Security

Europas digitale Souveränität in Gefahr: Die Abhängigkeit von Microsoft

Nina Benkotic
by Nina Benkotic
11 min read
Januar 15, 2026

Von E-Mail-Servern über Videokonferenz-Tools bis hin zu Plattformen für die gemeinsame Dokumentenbearbeitung ist Europas digitale Infrastruktur eng mit amerikanischen Tech-Unternehmen verflochten – allen voran Microsoft. Microsoft 365 dominiert die IT-Landschaft des öffentlichen Sektors in vielen EU-Institutionen, während Microsoft Teams in zahlreichen Behörden und Krankenhäusern zum Standard für interne Kommunikation geworden ist.

Ein Bericht der Open Cloud Coalition (OCC) schätzt Microsofts Gesamtmarktanteil im EU-öffentlichen Sektor für Produktivitätssoftware auf 77 %. In einzelnen Mitgliedstaaten liegt der Anteil sogar noch höher – bis zu 84 % bei Kollaborationstools und 90–92 % bei Office-Produktivitätssoftware.

Auf Ebene der EU-Institutionen liefern Beschaffungsdaten aus Tenders Electronic Daily (TED) entsprechende Hinweise. In den Vergabebekanntmachungen werden häufig konkrete Anbieter genannt – etwa wenn ein Unternehmen einen Auftrag erhält oder in technischen Spezifikationen bzw. Kompatibilitätsanforderungen referenziert wird. Diese Daten ermöglichten es den Forschenden der Open Cloud Coalition (OCC), einen sogenannten „Incidence Share“ zu berechnen, indem sie erfassten, wie häufig Anbieter wie Microsoft im Vergleich zu anderen genannt werden.

Die Ergebnisse zeigen, dass Microsoft deutlich häufiger als jeder andere Wettbewerber erwähnt wird. Der Incidence Share lag 2023 zwischen 72 % und 91 % und stieg 2024 auf Werte zwischen 89 % und 100 % an.

Incidence shares at the eu level (2023-2024)

Daraus entsteht ein Paradox: Während europäische Institutionen an die DSGVO gebunden sind und verpflichtet werden, höchste Datenschutzstandards einzuhalten, liegt die Cloud-Infrastruktur, von der sie abhängen, häufig in der Hand US-amerikanischer Anbieter – und unterliegt damit amerikanischen Rechtsrahmen, nicht europäischen.

Durch das derzeit geltende EU-US Data Privacy Framework (DPF) werden diese US-Anbieter zwar – vorerst – als Anbieter mit einem „angemessenen Datenschutzniveau“ im Sinne der DSGVO anerkannt. Dadurch ist ihre Nutzung durch europäische Institutionen formal rechtlich legitimiert.

Die praktischen Auswirkungen werfen jedoch erhebliche souveränitätspolitische Fragen auf. Auf Grundlage von Gesetzen wie dem US CLOUD Act können amerikanische Behörden Anbieter wie Microsoft, Google oder Amazon dazu verpflichten, Daten herauszugeben – selbst dann, wenn diese Daten physisch in Europa gespeichert sind. In der Folge können hochsensible europäische Daten – von Gerichtsakten bis hin zu Bürgerdaten – weiterhin unter fremde Rechtsordnungen fallen oder von diesen beeinflusst werden.

Betrachtet man diese Datenlage und den zugrunde liegenden Rechtsrahmen, lässt sich festhalten: Europas wachsende Abhängigkeit von US-Cloud-Anbietern untergräbt unmittelbar seine digitale Souveränität – also die Fähigkeit, eigene Daten unabhängig zu kontrollieren, zu speichern und zu schützen. Die DSGVO mag auf dem Papier eingehalten werden, doch die tatsächliche Kontrolle über Infrastruktur und Zugriffsentscheidungen liegt häufig nicht in Brüssel, sondern in Washington oder Redmond.

Wie abhängig ist Europa von Microsoft und US-amerikanischen Kollaborationstools?

Zusammenfassend zeigt die Studie der Open Cloud Coalition (OCC), dass Microsoft im öffentlichen Sektor der EU eine dominierende Stellung in der IT-Beschaffung einnimmt. Die Marktanteile erreichen dabei bis zu 90 % bei Office-Produktivitätssoftware und rund 84 % bei Kollaborationstools, basierend auf dem bereinigten Marktanteil.

Für diese Berechnung nutzten die Forschenden öffentliche Beschaffungsdaten als Näherung, um auch den Einfluss der Partnerökosysteme von Microsoft und Google mit einzubeziehen. Dadurch wird deutlich, dass die Abhängigkeit nicht nur auf einzelne Produkte zurückzuführen ist, sondern auf ein breites, tief verankertes Ökosystem aus Plattformen, Integrationen und Dienstleistern.

adjusted market shares by segment at the eu level (2023)

Diese Dominanz wird durch Beschaffungspraktiken weiter verstärkt – etwa durch wiederholte Folgekäufe bestehender Kund:innen, Kompatibilitätsanforderungen sowie gebündelte Softwareangebote. All das erschwert es Institutionen zunehmend, zu alternativen Anbietern zu wechseln. Wie Computer Weekly anmerkt, wirft diese Konzentration ernste Fragen zur Tiefe der institutionellen Abhängigkeit von einem einzelnen ausländischen Anbieter auf – und zu den Risiken, die daraus für Europas digitale Autonomie und Resilienz entstehen.

Anbieter-Nennungen in der EU-öffentlichen Beschaffung: Analyse der Incidence Shares von Kollaborations- und Konferenztools

Auch bei Kollaborations- und Konferenzsoftware – also Tools zur Kommunikation und Zusammenarbeit zwischen Einzelpersonen und Gruppen, darunter Produkte wie Google Meet, Google Chat, Slack oder Zoom – zeigt sich ein ähnliches Bild. Der kumulierte Marktanteil US-amerikanischer Anbieter in diesem Segment liegt in der EU bei über 88 %.

 

baseline market shares

Die Forschenden der Open Cloud Coalition (OCC) haben zudem Daten zur Häufigkeit von Anbieter-Nennungen in Tenders Electronic Daily (TED) ausgewertet. So konnten sie ermitteln, welche Anbieter in öffentlichen Vergabeverfahren am häufigsten referenziert werden. Um eine bessere Vergleichbarkeit herzustellen, wurden zusätzlich sogenannte Incidence Shares berechnet – also der jeweilige Anteil eines Anbieters an allen Nennungen innerhalb der relevanten Region für die Jahre 2023 und 2024.

Incidence shares of named competitors

Incidence shares of named competitors 2024

Der ICC-E-Mail-Skandal: Ein Beispiel für Europas Verwundbarkeit

Doch wie verwundbar ist Europa tatsächlich? Ein besonders aufschlussreiches Beispiel dafür, wie grosse US-Tech-Konzerne amerikanisches Recht gegenüber europäischen und internationalen Institutionen durchsetzen können, ereignete sich im Mai 2025.

Wie die Associated Press berichtete, geriet Microsoft in die Kritik, nachdem das Unternehmen das E-Mail-Konto von Karim Khan, Chefankläger des Internationalen Strafgerichtshofs (IStGH), gesperrt hatte. Hintergrund waren US-Sanktionen gegen den IStGH, die im Februar von der Trump-Administration im Zusammenhang mit Ermittlungen zu Israel verhängt worden waren.

Obwohl dieser Vorgang breit medial aufgegriffen wurde, wies Microsoft die Darstellung entschieden zurück. Das Unternehmen erklärte, der IStGH habe Khans E-Mail-Kommunikation selbst auf den Dienst Proton verlagert. Eine offizielle Stellungnahme des IStGH liegt bislang nicht vor.

Gleichzeitig räumte Microsoft jedoch ein, seinen US-rechtlichen Verpflichtungen nachgekommen zu sein. Genau das wirft erhebliche Fragen zur Verwundbarkeit europäischer und internationaler Institutionen auf, die auf Infrastrukturen angewiesen sind, die nicht dem EU-Recht, sondern ausländischen Rechtsordnungen unterliegen.

Der Vorfall sorgte nicht nur für Irritation, sondern löste eine breite Kritik von Datenschutzexpert:innen, Jurist:innen und politischen Entscheidungsträger:innen in ganz Europa aus. Wie Computer Weekly berichtete, entfachte das Ereignis erneut die Debatte über den Mangel an demokratischer Kontrolle und rechtlicher Durchgriffsmöglichkeit, wenn essenzielle öffentliche Dienste an Unternehmen ausgelagert werden, die fremden Jurisdiktionen unterstehen.

Besonders beunruhigend ist dabei nicht allein die konkrete Handlung, sondern das Signal, das sie sendet:
Ein US-Konzern ist faktisch in der Lage, die Kommunikationsinfrastruktur eines souveränen internationalen Gerichts per Knopfdruck zu deaktivieren – ohne gerichtliches Verfahren, ohne Transparenz und ohne wirksame Rechtsmittel.

Der Vorfall untermauert die zentrale These, dass Europa keine strategische Autonomie erreichen kann, solange essenzielle digitale Dienste von ausländisch kontrollierten Plattformen abhängen. Zugleich stellt er die Annahme ernsthaft infrage, dass Cloud-Dienste US-amerikanischer Anbieter – selbst dann, wenn sie in europäischen Rechenzentren betrieben werden – jemals vollständig unter europäischer Hoheit stehen können.

Sind US-Tech-Anbieter überhaupt mit europäischem Recht vereinbar?

Microsoft und andere US-basierte Cloud-Anbieter betonen häufig ihre vollständige Konformität mit der EU-Datenschutz-Grundverordnung (DSGVO). Auf den ersten Blick erfüllen sie viele formale Anforderungen: Auftragsverarbeitungsverträge, Rechenzentren innerhalb der EU und Standardvertragsklauseln. Ein genauerer Blick offenbart jedoch eine zentrale rechtliche Spannung, die diese Zusicherungen grundsätzlich infrage stellt.

Der Kern des Problems liegt in der extraterritorialen Wirkung US-amerikanischen Rechts, insbesondere im Clarifying Lawful Overseas Use of Data Act – besser bekannt als CLOUD Act. Dieses Gesetz wurde 2018 verabschiedet und verpflichtet US-Technologieunternehmen, Daten auf Anordnung an amerikanische Behörden herauszugeben – unabhängig davon, wo sich diese Daten physisch befinden.
Das bedeutet: Selbst wenn europäische Daten auf Servern in Frankfurt oder Paris gespeichert sind, müssen Unternehmen wie Microsoft, Google oder Amazon einer entsprechenden Anordnung eines US-Gerichts nachkommen.

Damit werden zentrale Prinzipien der DSGVO direkt untergraben – darunter Datenminimierung, Zweckbindung und vor allem das Recht europäischer Bürger:innen, vor unverhältnismässiger oder rechtswidriger Überwachung geschützt zu werden.

Um diese transatlantische Rechtslücke zu schliessen, führten die EU und die USA im Juli 2023 das EU-US Data Privacy Framework (DPF) ein. Ziel war es, erneut einen rechtlichen Rahmen für den Datentransfer zwischen Europa und den USA zu schaffen. Die Erfahrung aus der Vergangenheit stimmt jedoch wenig optimistisch.

Das DPF ist bereits der dritte Anlauf nach Safe Harbour (2015 für ungültig erklärt) und Privacy Shield (2020 vom Europäischen Gerichtshof im Urteil Schrems II aufgehoben). Beide Vorgängerregelungen scheiterten daran, dass sie keinen ausreichenden Schutz vor Zugriffen US-amerikanischer Sicherheitsbehörden gewährleisteten. Kritiker:innen bemängeln, dass auch das DPF viele dieser strukturellen Schwächen beibehält, lediglich kosmetische Verbesserungen bietet und über keine wirklich durchsetzungsstarken Kontrollmechanismen verfügt.

Prominente Stimmen aus der Datenschutz-Community – darunter Max Schrems und die Organisation NOYB – haben bereits gewarnt, dass auch das DPF juristisch angreifbar ist und erneut vor Gericht scheitern könnte. Ein solcher Ausgang würde den transatlantischen Datentransfer abermals in eine Phase erheblicher Rechtsunsicherheit stürzen.

In der Praxis bedeutet das: Daten bei US-Cloud-Anbietern bleiben auch dann angreifbar, wenn sie in europäischen Rechenzentren gespeichert sind – und erfüllen möglicherweise nicht den DSGVO-Massstab eines „angemessenen Schutzniveaus“.

Diese Einschätzung wird auch von europäischen Datenschutzaufsichtsbehörden geteilt. Institutionen wie die Datenschutzkonferenz (DSK) in Deutschland haben wiederholt auf die ungelösten Compliance-Fragen hingewiesen. In mehreren deutschen Bundesländern und Kommunen wurde Microsoft 365 bereits aus Schulen und Behörden verbannt, da die datenschutzrechtliche Vereinbarkeit weiterhin als nicht geklärt gilt.

Europas passive Rolle bei der Förderung europäischer Alternativen

Die vorliegenden Studien zeigen, dass europäische Institutionen und öffentliche Verwaltungen weiterhin in grossem Umfang bei US-amerikanischen Tech-Konzernen einkaufen und in Vergabeverfahren Anbieter wie Microsoft, Google und Amazon klar bevorzugen. Diese Entscheidungen sind nicht nur technischer oder finanzieller Natur – sie sind auch politische Entscheidungen.

Der Bericht der Open Cloud Coalition (OCC) macht das Ausmass dieser Abhängigkeit deutlich. Wie Computer Weekly es formuliert, warnt die Analyse davor, dass Europa „schlafwandelnd in eine noch tiefere Abhängigkeit von Microsoft-Cloud-Technologien“ gerät. Die OCC-Ergebnisse zeigen, dass Microsoft in nahezu allen EU-Mitgliedstaaten einen Marktanteil von rund 80 % im Bereich Produktivitätssoftware im öffentlichen Sektor hält – in nationalen Ministerien, Gerichten, Schulen und Krankenhäusern oft sogar über 90 %.

Diese systemische Überabhängigkeit erzeugt einen sich selbst verstärkenden Teufelskreis. Weil Microsofts Werkzeuge allgegenwärtig sind, standardisieren Organisationen ihre IT-Landschaften zunehmend rund um dieses Ökosystem: Outlook, Teams, SharePoint, OneDrive und Azure werden zur Voreinstellung. Diese Dominanz ermöglicht es Microsoft, massiv in neue Funktionen, Integrationsschichten und Enterprise-Support zu investieren – finanziert zu einem erheblichen Teil durch europäische Steuergelder.

Gleichzeitig werden europäische Softwareanbieter verdrängt – nicht wegen fehlender technologischer Kompetenz oder Innovationskraft, sondern wegen mangelnder institutioneller Unterstützung. Ohne substanzielle öffentliche Aufträge oder Sichtbarkeit in Vergabeverfahren fällt es lokalen Anbietern schwer zu skalieren. Damit wird genau jene digitale Autonomie untergraben, die die EU politisch immer wieder betont.

Der OCC-Bericht zeigt zudem, dass Ausschreibungsdesigns – etwa Bündelung von Leistungen, Wiederholungsvergaben oder enge Kompatibilitätsanforderungen – erheblich zur hohen Abhängigkeit von Microsoft beigetragen haben und europäische Alternativen faktisch ausschliessen.

Ironischerweise steht dieses Vorgehen im Widerspruch zu den politischen Zielen der EU. Während Brüssel lautstark über digitale Souveränität, Cybersicherheit und Innovation spricht – etwa im Rahmen von GAIA-X oder der Europäischen Datenstrategie –, konterkarieren die alltäglichen Beschaffungspraktiken diese Ambitionen. Wie ein Artikel der Financial Times berichtet, priorisiert der öffentliche Sektor trotz offizieller Bekenntnisse zur digitalen Souveränität weiterhin amerikanische Tech-Giganten, wodurch es für europäische Anbieter immer schwieriger wird, Fuss zu fassen.

Es entsteht ein politisches Paradox: Europäische KMU und Innovatoren werden rhetorisch gefördert, in der Praxis jedoch kaum berücksichtigt. Für viele europäische Anbieter bedeutet das, in einem dauerhaften Zielkonflikt zu stecken – zur Innovation ermutigt, aber selten dafür belohnt.

Ohne einen grundlegenden Mentalitätswandel und eine Neuausrichtung der öffentlichen Beschaffungsstrategien riskiert Europa, sein digitales Rückgrat dauerhaft an ausländische Akteure auszulagern. Die Folge wäre nicht nur eine erhöhte Anfälligkeit für rechtliche Eingriffe von aussen, sondern auch eine strategische Abhängigkeit, die sich gerade in Krisenzeiten als gravierende Schwäche erweisen kann.

Eine europäische Alternative: Digital Samba

In einem Markt, der von US-basierten Plattformen dominiert wird, hebt sich Digital Samba als eine der wenigen vollständig in Europa entwickelten Videokonferenzlösungen hervor. Die Plattform wurde gezielt für die Anforderungen moderner Teams, Telemedizin-Anbieter, Bildungseinrichtungen und Organisationen des öffentlichen Sektors konzipiert.

Dabei sind es nicht nur die Funktionen, die Digital Samba unterscheiden – sondern vor allem die Grundprinzipien, auf denen die Plattform aufbaut.

Im Gegensatz zu amerikanischen Anbietern garantiert Digital Samba eine vollständige Datenhoheit innerhalb der EU. Sämtliche Daten – ob Video, Audio, Chatverläufe oder Nutzungsmetadaten – werden sicher in europäischen Rechenzentren gespeichert und im Einklang mit der DSGVO sowie unter Aufsicht europäischer Datenschutzbehörden verarbeitet. Sie unterliegen nicht dem Einfluss ausländischer Gesetze wie dem US CLOUD Act.

Was bedeutet das konkret?

  • Kein Risiko der Datenabführung:
    Sensible Kommunikation und Nutzerdaten können nicht rechtmässig von ausser­europäischen Regierungen angefordert werden.

  • Ende-zu-Ende-Verschlüsselung (E2EE):
    Inhalte bleiben vertraulich – selbst gegenüber Digital Samba selbst.

  • Vollständig anpassbares SDK und API:
    Entwickler:innen können sichere Videofunktionen tief in ihre Anwendungen integrieren und behalten dabei die volle Kontrolle über Nutzererlebnis, Geschäftslogik und Compliance.

  • In Europa entwickelt:
    Die Plattform wird von einem europäischen Team entwickelt und betrieben. Datenschutz, Transparenz und Nutzervertrauen sind architektonische Grundprinzipien – nicht nachträglich hinzugefügt, sondern von Anfang an mitgedacht.

Digital Samba ist damit mehr als nur eine datenschutzkonforme Alternative. Die Plattform zeigt, dass europäische Innovation in der Lage ist, Kommunikationsinfrastruktur auf Weltklasse-Niveau bereitzustellen – ohne Kompromisse.

Und dennoch haben es Plattformen wie Digital Samba oft schwer. Trotz hoher Sicherheitsstandards, Flexibilität und regulatorischer Klarheit werden sie im öffentlichen Sektor häufig zugunsten internationaler Standardlösungen übergangen. Die zusammengetragenen Quellen zeigen deutlich: Die Dominanz US-amerikanischer Anbieter im EU-öffentlichen Sektor ist nicht allein das Ergebnis freier Marktkräfte, sondern auch Ausdruck eines strukturellen politischen Versagens, europäische Alternativen wirksam zu fördern.

Wenn die Europäische Union digitale Souveränität ernst meint, muss sie über blosse Absichtserklärungen hinausgehen und die Alternativen finanzieren und priorisieren, die sie politisch unterstützt sehen will. Dazu gehört eine Neuausrichtung öffentlicher Beschaffung, das Aufbrechen von Vendor-Lock-in-Strukturen und die konsequente Bevorzugung von Anbietern, die nicht nur DSGVO-konform sind, sondern auch den langfristigen strategischen Interessen Europas entsprechen.

Fazit

Wenn die EU digitale Souveränität ernsthaft erreichen will, muss sie über reine Rhetorik hinausgehen und privacy-first, europäische Alternativen wie Digital Samba aktiv unterstützen – nicht nur durch Innovationsförderung, sondern auch durch strukturelle Veränderungen in Beschaffung und Regulierung.

Selbst die Europäische Kommission räumt ein, dass es angesichts des enormen Kapitalbedarfs und der Gefahr von Fehlallokationen kaum realistisch ist, vollständig neue systemische Herausforderer für die US-Cloud-Giganten von Grund auf aufzubauen. Gleichzeitig betont sie jedoch, dass Europa aus souveränitätspolitischen Gründen zwingend eine leistungsfähige eigene Cloud-Industrie erhalten muss, die sichere, vertrauenswürdige „Sovereign-Cloud“-Lösungen bereitstellen kann.

Um dieses Ziel zu erreichen, sollte die EU EU-weite Datensicherheitsrichtlinien einführen, die eine Zusammenarbeit zwischen EU- und Nicht-EU-Cloud-Anbietern ermöglichen, ohne dabei Verschlüsselung oder geschützte Dienste europäischer Anbieter zu untergraben. Darüber hinaus braucht es verbindliche Standards für die öffentliche Beschaffung, um ein faireres Wettbewerbsumfeld zu schaffen, in dem europäische Unternehmen wie Digital Samba realistisch gegen dominante nicht-europäische Akteure antreten können.

Gleichzeitig sollte die EU den Aufbau eines niedrigschwelligen digitalen transatlantischen Marktplatzes vorantreiben, von dem kleine und mittlere Unternehmen auf beiden Seiten des Atlantiks profitieren – durch geringere regulatorische Hürden und besseren Zugang zu globalen Technologie- und Lieferketten.

Ohne solche politischen Kurskorrekturen wird Europa weiterhin seine digitale Infrastruktur auslagern – und damit letztlich auch seine strategische Autonomie.

Quellen

  1. Quantifying EU public sector dependence on productivity software
  2.  Microsoft's ICC email block reignites European data sovereignty concerns
  3. Europe ‘sleepwalking’ into deeper dependency on Microsoft cloud technologies, claims OCC
  4. Data Privacy Framework (DPF) Program Overview
  5. Market share of videoconferencing software worldwide in 2024, by program
  6. EU-U.S. data privacy framework
  7. Promoting public safety, privacy, and the rule of law around the world: The purpose and impact of the CLOUD Act
  8. Microsoft partnerships drive innovation and growth in Europe in times of uncertainty
  9. Microsoft announces new European digital commitments
  10. Analysis of Microsoft’s new “European digital commitments”
  11. Microsoft denies having suspended any services to ICC
  12. Trump’s sanctions on ICC prosecutor have halted tribunal’s work
  13. Microsoft didn’t cut services to International Criminal Court, its president says
  14. Trump signs order imposing sanctions on International Criminal Court over investigations of Israel
  15. Microsoft 365 banned in German schools over privacy concerns
  16. Danish DPA Banned the Use of Google Chromebooks and Google Workspace in Schools in Helsingor Municipality
  17. German Data Protection Authorities’ new findings on Microsoft 365 - well founded criticism or missed opportunity?
  18. Can Europe break free of American tech supremacy?
  19. The future of European competitiveness

 
Previous story
← Datenschutz im virtuellen Klassenzimmer: Best Practices für Lehrkräfte und IT
Warum Zoom und Microsoft weiterhin kritisch gesehen werden
ZOOM and Microsoft cannot be used legally in the EU because it is not GDPR-compliant - Digital Samba
Security

Warum Zoom und Microsoft weiterhin kritisch gesehen werden

Januar 6, 2026 3 min read
DSGVO und EU-Datenhosting: Was Sie wissen müssen
GDPR and EU Data Hosting: What You Need to Know
Security

DSGVO und EU-Datenhosting: Was Sie wissen müssen

Oktober 7, 2025 10 min read
CLOUD Act: Risiken für EU-Firmen und Compliance-Verstöße
Why the CLOUD Act Is a Threat to Your Business (Even If You're in Europe)
Security

CLOUD Act: Risiken für EU-Firmen und Compliance-Verstöße

September 30, 2025 7 min read