Digitale Souveränität 2026: Frankreich handelt, Deutschland zögert
Frankreich verordnet seinen Ministerien den Ausstieg aus nicht-europäischer Technologie. In Deutschland wollen 99 Prozent der Unternehmen digitale Unabhängigkeit, doch nur 57 Prozent haben eine Exit-Strategie. Warum das Gendarmerie-Modell seit 18 Jahren funktioniert und was der Kill-Switch wirklich bedeutet.
Am 8. April 2026 hat die französische Digitalagentur DINUM alle Ministerien verpflichtet, bis Herbst 2026 einen Ausstiegsplan aus nicht-europäischer Technologie vorzulegen. Der Scope umfasst Betriebssysteme, Cloud, KI-Plattformen, Datenbanken und Netzwerke. In Deutschland ist das Problembewusstsein hoch: 99 Prozent wollen digitale Unabhängigkeit, 93 Prozent nehmen die Abhängigkeit wahr, 83 Prozent halten einen Kill Switch für realistisch. Doch nur 57 Prozent haben eine Exit-Strategie, 55 Prozent bezeichnen einen Wechsel als zu kompliziert. Während Frankreich auf 18 Jahre Erfahrung aus dem Gendarmerie-Modell zurückgreift und 2 Millionen Euro Lizenzkosten pro Jahr spart, bleibt es in Deutschland bei Absichtserklärungen und politischen Appellen.
Frankreichs DINUM-Direktive: Der Startschuss vom 8. April 2026
Frankreich hat am 8. April 2026 den bislang weitreichendsten Schritt einer europäischen Regierung in Richtung digitale Souveränität gemacht. Die Direction Interministérielle du Numérique, kurz DINUM, verpflichtet alle Ministerien, bis Herbst 2026 einen konkreten Ausstiegsplan aus nicht-europäischer Technologie vorzulegen. Der Scope ist umfassend und lässt keinen zentralen Bereich der IT-Landschaft aus.
Die Direktive umfasst acht Technologiedomänen: Betriebssysteme mit einem Umstieg von Windows auf Linux-Distributionen, Kollaborationstools, Cloud-Infrastruktur, KI-Plattformen, Datenbanken, Virtualisierung, Antivirus-Lösungen und Netzwerkkomponenten. Bis Ende 2026 soll die zentrale Gesundheitsdatenplattform vollständig auf europäische Lösungen migriert sein. Die Caisse nationale d'Assurance maladie mit ihren 80.000 Mitarbeitern ist bereits in der Migration.
Die Direction Interministérielle du Numérique ist die zentrale Digitalagentur der französischen Regierung. Sie koordiniert die IT-Strategie aller Ministerien, definiert technische Standards und steuert die Modernisierung der öffentlichen Verwaltung. Mit der Direktive vom 8. April 2026 hat sie erstmals den Ausstieg aus nicht-europäischer Software zur verbindlichen politischen Vorgabe gemacht.
Im Juni 2026 finden erstmals die "rencontres industrielles du numérique" statt, ein Treffen von Verwaltung und europäischer IT-Industrie. Ziel ist, konkrete Migrationspfade mit Anbietern aus Frankreich, Deutschland und anderen EU-Ländern zu vereinbaren. Die DINUM folgt damit einem Muster, das sich in der französischen Gendarmerie seit 2008 bewährt hat und jetzt auf den gesamten Staatsapparat übertragen wird.
Das 99-Prozent-Paradox: Wille ohne Umsetzung
In Deutschland ist der Wunsch nach digitaler Unabhängigkeit so deutlich wie nie zuvor. Eine aktuelle Bitkom-Umfrage aus dem Frühjahr 2026 mit 1.004 telefonisch befragten Personen zwischen den Kalenderwochen 9 und 12 zeigt ein eindeutiges Bild: 99 Prozent wollen digitale Unabhängigkeit von Nicht-EU-Anbietern. 93 Prozent nehmen die bestehende Abhängigkeit aktiv wahr. 79 Prozent fordern von der Politik stärkere Investitionen in europäische Technologie.
Doch wenn es um konkretes Handeln geht, bricht der Konsens ein. Nur 34 Prozent haben bisher bewusst europäische Dienste gewählt, 27 Prozent haben einen Wechsel zumindest erwogen. 55 Prozent halten einen Wechsel für zu kompliziert und nennen drei Hauptgründe: aufwändige Datenmigration, tiefer Ökosystem-Lock-in und Funktionslücken bei verfügbaren EU-Alternativen. Immerhin 62 Prozent wären bereit, kurzfristige Nachteile in Kauf zu nehmen, wenn dafür eine souveräne Lösung geliefert wird.
Besonders aufschlussreich ist die tatsächliche Nutzung europäischer Alternativen. Bei sozialen Netzwerken greifen nur 14 Prozent zu EU-Diensten, bei Suchmaschinen und Browsern 13 Prozent, bei Messengern 11 Prozent. Am geringsten ist die Durchdringung bei KI-Anwendungen mit nur 6 Prozent und bei Smartphones mit 5 Prozent. Der Wille ist da, die Alltagspraxis folgt ihm nicht.
99 Prozent wollen, 6 Prozent handeln. Digitale Souveränität scheitert in Deutschland nicht am Problembewusstsein, sondern an der fehlenden politischen Verbindlichkeit und an der Angst vor dem Migrationsaufwand.
Kill Switch: Unternehmen fürchten den Abschaltknopf
Das Szenario klingt abstrakt, bis man die Zahlen kennt. Als Kill Switch wird die einseitige Abschaltung kritischer US-Software durch Anbieter oder Regierungen bezeichnet, etwa infolge von Sanktionen, Exportkontrollen oder politischen Eskalationen. Die Lünendonk-Studie, durchgeführt zwischen Dezember 2025 und Januar 2026 mit 155 Unternehmen, liefert die bisher deutlichsten Zahlen zur Dringlichkeit.
83 Prozent der befragten deutschen Firmen halten einen Kill Switch für realistisch. Nur 57 Prozent verfügen über eine Exit-Strategie. Diese Lücke von 26 Prozentpunkten ist das eigentliche Problem: Wer die Gefahr sieht, aber keinen Plan hat, agiert im Blindflug. 96 Prozent der deutschen Firmen importieren digitale Technologien, neun von zehn sind digital abhängig. 57 Prozent könnten ohne Digitalimporte maximal ein Jahr überleben.
Frankreich
Staatliche Direktive mit verbindlichen Fristen. Scope über acht Technologiedomänen. 18 Jahre Praxiserfahrung aus dem Gendarmerie-Modell. Eigene staatliche Tools wie Tchap, Visio und FranceTransfert. Erste Migrationen von 80.000 Mitarbeitern bereits in Umsetzung.
Deutschland
Hohes Problembewusstsein, geringe Umsetzung. 99 Prozent Zustimmung zur Souveränität, 6 Prozent Nutzung von EU-KI-Alternativen. Keine verbindliche politische Direktive. Kein zentrales staatliches Tooling. Exit-Strategien bei nur 57 Prozent der Unternehmen.
Die Lücke zwischen Risikowahrnehmung und Umsetzung ist messbar und gefährlich. 83 Prozent halten den Abschaltknopf für real, aber nur 57 Prozent haben einen Plan für diesen Fall. Wer keine Exit-Option hat, kann auch nicht verhandeln. Die Abhängigkeit wird damit zur strategischen Schwachstelle, die unabhängig vom tatsächlichen Eintritt eines Kill-Switch-Szenarios Kosten erzeugt.
Das Gendarmerie-Modell: 18 Jahre Linux im Behördenbetrieb
Die DINUM handelt nicht im luftleeren Raum. Sie stützt sich auf ein Referenzmodell, das seit 2008 im Produktivbetrieb läuft: die Gendarmerie Nationale Frankreichs. Die Gendarmerie betreibt ihre eigene Linux-Distribution auf rund 80.000 Arbeitsplätzen. Die Ergebnisse sind dokumentiert, die Lernkurve ist durchlaufen, und die Zahlen sprechen für sich.
Rund 2 Millionen Euro spart die Gendarmerie jedes Jahr an Lizenzkosten. Die Gesamtbetriebskosten sind um etwa 40 Prozent gesunken, ein Wert, der in klassischen TCO-Modellen als Ausreißer gilt. Der Schlüssel liegt in der langfristigen Perspektive: Die Migration war kein Sparprogramm, sondern ein strategischer Umbau, der über mehrere Jahre geplant und finanziert wurde.
Das Gendarmerie-Modell widerlegt drei Mythen gleichzeitig. Erstens: Linux ist im Behördenbetrieb nicht alltagstauglich. Zweitens: Die Umstellungskosten übersteigen den Nutzen. Drittens: Sicherheitskritische Organisationen brauchen kommerzielle US-Produkte. Die Gendarmerie beweist seit 18 Jahren das Gegenteil und liefert der DINUM die empirische Grundlage für die Direktive.
Das Modell ist auch deshalb relevant, weil es zeigt, dass eine Migration nicht im ersten Jahr rentabel sein muss. Die ersten drei Jahre waren durch Umstellungsaufwand geprägt, ab Jahr vier zeigten sich die strukturellen Einsparungen. Wer heute eine BSI-konforme Architektur plant, kann auf dieses Erfahrungswissen zurückgreifen, statt bei null zu beginnen.
Die neuen französischen Werkzeuge: Tchap, Visio, FranceTransfert
Die DINUM-Direktive wäre wirkungslos ohne konkrete Werkzeuge. Frankreich hat deshalb in den vergangenen Jahren eigene staatliche Tools entwickelt, die mittlerweile produktionsreif sind und jetzt flächendeckend eingesetzt werden. Drei davon sind zentral: Tchap für Messaging, Visio für Videokonferenzen und FranceTransfert für den Dateiversand.
Tchap basiert auf dem Open-Source-Protokoll Matrix und bietet Ende-zu-Ende-Verschlüsselung. Visio ist eine browserbasierte Videokonferenzlösung, die auf freier Software aufsetzt. FranceTransfert ersetzt kommerzielle Filesharing-Dienste und hält sensible Dokumente auf französischen Servern. Alle drei Tools sind kostenlos für die Verwaltung verfügbar und werden von den Ministerien zunehmend verpflichtend eingeführt.
Neben den französischen Eigenentwicklungen stehen weitere europäische Anbieter bereit: Mistral und Aleph Alpha im KI-Bereich, DeepL für maschinelle Übersetzung, GAIA-X als Dateninfrastruktur-Initiative. Deutsche Unternehmen, die einen souveränen KI-Stack aufbauen wollen, finden hier die Bausteine. Die Lücken liegen weniger im Angebot als in der Integration und im Ökosystem.
Herausforderungen und Risiken
Digitale Souveränität ist kein binärer Zustand. Sie erfordert technische, organisatorische und politische Arbeit, die sich über Jahre erstreckt. Deutsche Unternehmen nennen in der Bitkom-Umfrage drei Hauptgründe, warum sie zögern: Datenmigration, Ökosystem-Lock-in und Funktionslücken. Alle drei sind real, keiner davon ist unlösbar.
Die Datenmigration ist der sichtbarste Kostenblock. Wer über Jahre Daten in proprietären Formaten gespeichert hat, muss beim Wechsel Formatkonverter, Schnittstellen und Testzyklen einplanen. Die Erfahrung aus dem Gendarmerie-Modell zeigt, dass dieser Aufwand in den ersten zwei bis drei Jahren die größte Hürde ist. Ohne politische oder wirtschaftliche Verbindlichkeit wird er gerne verschoben.
Ökosystem-Lock-in ist die tiefere Schicht. Office-Dokumente, Identity-Systeme, Integrationen mit Lieferanten und Kunden, Schulungsstände der Mitarbeiter: alles hängt an einer funktionierenden US-Plattform. Wer nur das Betriebssystem tauscht, hat das Problem nicht gelöst. Der Ansatz der DINUM, gleich acht Domänen parallel zu adressieren, reduziert diesen Fallstrick bewusst. Funktionslücken schließlich werden oft überschätzt. Bitkom-Präsident Ralf Wintergerst hat in diesem Zusammenhang "Investitionen und moderate Regulierung" gefordert, nicht Verbote oder Denkpausen.
Die drei genannten Hürden sind Managementaufgaben, keine technischen Unmöglichkeiten. Datenmigration braucht Planung, Lock-in braucht eine Architekturstrategie, Funktionslücken brauchen Investition und Geduld. Wer alle drei als unüberwindbar bezeichnet, entscheidet sich nicht gegen Souveränität, sondern für die Fortsetzung der Abhängigkeit.
Was deutsche Unternehmen jetzt tun sollten
Die DINUM-Direktive erzeugt in ganz Europa Handlungsdruck, auch wenn sie nur für Frankreich gilt. Deutsche Unternehmen, die Kunden oder Partner in Frankreich haben, werden mit neuen Anforderungen konfrontiert. Zugleich zeigt die Lünendonk-Studie, dass 43 Prozent der deutschen Firmen überhaupt keine Exit-Strategie haben. Diese Kombination macht Handeln dringend. Die folgenden fünf Schritte sind innerhalb von 180 Tagen umsetzbar und erfordern kein komplettes Re-Platforming.
1. Abhängigkeitsanalyse nach DINUM-Scope: Starte mit einer Inventur über die acht Domänen der DINUM-Direktive: Betriebssysteme, Kollaborationstools, Cloud, KI, Datenbanken, Virtualisierung, Antivirus, Netzwerk. Welche Systeme sind kritisch, welche Anbieter unterliegen außereuropäischer Gerichtsbarkeit, welche Datenkategorien sind betroffen? Ohne diese Klarheit bleibt jede Strategie abstrakt.
2. Exit-Strategie für die drei kritischsten Systeme: Du musst nicht alles gleichzeitig migrieren. Wähle die drei Systeme mit dem höchsten Risiko und entwickle für jedes einen konkreten Migrationspfad: Zielarchitektur, Zeitplan, Kostenrahmen, Testkriterien. Die Risikobewertung für KI und Datenhaltung ist ein guter Ausgangspunkt, weil sie oft ohnehin aus Compliance-Gründen ansteht.
3. Souveräner KI-Stack mit Mistral und Aleph Alpha: Der KI-Bereich ist der einfachste Einstieg, weil die Systeme noch jung sind und der Lock-in niedriger ist. Mistral und Aleph Alpha bieten produktionsreife Modelle mit europäischer Datenhaltung. Wer hier früh Erfahrung sammelt, reduziert zugleich das Schatten-KI-Risiko , weil legitime Alternativen zur Verfügung stehen.
4. BSI- und EU-AI-Act-Compliance mitnehmen: Digitale Souveränität, BSI-Konformität und die Anforderungen des EU AI Act überlappen sich in zentralen Punkten: Datenhaltung, Protokollierung, Auditierbarkeit. Wer die AI-Act-Anforderungen sauber umsetzt, hat einen großen Teil der Souveränitätsarbeit bereits erledigt. Die Projekte sollten deshalb gemeinsam geplant werden, nicht in Silos.
5. Verhandlungsposition aufbauen: Eine Exit-Strategie ist auch dann wertvoll, wenn sie nie exekutiert wird. Sie verändert die Verhandlungsposition gegenüber US-Anbietern. Wer zeigt, dass er wechseln kann, bekommt bessere Konditionen, klarere Datenschutzklauseln und priorisierten Support. Die Lünendonk-Studie zeigt: 57 Prozent haben eine Strategie, und genau diese Unternehmen verhandeln heute schon anders.
Souveränität beginnt nicht mit einer Migration, sondern mit einer Exit-Option. Wer eine Tür kennt, die er öffnen könnte, verhandelt anders, plant anders und entscheidet anders.
Deutsche Unternehmen müssen nicht warten, bis die Politik eine eigene DINUM-Direktive vorlegt. Die Werkzeuge sind vorhanden, die Erfahrungen aus Frankreich sind dokumentiert, die regulatorischen Treiber sind gesetzt. Wer die fünf Schritte in den nächsten 180 Tagen beginnt, steht Ende 2026 mit einer echten Wahlfreiheit da, statt mit einer verwalteten Abhängigkeit.
Fazit
Der 8. April 2026 markiert einen Bruch. Zum ersten Mal verbindet eine große europäische Regierung das Ziel digitaler Souveränität mit einer verbindlichen Direktive, klaren Fristen und einem dokumentierten Referenzmodell. Frankreich hat damit nicht nur seine eigene Verwaltung auf einen neuen Kurs gebracht, sondern den Druck auf alle europäischen Nachbarn erhöht, ihre Position zu klären.
Deutschland hat die Zahlen, aber nicht den Plan. 99 Prozent Zustimmung, 83 Prozent Kill-Switch-Angst, 57 Prozent Exit-Strategie und 6 Prozent EU-KI-Nutzung: das ist kein Ausdruck von Desinteresse, sondern von Entscheidungsstau. Die Lücke zwischen Problembewusstsein und Handlung ist die eigentliche strategische Schwachstelle. Sie lässt sich nicht durch eine weitere Umfrage schließen, sondern nur durch konkrete Schritte in den nächsten Monaten.
Unternehmen, die jetzt beginnen, haben drei Vorteile. Sie bauen Erfahrung auf, während der Markt für europäische Alternativen reift. Sie verbessern ihre Verhandlungsposition gegenüber US-Anbietern. Und sie reduzieren das Risiko einer erzwungenen Migration unter Zeitdruck. Das Gendarmerie-Modell zeigt, dass ein Umstieg keine drei Monate, sondern drei Jahre kostet. Wer im April 2026 startet, ist Anfang 2029 handlungsfähig. Wer wartet, verliert diese Zeit ohne Gegenleistung.
Weiterführende Informationen
Häufig gestellte Fragen
Die Direction Interministérielle du Numérique (DINUM) hat am 8. April 2026 alle französischen Ministerien verpflichtet, bis Herbst 2026 einen konkreten Ausstiegsplan aus nicht-europäischer Technologie vorzulegen. Der Plan umfasst Betriebssysteme, Kollaborationstools, Cloud-Dienste, KI-Plattformen, Datenbanken, Virtualisierung, Antivirus und Netzwerkkomponenten. Ziel ist eine schrittweise Migration auf europäische Alternativen, beginnend mit der zentralen Gesundheitsdatenplattform bis Ende 2026.
99 Prozent der deutschen Unternehmen wollen laut Bitkom-Umfrage digitale Unabhängigkeit, 93 Prozent nehmen die Abhängigkeit bereits wahr. Trotzdem haben nur 57 Prozent eine Exit-Strategie. 55 Prozent halten einen Wechsel für zu kompliziert. Die Gründe: Datenmigration, tiefer Ökosystem-Lock-in, Funktionslücken bei EU-Alternativen und fehlende politische Verbindlichkeit. Während Frankreich per Direktive Handlungsdruck erzeugt, bleibt es in Deutschland bei Absichtserklärungen.
Als Kill Switch wird die einseitige Abschaltung kritischer US-Software durch Anbieter oder Regierungen bezeichnet, etwa aufgrund von Sanktionen oder politischen Entscheidungen. Laut Lünendonk-Studie halten 83 Prozent der befragten deutschen Firmen dieses Szenario für realistisch, doch nur 57 Prozent verfügen über eine Exit-Strategie. 96 Prozent der deutschen Unternehmen importieren digitale Technologien, 75 Prozent sind von US-Software abhängig, und 57 Prozent könnten ohne Digitalimporte maximal ein Jahr überleben.
Die französische Gendarmerie Nationale betreibt seit 2008 ihre eigene Linux-Distribution auf rund 80.000 Arbeitsplätzen. Sie spart damit jährlich etwa 2 Millionen Euro an Lizenzkosten und senkte die Gesamtbetriebskosten um rund 40 Prozent. Das Modell zeigt, dass eine Migration auf europäische und Open-Source-Lösungen auch in sicherheitskritischen Behörden funktioniert, wenn sie langfristig geplant und organisatorisch verankert ist. Die DINUM nutzt dieses Beispiel jetzt als Vorlage für die Gesamtverwaltung.
Im KI-Bereich sind Mistral und Aleph Alpha etablierte europäische Anbieter. Für Übersetzungen steht DeepL zur Verfügung, für Cloud-Infrastruktur die GAIA-X-Projekte. Frankreich betreibt mit Tchap einen eigenen sicheren Messenger, mit Visio eine Videokonferenzlösung und mit FranceTransfert einen Dateiversand. Allerdings nutzen laut Bitkom bisher nur 14 Prozent der deutschen Nutzer EU-Alternativen bei sozialen Netzwerken, 13 Prozent bei Suchmaschinen und Browsern, 11 Prozent bei Messengern und nur 6 Prozent bei KI-Anwendungen.
Deutsche Unternehmen sollten zuerst eine Abhängigkeitsanalyse durchführen: Welche Systeme sind kritisch, welche Anbieter unterliegen außereuropäischer Gerichtsbarkeit? Danach folgt eine Exit-Strategie mit konkreten Migrationspfaden für die drei kritischsten Systeme. BSI-konforme Architekturen, ein souveräner KI-Stack mit Mistral oder Aleph Alpha und klare Datenhaltungsrichtlinien bilden die Grundlage. Die Lünendonk-Studie zeigt: Nur wer eine Exit-Option hat, kann auch verhandeln und Risiken bewerten.