Skip to main content

UniteOS

Digitale Souveränität für NGOs: Ein Leitfaden zu Datenhoheit und Infrastruktur-Resilienz

TL;DR: Das Wichtigste in 30 Sekunden

Die meisten NGOs, Stiftungen und Verbände nutzen für E-Mail, Dateien, Chat und Videokonferenz US-Cloud-Dienste (Microsoft, Google, Zoom, Slack). Der US CLOUD Act und FISA 702 erlauben US-Behörden Zugriff auf diese Daten, unabhängig davon, wo der Server physisch steht. Es gibt zwei Wege zu mehr Souveränität: einzelne Open-Source-Tools selbst zusammenstellen und hosten (günstiger, aber Integrationsaufwand, deckt nur interne Zusammenarbeit ab) oder eine konsolidierte souveräne Plattform wie UniteOS nutzen, die interne Kollaboration und die externe Vernetzung mit Ehrenamtlichen, Mitgliedern und Partnerorganisationen in einer Umgebung zusammenführt. Beide Wege sind legitim, die Wahl hängt von IT-Ressourcen und davon ab, ob externe Vernetzung eine Rolle spielt.

Einleitung: Was ist das Problem?

Der Dritte Sektor – NGOs, Stiftungen, Verbände – lebt von Vertrauen. Vertrauen in die Mission, Vertrauen in die Kompetenz, Vertrauen in den Schutz von Daten. Doch während Organisationen intern alles richtig machen können, sind sie extern einer unsichtbaren Abhängigkeit ausgesetzt: ihre digitale Infrastruktur.

Die meisten NGOs nutzen heute Cloud-Services von drei US-amerikanischen Konzernen: Microsoft (Teams, OneDrive, Exchange), Google (Gmail, Drive, Docs) und Amazon (AWS). Diese Dienste sind praktisch, kosteneffizient (zumindest kurzfristig) und weltweit verfügbar. Aber sie sind nicht neutral. Sie gehören jemandem. Und dieser Jemand hat Interessen, die nicht immer mit euren übereinstimmen.

Digitale Souveränität ist die Antwort auf diese Abhängigkeit. Sie bedeutet die Fähigkeit zur selbstbestimmten Entscheidung über eure digitalen Werkzeuge und Daten.


1. Was ist digitale Souveränität?

Digitale Souveränität ist das Recht, selbst darüber zu entscheiden, welche Technologie ihr nutzt, wo eure Daten liegen und wie sie verwaltet werden.

Sie besteht aus drei Komponenten:

Technische Souveränität: Ihr versteht die Systeme, auf denen eure Daten laufen, oder habt Zugang zu Menschen, die das können. Der Code ist transparent (Open Source) oder zumindest dokumentiert.

Rechtliche Souveränität: Eure Daten unterliegen europäischen Gesetzen (DSGVO, nationale Datenschutzregelungen), nicht dem CLOUD Act oder FISA 702 der USA. Die Anbieter haben keinen Zugriff auf eure Daten, ohne dass es ein echtes Rechtshilfeverfahren gibt.

Ökonomische Souveränität: Ihr seid nicht einem Anbieter ausgeliefert, dessen Preise oder Bedingungen sich ändern können. Die Infrastruktur ist portabel, ihr könntet notfalls den Anbieter wechseln, ohne dass eure Daten verloren gehen.


2. Warum ist digitale Souveränität für NGOs wichtig?

2.1 Weil NGOs sensible Daten verwalten

NGOs arbeiten mit vulnerablen Gruppen: Geflüchtete, Missbrauchsopfer, Whistleblower, verfolgte Minderheiten. Ihre Daten sind nicht nur persönlich, sie sind oft lebensbedrohlich. Ein Datenleck kann die Vertrauensbeziehung zerstören und das Leben der Betroffenen gefährden.

Wer diese Daten auf US-Servern speichert, gibt damit implizit die Kontrolle auf, egal wie gute Verschlüsselung im Marketing versprochen wird.

2.2 Weil NGOs unabhängig sein müssen

Die Legitimität von NGOs beruht auf ihrer Unabhängigkeit. Sie können nur glaubwürdig kritisieren, wenn sie nicht von denjenigen abhängig sind, die sie kritisieren. Wenn eine Umwelt-NGO ihre Infrastruktur bei AWS aufsetzt, ist sie indirekt von Amazon abhängig, einem Unternehmen, das in vielen Ländern in Umweltzerstörung verstrickt ist.

2.3 Weil die Regeln sich ändern

NGOs planen für Jahre. Aber die digitalen Rahmenbedingungen ändern sich in Monaten. Hier die wichtigsten Risiken:

Extraterritoriale US-Gesetzgebung (CLOUD Act, FISA 702): US-Behörden können auf Daten von US-Unternehmen zugreifen, egal wo diese Daten liegen. Der US CLOUD Act von 2018 wurde explizit dafür geschaffen, um langwierige internationale Rechtshilfeverfahren zu umgehen. Für NGOs bedeutet das: Eure Daten können ohne EU-Rechtsbehelf abgerufen werden.

Rechtliche Instabilität: Das EU-US Data Privacy Framework (DPF) soll Rechtssicherheit für Datentransfers schaffen. Datenschutzexperten warnen seit längerem, dass die zugrundeliegende US-Gesetzgebung nicht reformiert wurde. Wie fragil diese Konstruktion ist, zeigt ein Urteil des US Supreme Court vom Juni 2026: Das Gericht erklärte die Unabhängigkeit der FTC für verfassungswidrig, jener Behörde, auf die sich das DPF nach Angaben der Datenschutzorganisation noyb in 259 Textstellen als Kontrollinstanz stützt. Noyb hat die EU-Kommission bereits aufgefordert, die Angemessenheitsentscheidung aufzuheben. Das Abkommen bleibt formal in Kraft, bis die Kommission es widerruft oder der EuGH es kippt, aber die Grundlage, auf der es steht, ist erschüttert. (Quelle: heise online)

Plattform-Willkür: Zoom, Slack, X, LinkedIn ändern ihre Bedingungen, Features und Algorithmen ohne echte Rücksprache. Was heute erlaubt ist, kann morgen verboten werden. Was heute kostenlos ist, kann morgen kostenpflichtig werden. Was heute privat ist, kann morgen für KI-Training genutzt werden.


3. Die drei Bedrohungsdimensionen

3.1 Dimension 1: Die rechtliche Verwundbarkeit

Das Problem: Die DSGVO verpflichtet euch, Daten zu schützen und deren Sicherheit zu gewährleisten. Aber wenn ihr eure Daten bei Microsoft speichert, habt ihr faktisch die Kontrolle aufgegeben. Microsoft kann gezwungen werden, euch Daten herauszugeben, ohne dass die DSGVO das verhindern könnte.

Konkret:

  • FISA 702 erlaubt US-Geheimdiensten, die Kommunikation von Nicht-US-Personen ohne richterlichen Beschluss zu überwachen, wenn das "Geheimdienstinteresse" dient (ein extrem breiter Begriff).
  • Der CLOUD Act erlaubt US-Strafverfolgungsbehörden, Daten von US-Unternehmen zu fordern, auch wenn diese auf EU-Servern liegen.
  • Das Problem mit "Sovereign Cloud": Angebote wie "AWS European Sovereign Cloud" versprechen, dass Daten die EU nicht verlassen. Aber solange die Muttergesellschaft ihren Sitz in den USA hat, greift der CLOUD Act trotzdem.
  • Ein öffentliches Eingeständnis: Vor dem französischen Senat musste der Chefjustiziar von Microsoft France, Anton Carniaux, im Juni 2025 unter Eid einräumen, dass er nicht garantieren kann, dass Daten europäischer Bürger:innen aus EU-Rechenzentren ohne Zustimmung der Behörden an die US-Regierung übermittelt werden. (Quelle: heise online)
  • Ein konkreter Fall: 2025 verhängte die US-Regierung Sanktionen gegen Ankläger und Richter:innen des Internationalen Strafgerichtshofs in Den Haag, was ihnen den Zugriff auf ihre Microsoft-Cloud-Konten faktisch erschwerte. Der IStGH reagierte mit dem Wechsel zu OpenDesk, einer von der Bundesregierung geförderten Open-Source-Bürosoftware. (Quelle: Broadcom)

Die Konsequenz: Wer mit Whistleblowern arbeitet oder Menschenrechtsverletzungen dokumentiert, sollte nicht davon ausgehen, dass die DSGVO allein reicht.

3.2 Dimension 2: Die ökonomische Abhängigkeit

Das Problem: Cloud-Services sind praktisch, weil sie einfach zu skalieren sind. Das macht sie aber auch zu einer schwarzen Box für euer Budget.

Konkret:

  • Grants als Köder: Microsoft hat NGOs jahrelang kostenlose Business-Premium- und E1-Lizenzen gegeben. Mit dem Auslaufen dieser Grants zum 1. Juli 2025 entstehen für betroffene Organisationen Zusatzkosten im mittleren drei- bis vierstelligen Bereich pro Jahr, bei größeren Strukturen mit vielen Lizenzen auch mehr. Weltweit waren rund 400.000 Nonprofits betroffen, für eine 20-köpfige Organisation etwa 1.320 US-Dollar Mehrkosten pro Jahr. (Quelle: Whole Whale) Die kostenlose Business-Basic-Stufe (bis 300 Nutzer, ohne Desktop-Apps) bleibt bestehen.
  • Preiserhöhungen sind Programm: Google, Microsoft und Slack erhöhen regelmäßig ihre Preise. Ihr habt dann die Wahl: zahlen oder downgraden.
  • Vendor Lock-in: Je länger ihr einen Dienst nutzt, desto schwächer wird die Alternative. Ein Wechsel kostet nicht nur Geld (Migration, Training), sondern auch Risiko. Das macht euch erpressbar.
  • API-Erpressung: X (Twitter) zeigt das deutlich. Kostenlosen API-Zugang geben, dann plötzlich hohe monatliche Gebühren verlangen. NGOs, die Apps zum Finden von Erdbebenopfern bauten, mussten den Dienst einstellen.

Die Konsequenz: Ein signifikanter Anteil eures IT-Budgets fließt zu US-Konzernen, deren Geschäftsmodell darauf basiert, euch irgendwann zur Kasse zu bitten.

3.3 Dimension 3: Der technologische Kontrollverlust

Das Problem: KI-Features werden in alle Dienste integriert. Diese Features basieren auf Trainingsdaten. Und eure Daten sind diese Trainingsdaten.

Konkret:

  • LinkedIn trainiert KI mit euren Daten: Seit dem 3. November 2025 nutzt LinkedIn auch Daten europäischer Mitglieder (Profil, Beiträge, Kommentare) standardmäßig für das Training generativer KI-Modelle. Die Einstellung ist per Opt-out, nicht Opt-in. Nach Kritik der irischen und niederländischen Datenschutzbehörden schränkte LinkedIn Umfang und Zeitraum der genutzten Daten nachträglich ein. (Quelle: heise online)
  • Slack nutzt Kundendaten für Machine-Learning-Funktionen wie Suche und Autocomplete. Der Opt-out ist nicht prominent platziert.
  • Shadow AI ist die neue Bedrohung: Mitarbeitende nutzen ChatGPT, um schnell Texte zu schreiben, und laden dabei Strategiepapiere hoch. Das ist kein hypothetisches Risiko: 2023 luden Samsung-Mitarbeitende proprietären Firmencode zum Debugging in ChatGPT hoch, der Code landete in den Trainingsdaten. Ein Datenleck durch Bequemlichkeit.

Die Konsequenz: Ihr habt keine Kontrolle mehr darüber, was mit euren Daten passiert, wenn sie in US-Cloud-Dienste wandern.


4. Der Paradigmenwechsel: Open Source und europäische Infrastruktur

Digitale Souveränität ist nicht möglich, ohne die Abhängigkeit von US-Konzernen zu senken. Das bedeutet einen Paradigmenwechsel in drei Punkten, plus eine grundsätzliche Wegentscheidung, die wir in 4.4 einordnen.

4.1 Open Source statt Proprietär

Was ist Open Source? Der Code ist öffentlich verfügbar. Jeder kann ihn lesen, überprüfen, verbessern. Es gibt keine versteckten Features, keine geheimen Datenflüsse, keine Hintertüren.

Das ist nicht gleichbedeutend mit "kostenlos". Es bedeutet Transparenz. Und Transparenz ist die Voraussetzung für Vertrauen.

Konkrete Alternativen für einzelne Aufgaben:

Aufgabe Proprietär Open Source (einzeln)
E-Mail & Kalender Microsoft 365, Google Workspace Nextcloud, Open-Xchange, Mailbox.org
Dateien & Kollaboration OneDrive, Google Drive Nextcloud, Syncthing
Chat Microsoft Teams, Slack Matrix (Element), Mattermost
Videokonferenz Zoom, Google Meet Jitsi, BigBlueButton
Projektmanagement Asana, Monday OpenProject, Plane
Wissensmanagement Confluence, OneNote XWiki, Nextcloud Collectives
Vernetzung mit Ehrenamtlichen, Mitgliedern, externen Partnerorganisationen (meist gar nicht abgedeckt, sondern E-Mail-Verteiler oder WhatsApp-Gruppen) Keine der obigen Tools deckt das ab

Wichtig: Open Source ist nicht automatisch besser. Aber der Code ist überprüfbar, Sicherheitslücken können unabhängig geprüft werden, und die Zukunft des Tools hängt nicht von der Geschäftsentscheidung eines US-Konzerns ab.

Die letzte Zeile der Tabelle ist der Grund für Abschnitt 4.4.

4.2 Europäische und dezentralisierte Hosting

Das Problem mit US-Hosting: Auch wenn Daten physisch in Frankfurt gespeichert sind, greift der CLOUD Act zu, solange der Anbieter ein US-Unternehmen ist. US-Provider sind zudem kooperativer mit US-Behörden als mit EU-Behörden.

Europäische Alternativen: Hetzner (Deutschland), OVH (Frankreich), Infomaniak (Schweiz), Scaleway (Frankreich). Diese Provider haben keinen US-Mutterkonzern und unterliegen europäischen Gesetzen.

Die Ausgangslage zeigt, wie sehr diese Alternativen noch die Ausnahme sind: US-Hyperscaler halten rund 70 Prozent des europäischen Cloud-Infrastrukturmarkts, europäische Anbieter kommen nur auf etwa 15 Prozent, ein Rückgang von 29 Prozent im Jahr 2017. (Quelle: heise online) Gleichzeitig wächst die Nachfrage: 60 Prozent der IT-Verantwortlichen in Westeuropa wollen den Einsatz lokaler Cloud-Anbieter ausbauen, und der europäische Markt für souveräne Cloud-Dienste soll von aktuell rund 20 Milliarden Euro auf über 100 Milliarden Euro bis 2031 wachsen. (Quelle: IT-Administrator)

Noch weiter geht Selbst-Hosting: maximale Kontrolle, aber auch mehr erforderliche Expertise.

4.3 Föderierte und dezentralisierte Netzwerke statt Plattform-Monopole

X, Meta, LinkedIn sind zentralisiert. Ein Eigentümer entscheidet die Regeln.

Das Fediverse ist die Alternative: ein dezentralisiertes Netzwerk kommunizierender Plattformen. Mastodon (Microblogging), PeerTube (Video), Pixelfed (Fotos). Eine NGO kann eine eigene Mastodon-Instanz betreiben und behält die volle Kontrolle über Moderationsregeln und Datenschutz, bleibt aber mit allen anderen föderierten Instanzen verbunden.

4.4 Die konsolidierte Alternative: Wenn eine Plattform reicht statt fünf

Die Tabelle in 4.1 löst ein bestimmtes Problem gut: interne Werkzeuge souverän machen. Aber sie löst ein anderes Problem gar nicht, das für die meisten NGOs, Stiftungen und Verbände genauso real ist: die Koordination mit Menschen, die nicht auf der Gehaltsliste stehen. Ehrenamtliche, Ortsgruppen, Mitgliedsvereine, Alumni, Partnerorganisationen. Für diese Zusammenarbeit gibt es in der obigen Tabelle keine Zeile, weil keines der Tools dafür gebaut ist. In der Praxis heißt das: E-Mail-Verteiler, WhatsApp-Gruppen, Excel-Listen, egal wie souverän die interne IT wird.

Der DIY-Weg aus Abschnitt 4.1 bis 4.3 heißt: fünf bis sechs einzelne Tools selbst zusammenstellen, hosten, aktuell halten und miteinander verbinden. Das funktioniert und ist günstiger (siehe Abschnitt 7), erfordert aber Integrationsaufwand und deckt die externe Vernetzung nicht ab.

Der andere Weg ist eine konsolidierte Plattform, die beide Ebenen von Anfang an zusammenführt. UniteOS, entwickelt von der Berliner Genossenschaft wechange eG, ist ein Beispiel dafür: Open Source (AGPL 3.0), EU-Hosting, und funktional deckt es Dateien, Aufgaben, Chat und Video ab, kombiniert mit Profilen, Vernetzung und eigenen digitalen Räumen für externe Gruppen. Wechange betreibt seit 2016 mit wechange.de selbst eine Community-Plattform mit über 80.000 Nutzenden auf dieser Basis.

Das ist kein Ersatz für Microsoft Teams oder Slack im Sinne eines 1:1-Vergleichs, sondern eine andere Kategorie: eine Plattform, die intern und extern in einer souveränen Umgebung funktioniert, ohne dass eine eigene IT-Abteilung fünf Systeme administrieren und verbinden muss. Der Preis dafür ist Integrationsfreiheit: Wer bereits tief in einzelne Speziallösungen investiert hat, tauscht Flexibilität gegen Konsolidierung.

Wann der DIY-Weg sinnvoller ist: eigene IT-Kapazität vorhanden, keine oder geringe externe Vernetzung nötig, maximale Freiheit bei der Tool-Auswahl gewünscht.

Wann eine konsolidierte Plattform sinnvoller ist: föderale oder dezentrale Struktur ohne bestehende gemeinsame IT (Verbände mit Landesverbänden und Vereinen, Dachorganisationen mit Ortsgruppen), Koordination mit Ehrenamtlichen oder externen Partnern ist zentraler Teil der Arbeit, begrenzte eigene IT-Ressourcen für Betrieb und Integration mehrerer Systeme.


5. Modellrechnungen: Zwei mögliche Umstiegspfade

Die folgenden zwei Szenarien sind Modellrechnungen zur Orientierung, keine dokumentierten Fallstudien realer Organisationen. Sie zeigen plausible Kostenverläufe und Zeitlinien für den DIY-Weg aus Abschnitt 4.1 bis 4.3.

Modell 1: Die Stiftung (mittelgroß, 20 Mitarbeitende)

Ausgangslage: Microsoft 365 für alles, Slack für Kommunikation, Twitter als Kanal. Geschätzte Kosten: rund 2.000 Euro/Monat.

Möglicher Ablauf:

  1. Pilot: Nextcloud + Matrix bei einem europäischen Provider für eine Arbeitsgruppe.
  2. Parallel: Mastodon-Instanz aufsetzen.
  3. Nach mehrmonatigem Pilotbetrieb: vollständige Migration, falls der Pilot überzeugt.
  4. Mögliches Ergebnis: deutlich geringere laufende Kosten, volle Datenhoheit, kein CLOUD-Act-Risiko mehr für die migrierten Dienste.

Realistische Timeline: 6 bis 9 Monate von Pilot zu vollständigem Betrieb.

Modell 2: Der Verband (groß, 150 Hauptamtliche plus Ehrenamtliche)

Ausgangslage: AWS für Webseite und Datenbanken, Microsoft 365 für Office, historisch gewachsene Abhängigkeiten.

Möglicher Ablauf:

  1. Audit: Wo liegen die kritischen Daten? (Mitgliederdatenbanken, Spendenquellen, Strategiedokumente)
  2. Priorisierung: kritische Daten zuerst migrieren.
  3. Kostenteilung: Zusammenarbeit mit anderen Verbänden bei gemeinsamem Hosting.
  4. Schrittweise Migration über ein bis zwei Jahre.

Wichtiger Zusatzpunkt bei diesem Profil: Ein Verband mit Landesverbänden und angeschlossenen Vereinen hat oft nie eine gemeinsame interne IT gehabt, jede Ebene hat höchstens ihre eigene oder gar keine. Hier stellt sich vor der Tool-Auswahl eine vorgelagerte Frage: Lohnt sich der Aufbau von fünf einzelnen Systemen für eine Struktur, die ohnehin auch nach außen zu Vereinen und Mitgliedern vernetzt sein muss? Das ist der Fall, in dem eine konsolidierte Plattform (Abschnitt 4.4) den DIY-Weg oft schlägt, nicht wegen des Preises, sondern weil sie beide Ebenen von Anfang an mitdenkt.


6. Praktische Roadmap: Wie ihr anfangen könnt

Phase 1: Situationsanalyse (Monat 1 bis 2)

Audit der Abhängigkeiten: Welche US-Services nutzt ihr? Welche Daten liegen wo (öffentlich, intern, sensibel)? Welche Services sind kritisch? Was kostet es heute?

Beispiel-Kategorisierung: Kritisch (Mitarbeiterdaten, Spendenquellen, Strategiedokumente) muss raus. Wichtig (interne Projektdaten, Team-Kommunikation) sollte raus. Unkritisch (öffentliche Webseite, Social Media) kann warten.

Zusätzliche Leitfrage: Gibt es überhaupt eine bestehende gemeinsame IT über die eigene Organisation hinaus, etwa zu Ortsgruppen, Vereinen oder Ehrenamtlichen? Falls nein, gehört Abschnitt 4.4 in diese Analyse.

Phase 2: Pilot (Monat 3 bis 4)

Wählt einen Use-Case, entweder eine Abteilung/ein Projekt oder ein spezifisches Problem. Macht einen Piloten, entweder mit einzelnen Open-Source-Tools bei einem europäischen Provider, oder mit einer konsolidierten Plattform, wenn externe Vernetzung von Anfang an Teil des Bedarfs ist.

Lernziele: Wie funktioniert die Alternative wirklich? Welche Trainings brauchen Mitarbeitende? Wo gibt es Reibungspunkte?

Phase 3: Rollout (Monat 5 bis 12)

Skaliert auf mehr Mitarbeitende, migriert kritische Daten zuerst, lasst alte Systeme parallel laufen, bis Vertrauen da ist.

Phase 4: Stabilisierung (Monat 12+)

Kritische Daten migriert, alte US-Services abgeschaltet oder nur noch für Unkritisches genutzt, Team trainiert, Backups und Sicherheitsprotokolle etabliert.


7. Was kostet das?

Kostenvergleich: DIY-Weg (Beispiel 50-köpfige NGO)

Status quo (Beispiel):

  • Microsoft 365: rund 250 Euro/Monat
  • Slack: rund 300 Euro/Monat
  • Zoom: rund 100 Euro/Monat
  • AWS (Webseite): rund 150 Euro/Monat
  • Summe: rund 800 Euro/Monat

Mit Open Source, einzeln zusammengestellt:

  • Nextcloud (Mail, Dateien, Kalender, Kontakte) bei einem europäischen Provider: rund 50 Euro/Monat
  • Matrix (Chat), selbst gehostet: rund 20 Euro/Monat
  • Jitsi (Videokonferenz), selbst gehostet: rund 30 Euro/Monat
  • Server für Dateien, Jitsi und Matrix: rund 100 Euro/Monat
  • OpenProject (Projektmanagement): rund 30 Euro/Monat
  • Summe: rund 230 Euro/Monat

Plus einmalig Migration und Training (grob 5.000 bis 10.000 Euro je nach Größe) und laufende Betreuung je nach Eigeninitiative.

Diese Rechnung deckt weiterhin nicht die externe Vernetzung ab (siehe 4.4).

Kostenvergleich: Konsolidierte Plattform (Beispiel UniteOS)

Nach öffentlich verfügbarem Preismodell von UniteOS: einmalige Einrichtung ab 9.000 Euro, danach ab 450 Euro/Monat für Hosting, Wartung, Support und Updates. Der Preis ist unabhängig von der Nutzerzahl, 50 oder 5.000 Nutzende kosten gleich viel.

Damit ist die konsolidierte Plattform monatlich teurer als der reine DIY-Zusammenbau (rund 450 statt rund 230 Euro), aber sie ersetzt mehrere separate Integrationsprojekte durch eines und deckt zusätzlich die externe Vernetzung ab, für die es im DIY-Weg keine Entsprechung gibt. Der Vergleich ist also nicht "billiger oder teurer", sondern "wofür bezahlt ihr": Integrationsaufwand selbst tragen und dafür günstiger fahren, oder dafür bezahlen, dass diese Arbeit bereits gemacht ist und externe Akteure von Anfang an mitgedacht sind.

Sparpotenzial ggü. dem Status quo: in beiden Fällen deutlich, abhängig vom Ausgangspunkt.


8. Die häufigsten Einwände und Antworten

"Das ist technisch zu kompliziert für uns."

Nextcloud und Matrix sind nicht schwerer zu bedienen als Outlook oder Slack im täglichen Betrieb. Die erste Installation ist ein Technik-Projekt, der laufende Betrieb ist meist unkompliziert. Es gibt inzwischen spezialisierte Dienstleister, die das übernehmen.

"Wir brauchen die Microsoft-Integration."

Nextcloud kann mit Microsoft-Formaten arbeiten, Matrix kann über eine Bridge mit Slack kommunizieren. Das meiste funktioniert. Hundertprozentige Kompatibilität ist auch bei proprietären Lösungen eine Illusion.

"Das ist doch nur für Tech-Nerds."

Es gibt inzwischen gehostete Services, die Open-Source-Software als SaaS anbieten. Ihr müsst dann nicht selbst hosten.

"Aber AWS, Google und Microsoft sind doch sicher?"

Sicher vor Hackern, ja. Nicht vor dem CLOUD Act. Datensicherheit und digitale Souveränität sind zwei verschiedene Dinge.

"Wir brauchen aber auch Vernetzung nach außen, nicht nur interne Tools."

Das ist der Punkt aus Abschnitt 4.4. Keines der klassischen Open-Source-Tools für interne Zusammenarbeit deckt das ab. Dafür braucht es entweder ein zusätzliches, separates Community-Tool oder eine konsolidierte Plattform, die beides von Haus aus verbindet.


9. Was ist realistisch?

Ihr werdet Microsoft, Google und Zoom nicht komplett los. Es gibt Lieferanten, die nur Microsoft können, Partner, die nur Gmail nutzen, Veranstaltungen, bei denen Zoom erwartet wird.

Digitale Souveränität ist nicht absolut. Sie ist eine Frage der Reduzierung von Risiken, keine Alles-oder-nichts-Entscheidung.


10. Nächste Schritte

  1. Macht ein Audit. Wo liegen eure Daten? Was kostet es? Was wäre kritisch zu migrieren?
  2. Klärt, ob externe Vernetzung Teil eures Bedarfs ist. Das entscheidet, ob Abschnitt 4.1 bis 4.3 (DIY) oder 4.4 (konsolidierte Plattform) der bessere Ausgangspunkt ist.
  3. Prüft eine konsolidierte Plattform wie UniteOS, wenn ihr eine föderale Struktur ohne bestehende gemeinsame IT seid oder Ehrenamtliche und externe Partner koordinieren müsst, ohne selbst mehrere Systeme betreiben zu wollen.
  4. Macht einen Piloten, egal welcher Weg. Versteht, wie es wirklich funktioniert, bevor ihr skaliert.
  5. Budgetiert es ein. Migration ist ein Projekt wie jedes andere, spart aber mittelfristig Geld und Abhängigkeit.

Digitale Souveränität ist eine strategische Entscheidung für Unabhängigkeit, kein einmaliges Projekt.

Ihr wollt mehr erfahren?

Schaut euch an, wie Organisationen mit UniteOS arbeiten können
Oder fragt uns einfach direkt selbst

Fragen und Antworten

Nein. Open Source bedeutet Transparenz beim Code, nicht automatisch Rechtskonformität. Entscheidend ist zusätzlich, wo gehostet wird und wer Zugriff auf die Server hat.

Nein. Der US CLOUD Act greift unabhängig vom Serverstandort, solange die Muttergesellschaft in den USA sitzt. Das gilt auch für Angebote, die sich als "Sovereign Cloud" bezeichnen.

Für eine 50-köpfige Organisation liegt der DIY-Weg mit einzelnen Open-Source-Tools bei grob 230 Euro/Monat laufenden Kosten plus einer einmaligen Migration im niedrigen bis mittleren fünfstelligen Bereich. Eine konsolidierte Plattform wie UniteOS kostet ab 9.000 Euro Einrichtung und ab 450 Euro/Monat unabhängig von der Nutzerzahl.

Nein. Diese Tools sind für interne Zusammenarbeit gebaut. Für die Koordination mit externen Akteuren braucht es zusätzlich ein Community- oder Vernetzungswerkzeug, oder eine konsolidierte Plattform, die beides verbindet.

Ja. Realistische Zeiträume liegen bei 6 bis 9 Monaten für kleinere Organisationen und 1 bis 2 Jahren für größere, föderale Strukturen mit historisch gewachsener Infrastruktur.