Fällt das Cloud-Tabu? Lizenzkosten, Datenfallen und Souveränitätsverlust in der öffentlichen Verwaltung

Die ersten deutschen Behörden setzen auf Cloud-Dienste internationaler Anbieter. Ein Schritt, der auf den ersten Blick nach Digitalität, Flexibilität und moderner Verwaltung klingt. Die Aussicht auf vereinfachte Prozesse, geringere Hardwarekosten und einen schnellen Zugang zu aktueller Software wirkt verlockend. Doch hinter der Fassade lauern gravierende Risiken, die sowohl die Kostenkontrolle als auch den Datenschutz und die digitale Selbstbestimmung gefährden.

Immer mehr Berichte, darunter eine Analyse von heise, warnen vor einer regelrechten „Datenfalle“. Intransparente Vertragskonstruktionen, komplexe technische Abhängigkeiten und problematische internationale Gesetzeslagen können es langfristig unmöglich machen, eigene Daten zu schützen und eigenständig zu verwalten. Das Szenario eines IT-Desasters ist damit erschreckend real.

Verwaltungen in Bund und Ländern sind seit Jahren gefordert, ihre IT‑Landschaften zu modernisieren und digitale Bürgerdienste aufzubauen. Veraltete Server, technisch überholte Software und der Mangel an qualifizierten IT-Fachkräften lassen Cloud‑Dienste großer internationaler Anbieter zunächst als schnelle und unkomplizierte Antwort erscheinen. Die Wirklichkeit zeigt jedoch häufig: Nach einem modern wirkenden Start häufen sich Abhängigkeiten, und aus der erhofften Effizienz werden steigende und schwer kalkulierbare Kosten. Zudem setzen viele Behörden weiterhin auf ältere Softwareversionen, um die notwendige Anbindung an Fachanwendungen sicherzustellen.

Die Datenfalle: unkalkulierbare Kosten & Abhängigkeiten
Die finanzielle Belastung wächst oft schleichend. Zwar locken Cloud‑Dienste mit kurzfristigen Einsparungen bei Hardware und Wartung. In der Praxis entstehen jedoch häufig erhebliche Zusatzaufwände: für spezielle Sicherheitskonfigurationen, erweiterten Support, wachsenden Speicherbedarf oder Gebühren für Datenverkehr. Hinzu kommen Kosten für Compliance‑Prüfungen und Audits. Was anfangs günstig wirkt, entpuppt sich langfristig als Kostenfalle. In den vergangenen Jahren wurden Preise etwa für Azure und M365 teils deutlich angehoben – Berichte sprechen von bis zu 40 Prozent. Diese Kostensteigerungen treffen öffentliche Haushalte besonders hart, da sie die Budgetplanung erschweren.

Welche Software in den einzelnen Behörden konkret eingesetzt wird und zu welchen Preisen, ist vielfach unklar. Es fehlen belastbare Übersichten über Programme und Kosten. Diese mangelnde Transparenz erschwert Budgetplanung, Ausgabenkontrolle und die Überprüfung der Wirtschaftlichkeit.

Rechtliche Unsicherheiten verstärken das Problem. Daten in von internationalen Anbietern betriebenen Cloud‑Infrastrukturen unterliegen Gesetzen wie dem Cloud Act, dem Patriot Act oder FISA, die unter bestimmten Voraussetzungen einen Zugriff durch US‑Behörden ermöglichen – oft ohne Information der Betroffenen. Das steht im direkten Widerspruch zu den strengen Datenschutzstandards der EU und insbesondere der DSGVO. Zwar existiert inzwischen ein Angemessenheitsbeschluss auf Basis des EU‑US Privacy Framework als Grundlage für den transatlantischen Datentransfer, doch ist fraglich, ob dieser den Anforderungen europäischer Gerichte langfristig standhält.

Die Abhängigkeit von einem externen Anbieter schränkt zudem die digitale Selbstbestimmung massiv ein. Clouddienst‑Provider bestimmen Funktionsumfang, Update‑Zyklen und die strategische Ausrichtung ihrer Services. Kommen sicherheitsrelevante Anpassungen verspätet oder gar nicht, sind Behörden handlungsunfähig. Schwere Sicherheitsvorfälle in Cloud‑Diensten und eine teils unzureichende Kommunikation verdeutlichen, wie wenig Einfluss Kunden im Ernstfall haben.

Ein weiteres Risiko ist der sogenannte Lock‑in‑Effekt: Haben sich Institutionen einmal tief in die Infrastruktur eines großen Cloud‑Anbieters integriert, wird ein Ausstieg wirtschaftlich und technisch sehr schwierig. Proprietäre Schnittstellen, geschlossene Datenformate und hohe Wechselkosten verhindern schnelle Anpassungen. Zugleich werden eigene IT‑Ressourcen häufig abgebaut, was die Abhängigkeit verstärkt.

Sicherheits- und Datenschutzrisiken bei sensiblen Verwaltungsdaten
Behörden verwalten von Steuer‑ und Sozialdaten über Gesundheitsinformationen bis hin zu polizeilichen Ermittlungsakten eine ganze Reihe hochsensibler Daten. Wenn diese durch internationale Rechtslagen, Sicherheitslücken oder fehlerhafte Systemarchitekturen kompromittiert werden, drohen gravierende Konsequenzen: vom Vertrauensverlust in staatliche Institutionen bis hin zu Gefahren für die nationale Sicherheit.

Hinzukommen die marktbeherrschenden Praktiken großer Anbieter. Produktbündelungen können die Wechselbereitschaft zu alternativen Lösungen senken. Der Wettbewerb gerät ins Hintertreffen – mit Folgen für Auswahl, Effizienz und Flexibilität im öffentlichen Sektor.

Alternativen: Souveränität durch Vielfalt
Um diesen Risiken zu begegnen, sollten Entscheidungsträger im öffentlichen Sektor ihre IT‑Strategien neu ausrichten und so gestalten, dass Kontrolle über Daten und Infrastrukturen gewahrt bleibt.

• On‑Premise‑Lösungen sind ein zentraler Ansatz: Sie erlauben es, Systeme und Daten im eigenen Rechenzentrum zu halten und Sicherheitsmaßnahmen passgenau umzusetzen. Im Ernstfall können Services schneller und eigenständig wiederhergestellt werden, ohne dass externe Dienstleister eingebunden werden müssen.
• Eine weitere Option sind hybride Modelle, die lokale Systeme mit ausgewählten Cloud‑Diensten verbinden. So können besonders sensible Daten unter eigener Kontrolle bleiben, während weniger kritische Anwendungen von Skalierbarkeit profitieren. Dieses ausgewogene Modell kombiniert Flexibilität mit einem hohen Maß an Sicherheit.
• Zudem spielt modernes Lizenzmanagement eine entscheidende Rolle: Strategien wie „Bring Your Own License“ und der Einsatz geprüfter Gebrauchtsoftware ermöglichen deutliche Kostensenkungen bei gleichzeitigem Erhalt der digitalen Souveränität.

Fazit: Digitale Souveränität als Grundpfeiler moderner Verwaltung
Der Trend zur Nutzung internationaler Cloud‑Dienste in der Verwaltung mag zunächst als Fortschritt erscheinen, doch die Risiken sind erheblich. Verlust der Souveränität, rechtliche Unsicherheit und hohe Kosten sind keine Nebensächlichkeit, sondern zentrale Herausforderungen für eine zukunftsfähige Verwaltung.

Andreas E. Thyen, Verwaltungsratspräsident der LizenzDirekt AG, bringt es auf den Punkt: „Eine unkritische und schnelle Entscheidung ausschließlich zugunsten der (nicht staatlichen) Cloud wird sich langfristig ganz sicher als Bumerang erweisen – finanziell, datenschutzrechtlich und sicherheitspolitisch.“

Wer der Cloud nicht vollständig abschwört, sollte klare Strategien entwickeln: Welche Daten dürfen auf gar keinen Fall das eigene Rechenzentrum verlassen? Wo ist ein kontrollierter Hybrideinsatz möglich?

Nur eigenständige, souveräne IT‑Konzepte, die nationale Standards wahren und die Kontrolle über sensible Informationen bewahren, garantieren eine verlässliche, sichere und moderne Verwaltung – und erhalten das Vertrauen der Bürger in den digitalen Staat.