Es ist eine Frage, die erstaunlich viele IT-Leiter beschäftigt. Nicht weil Microsoft schlechte Software baut – das Gegenteil ist der Fall. Sondern weil sich die regulatorischen und geopolitischen Rahmenbedingungen verschoben haben. Und zwar so weit, dass die Nutzung einer US-Cloud für bestimmte Anwendungsfälle schlicht nicht mehr empfohlen werden kann.
Ich möchte hier keine Panik verbreiten. Aber ich möchte ehrlich sein: Wer in regulierten Branchen arbeitet – Pharma, Energie, öffentliche Verwaltung, Verteidigung – der kommt um diese Diskussion nicht mehr herum.
Was eigentlich passiert ist
Die DSGVO gibt es seit 2018. Sie war nie ein reines Papierthema. Aber lange Zeit haben viele Unternehmen die Cloud-Frage pragmatisch gelöst: Standardvertragsklauseln, ein paar Seiten Risikoanalyse, und weiter ging es mit Microsoft 365.
Dann kam das Schrems II-Urteil des Europäischen Gerichtshofs.1 Der EuGH hat das Privacy Shield für ungültig erklärt. Seitdem fehlt für Datentransfers in die USA eine belastbare Rechtsgrundlage. Das Data Privacy Framework von 2023 sollte helfen – aber Datenschützer sehen es kritisch, und eine Neuauflage vor dem EuGH gilt als wahrscheinlich.
Dazu kommt der CLOUD Act: US-Behörden können auf Daten zugreifen, die bei amerikanischen Anbietern liegen – auch wenn die Server physisch in Europa stehen.2 Und wer die aktuellen politischen Entwicklungen in Washington verfolgt, fragt sich zurecht, wie verlässlich Zusagen amerikanischer Tech-Konzerne in drei Jahren noch sein werden.
Das ist keine Verschwörungstheorie. Das ist Risikomanagement.
Warum „DSGVO-konform" nicht reicht
Viele Anbieter werben damit, „DSGVO-konform" zu sein. Das klingt beruhigend. Aber was bedeutet das konkret? In den meisten Fällen: Auftragsverarbeitungsvertrag vorhanden, Server in der EU, Verschlüsselung aktiviert. Das sind Hygienefaktoren – keine Lösung.
DSGVO-konform heißt oft: wir haben einen Vertrag. Datensouverän heißt: wir haben die Kontrolle.
Der Unterschied ist erheblich. Wenn Ihre Daten in einer Cloud liegen, die einem US-Konzern gehört, dann haben Sie einen Vertrag – aber nicht die Kontrolle. Sie können nicht verhindern, dass ein FISA-Court-Beschluss Ihre Daten anfordert. Sie können nicht verhindern, dass der Anbieter seine AGB ändert. Und Sie können im Ernstfall nicht nachweisen, wer wann auf welche Daten zugegriffen hat.
Für einen Mittelständler mit 50 Mitarbeitern mag das akzeptabel sein. Für einen KRITIS-Betreiber, ein Pharma-Unternehmen mit GxP-Anforderungen oder eine Behörde ist es das nicht.
Was eine echte Alternative leisten muss
Ich habe in den letzten 25 Jahren in regulierten Branchen gearbeitet – Pharma, Banking, Energie. Was dort gebraucht wird, ist nicht „ein besseres Google Docs". Es ist eine Office-Plattform, die drei Dinge gleichzeitig kann:
Erstens: Vollständige Kontrolle über die Daten. Das bedeutet On-Premise oder auf dedizierten deutschen Servern. Keine geteilte Infrastruktur mit US-Konzernmüttern. Kein Telemetrie-Abfluss. Kein „wir verschlüsseln ja alles" – sondern: die Daten verlassen Ihr Netz nicht.
Zweitens: Echte Produktivität. Niemand akzeptiert eine Alternative, die sich anfühlt wie ein Rückschritt ins Jahr 2005. Textverarbeitung, Tabellenkalkulation, E-Mail, Kalender, Projektmanagement – das muss funktionieren. Täglich, zuverlässig, ohne Schulungsmarathon.
Drittens: Integrierte KI – aber lokal. Das ist der Punkt, den die meisten Alternativen übersehen. KI ist kein Nice-to-have mehr. Mitarbeiter erwarten KI-Unterstützung – und wenn sie sie offiziell nicht bekommen, nutzen sie ChatGPT heimlich.3 Eine echte Alternative muss KI mitbringen, die komplett lokal läuft. Ohne Cloud. Ohne Datenabfluss.
Was es auf dem Markt gibt – und was fehlt
Schauen wir uns die gängigen Alternativen an. LibreOffice ist solide – aber es ist eine Desktop-Anwendung ohne integrierte Collaboration, ohne E-Mail, ohne Kalender. Für den Einzelplatz brauchbar, für Unternehmen mit 200+ Mitarbeitern nicht.
Nextcloud bietet Dateimanagement und neuerdings auch Office-Funktionen über Collabora. Ein guter Ansatz, aber die Office-Module fühlen sich noch wie Beiwerk an – nicht wie das Kernprodukt. Und KI? Fehlt weitgehend.
ONLYOFFICE ist interessant – gute Dokumentenkompatibilität, Self-Hosting möglich. Aber die Firma sitzt in Lettland mit Wurzeln in Russland, was für manche Organisationen ein Compliance-Thema ist. Und auch hier: keine integrierte lokale KI.
Microsofts eigene Antwort – Microsoft 365 mit EU Data Boundary – adressiert das Problem teilweise. Aber der CLOUD Act gilt weiter. Und die Telemetrie-Diskussion ist nicht abgeschlossen. Für viele regulierte Umgebungen reicht das nicht.
Was fehlt, ist eine Office-Suite, die Datensouveränität nicht als Feature verkauft, sondern als Architekturprinzip lebt.
Unser Ansatz: Fortress Office
Genau das bauen wir gerade. Fortress Office ist eine souveräne Microsoft-365-Alternative mit 14 integrierten Modulen: Textverarbeitung, Tabellenkalkulation, Präsentationen, E-Mail, Kalender, Kontakte, Aufgaben, Cloud-Speicher, Projektmanagement, Notizen, Formulare, Kanban-Boards, Team-Chat und eine lokale KI.
Das Backend ist komplett in Rust geschrieben – nicht weil es gerade hip ist, sondern weil Rust Memory Safety garantiert und bei gleichzeitig hoher Performance minimale Angriffsfläche bietet. Für sicherheitskritische Software ist das relevant.
Die KI läuft lokal auf dem Unternehmensserver. Wir nutzen Open-Source-Modelle – Llama, Mistral, Qwen – die auf dedizierter Hardware laufen. Kein API-Call nach außen, keine Cloud-Anbindung. Der KI-Assistent hilft beim Formulieren, Zusammenfassen und Analysieren – innerhalb des Unternehmensnetzwerks.
Deployment-Optionen: On-Premise auf eigener Hardware, auf einem dedizierten deutschen Server, oder als Air-Gap-Installation komplett ohne Internetverbindung. Für GxP-Umgebungen bieten wir validierbare Installationen mit Audit-Trail für jede KI-Funktion.
Für wen das gedacht ist – und für wen nicht
Ich bin hier bewusst ehrlich: Fortress Office ist nicht für jeden. Wenn Sie ein Startup mit zehn Leuten sind und Google Workspace prima funktioniert – bleiben Sie dabei. Ernsthaft.
Fortress Office ist für Organisationen, die Microsoft 365 aus regulatorischen Gründen nicht mehr nutzen können oder wollen. KRITIS-Betreiber, die nach dem IT-Sicherheitsgesetz 2.0 ihre Software-Supply-Chain dokumentieren müssen. Pharma-Unternehmen, die eine validierbare Office-Plattform für GxP-Umgebungen brauchen. Behörden und Verteidigungsorganisationen, die VS-NfD-konforme Arbeitsplätze einrichten. Mittelständler, die ihre digitale Souveränität ernst nehmen.
Wenn Sie sich in einer dieser Kategorien wiederfinden, lohnt sich ein Blick.
Was das für die Zukunft bedeutet
Die Debatte um digitale Souveränität ist kein Trend, der wieder verschwindet. Die europäische Regulierung wird enger, nicht weiter. NIS2 verschärft die Anforderungen an Cybersicherheit. Der EU AI Act bringt neue Dokumentationspflichten für KI-Systeme. Und die geopolitische Lage macht Cloud-Abhängigkeiten zu einem strategischen Risiko.
Wer heute in eine souveräne Office-Infrastruktur investiert, trifft keine ideologische Entscheidung – sondern eine pragmatische. Es geht nicht darum, gegen Microsoft zu sein. Es geht darum, unabhängig zu bleiben.
Und genau daran arbeiten wir.
1 EuGH: Urteil C-311/18 „Schrems II" (2020)
2 U.S. Congress: CLOUD Act – Clarifying Lawful Overseas Use of Data Act (2018)
3 SecurityWeek: „Study Finds 50% of Workers Use Unapproved AI Tools" (2024)
