Seit dem 1. Juli gelten für Microsoft 365 neue, deutlich höhere Listenpreise. Bestandskunden zahlen sie zwar erst zur nächsten Vertragsverlängerung, aber das Zeitfenster mit den alten Konditionen schließt sich gerade. Neun Monate zuvor, im Oktober 2025, hatte Schleswig-Holstein als erstes deutsches Bundesland die komplette Migration seines Mailsystems zu einem deutschen Anbieter abgeschlossen: Open-Xchange. Zwei Ereignisse, zeitlich getrennt, aber sachlich verbunden. Beide zeigen, was Abhängigkeit von einem einzigen Softwareanbieter kostet, finanziell und strategisch.
Digitale Souveränität war lange ein Begriff für Sonntagsreden, gut für Strategiepapiere und Podiumsdiskussionen, selten für konkrete Beschaffungsentscheidungen. Das hat sich in den vergangenen Monaten spürbar verändert. Bundesdigitalminister Karsten Wildberger kündigte an, die Abhängigkeit der Bundesverwaltung von US-Softwareanbietern schrittweise zu verringern, mit stärkerem Rückgriff auf Open-Source-Lösungen. Der Bund gab 2025 rund 481 Millionen Euro für Microsoft-Software aus, eine Summe, die in der aktuellen Debatte immer wieder als Beleg für die Schieflage zitiert wird.
Am weitesten gegangen ist Schleswig-Holstein. Am 2. Oktober 2025 schloss die Landesverwaltung die Migration von rund 40.000 Postfächern ab, von Microsoft Exchange und Outlook zu Open-Xchange und Thunderbird, deutlich über 100 Millionen E-Mails und Kalendereinträge eingeschlossen. In einem späteren Interview bezifferte Digitalisierungsminister Dirk Schrödter den inzwischen gewachsenen Bestand auf fast 44.000 Postfächer und 110 Millionen Einträge und nannte das „das komplette Arbeitsgedächtnis unserer Verwaltung". Der Satz trifft den Kern der Sache besser als jede Grundsatzrede: Es geht nicht darum, ob eine Oberfläche Word oder LibreOffice heißt, sondern darum, wer über Updates, Schnittstellen und Speicherorte entscheidet. Bayern liefert gerade das Gegenbeispiel, mit einem Kabinettsstreit um eine neue Fünfjahresbindung an Microsoft, der zeigt, wie politisch aufgeladen diese Entscheidung inzwischen ist.
Was zunächst wie eine Beobachtung aus der großen Verwaltungspolitik wirkt, betrifft in gestufter Form auch Verbände, Fachgesellschaften und Unternehmen, die für die Daten ihrer Mitglieder, Kongressteilnehmenden oder Kunden verantwortlich sind. Die Organisationsgröße ändert die Frage nicht, nur ihre Dringlichkeit: Wer bestimmt, was mit diesen Daten passiert, sobald sie in einer Cloud liegen?
An dieser Stelle lohnt eine Präzisierung, die in der öffentlichen Debatte oft untergeht. Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hatte 2022 festgestellt, dass sich ein datenschutzkonformer Betrieb von Microsoft 365 auf Grundlage des damaligen Vertragswerks nicht nachweisen ließ. Seither hat sich einiges bewegt: Im Februar 2025 schloss Microsoft die sogenannte EU Data Boundary ab, wodurch Kundendaten und pseudonymisierte personenbezogene Daten zentraler Cloud-Dienste innerhalb der EU und EFTA gespeichert und verarbeitet werden, inklusive der zuvor ausgenommenen Support-Daten. Im November 2025 kam der Hessische Beauftragte für Datenschutz und Informationsfreiheit nach zehn Verhandlungsrunden mit Microsoft zu dem Ergebnis, dass sich M365 unter bestimmten Voraussetzungen datenschutzkonform betreiben lässt, als erste deutsche Aufsichtsbehörde überhaupt.
Bemerkenswert ist, was in diesem Bericht sonst noch steht: Trotz des grundsätzlich positiven Befunds empfiehlt der HBDI, die Abhängigkeit von einzelnen Anbietern zu verringern und im Sinne der digitalen Souveränität auch europäische Alternativen zu prüfen. Selbst die Behörde, die Microsoft 365 gerade für rechtssicher erklärt hat, hält die Souveränitätsfrage damit für unbeantwortet. Das ist der entscheidende Unterschied: Datenschutzkonformität ist ein Zustand, der zu einem bestimmten Zeitpunkt unter bestimmten vertraglichen Bedingungen hergestellt wird. Digitale Souveränität ist eine strukturelle Eigenschaft, sie fragt, wer über Preise, Schnittstellen, Produktlogik und Kündbarkeit entscheidet, unabhängig davon, wo der Server steht. Auch mit europäischer Datenresidenz bleibt ein amerikanisches Unternehmen einem amerikanischen Rechtsraum unterstellt, ein Aspekt, der in der Diskussion um den US CLOUD Act regelmäßig auftaucht und den auch die EU Data Boundary nicht vollständig auflöst.
Open-Xchange wirkt im aktuellen Diskurs wie eine Neuentdeckung, ist aber ein Unternehmen mit langer Geschichte. Gegründet wurde es 2005 in Köln, als quelloffener Gegenentwurf zu Microsoft Exchange, App Suite Backend und Frontend stehen bis heute unter der AGPLv3-Lizenz. Über 200 Millionen Nutzerinnen und Nutzer greifen weltweit über Provider wie IONOS, Vodafone oder STRATO auf OX-Software zu, meist ohne den Namen dahinter zu kennen.
Die OX App Suite deckt E-Mail, geteilte Kalender, Adressverwaltung, Aufgaben sowie Cloud-Speicher mit Freigabefunktionen ab, dazu eine browserbasierte Textverarbeitung, Tabellenkalkulation und Präsentationssoftware, kompatibel zu gängigen Office-Formaten. Organisationen können die Software selbst betreiben, an einen deutschen Hosting-Partner auslagern oder als verwaltete OX Cloud nutzen. Wichtig ist eine Präzisierung: Open-Xchange ist eine Groupware, kein vollständiger Arbeitsplatz-Stack. Im openDesk-Projekt des ZenDiS, das im Auftrag des Bundesinnenministeriums eine offene Suite für die öffentliche Verwaltung entwickelt, ist OX ein Baustein unter mehreren, zuständig unter anderem für E-Mail-Verschlüsselung und als Migrationsziel für bestehende Exchange-Umgebungen. Vergabefrei ist openDesk dabei nicht pauschal für jede Behörde: Kommunen, die direkt oder über ihr Rechenzentrum Mitglied der Genossenschaft govdigital sind, können es ohne Ausschreibung beziehen, für andere ist eine direkte Vergabe mit Begründung möglich.
Ein guter Vergleich verschweigt die Schwächen der eigenen These nicht. Open-Xchange holt bei E-Mail, Kalender und Dateiablage inzwischen fast auf Augenhöhe zu Microsoft 365 auf, an einigen Stellen bleibt der Abstand jedoch spürbar. Ein natives Pendant zu Microsoft Teams fehlt, Video- und Chatfunktionen bindet OX über Partnerintegrationen ein. Das Ökosystem an Drittanbieter-Erweiterungen ist deutlich kleiner als der Microsoft-Marktplatz. Und OX AI, die hauseigene KI-Funktion, wirkt neben Copilot noch jung und funktional schmal, wobei der tatsächliche Produktivitätsgewinn von Copilot im Mittelstand seinerseits keineswegs geklärt ist.
Erfahrungsgemäß liegen die eigentlichen Migrationsbremsen ohnehin selten bei Mail und Kalender. Es sind Archivierung und eDiscovery, Gerätemanagement über Intune, das bestehende Identitätsmanagement und tief verwurzelte SharePoint-Abhängigkeiten, die ein Projekt in die Länge ziehen. Wer stark in Teams-Meetings, SharePoint-Workflows oder Power-Automate-Prozesse investiert hat, blickt deshalb auf ein echtes Migrationsprojekt, keinen Wochenendumzug. Diese Investition lohnt sich dort am ehesten, wo Datenhoheit und Kostenkontrolle stärker wiegen als der letzte Stand der KI-Integration.
Die Sorge vor der Migration ist oft größer als die Migration selbst. Open-Xchange unterstützt offene Protokolle wie IMAP, CalDAV und CardDAV, wodurch bestehende Clients wie Outlook, Apple Mail oder Thunderbird während der Umstellung weiterlaufen können, ohne dass alle Mitarbeitenden am selben Tag wechseln müssen. E-Mails, Kalender und Kontakte lassen sich schrittweise migrieren, was Organisationen mit begrenzten IT-Ressourcen den Druck aus dem Projekt nimmt. Schleswig-Holstein hat gezeigt, dass sich auch sehr große Bestände migrieren lassen, wenn auch nicht über Nacht: Dem eigentlichen Umstellungstermin ging dort ein sechsmonatiger, über Jahre vorbereiteter Prozess voraus.
Für eine mittelgroße Organisation mit einigen hundert Postfächern ist der Zeitrahmen naturgemäß kürzer, die Grundregel bleibt aber gültig. Wer die Migration in Wellen plant, mit Pilotgruppen und klar kommunizierten Übergangsfristen, reduziert das Risiko spürbar gegenüber einem harten Stichtag.
Microsoft hat seine Preisrunde bereits im Dezember 2025 angekündigt, wirksam zum 1. Juli 2026, für neue Verträge sofort, für bestehende zur nächsten Verlängerung. Business Basic steigt laut Microsofts eigener Preistabelle um 16 Prozent, Business Standard um 12 Prozent, Business Premium bleibt unverändert. Bei den Frontline-Tarifen ist der Sprung deutlicher: 33 Prozent für die Variante mit Teams, 43 Prozent für die Variante ohne, ein Detail, das zeigt, dass selbst der Verzicht auf Teams nicht vor der Erhöhung schützt. Office 365 E3 verteuert sich um 13 Prozent. Copilot bleibt in den meisten Fällen ein separates Add-on, mit rund 18 bis 30 Euro pro Nutzer und Monat, je nach Tarif und Aktionszeitraum.
Was Open-Xchange kostet, lässt sich dagegen nicht seriös in einer einzelnen Zahl zusammenfassen, die Kosten hängen stark vom Betriebsmodell ab. Eigenbetrieb, ein deutscher Hosting-Partner oder eine verwaltete Cloud-Lösung führen zu sehr unterschiedlichen Rechnungen, bei kleineren Hosting-Paketen beginnend im niedrigen einstelligen Euro-Bereich pro Postfach und Monat. Für eine belastbare Entscheidung zählt ohnehin die Gesamtrechnung aus Lizenz, Betrieb, Migration, Schulung, Support und der Fähigkeit, den Anbieter später wieder wechseln zu können, mehr als der Lizenzpreis allein.
Große Konzerne verhandeln Rahmenverträge, beschäftigen eigene Datenschutzabteilungen und können Preissteigerungen über ihre Größe abfedern. Verbände, Fachgesellschaften und mittelständische Unternehmen haben diesen Spielraum selten. Gleichzeitig tragen sie eine besonders hohe Verantwortung für sensible Daten: Mitgliederverwaltung und Gremienkommunikation bei Verbänden, Kongressdaten, Abstracts, Zertifikate und Teilnehmerlisten bei Fachgesellschaften, Kunden-, Vertrags- und Personaldaten in Unternehmen.
Wenn Sie als Vorstand oder Geschäftsführung für diese Daten haften, gehört die Frage nach Speicherort und Rechtsgrundlage der Verarbeitung zu Ihrer Sorgfaltspflicht, unabhängig von einer positiven Datenschutzbewertung, wie der vorige Abschnitt gezeigt hat. Für Organisationen mit Berührungspunkten zur öffentlichen Verwaltung kommt hinzu, dass bestimmte openDesk-Beschaffungswege ohne separate Ausschreibung offenstehen, ein Vorteil, der in der Softwareauswahl selten früh genug bedacht wird.
Automatisch lohnt sich der Wechsel deshalb nicht für jede Organisation, wohl aber dort, wo Datenhoheit, Kostenplanbarkeit und Unabhängigkeit von der nächsten Preisrunde schwerer wiegen als die geschlossene Bequemlichkeit eines einzigen Ökosystems. Nicht jede Organisation muss Microsoft verlassen. Aber jede sollte wissen, was die Abhängigkeit kostet.