Inhaltsverzeichnis
Warum Microsoft 365 für viele KMU ein Datenschutz-Risiko ist
Microsoft 365 ist die meistgenutzte Büro-Softwareplattform in Deutschland. Word, Excel, Teams, Outlook, OneDrive — für viele Unternehmen sind das keine Produkte, sondern Gewohnheiten. Und genau das macht eine sachliche Auseinandersetzung mit den Risiken schwierig: Wer täglich mit einer Plattform arbeitet, hinterfragt sie selten.
Dabei hat sich die Ausgangslage in den vergangenen Jahren merklich verändert. Das Schrems-II-Urteil des Europäischen Gerichtshofs von 2020 hat die rechtliche Grundlage für transatlantische Datentransfers erschüttert. Das EU-US Data Privacy Framework von 2023 hat eine neue Rechtsgrundlage geschaffen, gilt aber unter Datenschutzjuristen als fragil — eine erneute Klage von Max Schrems oder einer europäischen Datenschutzbehörde vor dem EuGH ist nicht ausgeschlossen. Microsoft selbst hat in den vergangenen Jahren wiederholt die Preise für M365 erhöht und gleichzeitig KI-Funktionen tief in die Plattform integriert, die datenschutzrechtliche Fragen aufwerfen.
Das Ergebnis: Was früher eine simple Lizenzentscheidung war, ist heute eine strategische Frage. Nicht jedes KMU muss Microsoft 365 sofort abschaffen. Aber jedes KMU sollte verstehen, womit es es zu tun hat — und welche Alternativen existieren, wenn der Wechsel sinnvoll ist.
Dieser Artikel analysiert die drei Hauptrisiken von M365 für KMU, erläutert die Anforderungen an eine vollwertige Alternative und zeigt konkret, wie Nextcloud als Ersatz funktioniert — mit Feature-Vergleichen, Migrationsablauf und echten Kostenzahlen.
Die 3 konkreten Risiken mit Microsoft 365
CLOUD Act: US-Behörden können auf EU-gespeicherte Daten zugreifen
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde 2018 in den USA verabschiedet. Er verpflichtet US-amerikanische Unternehmen dazu, auf behördliche Anfrage Daten herauszugeben — unabhängig davon, in welchem Land diese Daten gespeichert sind. Microsoft ist ein US-Unternehmen. Wer Microsoft 365 nutzt, dessen Daten können prinzipiell von US-Strafverfolgungsbehörden oder Geheimdiensten angefordert werden, auch wenn der Server in Amsterdam oder Frankfurt steht.
Was das in der Praxis bedeutet: Microsoft kann in vielen Fällen weder ablehnen noch das betroffene Unternehmen informieren. Sogenannte „gag orders" — Geheimhaltungsanordnungen — sind ein reguläres Instrument dieser Verfahren. Als Geschäftsführer eines deutschen KMU können Sie nicht wissen, ob US-Behörden auf Ihre Kundendaten, Verträge oder Kalkulationen zugegriffen haben.
Besonders problematisch ist das für Berufsgeheimnisträger: Anwälte unterliegen der Schweigepflicht nach § 43a BRAO, Ärzte nach § 203 StGB, Steuerberater nach § 57 StBerG. Diese Pflichten existieren unabhängig davon, ob ein US-Gericht einen Herausgabebeschluss erlässt. Die Haftungsrisiken sind real und schwer kalkulierbar.
Hinzu kommt: Das EU-US Data Privacy Framework — das Abkommen, das seit 2023 transatlantische Datentransfers legalisieren soll — steht erneut auf dem datenschutzrechtlichen Prüfstand. Max Schrems und die Organisation noyb haben bereits Verfahren angekündigt. Wenn das Framework wie seine Vorgänger Privacy Shield und Safe Harbor für ungültig erklärt wird, steht die gesamte rechtliche Grundlage für M365-Nutzung in der EU wieder zur Diskussion.
Datenschutzrisiken durch KI-Features (Copilot, Bing-Datennutzung)
Microsoft hat KI tief in seine Produktpalette integriert. Microsoft Copilot in M365 analysiert E-Mails, Dokumente, Meeting-Aufzeichnungen und Kalendereinträge, um KI-gestützte Zusammenfassungen und Vorschläge zu generieren. Das ist für viele Nutzer praktisch — aber es wirft datenschutzrechtliche Fragen auf, die noch nicht abschließend geklärt sind.
Konkret: Copilot verarbeitet Inhalte, die unter Umständen personenbezogene Daten im Sinne der DSGVO enthalten. Microsoft gibt an, dass diese Daten nicht für das Training von Sprachmodellen genutzt werden — zumindest nicht ohne explizite Zustimmung. Aber die Verarbeitungsinfrastruktur liegt in US-kontrollierten Rechenzentren, und die Datenflüsse sind für den durchschnittlichen IT-Verantwortlichen eines KMU nicht vollständig nachvollziehbar.
Dazu kommt: Viele M365-Funktionen sind mit Bing, dem Microsoft-Suchdienst, verknüpft. Redaktionelle Vorschläge, Websuchen aus Teams heraus, Integration von Webinhalten — das sind Verbindungen nach außen, die in sensiblen Unternehmensumgebungen nicht immer erwünscht sind. Wer als KMU mit Gesundheitsdaten, Mandanteninformationen oder Betriebsgeheimnissen arbeitet, muss diese Datenflüsse kennen und bewerten. Das ist mit M365 technisch möglich — aber komplex und erfordert tiefes Wissen der Plattformkonfiguration.
Vendor Lock-in und Preiserhöhungen
Microsoft hat zwischen 2022 und 2025 die Preise für Microsoft 365 mehrfach erhöht. M365 Business Standard kostete 2022 noch 10,50 Euro pro Nutzer und Monat, liegt Stand 2026 bei 12,50 Euro — eine Steigerung von fast 20 Prozent in drei Jahren. Microsoft Teams Essentials wurde eingestellt, Teams Phone wurde in neue Bundles umstrukturiert. Diese Änderungen sind nicht abgestimmt mit den Planungszyklen von KMU.
Das eigentliche Problem ist strukturell: Wer jahrelang Microsoft 365 nutzt, schreibt Dokumente in DOCX, speichert Daten in SharePoint, verwaltet Meetings über Teams, kommuniziert über Exchange Online. Der gesamte operative Datenbestand ist in Microsoft-Formaten und Microsoft-Strukturen. Ein Wechsel erscheint aufwendig — was Microsoft als Anbieter in einer komfortablen Position hält, Preise zu setzen und Konditionen zu ändern.
Vendor Lock-in ist keine Microsoft-spezifische Eigenschaft — alle großen Cloud-Plattformen setzen auf ähnliche Mechanismen. Aber für KMU, die keine dedizierte IT-Abteilung haben und bei denen ein Systemwechsel erhebliche Aufwände bedeutet, ist die Abhängigkeit besonders spürbar. Eine Alternative, die auf offenen Standards basiert, verringert diese Abhängigkeit strukturell.
Was eine gute Alternative bieten muss
Ein ehrlicher Vergleich muss bei den Funktionen beginnen: Microsoft 365 ist eine vollständige Produktivitätsplattform. Wer darüber nachdenkt, sie zu ersetzen, braucht keine philosophische Alternative, sondern eine technische. Die wesentlichen Funktionsbereiche, die abgedeckt sein müssen:
- Dokumenten-Collaboration: Gemeinsame Bearbeitung von Textdokumenten, Tabellen und Präsentationen, idealerweise in Echtzeit, mit Versionierung und Kommentarfunktion. Vollständige Kompatibilität mit DOCX, XLSX und PPTX ist für Unternehmen, die extern mit Microsoft-Nutzern zusammenarbeiten, Pflicht.
- Videokonferenzen und Chat: Microsoft Teams ist für viele Unternehmen die primäre Kommunikationsplattform — Video, Audio, Screen-Sharing, Gruppenkanäle, Dateifreigaben. Eine Alternative muss diese Funktionen verlässlich abdecken, auch für externe Teilnehmer ohne Account.
- E-Mail und Kalender: Exchange Online und Outlook sind Kernbestandteile von M365. Eine Alternative braucht einen vollwertigen Mailserver mit CalDAV-Kalender und CardDAV-Kontakten, kompatibel mit allen gängigen E-Mail-Clients.
- File-Sharing und Cloud-Storage: OneDrive und SharePoint ermöglichen synchronisierte Dateiablage, Freigabelinks, Zugriffsrechte auf Team- und Ordnerebene. Das Äquivalent muss mindestens dasselbe leisten — inklusive Desktop-Sync-Client für Windows, macOS und Linux sowie mobiler App.
- Nutzerverwaltung und Single Sign-On: In Unternehmensumgebungen wird M365 häufig mit Active Directory verknüpft. Eine Alternative sollte LDAP-Anbindung und idealerweise SAML/OAuth-Unterstützung mitbringen.
Lösungen, die einige dieser Bereiche abdecken, gibt es viele. LibreOffice allein ist kein M365-Ersatz. Nur Online-Editoren ohne Collaboration-Features sind keiner. Eine vollständige Alternative muss alle genannten Bereiche integriert abdecken — mit einer gemeinsamen Nutzerverwaltung, gemeinsamer Zugriffssteuerung und einer konsistenten Bedienoberfläche. Nextcloud ist die einzige Open-Source-Lösung, die das in dieser Breite leistet.
Nextcloud als vollständige M365-Alternative: Feature-Vergleiche
Nextcloud ist eine selbst gehostete Collaboration-Plattform, entwickelt von der Nextcloud GmbH mit Sitz in Stuttgart. Die Software ist Open Source (AGPLv3), der Code ist vollständig einsehbar und wird regelmäßig von unabhängigen Sicherheitsforschern auditiert. Nextcloud GmbH ist kein US-Unternehmen, hat keine US-Muttergesellschaft und unterliegt daher nicht dem CLOUD Act.
Im Folgenden die direkte Gegenüberstellung der vier Kernbereiche.
Nextcloud Files vs. OneDrive / SharePoint
OneDrive bietet persönlichen Cloud-Speicher mit Desktop-Synchronisation. SharePoint erweitert das auf Team-Ebene mit Dokumentenbibliotheken, Berechtigungsstruktur und Metadaten. Nextcloud Files deckt beide Szenarien in einer Oberfläche ab.
Der Nextcloud Desktop-Client für Windows, macOS und Linux synchronisiert ausgewählte Ordner auf Wunsch vollständig oder selektiv. Freigabelinks — mit optionalem Passwort und Ablaufdatum — funktionieren wie von OneDrive bekannt. Externe Nutzer können Dateien hochladen, ohne einen Nextcloud-Account zu benötigen. Zugriffsrechte werden auf Ordner- und Dateiebene gesetzt, entweder individuell oder über Gruppen.
Was Nextcloud darüber hinaus bietet: vollständige Versionierung (konfigurierbare Anzahl an Versionen pro Datei), End-to-End-Verschlüsselung für einzelne Ordner, Aktivitätsprotokoll für Zugriffe und Änderungen sowie die Möglichkeit, mehrere Speicherbackends zu verwenden — lokale Festplatte, S3-kompatibler Object Storage oder NFS. Für Unternehmen mit eigenen Backup-Konzepten ist diese Flexibilität ein Vorteil gegenüber der geschlossenen SharePoint-Infrastruktur.
Ein praktischer Unterschied: SharePoint-Berechtigungsmodelle sind komplex und haben eine steile Lernkurve. Die Nextcloud-Berechtigungsstruktur ist direkter — weniger Konfigurationsoptionen, aber für KMU-Verhältnisse in der Regel ausreichend und einfacher zu warten.
Nextcloud Talk vs. Microsoft Teams
Microsoft Teams ist tief integriert: Chat, Videokonferenzen, Kanäle, Dateifreigaben, Aufgaben, externe Gast-Accounts — alles in einer App. Teams hat in den vergangenen Jahren erheblich in Funktionsumfang und Stabilität zugelegt und ist für viele Unternehmen zur primären Kommunikationsplattform geworden.
Nextcloud Talk bietet Video- und Audioanrufe, Bildschirmübertragung, Gruppen-Chats, Sprach-/Videokonferenzen mit Warteraum, Umfragen in Calls und Browser-basierte Teilnahme ohne Client-Installation für externe Teilnehmer. Das ist der direkte Funktionskern von Teams — und er funktioniert gut für Unternehmensgrößen bis zu einigen Dutzend Teilnehmern.
Wo Nextcloud Talk an Grenzen stößt: Für große Konferenzen mit hundert oder mehr Teilnehmern braucht es einen externen TURN/STUN-Server und idealerweise einen dedizierten SFU (Selective Forwarding Unit). Das ist konfigurierbar, aber erfordert technisches Setup. Teams kann große Webinare und Konferenzen ohne Zusatzinfrastruktur abwickeln — das ist ein realer Vorteil für Unternehmen, die regelmäßig große Online-Veranstaltungen durchführen.
Für den regulären KMU-Alltag — Team-Calls, Kundenmeetings, interne Kommunikation — ist Nextcloud Talk vollständig ausreichend. Der entscheidende Vorteil: Alle Kommunikationsdaten bleiben auf Ihrer eigenen Infrastruktur. Keine Gesprächsaufzeichnungen in Microsoft-Rechenzentren, keine Transkriptionen in US-Systemen.
Nextcloud Office (Collabora) vs. Word / Excel
Nextcloud Office basiert auf Collabora Online, einer server-seitigen Rendering-Engine für LibreOffice-Dokumente. Die Integration in Nextcloud ermöglicht die gemeinsame Bearbeitung von Textdokumenten, Tabellen und Präsentationen direkt im Browser — ähnlich wie in Microsoft Office Online.
Die Formatkompatibilität mit DOCX, XLSX und PPTX ist für den Alltagsbetrieb sehr gut. Dokumente, die von Nextcloud Office geöffnet und bearbeitet werden, bleiben im Microsoft-Format — sie können problemlos mit Kollegen oder Kunden geteilt werden, die Word oder Excel nutzen. Für einfache bis mittlere Dokumente ist die Darstellung nahezu identisch.
Grenzen gibt es bei komplexen Excel-Makros (VBA), aufwendigen Word-Formatvorlagen mit proprietären Feldfunktionen und spezifischen PowerPoint-Animationen. Für Unternehmen, die intensiv auf Excel-Makros für Finanzmodelle oder komplexe Berechnungsmodelle setzen, ist eine sorgfältige Kompatibilitätsprüfung vor der Migration erforderlich. In vielen Fällen lassen sich Makros in Python-Skripte oder andere offene Automatisierungen überführen — aber das bedeutet Aufwand.
Ergänzend kann OnlyOffice als Nextcloud-App integriert werden, das eine höhere Microsoft-Office-Kompatibilität bei komplexen Dokumenten bietet, aber weniger tief in das Linux-Ökosystem integriert ist. Für Unternehmen, bei denen Kompatibilität Priorität hat, ist OnlyOffice die empfehlenswertere Wahl innerhalb von Nextcloud.
Nextcloud Mail vs. Outlook
Nextcloud Mail ist eine Web-E-Mail-Oberfläche, die sich mit beliebigen IMAP-Mailservern verbindet. Sie ersetzt Outlook als Web-Client — und lässt sich auf dem Server mit einem eigenständigen Mailserver (z. B. Dovecot/Postfix oder Mailcow) kombinieren, der Exchange Online ersetzt.
Für Nutzer, die täglich intensiv mit Outlook arbeiten und dessen Kalender, Aufgaben, Kategorien und E-Mail-Regeln tief integriert haben, ist der Wechsel eine Umgewöhnung. Nextcloud Mail bietet Suchfunktion, Filter, Mehrfachkonten und Thread-Ansicht — für einfache bis mittlere E-Mail-Nutzung ist das vollständig ausreichend. Thunderbird als Desktop-Client ist eine ausgereifte Alternative für Nutzer, die eine Desktop-Anwendung bevorzugen.
Der Kalender läuft über CalDAV (Nextcloud Calendar) und synchronisiert nahtlos mit iOS, Android, Outlook (via Drittanbieter-Plugin) und Thunderbird Lightning. Kontakte laufen über CardDAV. Diese offenen Standards sind der strukturelle Vorteil: Keine proprietäre Datenhaltung, keine Abhängigkeit von einem einzelnen Anbieter für das Adressbuch oder den Terminkalender.
Was Nextcloud Mail aktuell nicht bietet: KI-gestützte E-Mail-Priorisierung, Smart Reply oder eine so enge Integration mit Aufgabenverwaltung wie Outlook To-Do. Für Unternehmen, die diese Features aktiv nutzen, ist das ein Minuspunkt. Für die Mehrheit der KMU, die E-Mail primär als Kommunikationsmedium ohne erweiterte KI-Features nutzen, fällt das kaum ins Gewicht.
Migrationsprozess: Schritt für Schritt
Eine Migration von Microsoft 365 zu Nextcloud ist kein Projekt für ein Wochenende — aber auch kein halbjähriges Großprojekt. Mit strukturiertem Vorgehen ist ein KMU mit 10–30 Nutzern realistisch in vier bis acht Wochen migriert, ohne Datenverlust und ohne signifikante Produktivitätsunterbrechung. Der Schlüssel liegt in einem parallelen Betrieb beider Systeme während der Übergangsphase.
Phase 1: Bestandsaufnahme und Planung (1–2 Wochen)
Bevor ein einziger Datensatz bewegt wird, steht die Analyse des Status quo. Welche M365-Dienste werden tatsächlich genutzt? Welche Teams setzen auf SharePoint, welche nur auf OneDrive? Gibt es kritische Excel-Makros oder Word-Vorlagen, die Kompatibilitätstests benötigen? Welche externen Systeme sind mit M365 integriert (ERP, CRM, Branchensoftware)? Die Antworten auf diese Fragen bestimmen den Migrationsplan.
Gleichzeitig wird die Zielarchitektur definiert: Wo soll Nextcloud gehostet werden? Auf eigenem Server vor Ort, auf einem gemieteten dedizierten Server bei einem deutschen Anbieter oder in einer virtualisierten Umgebung beim IT-Dienstleister? Welche Speicherkapazität wird benötigt? Wie sieht das Backup-Konzept aus?
Phase 2: Einrichtung der Nextcloud-Infrastruktur (1 Woche)
Die Nextcloud-Installation erfolgt auf dem vorbereiteten Server. Produktionsreife Einrichtung umfasst: PostgreSQL als Datenbankbackend, Redis für Session-Caching und APCu als PHP-Cache, Nginx als Reverse Proxy mit gültigem TLS-Zertifikat, korrekte Security Headers, LDAP-Anbindung an bestehendes Active Directory (falls vorhanden) sowie Monitoring und automatisierte Backups.
Parallel wird, falls ein eigener Mailserver gewünscht ist, Mailcow oder eine vergleichbare Lösung eingerichtet — mit Übernahme der bestehenden Domains und Postfachstruktur. Der Mailserver läuft zunächst leer, parallel zum noch aktiven Exchange Online.
Phase 3: Datenmigration (1–2 Wochen)
OneDrive-Inhalte werden über den OneDrive-Desktop-Client lokal exportiert und strukturiert nach Nextcloud Files hochgeladen. SharePoint-Bibliotheken werden analysiert, bereinigt und übertragen — eine gute Migration ist auch eine Gelegenheit, überalterter Datenbestand zu konsolidieren. Berechtigungsstrukturen werden in Nextcloud neu aufgebaut.
E-Mail-Historien werden über IMAP-Migration übertragen: Das Tool imapsync oder Clients wie Thunderbird ermöglichen die vollständige Übertragung aller Postfächer mit Ordnerstruktur, Flags und Zeitstempeln. Kalender werden als iCal-Dateien exportiert und in Nextcloud Calendar importiert. Kontakte werden als VCF-Dateien exportiert und in Nextcloud Contacts importiert.
Phase 4: Parallelbetrieb und Umstellung (1–2 Wochen)
Für eine definierte Übergangszeit laufen beide Systeme parallel. Mitarbeiter werden in Nextcloud eingeschult — in der Regel reicht eine 90-minütige Einführungsschulung, da die Bedienung intuitiv ist. In dieser Phase werden Fragen und Probleme identifiziert und gelöst, bevor M365-Lizenzen gekündigt werden.
Die E-Mail-Umstellung erfolgt über einen MX-Record-Wechsel: Mit einem DNS-TTL von wenigen Minuten ist der Übergang für Nutzer nahezu nahtlos. Intern wird der DNS-Eintrag so gesetzt, dass neue E-Mails auf den neuen Mailserver gehen, während aus Exchange Online noch keine neuen E-Mails empfangen werden.
Phase 5: Abschluss und Kündigung
Nach einer stabilen Laufphase von zwei bis vier Wochen auf dem neuen System werden M365-Lizenzen zum nächsten möglichen Termin gekündigt. Lizenzen, die jährlich abgerechnet werden, sollten frühzeitig im Migrationsprojekt auf ihre Laufzeitenden geprüft werden, um unnötige Doppelkosten zu vermeiden.
Kosten-Vergleich: M365 Business Standard vs. selbst gehostetes Nextcloud
Ein konkreter Vergleich für ein Unternehmen mit 20 Nutzern, das M365 Business Standard nutzt (Stand Mitte 2026):
Microsoft 365 Business Standard:
- Lizenzkosten: 12,50 Euro × 20 Nutzer × 12 Monate = 3.000 Euro/Jahr
- Microsoft Teams Phone (falls genutzt): zusätzlich ab 8 Euro/Nutzer/Monat
- Microsoft Copilot für M365 (optionaler KI-Aufsatz): 30 Euro/Nutzer/Monat — bei 20 Nutzern weitere 7.200 Euro/Jahr
- Einmalkosten für Einrichtung und Schulung: variabel, oft pauschal in Dienstleistungsverträgen enthalten
Nextcloud selbst gehostet (20 Nutzer, professionelle Einrichtung):
- Einmalige Einrichtung und Migration: ca. 2.500–4.000 Euro (je nach Datenmenge und Komplexität)
- Dedizierter Server bei deutschem Hoster: 40–80 Euro/Monat, also 480–960 Euro/Jahr
- Optionaler Wartungsvertrag (Updates, Monitoring, Support): 80–200 Euro/Monat
- Nextcloud-Softwarelizenzen: keine (Open Source, kostenlos)
- Gesamte laufende Kosten im Jahr 1 (inkl. Einrichtung): ca. 3.500–6.000 Euro
- Ab Jahr 2: ca. 1.500–4.000 Euro/Jahr je nach Wartungsvertrag
Das Ergebnis: Im ersten Jahr ist Nextcloud nicht unbedingt günstiger als M365 — die Einrichtungskosten nivellieren den Lizenzvorteil. Ab dem zweiten Jahr entstehen je nach Wartungsmodell deutliche Einsparungen, besonders wenn das Unternehmen weiter wächst: Weitere Nutzer bei Nextcloud kosten nichts, bei M365 steigen die Lizenzkosten linear.
Hinzu kommt ein schwerer zu quantifizierender Faktor: die Planungssicherheit. Nextcloud-Kosten sind vorhersehbar und steigen nicht durch externe Entscheidungen des Anbieters. Microsoft kann und wird die Preise für M365 weiter anpassen — und das liegt vollständig außerhalb Ihrer Kontrolle.
Für Unternehmen mit eigener IT-Kompetenz oder bestehendem Managed-Server-Vertrag kann Nextcloud bereits im ersten Jahr wirtschaftlich überlegen sein. Für Unternehmen, die alles outsourcen und auf Microsoft's Service-Qualität vertrauen möchten, ist M365 trotz der Risiken kurzfristig die bequemere Wahl. Die Entscheidung hängt letztlich nicht nur an den Zahlen — sie hängt an der Frage, welchen Grad an Kontrolle und Datensouveränität das Unternehmen anstrebt.
