Microsoft-Exit: Dänemark zeigt den pramatischen Weg

Während in Deutschland noch über Strategien diskutiert wird, schafft Dänemark Fakten – Schritt für Schritt, pragmatisch, parallel zu bestehenden Microsoft-Verträgen und ganz ohne Ideologie. Genau deshalb ist es das interessanteste Lehrstück des Jahres.

Drei Termine, eine Botschaft: Dänemark macht ernst: Im Juni 2025 kündigt Digitalministerin Caroline Stage Olsen den Microsoft-Ausstieg im eigenen Ministerium an. Am 15. Dezember 2025 übergibt Michael Ørnø, Direktor von Statens IT, in Ribe die erste Microsoft-freie Behörden-PC an Stefan Søsted, Direktor der dänischen Straßenverkehrsbehörde Færdselsstyrelsen. Im Frühjahr 2026 rollt das Pilotprojekt SIA Open in die Breite: rund 600 Mitarbeitende der Behörde sollen Windows, Word, Excel, Outlook, Teams und Edge schrittweise durch ein NixOS-basiertes Linux und LibreOffice ersetzen. Ziel der dänischen Regierung: bis Ende 2026 sollen bis zu 15.000 Beschäftigte in der Staatsverwaltung auf das alternative System wechseln.

Berichtet haben darüber unter anderem DR (Danmarks Radio), das Fachportal Ingeniøren, heise online oder ZDNet.de.

Was wirklich neu ist

Dass eine europäische Behörde Microsoft hinter sich lässt, ist 2026 keine Nachricht mehr. Schleswig-Holstein ist mittendrin, der Internationale Strafgerichtshof (IStGH) wechselt zu openDesk, Frankreich und die Niederlande arbeiten an gemeinsamer Verwaltungs-Software. Was Dänemark heraushebt, ist die nüchterne und pragmatische Herangehensweise.

- Erstens: das System. SIA Open – kurz für „Statens IT Arbejdsplads Open" – ist eine eigene Linux-Distribution auf Basis von NixOS, gebaut vom dänischen Open-Source-Spezialisten Semaphor im Auftrag von Statens IT. NixOS ist dabei kein Selbstzweck. Das Betriebssystem ist immutable, lässt sich also vollständig deklarativ in einer einzigen Konfigurationsdatei beschreiben. Was nach Nerd-Detail klingt, ist betriebswirtschaftlich relevant: defekte Rechner können in Minuten in einen exakt definierten Zustand zurückversetzt werden, statt dass eine IT-Abteilung manuell Patches einspielt. Begleitend kommen LibreOffice für Office-Anwendungen, Thunderbird für E-Mail, Firefox als Browser und das Casemanagement-System F2 des dänischen Anbieters cBrain zum Einsatz.

- Zweitens: die Reihenfolge. Statens IT übergibt die erste PC bewusst an einen Direktor – nicht an einen Sachbearbeiter. Stefan Søsted hat den Rechner über sechs Wochen genutzt, bevor seine Behörde in den Rollout geht. Sein Urteil gegenüber DigiTech klingt unspektakulär und ist genau deshalb belastbar: „Mein erster Eindruck war: Das Gerät läuft sehr schnell. Wenn es so bleibt, ist das nahezu ein Upgrade." Søsted hat in der Folge sogar seine privaten Microsoft-Lizenzen gekündigt.

- Drittens: die Zielgröße. Færdselsstyrelsen ist mit 600 Beschäftigten in elf Teams am Sitz in Ribe groß genug, um realen Betrieb zu testen, und klein genug, um steuerbar zu bleiben. Die Skalierung auf 15.000 Nutzer ist eingeplant, aber nicht hektisch terminiert. Michael Ørnø beschreibt das Projekt in einem Interview mit dem dänischen Sender DR mit einem Bild, das im PR-Sprech aller Hyperscaler so nie fallen würde: „Wenn es um Autos ginge: Es gibt keinen Grund, dass alle in einer großen Mercedes fahren. Viele kommen mit einem VW gut zurecht."

Microsoft bleibt – und das ist Strategie, nicht Schwäche

In den Kommentarspalten ist das Argument vorhersehbar: „Die nutzen am Ende eh wieder Microsoft." Es stimmt: Statens IT hat parallel zum Open-Source-Pilot einen langfristigen Microsoft-Rahmenvertrag. Windows bleibt als Fallback verfügbar, einzelne Fachanwendungen laufen weiter auf der gewohnten Plattform, und Behördenchef Søsted lässt sich mit einem Satz zitieren, der vor zwei Jahren noch undenkbar gewesen wäre: „Wir haben noch keine Lizenzen gekündigt."

Wer darin ein verkapptes Scheitern sieht, hat das Münchner LiMux-Trauma im Kopf und übersieht den Punkt: Zweigleisigkeit ist hier kein Rückzug, sondern Risikomanagement. Eine Behörde, die alle Brücken am ersten Tag abreißt, riskiert einen operativen Stillstand – inklusive der Bürger, die wegen einer ausgefallenen Zulassungsstelle nicht ans Auto kommen. Caroline Stage Olsen hat das im Politiken-Interview im Juni 2025 schon so formuliert: Sollte sich der Wechsel als zu komplex erweisen, könne man kurzfristig wieder auf Microsoft zurückgreifen.

Das ist nicht zaghaft. Das ist die Definition einer funktionierenden Exit-Strategie: zwei Systeme parallel betreiben, die teurere proprietäre Schiene Stück für Stück zurückbauen, und in dieser Zeit Erfahrung sammeln, was tatsächlich kompatibel ist – und was nicht. Genau dafür plädieren auch die European Data Protection Supervisor (EDPS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Jahren, wenn von „Cloud-Exit" und „Reversibilität" die Rede ist.

Wer Digitale Souveränität nur als Schalter denkt – ein, aus – wird sie nie erreichen. Wer sie als Weg denkt, kommt voran.

Der politische Rahmen: Berlin Declaration, EU-Beschaffungsregeln, EVB-IT

Dänemarks Schritt ist kein Einzelfall. Am 18. November 2025 haben alle 27 EU-Mitgliedstaaten in Berlin die Declaration for European Digital Sovereignty unterzeichnet – eine politische Selbstverpflichtung, strategische Abhängigkeiten zu reduzieren und „autonomously and freely to choose their own solutions" zu können. Begleitet wurde der Gipfel durch ein gemeinsames Maßnahmenpaket Frankreichs und Deutschlands über sieben Handlungsfelder, dokumentiert durch den Élysée. Der Rat der Europäischen Union hat das Dokument als Grundlage für künftige EU-Politik aufgenommen.

In Deutschland flankiert der IT-Planungsrat-Beschluss 2025/48 vom November 2025 diese Linie auf vergaberechtlicher Ebene: Mit der Novelle der Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT), in Kraft seit März 2026, ist Open Source bei Neuentwicklungen erstmals der Regelfall in der öffentlichen Beschaffung – nicht mehr die manuell anzupassende Ausnahme. Was Dänemark in der Praxis vorführt, ist also exakt das Modell, das auf EU-Ebene und in Deutschland bereits zur Marschroute erklärt wurde. 

Warum Behörden handeln müssen

Stefan Søsted erklärt seine Entscheidung kurz und unsentimental: Es gehe darum, „Herr im eigenen Haus zu sein und die volle Kontrolle über die eigenen Daten zu behalten". Diese Aussage trifft den Kern der Debatte, weil sie zwei strukturell unterschiedliche Risiken zugleich adressiert, die in der öffentlichen Diskussion fast immer vermischt werden.

Das erste Risiko ist der Datenzugriff. Der US CLOUD Act verpflichtet Anbieter, die US-Recht unterliegen, zur Herausgabe von Daten in ihrer „possession, custody, or control" – unabhängig davon, wo die Daten physisch gespeichert sind.  Microsoft hat im Sommer 2025 in einer Anhörung des französischen Senats explizit eingeräumt, dass diese Pflicht auch für in der EU gespeicherte Daten greift und nicht ausgeschlossen werden kann. Genau dies ist der Grund, warum das im Auftrag des Bundesinnenministeriums erstellte Rechtsgutachten 2025 zum Schluss kam, dass der physische Speicherort allein keinen Schutzschild bietet.

Das zweite Risiko ist die Betriebsverfügbarkeit. Wenn ein Anbieter aus rechtlichen oder politischen Gründen Lizenzen einschränkt, Updates verweigert oder Konten sperrt, fehlt der Behörde plötzlich nicht „nur IT", sondern die Fähigkeit, ihre Kernaufgabe zu erfüllen. Das Lehrstück liefert seit Mai 2025 der Internationale Strafgerichtshof, dessen Chefankläger Karim Khan nach US-Sanktionen zeitweise keinen Zugriff mehr auf seine Microsoft-E-Mails hatte – ein Vorgang, den Associated Press dokumentiert und der den IStGH zum Wechsel auf openDesk bewogen hat.

Søsted formuliert das im Politik-Idiom des öffentlich-rechtlichen Senders DR: „Wenn man sich von wenigen Anbietern wie Microsoft zu abhängig macht, riskiert man, dass diese zu viel verlangen." In Wahrheit ist diese ökonomische Formulierung die diplomatische Verpackung eines harten Souveränitäts-Arguments. Die Zahlen geben ihm recht: Kopenhagens Rechnung für Microsoft-Software stieg laut Politiken von 313 Millionen Kronen 2018 auf 538 Millionen Kronen 2023 – ein Plus von 72 Prozent in fünf Jahren.

Was deutsche Unternehmen aus dem dänischen Modell mitnehmen sollten

Behörden und privatwirtschaftliche Unternehmen unterscheiden sich rechtlich, aber operativ stehen sie vor der gleichen Frage: Wie reduziere ich Abhängigkeit, ohne den Betrieb zu gefährden? Vier Punkte aus dem dänischen Vorgehen lassen sich direkt auf die Privatwirtschaft übertragen.

- Erstens: Pilot vor Programm. Statens IT geht nicht mit 15.000 Nutzern an den Start, sondern mit einem Direktor in einer Behörde. Übertragen auf Unternehmen heißt das: Wählen Sie eine Abteilung, in der ein vollständiger Schwenk realistisch wäre, und beginnen Sie dort. Erst Praxis, dann Roadmap.

- Zweitens: Parallelbetrieb statt Big Bang. Wer aus operativer Verantwortung heraus den Microsoft-Vertrag im Hintergrund laufen lässt, handelt nicht halbherzig, sondern wirtschaftlich. Der Lock-in löst sich nicht in einem Quartal – aber er löst sich, sobald sichtbar wird, welche Workloads tatsächlich an proprietäre Plattformen gebunden sind und welche nicht.

- Drittens: Eigentum statt Lizenz, wo es sinnvoll ist. Søsted sagt in der dänischen Berichterstattung sehr klar: „Wir werden alles selbst besitzen und künftig die volle Kontrolle über unsere IT-Entwicklung haben." In der Privatwirtschaft entspricht das nicht zwingend einer Eigenentwicklung – wohl aber der konsequenten Trennung zwischen den Teilen der IT, die strategisch sind (Datenhoheit, Identitäten, Schlüssel, sensible Inhalte) und denen, die Commodity bleiben dürfen.

- Viertens: Den Speicherort nicht mit Souveränität verwechseln. Microsoft Deutschland argumentiert in der Stellungnahme zum dänischen Schritt, die eigenen europäischen Rechenzentren stünden unter EU-Recht. Das ist juristisch nur die halbe Wahrheit – und im Konfliktfall die irrelevantere Hälfte. Entscheidend ist der Rechtsraum des Anbieters, nicht der Server-Standort.

Ein anschauliches Beispiel ist die AWS European Sovereign Cloud: Eine US-Tochter mit europäischer Governance kann Betriebszugriffe regeln und Lieferketten absichern – sie kann den strukturellen Konflikt mit Artikel 48 der Datenschutz-Grundverordnung (DSGVO) und dem CLOUD Act aber nicht final auflösen.

Was das für regulierte Branchen in Deutschland heißt

Für Banken, Versicherungen, Kanzleien, Steuerberatungen, Kliniken und Behörden in Deutschland ist Dänemark mehr als eine Kuriosität aus dem Norden. Es ist die erste empirisch belastbare Antwort auf die Frage, ob ein schrittweiser Abbau von Microsoft-Abhängigkeiten im laufenden Betrieb funktioniert. Die Antwort lautet: ja, wenn man Souveränität als Prozess versteht und die richtigen Bausteine in der eigenen Hand behält.

Der erste dieser Bausteine ist die Plattform für sensible Inhalte – also alles, was Mandantendaten, Patientenakten, Vertragsentwürfe oder regulierte Kommunikation umfasst.

Die regulatorische Anschlussfähigkeit liefern die Zertifizierungen nach Cloud Computing Compliance Criteria Catalogue (BSI C5) und ISO 27001. Der neue BSI-Kriterienkatalog C3A („Criteria enabling Cloud Computing Autonomy") verfeinert die die Bewertung von Cloud-Souveränität noch einmal deutlich. In Summe ergibt das den Baustein, den ein deutsches Unternehmen oder eine deutsche Behörde mit hohem Schutzbedarf zuerst in eigener Kontrolle wissen sollte – bevor man sich an Office-Suiten und Endgeräte heranwagt.

Für Behörden ist das besonders relevant. Unsere Branchenseite Behörden & öffentlicher Dienst zeigt die typischen Use Cases im Detail.

Fazit: Pragmatismus schlägt Ideologie

Dänemark beweist 2026 etwas, das in den vergangenen Jahren auf vielen deutschen Strategiefolien fehlte: Digitale Souveränität ist kein Manifest, das in einer Sitzung verabschiedet wird. Sie ist eine Abfolge konkreter Entscheidungen, von denen jede einzelne überschaubar ist. Eine erste PC im Direktorenzimmer. Sechs Wochen Praxistest. Sechshundert Nutzer in einer Behörde. Fünfzehntausend in der ganzen Verwaltung.

Wer in Deutschland diese Logik adaptiert – Pilot, Parallelbetrieb, Eigentum an den strategischen Schichten – wird nicht morgen frei von US-Hyperscalern sein. Aber in fünf Jahren in der Position, sich nicht mehr fragen zu müssen, was passiert, wenn ein US-Anbieter politisch zur Bedrohung wird. Genau diese Position ist es, die Stefan Søsted meint, wenn er „Herr im eigenen Haus" sagt. Und genau dorthin sollten regulierte Unternehmen in Deutschland 2026 starten – nicht mit der großen ideologischen Geste, sondern mit dem ersten kontrollierten Schritt.