom, with full visibility

Estonia achieved 99%+ e-prescription adoption through legal mandates, universal digital identity, and open infrastructure — its X-Road data exchange layer is open source, enabling interoperability across hundreds of organisations. Denmark digitised 99% of provider-to-provider health communication through decades of registry infrastructure and mandatory digital mail. These systems succeed because strong governance, usability, and institutional trust create conditions for adoption — and open standards enable the interoperability that makes them scale.

[Technical Annex, Section 5.2: Healthcare digitalization benchmarks]

3.3 Tax Fraud Prevention and Fair Revenue Collection

Modern infrastructure ensures tax systems work as intended—everyone pays what they legally owe.

Current Tax Fraud Losses

Jurisdiction	Annual Losses
Germany	€10–15 billion
European Union	€60+ billion

These losses aren’t abstract—they represent schools not built, healthcare not funded, or higher taxes others must pay to compensate.

Potential Tax Fraud Recovery

Jurisdiction	Conservative Estimate	Full Implementation
Germany	€5–10 billion/year	€10–15 billion/year
EU-wide	€20–30 billion/year	€40–50 billion/year

This is about fairness. When some avoid obligations through system gaps, honest citizens subsidize them. Modern infrastructure ensures everyone pays their legal obligation—nothing more, nothing less.

3.4 Faster Justice

Digital infrastructure dramatically improves access to justice. Currently, German judicial digitalization “lags 10–15 years behind leading countries.”

When courts take years to resolve disputes, only those who can afford to wait receive justice. Digital case management, electronic filing, and automated scheduling reduce delays for everyone.

Results from Digital Leaders

Country	Before	After	Improvement
South Korea	47 days average	25 days	-47%
Estonia	156 days (civil)	99 days	-37%

[Technical Annex, Section 5.3: Justice system digitalization]

3.5 Education: Infrastructure Enables Teachers

Teachers report significant administrative burden: same data entered multiple times, no standardized communication platforms, manual coordination consuming hours weekly.

        Estonian eKool Results:
        Teacher admin time saved: 45 minutes daily
School adoption: 95%
Real-time parent visibility into grades and attendance

      

Infrastructure improvements alone free substantial teaching time for actual instruction.

AI tools offer additional personalization potential—research suggests significant learning gains from AI tutoring systems, enabling individualized learning paths for each student. But deploying AI in education requires sovereign infrastructure to ensure data protection and avoid foreign dependency.

The sequence matters: infrastructure first, then AI capabilities built on European foundations.

3.1 Zurückgewonnene Zeit

Deutschlands Steuer-Compliance-Aufwand—über €10 Milliarden an verlorener Zeit jährlich—zeigt, was moderne Infrastruktur leisten könnte.

Land	Zeitaufwand	Methode
Deutschland	6–20 hours	Belege zusammentragen, Software bedienen, oft Steuerberater bezahlen
Estonia	3–5 minutes	Vorausgefüllte Daten, prüfen, Bestätigung per Klick
Denmark	0 minutes	Automatische Abgabe, Schweigen gilt als Zustimmung
Sweden	1 minute	Abgabe per SMS

Deutsche verbringen jährlich 6–20 Stunden mit der Steuererklärung. Esten brauchen 3–5 Minuten. Andere Infrastruktur, grundlegend andere Ergebnisse.

Im nationalen Maßstab kostet diese Lücke die Deutschen über €10 Milliarden an verlorener Zeit—nicht an gezahlten Steuern, sondern an verlorenen Stunden. Stunden für das Sammeln von Belegen. Stunden für das Navigieren durch Software. Stunden, die estnische Computer automatisch erledigen.

Das ist Zeit, die Menschen mit ihren Familien verbringen könnten, für Bildung, für den Aufbau von Unternehmen—oder wofür auch immer sie sich entscheiden. Infrastruktur, die funktioniert, gibt den Bürgern ihr Leben zurück.

[Technischer Anhang, Abschnitt 5.1: Methodik Steuer-Compliance]

3.2 Gesundheitswesen: Das Infrastrukturversagen

Deutschlands Elektronische Patientenakte (ePA) erreichte unter dem bisherigen Opt-in-System weniger als 1% Nutzung. Bürger konnten einem System nicht vertrauen, das sie nicht überprüfen konnten.

Das Problem waren nicht Datenschutzbedenken—es war berechtigte Skepsis. Die ePA wurde als geschlossenes System entwickelt. Bürger konnten nicht einsehen, wie ihre Daten geschützt waren, wer Zugriff hatte oder ob das System sicher war. Der Quellcode war verborgen. Vertrauen wurde gefordert, nicht verdient.

Warum Open Source das löst:

Bei öffentlichem Quellcode überprüfen Sicherheitsforscher die Zusagen. Der Chaos Computer Club, das BSI und Fraunhofer können jede Komponente auditieren. Bürger sehen genau, was mit ihren Daten geschieht. Vertrauen entsteht durch Transparenz, nicht durch Versprechen.

Der Nutzen verifizierter digitaler Gesundheitsinfrastruktur:

Patienten kontrollieren ihre vollständige Krankengeschichte
Informationen folgen dem Patienten, nicht der Institution
Doppelte Untersuchungen und Behandlungen entfallen
Koordinierte Versorgung über Anbieter hinweg wird möglich
Bürger entscheiden, was sie mit wem teilen—bei voller Transparenz

Estland erreichte über 99% E-Rezept-Nutzung durch gesetzliche Vorgaben, universelle digitale Identität und offene Infrastruktur — die Datenaustauschschicht X-Road ist quelloffen und ermöglicht Interoperabilität über Hunderte Organisationen. Dänemark digitalisierte 99% der Kommunikation zwischen Gesundheitsanbietern durch jahrzehntelange Registerinfrastruktur und verpflichtende digitale Post. Diese Systeme funktionieren, weil starke Governance, Nutzerfreundlichkeit und institutionelles Vertrauen Akzeptanz schaffen — und offene Standards die Interoperabilität ermöglichen, die Skalierung erlaubt.

[Technischer Anhang, Abschnitt 5.2: Benchmarks Digitalisierung im Gesundheitswesen]

3.3 Steuerbetrugsbekämpfung und gerechte Einnahmenerhebung

Moderne Infrastruktur stellt sicher, dass Steuersysteme wie vorgesehen funktionieren—jeder zahlt, was er gesetzlich schuldet.

Aktuelle Steuerbetrug-Verluste

Jurisdiktion	Jährliche Verluste
Deutschland	€10–15 Mrd.
Europäische Union	€60+ Mrd.

Diese Verluste sind nicht abstrakt—sie bedeuten Schulen, die nicht gebaut werden, Gesundheitsversorgung, die nicht finanziert wird, oder höhere Steuern, die andere zum Ausgleich zahlen müssen.

Potenzielle Rückgewinnung durch Steuerbetrugsbekämpfung

Jurisdiktion	Konservative Schätzung	Vollständige Umsetzung
Deutschland	€5–10 Mrd./Jahr	€10–15 Mrd./Jahr
EU-weit	€20–30 Mrd./Jahr	€40–50 Mrd./Jahr

Es geht um Gerechtigkeit. Wenn einige ihre Pflichten durch Systemlücken umgehen, subventionieren ehrliche Bürger sie. Moderne Infrastruktur stellt sicher, dass jeder seine gesetzliche Pflicht erfüllt—nicht mehr und nicht weniger.

3.4 Schnellere Justiz

Digitale Infrastruktur verbessert den Zugang zur Justiz drastisch. Derzeit „hinkt die deutsche Justizdigitalisierung führenden Ländern 10–15 Jahre hinterher.“

Wenn Gerichte Jahre brauchen, um Streitigkeiten zu lösen, erhalten nur jene Gerechtigkeit, die es sich leisten können zu warten. Digitales Fallmanagement, elektronische Aktenführung und automatisierte Terminplanung reduzieren Verzögerungen für alle.

Ergebnisse digitaler Vorreiter

Land	Vorher	Nachher	Verbesserung
South Korea	47 days Durchschnitt	25 days	-47%
Estonia	156 days (Zivilsachen)	99 days	-37%

[Technischer Anhang, Abschnitt 5.3: Digitalisierung der Justiz]

3.5 Bildung: Infrastruktur entlastet Lehrkräfte

Lehrkräfte berichten von erheblichem Verwaltungsaufwand: dieselben Daten mehrfach eingegeben, keine standardisierten Kommunikationsplattformen, manuelle Koordination, die wöchentlich Stunden verschlingt.

        Ergebnisse des estnischen eKool:
        Eingesparte Verwaltungszeit für Lehrkräfte: 45 minutes täglich
Schuladoption: 95%
Echtzeit-Einblick für Eltern in Noten und Anwesenheit

      

Allein Infrastrukturverbesserungen setzen erhebliche Unterrichtszeit für tatsächlichen Unterricht frei.

KI-Werkzeuge bieten zusätzliches Personalisierungspotenzial—Forschungsergebnisse deuten auf signifikante Lernzuwächse durch KI-Tutorsysteme hin, die individualisierte Lernpfade für jeden Schüler ermöglichen. Der Einsatz von KI in der Bildung erfordert jedoch souveräne Infrastruktur, um Datenschutz zu gewährleisten und Auslandsabhängigkeiten zu vermeiden.

Die Reihenfolge ist entscheidend: zuerst Infrastruktur, dann KI-Fähigkeiten auf europäischem Fundament.

Section 4Abschnitt 4

Sovereignty and SecuritySouveränität und Sicherheit

4.1 When Infrastructure Becomes Leverage

Case Study: International Criminal Court

February 2025: The US sanctioned the International Criminal Court (Executive Order 14203) after the ICC pursued arrest warrants against American allies.

According to the Associated Press, Chief Prosecutor Karim Khan’s Microsoft email was blocked in compliance—while he was in the middle of active war crimes investigations.

No cyberattack. No security breach. One policy decision in Washington.

The ICC has announced migration to openDesk, a European sovereign open-source workspace managed by Germany’s ZenDiS.

The lesson is unambiguous:

Any European institution operating on US infrastructure can be disabled by US political decision. Courts, hospitals, ministries, critical infrastructure—all vulnerable to foreign policy disputes.

4.2 The Legal Conflict

Law	Requirement	Conflict
US CLOUD Act (2018)	US companies must provide data to US authorities regardless of location	Applies to all Microsoft/Google/AWS data
EU GDPR Article 48	Prohibits data transfer to foreign authorities without EU legal basis	Directly contradicts CLOUD Act
FISA Section 702	Allows NSA to target non-US persons for “foreign intelligence” without warrant	Covers trade negotiations, climate policy, any “foreign affairs”

Every German government email in Outlook, document in OneDrive, Teams conversation exists in systems where US law enforcement can demand access—without German judicial involvement.

The EU’s Own Institutions Failed Compliance:

In March 2024, the European Data Protection Supervisor (EDPS) found that the European Commission itself—the executive body of the EU—had violated its own privacy regulations by using Microsoft 365. The EDPS recommended suspension of data flows and a comprehensive assessment of alternatives.¹

If the EU Commission cannot use Microsoft 365 in compliance with EU law, how can any European government?

[Technical Annex, Section 9: Complete legal analysis]

4.3 Why “EU Data Boundary” Does Not Equal Sovereignty

Microsoft’s EU Data Boundary, launched in phases from 2023–2025, stores European data in European data centers. But data residency is not data sovereignty. Where data is stored does not change which laws apply.

The core problem:

The CLOUD Act explicitly asserts US jurisdiction over data held by US companies “regardless of whether such communication, record, or other information is located within or outside of the United States.” No contractual arrangement by Microsoft can override US federal law.

“No, I cannot guarantee that.” — Anton Carniaux, Microsoft France
When asked directly by the French Senate whether Microsoft could guarantee French data would not be transferred to US authorities¹

The historical proof: Microsoft already tried a stronger approach. From 2015–2021, “Microsoft Cloud Deutschland” gave T-Systems (Deutsche Telekom) physical control as “data trustee”—Microsoft had no access without T-Systems approval. This architecture theoretically broke the CLOUD Act chain of custody.

Microsoft discontinued it in 2021. Why? The isolated cloud fell 12–18 months behind in features, couldn’t integrate with third-party tools, and cost more to operate. Customers chose functionality over sovereignty.

The implication is clear:

Within the proprietary cloud model, sovereignty and full functionality are incompatible. Microsoft’s current EU Data Boundary offers less protection than the model they already abandoned—yet markets it as solving the sovereignty problem.

This pattern—a vendor marketing proprietary remedies for problems generated by proprietary dependency—exemplifies what Nachtwey and Seidl (2024) term second-order solutionism: products and services sold specifically against vulnerabilities that originate in the vendor’s own ecosystem. The EU Data Boundary addresses a legal exposure created by US-headquartered cloud architecture; the solution it offers is more US-headquartered cloud architecture.

The performance cost of bolt-on sovereignty: Azure Confidential Computing—Microsoft’s technical approach to processing data in encrypted enclaves—incurs a 45–70% throughput loss and 20–30% latency increase under confidential mode. This “sovereignty tax” makes bolt-on security impractical for high-performance government workloads, while still not solving the jurisdictional problem.

[Technical Annex, Section 9.3: EU Data Boundary detailed analysis]

4.4 The Open Source Solution

Dimension	Proprietary Software	Open Source Software
Security claims	Unverifiable assertions	Independently testable
Code audit	Not possible	BSI, CCC, Fraunhofer can examine
Hidden access	Undetectable if present	Cannot survive public scrutiny
Legal jurisdiction	US CLOUD Act applies	European law only
Service control	Vendor/foreign government	European decision

European infrastructure means European legal jurisdiction. Service decisions remain under European control, not subject to foreign political pressure.

4.1 Wenn Infrastruktur zum Druckmittel wird

Fallstudie: Internationaler Strafgerichtshof

Februar 2025: Die USA belegten den Internationalen Strafgerichtshof mit Sanktionen (Executive Order 14203), nachdem der IStGH Haftbefehle gegen amerikanische Verbündete erwirkt hatte.

Laut Associated Press wurde die Microsoft-E-Mail von Chefankläger Karim Khan daraufhin gesperrt—mitten in laufenden Kriegsverbrecherermittlungen.

Kein Cyberangriff. Keine Sicherheitslücke. Eine politische Entscheidung in Washington.

Der IStGH migriert nun zu openDesk—einem europäischen souveränen Open-Source-Arbeitsplatz, betrieben von Deutschlands ZenDiS.

Die Lehre ist eindeutig:

Jede europäische Institution, die auf US-Infrastruktur operiert, kann durch eine politische Entscheidung der USA lahmgelegt werden. Gerichte, Krankenhäuser, Ministerien, kritische Infrastruktur—alle anfällig für außenpolitische Auseinandersetzungen.

4.2 Der Rechtskonflikt

Gesetz	Anforderung	Konflikt
US CLOUD Act (2018)	US-Unternehmen müssen US-Behörden Daten bereitstellen—unabhängig vom Speicherort	Gilt für alle Daten bei Microsoft/Google/AWS
EU-DSGVO Artikel 48	Verbietet Datenübermittlung an ausländische Behörden ohne EU-Rechtsgrundlage	Steht in direktem Widerspruch zum CLOUD Act
FISA Section 702	Ermöglicht der NSA die Überwachung von Nicht-US-Personen für „Auslandsaufklärung“ ohne richterlichen Beschluss	Umfasst Handelsverhandlungen, Klimapolitik, jegliche „auswärtigen Angelegenheiten“

Jede E-Mail der deutschen Bundesregierung in Outlook, jedes Dokument in OneDrive, jede Teams-Konversation befindet sich in Systemen, in denen US-Strafverfolgungsbehörden Zugang verlangen können—ohne Beteiligung der deutschen Justiz.

Die eigenen Institutionen der EU fielen bei der Compliance durch:

Im März 2024 stellte der Europäische Datenschutzbeauftragte (EDSB) fest, dass die Europäische Kommission selbst—das Exekutivorgan der EU—ihre eigenen Datenschutzvorschriften verletzt hatte, indem sie Microsoft 365 einsetzte. Der EDSB empfahl die Aussetzung der Datentransfers und eine umfassende Prüfung von Alternativen.¹

Wenn die EU-Kommission Microsoft 365 nicht im Einklang mit EU-Recht nutzen kann—wie kann es dann irgendeine europäische Regierung?

[Technischer Anhang, Abschnitt 9: Vollständige Rechtsanalyse]

4.3 Warum die „EU Data Boundary“ keine Souveränität bedeutet

Microsofts EU Data Boundary, phasenweise eingeführt von 2023–2025, speichert europäische Daten in europäischen Rechenzentren. Doch Datenresidenz ist nicht Datensouveränität. Wo Daten gespeichert werden, ändert nichts daran, welches Recht gilt.

Das Kernproblem:

Der CLOUD Act beansprucht ausdrücklich die US-Gerichtsbarkeit über Daten bei US-Unternehmen „unabhängig davon, ob sich die Kommunikation, der Datensatz oder eine andere Information innerhalb oder außerhalb der Vereinigten Staaten befindet.“ Keine vertragliche Vereinbarung von Microsoft kann US-Bundesrecht außer Kraft setzen.

„Nein, das kann ich nicht garantieren.“ — Anton Carniaux, Microsoft France
Auf die direkte Frage des französischen Senats, ob Microsoft garantieren könne, dass französische Daten nicht an US-Behörden übermittelt würden¹

Der historische Beweis: Microsoft hat bereits einen stärkeren Ansatz versucht. Von 2015–2021 gab die „Microsoft Cloud Deutschland“ T-Systems (Deutsche Telekom) als „Datentreuhänder“ die physische Kontrolle—Microsoft hatte ohne Zustimmung von T-Systems keinen Zugriff. Diese Architektur durchbrach theoretisch die Kontrollkette des CLOUD Act.

Microsoft stellte sie 2021 ein. Warum? Die isolierte Cloud hinkte 12–18 Monate bei neuen Funktionen hinterher, konnte nicht mit Drittanbieter-Tools integriert werden und war teurer im Betrieb. Die Kunden wählten Funktionalität statt Souveränität.

Die Schlussfolgerung ist eindeutig:

Innerhalb des proprietären Cloud-Modells sind Souveränität und voller Funktionsumfang unvereinbar. Microsofts aktuelle EU Data Boundary bietet weniger Schutz als das bereits aufgegebene Modell—wird aber als Lösung des Souveränitätsproblems vermarktet.

Dieses Muster—ein Anbieter, der proprietäre Gegenmaßnahmen für Probleme vermarktet, die seine eigene proprietäre Abhängigkeit erzeugt—entspricht dem, was Nachtwey und Seidl (2024) als Solutionismus zweiter Ordnung bezeichnen: Produkte und Dienstleistungen, die gezielt gegen Schwachstellen verkauft werden, die im Ökosystem des Anbieters selbst entstehen. Die EU Data Boundary adressiert ein Rechtsrisiko, das durch US-amerikanische Cloud-Architektur entsteht; die angebotene Lösung ist mehr US-amerikanische Cloud-Architektur.

Die Leistungskosten nachgerüsteter Souveränität: Azure Confidential Computing—Microsofts technischer Ansatz zur Datenverarbeitung in verschlüsselten Enklaven—verursacht einen Durchsatzverlust von 45–70% und eine Latenzsteigerung von 20–30% im vertraulichen Modus. Diese „Souveränitätssteuer“ macht nachgerüstete Sicherheit für leistungsintensive Regierungsarbeitslasten unpraktikabel—und löst dabei das Jurisdiktionsproblem immer noch nicht.

[Technischer Anhang, Abschnitt 9.3: Detailanalyse der EU Data Boundary]

4.4 Die Open-Source-Lösung

Dimension	Proprietäre Software	Open-Source-Software
Sicherheitsaussagen	Nicht überprüfbare Behauptungen	Unabhängig testbar
Code-Audit	Nicht möglich	BSI, CCC, Fraunhofer können prüfen
Versteckter Zugang	Falls vorhanden, nicht erkennbar	Übersteht keine öffentliche Prüfung
Rechtshoheit	US CLOUD Act gilt	Ausschließlich europäisches Recht
Dienstkontrolle	Anbieter/ausländische Regierung	Europäische Entscheidung

Europäische Infrastruktur bedeutet europäische Rechtshoheit. Dienstentscheidungen verbleiben unter europäischer Kontrolle und sind nicht von ausländischem politischem Druck abhängig.

Section 5Abschnitt 5

Public Infrastructure for Private CompetitionÖffentliche Infrastruktur für privaten Wettbewerb

5.1 Digital Infrastructure as Public Good

Public infrastructure like roads, bridges, and railways is owned by society. Private companies—trucking firms, logistics providers, bus operators—compete on this shared foundation. We recognize that public infrastructure enables rather than restricts competition.

The same principle applies to digital infrastructure.

Currently, Microsoft, Google, and Amazon don’t just sell products—they control platforms. They set the terms, prices, and access conditions. Companies building on these platforms compete while paying tribute to the platform owner. Startups must navigate ecosystems designed to benefit the incumbent.

Public digital infrastructure inverts this dynamic.

Society owns the foundation. Private companies compete on quality, service, and innovation—not on platform control. Customers can switch providers while keeping their data. Competition actually functions.

5.2 Market Repair, Not Government Control

Some fear public infrastructure means government-controlled technology. The reality is the opposite.

Currently, a handful of US corporations control critical infrastructure with minimal competition. Lock-in prevents market forces from functioning. Prices rise, quality stagnates, and customers cannot leave.

Open public infrastructure enables genuine competition:

Multiple vendors compete on Linux support (Red Hat, SUSE, Canonical)
Dozens of companies compete on LibreOffice integration and services
Nextcloud providers compete on reliability and features

When infrastructure is open, barriers to entry fall. Small European companies can compete. Innovation happens everywhere, not just inside monopolies.

Microsoft and Google can still compete—on service quality rather than lock-in. If their products are genuinely superior, they win business. If not, alternatives emerge. This is how markets should work.

5.3 Open Infrastructure Accelerates Innovation

Some argue that building sovereign infrastructure will slow Europe down while US tech races ahead. The evidence shows the opposite: open infrastructure is where innovation happens fastest.

The foundation of US tech dominance is open source:

Technology	Type	Reality
Linux	Open Source	Powers 90% of cloud servers, 100% of supercomputers
Kubernetes	Open Source	Container standard — Google, Amazon, Microsoft all run on it
TensorFlow, PyTorch	Open Source	Foundation of the AI/ML industry
PostgreSQL	Open Source	Fastest-growing database, replacing Oracle

Microsoft and Google don’t innovate despite open source — they innovate on top of open source. The cutting edge already belongs to open infrastructure.

Open source is the foundation — but sovereignty requires more.

Android is open source — but Google controls the platform. Kubernetes is open source — but US companies dominate its development. Open code alone does not create sovereignty. Sovereignty requires Europe to operate the platform itself: its own infrastructure, its own service providers, its own decision-making authority. That is precisely what initiatives like openDesk, DC-EDIC, and Sovereign Cloud Stack aim to provide.

Why open infrastructure innovates faster:

No permission required: Anyone can improve, fork, or build on open code
Global development: Thousands of contributors vs. one company’s team
Competition on merit: Companies compete to provide the best implementation, not to lock customers in

The “slow government IT” stereotype doesn’t apply here. France didn’t build Visio from scratch — they deployed LiveKit, an existing open-source platform. Schleswig-Holstein didn’t write an email server — they adopted Open-Xchange. This is adoption of mature technology, not invention.

The question is: which path leads to more European innovation capacity in 10 years? Continuing to rent access to US platforms, or building expertise and ownership in the global open-source ecosystem?

5.1 Digitale Infrastruktur als öffentliches Gut

Öffentliche Infrastruktur wie Straßen, Brücken und Eisenbahnen ist Eigentum der Gesellschaft. Private Unternehmen—Speditionen, Logistikdienstleister, Busbetreiber—konkurrieren auf dieser gemeinsamen Grundlage. Wir erkennen an, dass öffentliche Infrastruktur den Wettbewerb ermöglicht, statt ihn einzuschränken.

Das gleiche Prinzip gilt für die digitale Infrastruktur.

Derzeit verkaufen Microsoft, Google und Amazon nicht nur Produkte—sie kontrollieren Plattformen. Sie bestimmen die Bedingungen, Preise und Zugangskriterien. Unternehmen, die auf diesen Plattformen aufbauen, konkurrieren und zahlen gleichzeitig Tribut an den Plattformbetreiber. Start-ups müssen sich in Ökosystemen bewegen, die zum Vorteil des Marktführers gestaltet sind.

Öffentliche digitale Infrastruktur kehrt diese Dynamik um.

Die Gesellschaft besitzt das Fundament. Private Unternehmen konkurrieren über Qualität, Service und Innovation—nicht über Plattformkontrolle. Kunden können den Anbieter wechseln und ihre Daten behalten. Wettbewerb funktioniert tatsächlich.

5.2 Marktkorrektur, nicht staatliche Kontrolle

Manche befürchten, öffentliche Infrastruktur bedeute staatlich kontrollierte Technologie. Die Realität ist das Gegenteil.

Derzeit kontrolliert eine Handvoll US-Konzerne kritische Infrastruktur bei minimalem Wettbewerb. Lock-in verhindert das Funktionieren der Marktkräfte. Preise steigen, Qualität stagniert, und Kunden können nicht wechseln.

Offene öffentliche Infrastruktur ermöglicht echten Wettbewerb:

Mehrere Anbieter konkurrieren beim Linux-Support (Red Hat, SUSE, Canonical)
Dutzende Unternehmen konkurrieren bei LibreOffice-Integration und -Diensten
Nextcloud-Anbieter konkurrieren bei Zuverlässigkeit und Funktionsumfang

Wenn Infrastruktur offen ist, sinken die Markteintrittsbarrieren. Kleine europäische Unternehmen können wettbewerbsfähig sein. Innovation entsteht überall, nicht nur innerhalb von Monopolen.

Microsoft und Google können weiterhin konkurrieren—über Servicequalität statt Lock-in. Wenn ihre Produkte tatsächlich überlegen sind, gewinnen sie Aufträge. Wenn nicht, entstehen Alternativen. So sollten Märkte funktionieren.

5.3 Offene Infrastruktur beschleunigt Innovation

Manche argumentieren, der Aufbau souveräner Infrastruktur werde Europa bremsen, während die US-Technologie davoneilt. Die Evidenz zeigt das Gegenteil: Offene Infrastruktur ist der Ort, an dem Innovation am schnellsten stattfindet.

Das Fundament der US-Tech-Dominanz ist Open Source:

Technologie	Typ	Realität
Linux	Open Source	Betreibt 90% der Cloud-Server, 100% der Supercomputer
Kubernetes	Open Source	Container-Standard — Google, Amazon, Microsoft arbeiten alle damit
TensorFlow, PyTorch	Open Source	Grundlage der KI/ML-Industrie
PostgreSQL	Open Source	Am schnellsten wachsende Datenbank, ersetzt Oracle

Microsoft und Google innovieren nicht trotz Open Source—sie innovieren auf Basis von Open Source. Die technologische Spitze gehört bereits der offenen Infrastruktur.

Open Source ist die Grundlage — aber Souveränität erfordert mehr.

Android ist Open Source — aber Google kontrolliert die Plattform. Kubernetes ist Open Source — aber US-Unternehmen dominieren die Entwicklung. Offener Code allein schafft keine Souveränität. Souveränität entsteht erst, wenn Europa die Plattform selbst betreibt: eigene Infrastruktur, eigene Dienstleister, eigene Entscheidungshoheit. Genau das ist das Ziel von Initiativen wie openDesk, DC-EDIC und Sovereign Cloud Stack.

Warum offene Infrastruktur schneller innoviert:

Keine Genehmigung erforderlich: Jeder kann offenen Code verbessern, forken oder darauf aufbauen
Globale Entwicklung: Tausende von Mitwirkenden statt des Teams eines einzelnen Unternehmens
Leistungswettbewerb: Unternehmen konkurrieren um die beste Umsetzung, nicht um Lock-in der Kunden

Das Klischee der „langsamen Behörden-IT“ greift hier nicht. Frankreich hat Visio nicht von Grund auf neu entwickelt—es wurde LiveKit eingesetzt, eine bestehende Open-Source-Plattform. Schleswig-Holstein hat keinen E-Mail-Server programmiert—man hat Open-Xchange übernommen. Dies ist die Einführung ausgereifter Technologie, keine Neuentwicklung.

Die Frage lautet: Welcher Weg führt in 10 Jahren zu mehr europäischer Innovationskapazität? Weiterhin Zugang zu US-Plattformen mieten oder Kompetenz und Eigenverantwortung im globalen Open-Source-Ökosystem aufbauen?

Section 6Abschnitt 6

Enabling European AIEuropäische KI ermöglichen

6.1 Infrastructure Determines AI Capability

European AI development currently depends on American infrastructure. European researchers use US cloud services. European startups pay US platform fees. European data falls under US jurisdiction.

This dependency exists because Europe has funded US technology rather than building European alternatives. The €2.5–4 billion flowing annually to US software vendors could instead build European AI capacity.

6.2 Why AI Makes Sovereignty More Urgent

Microsoft Copilot forces you to use one vendor’s AI at €30/user/month, processing your government data through US servers. Open-source infrastructure lets you deploy any AI model — including European models like Mistral — on your own infrastructure, swapping models as technology evolves. Microsoft offers AI lock-in. Open-source offers AI sovereignty.

Dimension	Microsoft Copilot	Open-Source AI Infrastructure
Model Choice	Microsoft’s model only	Any model: Mistral, Llama, or future models
Data Processing	US servers, US jurisdiction	European infrastructure, European law
Pricing Control	Microsoft sets prices	Competitive market, self-hosting option
Model Updates	When Microsoft decides	When you decide
Training Data	Your documents may train Microsoft’s models	Your data stays yours
Vendor Exit	Lose AI capabilities	Switch models, keep infrastructure

France’s sovereign video platform (Visio) already includes locally-hosted AI transcription and summarization—demonstrating that AI capabilities can be deployed on sovereign infrastructure.

6.3 The Path Forward

Europe is investing in cloud infrastructure and launching initiatives like GAIA-X. But alongside infrastructure, the political commitment to open-source software at European and national level is still missing. Cloud platforms and AI models need to be built—and so does the decision to run government services on open, auditable, European-controlled software instead of renting it from monopoly vendors. Both are needed. Neither alone is enough.

American companies have resource advantages partly because European public spending has funded their development for decades. Redirecting this investment builds European capacity—not in theory, but in the companies and jobs already emerging around Nextcloud, Matrix, LiveKit, and Mistral.

France, Schleswig-Holstein, and Estonia are not waiting for that commitment—they are making it. The technology is ready. The economics are proven. What remains is the political will to follow their lead.

6.1 Infrastruktur bestimmt KI-Fähigkeit

Die europäische KI-Entwicklung hängt derzeit von amerikanischer Infrastruktur ab. Europäische Forscher nutzen US-Cloud-Dienste. Europäische Start-ups zahlen US-Plattformgebühren. Europäische Daten unterliegen der US-Gerichtsbarkeit.

Diese Abhängigkeit besteht, weil Europa US-Technologie finanziert hat, statt europäische Alternativen aufzubauen. Die jährlich €2,5–4 Milliarden, die an US-Softwareanbieter fließen, könnten stattdessen europäische KI-Kapazitäten aufbauen.

6.2 Warum KI die Souveränität dringlicher macht

Microsoft Copilot zwingt Sie, die KI eines einzigen Anbieters für €30/Nutzer/Monat zu verwenden und Ihre Regierungsdaten über US-Server zu verarbeiten. Open-Source-Infrastruktur ermöglicht den Einsatz jedes beliebigen KI-Modells—einschließlich europäischer Modelle wie Mistral—auf eigener Infrastruktur, mit der Freiheit, Modelle auszutauschen, wenn sich die Technologie weiterentwickelt. Microsoft bietet KI-Lock-in. Open Source bietet KI-Souveränität.

Dimension	Microsoft Copilot	Open-Source-KI-Infrastruktur
Modellauswahl	Nur Microsofts Modell	Jedes Modell: Mistral, Llama oder zukünftige Modelle
Datenverarbeitung	US-Server, US-Gerichtsbarkeit	Europäische Infrastruktur, europäisches Recht
Preiskontrolle	Microsoft bestimmt die Preise	Wettbewerbsmarkt, Self-Hosting-Option
Modell-Updates	Wenn Microsoft entscheidet	Wenn Sie entscheiden
Trainingsdaten	Ihre Dokumente trainieren möglicherweise Microsofts Modelle	Ihre Daten bleiben Ihre Daten
Anbieterwechsel	Verlust der KI-Fähigkeiten	Modelle wechseln, Infrastruktur behalten

Frankreichs souveräne Videoplattform (Visio) umfasst bereits lokal gehostete KI-Transkription und -Zusammenfassung—ein Beleg dafür, dass KI-Fähigkeiten auf souveräner Infrastruktur bereitgestellt werden können.

6.3 Der Weg nach vorn

Europa investiert in Cloud-Infrastruktur und startet Initiativen wie GAIA-X. Doch neben der Infrastruktur fehlt weiterhin das politische Bekenntnis zu Open-Source-Software auf europäischer und nationaler Ebene. Cloud-Plattformen und KI-Modelle müssen aufgebaut werden—und ebenso die Entscheidung, staatliche Dienste auf offener, prüfbarer, europäisch kontrollierter Software zu betreiben, statt sie von Monopolanbietern zu mieten. Beides wird gebraucht. Keines allein reicht aus.

Amerikanische Unternehmen haben Ressourcenvorteile, unter anderem weil europäische öffentliche Ausgaben deren Entwicklung seit Jahrzehnten finanzieren. Eine Umleitung dieser Investitionen baut europäische Kapazitäten auf—nicht in der Theorie, sondern in den Unternehmen und Arbeitsplätzen, die bereits rund um Nextcloud, Matrix, LiveKit und Mistral entstehen.

Frankreich, Schleswig-Holstein und Estland warten nicht auf dieses Bekenntnis—sie setzen es um. Die Technologie ist bereit. Die Wirtschaftlichkeit ist belegt. Was bleibt, ist der politische Wille, ihrem Beispiel zu folgen.

ConclusionFazit

What This Means for EuropeEuropa am Wendepunkt

Benefit Area	Impact
Economic	€2.5–4 billion/year retained in Europe
Employment	15,000–20,000 DE / 50,000–100,000 EU jobs
Tax Revenue	€150–300 million/year (Germany)
Innovation	600+ ICT startups/year, €60–100B GDP growth
Citizen Time	€10 billion in lost time recovered
Tax Fraud Recovery	€5–10B/year DE, €20–30B/year EU
Sovereignty	Infrastructure under European law

The Current Reality

Investment	Amount	Ratio
Germany → Microsoft	~€2.0–2.5 billion/year*	—
Germany → ZenDiS (2025)	€4.1 million/year	0.2%

*Triangulated from verified federal spending (€481.4M, Bundestag inquiry 2025), Bavaria’s “Bayernvertrag” (~€200M/year, Landtag Drs. 19/9429), and per-seat scaling from Schleswig-Holstein (~€500/user/year). Corroborated by UK public sector Microsoft spend of £1.9B (~€2.2B) in FY24/25.

The federal cloud makes this even starker: open source accounts for just 0.1% of operations and 5.8% of development in Germany’s federal cloud infrastructure (Bundestag data). The sovereignty gap is not a future risk—it is the present reality.

France banned US tools and deployed sovereign alternatives for 500,000 civil servants. Schleswig-Holstein migrated 40,000 mailboxes and 80% of workstations without productivity loss. Estonia runs an entire government on open infrastructure with 99% service availability.

The momentum extends beyond governments. The FSFE’s “Public Money, Public Code” open letter has gathered over 38,000 individual and 235 organisational signatories. In Finland, a formal citizen initiative is collecting signatures to legislate sovereign public digital services. A Dutch petition on digital infrastructure sovereignty attracted 140,000 signatures and triggered parliamentary action. The parliaments of both the Netherlands and Denmark have passed motions to reduce dependency on non-European cloud and software providers.

The Path Forward

The technology exists and is proven at scale. The economics favor transition. The security case is urgent.

Understood in broader perspective, this transition is also an act of institutional re-embedding: restoring democratic control over digital infrastructure that market dynamics have progressively placed under foreign jurisdiction—in the tradition of Karl Polanyi’s analysis of how markets, left ungoverned, tend to erode the social and institutional structures on which they depend (cf. Seidl & Kosti 2025).

What remains is political will.

Every year of delay means another €2.5–4 billion exported, another year of jobs not created, another year of innovation not captured, another year of vulnerability to foreign political decisions.

Europe can build infrastructure it owns, creating European jobs, developing European technology, and ensuring European citizens’ data remains under European law.

The facts support action. The decision is political. The time is now.

Nutzenbereich	Auswirkung
Wirtschaft	€2.5–4 Mrd./Jahr verbleiben in Europa
Beschäftigung	15,000–20,000 DE / 50,000–100,000 EU Arbeitsplätze
Steuereinnahmen	€150–300 Mio./Jahr (Deutschland)
Innovation	600+ IKT-Start-ups/Jahr, €60–100B BIP-Wachstum
Bürgerzeit	€10 Mrd. an verlorener Zeit zurückgewonnen
Steuerbetrugsaufdeckung	€5–10B/Jahr DE, €20–30B/Jahr EU
Souveränität	Infrastruktur unter europäischem Recht

Die gegenwärtige Realität

Investition	Betrag	Verhältnis
Deutschland → Microsoft	~€2.0–2.5 Mrd./Jahr*	—
Deutschland → ZenDiS (2025)	€4,1 Mio./Jahr	0,2%

*Trianguliert aus verifizierten Bundesausgaben (€481,4 Mio., Bundestagsanfrage 2025), Bayerns „Bayernvertrag“ (~€200 Mio./Jahr, Landtag Drs. 19/9429) und Pro-Kopf-Skalierung aus Schleswig-Holstein (~€500/Nutzer/Jahr). Bestätigt durch britische Microsoft-Ausgaben im öffentlichen Sektor von £1,9 Mrd. (~€2,2 Mrd.) im GJ 24/25.

Die Bundes-Cloud macht dies noch deutlicher: Open Source macht gerade einmal 0,1% des Betriebs und 5,8% der Entwicklung in Deutschlands Bundes-Cloud-Infrastruktur aus (Bundestagsdaten). Die Souveränitätslücke ist kein zukünftiges Risiko—sie ist die gegenwärtige Realität.

Frankreich hat US-Werkzeuge verboten und souveräne Alternativen für 500.000 Beamte bereitgestellt. Schleswig-Holstein hat 40.000 Postfächer und 80% der Arbeitsplätze ohne Produktivitätsverlust migriert. Estland betreibt eine gesamte Regierung auf offener Infrastruktur mit 99% Dienstverfügbarkeit.

Die Dynamik reicht über Regierungen hinaus. Der offene Brief „Public Money, Public Code“ der FSFE hat über 38.000 Einzelpersonen und 235 Organisationen als Unterzeichner gewonnen. In Finnland sammelt eine formelle Bürgerinitiative Unterschriften für die gesetzliche Verankerung souveräner öffentlicher digitaler Dienste. Eine niederländische Petition zur digitalen Infrastruktur-Souveränität erreichte 140.000 Unterschriften und löste parlamentarisches Handeln aus. Die Parlamente der Niederlande und Dänemarks haben Anträge zur Verringerung der Abhängigkeit von außereuropäischen Cloud- und Softwareanbietern verabschiedet.

Der Weg nach vorn

Die Technologie existiert und ist im großen Maßstab erprobt. Die Wirtschaftlichkeit spricht für den Umstieg. Die Sicherheitslage ist drängend.

In weiterer Perspektive ist dieser Wandel auch ein Akt institutioneller Einbettung: die Wiederherstellung demokratischer Kontrolle über digitale Infrastruktur, die Marktdynamiken zunehmend unter ausländische Jurisdiktion verschoben haben—in der Tradition von Karl Polanyis Analyse, wie Märkte, sich selbst überlassen, dazu tendieren, die sozialen und institutionellen Strukturen zu unterhöhlen, auf die sie angewiesen sind (vgl. Seidl & Kosti 2025).

Was fehlt, ist der politische Wille.

Jedes Jahr des Zögerns bedeutet weitere €2,5–4 Mrd. an Kapitalabfluss, ein weiteres Jahr nicht geschaffener Arbeitsplätze, ein weiteres Jahr nicht realisierter Innovation, ein weiteres Jahr der Verwundbarkeit durch ausländische politische Entscheidungen.

Europa kann Infrastruktur aufbauen, die es selbst besitzt—europäische Arbeitsplätze schaffen, europäische Technologie entwickeln und sicherstellen, dass die Daten europäischer Bürgerinnen und Bürger unter europäischem Recht verbleiben.

Die Fakten sprechen für Handeln. Die Entscheidung ist politisch. Die Zeit ist jetzt.

Migration in PracticeMigration in der Praxis

How Migration Actually WorksWie Migration tatsächlich funktioniert

Europe already has three large-scale open-source migrations underway—each following a different model, each delivering measurable results. Together, they demonstrate that the transition is not only technically feasible but operationally proven.

France: A Complete Sovereign Platform

France’s DINUM (Direction interministérielle du numérique) operates LaSuite—a sovereign digital workspace comprising ten open-source tools, MIT-licensed, hosted on SecNumCloud-certified infrastructure immune to the US CLOUD Act. Annual budget: €12 million. Germany spends €481 million per year on Microsoft alone.

2024: Visio (video conferencing, built on LiveKit) enters pilot with 40,000 users. Franco-German agreement signed with ZenDiS to jointly develop Docs (collaborative editing).
July 2025: Prime Minister’s circular makes Tchap (Matrix-based messaging) mandatory for all state agents. Over 600,000 users across government.
January 2026: Visio generalization announced for all state services by 2027. CNRS (34,000 staff, 120,000 researchers) discontinues Zoom by March 2026. Ministry of Defence deploys Q1 2026.
October 2025: Sovereign AI assistant launched—Mistral Medium 3, hosted on French servers. 10,000 civil servants across eight ministries testing a sovereign AI assistant for administrative tasks.

Grist (data management) already serves 20,000 monthly users across all 100 prefectures and 15 ministries. Docs has 16,000 GitHub stars and is co-developed with Germany and the Netherlands. In October 2025, France became the first government worldwide to join the Matrix.org Foundation.

Schleswig-Holstein: Component-by-Component Replacement

Schleswig-Holstein follows a different approach: replacing individual components in sequence, starting with applications and leaving the operating system for last.

Office suite (2024–2025): LibreOffice on all 30,000 workstations. ODF declared official format.
Email (April–October 2025): 40,000+ mailboxes migrated from Exchange to Open-Xchange. Over 100 million messages transferred.
Video, file sharing, directory services (2025–2026): OpenTalk, Nextcloud, and Univention replacing Teams, SharePoint, and Active Directory.
Operating system (target 2027): Linux with KDE Plasma. Pilots running; full migration follows once all applications run natively.

The sequence is deliberate. Users keep their familiar desktop while the applications change. By the time Linux arrives, every tool already works on it. The remaining 20% of workstations retain Microsoft Office due to hard technical dependencies in legacy SAP and police systems. These are addressed separately as part of the ongoing migration.

French Gendarmerie: Migration Through Hardware Refresh

The Gendarmerie Nationale migrated 103,000 desktops to Linux (GendBuntu) with no dedicated migration budget. Open-source software was deployed on every new machine during scheduled hardware replacement cycles. The transition required no simultaneous cutover and caused no operational disruption. Over one complete replacement cycle, all workstations were migrated. Documented savings: over €50 million in ten years.

A Proven Pattern

All three migrations follow the same sequence: applications first, operating system last.

Office suites, email, and collaboration tools are replaced while users continue working on a familiar desktop. This decouples the most impactful change (eliminating license dependency) from the most disruptive one (switching the OS).

These three migrations demonstrate technical feasibility and economic viability. France and Germany are already collaborating on shared components—Docs is jointly developed, both countries use LiveKit for video conferencing, and DC-EDIC provides an institutional framework since December 2025. But these remain isolated initiatives by a small number of pioneering administrations. The vast majority of European governments continue to operate on proprietary US infrastructure. Scaling these proven approaches across Europe requires the political and institutional measures outlined in the following agenda.

In Europa laufen bereits drei großangelegte Open-Source-Migrationen—jede nach einem anderen Modell, jede mit messbaren Ergebnissen. Zusammen belegen sie, dass der Umstieg nicht nur technisch machbar, sondern im Betrieb erprobt ist.

Frankreich: Eine vollständige souveräne Plattform

Frankreichs DINUM (Direction interministérielle du numérique) betreibt LaSuite—einen souveränen digitalen Arbeitsplatz aus zehn Open-Source-Tools, MIT-lizenziert, gehostet auf SecNumCloud-zertifizierter Infrastruktur, die gegen den US CLOUD Act geschützt ist. Jahresbudget: €12 Millionen. Deutschland gibt allein für Microsoft €481 Millionen jährlich aus.

2024: Visio (Videokonferenz, basierend auf LiveKit) startet Pilotbetrieb mit 40.000 Nutzern. Deutsch-französische Vereinbarung mit ZenDiS zur gemeinsamen Entwicklung von Docs (kollaboratives Editieren).
Juli 2025: Rundschreiben des Premierministers erklärt Tchap (Matrix-basierter Messenger) zur Pflichtanwendung für alle Staatsbeschäftigten. Über 600.000 Nutzer in der gesamten Verwaltung.
Januar 2026: Flächendeckende Einführung von Visio bis 2027 angekündigt. Das CNRS (34.000 Beschäftigte, 120.000 Forscher) stellt Zoom bis März 2026 ein. Verteidigungsministerium startet Rollout Q1 2026.
Oktober 2025: Souveräner KI-Assistent gestartet—Mistral Medium 3, gehostet auf französischen Servern. 10.000 Beamte in acht Ministerien testen einen souveränen KI-Assistenten für Verwaltungsaufgaben.

Grist (Datenmanagement) bedient bereits 20.000 monatliche Nutzer in allen 100 Präfekturen und 15 Ministerien. Docs hat 16.000 GitHub-Sterne und wird gemeinsam mit Deutschland und den Niederlanden entwickelt. Im Oktober 2025 trat Frankreich als erste Regierung weltweit der Matrix.org Foundation bei.

Schleswig-Holstein: Schrittweiser Komponentenaustausch

Schleswig-Holstein verfolgt einen anderen Ansatz: einzelne Komponenten werden nacheinander ersetzt—beginnend bei den Anwendungen, das Betriebssystem kommt zuletzt.

Office-Suite (2024–2025): LibreOffice auf allen 30.000 Arbeitsplätzen. ODF als offizielles Format festgelegt.
E-Mail (April–Oktober 2025): Über 40.000 Postfächer von Exchange zu Open-Xchange migriert. Über 100 Millionen Nachrichten übertragen.
Video, Dateiaustausch, Verzeichnisdienste (2025–2026): OpenTalk, Nextcloud und Univention ersetzen Teams, SharePoint und Active Directory.
Betriebssystem (Ziel 2027): Linux mit KDE Plasma. Piloten laufen; vollständige Migration folgt nach Umstellung aller Anwendungen.

Die Reihenfolge ist bewusst gewählt. Nutzer behalten ihren vertrauten Desktop, während sich die Anwendungen ändern. Wenn Linux kommt, laufen alle Tools bereits nativ darauf. Die verbleibenden 20% der Arbeitsplätze behalten Microsoft Office aufgrund technischer Abhängigkeiten in Legacy-SAP- und Polizeisystemen. Diese werden im Rahmen der laufenden Migration gesondert adressiert.

Französische Gendarmerie: Migration über den Hardware-Austausch

Die Gendarmerie Nationale migrierte 103.000 Desktops auf Linux (GendBuntu) ohne dediziertes Migrationsbudget. Open-Source-Software wurde bei jedem planmäßigen Hardware-Austausch auf die neuen Geräte aufgespielt. Die Umstellung erforderte keinen gleichzeitigen Systemwechsel und verursachte keine Betriebsunterbrechung. Über einen kompletten Austauschzyklus wurden sämtliche Arbeitsplätze migriert. Dokumentierte Einsparung: über €50 Millionen in zehn Jahren.

Ein bewährtes Muster

Alle drei Migrationen folgen derselben Reihenfolge: Anwendungen zuerst, Betriebssystem zuletzt.

Office-Suiten, E-Mail und Kollaborationstools werden ausgetauscht, während die Nutzer auf einem vertrauten Desktop weiterarbeiten. So wird die wirkungsvollste Veränderung (Ende der Lizenzabhängigkeit) von der störungsintensivsten (Wechsel des Betriebssystems) entkoppelt.

Diese drei Migrationen belegen die technische Machbarkeit und wirtschaftliche Tragfähigkeit des Umstiegs. Frankreich und Deutschland arbeiten bereits an gemeinsamen Komponenten—Docs wird gemeinsam entwickelt, beide Länder nutzen LiveKit für Videokonferenzen, und DC-EDIC bildet seit Dezember 2025 einen institutionellen Rahmen. Dennoch bleiben dies Einzelinitiativen weniger Pionierverwaltungen. Die große Mehrheit europäischer Behörden arbeitet weiterhin auf proprietärer US-Infrastruktur. Um diese erprobten Ansätze europäisch zu skalieren, bedarf es der politischen und institutionellen Maßnahmen, die die folgende Aktionsagenda darlegt.

Agenda for ActionAktionsagenda

In 2023, the German federal government committed €500M to ZenDiS and FITKO for digital sovereignty. When €34M was approved for disbursement in 2024, the Bundesfinanzministerium blocked the transfer. By 2025, ZenDiS operated on €4.1M in project contracts: no grants, no institutional base funding. The CEO who publicly demanded adequate resources was dismissed.

In November 2025, the Bundestag formally approved €500M in the federal budget. The money has been committed, approved, and approved again. It has not been delivered. Federal Microsoft spending stands at €481M per year. 117 times what ZenDiS receives. The federal government transfers more to Microsoft in three days than to its sovereign alternative in an entire year.

The gap between declared commitment and delivered resources is characteristic of what Falkner, Heidebrecht, Obendiek, and Seidl (2024) term rhetorical change: discursive commitment to digital sovereignty without corresponding institutional action. France, by contrast, represents a case of comprehensive change—its sovereign workspace mandate, DINUM-led strategy, and €12 million annual LaSuite budget combine political narrative with operational implementation at scale.

The legal and institutional framework for a sovereign transition exists at both federal and EU level. What is missing is political execution. The following agenda presents concrete recommendations for action.

The EU has already established the precedent that strategic technology sectors cannot be adequately governed by market procurement alone. With the European Chips Act (2023, €43 billion), IPCEI programmes, and the New Industrial Strategy, the EU took what Schmitz and Seidl (2024) describe as a “geo-dirigiste” turn—active state direction of resources into strategically critical sectors, departing from three decades of ordoliberal market orthodoxy. The authors show that relying on procurement markets alone failed to secure European semiconductor capacity. Administrative software presents the same structural challenge: as long as procurement policy treats office suites and collaboration platforms as generic commodity goods rather than strategic infrastructure, digital sovereignty in public administration will remain aspirational.

Cost transparency: what the transition costs and what it returns

Schleswig-Holstein is the only complete large-scale benchmark in Europe. Parliamentary budget data (Drucksache 20/3678) and official government figures provide verified numbers:

	Per user	Schleswig-Holstein (30,000)	Federal scale (500,000)
One-time migration	~€300	€9M	~€150M
Steady-state operation	~€333/year	~€10M/year	~€167M/year
Microsoft baseline avoided	~€500/year	€15M/year	~€250M/year
Net annual saving	>€167/year	>€5M/year	>€83M/year
Break-even	—	<2 years	<2 years

Sources: €9M one-time and €15M/year avoidance: SH Digitalministerium (Dec 2025). Net savings >€5M/year from 2030: Drucksache 20/3678, Question 5. Steady-state derived: €15M avoided minus €5M net = ~€10M operational. Federal scale: linear extrapolation; shared development costs reduce per-user migration cost at scale. Training: ~€55/user (Municipality of Neerijnen, OSOR) = €28M at federal scale—less than Germany’s current €47M/year expenditure on Microsoft-specific training contracts (BT-Drs. 20/9641).

A. Germany: Federal Transition Programme

Phase I: Legislative and Regulatory Action (2026)

The Vergabebeschleunigungsgesetz is before the Bundestag. In its current form, it raises the direct-award threshold to €50,000 without a binding open-source clause—risking another procurement cycle of vendor lock-in. Existing law (GWB §97) already permits TCO-based scoring and open-standards mandates. The EVB-IT open-source templates (B-2025/48-IT) recommend but do not require open-source consideration. The OZG 2.0 prioritization mandate has no enforcement mechanism, no sanctions, and no monitoring body. These gaps must be closed.

Measure	Responsible body	Rationale
Amend the Vergabebeschleunigungsgesetz	Bundestag / Digitalausschuss	Incorporate an “Open Source by Default” clause requiring documented justification for proprietary procurement. GWB §97 already permits this; France demonstrates that voluntary adoption is insufficient
Activate the BMDS approval prerogative	BMDS	Require a documented open-source alternative assessment for all proprietary contract renewals exceeding €500,000 across the direct federal administration
Enforce disbursement of the €500M ZenDiS/FITKO budget	BMDS / Bundestag Budget Committee	The Bundestag has approved this funding three times. The pattern of approval without disbursement must end. Establish institutional base funding for ZenDiS, fund sovereign workplace development to production readiness, and unblock Länder participation, blocked by the BMF since 2022
Enforce the ODF deadline	IT-Planungsrat / BMDS	Resolution B-2025/44-IT mandates ODF for inter-administrative exchange by January 1, 2027. Credibility of subsequent mandates depends on enforcing existing ones
Set an open-source expenditure target	Bundestag / Budget Committee	Open-source share of federal software procurement: 0.5% (€18.6M of €3.5B). A phased target of 10–20% of the €8.25B IT budget would constitute a material reallocation
Require annual licensing transparency	BMDS / Digitalausschuss	Federal Microsoft spending: €274M (2023) → €481M (2025), a 76% increase in two years. Systematic public reporting enables parliamentary oversight of the largest single-vendor dependency

Phase II: Infrastructure and Migration (2027–2028)

openDesk target date: October 2028. Schleswig-Holstein completion: 2027. Between 80,000 and 160,000 users are operating sovereign workplace platforms in production today. The infrastructure exists; the task is scaling it.

Measure	Scope	Expected outcome
Fund federal sovereign workplace to production readiness	From the approved €500M	Federal deployment has not started at scale. ITZBund does not operate openDesk. Schleswig-Holstein proved viability with €9M for 30,000 users. Federal scale requires proportional investment in development, security certification, and deployment infrastructure. Without sustained funding, the October 2028 target is undeliverable
Phased federal migration	~€150M one-time, offset by >€83M/year recurring savings	Begin with agencies where sovereignty requirements are most acute: defence (BWI framework in place), foreign affairs, crisis communication (CKKI pilot). Migrate backend services first (identity, email), then client applications
Converge desktop and web platforms	ZenDiS + Schleswig-Holstein	Schleswig-Holstein’s approach (LibreOffice, Thunderbird, Linux) and openDesk (web-based collaboration) address complementary use cases. Coordinated convergence by 2028 delivers a complete sovereign workplace
Sovereign interoperability infrastructure	FITKO / IT-Planungsrat	Italy’s PDND connected 9,000+ public entities via API gateway in three years. Finland and Estonia achieved cross-border exchange through federated X-Road. The Deutsche Verwaltungscloud provides the foundation
Professional development programme	~€28M (€55/user × 500,000)	Benchmarked against verified municipal transition data (Municipality of Neerijnen: €55/user). Productivity normalizes within weeks. European vendors (Univention, OX, Collabora, Element, Nextcloud) as training partners

Institutional responsibilities: Germany

Institution	Mandate
BMDS	Exercise the Zustimmungsvorbehalt. Require open-source alternative assessments for all proprietary renewals. Enforce disbursement of the approved €500M: end the pattern of approval without delivery. Halt new proprietary contract expansions until sovereign alternatives have been evaluated. Set binding migration timelines for the October 2028 target
Bundestag / Digitalausschuss	Amend the Vergabebeschleunigungsgesetz. Establish the OSS expenditure target. Institute annual proprietary licensing transparency. Exercise parliamentary oversight
IT-Planungsrat	Enforce ODF compliance (January 2027). Expand EVB-IT open-source templates from recommendation to requirement. Coordinate Bund-Länder migration under the 2026 federal chairmanship
ZenDiS	Deliver openDesk releases that close capability gaps. Build the commercial support ecosystem. Complete institutional transformation into Bund-Länder-GmbH
Federal states	Adopt the Schleswig-Holstein model: 30,000 workstations migrated, >€5M/year net savings, break-even under two years. Mecklenburg-Vorpommern has signed a cooperation agreement. Each additional state reduces per-unit cost through shared infrastructure

B. European Union: Sovereign Digital Single Market

The legal and institutional instruments for a European sovereign digital infrastructure are operational. The DC-EDIC was formally established on October 29, 2025 (Implementing Decision 2025/2170), with France, Germany, the Netherlands, and Italy as founding members and its seat in Paris. The EU Data Act makes cloud switching enforceable from September 2025 and eliminates switching charges from January 2027. The Interoperable Europe Act requires mandatory interoperability assessments for all new cross-border digital services since January 2025. What is missing is not authority but coordinated action.

Legal basis: EU procurement law permits open-source mandates

Directive 2014/24/EU provides two mechanisms: Article 42 permits technical specifications to require transfer of intellectual property rights and mandate open standards. Article 67 permits award criteria based on total cost of ownership, including vendor lock-in and exit costs—structurally favouring open-source solutions. The ECJ has reinforced this: the Czech General Finance Directorate ruling required source code access to preserve competition; Case C-424/23 (January 2025) endorsed functional specifications over product-specific labels.

Three member states have enacted open-source mandates without EU legal challenge: Bulgaria (Electronic Governance Act 2016, Art. 18: all government-funded software must be open source), Italy (CAD Art. 68: mandatory comparative analysis favouring reuse and open source), France (Loi pour une République numérique 2016, Art. 9 bis: encouragement of open source in public administration, operationalized through DINUM circulars). None has been challenged under EU procurement law in a decade of application.

EU Measures

Measure	Responsible	Rationale
Scale the DC-EDIC for Digital Commons	DC-EDIC governance / Digital Europe Programme	Bridges Germany’s openDesk and France’s La Suite Numérique into a shared European platform. Startup budget: ~€5.3M — less than one German state’s migration costs (€9M) and 1% of Germany’s federal Microsoft bill (€481M). Bottom-up estimates yield €50–105M/year at operational scale. Requires annual co-funding of at least €100M through Digital Europe Programme and MFF 2028–2034. Luxembourg and Slovenia joining; Poland and Belgium observing. All jointly developed software under FOSS licences by statute
Mandate SEAL sovereignty metrics in EU procurement	European Commission / DG DIGIT	The €180M sovereign cloud tender (October 2025) established SEAL Levels 0–4 with eight sovereignty objectives. Tenders failing minimum thresholds are automatically rejected. Member states can adopt this framework for national procurement
Issue Commission guidance on open source in procurement	DG GROW / DG CONNECT	Art. 42 and Art. 67 of Directive 2014/24 already permit open-source requirements and TCO-based scoring. Formal guidance would end the legal uncertainty that deters procurement officers across 27 member states
Enforce Data Act cloud switching provisions	European Commission / Member states	Cloud switching provisions under Art. 29(1) enforceable since September 2025. Zero switching charges from January 2027. Government contracts should include exit clauses aligned with these deadlines. This is the legal exit ramp from incumbent lock-in
Federated European government cloud	DVC / French, Dutch, Italian sovereign clouds	The Deutsche Verwaltungscloud operates 40+ services on STACKIT and IONOS. Interconnection with French, Dutch, and Italian platforms through common APIs and shared EUCS certification creates federated infrastructure under EU jurisdiction
Cross-border sovereign messaging via Matrix	DG DIGIT / DINUM / Element	The European Commission is piloting Matrix (February 2026). France operates Tchap for all ministries with 600,000+ registered users, targeting 200,000 active civil servant deployments by 2027. Federation enables secure cross-border government communication without US-operated intermediaries
Joint European sovereign AI	BMDS / STA / EU Commission	France is integrating Mistral AI into La Suite via the Albert API (mid-2026). Open-source models on European infrastructure eliminate dependency on US cloud services for AI capabilities. Joint development avoids parallel national programmes

Institutional responsibilities: European Union

Institution	Mandate
European Commission (DG CONNECT, DG DIGIT)	Fund the DC-EDIC to operational scale through the Digital Europe Programme. Enforce SEAL metrics in EU procurement. Issue guidance on open-source compatibility with Directive 2014/24. Lead by example: complete the Commission’s own Matrix deployment
Interoperable Europe Board	Published first Interoperable Europe Agenda (December 2025). Mandate open-standard data exchange formats. Label sovereign workplace solutions for cross-border use. Enforce Article 4 source code sharing requirements
DC-EDIC governance	Converge openDesk and La Suite Numérique into shared European components. Expand membership beyond founding four. Deliver 2027 targets: European One-Stop-Shop, Digital Commons Forum, inaugural State of the Digital Commons Report
Member states	Adopt SEAL for national cloud procurement. Use Data Act exit provisions to renegotiate incumbent contracts before zero-charge deadline (January 2027). Transpose Interoperable Europe Act into national practice. Join the DC-EDIC
European open-source industry	Scale enterprise support and SLA capability. The openDesk vendor ecosystem—Univention, Open-Xchange, Collabora, Element, Nextcloud, OpenProject—is entirely European. Public-sector demand makes investment in remaining capability gaps commercially viable

The fiscal cost of inaction

Federal Microsoft licensing: €274M (2023) → €481M (2025), a 76% increase in two years. In the same period, ZenDiS, the federal government’s own sovereign workplace programme, received €4.1M: less than 1% of federal Microsoft expenditure. M365 price increases (E3: +8.3%, range 5.3–16.7% across product lines) take effect in July 2026.

The EU Data Act provides a legal exit ramp from January 2027. The DC-EDIC provides an institutional vehicle. The sovereign alternative is operational in Schleswig-Holstein, France, and at the European Commission itself. Every additional year of inaction costs over €250M in federal licensing alone—for software that could be replaced by European alternatives already in production. The conditions for a managed transition exist. They are not guaranteed to persist.

[Technical Annex, Section 13: Detailed implementation analysis, success factors, and risk mitigation]

2023 sagte die Bundesregierung €500 Mio. für ZenDiS und FITKO zur digitalen Souveränität zu. Als 2024 €34 Mio. zur Auszahlung bewilligt wurden, blockierte das Bundesfinanzministerium den Transfer. Bis 2025 arbeitete ZenDiS mit €4,1 Mio. aus Projektaufträgen: keine Zuwendungen, keine institutionelle Grundfinanzierung. Die Geschäftsführerin, die öffentlich angemessene Mittel forderte, wurde entlassen.

Im November 2025 bewilligte der Bundestag die €500 Mio. formal im Bundeshaushalt. Das Geld wurde zugesagt, bewilligt und erneut bewilligt. Geliefert wurde es nicht. Die Microsoft-Ausgaben des Bundes liegen bei €481 Mio. jährlich. Das 117-Fache dessen, was ZenDiS erhält. In drei Tagen fließt mehr an Microsoft als in einem ganzen Jahr an die souveräne Alternative.

Die Kluft zwischen erklärtem Bekenntnis und tatsächlichem Handeln entspricht dem, was Falkner, Heidebrecht, Obendiek und Seidl (2024) als rhetorischen Wandel bezeichnen: diskursives Bekenntnis zur digitalen Souveränität ohne entsprechendes institutionelles Handeln. Frankreich hingegen zeigt einen Fall von umfassendem Wandel—sein souveräner Workplace-Erlass, die DINUM-geführte Strategie und das jährliche LaSuite-Budget von €12 Mio. verbinden politisches Narrativ mit operativer Umsetzung im großen Maßstab.

Der rechtliche und institutionelle Rahmen für den Übergang zur digitalen Souveränität existiert auf Bundes- und EU-Ebene. Was fehlt, ist politisches Handeln. Die folgende Agenda formuliert konkrete Handlungsempfehlungen.

Die EU hat bereits den Präzedenzfall geschaffen, dass strategische Technologiesektoren nicht allein durch Marktbeschaffung ausreichend gesteuert werden können. Mit dem Europäischen Chips Act (2023, €43 Mrd.), IPCEI-Programmen und der Neuen Industriestrategie vollzog die EU, was Schmitz und Seidl (2024) als „geo-dirigistische“ Wende bezeichnen—aktive staatliche Steuerung von Ressourcen in strategisch kritische Sektoren, ein Bruch mit drei Jahrzehnten ordoliberaler Marktorthodoxie. Die Autoren zeigen, dass die Orientierung an Beschaffungsmärkten allein keine europäische Halbleiterkapazität sichern konnte. Verwaltungssoftware stellt dieselbe strukturelle Herausforderung: Solange die Beschaffungspolitik Büro-Suiten und Kollaborationsplattformen als generische Commodity-Güter statt als strategische Infrastruktur behandelt, bleibt digitale Souveränität in der öffentlichen Verwaltung eine Absichtserklärung.

Kostentransparenz: Was die Umstellung kostet und was sie bringt

Schleswig-Holstein ist der einzige vollständige Vergleichsmaßstab in Europa. Parlamentarische Haushaltsdaten (Drucksache 20/3678) und offizielle Regierungszahlen liefern verifizierte Werte:

	Pro Nutzer	Schleswig-Holstein (30.000)	Bundesmaßstab (500.000)
Einmalige Migration	~€300	€9 Mio.	~€150 Mio.
Laufender Betrieb	~€333/Jahr	~€10 Mio./Jahr	~€167 Mio./Jahr
Eingesparte Microsoft-Kosten	~€500/Jahr	€15 Mio./Jahr	~€250 Mio./Jahr
Netto-Jahreseinsparung	>€167/Jahr	>€5 Mio./Jahr	>€83 Mio./Jahr
Amortisation	—	<2 Jahre	<2 Jahre

Quellen: €9 Mio. einmalig und €15 Mio./Jahr Lizenzeinsparung: SH Digitalministerium (Dez. 2025). Nettoeinsparung >€5 Mio./Jahr ab 2030: Drucksache 20/3678, Frage 5. Laufende Kosten abgeleitet: €15 Mio. vermieden minus €5 Mio. netto = ~€10 Mio. Betrieb. Bundesmaßstab: lineare Hochrechnung; geteilte Entwicklungskosten senken die Pro-Nutzer-Migrationskosten bei Skalierung. Schulung: ~€55/Nutzer (Gemeinde Neerijnen, OSOR) = €28 Mio. auf Bundesebene—weniger als die derzeitigen €47 Mio./Jahr für Microsoft-spezifische Schulungsverträge (BT-Drs. 20/9641).

A. Deutschland: Bundestransitionsprogramm

Phase I: Legislativer und regulatorischer Handlungsbedarf (2026)

Das Vergabebeschleunigungsgesetz befindet sich im parlamentarischen Verfahren. Es hebt die Direktvergabeschwelle auf €50.000 an, enthält aber keine verbindliche Open-Source-Klausel—und riskiert damit einen weiteren Vergabezyklus der Anbieterabhängigkeit. Bestehendes Recht (GWB §97) erlaubt bereits TCO-basierte Bewertung und die Forderung offener Standards. Die EVB-IT-Open-Source-Vorlagen (B-2025/48-IT) empfehlen, verpflichten aber nicht. Der OZG-2.0-Priorisierungsauftrag hat keinen Durchsetzungsmechanismus, keine Sanktionen und keine Kontrollinstanz. Diese Lücken müssen geschlossen werden.

Maßnahme	Zuständigkeit	Begründung
Vergabebeschleunigungsgesetz ergänzen	Bundestag / Digitalausschuss	Aufnahme einer „Open Source by Default“-Klausel mit Begründungspflicht bei proprietärer Beschaffung. GWB §97 gestattet dies bereits; Frankreichs Erfahrung belegt, dass freiwillige Adoption nicht ausreicht
BMDS-Zustimmungsvorbehalt aktivieren	BMDS	Dokumentierte Open-Source-Alternativprüfung für alle proprietären Vertragsverlängerungen über €500.000 in der unmittelbaren Bundesverwaltung vorschreiben
Auszahlung des €500-Mio.-Budgets für ZenDiS/FITKO durchsetzen	BMDS / Haushaltsausschuss des Bundestages	Der Bundestag hat diese Mittel dreimal bewilligt. Das Muster von Bewilligung ohne Auszahlung muss enden. Institutionelle Grundfinanzierung für ZenDiS sicherstellen, souveräne Arbeitsplatzentwicklung bis zur Produktionsreife finanzieren und die seit 2022 durch das BMF blockierte Länderbeteiligung freigeben
ODF-Frist durchsetzen	IT-Planungsrat / BMDS	Beschluss B-2025/44-IT verpflichtet zur ODF-Unterstützung im verwaltungsübergreifenden Austausch bis 1. Januar 2027. Die Glaubwürdigkeit nachfolgender Mandate hängt von der Durchsetzung bestehender ab
Open-Source-Ausgabenquote festlegen	Bundestag / Haushaltsausschuss	Open-Source-Anteil an der Bundesbeschaffung: 0,5% (€18,6 Mio. von €3,5 Mrd.). Ein Stufenziel von 10–20% des €8,25-Mrd.-IT-Budgets wäre eine substanzielle Umschichtung
Jährliche Lizenztransparenz vorschreiben	BMDS / Digitalausschuss	Bundesausgaben für Microsoft: €274 Mio. (2023) → €481 Mio. (2025)—Anstieg von 76% in zwei Jahren. Systematische Berichterstattung ermöglicht parlamentarische Kontrolle der größten Einzelanbieter-Abhängigkeit

Phase II: Infrastruktur und Migration (2027–2028)

openDesk-Zieldatum: Oktober 2028. Schleswig-Holstein-Abschluss: 2027. Zwischen 80.000 und 160.000 Nutzer arbeiten heute produktiv mit souveränen Arbeitsplatzplattformen. Die Infrastruktur existiert; die Aufgabe ist die Skalierung.

Maßnahme	Umfang	Erwartetes Ergebnis
Souveränen Arbeitsplatz des Bundes bis zur Produktionsreife finanzieren	Aus den bewilligten €500 Mio.	Der Bund hat keinen flächendeckenden Einsatz begonnen. ITZBund betreibt openDesk nicht. Schleswig-Holstein hat die Machbarkeit mit €9 Mio. für 30.000 Nutzer bewiesen. Der Bundesmaßstab erfordert proportionale Investitionen in Entwicklung, Sicherheitszertifizierung und Deployment-Infrastruktur. Ohne nachhaltige Finanzierung ist das Ziel Oktober 2028 nicht erreichbar
Stufenweise Bundesmigration	~€150 Mio. einmalig, kompensiert durch >€83 Mio./Jahr laufende Einsparungen	Beginn bei Behörden mit höchsten Souveränitätsanforderungen: Verteidigung (BWI-Rahmenvertrag besteht), Auswärtiges Amt, Krisenkommunikation (CKKI-Pilot). Backend zuerst (Identität, E-Mail), dann Endanwendungen
Desktop- und Webplattformen zusammenführen	ZenDiS + Schleswig-Holstein	Schleswig-Holsteins Ansatz (LibreOffice, Thunderbird, Linux) und openDesk (webbasierte Kollaboration) ergänzen sich. Koordinierte Zusammenführung bis 2028 liefert einen vollständigen souveränen Arbeitsplatz
Souveräne Interoperabilitätsinfrastruktur	FITKO / IT-Planungsrat	Italiens PDND vernetzte 9.000+ öffentliche Stellen über ein API-Gateway in drei Jahren. Finnland und Estland erreichten grenzübergreifenden Austausch durch föderierte X-Road-Instanzen. Die Deutsche Verwaltungscloud bietet die Grundlage
Qualifizierungsprogramm	~€28 Mio. (€55/Nutzer × 500.000)	Kalibriert an verifizierten kommunalen Transitionsdaten (Gemeinde Neerijnen: €55/Nutzer). Produktivität normalisiert sich innerhalb von Wochen. Europäische Anbieter (Univention, OX, Collabora, Element, Nextcloud) als Schulungspartner

Institutionelle Zuständigkeiten: Deutschland

Institution	Auftrag
BMDS	Ausübung des Zustimmungsvorbehalts. Verbindliche Open-Source-Alternativprüfung bei allen proprietären Vertragsverlängerungen. Auszahlung der bewilligten €500 Mio. durchsetzen: das Muster von Bewilligung ohne Lieferung beenden. Keine neuen proprietären Vertragsausweitungen ohne Prüfung souveräner Alternativen. Verbindliche Migrationszeitpläne für das Ziel Oktober 2028
Bundestag / Digitalausschuss	Änderung des Vergabebeschleunigungsgesetzes. OSS-Ausgabenquote festlegen. Jährliche Lizenztransparenz einführen. Parlamentarische Kontrolle ausüben
IT-Planungsrat	ODF-Konformität sicherstellen (1. Januar 2027). EVB-IT-Open-Source-Vorlagen von Empfehlung zu Verpflichtung ausbauen. Bund-Länder-Migrationsplanung unter dem Bundesvorsitz 2026 koordinieren
ZenDiS	openDesk-Releases mit geschlossenen Fähigkeitslücken ausliefern. Kommerzielles Support-Ökosystem aufbauen. Institutionelle Transformation zur Bund-Länder-GmbH abschließen
Bundesländer	Schleswig-Holstein-Modell übernehmen: 30.000 Arbeitsplätze migriert, >€5 Mio./Jahr Nettoeinsparung, Amortisation unter zwei Jahren. Mecklenburg-Vorpommern hat eine Kooperationsvereinbarung unterzeichnet. Jedes weitere Land senkt die Stückkosten durch gemeinsame Infrastruktur

B. Europäische Union: Souveräner digitaler Binnenmarkt

Die rechtlichen und institutionellen Instrumente für eine europäische souveräne Digitalinfrastruktur sind einsatzbereit. Das DC-EDIC wurde am 29. Oktober 2025 formal gegründet (Durchführungsbeschluss 2025/2170), mit Frankreich, Deutschland, den Niederlanden und Italien als Gründungsmitgliedern und Sitz in Paris. Der EU Data Act macht den Cloud-Anbieterwechsel seit September 2025 durchsetzbar und beseitigt Wechselgebühren ab Januar 2027. Der Interoperable Europe Act schreibt verbindliche Interoperabilitätsprüfungen für alle neuen grenzüberschreitenden Dienste seit Januar 2025 vor. Was fehlt, ist nicht die Zuständigkeit, sondern das koordinierte Handeln.

Rechtsgrundlage: EU-Vergaberecht gestattet Open-Source-Auflagen

Richtlinie 2014/24/EU bietet zwei Mechanismen: Artikel 42 erlaubt technische Spezifikationen, die die Übertragung geistiger Eigentumsrechte verlangen und offene Standards vorschreiben. Artikel 67 erlaubt Zuschlagskriterien auf Basis der Gesamtbetriebskosten (TCO), einschließlich Anbieterabhängigkeit und Ausstiegskosten—was strukturell Open-Source-Lösungen begünstigt. Der EuGH hat dies bestätigt: Im tschechischen GFD-Fall wurde der Zugang zum Quellcode zur Wettbewerbssicherung gefordert; Rs. C-424/23 (Januar 2025) bestätigte funktionale Spezifikationen gegenüber produktspezifischen Bezeichnungen.

Drei Mitgliedstaaten haben Open-Source-Auflagen ohne EU-rechtliche Anfechtung eingeführt: Bulgarien (E-Governance-Gesetz 2016, Art. 18: alle öffentlich finanzierten Programme müssen Open Source sein), Italien (CAD Art. 68: verpflichtende Vergleichsanalyse zugunsten von Nachnutzung und Open Source), Frankreich (Loi pour une République numérique 2016, Art. 9 bis: Förderung von Open Source in der Verwaltung, operationalisiert durch DINUM-Rundschreiben). Keine wurde in einem Jahrzehnt der Anwendung EU-vergaberechtlich angefochten.

EU-Maßnahmen

Maßnahme	Zuständigkeit	Begründung
DC-EDIC für Digitale Gemeingüter skalieren	DC-EDIC-Governance / Digital Europe Programme	Verbindet Deutschlands openDesk und Frankreichs La Suite Numérique zu einer gemeinsamen europäischen Plattform. Startbudget: ~€5,3 Mio. — weniger als die Migrationskosten eines Bundeslandes (€9 Mio.) und 1% der Microsoft-Bundesausgaben (€481 Mio.). Bottom-up-Schätzung: €50–105 Mio./Jahr im Regelbetrieb. Erfordert jährliche Kofinanzierung von mindestens €100 Mio. über Digital Europe Programme und MFR 2028–2034. Luxemburg und Slowenien treten bei; Polen und Belgien beobachten. Alle gemeinsam entwickelte Software unter FOSS-Lizenzen laut Statut
SEAL-Souveränitätsmetriken in EU-Beschaffung vorschreiben	Europäische Kommission / DG DIGIT	Die €180-Mio.-Cloud-Ausschreibung (Oktober 2025) etablierte SEAL-Stufen 0–4 mit acht Souveränitätszielen. Angebote unter Mindestschwellen werden automatisch ausgeschlossen. Mitgliedstaaten können dies als Vorlage für nationale Beschaffung übernehmen
Kommissionsleitfaden zu Open Source in der Vergabe	DG GROW / DG CONNECT	Art. 42 und Art. 67 der Richtlinie 2014/24 erlauben bereits Open-Source-Anforderungen und TCO-Bewertung. Formale Leitlinien würden die Rechtsunsicherheit beseitigen, die Vergabestellen in 27 Mitgliedstaaten abschreckt
Data-Act-Wechselbestimmungen durchsetzen	Europäische Kommission / Mitgliedstaaten	Cloud-Wechsel nach Art. 29(1) durchsetzbar seit September 2025. Null Wechselgebühren ab Januar 2027. Öffentliche Verträge sollten Ausstiegsklauseln entlang dieser Fristen enthalten. Dies ist die rechtliche Ausstiegsrampe aus bestehender Abhängigkeit
Föderierte europäische Verwaltungscloud	DVC / franz., niederl., ital. souveräne Clouds	Die Deutsche Verwaltungscloud betreibt 40+ Dienste auf STACKIT und IONOS. Vernetzung mit französischen, niederländischen und italienischen Plattformen über gemeinsame APIs und EUCS-Zertifizierung schafft föderierte Infrastruktur unter EU-Recht
Grenzüberschreitendes souveränes Messaging via Matrix	DG DIGIT / DINUM / Element	Die Europäische Kommission erprobt Matrix (Februar 2026). Frankreich betreibt Tchap für alle Ministerien mit Ziel 200.000 Nutzer bis 2027. Föderation ermöglicht sichere grenzüberschreitende Regierungskommunikation ohne US-betriebene Vermittler
Gemeinsame europäische souveräne KI	BMDS / STA / EU-Kommission	Frankreich integriert Mistral AI über die Albert-API in La Suite (Mitte 2026). Open-Source-Modelle auf europäischer Infrastruktur beseitigen die Abhängigkeit von US-Cloud-Diensten für KI. Gemeinsame Entwicklung vermeidet parallele nationale Programme

Institutionelle Zuständigkeiten: Europäische Union

Institution	Auftrag
Europäische Kommission (DG CONNECT, DG DIGIT)	DC-EDIC über das Digital Europe Programme auf operativen Maßstab finanzieren. SEAL-Metriken in EU-Beschaffung durchsetzen. Leitlinien zur Open-Source-Konformität mit Richtlinie 2014/24 veröffentlichen. Mit gutem Beispiel vorangehen: eigene Matrix-Einführung abschließen
Interoperable Europe Board	Erste Interoperable-Europe-Agenda veröffentlicht (Dezember 2025). Offene Datenaustauschformate vorschreiben. Souveräne Workplace-Lösungen für grenzüberschreitende Nutzung zertifizieren. Quellcode-Teilungspflicht gemäß Artikel 4 durchsetzen
DC-EDIC-Governance	openDesk und La Suite Numérique zu gemeinsamen europäischen Komponenten zusammenführen. Mitgliedschaft über die Gründungsvier hinaus erweitern. 2027-Ziele umsetzen: European One-Stop-Shop, Digital Commons Forum, erster State of the Digital Commons Report
Mitgliedstaaten	SEAL für nationale Cloud-Beschaffung übernehmen. Data-Act-Ausstiegsrechte zur Neuverhandlung bestehender Verträge vor der Nullgebührenfrist (Januar 2027) nutzen. Interoperable Europe Act in nationale Praxis umsetzen. Dem DC-EDIC beitreten
Europäische Open-Source-Wirtschaft	Enterprise-Support und SLA-Fähigkeit skalieren. Das openDesk-Ökosystem—Univention, Open-Xchange, Collabora, Element, Nextcloud, OpenProject—ist vollständig europäisch. Die öffentliche Nachfrage macht Investitionen in verbleibende Lücken wirtschaftlich tragfähig

Fiskalische Kosten des Nichthandelns

Microsoft-Lizenzausgaben des Bundes: €274 Mio. (2023) → €481 Mio. (2025), ein Anstieg von 76% in zwei Jahren. Im selben Zeitraum erhielt ZenDiS, das eigene souveräne Arbeitsplatzprogramm des Bundes, €4,1 Mio.: weniger als 1% der Microsoft-Ausgaben. Im Juli 2026 treten M365-Preiserhöhungen in Kraft (E3: +8,3 %, Bandbreite 5,3–16,7 % über alle Produktlinien).

Der EU Data Act bietet ab Januar 2027 eine rechtliche Ausstiegsrampe. Das DC-EDIC stellt den institutionellen Rahmen. Die souveräne Alternative ist in Schleswig-Holstein, Frankreich und bei der Europäischen Kommission selbst im Betrieb. Jedes weitere Jahr des Nichthandelns kostet über €250 Mio. allein an Bundeslizenzierung—für Software, die durch europäische Alternativen im Produktivbetrieb ersetzt werden könnte. Die Voraussetzungen für einen geordneten Übergang bestehen. Ihr Fortbestand ist nicht garantiert.

[Technischer Anhang, Abschnitt 13: Detaillierte Umsetzungsanalyse, Erfolgsfaktoren und Risikominderung]

Addressing ObjectionsHäufige Einwände Twelve claims examined on evidenceZwölf Behauptungen im Faktencheck

Addressing ObjectionsHäufige Einwände — und die Fakten

Twelve Objections, Evidence-Based ResponsesZwölf Einwände, evidenzbasierte Antworten

Context: Where These Arguments Come From

The objections examined below appear regularly in policy debates, industry position papers, and media commentary. Many originate from or are amplified by industry associations and vendors with direct commercial interests in current procurement patterns.

This is normal. Industries advocate for their interests—that’s how policy works. But policymakers benefit from understanding which arguments reflect genuine technical constraints and which reflect commercial positioning.

The evidence for each objection is examined on its merits below. For transparency, documented lobbying activity and industry positions are summarized at the end of this section.

Kontext: Woher diese Argumente stammen

Die nachfolgend untersuchten Einwände tauchen regelmäßig in politischen Debatten, Industriepositionspapieren und Medienkommentaren auf. Viele stammen von Branchenverbänden und Anbietern mit direkten kommerziellen Interessen an bestehenden Beschaffungsmustern oder werden von diesen verstärkt.

Das ist normal. Branchen vertreten ihre Interessen—so funktioniert Politik. Aber Entscheidungsträger profitieren davon zu verstehen, welche Argumente echte technische Einschränkungen widerspiegeln und welche kommerzielle Positionierung.

Die Evidenz für jeden Einwand wird nachfolgend nach Sachlage geprüft. Zur Transparenz werden dokumentierte Lobbying-Aktivitäten und Industriepositionen am Ende dieses Abschnitts zusammengefasst.

ObjectionEinwand	Core ResponseKernantwort	EvidenceEvidenz
Munich failedMünchen gescheitert	Organizational failure, not technicalOrganisatorisches Scheitern, nicht technisches	68.6% user satisfaction; €86M reversal cost68,6 % Nutzerzufriedenheit; €86 Mio. Rückumstellungskosten
Other governments failed tooAuch andere Regierungen sind gescheitert	Failures are political/organizationalMisserfolge sind politisch/organisatorisch bedingt	Pattern: isolated adoption, half-hearted commitmentMuster: isolierte Einführung, halbherziges Engagement
Generations aheadGenerationen voraus	Open source IS the cutting edgeOpen Source IST der Stand der Technik	Linux: 90% cloud, 100% supercomputersLinux: 90 % Cloud, 100 % Supercomputer
Transition costsÜbergangskosten	<2-year payback, then permanent savingsAmortisation in <2 Jahren, danach dauerhafte Einsparungen	SH: €9M investment → €15M/year savingsSH: €9 Mio. Investition → €15 Mio./Jahr Einsparung
Migration disruptionMigrationsstörungen	Evidence shows maintained productivityEvidenz belegt gleichbleibende Produktivität	40,000 mailboxes, no disruption40.000 Postfächer, keine Ausfälle
Security vulnerabilitiesSicherheitslücken	Fundable and verifiable, unlike proprietaryFinanzierbar und überprüfbar — anders als proprietäre Software	€8-15M security program vs €150M trust€8–15 Mio. Sicherheitsprogramm vs. €150 Mio. blindes Vertrauen
Feature gapsFunktionslücken	90% parity for standard users90 % Funktionsparität für Standardnutzer	SH 80% migrated, France 500K usersSH 80 % migriert, Frankreich 500.000 Nutzer
Document compatibilityDokumentenkompatibilität	UK mandate works since 2014UK-Vorgabe funktioniert seit 2014	ODF mandatory; accept .docx externallyODF obligatorisch; .docx extern akzeptiert
Excel macrosExcel-Makros	Technical debt, not migration blockerTechnische Altlast, kein Migrationshindernis	Modernization needed regardlessModernisierung ohnehin erforderlich
Jobs destroyedArbeitsplätze vernichtet	Net positive: +7,000 to +17,000Netto positiv: +7.000 bis +17.000	109,000 IT shortage absorbs transition109.000 offene IT-Stellen absorbieren den Wandel
AI/Copilot gapKI-/Copilot-Lücke	Lock-in, not leadershipAbhängigkeit, nicht Führungsstärke	France deploys sovereign AI featuresFrankreich setzt souveräne KI-Funktionen ein
EU Data BoundaryEU-Datengrenze	Data residency ≠ sovereigntyDatenspeicherort ≠ Souveränität	Azure Germany failed; MS admits no guaranteeAzure Deutschland gescheitert; MS räumt fehlende Garantie ein

“Munich tried this and failed — it proves Linux doesn’t work in government”Einwand 1: „München hat es versucht und ist gescheitert — das beweist, dass Linux in der Verwaltung nicht funktioniert“

The Reality: Munich’s reversal was driven by organizational fragmentation and political factors, not technical failure — and cost more than the original migration.

The Munich LiMux project (2003–2017) successfully migrated 15,000 workstations to Linux. The 2017 reversal to Windows is often cited as proof that open source “doesn’t work.” A forensic analysis reveals otherwise.

What the Accenture audit actually found:

The 2016 Accenture report commissioned to evaluate LiMux identified the root cause of IT dysfunction:

The problems were “independent of the software used on client machines.”

The report’s own user satisfaction survey showed 68.6% of employees were satisfied or very satisfied with the IT environment. The “user revolt” narrative was political fiction.¹²

The actual causes of failure:

Factor	Evidence
“22 Little Kingdoms”	Munich had 22 separate IT departments with no central authority. Departments ran outdated versions because central IT couldn’t mandate updates.
Political shift	Mayor Dieter Reiter (elected 2014) publicly described himself as a “Microsoft fan” before taking office.
Microsoft HQ relocation	Microsoft moved its German headquarters to Munich in 2016, bringing 1,800 jobs and substantial tax revenue.
Accenture conflict of interest	Accenture is a Microsoft Gold Partner with a joint venture (Avanade). Their Munich offices are in the same building complex as Microsoft’s new HQ.

The cost of reversal:

Phase	Cost
Original Linux migration	€60.7 million
Reversal to Windows	€86.1 million

Munich paid to convert 12,000 templates to Open Document Format, then paid again to convert them back to Microsoft formats. The reversal cost €86.1 million—more than the original migration.

What Schleswig-Holstein does differently:

Munich (Failed)	Schleswig-Holstein (Succeeding)
22 separate IT departments	Centralized IT via Dataport
OS migration first, kept Microsoft backend	Backend-first (Exchange → Open-Xchange before OS)
Cost savings framing	Sovereignty framing (CLOUD Act)
Political protection from single mayor	Cross-party coalition support

Schleswig-Holstein has successfully migrated 40,000 mailboxes to Open-Xchange as of October 2025, with 80% of workstations running LibreOffice.

The lesson from Munich is not that Linux fails — it is that innovative technology cannot survive archaic, decentralized governance.

[Technical Annex, Section 6.3: Complete Munich analysis]

Realität: Münchens Rückkehr zu Windows war durch organisatorische Fragmentierung und politische Faktoren bedingt, nicht durch technisches Versagen — und kostete mehr als die ursprüngliche Migration.

Das Münchner LiMux-Projekt (2003–2017) migrierte erfolgreich 15.000 Arbeitsplätze auf Linux. Die Rückumstellung 2017 auf Windows wird häufig als Beweis angeführt, dass Open Source „nicht funktioniert“. Eine forensische Analyse ergibt ein anderes Bild.

Was das Accenture-Gutachten tatsächlich ergab:

Der 2016 in Auftrag gegebene Accenture-Bericht zur Evaluierung von LiMux identifizierte die Hauptursache der IT-Probleme:

Die Probleme waren „unabhängig von der auf den Arbeitsplatzrechnern eingesetzten Software“.

Die eigene Nutzerzufriedenheitsbefragung des Berichts ergab: 68,6 % der Beschäftigten waren zufrieden oder sehr zufrieden mit der IT-Umgebung. Das Narrativ des „Nutzeraufstands“ war politische Fiktion.¹²

Die tatsächlichen Ursachen des Scheiterns:

Faktor	Evidenz
„22 kleine Königreiche“	München hatte 22 separate IT-Abteilungen ohne zentrale Steuerung. Abteilungen betrieben veraltete Versionen, weil die zentrale IT keine Updates durchsetzen konnte.
Politischer Wechsel	Oberbürgermeister Dieter Reiter (gewählt 2014) bezeichnete sich öffentlich als „Microsoft-Fan“, noch bevor er sein Amt antrat.
Verlegung des Microsoft-Hauptsitzes	Microsoft verlegte 2016 seine Deutschlandzentrale nach München — mit 1.800 Arbeitsplätzen und erheblichen Steuereinnahmen.
Interessenkonflikt bei Accenture	Accenture ist Microsoft Gold Partner mit einem Joint Venture (Avanade). Die Münchner Büros befinden sich im selben Gebäudekomplex wie Microsofts neue Zentrale.

Die Kosten der Rückumstellung:

Phase	Kosten
Ursprüngliche Linux-Migration	€60,7 Mio.
Rückumstellung auf Windows	>€100 Mio.

München zahlte für die Konvertierung von 12.000 Vorlagen in das Open Document Format — und zahlte erneut, um sie zurück in Microsoft-Formate zu konvertieren. Die Rückumstellung kostete nahezu das Doppelte der ursprünglichen Migration.

Was Schleswig-Holstein anders macht:

München (gescheitert)	Schleswig-Holstein (erfolgreich)
22 separate IT-Abteilungen	Zentralisierte IT über Dataport
Erst Betriebssystem-Migration, Microsoft-Backend beibehalten	Backend zuerst (Exchange → Open-Xchange vor dem Betriebssystem)
Argumentation über Kosteneinsparung	Argumentation über Souveränität (CLOUD Act)
Politischer Schutz durch einen einzelnen Bürgermeister	Parteiübergreifende Koalitionsunterstützung

Schleswig-Holstein hat bis Oktober 2025 erfolgreich 40.000 Postfächer auf Open-Xchange migriert; 80 % der Arbeitsplätze laufen mit LibreOffice.

Die Lehre aus München lautet nicht, dass Linux scheitert — sondern dass innovative Technologie eine archaische, dezentrale Governance nicht überleben kann.

[Technischer Anhang, Abschnitt 6.3: Vollständige München-Analyse]

“Other governments tried open source and failed too — it’s not just Munich”Einwand 2: „Auch andere Regierungen haben Open Source versucht und sind gescheitert — es liegt nicht nur an München“

The Reality: Yes, some projects failed. The pattern is clear: failures are organizational and political, not technical.

Project	Country	Period	What Went Wrong	Lesson
German Foreign Office	Germany	2005–2011	Migrated alone while peer ministries stayed on Microsoft	Coordinate across agencies
Freiburg	Germany	2007–2012	Ran outdated OpenOffice alongside MS Office for 5 years	Commit fully or don’t start
Extremadura LinEx	Spain	2002–2012	Defunded after political change; tied to one leader	Institutional anchoring beyond one cycle
Andalusia Guadalinex	Spain	2004–2018	Same pattern — new government abandoned predecessor’s project	Same lesson

The recurring failure modes:

Isolated migration (“island effect”): When one agency migrates while peers remain on Microsoft, interoperability friction makes life miserable for the migrating agency.¹³
Half-hearted commitment: Running OSS and proprietary software side-by-side without committing to either guarantees the worst user experience.
Political vulnerability: Projects championed by one leader or party are abandoned when power changes.

Meanwhile, projects with proper execution succeed:

Project	Country	Scale	Result
French Gendarmerie	France	103,000 workstations	40% cost reduction, operational since 2005
Valencia	Spain	120,000 PCs	Saves €1.5M/year since 2013
Kerala KITE	India	200,000 computers	Saved $360 million
Barcelona	Spain	Municipal	Developed Decidim (300+ cities globally)
Denmark (OS2)	Denmark	82 municipalities	400+ shared open-source products since 2012

The technology works. The question is governance, political will, and sustained commitment.

[Technical Annex, Section 6.6: Other government OSS experiences]

Realität: Ja, einige Projekte sind gescheitert. Das Muster ist eindeutig: Die Misserfolge waren organisatorischer und politischer Natur, nicht technischer.

Projekt	Land	Zeitraum	Was schiefging	Lehre
Auswärtiges Amt	Deutschland	2005–2011	Allein migriert, während alle anderen Ministerien bei Microsoft blieben	Ressortübergreifend koordinieren
Freiburg	Deutschland	2007–2012	5 Jahre lang veraltetes OpenOffice parallel zu MS Office betrieben	Ganz oder gar nicht
Extremadura LinEx	Spanien	2002–2012	Nach Regierungswechsel die Finanzierung gestrichen; an eine Person gebunden	Institutionelle Verankerung über eine Legislaturperiode hinaus
Andalusia Guadalinex	Spanien	2004–2018	Gleiches Muster — neue Regierung gab das Vorgängerprojekt auf	Gleiche Lehre

Die wiederkehrenden Fehlermuster:

Isolierte Migration („Inseleffekt“): Wenn eine Behörde migriert, während die übrigen bei Microsoft bleiben, erzeugt die Interoperabilitätsreibung maximalen Frust bei der migrierenden Stelle.¹³
Halbherziges Engagement: OSS und proprietäre Software parallel zu betreiben, ohne sich für eine Richtung zu entscheiden, garantiert die schlechteste Nutzererfahrung.
Politische Verwundbarkeit: Projekte, die von einer einzelnen Person oder Partei getragen werden, werden beim Machtwechsel aufgegeben.

Dagegen gelingen Projekte mit professioneller Umsetzung:

Projekt	Land	Umfang	Ergebnis
French Gendarmerie	Frankreich	103.000 Arbeitsplätze	40 % Kostenreduktion, im Betrieb seit 2005
Valencia	Spanien	120.000 PCs	Spart €1,5 Mio./Jahr seit 2013
Kerala KITE	Indien	200.000 Computer	$360 Mio. eingespart
Barcelona	Spanien	Kommunal	Entwickelte Decidim (300+ Städte weltweit)
Dänemark (OS2)	Dänemark	82 Kommunen	400+ gemeinsame Open-Source-Produkte seit 2012

Die Technologie funktioniert. Die Frage ist: Governance, politischer Wille und nachhaltiges Engagement.

[Technischer Anhang, Abschnitt 6.6: Weitere Open-Source-Erfahrungen in der öffentlichen Verwaltung]

“By the time Europe builds sovereign tools, US tech will be generations ahead”Einwand 3: „Bis Europa souveräne Werkzeuge aufgebaut hat, ist die US-Technologie Generationen voraus“

The Reality: Open source doesn’t mean building from scratch — it means joining global development that’s already ahead.

This argument assumes Europe must invent sovereign tools from zero while US companies race ahead. The assumption is false.

Open source IS the cutting edge:

Domain	Open Source Status	US Tech Reality
Cloud infrastructure	Linux runs 90% of servers	Microsoft and Google run ON Linux
Container orchestration	Kubernetes is the standard	Invented by Google, now open
AI/ML frameworks	TensorFlow, PyTorch dominate	Built on open foundations
Databases	PostgreSQL replacing Oracle	Industry trend

Europe isn’t catching up to a proprietary standard. The global standard is already open source. The question is whether Europe participates as a contributor and owner — or merely as a customer.

Deployment is fast — this is adoption, not invention:

Project	Timeline	Result
France Visio	~2 years	LiveKit-based video for 300,000+ users
Schleswig-Holstein email	~18 months	40,000 mailboxes migrated
French Tchap	~2 years	Matrix messaging in production

These projects adopted mature open-source technology. They didn’t reinvent video conferencing or email. The “decades to build” narrative is vendor marketing, not reality.

The real risk is the opposite:

Every year of NOT building sovereign capacity means deeper lock-in to US vendor roadmaps, less European expertise in critical infrastructure, and more leverage for vendors to raise prices. The US tech giants built their dominance on open-source foundations. Europe can do the same — or keep paying rent forever.

Realität: Open Source bedeutet nicht, bei null anzufangen — sondern sich einer globalen Entwicklung anzuschließen, die bereits führend ist.

Dieses Argument unterstellt, Europa müsse souveräne Werkzeuge von Grund auf neu erfinden, während US-Konzerne davonziehen. Diese Annahme ist falsch.

Open Source IST der Stand der Technik:

Domäne	Open-Source-Status	US-Tech-Realität
Cloud-Infrastruktur	Linux betreibt 90 % aller Server	Microsoft und Google laufen AUF Linux
Container-Orchestrierung	Kubernetes ist der Standard	Von Google erfunden, jetzt offen
KI-/ML-Frameworks	TensorFlow, PyTorch dominieren	Auf offenen Grundlagen gebaut
Datenbanken	PostgreSQL löst Oracle ab	Branchentrend

Europa holt nicht zu einem proprietären Standard auf. Der globale Standard ist bereits Open Source. Die Frage ist, ob Europa als Mitgestalter und Eigentümer teilnimmt — oder lediglich als Kunde.

Die Einführung geht schnell — es handelt sich um Adoption, nicht um Erfindung:

Projekt	Zeitrahmen	Ergebnis
France Visio	~2 Jahre	LiveKit-basierte Videokonferenz für über 300.000 Nutzer
Schleswig-Holstein E-Mail	~18 Monate	40.000 Postfächer migriert
French Tchap	~2 Jahre	Matrix-Messaging im Produktivbetrieb

Diese Projekte haben ausgereifte Open-Source-Technologie übernommen. Sie haben weder Videokonferenzen noch E-Mail neu erfunden. Das Narrativ „Jahrzehnte bis zur Fertigstellung“ ist Anbieter-Marketing, nicht Realität.

Das eigentliche Risiko ist das Gegenteil:

Jedes Jahr OHNE Aufbau souveräner Kapazitäten bedeutet tiefere Abhängigkeit von US-Anbieter-Roadmaps, weniger europäische Expertise in kritischer Infrastruktur und mehr Preissetzungsmacht für die Anbieter. Die US-Tech-Giganten haben ihre Dominanz auf Open-Source-Grundlagen aufgebaut. Europa kann dasselbe tun — oder ewig Miete zahlen.

“The transition will cost more than staying with Microsoft”Einwand 4: „Die Umstellung kostet mehr, als bei Microsoft zu bleiben“

The Reality: Short-term transition costs are offset by eliminated price escalation and long-term savings.

Evidence from completed transitions:

Case	Migration Investment	Annual Savings	Payback
Schleswig-Holstein	€9 million	>€5 million	<2 years
Italian Military	Not disclosed	€26 million	<1 year
Munich reversal	€86.1 million	—	Reversal cost more

The cost of staying:

Microsoft’s pricing demonstrates lock-in dynamics:

Period	Price Change
2020–2024	+27.3% (vs. 19% IT inflation)
2015–2024 federal spend	+370%

Once locked in, governments face above-inflation annual increases, forced feature upgrades, subscription models with no “sweating assets” option, and exit costs that grow each year.

The investment model:

Factor	Staying (Microsoft)	Migrating (Open Source)
Year 1–3	Lower (status quo)	Higher (transition)
Year 4–10	Escalating licenses	Stable maintenance
Year 10+	Continued escalation	Declining (assets mature)
Assets owned	Nothing	Infrastructure, expertise
Exit option	Increasingly expensive	Always available

Schleswig-Holstein explicitly frames the €9 million investment as eliminating €15 million in annual license fees once complete — a permanent structural saving, not a one-time cut.

[Technical Annex, Section 4: Cost comparison methodology]

Realität: Kurzfristige Umstellungskosten werden durch den Wegfall von Preissteigerungen und langfristige Einsparungen mehr als kompensiert.

Evidenz aus abgeschlossenen Migrationen:

Fall	Migrationsinvestition	Jährliche Einsparung	Amortisation
Schleswig-Holstein	€9 Mio.	€3+ Mio.	~3 Jahre
Italienisches Militär	Nicht offengelegt	€26 Mio.	<1 Jahr
Rückumstellung München	€100+ Mio.	—	Rückumstellung kostete mehr

Die Kosten des Verbleibens:

Microsofts Preispolitik zeigt die Dynamik der Abhängigkeit:

Zeitraum	Preisänderung
2020–2024	+27,3 % (vs. 19 % IT-Inflation)
2015–2024 Bundesausgaben	+370 %

Einmal in der Abhängigkeit, sehen sich Regierungen mit jährlichen Steigerungen über der Inflationsrate konfrontiert, mit erzwungenen Feature-Upgrades, Abomodellen ohne die Möglichkeit, vorhandene Lizenzen weiter zu nutzen, und Ausstiegskosten, die Jahr für Jahr steigen.

Das Investitionsmodell:

Faktor	Verbleib (Microsoft)	Migration (Open Source)
Jahr 1–3	Niedriger (Status quo)	Höher (Umstellung)
Jahr 4–10	Steigende Lizenzen	Stabile Wartungskosten
Jahr 10+	Fortgesetzte Eskalation	Rückläufig (Infrastruktur reift)
Eigene Assets	Keine	Infrastruktur, Expertise
Ausstiegsoption	Zunehmend teuer	Jederzeit verfügbar

Schleswig-Holstein beziffert die Investition von €9 Mio. explizit als Maßnahme zur dauerhaften Einsparung von €15 Mio. jährlichen Lizenzkosten — eine permanente strukturelle Einsparung, kein einmaliger Effekt.

[Technischer Anhang, Abschnitt 4: Methodik des Kostenvergleichs]

“Migration will disrupt operations and reduce productivity”Einwand 5: „Die Migration wird den Betrieb stören und die Produktivität senken“

The Reality: Properly managed migrations maintain productivity. Evidence from current deployments confirms this.

Schleswig-Holstein progress (October 2025):

Metric	Result
Mailboxes migrated	40,000
Email items transferred	100 million
Workstations on LibreOffice	80%
Productivity disruption	None reported

France deployment (2025–2027):

Metric	Result
Civil servants affected	500,000+
Video platform (Visio)	Operational, scales to 100+
Messaging (Tchap)	Production deployment

The Munich user satisfaction reality:

The Accenture report’s own survey found 68.6% of Munich employees satisfied or very satisfied with LiMux. The “productivity crisis” narrative was political, not empirical.

Success factors from case studies:

Factor	Munich (Failed)	Schleswig-Holstein (Succeeding)
IT governance	Fragmented (22 departments)	Centralized (Dataport)
Migration sequence	Desktop OS first	Backend (email/identity) first
Timeline	Rushed in some areas	Phased over 4–5 years
Training investment	Inadequate	Structured program
Political framing	Cost savings	Sovereignty imperative

[Technical Annex, Section 6: Detailed case studies]

Realität: Professionell gesteuerte Migrationen erhalten die Produktivität. Die Evidenz aus laufenden Projekten bestätigt dies.

Fortschritt Schleswig-Holstein (Oktober 2025):

Kennzahl	Ergebnis
Migrierte Postfächer	40.000
Übertragene E-Mail-Objekte	100 Millionen
Arbeitsplätze mit LibreOffice	80 %
Produktivitätsstörungen	Keine gemeldet

Frankreich-Deployment (2025–2027):

Kennzahl	Ergebnis
Betroffene Beamte	500.000+
Videoplattform (Visio)	In Betrieb, skaliert auf 100+ Teilnehmer
Messaging (Tchap)	Produktivbetrieb

Die Realität der Nutzerzufriedenheit in München:

Die eigene Umfrage des Accenture-Berichts ergab: 68,6 % der Münchner Beschäftigten waren zufrieden oder sehr zufrieden mit LiMux. Das Narrativ der „Produktivitätskrise“ war politisch motiviert, nicht empirisch belegt.

Erfolgsfaktoren aus den Fallstudien:

Faktor	München (gescheitert)	Schleswig-Holstein (erfolgreich)
IT-Governance	Fragmentiert (22 Abteilungen)	Zentralisiert (Dataport)
Migrationsreihenfolge	Erst Desktop-Betriebssystem	Backend zuerst (E-Mail/Identität)
Zeitplan	Teilweise überhastet	Phasenweise über 4–5 Jahre
Schulungsinvestition	Unzureichend	Strukturiertes Programm
Politische Rahmung	Kosteneinsparung	Souveränitätsimperativ

[Technischer Anhang, Abschnitt 6: Detaillierte Fallstudien]

“Open source has security vulnerabilities too — Log4Shell proves the ‘many eyes’ concept is a myth”Einwand 6: „Open Source hat ebenfalls Sicherheitslücken — Log4Shell beweist, dass das Konzept der ‚vielen Augen‘ ein Mythos ist“

The Reality: Proprietary software has equal or worse vulnerabilities — the difference is verifiability.

Yes, open-source software has had serious vulnerabilities. Log4Shell and Heartbleed were severe. But this argument only works if proprietary software is more secure. The evidence shows otherwise:

Vulnerability	Type	Impact	Response
SolarWinds (2020)	Proprietary	18,000 organizations including US government	Months of undetected access
Microsoft Exchange ProxyLogon (2021)	Proprietary	250,000+ servers compromised globally	Actively exploited before patch
Microsoft PrintNightmare (2021)	Proprietary	Remote code execution on all Windows	Patch failed multiple times
Microsoft Outlook (2023)	Proprietary	Zero-click remote code execution	Exploited by nation-states
Log4Shell (2021)	Open Source	Widespread Java applications	Patched within days
Heartbleed (2014)	Open Source	OpenSSL memory exposure	Patched within days

The difference is not vulnerability frequency — it is what happens next:

Aspect	Proprietary Software	Open Source Software
Vulnerability discovery	Only vendor can find bugs	Anyone can audit code
Patch verification	Trust vendor’s word	Verify the fix yourself
Patch timeline	Vendor’s schedule	Community can fork and fix
Backdoor detection	Impossible to verify absence	Code is public
Independent audit	Vendor must grant access	Always possible

The “many eyes” critique has merit — but the solution is funded security, not abandoning open source.

Currently, critical open-source software used by governments receives minimal security research funding. This is a solvable problem:

Investment	Purpose	Annual Cost
Bug bounty program	Incentivize vulnerability discovery	€2–5 million
Professional audits	Fraunhofer, BSI formal reviews	€3–5 million
Security research grants	CCC, university researchers	€2–3 million
Rapid response team	Coordinate patches for government-critical software	€1–2 million
Total	Comprehensive security program	€8–15 million

Compare this to the current approach:

Germany spends approximately €150+ million annually on Microsoft licenses for federal employees alone — and receives no verifiable security assurance. The security model is: trust Microsoft.

For less than 10% of current licensing costs, Germany could fund a comprehensive open-source security program providing active vulnerability discovery, professional code audits by German institutions, verifiable security rather than vendor promises, and development of German security expertise.

Proprietary software security relies on trusting vendor claims. Open-source security can be verified. The question is not whether to trust “many eyes” — it is whether to fund them.

[Technical Annex, Section 10: Security analysis]

Realität: Proprietäre Software hat gleich schwere oder schlimmere Sicherheitslücken — der Unterschied ist die Überprüfbarkeit.

Ja, Open-Source-Software hatte schwerwiegende Sicherheitslücken. Log4Shell und Heartbleed waren gravierend. Doch dieses Argument greift nur, wenn proprietäre Software sicherer wäre. Die Evidenz zeigt das Gegenteil:

Schwachstelle	Typ	Auswirkung	Reaktion
SolarWinds (2020)	Proprietär	18.000 Organisationen inkl. US-Regierung	Monate unentdeckter Zugriff
Microsoft Exchange ProxyLogon (2021)	Proprietär	250.000+ Server weltweit kompromittiert	Aktiv ausgenutzt vor dem Patch
Microsoft PrintNightmare (2021)	Proprietär	Remote Code Execution auf allen Windows-Systemen	Patch scheiterte mehrfach
Microsoft Outlook (2023)	Proprietär	Zero-click privilege escalation (NTLM relay)	Von Nationalstaaten ausgenutzt
Log4Shell (2021)	Open Source	Weitverbreitete Java-Anwendungen	Innerhalb von Tagen gepatcht
Heartbleed (2014)	Open Source	OpenSSL-Speicheroffenlegung	Innerhalb von Tagen gepatcht

Der Unterschied liegt nicht in der Häufigkeit von Schwachstellen — sondern in dem, was danach geschieht:

Aspekt	Proprietäre Software	Open-Source-Software
Entdeckung von Schwachstellen	Nur der Anbieter kann Fehler finden	Jeder kann den Code auditieren
Patch-Verifizierung	Dem Wort des Anbieters vertrauen	Die Korrektur selbst überprüfen
Patch-Zeitplan	Nach Zeitplan des Anbieters	Community kann forken und fixen
Backdoor-Erkennung	Abwesenheit unmöglich verifizierbar	Code ist öffentlich
Unabhängiges Audit	Anbieter muss Zugang gewähren	Jederzeit möglich

Die Kritik an den „vielen Augen“ hat ihre Berechtigung — doch die Lösung heißt finanzierte Sicherheitsforschung, nicht das Aufgeben von Open Source.

Derzeit erhält kritische Open-Source-Software, die von Regierungen genutzt wird, minimale Mittel für Sicherheitsforschung. Dieses Problem ist lösbar:

Investition	Zweck	Jährliche Kosten
Bug-Bounty-Programm	Anreize für die Entdeckung von Schwachstellen	€2–5 Mio.
Professionelle Audits	Formale Prüfungen durch Fraunhofer, BSI	€3–5 Mio.
Sicherheitsforschungsstipendien	CCC, universitäre Forschung	€2–3 Mio.
Schnellreaktionsteam	Koordination von Patches für regierungskritische Software	€1–2 Mio.
Gesamt	Umfassendes Sicherheitsprogramm	€8–15 Mio.

Vergleich mit dem aktuellen Ansatz:

Deutschland gibt jährlich etwa €150+ Mio. allein für Microsoft-Lizenzen der Bundesbeschäftigten aus — und erhält keinerlei überprüfbare Sicherheitszusage. Das Sicherheitsmodell lautet: Vertraue Microsoft.

Für weniger als 10 % der aktuellen Lizenzkosten könnte Deutschland ein umfassendes Open-Source-Sicherheitsprogramm finanzieren: aktive Schwachstellensuche, professionelle Code-Audits durch deutsche Institutionen, überprüfbare Sicherheit statt Anbieterversprechen und den Aufbau deutscher Sicherheitsexpertise.

Die Sicherheit proprietärer Software beruht auf blindem Vertrauen in Anbieteraussagen. Die Sicherheit von Open Source ist überprüfbar. Die Frage ist nicht, ob man „vielen Augen“ vertraut — sondern ob man sie finanziert.

[Technischer Anhang, Abschnitt 10: Sicherheitsanalyse]

“LibreOffice and Nextcloud lack critical features compared to Microsoft 365”„LibreOffice und Nextcloud fehlen entscheidende Funktionen im Vergleich zu Microsoft 365“

The Reality: Core functionality is at parity for 90% of government users. Gaps exist in specialized areas but are addressable.

Where parity exists (90% of users):

Function	Microsoft	Open Source	Status
Word processing	Word	LibreOffice Writer	Full parity for standard documents
Basic spreadsheets	Excel	LibreOffice Calc	Full parity
Email/Calendar	Outlook/Exchange	Open-Xchange/Thunderbird	Full parity
File storage/sync	OneDrive/SharePoint	Nextcloud	Full parity, superior permissions
Video conferencing	Teams	LiveKit (Visio)	Scales to 100+ participants
Chat	Teams	Matrix/Element	Superior: native E2E encryption, federation

Where gaps exist (specialized users):

Feature	Gap Severity	Workaround
Power Query/Power Pivot	High	Move ETL to proper database tools (PostgreSQL)
Complex VBA macros	High	Rewrite in Python or migrate to web applications
“Designer” AI features	Medium	Manual formatting (acceptable for government docs)
Third-party SaaS connectors	Low	Sovereign approach discourages external SaaS anyway

Real-world validation:

Schleswig-Holstein’s migration found that for standard administrative work, the open-source stack provides equivalent functionality. The 68.6% user satisfaction rate in Munich’s own surveys (before the political reversal) confirms this.

France’s deployment to 500,000+ civil servants demonstrates scale viability.

The honest assessment:

The migration from Microsoft 365 to open-source is no longer a question of software capability but of organizational maturity. For standard administrative tasks — email, documents, spreadsheets, collaboration — parity exists. For specialized data analysis, the answer is proper modernization, not spreadsheet dependency.

[Technical Annex, Section 7: Feature gap analysis]

Die Realität: Die Kernfunktionalität ist für 90% der Behördennutzer gleichwertig. Lücken bestehen in Spezialbereichen, sind jedoch adressierbar.

Wo Gleichwertigkeit besteht (90% der Nutzer):

Funktion	Microsoft	Open Source	Status
Textverarbeitung	Word	LibreOffice Writer	Volle Gleichwertigkeit für Standarddokumente
Einfache Tabellenkalkulation	Excel	LibreOffice Calc	Volle Gleichwertigkeit
E-Mail/Kalender	Outlook/Exchange	Open-Xchange/Thunderbird	Volle Gleichwertigkeit
Dateispeicher/Synchronisation	OneDrive/SharePoint	Nextcloud	Volle Gleichwertigkeit, überlegene Berechtigungsverwaltung
Videokonferenzen	Teams	LiveKit (Visio)	Skaliert auf 100+ Teilnehmer
Chat	Teams	Matrix/Element	Überlegen: native Ende-zu-Ende-Verschlüsselung, Föderation

Wo Lücken bestehen (spezialisierte Nutzer):

Funktion	Schwere der Lücke	Lösungsansatz
Power Query/Power Pivot	Hoch	ETL-Prozesse auf Datenbank-Werkzeuge verlagern (PostgreSQL)
Komplexe VBA-Makros	Hoch	Umschreiben in Python oder Migration auf Webanwendungen
„Designer“-KI-Funktionen	Mittel	Manuelle Formatierung (für Behördendokumente akzeptabel)
SaaS-Konnektoren Dritter	Niedrig	Der souveräne Ansatz vermeidet externe SaaS ohnehin

Praxisvalidierung:

Die Migration in Schleswig-Holstein ergab, dass der Open-Source-Stack für die standardmäßige Verwaltungsarbeit gleichwertige Funktionalität bietet. Die Nutzerzufriedenheitsrate von 68,6% in Münchens eigenen Umfragen (vor der politischen Kehrtwende) bestätigt dies.

Frankreichs Bereitstellung für mehr als 500.000 Beamte belegt die Skalierbarkeit.

Die ehrliche Bewertung:

Die Migration von Microsoft 365 zu Open Source ist keine Frage der Softwarefähigkeit mehr, sondern der organisatorischen Reife. Für standardmäßige Verwaltungsaufgaben — E-Mail, Dokumente, Tabellenkalkulation, Zusammenarbeit — besteht Gleichwertigkeit. Für spezialisierte Datenanalyse lautet die Antwort sachgemäße Modernisierung, nicht Tabellenkalkulationsabhängigkeit.

[Technischer Anhang, Abschnitt 7: Funktionslückenanalyse]

“Documents won’t be compatible — we’ll have chaos exchanging files with citizens and businesses”„Dokumente werden nicht kompatibel sein — der Dateiaustausch mit Bürgern und Unternehmen wird ins Chaos führen“

The Reality: The UK has mandated ODF since 2014 and it works. For 99% of users, LibreOffice handles .docx files without issues.

LibreOffice .docx compatibility:

Feature	Status
Basic formatting	✅ High — works reliably
Complex tables	✅ High — LibreOffice more capable (unlimited columns vs. 63)
Track changes	⚠️ Moderate — can corrupt in round-trips; works correctly in ODF
Embedded objects	✅ High — LO imports more formats than MS Office
VBA Macros	⚠️ Moderate — many work, complex ones may fail

As one experienced LibreOffice contributor puts it: “99.9% of users will be fine — they usually create straightforward documents.”¹⁴

The UK ODF mandate (2014 — still in effect):

The UK requires ODF 1.2 for all government document sharing and collaboration, with PDF/A for viewing. The policy was updated January 2026 and remains active. Microsoft’s global COO personally lobbied against it — and failed.¹⁵

The proven strategy (UK, Germany by 2027):

Purpose	Format
Internal work	ODF (.odt, .ods)
External publishing	PDF/A
External exchange	Send ODF; accept .docx

Critical point: The mandate applies to what government produces, not what it accepts. Citizens can still send .docx files — government converts them internally.

How Schleswig-Holstein handles it:

ODF mandatory for internal work since August 2024
~20% of workstations retain MS Office for genuine edge cases (specialized software, complex macros)
Three-tier support: Dataport (general), Schad (macros), Allotropia (LibreOffice development)
LibreOffice’s Hybrid PDF embeds full ODF inside PDF for universal viewing¹⁶

Germany’s direction: The IT Planning Council committed to ODF as the standard for all public administrations by 2027. Schleswig-Holstein is the vanguard, not an outlier.¹⁷

[Technical Annex, Section 7.5: Document interoperability strategy]

Die Realität: Das Vereinigte Königreich schreibt ODF seit 2014 vor — und es funktioniert. Für 99% der Nutzer verarbeitet LibreOffice .docx-Dateien problemlos.

LibreOffice-.docx-Kompatibilität:

Funktion	Status
Grundformatierung	✅ Hoch — funktioniert zuverlässig
Komplexe Tabellen	✅ Hoch — LibreOffice leistungsfähiger (unbegrenzte Spalten vs. 63)
Änderungsverfolgung	⚠️ Mittel — kann bei Roundtrips fehlerhaft werden; funktioniert korrekt in ODF
Eingebettete Objekte	✅ Hoch — LO importiert mehr Formate als MS Office
VBA-Makros	⚠️ Mittel — viele funktionieren, komplexe können scheitern

Wie ein erfahrener LibreOffice-Mitwirkender es formuliert: „99,9% der Nutzer werden keine Probleme haben — sie erstellen in der Regel unkomplizierte Dokumente.“¹⁴

Das UK-ODF-Mandat (2014 — weiterhin in Kraft):

Das Vereinigte Königreich schreibt ODF 1.2 für die gesamte behördliche Dokumentenweitergabe und Zusammenarbeit vor, mit PDF/A zur Ansicht. Die Richtlinie wurde im Januar 2026 aktualisiert und bleibt aktiv. Microsofts globaler COO lobbyierte persönlich dagegen — und scheiterte.¹⁵

Die bewährte Strategie (UK, Deutschland bis 2027):

Zweck	Format
Interne Arbeit	ODF (.odt, .ods)
Externe Veröffentlichung	PDF/A
Externer Austausch	ODF senden; .docx akzeptieren

Entscheidender Punkt: Das Mandat gilt für das, was die Verwaltung produziert, nicht für das, was sie akzeptiert. Bürger können weiterhin .docx-Dateien senden — die Verwaltung konvertiert sie intern.

Wie Schleswig-Holstein es handhabt:

ODF seit August 2024 für die interne Arbeit verpflichtend
~20% der Arbeitsplätze behalten MS Office für echte Sonderfälle (Spezialsoftware, komplexe Makros)
Dreistufiger Support: Dataport (allgemein), Schad (Makros), Allotropia (LibreOffice-Entwicklung)
LibreOffice Hybrid-PDF bettet vollständiges ODF in PDF ein für universelle Ansicht¹⁶

Deutschlands Kurs: Der IT-Planungsrat hat sich auf ODF als Standard für alle öffentlichen Verwaltungen bis 2027 verpflichtet. Schleswig-Holstein ist die Vorhut, kein Einzelfall.¹⁷

[Technischer Anhang, Abschnitt 7.5: Strategie für Dokumenteninteroperabilität]

“We can’t migrate because of complex Excel macros and dependencies”„Wir können wegen komplexer Excel-Makros und Abhängigkeiten nicht migrieren“

The Reality: Complex macro dependencies are technical debt requiring modernization regardless of vendor choice.

The argument that ‘we can’t migrate because of complex Excel macros’ reveals a deeper problem: critical government processes running on spreadsheets with fragile macros is a security and reliability risk regardless of vendor. These processes need modernization anyway — to proper web-based applications with audit trails, access controls, and data validation. Migration to open-source and modernization of legacy spreadsheet-processes are parallel workstreams, not sequential dependencies.

Why complex macros are a problem regardless of vendor:

Risk	Impact
Security	Macros are a primary malware vector; complex macro-dependent processes cannot be properly secured
Audit trails	Spreadsheet-based processes lack the logging and accountability required for government operations
Access controls	Spreadsheets cannot enforce proper data access permissions
Data validation	Manual spreadsheet entry lacks the validation of proper applications
Mobile access	Legacy macro-dependent spreadsheets cannot work on modern mobile devices
Continuity risk	Undocumented macros create single-points-of-failure when key staff leave

The solution path:

Process Type	Recommended Solution	Platform Dependency
Standard spreadsheet work	LibreOffice Calc	None — works identically
Complex data analysis	Modern BI tools, SQL databases	None — platform independent
Automated workflows	Web-based applications with APIs	None — runs anywhere
Custom calculations	Purpose-built tools with proper validation	None — modern architecture

The claim “we need Excel for complex macros” is not an argument for Microsoft — it is an admission that critical processes have been built on inappropriate foundations. Addressing this technical debt is necessary regardless of the operating system underneath.

[Technical Annex, Section 7.2: Legacy modernization analysis]

Die Realität: Komplexe Makro-Abhängigkeiten sind technische Schulden, die unabhängig von der Herstellerwahl modernisiert werden müssen.

Das Argument „Wir können wegen komplexer Excel-Makros nicht migrieren“ offenbart ein tieferliegendes Problem: Kritische Verwaltungsprozesse, die auf Tabellenkalkulationen mit fragilen Makros laufen, stellen unabhängig vom Hersteller ein Sicherheits- und Zuverlässigkeitsrisiko dar. Diese Prozesse müssen ohnehin modernisiert werden — hin zu ordnungsgemäßen webbasierten Anwendungen mit Prüfpfaden, Zugriffskontrollen und Datenvalidierung. Die Migration zu Open Source und die Modernisierung veralteter Tabellenkalkulations-Prozesse sind parallele Arbeitsstrecken, keine sequenziellen Abhängigkeiten.

Warum komplexe Makros herstellerunabhängig ein Problem darstellen:

Risiko	Auswirkung
Sicherheit	Makros sind ein primärer Malware-Vektor; komplexe makroabhängige Prozesse lassen sich nicht angemessen absichern
Prüfpfade	Tabellenkalkulationsbasierte Prozesse verfügen nicht über die für den Behördenbetrieb erforderliche Protokollierung und Nachvollziehbarkeit
Zugriffskontrollen	Tabellenkalkulationen können keine angemessenen Datenzugriffsberechtigungen durchsetzen
Datenvalidierung	Manuelle Tabelleneingabe bietet nicht die Validierung ordnungsgemäßer Anwendungen
Mobiler Zugriff	Veraltete makroabhängige Tabellenkalkulationen funktionieren nicht auf modernen Mobilgeräten
Kontinuitätsrisiko	Undokumentierte Makros erzeugen Einzelpunktausfälle, wenn Schlüsselpersonal ausscheidet

Der Lösungspfad:

Prozesstyp	Empfohlene Lösung	Plattformabhängigkeit
Standard-Tabellenkalkulationsarbeit	LibreOffice Calc	Keine — funktioniert identisch
Komplexe Datenanalyse	Moderne BI-Werkzeuge, SQL-Datenbanken	Keine — plattformunabhängig
Automatisierte Arbeitsabläufe	Webbasierte Anwendungen mit APIs	Keine — läuft überall
Individuelle Berechnungen	Zweckgebundene Werkzeuge mit ordnungsgemäßer Validierung	Keine — moderne Architektur

Die Behauptung „Wir brauchen Excel für komplexe Makros“ ist kein Argument für Microsoft — es ist das Eingeständnis, dass kritische Prozesse auf ungeeigneten Grundlagen aufgebaut wurden. Die Behebung dieser technischen Schulden ist unabhängig vom darunter liegenden Betriebssystem notwendig.

[Technischer Anhang, Abschnitt 7.2: Analyse der Modernisierung von Altsystemen]

“Migration will destroy jobs in the Microsoft ecosystem”„Die Migration wird Arbeitsplätze im Microsoft-Ökosystem vernichten“

The Reality: Migration creates net positive employment — but requires managed transition and honest acknowledgment of disruption.

The employment calculation:

Category	Estimate	Timeframe
Potentially displaced (hard to transfer)	5,000–8,000	Gradual over 5–7 years
Transferable with retraining	10,000–15,000	3–12 month retraining cycles
Net new jobs created	15,000–22,000	5–10 years
Net impact	+7,000 to +17,000	Over transition period

Critical context: Germany has a 109,000 IT specialist shortage (Bitkom 2025), projected to reach 663,000 by 2040. Displaced workers enter one of Europe’s tightest labor markets.¹⁸

Job transferability by role:

Role	Risk	Transferable?	Retraining
Windows sysadmins	Medium	Yes — strong Linux overlap	3–6 months
Exchange/O365 admins	High	Yes — to Open-Xchange, Nextcloud	3–9 months
.NET developers	Low-Medium	Yes — already cross-platform	3–6 months
Azure architects	Medium	Yes — Kubernetes is cloud-agnostic	3–6 months
General IT consultants	Low	Yes — vendor-agnostic skills	1–3 months
Power Platform/Dynamics	High	Low — must reskill substantially	12–18 months

Evidence from Schleswig-Holstein:

No net job losses reported. Dataport (government IT provider serving six states) grew from ~4,400 to ~5,500 employees (2022–2024), driven by federal digitalization funding (OZG) and IT consolidation—697 new hires in 2024 alone. The open-source migration created additional demand for specialized firms: Schad (Tier 3 support), Allotropia (LibreOffice development).¹⁹

Just transition requirements:

The 5,000–8,000 potentially displaced workers deserve serious policy attention:

Funded retraining programs with placement guarantees
Phased 7–10 year timeline (not sudden cutover)
Deliberate procurement from European OSS companies to ensure job creation materializes

The core argument: This is not job destruction — it is job relocation. Currently, €2.5–4 billion flows annually to US companies. Redirecting this spending to European open-source companies creates European jobs. The question is whether IT employment serves European or American interests.

[Technical Annex, Section 11: Job transition analysis]

Die Realität: Die Migration schafft netto positive Beschäftigung — erfordert jedoch einen gesteuerten Übergang und die ehrliche Anerkennung von Verwerfungen.

Die Beschäftigungsberechnung:

Kategorie	Schätzung	Zeitrahmen
Potenziell verdrängt (schwer transferierbar)	5.000–8.000	Schrittweise über 5–7 Jahre
Mit Umschulung transferierbar	10.000–15.000	3–12 Monate Umschulungszyklen
Netto neu geschaffene Stellen	15.000–22.000	5–10 Jahre
Nettoeffekt	+7.000 bis +17.000	Über den Übergangszeitraum

Entscheidender Kontext: Deutschland hat einen IT-Fachkräftemangel von 109.000 Stellen (Bitkom 2025), der bis 2040 voraussichtlich 663.000 erreichen wird. Verdrängte Arbeitskräfte treten in einen der angespanntesten Arbeitsmärkte Europas ein.¹⁸

Übertragbarkeit der Arbeitsplätze nach Rolle:

Rolle	Risiko	Übertragbar?	Umschulung
Windows-Systemadministratoren	Mittel	Ja — starke Überschneidung mit Linux	3–6 Monate
Exchange/O365-Administratoren	Hoch	Ja — zu Open-Xchange, Nextcloud	3–9 Monate
.NET-Entwickler	Niedrig-Mittel	Ja — bereits plattformübergreifend	3–6 Monate
Azure-Architekten	Mittel	Ja — Kubernetes ist Cloud-agnostisch	3–6 Monate
Allgemeine IT-Berater	Niedrig	Ja — herstellerunabhängige Kompetenzen	1–3 Monate
Power Platform/Dynamics	Hoch	Gering — erhebliche Umschulung erforderlich	12–18 Monate

Erfahrungen aus Schleswig-Holstein:

Keine Netto-Arbeitsplatzverluste gemeldet. Dataport (staatlicher IT-Dienstleister für sechs Bundesländer) wuchs von ~4.400 auf ~5.500 Beschäftigte (2022–2024), getrieben durch Bundesmittel für Digitalisierung (OZG) und IT-Konsolidierung—697 Neueinstellungen allein 2024. Die Open-Source-Migration erzeugte zusätzliche Nachfrage bei spezialisierten Firmen: Schad (Tier-3-Support), Allotropia (LibreOffice-Entwicklung).¹⁹

Anforderungen an einen gerechten Übergang:

Die 5.000–8.000 potenziell verdrängten Arbeitnehmer verdienen ernsthafte politische Aufmerksamkeit:

Geförderte Umschulungsprogramme mit Vermittlungsgarantien
Stufenweiser Zeitrahmen von 7–10 Jahren (kein abrupter Umstieg)
Gezielte Vergabe an europäische OSS-Unternehmen, um die Schaffung von Arbeitsplätzen sicherzustellen

Das Kernargument: Dies ist keine Arbeitsplatzvernichtung — es ist Arbeitsplatzverlagerung. Derzeit fließen jährlich €2,5–4 Milliarden an US-Unternehmen. Die Umleitung dieser Ausgaben zu europäischen Open-Source-Unternehmen schafft europäische Arbeitsplätze. Die Frage lautet, ob IT-Beschäftigung europäischen oder amerikanischen Interessen dient.

[Technischer Anhang, Abschnitt 11: Analyse des Arbeitsplatzübergangs]

“Microsoft is ahead on AI — Copilot gives them an innovation advantage”„Microsoft ist bei KI voraus — Copilot verschafft ihnen einen Innovationsvorteil“

The Reality: Microsoft Copilot is AI lock-in, not AI leadership.

Dimension	Microsoft Copilot	Open-Source AI Infrastructure
Model Choice	Microsoft’s model only	Any model: Mistral, Llama, Claude, or future models
Data Processing	US servers, US jurisdiction	European infrastructure, European law
Pricing Control	Microsoft sets prices unilaterally	Competitive market, self-hosting option
Model Updates	When Microsoft decides	When you decide
Training Data	Your documents may train Microsoft’s models	Your data stays yours
Vendor Exit	Lose AI capabilities entirely	Switch models, keep infrastructure

The question is not “who has AI today” but “who controls AI tomorrow.” Governments adopting Microsoft Copilot are not gaining innovation — they are surrendering control over their AI future to a single US vendor.

France’s sovereign video platform already deploys locally-hosted AI transcription and summarization, demonstrating that AI capabilities can be built on sovereign infrastructure without US vendor dependency.

Die Realität: Microsoft Copilot ist KI-Lock-in, nicht KI-Führerschaft.

Microsoft Copilot zwingt Sie, die KI eines einzigen Anbieters für €30/Nutzer/Monat zu verwenden, wobei Ihre Regierungsdaten über US-Server verarbeitet werden. Open-Source-Infrastruktur ermöglicht die Bereitstellung jedes KI-Modells — einschließlich europäischer Modelle wie Mistral — auf eigener Infrastruktur, mit Modellwechsel nach Bedarf. Microsoft bietet KI-Lock-in. Open Source bietet KI-Souveränität.

Dimension	Microsoft Copilot	Open-Source-KI-Infrastruktur
Modellauswahl	Nur Microsofts Modell	Jedes Modell: Mistral, Llama, Claude oder zukünftige Modelle
Datenverarbeitung	US-Server, US-Rechtsraum	Europäische Infrastruktur, europäisches Recht
Preiskontrolle	Microsoft setzt Preise einseitig fest	Wettbewerbsmarkt, Selbsthosting-Option
Modellaktualisierungen	Wenn Microsoft entscheidet	Wenn Sie entscheiden
Trainingsdaten	Ihre Dokumente können Microsofts Modelle trainieren	Ihre Daten bleiben Ihre
Herstellerausstieg	Vollständiger Verlust der KI-Fähigkeiten	Modelle wechseln, Infrastruktur behalten

Die Frage lautet nicht „Wer hat heute KI?“, sondern „Wer kontrolliert morgen die KI?“ Regierungen, die Microsoft Copilot übernehmen, gewinnen keine Innovation — sie übergeben die Kontrolle über ihre KI-Zukunft an einen einzigen US-Anbieter.

Frankreichs souveräne Videoplattform setzt bereits lokal gehostete KI-Transkription und -Zusammenfassung ein und demonstriert damit, dass KI-Fähigkeiten auf souveräner Infrastruktur ohne US-Anbieterabhängigkeit aufgebaut werden können.

“Microsoft’s EU Data Boundary solves the sovereignty problem”„Microsofts EU Data Boundary löst das Souveränitätsproblem“

The Reality: Data residency is not data sovereignty. The CLOUD Act applies regardless of server location.

Microsoft’s EU Data Boundary, implemented in phases from 2023–2025, promises European data stays in European data centers. This addresses data residency but not legal jurisdiction.

The legal mechanism:

The US CLOUD Act (2018) explicitly asserts jurisdiction over data held by US companies “regardless of whether such communication, record, or other information is located within or outside of the United States.”

Microsoft’s Measure	What It Addresses	What It Cannot Address
EU Data Boundary	Data residency (where stored)	Legal jurisdiction (which law applies)
Data Guardian	Rogue employee access	Valid US legal orders
External Key Management	Unauthorized access	Mandatory compliance with warrants

Microsoft’s own admission:

In 2019, Microsoft France executive Anton Carniaux testified before the French Senate’s Commission d’enquête sur la souveraineté numérique:

Senator: “Can you guarantee that French citizens’ data will not be transferred to the US government?”

Carniaux: “No, I cannot guarantee that.”¹

Historical precedent: Azure Germany failed

Microsoft previously offered a stronger solution: “Microsoft Cloud Deutschland” (2015–2021), operated by T-Systems as “data trustee.” Microsoft had no access without T-Systems approval.

It was discontinued in 2021 because:

Feature parity lag (12–18 months behind global cloud)
Ecosystem isolation (third-party apps couldn’t integrate)
Higher costs (double administrative layer)

The lesson: In the proprietary cloud model, sovereignty is inversely proportional to functionality. Microsoft’s current EU Data Boundary offering is less sovereign than the model they already abandoned as commercially unviable.

EU regulatory confirmation:

In March 2024, the European Data Protection Supervisor found the European Commission itself in violation of EU privacy law for using Microsoft 365, recommending suspension of data flows and a comprehensive assessment of alternatives.⁶

If the EU’s own executive body cannot use Microsoft 365 in compliance with EU law, the “sovereignty” claims are demonstrably false.

[Technical Annex, Section 9: Complete legal analysis]

Die Realität: Datenresidenz ist nicht Datensouveränität. Der CLOUD Act gilt unabhängig vom Serverstandort.

Microsofts EU Data Boundary, phasenweise von 2023–2025 umgesetzt, verspricht, dass europäische Daten in europäischen Rechenzentren verbleiben. Dies adressiert die Datenresidenz, nicht jedoch die rechtliche Jurisdiktion.

Der rechtliche Mechanismus:

Der US CLOUD Act (2018) beansprucht ausdrücklich die Jurisdiktion über Daten, die von US-Unternehmen gehalten werden, „unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder sonstige Information innerhalb oder außerhalb der Vereinigten Staaten befindet.“

Microsofts Maßnahme	Was sie adressiert	Was sie nicht adressieren kann
EU Data Boundary	Datenresidenz (wo gespeichert)	Rechtliche Jurisdiktion (welches Recht gilt)
Data Guardian	Unbefugter Mitarbeiterzugriff	Gültige US-Rechtsanordnungen
Externes Schlüsselmanagement	Unbefugter Zugriff	Verpflichtende Befolgung von Durchsuchungsbeschlüssen

Microsofts eigenes Eingeständnis:

2019 sagte der Microsoft-France-Manager Anton Carniaux vor der Commission d’enquête sur la souveraineté numérique des französischen Senats aus:

Senator: „Können Sie garantieren, dass die Daten französischer Bürger nicht an die US-Regierung übermittelt werden?“

Carniaux: „Nein, das kann ich nicht garantieren.“¹

Historischer Präzedenzfall: Azure Deutschland ist gescheitert

Microsoft bot zuvor eine stärkere Lösung an: „Microsoft Cloud Deutschland“ (2015–2021), betrieben von T-Systems als „Datentreuhänder“. Microsoft hatte ohne Zustimmung von T-Systems keinen Zugriff.

Die Lösung wurde 2021 eingestellt, weil:

Funktionsrückstand (12–18 Monate hinter der globalen Cloud)
Ökosystem-Isolation (Drittanbieter-Apps konnten nicht integriert werden)
Höhere Kosten (doppelte Verwaltungsebene)

Die Lehre: Im proprietären Cloud-Modell ist Souveränität umgekehrt proportional zur Funktionalität. Microsofts aktuelles EU-Data-Boundary-Angebot ist weniger souverän als das Modell, das sie bereits als kommerziell nicht tragfähig aufgegeben haben.

Regulatorische Bestätigung der EU:

Im März 2024 stellte der Europäische Datenschutzbeauftragte fest, dass die Europäische Kommission selbst bei der Nutzung von Microsoft 365 gegen EU-Datenschutzrecht verstößt, und empfahl die Aussetzung der Datenübermittlungen sowie eine umfassende Prüfung von Alternativen.⁶

Wenn das Exekutivorgan der EU selbst Microsoft 365 nicht in Übereinstimmung mit EU-Recht nutzen kann, sind die „Souveränitäts“-Behauptungen nachweislich falsch.

[Technischer Anhang, Abschnitt 9: Vollständige Rechtsanalyse]

Summary: The Pattern in These ObjectionsZusammenfassung: Das Muster dieser Einwände

Most objections to open-source migration share a common structure:

Identify a genuine challenge (security, features, transition)
Assume the challenge is unique to open source (it is not)
Ignore that the status quo has the same or worse problems (it does)
Conclude that change is too risky (the evidence says otherwise)

The honest comparison is not “perfect Microsoft vs. flawed open-source.” It is:

Challenge	Microsoft Reality	Open-Source Reality
Security vulnerabilities	Yes, and unverifiable	Yes, but auditable and fundable
Feature gaps	Some areas stronger	Some areas stronger
Transition costs	Sunk cost fallacy	Real but recoverable in 3–5 years
Vendor dependency	Absolute and increasing	Limited and escapable
Price control	None — vendor dictates	Competitive market
Data sovereignty	Subject to US law	European control
AI future	Locked to Microsoft’s roadmap	Open to any model
Job impact	Concentrated in US	Distributed in Europe

The question is not whether open-source is perfect. The question is whether continued dependence on US proprietary vendors serves European interests.

The evidence says it does not.

Die meisten Einwände gegen die Open-Source-Migration weisen eine gemeinsame Struktur auf:

Eine echte Herausforderung benennen (Sicherheit, Funktionen, Übergang)
Annehmen, die Herausforderung sei Open Source vorbehalten (ist sie nicht)
Ignorieren, dass der Status quo dieselben oder schlimmere Probleme hat (hat er)
Schlussfolgern, dass Veränderung zu riskant sei (die Evidenz besagt das Gegenteil)

Der ehrliche Vergleich lautet nicht „perfektes Microsoft vs. mangelhaftes Open Source“. Er lautet:

Herausforderung	Microsoft-Realität	Open-Source-Realität
Sicherheitslücken	Ja, und nicht überprüfbar	Ja, aber auditierbar und finanzierbar
Funktionslücken	In einigen Bereichen stärker	In einigen Bereichen stärker
Übergangskosten	Trugschluss der versunkenen Kosten	Real, aber in 3–5 Jahren amortisiert
Herstellerabhängigkeit	Absolut und zunehmend	Begrenzt und überwindbar
Preiskontrolle	Keine — Anbieter diktiert	Wettbewerbsmarkt
Datensouveränität	US-Recht unterworfen	Europäische Kontrolle
KI-Zukunft	An Microsofts Roadmap gebunden	Offen für jedes Modell
Arbeitsplatzauswirkung	In den USA konzentriert	In Europa verteilt

Die Frage ist nicht, ob Open Source perfekt ist. Die Frage ist, ob die fortgesetzte Abhängigkeit von proprietären US-Anbietern europäischen Interessen dient.

Die Evidenz sagt: Nein.

Appendix: Industry Lobbying Activity — Public Record

The following data is compiled from official registers and public disclosures. It is presented for transparency, not to suggest impropriety—lobbying is legal and normal in democratic systems.

Registered Lobbying Expenditure

Entity	Jurisdiction	Annual Spend	Source
Microsoft Deutschland GmbH	Germany (Bundestag)	€1.67 million · 7+ lobbyists	Lobbyregister (current); €3.05M in FY 2021/22
Microsoft Corporation	EU (Brussels)	€7–8 million · 15 lobbyists (8 EP-accredited, 6.3 FTE)	EU Transparency Register (FY 2024/25, updated Dec 2025)
Big Tech total	EU (Brussels)	€151 million · 890 lobbyists	Corporate Europe Observatory 2025

Microsoft Political Network (Germany)

Organization	Political Alignment	Type
Wirtschaftsrat der CDU	CDU/CSU	Business association
Wirtschaftsforum der SPD	SPD	Business association
Atlantik-Brücke	Cross-party / Transatlantic	Policy network
Bitkom	Industry	Trade association
Grüner Wirtschaftsdialog	Grüne	Business dialogue
Initiative D21	Cross-party	Digital policy partnership

Source: LobbyControl, Lobbypedia

Industry Association Positions

Association	Position on OSS Mandates	Key Members
Bitkom	Supportive with caveats—warns against “isolationist approaches”	Microsoft, SAP, Google, Telekom
BSA (Business Software Alliance)	Opposes mandatory OSS preferences	Microsoft, Adobe, Oracle, SAP
DigitalEurope	Opposes restrictive procurement rules	Google, Microsoft, Apple, Amazon
OSBA	Strongly supports—demands “open source by default”	260+ German OSS companies

Recent Public Statements

Speaker	Position	Statement	Context
Kent Walker	President, Google Global Affairs	“Erecting walls that make it harder to use some of the best technology in the world would actually be counter-productive.”	Financial Times, Feb 13, 2026
Börje Ekholm	CEO, Ericsson	“I don’t believe the continent has the capacity to become sovereign today”	Davos, Jan 2026
Aiman Ezzat	CEO, Capgemini	“There is no such thing as absolute sovereignty. Nobody has it.”	Reuters, Feb 2026

Notable Events

Year	Event	Relevance
2013	Microsoft announces German HQ relocation to Munich (1,800 jobs)	During LiMux political debate
2014	Dieter Reiter elected Munich mayor; had described himself as “Microsoft fan”	LiMux reversal followed
2017	Munich council votes to reverse LiMux migration	Cost: €86+ million
2020	Munich re-adopts “Public Money, Public Code” policy	Under new Green-SPD coalition

This summary presents publicly documented activity. Policymakers can draw their own conclusions about how these dynamics may influence the arguments they encounter.

[Technical Annex, Section 12: Political Economy Analysis]

Anhang: Lobbying-Aktivitäten der Industrie — Öffentliche Aufzeichnungen

Die folgenden Daten stammen aus offiziellen Registern und öffentlichen Offenlegungen. Sie werden aus Transparenzgründen präsentiert, nicht um Fehlverhalten zu unterstellen—Lobbying ist in demokratischen Systemen legal und normal.

Registrierte Lobbyausgaben

Einheit	Jurisdiktion	Jährliche Ausgaben	Quelle
Microsoft Deutschland GmbH	Deutschland (Bundestag)	€1,67 Mio. · 7+ Lobbyisten	Lobbyregister (aktuell); €3,05 Mio. in GJ 2021/22
Microsoft Corporation	EU (Brüssel)	€7–8 Mio. · 15 Lobbyisten (8 EP-akkreditiert, 6,3 VZÄ)	EU-Transparenzregister (GJ 2024/25, Stand Dez. 2025)
Big Tech gesamt	EU (Brüssel)	€151 Mio. · 890 Lobbyisten	Corporate Europe Observatory 2025

Microsofts politisches Netzwerk (Deutschland)

Organisation	Politische Zuordnung	Typ
Wirtschaftsrat der CDU	CDU/CSU	Wirtschaftsverband
Wirtschaftsforum der SPD	SPD	Wirtschaftsverband
Atlantik-Brücke	Parteiübergreifend / Transatlantisch	Politisches Netzwerk
Bitkom	Industrie	Branchenverband
Grüner Wirtschaftsdialog	Grüne	Wirtschaftsdialog
Initiative D21	Parteiübergreifend	Digitalpolitische Partnerschaft

Quelle: LobbyControl, Lobbypedia

Positionen der Branchenverbände

Verband	Position zu OSS-Vorgaben	Wichtige Mitglieder
Bitkom	Unterstützend mit Vorbehalten—warnt vor „isolationistischen Ansätzen“	Microsoft, SAP, Google, Telekom
BSA (Business Software Alliance)	Gegen verpflichtende OSS-Präferenzen	Microsoft, Adobe, Oracle, SAP
DigitalEurope	Gegen restriktive Vergaberegeln	Google, Microsoft, Apple, Amazon
OSBA	Stark unterstützend—fordert „Open Source by Default“	260+ deutsche OSS-Unternehmen

Öffentliche Stellungnahmen

Sprecher	Position	Aussage	Kontext
Kent Walker	President, Google Global Affairs	„Mauern zu errichten, die es schwerer machen, die beste Technologie der Welt zu nutzen, wäre tatsächlich kontraproduktiv.“	Financial Times, 13. Feb. 2026
Börje Ekholm	CEO, Ericsson	„Ich glaube nicht, dass der Kontinent heute die Kapazität hat, souverän zu werden“	Davos, Jan. 2026
Aiman Ezzat	CEO, Capgemini	„So etwas wie absolute Souveränität gibt es nicht. Niemand hat sie.“	Reuters, Feb. 2026

Bemerkenswerte Ereignisse

Jahr	Ereignis	Relevanz
2013	Microsoft kündigt Verlegung des deutschen Hauptsitzes nach München an (1.800 Arbeitsplätze)	Während der LiMux-Debatte
2014	Dieter Reiter wird Oberbürgermeister von München; hatte sich als „Microsoft-Fan“ bezeichnet	LiMux-Rückumstellung folgte
2017	Münchner Stadtrat stimmt für Rückumstellung der LiMux-Migration	Kosten: €86+ Millionen
2020	München bekennt sich erneut zu „Public Money, Public Code“	Unter neuer Grün-SPD-Koalition

Diese Zusammenfassung präsentiert öffentlich dokumentierte Aktivitäten. Entscheidungsträger können ihre eigenen Schlüsse ziehen, wie diese Dynamiken die Argumente beeinflussen, denen sie begegnen.

[Technischer Anhang, Abschnitt 12: Politisch-ökonomische Analyse]

EndnotesEndnoten

French Senate testimony, Anton Carniaux (Microsoft France), 2019. Commission d’enquête sur la souveraineté numérique. [Technical Annex, Section 9.4]
Bundestag Drucksache 20/9641, Federal IT framework contracts analysis. [Technical Annex, Section 1.2]
Dataport Geschäftsbericht 2022, financial structure analysis. [Technical Annex, Section 1.7]
EU Commission/Fraunhofer OSS Impact Study, 2021. [Technical Annex, Section 8]
Microsoft Germany price lists 2015–2024; Heise, WindowsPro, partner documentation. [Technical Annex, Section 3]
EDPS Decision, March 8, 2024, European Commission vs. Regulation (EU) 2018/1725. [Technical Annex, Section 9.5]
LobbyControl Lobbyreport 2024; EU Transparency Register; Corporate Europe Observatory. [Technical Annex, Section 12.1–12.2]
Kent Walker interview, Javier Espinoza, “Google warns EU against ‘erecting walls’ in tech sovereignty push,” Financial Times, February 13, 2026. [Technical Annex, Section 12.4]
Davos World Economic Forum coverage, January 2026. [Technical Annex, Section 12.4]
Munich LiMux documentation; Heise.de; Council documents. [Technical Annex, Section 6.3]
Schleswig-Holstein state announcements; Digital Minister Schrödter statements. [Technical Annex, Section 6.2]
Accenture Munich LiMux audit, 2016; user satisfaction survey data. [Technical Annex, Section 6.3]
EU OSOR Report 2012; German Foreign Office migration analysis. [Technical Annex, Section 6.6]
LibreOffice community documentation; Reddit r/libreoffice. [Technical Annex, Section 7.5]
UK Cabinet Office ODF mandate, 2014; gov.uk update January 2026. [Technical Annex, Section 7.5]
TDF Migration Protocol; Schleswig-Holstein implementation documentation. [Technical Annex, Section 7.5]
Germany IT Planning Council, 48th meeting, November 2025. [Technical Annex, Section 7.5]
Bitkom IT workforce study, August 2025. [Technical Annex, Section 11.2]
Schleswig-Holstein migration reports; Dataport expansion. [Technical Annex, Section 11.3]

Aussage vor dem französischen Senat, Anton Carniaux (Microsoft France), 2019. Commission d’enquête sur la souveraineté numérique. [Technischer Anhang, Abschnitt 9.4]
Bundestag Drucksache 20/9641, Analyse der IT-Rahmenverträge des Bundes. [Technischer Anhang, Abschnitt 1.2]
Dataport Geschäftsbericht 2022, Finanzstrukturanalyse. [Technischer Anhang, Abschnitt 1.7]
EU-Kommission/Fraunhofer-OSS-Wirkungsstudie, 2021. [Technischer Anhang, Abschnitt 8]
Microsoft-Deutschland-Preislisten 2015–2024; Heise, WindowsPro, Partnerdokumentation. [Technischer Anhang, Abschnitt 3]
EDSB-Entscheidung, 8. März 2024, Europäische Kommission vs. Verordnung (EU) 2018/1725. [Technischer Anhang, Abschnitt 9.5]
LobbyControl Lobbyreport 2024; EU-Transparenzregister; Corporate Europe Observatory. [Technischer Anhang, Abschnitt 12.1–12.2]
Kent Walker Interview, Javier Espinoza, „Google warns EU against ‘erecting walls’ in tech sovereignty push,“ Financial Times, 13. Februar 2026. [Technischer Anhang, Abschnitt 12.4]
Berichterstattung über das Weltwirtschaftsforum Davos, Januar 2026. [Technischer Anhang, Abschnitt 12.4]
Münchner LiMux-Dokumentation; Heise.de; Ratsdokumente. [Technischer Anhang, Abschnitt 6.3]
Ankündigungen des Landes Schleswig-Holstein; Aussagen von Digitalministerin Schrödter. [Technischer Anhang, Abschnitt 6.2]
Accenture-Prüfbericht Münchner LiMux, 2016; Daten der Nutzerzufriedenheitsumfrage. [Technischer Anhang, Abschnitt 6.3]
EU-OSOR-Bericht 2012; Migrationsanalyse des Auswärtigen Amtes. [Technischer Anhang, Abschnitt 6.6]
LibreOffice-Community-Dokumentation; Reddit r/libreoffice. [Technischer Anhang, Abschnitt 7.5]
UK Cabinet Office ODF-Mandat, 2014; gov.uk-Aktualisierung Januar 2026. [Technischer Anhang, Abschnitt 7.5]
TDF-Migrationsprotokoll; Umsetzungsdokumentation Schleswig-Holstein. [Technischer Anhang, Abschnitt 7.5]
IT-Planungsrat, 48. Sitzung, November 2025. [Technischer Anhang, Abschnitt 7.5]
Bitkom-IT-Fachkräftestudie, August 2025. [Technischer Anhang, Abschnitt 11.2]
Migrationsberichte Schleswig-Holstein; Dataport-Erweiterung. [Technischer Anhang, Abschnitt 11.3]

What Is Open Source Software?Was ist Open-Source-Software? A brief introduction for non-technical readersEine kurze Einführung für Nicht-Techniker

Every piece of software is built from source code—the human-readable instructions that tell a computer what to do. The question is: who gets to see those instructions?

	Proprietary Software	Open Source Software
Source code	Secret. Only the vendor can see, change, or audit it.	Public. Anyone can read, audit, and improve it.
Who builds it	One company’s employees, behind closed doors.	Thousands of developers worldwide—companies, universities, governments, individuals.
How you get it	You rent a license. The vendor can change terms, raise prices, or revoke access.	You own it. Download, use, modify, and share—permanently, with no license fees. Deployment and support cost money, but on your terms.
Security	Trust the vendor’s promise. You cannot verify.	Trust but verify. Security researchers worldwide can check for vulnerabilities.
Support	One vendor, their terms, their timeline.	Choose from multiple service providers. Switch if unhappy.

An analogy

Proprietary software is like renting an apartment where you are not allowed to change the locks, cannot verify what the landlord does with your spare key, and face a price increase every year. Open source software is like owning your home—you hold the keys, you choose your own locksmith, and no one can raise the rent.

How open source development works

Open source is not software written by hobbyists in their spare time. It is a professional development model used by the world’s largest technology companies.

A project is started — by a company, a government, or a community. The code is published publicly.
Others contribute — developers around the world propose improvements. Each change is reviewed by experienced maintainers before being accepted.
Companies build on top — firms like Red Hat, SUSE, Nextcloud, or Collabora offer professional support, hosting, and customization. They compete on service quality, not on locking you in.
Everyone benefits — improvements made by one user are available to all. A security fix funded by Germany benefits France. A feature built for healthcare works for education.

You already use open source every day.

The internet runs on open source (Linux servers, Apache/nginx web servers). Your Android phone runs on Linux. Netflix, Amazon, and Google all run on open source. Wikipedia is open source. Firefox is open source. Even Microsoft’s own cloud (Azure) runs on Linux. Open source is not the alternative—it is the foundation on which modern technology is built.

What “free” means

Open source is “free as in freedom, not free as in free beer.” The software itself costs nothing to use. But professional deployment, support, training, and customization cost money—just like with proprietary software. The difference: that money goes to competitive service providers, not to a single monopolist’s license fees.

When a government pays for open source, it pays for services and expertise—building local skills, creating local jobs. When it pays for proprietary licenses, most of that money leaves the country as rent.

Some open-source projects offer paid enterprise tiers with additional features (Nextcloud, GitLab, Collabora). This is known as “open core.” The base code remains open and forkable—no vendor can take that away. But governments should budget for enterprise support contracts, just as they do for proprietary software today.

Jede Software besteht aus Quellcode—den für Menschen lesbaren Anweisungen, die einem Computer sagen, was er tun soll. Die Frage ist: Wer darf diese Anweisungen sehen?

	Proprietäre Software	Open-Source-Software
Quellcode	Geheim. Nur der Anbieter kann ihn einsehen, ändern oder prüfen.	Öffentlich. Jeder kann ihn lesen, prüfen und verbessern.
Wer entwickelt	Mitarbeiter eines einzelnen Unternehmens, hinter verschlossenen Türen.	Tausende Entwickler weltweit—Unternehmen, Universitäten, Behörden, Einzelpersonen.
Wie man sie erhält	Man mietet eine Lizenz. Der Anbieter kann Bedingungen ändern, Preise erhöhen oder den Zugang entziehen.	Man besitzt sie. Herunterladen, nutzen, anpassen und teilen—dauerhaft, ohne Lizenzgebühren. Betrieb und Support kosten Geld, aber zu eigenen Bedingungen.
Sicherheit	Vertrauen auf das Versprechen des Anbieters. Keine eigene Überprüfung möglich.	Vertrauen und überprüfen. Sicherheitsforscher weltweit können nach Schwachstellen suchen.
Support	Ein Anbieter, seine Bedingungen, sein Zeitplan.	Auswahl aus mehreren Dienstleistern. Wechsel bei Unzufriedenheit.

Eine Analogie

Proprietäre Software ist wie eine Mietwohnung, in der man die Schlösser nicht wechseln darf, nicht überprüfen kann, was der Vermieter mit dem Zweitschlüssel macht, und jedes Jahr eine Mieterhöhung hinnehmen muss. Open-Source-Software ist wie ein Eigenheim—man hat die Schlüssel, wählt seinen Schlosser selbst, und niemand kann die Miete erhöhen.

Wie Open-Source-Entwicklung funktioniert

Open Source ist nicht Software, die von Hobbyisten in ihrer Freizeit geschrieben wird. Es ist ein professionelles Entwicklungsmodell, das von den größten Technologieunternehmen der Welt eingesetzt wird.

Ein Projekt wird gestartet — von einem Unternehmen, einer Behörde oder einer Community. Der Code wird öffentlich veröffentlicht.
Andere tragen bei — Entwickler weltweit schlagen Verbesserungen vor. Jede Änderung wird von erfahrenen Maintainern geprüft, bevor sie akzeptiert wird.
Unternehmen bauen darauf auf — Firmen wie Red Hat, SUSE, Nextcloud oder Collabora bieten professionellen Support, Hosting und Anpassung. Sie konkurrieren über Servicequalität, nicht über Anbieterbindung.
Alle profitieren — Verbesserungen eines Nutzers stehen allen zur Verfügung. Ein von Deutschland finanzierter Sicherheitsfix nützt Frankreich. Eine für das Gesundheitswesen entwickelte Funktion funktioniert auch im Bildungsbereich.

Sie nutzen Open Source bereits jeden Tag.

Das Internet läuft auf Open Source (Linux-Server, Apache/nginx-Webserver). Ihr Android-Handy läuft auf Linux. Netflix, Amazon und Google laufen alle auf Open Source. Wikipedia ist Open Source. Firefox ist Open Source. Selbst Microsofts eigene Cloud (Azure) läuft auf Linux. Open Source ist nicht die Alternative—es ist das Fundament, auf dem moderne Technologie gebaut ist.

Was „frei“ bedeutet

Open Source ist „frei wie in Freiheit, nicht frei wie in Freibier.“ Die Software selbst kostet nichts. Aber professionelle Bereitstellung, Support, Schulung und Anpassung kosten Geld—genau wie bei proprietärer Software. Der Unterschied: Dieses Geld fließt an wettbewerbsfähige Dienstleister, nicht an die Lizenzgebühren eines einzelnen Monopolisten.

Wenn eine Regierung für Open Source bezahlt, bezahlt sie für Dienstleistungen und Kompetenz—und baut damit lokale Fähigkeiten und Arbeitsplätze auf. Wenn sie für proprietäre Lizenzen bezahlt, fließt der Großteil des Geldes als Miete ins Ausland.

Einige Open-Source-Projekte bieten kostenpflichtige Enterprise-Versionen mit Zusatzfunktionen an (Nextcloud, GitLab, Collabora). Das nennt sich „Open Core.“ Der Basiscode bleibt offen und forkbar—kein Anbieter kann das wegnehmen. Aber Regierungen sollten Enterprise-Support-Verträge einplanen, genau wie heute bei proprietärer Software.

Technical AnnexTechnischer Anhang Evidence Base, Methodology & Detailed AnalysisEvidenzbasis, Methodik & detaillierte Analyse

Annex 1

Public Sector IT Spending Analysis

1.1 Germany — Complete Breakdown

Level	Annual IT Spending	Employees	Source
Federal (Bund)	€1.2–1.5 billion	~500,000	Parliamentary data
States (16 Länder)	€6–7 billion	~2,000,000	Bitkom Länderindex
Municipalities (11,000+)	€4–5 billion	~1,500,000	WIK Study
TOTAL	€12–17 billion	~4,000,000	CIO.de

1.2 Federal Framework Contracts — Complete Breakdown

Rank	Vendor	Contract Value	Period	Annual Equivalent	Country
1	Oracle	€4.64 billion	2023–2030	~€660 million	USA
2	IBM/Fujitsu	€1.46 billion	2020–2024	~€365 million	USA/Japan
3	Hardware Integrator	€1.37 billion	2020–2027	~€196 million	Mixed
4	Microsoft	€1.28 billion	2021–2025	~€320 million	USA
5	Secunet	€1.19 billion	2022–2029	~€170 million	Germany
6	Software Development	€1.07 billion	2022–2027	~€214 million	Mixed
7	IT Security/Storage	€0.97 billion	2019–2027	~€121 million	Mixed
8	Cisco	€0.77 billion	2021–2027	~€128 million	USA
9	NetApp	€0.45 billion	2021–2025	~€113 million	USA
10	Consulting	€0.39 billion	2019–2026	~€56 million	Mixed
	TOTAL	€13.63 billion

Source: Bundestag Drucksache 20/9641.

1.3 Vendor Origin Analysis

Category	Share	Contract Volume
US Vendors (Oracle, Microsoft, Cisco, NetApp, IBM)	~65%	~€8.9 billion
Mixed/International	~23%	~€3.1 billion
German (Secunet only)	~9%	~€1.2 billion
Japanese (Fujitsu, shared)	~3%	~€0.4 billion

Key Finding: 88% of federal IT spending flows to non-European vendors. Only Secunet represents significant German participation in top contracts.

1.4 Federal Microsoft Spending Progression

Year	Annual Spend	Change from 2015	Source
2015	€43.5 million	Baseline	BMI data
2017	€74 million	+70%	Heise
2023	€274.1 million	+530%	Heise
2025	€481.4 million	+1,006%*	Heise

Source: Heise.de. *Note: The 2015 baseline (€43.5M) and 2025 figure (€481.4M) derive from different-scope parliamentary inquiries. Same-scope comparison yields +370% (€43.5M → €204.5M). The €481.4M figure includes expanded contract scope.

1.5 Important Notes on Contract Values

Values represent contract ceilings (maximum possible spend), not guaranteed annual budgets
Actual 2023 federal IT spending: approximately €1.2 billion (narrow scope); BMI reports total federal IT budget of ~€3B+ including broader categories
Contract values are multi-year totals

1.6 Category Breakdown (KGSt Benchmarks)

Category	Share of Budget	Volume (at €15B)
IT Services (Operations, Support, Consulting)	50–55%	€7.5–8.5 billion
Software Licenses	25–30%	€3.8–4.5 billion
Hardware/Infrastructure	15–20%	€2.3–3.0 billion

1.7 The Pass-Through Economy

When municipalities pay regional IT providers like Dataport (€1.4 billion revenue, 2024):

Cost Category	Percentage	Destination
Personnel	35–40%	Local (Germany)
Software Licenses	25–30%	Primarily US vendors
Hardware	15–20%	Mixed (Asia manufacturing)
Infrastructure/Other	15–20%	Mixed

Key Finding: Under IFRS 15, resellers retain only 2–5% margin on software licenses—95–98% of licensing payments pass directly through to US vendors. Much of what appears as “German IT services” is simply a payment channel.

Source: Dataport Geschäftsbericht 2022.

Annex 2

Software Component Breakdown & Addressability

2.1 Software Segment Breakdown

Software Type	Share of Software Budget	Volume	OSS Addressability
Standard Software (OS, Office, databases)	~40%	~€1.8 billion	High (80–90%)
Fachverfahren (specialized govt apps)	~60%	~€2.7 billion	Low–Medium (10–20%)

Source: KGSt (Kommunale Gemeinschaftsstelle) municipal IT benchmarks. 80–90% addressability for standard users per ZenDiS CEO; contingent on web-first (browser-based) delivery model.

2.2 Addressable Market Calculation (Germany)

Category	Total Volume	Addressability Factor	Addressable Value
Standard Software	€1.8 billion	80%	€1.44 billion
Fachverfahren	€2.7 billion	20% (long-term)	€0.54 billion
Hardware (extend life)	€3.0 billion	5%	€0.15 billion
IT Services (redirect)	€7.5 billion	25%	€1.88 billion
TOTAL	€15 billion	~26%	€2.5–4 billion

2.3 Standard Software — Production-Ready Alternatives

Component	Current Vendor	Open Alternative	Deployment Scale	Maturity
Desktop OS	Windows 10/11	Linux (Ubuntu, RHEL)	Schleswig-Holstein: 30,000 workstations	Production-ready
Office Suite	Microsoft 365	LibreOffice, Collabora Online	France: 500,000+ users	Production-ready
Email/Groupware	Exchange/Outlook	Open-Xchange, Thunderbird	Schleswig-Holstein: 40,000 mailboxes	Production-ready
Collaboration	SharePoint, OneDrive	Nextcloud Hub	Multiple EU governments	Production-ready
Video Conferencing	Teams, Zoom, Webex	Jitsi, LiveKit	France Visio: 40,000+ tested, mandatory since Jan 2026; Tchap: 600,000+	Production-ready
Communication	Teams	Matrix/Element	French Tchap, German BundesMessenger	Production-ready
Identity	Azure AD (Entra)	Univention (UCS), Keycloak	German public sector	Production-ready
Database	Oracle, SQL Server	PostgreSQL, MariaDB	Industry standard	Production-ready
Virtualization	VMware	KVM, Proxmox, OpenStack	Global deployment	Production-ready

Key Finding: These are not “catching up” to proprietary software — in many domains they ARE the industry standard. Linux powers 90% of cloud servers and 100% of TOP500 supercomputers.

2.4 Fachverfahren (Specialized Applications) Analysis

Issue	Impact	Modernization Requirement
Desktop dependency	Cannot run on mobile devices	Web-based architecture
Legacy security	Lack modern security architecture	Zero-trust redesign
Platform lock	Block cloud migration	Containerization
Infrastructure cost	Require expensive legacy infrastructure	Modern deployment

Strategic implication: Refactoring to web-based systems (HTML5/React frontends, containerized backends) addresses these issues while enabling platform independence.

Annex 3

Microsoft Pricing Analysis

3.1 Office 365 E3 License Price History (Germany/EU)

Year	Monthly (per user)	Annual (per user)	Change vs 2015	Change vs 2020	Event
2015	€19.70	€236.40	Baseline	—	Post-August EUR adjustment
2018	€19.70	€236.40	0%	—	No change
2020	€19.70	€236.40	0%	Baseline	No change
2022	€22.60	€271.20	+14.7%	+14.7%	March 2022 global increase
2024	€25.10	€301.00	+27.3%	+27.3%	April 2023 FX harmonization

Source: Microsoft Germany price lists.

3.2 Price Increase Events

Date	Event	Impact
August 2015	Euro-zone cloud price alignment	+10% across Office 365
March 2022	First global commercial price increase in decade	O365 E3: +15% (USD), +14.7% (EUR)
April 2023	Euro currency harmonization	+11% across all EUR cloud products
July 2026	Announced M365 E3 increase	+8.3% (E3); range 5.3–16.7% — O365 E3: €301 → ~€326/user/year

3.3 Comparison with IT Inflation

Metric	2020–2024 Change
Microsoft O365 E3	+27.3%
Microsoft M365 E3	+24.8%
IT Service Inflation (Lünendonk)	~19% (4.5%/year avg)
Microsoft Premium Above Market	+8 percentage points

3.4 Lock-In Pricing Dynamics

The pattern demonstrates classic lock-in pricing:

Initial phase: Competitive pricing to win contracts
Expansion phase: Add users and services at marginal cost
Lock-in phase: Raise prices above market inflation
Extraction phase: Customers cannot leave; prices escalate

Key Finding: Microsoft’s 27.3% price increase vs. 19% market inflation represents an 8 percentage point “lock-in premium.”

Annex 4

Open Source Cost Analysis

4.1 Direct License Comparison

Solution	Annual Cost (per user)	vs Microsoft E3
Microsoft Office 365 E3	€301	Baseline
Nextcloud Enterprise (Basic, 100+ users)	€69	-77%
Nextcloud Enterprise (Standard, 100+ users)	€105	-65%
Collabora Office (LibreOffice enterprise)	€21–25	-92%
Nextcloud Talk (Standard, 100+ users)	€42	—
Open-Xchange (email/groupware)	~€50–80	—
Full Open-Source Stack	~€130–150	-50–57%

Source: Nextcloud.com/de/preise; Collabora partners.

4.2 Schleswig-Holstein Actual Costs

Solution	Annual Cost	Users	Per-User
Open-Xchange	€3.54 million	40,000	€88.50
Nextcloud	€1.38 million	30,000	€46.00
Combined	€4.92 million	—	~€135

Source: Schleswig-Holstein state budget documents.

4.3 Total Cost of Ownership Considerations

Cost Category	Microsoft Model	Open Source Model
Licensing	High, escalating	Low, stable
Implementation	Vendor-managed	Requires investment
Training	Minimal (familiar)	Moderate investment
Support	Included	Requires contracts or internal
Customization	Limited	Unlimited
Exit costs	Very high	Low
Long-term trajectory	Escalating	Declining

4.4 Funding Comparison

Annual Investment	Amount
Germany → Microsoft (triangulated)	~€2.0–2.5 billion*
Germany → ZenDiS (2025)	€4.1 million
Ratio	0.2%

Annex 5

Citizen Services Benchmarks

5.1 Tax Compliance Burden

Germany’s personal income tax compliance system imposes one of the highest burdens in Europe. The BMF Expert Commission found that the average taxpayer spends 9–10 hours annually (range: 6–20 hours depending on complexity) on preparation, documentation, and submission of their return.

Economic Cost Breakdown (Standard Cost Model)

Component	Calculation	Annual Cost
Time cost (opportunity cost of hours lost)	43M taxpayers × 9.5 hrs × €24.50/hr	€10.0 billion
Direct costs (software, postage, advisor fees)	43M taxpayers × €106 avg	€4.56 billion
Total compliance burden		€14.6 billion

Source: BMF Expert Commission “Bürgernahe Einkommensteuer”; Destatis (average gross hourly wage 2024: €24.50; taxpayer population: ~43M); Benzarti & Wallossek (2024).

Input Variables

Variable	Value	Source
Taxpaying population	~43 million	Destatis / BMF
Average time per return	9.5 hours (range: 6–20)	BMF Commission
Average gross hourly wage	€24.50	Destatis (2024 average)
Average direct cost per taxpayer	€106	BMF Commission
Registered tax advisors (Steuerberater)	~89,000	Bundessteuerberaterkammer (2025)
Households using professional advisors	30–50%	Industry surveys

Where the Time Goes (9.5-Hour Average)

Phase	Hours	Activities
Archiving & record keeping	4–5	Collecting receipts (Werbungskosten), commute logs, home office tracking
Information retrieval & preparation	2–3	Reviewing wage certificates, researching law changes, gathering Bescheinigungen
Form completion & submission	2–3	Data entry via ELSTER or software (Mantelbogen + Anlagen N, Vorsorge, KAP, Kind…)
Post-filing review	0.5–1	Checking Steuerbescheid, filing Einsprüche if needed

International Comparison — Personal Income Tax Filing

Country	Time to File	Filing Model	Pre-Filling	Key Platform
Germany	9–10 hours	Active self-assessment	Partial (wages, insurance — must be imported)	ELSTER (digitized forms)
Estonia	3–5 minutes	Active confirmation	Comprehensive — auto-populated via X-Road	X-Road (open source)
Denmark	0 minutes	Passive acceptance (silence = agreement)	Fully pre-filled	SKAT (centralized registries)
Sweden	1 minute	SMS confirmation	Fully pre-filled	Skatteverket + BankID
Finland	5 minutes	Tax proposal review	Fully pre-filled	Vero (centralized)

Source: BMF Commission; e-Estonia / EMTA; Skat.dk; Skatteverket; Vero.fi; OECD Tax Administration 2023.

Why Germany Is Slower — Structural Drivers

Factor	Germany	Nordic / Baltic Model
Legal philosophy	Einzelfallgerechtigkeit (individual case justice) — granular deductions	Standardized allowances — broad lump sums
Data architecture	Siloed — taxpayer imports data manually	Integrated — third-party reporting via X-Road / registries
“Once-Only” principle	Aspiration (OZG partially implemented)	Law (citizens provide data exactly once)
Digital filing UX	ELSTER mirrors paper forms (Beamtendeutsch)	Conversational, pre-filled, one-click/SMS
Advisor reliance	High (~89,000 Steuerberater; 30–50% of households)	Low (rarely needed for individuals)

Source: BMF Commission; Benzarti & Wallossek (NBER, 2024); OECD Tax Administration comparative data.

5.2 Healthcare Digitalization

Estonia — e-Health System

Metric	Estonia	Germany	Gap
Electronic health records coverage	99% of patients	~5% (ePA adoption 2024)	94 percentage points
e-Prescription rate	99%	~50% (2024, growing)	49 percentage points
Digital appointment booking	Universal	Limited (Doctolib etc.)	Significant
Health data interoperability	Full (X-Road based)	Emerging (TI 2.0)	5–10 years behind
Platform basis	X-Road (open source)	gematik TI (proprietary)	Architecture difference

Source: Estonian e-Health Foundation; gematik reports; OECD Health at a Glance 2023.

Denmark — Sundhed.dk

Metric	Denmark	Germany
Citizen health portal usage	Every 3rd adult uses universal digital health access via NemID	<5% (ePA 2024)
Digital prescription share	~99% (provider-to-provider)	~50%
Hospital interoperability	Full national system	Fragmented (16 Länder systems)
Time to launch national portal	2003 (operational >20 years)	2025 (ePA opt-out launch)
Annual operating cost	~€50M for 5.8M citizens	~€2B+ for TI infrastructure (83M citizens)

Source: Sundhed.dk annual report; gematik; Danish Ministry of Health; author’s comparison.

5.3 Justice System

Metric	Germany	Estonia	Austria	Notes
Electronic court filing	Mandatory since 2022 (beA)	Since 2005	Since 2012 (ERV)	Germany 17 years behind Estonia
Digital case management	Partial (varies by state)	Fully digital	Fully digital	16 Länder = 16 different systems
Average civil case duration	14.6 months	5.2 months	7.8 months	CEPEJ data
Online case tracking for citizens	Very limited	Full transparency	Full transparency	Germany lags significantly
Video hearings capability	Introduced COVID-era, declining	Standard option	Standard option	No systematic infrastructure in DE

Source: CEPEJ Evaluation Report 2024; national justice ministry publications; European Commission Justice Scoreboard.

Annex 6

European Case Studies

6.1 France

Key Metrics

Metric	Value	Notes
Organization	Gendarmerie Nationale	Military police force with civilian duties
Desktops migrated	103,000+ (by 2024)	Complete migration from Windows to Linux
Migration period	2004–2014 (phased)	10-year gradual transition
Operating system	GendBuntu (Ubuntu-based)	Custom distribution maintained internally
Annual savings	€2M+ in licenses alone	Additional savings in support and security
Total estimated savings	€50M+ over 10 years	Including reduced support tickets
Current status (2025)	Fully operational, expanding	Cited as EU reference implementation
Migration approach	Integrated into hardware refresh	No dedicated migration budget; Linux deployed during scheduled hardware replacement cycles

French Government Open Source Stack

Function	Component	Deployment Scale
Desktop OS	GendBuntu (Ubuntu-based)	103,000+ desktops (2024)
Office Suite	LibreOffice	All desktops
Email Client	Thunderbird	All desktops
File Sharing	Nextcloud	Government-wide (Nuage)
Messaging	Tchap (Matrix-based)	600,000+ registered; mandatory for ministerial communication
Video Conferencing	Webconf / Visio (LiveKit-based)	Government-wide; US tools (Teams, Zoom, Meet, Webex) banned for civil servants since Jan 27, 2026
Identity Management	LemonLDAP / Keycloak	Central government
Web Framework	Django / React (DSFR)	All new government websites

France maintains the SILL (Socle interministériel de logiciels libres), an interministerial catalogue of 500+ recommended open-source packages used across 195 government organisations. The SILL serves as the authoritative reference for procurement and deployment decisions across all ministries.

Source: DINUM (Direction interministérielle du numérique); Gendarmerie Nationale reports; SILL via code.gouv.fr.

6.2 Schleswig-Holstein

Key Metrics

Metric	Value	Notes
Organization	State Government of Schleswig-Holstein	First German state to commit fully
Desktops to migrate	~30,000	All state government workplaces
Decision date	2021 (coalition agreement)	CDU + Greens coalition
Migration start	2024 (pilot groups)	Phased rollout
Target completion	2026–2027	Full state administration
IT service provider	Dataport	Shared provider for 5 northern states
Estimated annual savings	€15M/year license avoidance; >€5M/year net savings	From eliminated license costs

dPhoenixSuite Component Stack

Function	Component	Upstream Project	Status
Desktop OS	Linux (to be determined)	Ubuntu / SUSE	Evaluation phase
Office Suite	LibreOffice	The Document Foundation	Deployed in pilots
Online Office	Collabora Online	Collabora	Integrated
Email / Calendar	Thunderbird + Open-Xchange	MZLA / OX	In deployment
File Sharing	Nextcloud	Nextcloud GmbH	Deployed
Messaging	Element (Matrix)	Element / Matrix.org	Deployed
Video Conferencing	Jitsi Meet	8x8 / Community	Deployed
Directory Services	Univention / Samba AD	Univention GmbH	In development

Success Factors

Factor	Description	Replicability
Political commitment	Coalition agreement mandates OSS	Requires political will
Dedicated leadership	CIO Dirk Schrödter champions migration	Key person dependency risk
Shared infrastructure	Dataport serves 5 states; costs shared	Highly replicable model
Gradual migration	Application-first, then OS	Proven approach (also used by France)
Open source governance	Contributing back to upstream projects	Essential for sustainability
Change management	Extensive training and communication	Standard best practice

Source: Schleswig-Holstein Digitalstrategie; Dataport publications; Landtag SH Drucksachen; conference presentations by CIO Schrödter.

6.3 Munich LiMux Complete Analysis

The Munich LiMux project (2004–2017) remains the most extensively documented and politically contested open-source migration in European government history. Its analysis provides essential lessons for future transitions.

Timeline

Year	Event	Significance
2003	City council votes for Linux migration	Largest municipal OSS project in Europe; Steve Ballmer flies to Munich personally
2004–2005	Planning and pilot phase	Custom Linux distribution (LiMux) developed
2006–2013	Phased migration of 15,000+ desktops	LibreOffice, Thunderbird, Linux deployed across city administration
2013	Migration declared complete	~15,500 desktops on LiMux; 80%+ of administration migrated
2014	Microsoft announces €40M Munich HQ relocation	New headquarters brings 1,500 jobs to Munich; timing raises questions
2014–2016	Accenture commissioned for “IT review”	Report criticizes organizational issues, not technology
2017	SPD/CSU coalition reverses migration	Decision to return to Microsoft; cited Accenture report
2018–2020	Re-migration to Windows/Microsoft	Cost: €86.1M for re-migration (Rathaus Umschau)
2020–present	Ongoing Microsoft dependency	Annual costs significantly higher than LiMux period

Cost Analysis

Period / Item	Cost	Notes
LiMux migration (2004–2013)	€23M	Total project cost including development and training
Estimated Microsoft alternative (same period)	€34–43M	Calculated from Microsoft license costs for 15,000 users
Savings during LiMux period	€11–20M	Net savings over 9-year migration period
Re-migration to Microsoft (2018–2020)	€86.1M	Official six-year programme cost (Rathaus Umschau); includes licenses, hardware, migration services
Annual Microsoft costs post-reversal	€12–18M/year	Substantially higher than LiMux operating costs
Annual LiMux operating costs	€5–8M/year	Including internal staff and support

Accenture Report Assessment

The 2016 Accenture report, frequently cited as evidence that the LiMux migration “failed,” requires careful reading. The report’s own findings contradict the political narrative that was built around it:

Organizational, not technical: The report identified IT governance fragmentation (21 separate IT units with no central authority) as the primary problem — not the choice of operating system.
Same issues on Windows: The report explicitly noted that the same organizational problems would persist regardless of operating system choice.
Hardware, not software: Many user complaints related to aging hardware (5–8 year old machines), not to Linux or LibreOffice.
Selective citation: The political decision to reverse the migration cited the Accenture report but ignored its central recommendation: fix IT governance first, then decide on platforms.

Source: Accenture “IT-Untersuchung der Landeshauptstadt München” (2016); Munich city council records; media analysis by Heise Online, Netzpolitik.org; Investigate Europe reporting.

6.4 Italy

Metric	Value	Notes
Legal framework	Codice dell’Amministrazione Digitale (CAD)	Mandates “reuse and open source first” since 2012
AgID guidelines	Comparative evaluation required	Agencies must justify choosing proprietary over OSS
Catalogue of reusable software	Developers Italia (catalogo)	400+ open-source government projects
Key deployments	LibreOffice in military, various agencies	Italian military: 100,000+ seats on LibreOffice
SPID (digital identity)	41.5M+ citizens enrolled (Oct 2025)	Built on open standards, multiple providers
Enforcement challenge	Low compliance with OSS-first mandate	No effective enforcement mechanism

Source: AgID (Agenzia per l’Italia Digitale); Developers Italia; Italian Ministry of Defence reports.

6.5 Estonia

Metric	Value	Notes
X-Road (data exchange)	Open source since 2016	Core infrastructure for all e-services; adopted by Finland, Iceland, Japan
Digital services available	99% of government services online	Only marriage, divorce, real estate require physical presence
e-Residency program	135,000+ e-residents (Feb 2026)	Digital identity for global entrepreneurs
Government IT approach	Open standards, decentralized	Each agency maintains own systems, interoperable via X-Road
OSS share of government IT	Significant but not exclusive	Pragmatic approach: OSS where beneficial, proprietary where needed
Key lesson for Germany	Architecture over vendor choice	Interoperability standards matter more than specific products
GDP saved via digital services	~2% of GDP annually	Estimated time savings for citizens and businesses

Source: e-Estonia briefing center; NIIS (Nordic Institute for Interoperability Solutions); X-Road documentation; OECD Digital Government Index.

6.6 Other Government OSS Experiences

Common Challenges

Challenge	Frequency	Examples	Mitigation
User resistance to change	Universal	Munich, Valencia, all migrations	Early training, phased rollout, champion users
Document format compatibility	Very common	Munich (macro-heavy spreadsheets)	Gradual format migration, ODF mandates, conversion tools
Specialized application dependency	Common	All government migrations	Web-based alternatives, application virtualization
Vendor lobbying / political pressure	Very common	Munich (reversal), multiple EU examples	Legal mandates, transparent decision processes
Skills gap in IT departments	Common	Particularly in smaller municipalities	Shared IT service centers, training programs
Insufficient change management	Common	Munich (criticized by Accenture), early Valencia	Dedicated change management budget and staff

Common Successes

Success Factor	Examples	Measured Impact
Cost savings on licenses	France, Italy, SH, Barcelona	40–80% license cost reduction
Improved security posture	French Gendarmerie, Bundeswehr (Matrix)	Reduced attack surface, faster patching
Local economic development	Spain (Barcelona), France	Growth of local IT service companies
Reduced vendor dependency	All successful migrations	Multi-vendor support options, negotiating leverage
Innovation capability	Estonia (X-Road), France (Tchap)	Custom solutions for specific government needs
Interoperability improvements	Estonia (X-Road), Nordic countries	Cross-agency and cross-border data exchange

Interoperability Note

A recurring finding across all case studies is that interoperability standards (ODF, OOXML, REST APIs, SAML/OIDC) are more important than the choice of specific products. Countries that mandated open standards first (Estonia, Denmark) achieved better outcomes than those that mandated specific products (early Munich approach). The current best practice — exemplified by Schleswig-Holstein’s dPhoenixSuite — combines both: open standards mandates with curated open-source component stacks.

Source: Compiled from all case study documentation referenced above; European Commission “Open Source in the Public Sector” studies; OSOR case studies.

Annex 7

Feature Gap & Interoperability

7.1 Productivity Suite

Writer vs. Word

Feature	LibreOffice Writer	Microsoft Word	Gap Assessment
Basic document creation	Full parity	Full	No gap
Template system	Full parity	Full	No gap
Track changes	Full parity	Full	No gap
Mail merge	Full (different UI)	Full	Minimal — retraining needed
Accessibility features	Good	Excellent	Minor gap, improving
Real-time co-authoring	Via Collabora Online	Native in M365	Functional parity via Collabora
Complex formatting / DTP	Good	Excellent	Minor gap for complex layouts
VBA macros	Partial (BASIC compatible)	Native	Significant gap for macro-heavy docs
AI features (Copilot)	Not built-in	Microsoft Copilot	Gap exists; question of need vs. want

Calc vs. Excel

Feature	LibreOffice Calc	Microsoft Excel	Gap Assessment
Basic spreadsheets	Full parity	Full	No gap
Formulas (standard)	Full parity (400+ functions)	Full (475+ functions)	Minimal gap
Pivot tables	Full (DataPilot)	Full (PivotTable)	No gap; different UI
Charts / visualization	Good	Excellent	Minor gap in chart types
VBA macros	Partial compatibility	Native	Significant gap — primary migration blocker
Power Query / Power Pivot	No equivalent	Advanced data modeling	Significant gap — alternative: Python/SQL
Large dataset handling	Good (1M rows)	Excellent (Power BI integration)	Moderate gap for advanced analytics
Conditional formatting	Good	Excellent	Minor gap in options

Source: LibreOffice feature documentation; Microsoft 365 feature lists; independent comparison studies (TDF, 2024).

7.2 Legacy Modernization

Risks

Risk	Severity	Affected Systems	Mitigation
VBA macro dependency	High	Estimated 15–20% of government spreadsheets	Inventory, rewrite in Python/JavaScript, or BASIC port
ActiveX / COM dependencies	High	Older Fachverfahren	Web modernization (OZG), application virtualization
SharePoint workflows	Medium	Agencies using SharePoint heavily	Nextcloud Workflow engine, custom replacement
Outlook/Exchange integrations	Medium	Calendar booking systems, room management	CalDAV/CardDAV standard migration
Active Directory Group Policies	High	All Windows-managed environments	Samba AD + Ansible/Puppet for policy management

Solution Paths

Legacy System	Solution Path	Timeline	Complexity
VBA macros (simple)	Automated conversion to LibreOffice BASIC	Weeks per department	Low
VBA macros (complex)	Rewrite as Python scripts or web applications	Months per application	Medium–High
Windows-only applications	Application virtualization (Citrix/RDP) or web rewrite	Months to years	Medium
Exchange/Outlook	Open-Xchange + Thunderbird (CalDAV/CardDAV)	3–6 months per department	Medium
Active Directory	Samba AD + Keycloak (OIDC/SAML)	6–12 months	High
SharePoint	Nextcloud + custom workflows	3–12 months depending on complexity	Medium–High

Source: Dataport migration experience; SH pilot data; French Gendarmerie documentation; author’s technical assessment.

7.3 Communication & Collaboration

Video Conferencing Comparison

Feature	Microsoft Teams	Jitsi Meet	BigBlueButton
Max participants	1,000 (view: 10,000)	75–100 (recommended)	150+ with optimization
Screen sharing	Full	Full	Full
Recording	Cloud + local	Server-side (Jibri)	Built-in server recording
Breakout rooms	Yes	Yes	Yes (native)
Whiteboard	Integrated	Via plugin	Built-in multi-user whiteboard
E2E encryption	Available (E2EE preview)	Available (Otr mode)	TLS only (no E2EE)
Self-hosting	No	Yes (fully self-hosted)	Yes (fully self-hosted)
Data sovereignty	Microsoft cloud (CLOUD Act)	Full control	Full control

Chat / Messaging Comparison

Feature	Microsoft Teams	Element (Matrix)	Rocket.Chat
Channels / Rooms	Full	Full	Full
Direct messaging	Full	Full	Full
File sharing	Via SharePoint/OneDrive	Native + integrations	Native
End-to-end encryption	Limited	Full (Megolm/Olm)	Available
Federation	Limited (Teams Connect)	Native (Matrix protocol)	Available
Government deployments	Widespread	Bundeswehr, NATO, France, SH	Some government use
Self-hosting	No	Yes	Yes
BSI certification path	Complex (US-controlled)	Underway (German development)	Possible

Source: Product documentation; government deployment reports; BSI technology assessments.

7.4 Real-World Validation

Deployment	Scale	Duration	Key Finding
Bundeswehr BwMessenger (Element)	100,000+ daily users	Since 2020	Largest Matrix deployment; classified-capable
French Tchap (Element/Matrix)	300,000+ users	Since 2019	Cross-ministry sovereign messaging
French Nuage (Nextcloud)	Government-wide	Since 2018	Replaced Dropbox/Google Drive in government
Italian military (LibreOffice)	100,000+ seats	Since 2015	Full productivity suite replacement
SH dPhoenixSuite / LibreOffice	30,000 workstations (2025)	Since 2024	Complete sovereign workplace stack validation
Barcelona city administration	~4,000 desktops	Since 2018	70% open source mandate; local economy boost

Source: Respective government announcements and deployment reports.

7.5 Document Interoperability Strategy

.docx Compatibility Status

Document Type	LibreOffice Compatibility	Issues	Mitigation
Simple .docx (text, images)	99%+	Negligible	None needed
Complex formatting .docx	90–95%	Minor layout shifts	PDF for final output
Macro-enabled .docm	50–70%	VBA compatibility gaps	Macro rewrite required
Simple .xlsx	98%+	Negligible	None needed
Complex .xlsx (formulas)	90–95%	Some advanced formulas differ	Testing and adjustment
Macro-enabled .xlsm	40–60%	VBA, Power Query gaps	Rewrite in Python/LibreOffice BASIC
.pptx presentations	85–95%	Animation, font rendering	Template standardization

UK ODF Mandate

In 2014, the UK government mandated ODF (Open Document Format) as the standard for sharing government documents. Key outcomes:

All government documents published in ODF format
Microsoft was compelled to improve ODF support in Office
Demonstrated that format mandates are more effective than product mandates
Reduced vendor lock-in without requiring full product migration

Other ODF Mandates

Country / Organization	Year	Scope	Status
United Kingdom	2014	All government documents	Active, enforced
Netherlands	2008	Government document exchange	Active (“comply or explain”)
Belgium	2008	Federal government	Active
Denmark	2011	Government documents	Active
Sweden	2009	Recommended standard	Active (not mandatory)
European Commission	2016	Internal documents (partial)	Limited enforcement

Three-Format Model

The recommended interoperability strategy uses a three-format model for document management during and after transition:

Format	Use Case	Rationale
ODF (.odt, .ods, .odp)	Internal documents, collaboration, archival	Open standard; ISO 26300; full sovereignty
PDF/A	Published documents, legal records, citizen-facing	Universal readability; ISO 19005; tamper-evident
OOXML (.docx, .xlsx)	External exchange with Microsoft-dependent partners	Pragmatic interoperability during transition period

Key Lessons

Format mandates before product mandates: Requiring ODF support creates competitive pressure and reduces lock-in without dictating product choices.
PDF for publication: Using PDF/A for all published documents eliminates the format compatibility issue for citizen-facing services.
Transition period: Allow 3–5 years of parallel format support during migration; hard cutoff dates create unnecessary friction.
Template governance: Standardize document templates centrally to prevent format drift and ensure consistent formatting across tools.

Source: UK Cabinet Office Open Standards Policy; Netherlands NOIV policy; European Commission ISA² programme; TDF interoperability documentation.

Annex 8

GDP Multiplier Methodology

8.1 Core Findings

Research on public IT investment multipliers consistently shows that locally retained spending generates higher economic returns than spending on imported proprietary software.

Study / Source	Multiplier (Proprietary)	Multiplier (Local/OSS)	Key Insight
European Commission (2021)	0.4–0.6x	1.2–1.8x	OSS investment has 3–4x higher local multiplier
EU Commission / Fraunhofer ISI (2021)	0.5x (license exports)	1.4–1.5x (local services)	Every €1 in OSS generates €1.40 in gross value added; service-based spending stays in local economy
Barcelona “Technological Sovereignty” (Bria, 2017–2020)	0.3–0.5x	2.0x	Local SME procurement multiplier; €1 invested locally generated €1 elsewhere in local economy
Standard fiscal multiplier (IMF)	N/A	0.8–1.5x (general IT)	Baseline comparison for government IT spending

Source: European Commission / Fraunhofer ISI “The Impact of Open Source Software and Hardware on Technological Independence, Competitiveness and Innovation in the EU Economy” (2021); Barcelona Ajuntament “Technological Sovereignty Guide”; IMF Fiscal Monitor.

Independent corroboration — Harvard Business School (2024): A study by Hoffmann, Nagle & Zhou found that open-source software creates $8.8 trillion in demand-side value globally from just $4.15 billion in supply-side investment (Working Paper 24-038). Without OSS, firms would need to spend 3.5× more on software. The study also found that OSS value is concentrated in a small number of critical projects—the same projects that sovereign investment would help sustain. Separately, Blind & Schubert (2024) estimate that without OSS contributions, GDP would be ~2.2% lower in the long run (Journal of Technology Transfer).

8.2 Why Different Multipliers

Factor	Proprietary Spending	OSS/Local Spending
License revenue destination	US headquarters (profit extraction)	No license fees; savings retained locally
Service revenue	Mix of local and international firms	Primarily local IT service providers
R&D investment	R&D in US/Ireland/India	Development can occur locally
Tax contribution	Minimized via international structures	Local companies pay local taxes
Skills development	Vendor-specific certifications	Transferable, open-standard skills
Innovation spillovers	Limited (proprietary knowledge)	High (open code, shared learning)
Vendor competition	Monopoly/oligopoly pricing	Competitive market for services

Source: European Commission OSS impact study (2021); author’s analysis.

8.3 Application Scenarios

Scenario	Spending Shifted	Proprietary GDP Impact	OSS GDP Impact	Net Gain
Conservative (10% shift)	€1.2–1.7B	−€0.48–1.02B	+€1.44–3.06B	+€0.96–2.04B
Moderate (25% shift)	€3.0–4.25B	−€1.2–2.55B	+€3.6–7.65B	+€2.4–5.1B
Ambitious (50% shift)	€6.0–8.5B	−€2.4–5.1B	+€7.2–15.3B	+€4.8–10.2B

Source: Author’s model applying EC and Fraunhofer multipliers to German spending data. Ranges reflect uncertainty in both base spending and multiplier estimates.

8.4 The 10% Increase Scenario

A targeted scenario: increasing the open-source share of public IT spending by 10 percentage points over 5 years.

Parameter	Value	Basis
Current OSS share (estimated)	5–10%	Industry estimates; primarily server-side Linux
Target OSS share	15–20%	+10 percentage points over 5 years
Spending shifted annually	€240–340M/year	2% per year increase over 5 years
Transition investment needed	€500M–1B total	Migration, training, OSS development
Annual license savings (Year 5)	€400–700M/year	From eliminated proprietary licenses
Net GDP impact (annual, Year 5)	+€0.96–2.04B	Applying EC multiplier differential
Jobs created (net)	3,000–8,000	In European IT services, OSS development
ROI period	3–5 years	Transition investment recovered via license savings

Source: Author’s model. Conservative estimates based on SH actual costs and EC multiplier research.

Annex 9

Legal Analysis

9.1 CLOUD Act Mechanism

The Clarifying Lawful Overseas Use of Data (CLOUD) Act, enacted by the United States in 2018, is the central legal instrument creating the sovereignty conflict for European governments using US cloud services.

“A [service] provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”

— 18 U.S.C. § 2713, CLOUD Act (2018)

The key operational mechanism is as follows: a US law enforcement agency or intelligence service obtains a warrant or subpoena under US law. The US-headquartered provider (Microsoft, Google, Amazon, etc.) is legally compelled to produce the requested data, even if that data is stored in European data centers and belongs to European government entities. The provider faces US contempt of court penalties for non-compliance.

9.2 The “Control” Test

Element	Legal Standard	Application to EU Government Data
Possession	Data physically held by provider	Yes — all data in Azure/M365/AWS data centers
Custody	Provider has administrative access	Yes — Microsoft/Google/Amazon engineers can access
Control	Provider can retrieve data through technical means	Yes — even with “EU Data Boundary,” US parent retains control
Corporate relationship	Subsidiary controlled by US parent	Yes — Microsoft Ireland, Google Ireland, etc. are US-controlled
Encryption keys	Provider-managed vs. customer-managed	Default: provider-managed; BYOK options limited

Source: 18 U.S.C. § 2713; US Department of Justice CLOUD Act White Paper; Max Planck Institute for Innovation and Competition analysis.

9.3 Conflict with EU Law

“Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State.”

— Article 48, General Data Protection Regulation (GDPR)

The Catch-22

If Provider...	Violates...	Consequence
Complies with CLOUD Act (discloses data)	GDPR Article 48 (unlawful transfer)	Fines up to 4% of global annual turnover; contractual breach
Refuses CLOUD Act order (protects EU data)	US 18 U.S.C. § 2713 (contempt)	US contempt of court; potential criminal penalties
Seeks to quash order (legal challenge)	Neither (temporary)	Delays but does not resolve fundamental conflict; costly
Notifies EU customer	Potentially US gag order provisions	Many CLOUD Act orders include non-disclosure provisions

Source: GDPR Art. 48; EDPB Guidelines 2/2020; CJEU Schrems II (C-311/18); legal analysis by Noyb, Max Planck Institute.

9.4 Microsoft’s Own Admission

In testimony before the French Senate (Commission d’enquête sur la souveraineté numérique), Microsoft France’s president acknowledged the fundamental legal conflict:

Senator: “Can you guarantee that data stored in your European data centers will never be accessed pursuant to a US legal order?”

Microsoft France President: “As a US company, we are subject to US law. If we receive a valid legal order under the CLOUD Act, we would be required to respond. However, we would challenge orders we believe conflict with EU law...”

Senator: “So the answer is no — you cannot guarantee it.”

Microsoft France President: “We cannot guarantee it, no.”

— French Senate, Commission d’enquête sur la souveraineté numérique (2019)

9.5 EU Data Boundary Technical Analysis

Microsoft’s “EU Data Boundary” initiative, launched in 2022, promises to keep EU customer data within EU borders. Technical analysis reveals significant limitations.

Claim	Reality	Assessment
Data stored in EU data centers	Primary storage is in EU; metadata, telemetry, and support data may leave EU	Partially true
No US access to EU data	CLOUD Act still applies; Microsoft US retains “control” over subsidiaries	False
EU-based support staff only	Goal for some services; not yet complete; escalations may go to US	Partially true, incomplete
Customer-managed encryption keys	Available for some services (BYOK); not default; not all services support it	Technically available, practically limited
Transparency on government requests	Transparency report published; but gag orders prevent full disclosure	Limited transparency

Technical Layer	EU Data Boundary Coverage	Remaining Risk
Data at rest	Stored in EU data centers	Accessible via CLOUD Act; encryption keys controlled by Microsoft
Data in transit	Encrypted; EU routing preferred	Metadata visible to network infrastructure
Data in processing	Processed in EU (mostly)	Some processing requires US resources; AI features use US compute
Telemetry / diagnostics	Being moved to EU (phased)	Historically sent to US; transition incomplete
Support access	EU-based support teams (goal)	Escalation paths may involve US staff
Admin / management plane	Azure management from EU portals	Global admin capabilities from any location

Source: Microsoft EU Data Boundary documentation; EDPS assessment; independent technical analysis by research institutions.

Confidential Computing Performance Penalty

Azure Confidential Computing uses hardware-based Trusted Execution Environments (TEEs) to process data in encrypted enclaves. While marketed as a sovereignty solution, technical benchmarks reveal significant performance costs:

Metric	Standard Mode	Confidential Mode	Penalty
Throughput	Baseline	30–55% of baseline	45–70% loss
Latency	Baseline	120–130% of baseline	20–30% increase
Memory overhead	Standard allocation	Encrypted memory pages	Reduced usable memory
Jurisdictional protection	None	None	CLOUD Act still applies

Source: Technical benchmarks of Azure Confidential Computing; Intel SGX and AMD SEV-SNP performance analyses.

9.6 Azure Germany (Trustee Model)

The Azure Germany “trustee model” (2016–2021), where T-Systems (Deutsche Telekom) acted as data trustee, provides a cautionary tale about attempted sovereignty solutions within a US-controlled platform.

Aspect	Azure Germany (Trustee)	Outcome
Concept	T-Systems holds keys; Microsoft cannot access data	Theoretically sound architecture
Launch	2016, two data centers in Germany	Welcomed by privacy-conscious customers
Feature parity	Always lagged behind global Azure	Customers frustrated by missing features
Price premium	20–30% higher than standard Azure	Sovereignty came at significant cost
Discontinuation announced	2018 (new customers), 2021 (closure)	Microsoft decided model was not commercially viable
Replacement	Standard Azure with “EU Data Boundary”	Weaker sovereignty guarantees; CLOUD Act applies
Key lesson	Vendor controls the model’s viability	Sovereignty via contract is revocable at vendor’s discretion

Source: Microsoft Azure Germany documentation; T-Systems press releases; Heise Online reporting; customer migration notices.

9.7 EDPS vs. European Commission

The European Data Protection Supervisor (EDPS) has conducted investigations into the European Commission’s own use of Microsoft 365, providing an authoritative assessment of the sovereignty risks.

EDPS Finding	Detail	Implication
Investigation opened	2021 — into EC’s use of Microsoft 365	Highest EU data protection authority concerned
Lack of control over data	EC cannot fully control where data is processed	Violates EU institutional data protection rules
Inadequate contractual safeguards	Microsoft’s DPA does not meet EU requirements	Gap between contract language and technical reality
International transfers	Data transfers to US occur despite commitments	Confirmed sovereignty concern
Telemetry data	Diagnostic data flows difficult to control	Even “necessary” telemetry may violate rules
Recommended actions	Comprehensive assessment; consider alternatives	Implicit endorsement of sovereignty-first approach
EC response	Negotiating with Microsoft; seeking additional safeguards	Demonstrates difficulty of achieving sovereignty with US providers

Source: EDPS investigation records (Case 2020-1013); EDPS annual reports; European Commission DG DIGIT communications.

Annex 10

Security Analysis

10.1 Vulnerability Comparison

Major Proprietary Vulnerabilities (2020–2024)

Vulnerability	Year	Type	Impact
SolarWinds	2020	Supply chain	18,000 organizations; months undetected
Microsoft Exchange ProxyLogon	2021	Zero-day	250,000+ servers; exploited before patch
Microsoft PrintNightmare	2021	RCE	All Windows; patch failed multiple times
Microsoft Outlook	2023	Zero-click privilege escalation	Exploited by nation-states (NTLM relay)

Major Open Source Vulnerabilities (2014–2024)

Vulnerability	Year	Type	Impact
Heartbleed	2014	Memory exposure	OpenSSL; patched within days
Log4Shell	2021	RCE	Java applications; patched within days
XZ Utils	2024	Backdoor attempt	Caught before deployment

10.2 Response Time Comparison

Aspect	Proprietary	Open Source
Vulnerability discovery	Vendor only	Anyone can audit
Patch development	Vendor schedule	Community can fork
Patch verification	Trust vendor	Verify code directly
Backdoor detection	Impossible	Code inspection possible

10.3 Proposed Sovereign Security Program

Investment	Purpose	Annual Cost
Bug bounty program	Incentivize discovery	€2–5 million
Fraunhofer audits	Professional code review	€2–3 million
BSI certification	Official validation	€1–2 million
CCC research grants	Security community engagement	€1–2 million
Rapid response team	Government-critical patches	€1–2 million
Total		€8–15 million

10.4 Cost-Benefit Analysis

Approach	Annual Cost	Security Assurance
Microsoft licensing (federal)	€150+ million	Trust vendor claims
Sovereign security program	€8–15 million	Verified, auditable
Ratio	<10%	Superior assurance

Key Finding: A sovereign security program costing less than 10% of current Microsoft licensing fees would deliver superior, verifiable security assurance — with the ability to audit code directly, develop patches independently, and detect backdoors through open inspection.

Annex 11

Job Transition Analysis

11.1 Microsoft Ecosystem Employment (Germany)

Category	Estimated Jobs	Source	Confidence
Microsoft Deutschland GmbH (direct)	~3,000	Microsoft company page; press	High
Microsoft Partner Companies (entities)	~30,000 firms	ISG/PwC reports	High
People employed by partners	~300,000	Microsoft “Local Impact” factsheet (2021)	Medium — includes non-Microsoft work
Jobs primarily dependent on MS licensing	~50,000–80,000	Derived estimate	Low-Medium
Jobs at risk from public-sector OSS migration	~8,000–15,000	Derived estimate	Medium

Methodology Note: The 300,000 figure is the broadest possible definition; it includes every employee at every partner firm, most of whom work on unrelated projects.

11.2 Key Partner Companies

Company	Total Employees (Germany)	Microsoft-Dependent Estimate
Bechtle AG	~15,800	~2,000–3,000
Computacenter	~7,000	~1,500–2,500
Accenture Germany	~11,700	~1,500–2,000
Atos Germany	~4,000+ (post-restructuring)	~1,000–2,000
T-Systems, Capgemini, DXC, others	~30,000+ combined	~3,000–5,000

11.3 Job Transferability Assessment

Role	Est. Jobs (Public Sector)	Displacement Risk	Transferable?	Retraining
Microsoft licensing specialists	~2,000–3,000	High	Partially	6–12 months
Windows sysadmins	~5,000–8,000	Medium	Yes — strong Linux overlap	3–6 months
Exchange/O365 admins	~3,000–5,000	High	Yes — to Open-Xchange, Nextcloud	3–9 months
.NET developers	~8,000–12,000	Medium-Low	Yes — .NET runs on Linux	3–6 months
Power Platform/Dynamics	~2,000–4,000	High	Low — must reskill substantially	12–18 months
Azure cloud architects	~3,000–5,000	Medium	Yes — Kubernetes is cloud-agnostic	3–6 months
General IT consultants	~5,000–8,000	Low	Yes — vendor-agnostic skills	1–3 months
SharePoint specialists	~1,500–2,500	High	Partially — to Nextcloud/Collabora	6–12 months

Key Context: Germany has a shortage of 109,000 IT specialists (Bitkom 2025), projected to reach 663,000 by 2040.

Source: Bitkom IT workforce study 2025.

11.4 Evidence from Completed Migrations

Schleswig-Holstein

Metric	Finding
Scale	~30,000 employees, ~30,000 workstations, 44,000 mailboxes
Net job losses	None reported
Dataport expansion	Expanded team; “Competence Center Office” with dedicated ministry contacts
Third-party hiring	Schad (Tier 3 support), Allotropia (LibreOffice development)
Digital Minister	Acknowledged needing “larger team” at Dataport

Source: Heise.de, state announcements.

Munich

Phase	Employment Impact
Original migration	No net job losses; demand for Linux admin skills
Reversal	€86.1M went largely to Microsoft licensing and consulting fees
Lesson	Migrations redirect IT spending, not eliminate jobs

France

Metric	Finding
Scale	200,000+ civil servants initially; 2.5 million ultimately
Employment model	Redirects spending to French/European companies
Beneficiaries	Outscale (Dassault), Pyannote, Kyutai

Source: DINUM documentation.

11.5 Net Impact Calculation

Assumptions: German public sector migration. Does not assume private sector migration.

Category	Estimate	Timeframe
Potentially displaced (hard to transfer)	5,000–8,000	Gradual over 5–7 years
Transferable with retraining	10,000–15,000	3–12 month cycles
Net new jobs created	15,000–22,000	5–10 years
Net impact	+7,000 to +17,000	Over 7–10 year transition

New job sources:

Migration project workforce (temporary): 3,000–5,000
Domestic OSS development/maintenance (permanent): 5,000–8,000
Sovereign cloud infrastructure (permanent): 3,000–5,000
Training/certification ecosystem (permanent): 1,000–2,000
OSS support/consulting (permanent): 3,000–4,000

11.6 Critical Caveats

The 5,000–8,000 potentially displaced workers deserve serious policy attention. Just transition requires funded retraining, placement guarantees, and multi-year timelines.
Job creation is not automatic. Requires deliberate industrial policy.
The 109,000 IT specialist shortage is the strongest insurance policy.
Timing matters. Phased 7–10 year migration minimizes disruption.

Annex 12

Political Economy Analysis

12.1 Microsoft Lobbying — Germany

Registration and Spend

Metric	Value	Source
Registered entities	Microsoft Deutschland GmbH (R002153), Microsoft Corporation	German Lobbyregister
Annual expenditure	€1.67 million (current); €3.05M peak (FY July 2021–June 2022)	Lobbyregister; LobbyControl Lobbyreport 2024
Named lobbyists	7–40	Lobbyregister
Rank among companies	6th in Germany	LobbyControl
Berlin office	Unter den Linden 17, 10117 Berlin	Company data
Chief lobbyist	Tanja Böhm (former Landesbeamtin, Lower Saxony)	LobbyControl

Political Affiliations

Affiliation	Political Alignment	Notes
Wirtschaftsrat der CDU	CDU/CSU-aligned	Dorothee Belz (VP Microsoft Europe) served in Geschäftsführung
Wirtschaftsforum der SPD	SPD-aligned	Direct access to SPD decision-makers
Atlantik-Brücke	Transatlantic / cross-party	Elite transatlantic network
Bitkom	Industry association	Germany’s leading digital industry lobby
Initiative D21	Cross-party digital advocacy	Public-private partnership
Grüner Wirtschaftsdialog e.V.	Greens-aligned	Green party business dialogue

Source: LobbyControl, Lobbypedia, EU Transparency Register.

12.2 Microsoft Lobbying — Brussels/EU

Metric	Value	Source
Annual EU lobbying spend (2025)	€7 million	Corporate Europe Observatory
Increase from prior period	+€2 million	CEO
Lobbyists in Brussels	15 (6.3 FTE)	EU Transparency Register (FY 2024/25)
EP access badges	8	EU Transparency Register (FY 2024/25)
Commission meetings (H1 2025)	36	CEO

Big Tech Context

Metric	Value
Total tech industry EU lobbying	€151 million/year
Change since 2023	+33.6%
Full-time tech lobbyists	890
EP access badges	437
AI share of Commission meetings	40%

Source: Corporate Europe Observatory, EU Transparency Register.

12.3 Industry Association Positions

Association	Position on OSS Mandates	Key Members/Funders
Bitkom	Cautiously supportive but warns against “isolationist approaches”	Microsoft, SAP, Google, Telekom, Siemens (2,200+ members)
BSA	Opposes OSS mandates; successfully lobbied to remove open-standards from EU Interoperability Framework	Microsoft, Adobe, Oracle, SAP, Salesforce, IBM
DigitalEurope	Opposes restrictive procurement; successfully weakened GDPR/AI Act provisions	Google, Microsoft, Meta, Apple, Amazon (€3M Brussels spend)
OSBA	Strongly pro-OSS; demands “open source by default”	200+ German OSS companies
Linux Foundation Europe	Pro-OSS; supports EU Sovereign Tech Fund	Ericsson (Platinum), SAP, Bosch, SUSE, Accenture
OpenForum Europe	Strongly pro-OSS; proposed EU Sovereign Tech Fund	GitHub-backed

Key Dynamic: Bitkom acknowledges open source as “a key enabler for Europe’s digital sovereignty,” but its February 2026 paper repeatedly warns against “isolationist or fragmenting approaches.”

12.4 Recent Public Statements Against Sovereignty

“Erecting walls that make it harder to use some of the best technology in the world, especially as it’s advancing so quickly, would actually be counter-productive.”
— Kent Walker, President of Global Affairs & CLO, Google/Alphabet, Financial Times (Javier Espinoza), February 13, 2026

“I’m concerned about the whole narrative around sovereignty in Europe. I don’t believe the continent has the capacity to become sovereign today.”
— Börje Ekholm, CEO, Ericsson, Davos (WEF), January 2026

“There is no such thing as absolute sovereignty. Nobody has it, because no one has sovereignty over the entire value chain required to deliver services.”
— Aiman Ezzat, CEO, Capgemini, Reuters, February 13, 2026

“Sovereignty can be very emotional — maybe too emotional.”
— Christian Klein, CEO, SAP, Davos (WEF), January 2026

Pattern: All statements share common framing: sovereignty is aspirationally valid but practically unrealistic, and pursuing it will harm competitiveness.

12.5 The Munich HQ Move

In November 2013, Microsoft announced relocation of German HQ from Unterschleißheim to Parkstadt Schwabing (Munich), effective 2016, bringing 1,800 jobs.

Timing:

Munich LiMux had migrated 12,600 of 15,500 desktops to Linux, saving €11.7 million
2014: New Mayor Dieter Reiter (SPD), self-described “Microsoft fan,” questioned LiMux
2016: Microsoft-partner Accenture commissioned to study LiMux
2017: Council voted to abandon LiMux
Reversal cost: €86.1 million (more than original migration)

Source: Heise.de, Linux Magazine, Council documents.

12.6 Political Party Positions — Germany (2025)

Party	Position	Key Detail
SPD	Supports digital sovereignty; independence from US and China	“Greater independence from Chinese and American platforms”
CDU/CSU	Pragmatic; Federal Digital Ministry; AI/cloud priority	Close Microsoft ties via Wirtschaftsrat; but CDU minister champions SH transition
Grüne	Strongest pro-OSS; “Public Money, Public Code”	Open-source solutions, digital sustainability
FDP	Economic liberal; deregulation	Criticized SH migration management but supports principle
Linke	Digital sovereignty as public commons	Demands democratic control of digital infrastructure
BSW	Digital sovereignty focus	Aligns with sovereignty rhetoric

12.7 How Successful Transitions Overcame Resistance

Schleswig-Holstein

Champion: CDU Digital Minister Dirk Schrödter

Political Framing That Worked:

Geopolitical sovereignty: Linked digital dependency to energy dependency revealed by Ukraine war
Data protection obligation: “We must ensure we are always in control of the IT solutions we use”
Hard financial numbers: €15M/year savings vs €9M one-time investment

Tactics:

Established Open Source Program Office (OSPO)
Replaced software incrementally: LibreOffice → email → video → cloud
Acknowledged problems openly; sent apology letter to employees
80% of workstations migrated despite criticism

France — Gendarmerie & DINUM

Champions: Technical experts (Pascal Danek, Lt.-Col. Xavier Guimard)

Political Framing:

Gradual, bottom-up: OpenOffice (2005) → Firefox → Ubuntu (2008)
Let results speak: Demonstrated working system before seeking buy-in
Financial proof: Saved €50 million since 2004; IT budget “reduced by 70%”
Vendor leverage: Open-standards policy forced SAP to adapt

Source: French government documentation, Heise.de.

Annex 13

Implementation Analysis

13.1 Phased Roadmap

Phase 1: Foundation (2025–2027)

Investment: €400–600 million | Jobs created: 2,000–3,000

Actions:

Halt new proprietary lock-in contracts
Mandate open-source evaluation for renewals
Scale ZenDiS funding (€4.1M → €100M+)
Expand Schleswig-Holstein model to additional states
Begin Fachverfahren modernization program
Establish security audit program

Phase 2: Federal Migration (2027–2030)

Investment: €1–1.5 billion | Jobs created: 8,000–12,000

Actions:

Phased federal government migration
“Public Money, Public Code” procurement mandate
Systematic state-level rollout
Backend-first approach (identity, email before desktop)

Phase 3: European Coordination (2030+)

Investment: €5–10 billion EU-wide | Jobs created: 50,000–100,000

Actions:

Common standards across EU
Federated European cloud infrastructure
AI development on sovereign foundation
Cross-border service integration

13.2 Success Factors (From Case Studies)

Factor	Munich (Failed)	Schleswig-Holstein (Succeeding)
IT Governance	Fragmented (22 departments)	Centralized (Dataport)
Migration Sequence	Desktop OS first	Backend first (email/identity)
Timeline	Rushed in some areas	Phased over 4–5 years
Training Investment	Inadequate	Structured program
Political Framing	Cost savings	Sovereignty imperative
Political Protection	Single mayor	Cross-party coalition
Vendor Engagement	Adversarial	Collaborative ecosystem

13.3 Risk Mitigation

Risk	Mitigation
Political reversal	Cross-party commitment; sovereignty framing
Technical failure	Phased rollout; pilot programs; rollback capability
User resistance	Training investment; change management
Vendor lobbying	Transparent decision-making; clear criteria
Skills shortage	Training programs; European company development

Annex 14

European Open Source Ecosystem

14.1 Major European Companies

Company	Country	Employees	Product	Government Customers
Nextcloud GmbH	Germany	100+	File sync, collaboration	Multiple EU governments
Open-Xchange	Germany	270	Email, groupware	German federal, Schleswig-Holstein
SUSE	Germany	2,000+	Enterprise Linux	Global enterprises, governments
Univention	Germany	100+	Identity management, UCS	German public sector
Collabora	UK	100+	LibreOffice enterprise	EU institutions
Element (Matrix.org)	UK/Germany	100+	Secure messaging	French, German government

14.2 Emerging Players

Company	Country	Focus
Ionos	Germany	Cloud infrastructure
OpenProject	Germany	Project management
ownCloud	Germany	File sync
Kopano	Netherlands	Groupware
OVHcloud	France	Cloud infrastructure
Scaleway	France	Cloud infrastructure

14.3 Market Development Potential

Sovereign investment of €2–5 billion annually would:

Expand existing European companies
Create new market entrants
Develop competitive ecosystem
Reduce dependency on US vendors
Build exportable expertise and products

Public Funding for Open Source Maintenance

Two programmes demonstrate that targeted public investment in open-source maintenance yields outsized returns. Germany’s Sovereign Tech Fund (now Sovereign Tech Agency under BMDS) invested €29M cumulatively through 2024 to maintain critical digital infrastructure—libraries and tools that underpin government and private-sector systems alike. The EU’s Next Generation Internet (NGI) programme funded over 1,300 projects with approximately €150M since 2018, building European capacity in privacy, decentralisation, and interoperability. NGI’s scheduled conclusion in 2027 without a successor programme would leave a significant gap in European open-source ecosystem support.

Annex 15

Complete Source References

Government & Parliamentary Sources

Bundestag Drucksache 20/9641 — Federal IT framework contracts [PDF] [Archive]
BMI/BMF Bundestag Responses (Drucksache 20/12864) — Microsoft cost progression [PDF] [Archive]
Victor Perli Parliamentary Inquiries — Federal software spending [Summary] [Archive]
Federal Budget Documents (2023–2025) — ZenDiS funding [Drucksache 20/15134] [Archive]
French Senate — Commission d’enquête sur la souveraineté numérique (2019): Marc Mossé, Microsoft Europe [Report] [Video]; Commission d’enquête sur la commande publique (2025): Anton Carniaux, Microsoft France — “Non, je ne peux pas le garantir” [Transcript] [Video]

EU & International

EU Commission/Fraunhofer ISI — “The Impact of Open Source Software and Hardware on Technological Independence, Competitiveness and Innovation in the EU Economy” (2021) [EU Publications] [EC Digital Strategy]
European Commission VAT Gap Report — Tax fraud estimates [Landing page] [2023 Report PDF (Archive)]
EDPS Decision March 8, 2024 — European Commission’s use of Microsoft 365 [Decision] [Archive]
UK Cabinet Office ODF Mandate (2014) [gov.uk] [Archive]
Germany IT Planning Council (November 2025) — ODF commitment [Decision 2025/06] [OSOR coverage]
EuroStack Report (February 2025) — 80% digital dependency analysis [Bertelsmann/CEPS]; European Parliament Written Question P-10-2025-002270 [Parliamentary question]; European Parliament Resolution P10_TA(2026)0022 — “European technological sovereignty and digital infrastructure” (22 January 2026, adopted 471–68–71, Procedure 2025/2007(INI)) — Recital B: “the EU relies on non-EU countries for over 80% of digital products, services, infrastructure and intellectual property” [Official text (EN)] [OEIL]

Legal Sources

US CLOUD Act — Pub.L. 115-141 (2018) [Congress.gov] [Archive]
GDPR Article 48 — Transfers not authorised by Union law [gdpr-info.eu] [EDPB Guidelines PDF]
FISA Section 702 — Foreign intelligence surveillance [Cornell Law] [Archive]
Executive Order 14203 — Imposing Sanctions on the ICC (Feb 2025) [Federal Register] [Wikipedia]

Industry & Market Research

Gartner — European IT Spending Forecasts [2025 Forecast]
Bitkom Länderindex 2024 — State-level IT spending [Landing page] [Digital Budgets PDF]
Bitkom IT Workforce Study 2025 — 109,000 IT specialist shortage [Press release]
LobbyControl Lobbyreport 2024 [PDF] [Archive]
Corporate Europe Observatory (2025) — Big Tech lobbying [Report] [Archive]
EU Transparency Register — Microsoft [LobbyFacts] [Official Register]

Company & Product Sources

Microsoft 365 Pricing — Price history chronology [phinit.de] [Microsoft DE pricing]
Nextcloud Enterprise Pricing [nextcloud.com/de/preise]
Microsoft Deutschland — Employment data [Company page]
Microsoft “Local Impact” Germany factsheet (2021) — Partner ecosystem [PDF] [Archive]

Press & Analysis

Heise.de — “Microsoft Dependency: Federal Government Pays near 500 Million Euros” [Article]; “Goodbye Microsoft: SH relies on Open Source” [Article]; M365 price increase July 2026 [Article]
Financial Times (Feb 13, 2026) — Javier Espinoza, “Google warns EU against ‘erecting walls’ in tech sovereignty push” — Kent Walker quotes [Business Standard reprint]
Davos/WEF (Jan 2026) — Ekholm: “sovereignty is dangerous” [Mobile World Live]; Ezzat: “no absolute sovereignty” [Reuters via Yahoo]; Panel overview [Digital Watch]
Associated Press (May 2025) — ICC sanctions and Microsoft email block [AP News]; The Register — ICC dumps Microsoft Office [Article]; EJIL Talk analysis [Article]

Case Study Documentation

Schleswig-Holstein — Migration progress: 80% LibreOffice [Dec 2025]; Email migration [Oct 2025]; Project overview [Project page]
Digital Minister Schrödter — Political framing [Irish Times profile] [OSOR review]
Munich LiMux — Migration and reversal [Wikipedia] [EU OSOR case study]
Accenture Munich audit (2016) — User satisfaction [Full PDF via FragDenStaat]
France DINUM — La Suite Numérique [Official site] [DINUM overview]
EU OSOR — Government OSS experiences [Portal] [Country reports]
FSFE — dPhoenix/openDesk analysis [June 2023] [Sept 2023]
TDF Migration Protocol [PDF v2] [Wiki]
LibreOffice Feature Comparison [Wiki]

Academic Sources

Hoffmann, Nagle & Zhou (2024) — “The Value of Open Source Software,” Harvard Business School Working Paper 24-038 [PDF] [SSRN]
Blind & Schubert (2024) — “Estimating the GDP effect of Open Source Software,” Journal of Technology Transfer 49, 466–491 [Springer] [Open Access PDF]
BMF Expert Commission — Tax compliance data [BMF page] [Monthly Report Aug 2024]
Nachtwey & Seidl (2024) — “The Solutionist Ethic and the Spirit of Digital Capitalism,” Theory, Culture & Society [DOI] [Preprint (open access)]
Schmitz & Seidl (2024) — “Moving on to not fall behind? Technological sovereignty and the ‘geo-dirigiste’ turn in EU industrial policy,” Journal of European Public Policy 31(8), 2147–2174. JEPP Best Paper Prize 2024 [DOI]
Falkner, Heidebrecht, Obendiek & Seidl (2024) — “Digital Sovereignty — Rhetoric and Reality,” Journal of European Public Policy 31(8), 2099–2120 [DOI] [Working paper (open access)]
Seidl & Kosti (2025, forthcoming) — “Polanyi and List Meet in Brussels,” unpublished manuscript. See also: Seidl (2023), “Commodification and Disruption,” Weizenbaum Journal of the Digital Society 3(1) [DOI]

Annex 16

DC-EDIC Budget Analysis

The Digital Commons Infrastructure Consortium (DC-EDIC) was established October 29, 2025 (Implementing Decision 2025/2170) with France, Germany, Netherlands, and Italy as founding members. Its mandate is to converge national sovereign workplace programmes — Germany’s openDesk and France’s La Suite Numérique — into a shared European platform. This annex examines whether its startup budget is adequate for that mission.

16.1 DC-EDIC Budget vs. Comparators

Item	Amount	Ratio to DC-EDIC
DC-EDIC startup budget	€5.3M	1×
Schleswig-Holstein migration (30K desktops)	€9M	1.7×
Germany federal Microsoft spend (2025)	€481M	91×
EU Sovereign Cloud tender (Oct 2025)	€180M	34×
EuroHPC Joint Undertaking (2021–2027)	~€7B	1,321×
EU Chips Act (public investment)	€43B	8,113×

16.2 National Sovereign Workplace Spending

Programme	Annual Budget	Details	Source
France — DINUM / La Suite Numérique	€8–10M/yr	Development, hosting, rollout. ≥€15M invested through 2023. Tchap (Matrix-based messaging) alone: €2.7M/yr	Cour des Comptes; DINUM
Germany — ZenDiS / openDesk	€4.1M (2025 actual)	€34M “reprogrammed” but blocked by BMF. Political commitment: €500M (ZenDiS + FITKO, 2023). Per-user cost: ~€45/yr vs. Microsoft O365 E3 at €301/yr	Bundestag Drs 20/15134; ZenDiS
DC-EDIC (EU-level)	€5.3M total startup	EU + 4 member state contributions. Mandate: converge openDesk + La Suite for 27 member states	Decision 2025/2170

Key finding: France alone spends more annually on La Suite than the DC-EDIC’s entire startup budget. Germany’s political commitment (€500M) dwarfs actual delivery (€4.1M). The DC-EDIC inherits both the ambition and the funding gap.

16.3 Bottom-Up Cost Estimate — Operational Scale

Cost Category	Annual Estimate	Assumptions
Core development (50–100 engineers)	€5–12M	€80–120K loaded cost/yr (FR/DE/NL/IT average)
Infrastructure & hosting	€10–25M	27 member states, government-grade SLA, on-prem + sovereign cloud
Security certification (BSI, ANSSI, EUCS)	€5–15M	Per-country certification, VS-NfD/CC, continuous audit
Localization (24 EU languages)	€3–8M	Enterprise-grade translation, legal review, accessibility
Support & operations (24/7)	€5–15M	Government-critical infrastructure support
Interoperability & federation	€5–10M	eIDAS integration, cross-border testing, Matrix federation
Governance & coordination	€3–5M	DC-EDIC secretariat, working groups, standardization
Total at operational scale	€50–105M/yr	10–20× current DC-EDIC budget

16.4 Comparable EU Infrastructure Programmes

Programme	Budget	Period	Scope
EuroHPC Joint Undertaking	~€7B	2021–2027	Pan-European supercomputers
EU Chips Act	€43B (public)	2023–2030	Semiconductor sovereignty
Copernicus	~€5.4B	2021–2027	Earth observation
Galileo + EGNOS	~€9B	2021–2027	Satellite navigation
CEF Digital	~€2B	2021–2027	Digital infrastructure
EU Sovereign Cloud (tender)	€180M	2025	Single procurement
DC-EDIC	€5.3M	2025–2026	Pan-European sovereign workplace

Digital workplace infrastructure serves more public servants daily than supercomputers or satellites. The budget disparity reflects a political priority gap, not a cost reality.

16.5 Funding Pathway

Near-term (2026–2028): Digital Europe Programme (DEP) co-funding for EDICs; member state matched contributions. Target: €50–100M/yr to reach operational scale. The Franco-German Economic Agenda (August 2025) provides political backing; the European Digital Sovereignty Summit (November 2025) built further momentum.

Medium-term (2028–2034): The next Multiannual Financial Framework (MFF 2028–2034) includes a proposed “Digital Leadership” cluster at €54.8B. Embedding DC-EDIC infrastructure funding in the MFF would provide the institutional stability that project-based funding cannot.

ROI context: EU governments spend €18–22B/year on software licensing. Redirecting 0.5% (€90–110M) to the DC-EDIC would fund operational scale while reducing long-term licensing costs by orders of magnitude.

16.6 The Structural Gap

The DC-EDIC’s €5.3M startup budget represents 0.003% of EU public sector IT spending (~€180B/yr). France alone spends more on Tchap (€2.7M/yr) than the DC-EDIC has for its entire first-year programme. Germany’s €500M political commitment to ZenDiS produced €4.1M in actual 2025 funding. The pattern is clear: Europe declares digital sovereignty a strategic priority but funds it as a pilot project.

Comparable EU infrastructure programmes — EuroHPC, Galileo, Chips Act — received 1,300–8,000× more funding. The DC-EDIC needs at minimum €100M/year in co-funding through the Digital Europe Programme and the MFF 2028–2034 to deliver on its mandate. Anything less is institutional theatre.

Document: Technical Annex — Evidence Base, Methodology, and Detailed Analysis

Version: 2.0

Date: February 2026

Supports: Policy Paper “Digital Sovereignty for Europe” v2.0

License: CC-BY-SA 4.0

Dokument: Technischer Anhang — Evidenzbasis, Methodik und detaillierte Analyse

Version: 2.0

Datum: Februar 2026

Ergänzt: Strategiepapier „Digitale Souveränität für Europa“ v2.0

Lizenz: CC-BY-SA 4.0

Living DocumentLebendes Dokument

Updates & TransparencyAktualisierungen & Transparenz

This paper was first published in February 2026. As new evidence emerges — through parliamentary inquiries, freedom of information responses, and policy decisions — this section records what has changed and what new primary data confirms or updates the analysis. The core argument remains unchanged.

Dieses Papier wurde im Februar 2026 veröffentlicht. Wenn neue Evidenz entsteht — durch parlamentarische Anfragen, IFG-Bescheide und politische Entscheidungen — dokumentiert dieser Abschnitt, was sich geändert hat und welche neuen Primärdaten die Analyse bestätigen oder ergänzen. Das Kernargument bleibt unverändert.

ChangelogChangelog

DateDatum	TypeTyp	UpdateAktualisierung
April 2026	New data (IFG)Neue Daten (IFG)	BeschA IFG response reveals governance gap. The Federal Procurement Office confirmed that no statistics are kept on the open source share in federal IT procurement, and that no criteria or guidelines for OSS consideration exist. The reason given — that open source software is typically free and therefore does not appear in procurement figures — applies neither to Red Hat Enterprise Linux, nor to Nextcloud Enterprise, nor to openDesk, the federal government’s own sovereign workplace programme. The Federal Procurement Office cannot determine whether openDesk — co-financed by the federal government itself — appears in its own statistics. The Coalition Agreement commits the federal government to commission development contracts “as open source where possible.” The responsible office has no instrument to measure compliance. BeschA-IFG-Bescheid deckt Governance-Lücke auf. Das Beschaffungsamt des BMI bestätigte, dass keine Statistiken über den OSS-Anteil an Bundesbeschaffungen geführt werden und keine Kriterien oder Leitfäden für die Berücksichtigung von Open Source existieren. Die angeführte Begründung — Open-Source-Software sei in der Regel kostenlos und erscheine daher nicht in Beschaffungskennzahlen — trifft weder auf Red Hat Enterprise Linux zu, noch auf Nextcloud Enterprise, noch auf openDesk, den eigenen souveränen Arbeitsplatz des Bundes. Das Beschaffungsamt des Bundesinnenministeriums kann nicht feststellen, ob openDesk — das der Bund selbst mitfinanziert — in seiner eigenen Statistik auftaucht. Der Koalitionsvertrag verpflichtet den Bund, Entwicklungsaufträge „wo möglich als Open Source“ zu vergeben. Das zuständige Amt hat kein Instrument, diese Verpflichtung zu messen.
April 2026	New data (IFG)Neue Daten (IFG)	ITZBund IFG response confirms spending trajectory (IFG Ref. 365085). Microsoft expenditure at ITZBund rose from €19.1M (2023) to €33.7M (2024) — a 76% increase in a single year, consistent with the broader federal trend. ITZBund manages 94,601 M365 licences for federal agencies. Client environment: no FOSS — Microsoft Windows and Office are standard. Server environment: 79% FOSS. Public Cloud from Microsoft is prohibited in ITZBund’s own operations; Azure pilot projects exist for individual federal agencies. This confirms both the lock-in thesis and the spending trajectory. ITZBund-IFG-Bescheid bestätigt Ausgabenentwicklung (IFG-Bescheid 365085). Microsoft-Ausgaben des ITZBund stiegen von €19,1 Mio. (2023) auf €33,7 Mio. (2024) — ein Anstieg von 76 % in einem Jahr, konsistent mit dem bundesweiten Trend. ITZBund verwaltet 94.601 M365-Lizenzen für Bundesbehörden. Clientumfeld: kein FOSS — Microsoft Windows und Office sind Standard. Serverumfeld: 79 % FOSS. Public Cloud von Microsoft ist im ITZBund-Betrieb untersagt; Azure-Pilotprojekte für einzelne Bundesbehörden existieren. Bestätigt sowohl die Lock-in-These als auch die Ausgabenentwicklung.

Freedom of Information RequestsInformationsfreiheitsanfragen

To verify and extend the data in this paper, freedom of information requests (IFG) have been submitted to German federal agencies. Results are published openly on FragDenStaat.de.

Zur Verifizierung und Ergänzung der Papierdaten wurden IFG-Anfragen an Bundesbehörden gestellt. Die Ergebnisse werden offen auf FragDenStaat.de veröffentlicht.

InstitutionBehörde	SubjectGegenstand	StatusStatus	Key findingKernergebnis
ITZBund	M365 licences & Microsoft spending 2023–2024M365-Lizenzen & Microsoft-Ausgaben 2023–2024	AnsweredBeantwortet	€19.1M→€33.7M (+76%); 94,601 licences; no FOSS on client€19,1 Mio.→€33,7 Mio. (+76 %); 94.601 Lizenzen; kein FOSS im Client
BMI	Federal Microsoft expenditure by category, 2022–2025Bundesausgaben für Microsoft nach Kategorie, 2022–2025	PendingAusstehend	—
BMDS	OpenDesk rollout status, deployment numbers & 2026 budgetOpenDesk-Rollout-Status, Ausbringungszahlen & Budget 2026	PendingAusstehend	—
BeschA (BMI)	Open source share in federal procurement 2020–2025OSS-Anteil an Bundesbeschaffung 2020–2025	AnsweredBeantwortet	No statistics exist. The Federal Procurement Office cannot determine whether openDesk — co-financed by the federal government itself — appears in its own statistics. The Coalition Agreement commits the federal government to commission development contracts “as open source where possible.” The responsible office has no instrument to measure compliance.Keine Statistiken vorhanden. Das Beschaffungsamt des Bundesinnenministeriums kann nicht feststellen, ob openDesk — das der Bund selbst mitfinanziert — in seiner eigenen Statistik auftaucht. Der Koalitionsvertrag verpflichtet den Bund, Entwicklungsaufträge „wo möglich als Open Source“ zu vergeben. Das zuständige Amt hat kein Instrument, diese Verpflichtung zu messen.
BSI	Security assessment of US cloud providers & OSS programmeSicherheitsbewertung US-Cloudanbieter & OSS-Programm	PendingAusstehend	—
State-level requests in progress: NRW, Berlin, Schleswig-Holstein, Hamburg, Baden-Württemberg and others. Results will be published here as they arrive. Länder-Anfragen laufen: NRW, Berlin, Schleswig-Holstein, Hamburg, Baden-Württemberg u. a. Ergebnisse werden hier veröffentlicht, sobald sie eingehen.