Hamburgs Problem mit der Digitale Souverinität

Posted on November 1, 2025 at 17:00 EDT

In der hamburger Verwaltung wird seit diesem Jahr ausschließlich Microsoft 365 eingesetzt. Der Senat hat sich hierbei trotz aller Warnungen dafür entschieden, statt weiter einer Lösung im eigenen Rechenzentrum, alle Daten nach Microsoft zu geben. Das heißt zukünftig werden alle Daten der Bürger:innen von Hamburg auf kurz oder lang bei Microsoft gespeichert. Dies bedeutet auch, dass all diese Daten in zukünftig Trumps Regeierung zur verfügung stehen.

Die Senatzkanzlei bzw. das Amt für IT und Digitalisierung hat dieses Projekt umgesetzt ohne auch nur einmal Kritisch zu hinterfragen, welche folgen dieser Umstieg für alle hat. Auch der Datenschutz für die Mitarbeitende der Stadt Hamburg wird dabei mit den Füßen getreten.

In einer Befragung der Französichen Regierung musste der Chefjustizier von Microsoft zugeben, dass nicht garantiert werden kann, dass keine Daten in die USA fließen. Auch nicht mit dem neuen EU-Angebot von Microsoft¹.

Auch die Hoffnung auf die Deloscloud² hat sich hierzu nicht bewährt. Das Innenministerium von Baden-Würtemberg hat hierzu selbst bestätigt, dass es keine Garantien gibt, solange amerikanische Software eingesetzt wird³.

Es gibt hier also mehrere Probleme die durch den Einsatz von MS365 unlösbar werden.

1. Datenschutz

Ein datenschutzkonformer Einsatz ist nicht möglich. Dataport hat in den Protokollen gezeigt, dass sie nicht wissen, wie eine korrekte Messung von Datenströmen funktioniert. Aufgrundlage dieser schwachen Datenlage wurden allerdings Regelungen getroffen, die die Mitarbeitenden schützen sollen. Auch der Schutz der Daten der Bürger*innen wird nicht ernst genommen. Nicht nur, dass diese zum Teil in die USA gesendet werden. MS365 erleichtert auch den Missbrauch innerhalb der Organisation. Die Tools von MS365 sind darauf ausgelegt, das Daten Analysiert und weiter bearbeitet werden können. Ein korrekte Trennung der Datenbestände wird in Hamburg hierbei nur logisch umgesetzt. Das heißt, alle Behörden arbeiten im gleichen Tenant. Eine einfache falsche Einstellung von Active Directory kann dazu führen, dass Behörden zugriff auf Daten erlangen, den diese nicht benötigen. Datenschutz heißt Missbrauch verhindern vor der Organisation die die Daten hält. Auch kann niemand überprüfen, welche Daten wirklich abfließen oder was mit diesen geschieht.

2. Sicherheit

In den Akten wird oft von "Bring your own Device" geredet. Dies bedeutet, dass auch fremde Geräte genutzt werden sollen für die Arbeit. Hierdurch macht sich das Netzwerk der Stadt unglaublich angreifbar. Diese Geräte werden nicht überwacht und eine Datenpanne ist damit nur ein klick auf einem privaten Gerät entfernt. Nicht zu vergessen, dass es Angreifern erleichtert wird an Daten der Stadt zu gelangen. Wo vorher alle Daten in einem internen Netzwerk auf Servern lagen, über den die Stadt komplette hoheit besessen hat, ist die Sicherheit nun von mehreren äußerlichen Faktoren abhängig. Die Sicherheit ist nun davon abhängig, wie ernst Microsoft diese wirklich schützen will. Und wie gut das Personal der Stadt geschult ist. Vorbereitet ist die IT-Sicherheit hierdrauf nicht. Das eingesetzte SOC kann nicht mal einen 24/7 Betrieb garantieren. Phishing wird erleichtert genauso wie das fortbewegen nach einer Infektion. Das Angriffspotenzial ist gerade schier endlos. Das Microsoft es nicht ernst nimmt mit der Sicherheit der Geräte, bezeugen Berichte aus Amerika⁴. Und die einzige Behörde, die eine Aufsicht führt in Amerika, wurde geschlossen. Es gibt also defacto keine Sicherheitsaufsicht mehr.

3. Souverinität und Wirtschaft

Hamburg hätte die Schleswig-Holstein auch, dass Geld für die Lizenzen in eigene Software und Infrastruktur stecken können. Dies hätte zum einem dazu geführt, dass neue Jobs und Hamburg und Deutschland geschaffen werden. Zum anderen, wäre eine abhängigkeit zum einem anderen Land damit unterbunden worden. Jetzt kann die USA diese abhängigkeit nutzen um Druck auf Gesetzgebungen auszuüben. Diesen Druck hat die US-Regierung auch schon in anderen Situationen genutzt, z.B. beim Internationen Strafgerichtshof⁵.

Forderung

Es muss also dringend ein Plan her, damit Hamburg unabhängig wird, vom einsatz von Microsoft. Hier muss der Einsatz von quelloffener und transparenter Software vorangetrieben werden. Der Einsatz von LLMoin muss dringend gestoppt werden, bevor dies in zu vielen Prozessen einzug erhält.

https://www.dr-datenschutz.de/microsoft-kann-us-zugriff-auf-eu-cloud-nicht-verhindern/

https://netzpolitik.org/2024/delos-cloud-mit-microsoft-in-die-digitale-abhaengigkeit/

https://www.landtag-bw.de/resource/blob/584956/7b9fcaf1f4775f0b2f4658dc01232e61/17_9179_D.pdf

⁴

https://www.cisa.gov/sites/default/files/2025-03/CSRBReviewOfTheSummer2023MEOIntrusion508.pdf

⁵

https://www.heise.de/news/Strafgerichtshof-Microsofts-E-Mail-Sperre-als-Weckruf-fuer-digitale-Souveraenitaet-10387368.html