Digitale Souveränität · Köln · seit 2001

Eigenbetrieb statt Cloud-Lock-in.

Open Source, EU-Infrastruktur, Audit-Trail — denn wer Datenhoheit ernst meint, hostet selbst — oder bei jemandem, der das Wort versteht. Wir migrieren KMU und Bundesinstitutionen weg von Microsoft 365 und Google Workspace, hin zu Nextcloud, Matomo & Co. Aus Köln, aus Europa.

Migration besprechen

EU-Stack ansehen

~/newshore/souveraenitaet

$ newshore migrate --to eu
---------------------------------
[x] Office-Suite
[x] Chat
[x] Mail
[x] Cloud-Storage
[x] CRM
[x] Analytics
[x] KI / LLM
---------------------------------
→ Open Source · DE-Hosting · DSGVO
$ _

souveraenitaet / definition.md

Was ist digitale Souveränität?

Vier Säulen — und warum „Digitale Souveränität“ nicht alles-oder-nichts ist.

Digitale Souveränität ist die Fähigkeit, über die eigene digitale Infrastruktur autonom zu entscheiden — also wo Daten liegen, wer Zugriff hat, welche Plattform genutzt wird. Vier Säulen:

Datenhoheit — wo liegen die Daten? Wer kann zugreifen? In welcher Rechtsordnung?
Stack-Hoheit — wer kontrolliert die Plattform? Open Source vs. proprietär.
Eigenbetrieb — wer betreibt? Self-Hosting, EU-Hoster, oder Hyperscaler-Cloud?
Compliance — DSGVO Art. 28 (AVV), Schrems II, TOM-Liste — nachprüfbar dokumentiert.

Digitale Souveränität ist Skala, nicht Schalter. Vollständig erreicht man sie nur mit eigener Infrastruktur — aber jeder Schritt weg von US-Cloud-Diensten ist ein Gewinn an Kontrolle.

souveraenitaet / reifegrade.md

Vier Reifegrade.

Digitale Souveränität ist ein Weg, kein Schalter — auf welcher Stufe steht Eure Organisation?

~/reifegrade/01.md

01 / Compliance

DSGVO-Basics

AVV mit allen Anbietern, Datenschutz-Erklärung aktuell, TOM-Liste vorhanden, Cookie-Consent korrekt — also Pflicht für jede Organisation mit Kund:innen-Daten.

~/reifegrade/02.md

02 / Cloud

EU-Cloud

Wechsel von Hyperscalern (AWS, Azure, GCP) zu EU-Anbietern (Hetzner, IONOS, OVHcloud) — also Daten im EU-Rechtsraum, Schrems-II-Risiko gelöst.

~/reifegrade/03.md

03 / Open Source

Open-Source-Stack

Microsoft 365 → Nextcloud, Slack → Mattermost, Google Analytics → Matomo — damit kein Lock-in mehr, keine Preiserhöhungs-Spirale, volle Stack-Kontrolle.

~/reifegrade/04.md

04 / Self-Host

Eigenbetrieb

Self-Hosting auf eigenen oder gemieteten Servern — sodass maximale Datenhoheit, Zugriffskontrolle, Audit-fähig. Daher Pflicht für hochsensible Daten — Anwalts-, Patient:innen-, Forschungs-Daten.

Die meisten Organisationen brauchen Stufe 2–3. Stufe 4 ist kein Selbstzweck, sondern Pflicht für bestimmte Branchen — und optional für andere.

souveraenitaet / warum-jetzt.md

Warum jetzt.

Drei Entwicklungen, die das Thema seit 2020 zur strategischen Frage machen.

1. Schrems II (Juli 2020). Der EuGH kippt das EU-US-Privacy-Shield. Datenexport in die USA per Standardvertragsklauseln (SCCs) ist nur mit zusätzlichen Sicherheitsmaßnahmen rechtssicher. Allerdings sind diese bei Hyperscaler-Diensten in der Praxis kaum umsetzbar. Deshalb ziehen Aufsichtsbehörden die Daumenschrauben an.

2. KI-Datenexport. Cloud-AI-Tools (ChatGPT, Copilot, Gemini-Integrationen) exportieren Geschäftsdaten in undurchsichtige Trainings-Pipelines. Vertragsentwürfe, interne Dokumente, Source-Code — alles, was Mitarbeiter:innen reinkopieren, landet damit im Modell-Training. Daher unsere Antwort: lokale LLMs und EU-betriebene KI-Dienste — siehe KI-Stack ohne US-Cloud.

3. EU-Cloud-Initiativen. Gaia-X, das Cloud-Souveränitäts-Siegel des BSI, EuroCloud — Politik und Industrie bauen aktiv an Alternativen. Wer früh umsteigt, ist eingerichtet, bevor der Druck steigt.

souveraenitaet / kennzahlen.md

Kennzahlen.

Was Eigenbetrieb für uns konkret bedeutet.

25 Jahre Eigenbetrieb seit 2001

100 % Open Source Tooling

DE Hosting in Deutschland

0 US-Cloud bei kritischen Daten

souveraenitaet / wer.md

Wer braucht welche Stufe?

Souveränitäts-Bedarf nach Branche und Kontext — nicht jede Organisation braucht das volle Programm.

Organisation	Mindest-Stufe	Typischer Trigger
Verein, NGO	1 + 2 (DSGVO + EU-Cloud)	Mitglieder-Daten, Datenschutz-Erklärung, Spender-Liste
KMU (B2B)	2 + 3 (EU-Cloud + Open-Source)	Kund:innen verlangen DSGVO-Zertifizierung; Schrems-II-Audit
Öffentliche Verwaltung	3 + 4 (EU-Stack + Eigenbetrieb möglich)	BSI-Vorgaben, Cloud-Souveränitätssiegel, BMI-Empfehlung
Gesundheit, Forschung, Anwaltskanzlei	4 (vollständiger Eigenbetrieb)	Berufsgeheimnis, Patient:innen-Daten, Mandanten-Akten
Konzern	individuell — oft mehrere Stufen parallel	unterschiedlich kritische Bereiche, Audit-Druck, Compliance-Pflicht

Stufen-Modell siehe vier Reifegrade. Konkrete Bedarfsanalyse nach Audit.

souveraenitaet / eu-stack.md

EU-Stack — die Komponenten.

Für jeden US-Standard gibt es eine EU- oder Open-Source-Alternative. Hier die wichtigsten.

Funktion	US-Standard	EU-/Open-Source-Alternative
Office-Suite	Microsoft 365	Nextcloud + OnlyOffice / Collabora
Chat & Collab	Slack, MS Teams	Mattermost, Rocket.Chat
Mail	Gmail Workspace	mailbox.org, posteo, Mailcow self-hosted
Cloud-Storage	Dropbox, OneDrive	Nextcloud, Seafile
CRM	Salesforce, HubSpot	SuiteCRM, EspoCRM, Twenty
Analytics	Google Analytics	Matomo, Plausible
Video-Conferencing	Zoom, Google Meet	Jitsi, BigBlueButton
Cloud-Infrastruktur	AWS, Azure, GCP	Hetzner, IONOS, OVHcloud, Scaleway
Newsletter / Automation	Mailchimp, HubSpot	Mautic, Sendy, n8n

Nicht alles ist 1:1 ersetzbar. Manche Tools brauchen Eingewöhnung. Aber: alle aufgelisteten EU-Alternativen sind produktiv im Einsatz, von KMU bis Konzern.

souveraenitaet / ki.md

KI ohne US-Cloud.

Lokale und europäische Alternativen zu OpenAI, Anthropic und Google — inklusive RAG, Code-Assistance, Voice und Bild.

Cloud-KI-Tools (ChatGPT, Claude, Gemini, Copilot) exportieren Eingaben in Trainings- oder Inference-Pipelines außerhalb der EU. Für interne Wissens-Datenbanken, Vertragsanalysen oder Code-Reviews ist das deshalb ein Datenschutz-Showstopper. Hingegen schließen Open-Weight-Modelle und EU-betriebene LLM-APIs die Lücke.

Funktion	US-Standard	EU-/Lokale-Alternative
Chat-LLM	ChatGPT, Claude, Gemini	Self-Hosted via Ollama / vLLM (Llama, Mistral, Qwen, Phi); Mistral La Plateforme (FR); Aleph Alpha (DE)
Code-Assistance	GitHub Copilot, Cursor	Continue.dev + lokales LLM; Tabby (self-hosted); Codeium-Self-Hosted
Embeddings (RAG)	OpenAI Embeddings + Pinecone	BGE / Nomic / E5 (open weights) + Qdrant oder Weaviate self-hosted
RAG / Document-Search	OpenAI Assistants, Perplexity Pro	LlamaIndex oder Haystack mit lokalem LLM + Vector-DB
Image-Generation	DALL-E, Midjourney	Stable Diffusion, FLUX (lokal oder bei EU-GPU-Provider wie Hetzner / Scaleway)
Voice-to-Text	Whisper API (OpenAI Cloud)	Whisper.cpp lokal, Vosk
Text-to-Voice	ElevenLabs	Piper, Coqui TTS
Vision / OCR	GPT-4o Vision, Google Vision	LLaVA, MiniCPM-V (open weights), Tesseract

Open-Weights-LLMs sind inzwischen leistungsstark genug für die meisten Business-Use-Cases. Die Hardware-Hürde sinkt: Llama 3.1 70B oder Mistral Large 2 laufen produktiv auf einem Server mit zwei GPUs.

Konkrete Anwendungsfälle, die wir umsetzen:

Interne Wissens-RAG — Eure Dokumente lokal indizieren — Confluence, Outline, PDF, Mail. Ein lokales LLM antwortet dann mit Quellen-Verweis. Keine Daten verlassen Eure Infrastruktur. Operativer Aufbau der Wissensbasis: siehe Digitalisierung.
Code-Assistance ohne Telemetrie — Continue.dev oder Tabby mit selbst-gehostetem Code-LLM (DeepSeek-Coder, Qwen-Coder, StarCoder). Damit vergleichbare Qualität zu Copilot, ohne dass Code an US-Server geht.
Vertragsanalyse / Document-QA — sensible Dokumente werden batch-verarbeitet; das LLM extrahiert strukturiert (Fristen, Klauseln, Pflichten). Setup mit LlamaIndex + Mistral lokal.
Übersetzung & Lokalisierung — DeepL ist EU-Anbieter und gut. Außerdem für tiefere Souveränität: NLLB-200 (Meta open weights) lokal, oder Helsinki-NLP-Modelle für spezifische Sprachpaare.

Der Trade-off ist real: lokale Modelle sind in absoluten Benchmark-Spitzen oft 6–12 Monate hinter Frontier-Cloud-LLMs. Aber für die meisten produktiven Anwendungsfälle reicht das. Und: Datenschutz und Kostenkontrolle schlagen Benchmark-Punkte, sobald Geschäftsdaten im Spiel sind.

souveraenitaet / migration.md

Migrations-Pfad.

Vier Schritte vom Audit bis zum laufenden EU-Stack — Big-Bang-Migrationen scheitern, schrittweise klappen.

~/migration/01.md

01 / Audit

Audit

Was wird wirklich genutzt? Welche Workflows hängen wo dran? Welche Daten sind kritisch? Wir liefern eine ehrliche Inventur statt Wunschliste. Typisch 1–2 Wochen.

~/migration/02.md

02 / Pilot

Pilot

Eine Abteilung wechselt — meist die mit größtem Schmerz (Datenschutz, Compliance, Kosten) — dabei mit festem Zeitplan und klaren Erfolgskriterien.

~/migration/03.md

03 / Migration

Migration

Stufenweise, mit klarer Roadmap: zuerst Daten umziehen, dann neue Tools live, schließlich alte Hyperscaler-Verträge abschalten. Parallel-Betrieb zur Risikominimierung. 3–12 Monate, je nach Tool-Anzahl und Komplexität.

~/migration/04.md

04 / Schulung

Schulung

Workshops für Redaktion, Admins, Power-User — weil ohne Schulung die Migration verpufft. Tools sind anders, Workflows anders, Erwartungen müssen angepasst werden. Daher fortlaufend, nicht einmalig.

souveraenitaet / cases.md

Beispiele aus der Praxis.

Drei Migrations-Szenarien, wie wir sie regelmäßig sehen.

~/cases/verein.md

01 / NGO

Verein wechselt zu Nextcloud

50-köpfige Mitglieder-Organisation: Migration von Google Workspace zu selbst-gehostetem Nextcloud-Stack. Datenexport, Schulung, paralleler Betrieb über 3 Monate, danach Abschaltung Google.

~/cases/kmu.md

02 / KMU

KMU steigt aus MS Teams aus

80 Mitarbeiter:innen, technologie-affines KMU: Wechsel von Microsoft Teams zu Mattermost, plus Nextcloud-Office statt SharePoint. Spar-Effekt: vierstellig pro Monat, plus volle Datenhoheit.

~/cases/bund.md

03 / Bund

Bundesinstitution: Analytics

Bundesinstitution stellt Analytics von Google auf Matomo um — auf eigenen Servern in Frankfurt, Cookie-frei, Daten-anonymisiert. Dabei Audit-Trail dokumentiert, datenschutz-konform.

~/cases/kanzlei.md

04 / KI

Kanzlei: Lokales LLM

Mittelständische Kanzlei nutzt selbst-gehostetes Mistral-LLM für Document-QA über Vertragsentwürfe und Mandanten-Akten — denn Daten verlassen das Firmen-Netz nicht, Anwaltsgeheimnis bleibt im Haus.

Die Beispiele sind generisch dargestellt — konkrete Cases auf Anfrage, NDA-konform.

souveraenitaet / checkliste.md

Compliance-Checkliste.

Zehn Fragen, die Eure DSGVO- und Souveränitäts-Realität abklopfen.

Habt Ihr für alle eingesetzten Cloud-Tools eine AVV (Auftragsverarbeitungsvertrag)?
Sind die TOMs (technisch-organisatorische Maßnahmen) Eurer Drittfirmen dokumentiert und auf aktuellem Stand?
Wisst Ihr, wo Eure Daten physisch liegen — nicht nur „in der Cloud“?
Bei Drittland-Tools: gibt es zusätzliche Sicherheitsmaßnahmen außer SCC (z. B. eigene Verschlüsselungs-Schlüssel)?
Ist Eure Datenschutz-Erklärung synchron mit dem tatsächlichen Cloud-Stack — oder steht da noch „wir nutzen Google Analytics“, obwohl Ihr inzwischen Matomo nutzt?
Habt Ihr einen Datenexport-Plan, falls ein Anbieter morgen den Vertrag kündigt?
Ist Euer Cookie-Consent und Tracking-Stack DSGVO-konform — oder läuft Stalking via Google Analytics noch im Hintergrund?
Sind Eure Mitarbeitenden geschult auf den Umgang mit personenbezogenen Daten (insbesondere bei KI-Tools)?
Sind Datenpannen-Meldewege definiert und mindestens einmal geübt?
Falls KI-Tools im Einsatz: weiß Ihr, ob Eingaben in Trainings-Pipelines landen können?

Bei mehr als drei „Nein“ — sprecht uns an. Dann machen wir den Audit, sortieren die Lücken und schlagen einen Migrations-Pfad vor.

souveraenitaet / faq.md

Häufige Fragen.

Digitale Souveränität und Digitalisierung — politisch wie technisch.

Was heißt digitale Souveränität konkret?

Datenhoheit, Stack-Hoheit, keine Abhängigkeit von außereuropäischen Anbietern bei kritischen Diensten. Praktisch: Self-Hosting, EU-Cloud, Open-Source-Tools. Souveränität ist Skala — vollständig nur durch eigene Infrastruktur, in Stufen erreichbar.

Welche EU-Alternativen gibt es zu US-Cloud-Diensten?

Für Office: Nextcloud, OnlyOffice, Collabora. Für Chat: Mattermost, Rocket.Chat. Für CRM: SuiteCRM, EspoCRM. Für Analytics: Matomo, Plausible. Für Cloud-Infrastruktur: Hetzner, OVH, IONOS. Welche Kombination passt, hängt vom Anwendungsfall ab. Vollständige Tabelle weiter oben.

Was, wenn unser Team mit Microsoft 365 arbeitet?

Ehrliche Antwort: Migration ist nicht trivial. Wir starten oft mit einem Audit (was wird wirklich genutzt?) und einem Pilot (eine Abteilung wechselt). Stück für Stück, mit Schulung. Big-Bang-Migrationen scheitern.

Wie viel teurer ist Eigenbetrieb?

Selten teurer — oft günstiger ab 50+ Nutzer:innen. Nextcloud + EU-Hosting kostet einen Bruchteil von Microsoft 365 Business. Plus: keine Lock-in-Gebühren, keine Preiserhöhungen alle 18 Monate.

Sind Open-Source-Tools weniger sicher als kommerzielle?

Nein, oft umgekehrt. Quelloffener Code wird öffentlich auditiert — Sicherheitslücken werden früh entdeckt. Bei kommerziellen Tools verlässt man sich auf den Anbieter. Beides hat Risiken; Open Source bietet mehr Kontrolle.

Was passiert mit unseren Daten beim Wechsel?

Wir migrieren strukturiert: Export in offenen Formaten (CSV, JSON, ICS, MBOX), Import in das neue System, Konsistenz-Check, Verifikation. Daten bleiben in Eurer Hand und gehen nirgendwo verloren. Alte Konten bleiben einige Monate parallel als Sicherheits-Backup.

Welche Branchen sind besonders betroffen?

Public Sector, Gesundheit, Finanzen, Forschung, Bildung — alle mit hohen Datenschutz-Anforderungen oder regulatorischer Beobachtung. Auch Vereine mit Mitglieder-Daten und KMU mit Geschäftsgeheimnissen sollten genau hinschauen.

Wie kompliziert ist Self-Hosting?

Hängt vom Tool ab. Nextcloud auf einem VPS ist in einem Tag aufgesetzt. Komplexere Stacks (Mattermost-Cluster, Multi-Tenant Mautic) brauchen mehr Erfahrung. Wir bieten Managed-Self-Hosting als Mittelweg: ihr habt die Kontrolle, wir den Betrieb.

Können wir ChatGPT intern durch lokale KI ersetzen?

Für viele Use-Cases ja. Llama 3.1 / Mistral / Qwen lokal über Ollama oder vLLM bringen Qualität nahe an GPT-4-Niveau bei Standard-Aufgaben. Frontier-Forschung oder absolute Spitze: noch Cloud-LLMs voraus, aber die Lücke schließt sich quartalsweise. Für Wissens-RAG, Code-Assistance, Übersetzung und Document-QA sind lokale Modelle inzwischen ausreichend.

Sind lokale LLMs sicherer als Cloud-KI?

Was Datenschutz angeht: deutlich. Inputs verlassen Eure Infrastruktur nicht, kein Trainings-Pipeline-Risiko, kein Vendor-Lock-in. Was Modell-Sicherheit (Prompt-Injection, Halluzinationen) angeht: gleiches Risiko wie Cloud-LLMs — die Modell-Architektur ist identisch oder ähnlich. Konkret: Output-Validation und Guardrails braucht Ihr in beiden Welten.

souveraenitaet / nachbar.md

Operativ konkret?

Digitale Souveränität ist die Strategie, während Digitalisierung mit Haltung die Umsetzung ist.

Wenn die strategische Frage geklärt ist — welche Tools wählt Ihr konkret aus, wie führt Ihr sie ein, wie schult Ihr Eure Teams? Das ist der operative Zwilling der Digitalen Souveränität: Digitalisierung mit Haltung — Tools wie n8n, Mautic, Outline, Plane plus konkrete Use-Cases und Cases. Begleitung bei Auswahl und Vendor-Audit gibt es bei uns als Trusted Advisor.

Reden wir

Bereit für den Ausstieg aus Cloud-Lock-in?

Erstes Gespräch ist kostenfrei. Dabei prüfen wir Euren Stack, bewerten Migrations-Aufwand und sagen ehrlich, wo der größte Hebel sitzt.

Migration besprechen

Tools & Vorgehen