Auslöser war ein Satz im französischen Senat, am Dienstag, dem 10. Juni 2025. Senator Dany Wattebled, Berichterstatter der Commission d’enquête zu den Kosten öffentlicher Beschaffung, hatte Microsoft Frances Anton Carniaux vor sich. Carniaux war Direktor für Öffentliche und Rechtsangelegenheiten von Microsoft France. Neben ihm saß Pierre Lagarde, Direktor Technische Dienste für den öffentlichen Sektor. Lagarde hatte gerade erklärt, dass seit Januar Kundendaten europäischer Kunden vertraglich die EU nicht mehr verließen.

Wattebled fragte Carniaux, ob er garantieren könne, dass Daten französischer Bürger auf Anweisung einer US-Behörde nicht an diese übermittelt würden. Carniaux wich nicht aus. „Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit" — nein, ich kann es nicht garantieren, aber, nochmals, es ist noch nie geschehen.

Der Satz zirkulierte zehn Monate lang. Am Mittwoch, dem 8. April 2026, veröffentlichten die Direction interministérielle du numérique und drei Partnerbehörden — die Direction générale des entreprises, die Cybersicherheitsbehörde ANSSI und die zentrale Beschaffungsdirektion DAE — eine gemeinsame Pressemitteilung. Jedes Ministerium, jeder Staatsbetrieb, jede angeschlossene Stelle wäre verpflichtet, einen schriftlichen Plan zur Reduktion ihrer außereuropäischen digitalen Abhängigkeiten vorzulegen. Stichtag: Herbst. Die Pläne würden sieben Kategorien abdecken: Arbeitsplätze, Kollaborationstools, Antivirus, Künstliche Intelligenz, Datenbanken, Virtualisierung, Netzwerkausrüstung. DINUM selbst würde die Windows-zu-Linux-Migration zuerst pilotieren.

Anne Le Hénanff, die Beigeordnete Ministerin für Künstliche Intelligenz und Digitales, fasste die Position in einem Satz zusammen: „La souveraineté numérique n’est pas une option." Digitale Souveränität ist keine Option. David Amiel, Minister für Öffentliches Handeln und Haushalt, zeichnete den Plan ab.

Was die Pressemitteilung tatsächlich verlangt

Jedes Ministerium muss einen Fahrplan vorlegen. Die sieben Kategorien sind nicht verhandelbar; die Zeitpläne innerhalb jeder Kategorie schon. Der Gesamtanspruch ist eine substantielle Migration der staatlichen IT-Infrastruktur bis 2030.

Die Caisse nationale d’Assurance maladie — Frankreichs nationale Krankenkasse — ist bereits die größte sichtbare Zusage. 80.000 ihrer Beschäftigten wechseln auf Tchap, Visio und FranceTransfert. La Suite, die französische souveräne Produktivitätsplattform, hatte vor der Richtlinie etwa 40.000 regelmäßige Nutzer erreicht; die Richtlinie machte sie zum Standard. Der erste konkrete interministerielle Meilenstein nach der Pressemitteilung sind die für Juni 2026 angesetzten „Rencontres industrielles du numérique", auf denen DINUM öffentlich-private Koalitionen für den Übergang formalisieren will.

Warum dies nicht München ist

Das Münchner LiMux-Projekt, 2017 nach einem Jahrzehnt eingestellt, ist der kanonische europäische Referenzfall für „das ist schwerer als es aussieht". Münchens Scheitern hatte mehrere technische Ursachen; seine politische Ursache war, dass aufeinanderfolgende Stadtregierungen sich von früheren Zusagen lösen konnten, weil es auf zentraler Ebene keinen erzwingbaren Zeitplan gab. Die französische Richtlinie ist gegen dieses Muster konstruiert.

Die verpflichtenden schriftlichen Pläne erhöhen die politischen Kosten eines Rückzugs. Ein Regierungswechsel kann sich nicht von einem dokumentierten Fahrplan ohne ausdrückliche Umkehr verabschieden — und diese Umkehr wird zur Presseschlagzeile. Auch der Sieben-Kategorien-Umfang ist bewusst gewählt. Frühere europäische Migrationen befassten sich mit Arbeitsplätzen und ignorierten KI-Tooling, Datenbanken, Virtualisierung. Binnen fünf Jahren verankerten diese Lücken die Anbieterabhängigkeit auf tieferen Schichten erneut. Frankreich benennt von Anfang an den größten Teil des Stacks.

Der empirische Referenzfall hinter der Methodik ist die Gendarmerie nationale, eine Militärpolizei, die seit zwei Jahrzehnten rund 100.000 Maschinen auf Linux betreibt, mit kumuliert berichteten Lizenzkostenvermeidungen von rund 500 Mio. €. Die Migration der Gendarmerie ist die einzige weithin zitierbare europäische Linux-Migration des öffentlichen Sektors, die unzweideutig ein Erfolg ist. DINUM repliziert deren Methodik, nicht eine Theorie.

Carniaux’ Satz vom Juni 2025 ist der politische Mörtel. Ohne ein Eingeständnis von Microsoft selbst, zu Protokoll, in einem nationalen Parlament, hätte die operative Schicht der französischen Regierung keine interministerielle Richtlinie dieses Umfangs so schnell hervorgebracht. Der Senatsmoment verwandelte ein architektonisches Argument in eine politische Tatsache.

Was die Richtlinie nicht löst

Selbst in der optimistischsten Lesart adressiert die Richtlinie eine Schicht der Abhängigkeit. Mehrere tiefere Schichten bleiben unbehandelt.

Linux auf 2,5 Millionen Regierungs-Desktops würde eine große Exposition schließen. Es würde nicht die Upstream-Lieferkette schließen — Kernel, Toolchains, Paketrepositorien —, von denen der Großteil auf US-Infrastruktur liegt, vor allem GitHub. Es würde nicht die kryptographische Vertrauenskette schließen: Zertifizierungsstellen und DNS-Root-Server bleiben US-dominiert. Es würde nicht die Hardware-Schicht schließen. Die CPUs sind Intel- oder AMD-Silizium mit US-Exportkontrollexposition, auf weitgehend geschlossener Firmware.

Die Sieben-Kategorien-Liste der Richtlinie umfasst Netzwerk- und Telekominfrastruktur, was mehr ist als frühere europäische Anläufe abdeckten. Die Upstream-Open-Source-Lieferkette, auf der alles andere ruht, ist nicht im Umfang. Die Richtlinie ist notwendig, aber nicht hinreichend für die Souveränität, die ihr zugeschrieben wird.

Es gibt auch eine industriepolitische Lesart, die in der öffentlichen Berichterstattung untergewichtet ist. Wenn Frankreich diese Migration schafft, gewinnen materiell zwei Anbietercluster: Dassault Systèmes über Outscale, das Visio hostet, und eine kleinere Konstellation französischer Open-Source-Dienstleister. Die Richtlinie ist in kommerzieller Hinsicht ein heimisches Beschaffungsprogramm im niedrigen einstelligen Milliardenbereich über fünf Jahre. Das ist nicht zwangsläufig ein Problem — aber es ist Industriepolitik ebenso wie Souveränitätspolitik, und beides ist nicht identisch.

Was dieser Artikel nicht ist

Es ist keine Behauptung, Frankreich habe das Problem gelöst. Die Richtlinie startet ein Sechsjahresprogramm, und die Ministerienpläne vom Herbst 2026 sind der erste messbare Test.

Es ist keine Behauptung, dies sei in anderen Mitgliedstaaten replizierbar. Frankreich ist institutionell besonders — die zwanzig Jahre Linux-Erfahrung der Gendarmerie gibt es sonst nirgendwo in der EU.

Es ist keine Behauptung, Linux sei die Antwort auf Souveränität. Linux auf dem Arbeitsplatz ist eine Schicht. Die Upstream-Lieferkette, von der Linux selbst abhängt, ist eine andere, und DINUM hat für diese Schicht keinen Plan angekündigt.

Was die Herbstpläne aussagen werden

Die Grundquote für europäische Linux-Migrationen des öffentlichen Sektors dieses Umfangs ist Scheitern. Die Grundquote für Migrationen, die so angelegt sind — schriftliche Pläne mit Fristen, Sieben-Kategorien-Umfang, funktionierende Ersatzwerkzeuge, ein empirischer Referenzfall in der Gendarmerie und ein protokolliertes Microsoft-Eingeständnis als politischer Mörtel —, ist nicht bekannt. Keine europäische Verwaltung hat diese Kombination in dieser Größenordnung versucht.

Bekannt ist, dass Frankreichs Präsidentschaftswahl 2027 eintreffen wird, bevor die Ministerienpläne vom Herbst 2026 vollständig abgeliefert sind. Eine andere politische Konstellation könnte die Richtlinie depriorisieren, ohne sie rechtlich umzukehren. Die Richtlinie ist administrativ, nicht parlamentarisch.

Das erste messbare Signal sind die Herbst-Ministeriumsfahrpläne. Wenn sie konkret eintreffen — mit Anbieternamen, Zeitplänen, Budgetlinien, Übergangspersonal —, hat Frankreich methodisch geleistet, woran München scheiterte, und die Frage wird, ob das politische Umfeld die Methode ihren Lauf nehmen lässt. Wenn sie vage eintreffen, reiht sich die Richtlinie in die lange Liste europäischer Souveränitätsankündigungen ein, deren Halbwertszeit der sie tragende Nachrichtenzyklus war.

Bis dahin gilt der Satz, der die Akte eröffnete: nein, ich kann es nicht garantieren.

Quellen

Themenübersicht: Digitale Souveränität in Europa Verwandte Artikel: Linux im öffentlichen Sektor, Grenzen digitaler Unabhängigkeit