Souveränität & Betrieb
Open Source: Der Weg aus der Lizenzfalle
Proprietäre Software und SaaS-Lösungen versprechen Komfort – und liefern Abhängigkeit. Warum Hochschulen die Kontrolle über ihre IT-Infrastruktur zurückgewinnen müssen und was Open Source dabei wirklich bedeutet.
Michael Koch
Stellen Sie sich vor, Sie investieren fünf Jahre und mehrere hunderttausend Euro in die Digitalisierung Ihrer Hochschule. Neue Systeme, neue Prozesse, neues Know-how. Und dann kündigt der Anbieter an, das Produkt einzustellen, das Preismodell grundlegend zu ändern – oder erhöht die Lizenzkosten um 40 Prozent, weil er weiß, dass ein Wechsel für Sie operativ kaum realistisch ist.
Das ist kein Horrorszenario. Das ist gängige Praxis in der Softwareindustrie – und öffentliche Einrichtungen wie Hochschulen sind besonders anfällig dafür. Denn sie treffen Systementscheidungen für zehn Jahre, nicht für drei. Sie können nicht kurzfristig wechseln. Und sie haben keine Möglichkeit, Druck auf Anbieter auszuüben, die wissen, wie hoch die Migrationskosten wären.
Die Frage, ob eine Hochschule Open-Source-Software, proprietäre Lizenzlösungen oder SaaS-Dienste einsetzen soll, ist keine rein technische Frage. Sie ist eine Frage der Souveränität.
Drei Modelle – und was sie wirklich kosten
Bevor Open Source sinnvoll bewertet werden kann, braucht es ein ehrliches Bild der drei grundlegenden Modelle. Alle drei existieren nebeneinander in der Hochschullandschaft – und alle drei haben echte Vor- und Nachteile, die über die Frage der Lizenzgebühren hinausgehen.
Proprietäre Software: Volle Leistung, volle Abhängigkeit
Proprietäre Software wird von einem einzelnen Hersteller entwickelt und als fertiges Produkt geliefert. Der Quellcode ist nicht einsehbar, Anpassungen sind nur innerhalb der vom Hersteller definierten Grenzen möglich. Lizenzgebühren sind transparent – sie sind das offensichtlichste Kostenelement. Was sie verdecken: Wartungsverträge, verpflichtende Updates, modulbezogene Erweiterungslizenzen und die schleichende Abhängigkeit, die entsteht, wenn Daten und Prozesse über Jahre in einem proprietären Format gespeichert werden.
Der entscheidende Nachteil: Entscheidungen über Produktentwicklung, Preisgestaltung und Supportdauer trifft der Hersteller – nicht die Hochschule. Eine Funktionalität, die heute vorhanden ist, kann in der nächsten Version fehlen, kostenpflichtig werden oder durch eine Nachfolgelösung ersetzt werden, die eine erneute Implementierungsphase erfordert.
SaaS: Maximale Einstiegshürde, maximales Risiko
Software as a Service (SaaS) ist in vielen Bereichen verlockend: schnelle Implementierung, keine eigene Infrastruktur, automatische Updates, vorhersehbare Monatsbeiträge. Für Hochschulen, deren IT-Teams ohnehin überlastet sind, klingt das nach Entlastung.
Das versteckte Risiko liegt tiefer. Erstens: Datensouveränität. Wer SaaS-Dienste von US-amerikanischen Anbietern nutzt – und damit sind nicht nur kleine Nischenanbieter, sondern Microsoft, Google, Salesforce und viele andere gemeint –, unterliegt dem US CLOUD Act von 2018. Dieser verpflichtet US-Unternehmen, auf Anforderung amerikanischer Behörden alle von ihnen kontrollierten Daten herauszugeben – unabhängig davon, ob diese Daten physisch in Europa gespeichert sind. Der Serverstandort schützt nicht. Was zählt, ist der Rechtsraum des Anbieters.
Dieser Rechtskonflikt ist seit dem Schrems-II-Urteil des EuGH dokumentiert und rechtlich ungelöst. Der EU Data Act, der seit September 2025 anwendbar ist, schafft zwar explizite Pflichten für Cloud-Anbieter, unrechtmäßigen Drittstaatenzugriff zu verhindern – er löst aber den grundlegenden Widerspruch nicht auf. Für Hochschulen, die Immatrikulationsdaten, Prüfungsergebnisse, Gesundheitsatteste und Forschungsdaten verarbeiten, ist das kein theoretisches Risiko. Es ist eine konkrete datenschutzrechtliche Haftungsfrage.
Zweitens: Vendor Lock-in strukturell. SaaS-Daten liegen in proprietären Formaten auf fremden Servern. Ein Wechsel erfordert vollständige Datenmigration – sofern der Anbieter diese technisch überhaupt ermöglicht. Der EU Data Act verpflichtet seit September 2025 zwar zu portablen Exportformaten und verbietet künstliche Wechselhürden – die Umsetzung liegt jedoch beim Anbieter, und die Durchsetzbarkeit ist in der Praxis begrenzt.
Open Source: Echte Kontrolle, echter Aufwand
Open-Source-Software ist lizenzgebührenfrei – das ist ihr bekanntester Vorteil und gleichzeitig die häufigste Quelle von Fehleinschätzungen. Denn lizenzgebührenfrei bedeutet nicht betriebskostenfrei.
Was Open Source wirklich ausmacht, ist etwas anderes: Wer Open Source einsetzt, hat Zugriff auf den Quellcode, kann Anpassungen vornehmen, Sicherheitslücken eigenständig schließen und ist nicht von Hersteller-Roadmaps abhängig. Die Software gehört niemandem exklusiv – sie wird von einer Community weiterentwickelt, zu der auch die nutzende Institution beitragen kann. Und: Daten bleiben dort, wo die Hochschule sie haben möchte.
Der Nachteil, der ehrlich benannt werden muss: Open-Source-Software ist kein Selbstläufer. Sie erfordert qualifiziertes Personal für Betrieb, Updates und Anpassungen – oder externe Dienstleister, die diese Aufgabe übernehmen. Wartung und Support sind nicht inklusive, sondern Ergebnis aktiver Entscheidungen. Wer Open Source einführt und dann nicht betreibt, hat das schlimmste beider Welten: hohen Aufwand ohne den Komfort des Managed Service.
Der TCO-Vergleich: Was über fünf Jahre wirklich zählt
Die Entscheidung zwischen den drei Modellen sollte immer anhand der Total Cost of Ownership (TCO) über einen realistischen Betriebszeitraum von fünf bis sieben Jahren bewertet werden – nicht anhand der initialen Beschaffungskosten.
Kostenkategorie | Proprietär | SaaS | Open Source |
|---|---|---|---|
Lizenz / Abo | Einmalig oder jährlich, herstellerseitig festgesetzt | Monatlich/jährlich pro Nutzer, variabel | Keine Lizenzkosten |
Implementierung | Mittel bis hoch | Niedrig bis mittel | Mittel bis hoch |
Anpassung & Integration | Begrenzt, oft kostenpflichtig | Stark begrenzt | Vollständig möglich |
Betrieb & Wartung | Teils inklusive | Inklusive (beim Anbieter) | Eigenverantwortlich oder extern |
Upgrade-Risiko | Hersteller definiert Zeitpunkt und Umfang | Automatisch, kaum steuerbar | Planbar, kontrollierbar |
Exit-Kosten | Hoch (proprietäre Datenformate) | Hoch bis sehr hoch | Niedrig (offene Formate) |
Datensouveränität | Eingeschränkt | Stark eingeschränkt (US-Anbieter: CLOUD Act) | Vollständig |
Langfristige Preisstabilität | Gering (Herstellerentscheidung) | Gering (Abo-Modelle variabel) | Hoch |
Die entscheidende Erkenntnis aus diesem Vergleich: Proprietäre Software und SaaS sind zu Beginn oft günstiger oder komfortabler. Aber über fünf bis sieben Jahre nivelliert sich der Kostenvorteil – und die strukturellen Nachteile bleiben bestehen.
Open Source im Hochschulkontext: Was wirklich im Einsatz ist
Hochschulen sind keine typische Zielgruppe für proprietäre Enterprise-Software. Sie sind, historisch bedingt, einer der stärksten Open-Source-Sektoren überhaupt. Das zeigt sich in den Marktdaten.
Im CMS-Bereich nutzen laut cmscensus.eu Stand Juni 2024 von den 422 in Deutschland zugelassenen Hochschulen 54,22 Prozent TYPO3 als Content-Management-System – mit großem Abstand vor WordPress (9,88 %) und Drupal (5,78 %). Im gesamten DACH-Hochschulraum liegt der Marktanteil bei rund 56 Prozent. Das ist kein Zufall und kein historisches Relikt: Es ist das Ergebnis einer bewussten Entscheidung für ein System, das Multisite-Betrieb, granulare Rechteverwaltung, langfristige LTS-Versionen und DSGVO-konforme Datenhaltung in einem bietet.
Im E-Learning-Bereich sind Moodle, ILIAS und Stud.IP laut der Open Source LMS Initiative gemeinsam an 90 Prozent aller deutschen Hochschulen im Einsatz. Diese drei Systeme decken 98 Prozent aller aktiven LMS-Instanzen im deutschsprachigen Raum ab.
Im Bereich Kollaboration und Dateiablage hat Nextcloud – die europäische Open-Source-Alternative zu Microsoft SharePoint und Google Drive – an Hochschulen und öffentlichen Einrichtungen erheblich an Bedeutung gewonnen, insbesondere nach den Datenschutzdebatten rund um Microsoft 365 in Schulen und Hochschulen.
Im Bereich Identity Management setzt ein Großteil der Hochschulen auf das DFN-AAI-Verbundnetz (Deutsches Forschungsnetz – Authentication and Authorization Infrastructure), das auf offenen Standards wie Shibboleth und SAML basiert. Auch Keycloak als Open-Source-IAM-System gewinnt im Hochschulumfeld an Verbreitung.
TYPO3 im Fokus: Warum ein Open-Source-CMS die Hochschullandschaft prägt
TYPO3 verdient innerhalb dieses Vergleichs eine genauere Betrachtung – nicht weil es das einzige relevante System ist, sondern weil es exemplarisch zeigt, was Open Source im professionellen Einsatz bedeutet.
TYPO3 ist seit 2001 konsequent Open Source unter der GPL-Lizenz. Es existiert keine kommerzielle Parallelversion, kein proprietäres Enterprise-Tier, keine versteckten Gebühren für Kernfunktionalitäten. Der Quellcode ist vollständig einsehbar und auditierbar – ein entscheidender Faktor für Hochschulen, die Softwaresicherheit intern oder durch externe Prüfungen nachweisen müssen.
Was TYPO3 für den Hochschulbetrieb besonders geeignet macht:
Multisite-Betrieb aus einer Installation. Eine Volluniversität mit 20 Fakultäten und 60 Instituten betreibt nicht 80 separate CMS-Instanzen. In TYPO3 werden all diese Websites aus einem gemeinsamen Backend verwaltet, mit zentralem Template-System, geteilten Inhalten und standortübergreifender Nutzerverwaltung. Das reduziert Betriebsaufwand, Updatezyklen und Lizenzkosten im Vergleich zu dezentralen Lösungen erheblich.
Langfristige LTS-Versionen. TYPO3 veröffentlicht Long-Term-Support-Versionen mit einer offiziellen Supportdauer von mehr als fünf Jahren. Für Hochschulen, die Systemwechsel über Haushaltsjahre und Vergabeverfahren koordinieren müssen, ist das Planbarkeit in einem sonst volatilen Markt.
DSGVO-Konformität by Design. TYPO3 wurde in Deutschland entwickelt, wird von einer europäischen Community getragen und hat Datenschutz strukturell in seiner Architektur verankert. Es gibt keine versteckten Telemetriedaten, keine Cloud-Abhängigkeiten, keine Datenübertragung in Drittländer.
Barrierefreiheit. Das BFSG ist seit 28. Juni 2025 in Kraft. TYPO3 unterstützt WCAG 2.1 AA auf Template- und Redaktionsebene und stellt sicher, dass Barrierefreiheit nicht nur im Frontend, sondern auch im Redaktionsprozess strukturell verankert werden kann.
Offene Schnittstellen. TYPO3 folgt einem API-first-Ansatz, der die Anbindung externer Systeme – Campus-Management wie HISinOne, Forschungsdatenbanken, Bibliothekssysteme, SSO über SAML – über standardisierte Schnittstellen ermöglicht. Der Code gehört nicht einem Hersteller, der Schnittstellenzugang verhindern oder monetarisieren kann.
Was der Markt gerade zeigt: Open Source auf dem Vormarsch
Der Trend zu Open Source in der öffentlichen Verwaltung und im Bildungssektor ist kein deutsches Phänomen. Er ist europäisch.
Schleswig-Holstein veröffentlichte im November 2024 eine eigene Open-Source-Strategie und kündigte die schrittweise Migration von Microsoft-Produkten auf LibreOffice und Linux an. Frankreich, Schweden und die Niederlande haben ähnliche Initiativen gestartet. Die Vereinten Nationen fördern seit 2023 mit der Konferenz „OSPOs for Good" die Nutzung freier Software in öffentlichen digitalen Infrastrukturen.
Der Hintergrund ist nicht primär ideologischer Natur: Es geht um geopolitische Risikoabwägung. Wenn öffentliche Einrichtungen kritische Infrastrukturen auf Technologien aufbauen, die von US-amerikanischen Konzernen kontrolliert werden, unterliegen diese Infrastrukturen dem US CLOUD Act – mit all seinen Implikationen für die Datensouveränität.
Das ist für Hochschulen keine abstrakte Gefahr. Forschungsdaten, Personaldaten, Studierendendaten – alle davon fallen unter DSGVO-Schutzpflichten, die bei US-SaaS-Anbietern strukturell nicht lückenlos gewährleistet werden können.
Was bedeutet das für die Entscheidung?
Open Source ist kein Allheilmittel. Es ist ein Ansatz, der bestimmte Voraussetzungen erfordert und bestimmte Risiken erzeugt, die proprietäre Lösungen nicht haben – und umgekehrt.
Hochschulen, die eine IT-Entscheidung für die nächsten zehn Jahre treffen, sollten folgende Fragen beantworten:
Wer kontrolliert die Daten – heute und in fünf Jahren? Wenn die Antwort ein US-amerikanischer SaaS-Anbieter ist, ist das eine bewusste Entscheidung gegen volle Datensouveränität – mit den entsprechenden rechtlichen Konsequenzen.
Was passiert, wenn der Anbieter die Bedingungen ändert? Bei Open Source: nichts zwingend. Die Software läuft weiter. Bei proprietären oder SaaS-Lösungen: erheblicher Handlungsdruck mit begrenzten Alternativen.
Welche Kompetenzen hat die Hochschule intern – und welche braucht sie dauerhaft extern? Open Source erfordert entweder eigenes Know-how oder verlässliche externe Partner. Wer beides nicht hat, verlagert das Abhängigkeitsproblem von einem Hersteller zu einem Dienstleister.
Wie ist die Investitionssicherheit zu bewerten? Open-Source-Lizenzen ändern sich nicht ohne Community-Konsens. Proprietäre Lizenzmodelle ändern sich, wenn der Hersteller es entscheidet.
Die Frage ist nicht: Open Source oder nicht? Die Frage ist: Welche Systeme sind strategisch so kritisch, dass die Hochschule die Kontrolle über sie nicht aus der Hand geben sollte?
Für das Content-Management-System, das den primären Webauftritt und die Studiengangsseiten einer Hochschule betreibt, ist die Antwort nahezu immer: diese Kontrolle sollte die Hochschule behalten. Für das LMS, über das Prüfungsergebnisse und Lehrinhalte laufen: dasselbe. Für das Identity-Management-System, das alle Zugriffsrechte der Institution verwaltet: erst recht.
Herausforderung erkannt?
Dieser Artikel skizziert das Problem. Lassen Sie uns über die Lösung für Ihre Hochschule sprechen.