Den stora skilsmässan

Del 1 av 3 

En morgon i april 2024 kom tjänstemän i det nordtyska förbundslandet Schleswig-Holstein till sina skrivbord och möttes av något ovanligt: Word, Excel, Outlook och Teams var borta. I deras ställe fanns LibreOffice, Open-Xchange och Thunderbird. Förbundslandet hade fattat ett medvetet och blocköverskridande beslut om att bli den första myndigheten i Europa som helt lämnade Microsofts ekosystem. Sextontusen offentliganställda och trettiotusen lärare skulle under de efterföljande månaderna lära sig att arbeta utan de verktyg som hade definierat kontorslivet under en hel generation.¹ 

Flytten bar på en omisskännlig politisk tyngd. Över hela Europa tittade andra på. 

En kontinent tänker om 

Under sommaren 2025 tillkännagav Danmarks digitaliseringsdepartement en liknande övergång och ersatte Microsoft Office 365 med LibreOffice för hela sin personal. Den danska digitaliseringsministern, Caroline Stage Olsen, uttryckte det tydligt: "Vi får aldrig göra oss så beroende av så få att vi inte längre kan agera fritt."²  

I Schweiz utfärdade privatim, de schweiziska kantonala dataskyddsombudens konferens, en formell resolution i november 2025 där de förklarade att utdelning av känsliga personuppgifter till internationella molnleverantörer i de flesta fall är olaglig för offentliga organ. De uppmanade dem att undvika amerikanska molntjänster för data som omfattas av yrkessekretess, inklusive journaler, skatteuppgifter, juridiska filer och socialtjänstinformation.³ Dataskyddsombuden drog slutsatsen att suveränitet över data inte kan uppnås genom serverplacering ensam: det som spelar roll är vem som kontrollerar infrastrukturen och innehar krypteringsnycklarna. Den schweiziska federala regeringen gick ännu längre och lanserade projektet Swiss Government Cloud, ett initiativ värt 319 miljoner schweizerfranc som löper från 2025 till 2032, utformat för att bygga en suverän infrastruktur på federal nivå.⁴  

Frankrike har rört sig i etapper, från lagstiftning till operativ planering. SREN-lagen föreskriver redan att känsliga myndighetsdata måste migreras till molnleverantörer certifierade under SecNumCloud, en standard som strukturellt utesluter leverantörer som är exponerade för extraterritoriell lagstiftning som CLOUD Act.⁵ Den 8 april 2026 sammankallade det franska digitaliseringsorganet DINUM till ett interministeriellt seminarium där konkreta tidsplaner sattes upp för att ersätta utländska IT-system inom alla ministerier. DINUM meddelade att de skulle ersätta Windows med Linux på sina egna arbetsstationer, medan den nationella sjukförsäkringskassan Caisse nationale d'Assurance maladie håller på att överföra sina cirka 80 000 anställda till statligt drivna verktyg: Tchap för meddelanden, Visio för videokonferenser och FranceTransfert för fildelning. Varje ministerium, inklusive underställda myndigheter, måste lämna in sin egen migrationsplan senast hösten 2026, vilken ska omfatta operativsystem, samarbetsverktyg, AI-system och nätverksinfrastruktur. Budgetminister David Amiel formulerade ambitionen tydligt: "Staten kan inte längre nöja sig med att bara erkänna sitt beroende. Den måste övervinna det."⁵ 

I Berlin håller förbundsdagen på att tänka om kring sin digitala arkitektur. En blocköverskridande kommission ledd av förbundsdagens vice talman Andrea Lindholz (CSU) arbetar med konsekvenserna av att ett parlament körs på Microsoft 365 på över tio tusen arbetsstationer. Kommissionen ska presentera sin fullständiga digitala strategi i maj 2026. Som miljöpartisten (Grünen) Anna Lührmann uttryckte det: det tyska parlamentets arbetskapacitet bör inte helt bero på infrastrukturen hos ett fåtal utländska företag.⁶ 

Den synliga risken 

Oron som driver alla dessa beslut kan verka abstrakt, tills den inte längre är det. Internationella brottmålsdomstolen (ICC) fick erfara hur det ser ut i praktiken. I februari 2025 införde Trump-administrationen sanktioner mot ICC-tjänstemän som svar på domstolens försök att åtala Israels premiärminister Benjamin Netanyahu för misstänkta krigsförbrytelser i Gaza. Rapporter dök sedan upp om att Karim Khan, ICC:s chefsåklagare, hade förlorat tillgången till sitt Microsoft Outlook-konto till följd av detta. Dessa rapporter, och vad de antydde, utlöste internationell bestörtning: möjligheten att en amerikansk teknikleverantör på Washingtons begäran hade stängt av en internationell domstols chefsåklagare från dennes egna institutionella infrastruktur.⁷ 

Tre månader senare, i augusti 2025, sträckte sig samma logik ännu längre. Domare Nicolas Guillou, en fransk domare i ICC:s förundersökningskammare, sattes upp på USA:s sanktionslista för sin roll i att godkänna arresteringsorder mot Israels premiärminister Benjamin Netanyahu. Inom några dagar slutade hans Visa-kort att fungera. Hans konton hos Amazon, Airbnb och PayPal stängdes. En hotellbokning gjord via Expedia avbokades via e-post med hänvisning till sanktionerna. En domare i en internationell domstol, verksam i Haag med ett mandat givet av 125 medlemsstater, hade gjorts till en digital paria, inte av någon europeisk myndighet, utan genom ett beslut i Washington förmedlat via amerikanska teknik- och betalningsföretag. Guillou beskrev sin situation för Le Monde som en form av "civil död". Han varnade europeiska tjänstemän i Bryssel för att samma öde skulle kunna drabba vem som helst av dem.⁸ ICC meddelade därefter att man skulle ersätta Microsoft 365 med openDesk, en europeisk öppen källkodssvit sammanställd av det tyska statsägda företaget Zendis.⁹ 

Den juridiska grunden 

Det som binder samman alla dessa beslut är en enda obekväm fråga som europeiska institutioner har undvikit, med viss framgång, sedan ikraftträdandet av Clarifying Lawful Overseas Use of Data Act (mer känd som CLOUD Act) i mars 2018: vad innebär det egentligen att lagra, överföra eller behandla sina data genom ett amerikanskt företags infrastruktur? 

Under CLOUD Act kan amerikanska myndigheter, under vissa förutsättningar (vilka del 2 i denna serie granskar i detalj), tvinga det amerikanska företag som kontrollerar din molninfrastruktur att lämna ut dina data. Inte de data som lagras på deras amerikanska kontor. Inte data genererad av amerikanska användare. Dina data, oavsett om de ligger på en server i Frankfurt, passerar genom ett datacenter i Dublin under ett videosamtal eller behandlas i realtid av en molnbaserad applikation i Paris, eftersom företaget som kontrollerar infrastrukturen har sitt huvudkontor i USA. Lagring är bara en del av historien. Varje dokument som passerar genom ett USA-kontrollerat system, varje sökning som skickas till en molnapplikation, passerar genom en infrastruktur som omfattas av samma rättsliga tvång. Denna punkt är värd att stanna upp vid: när vi övergår till AI-verktyg i den avslutande delen av denna serie kommer detta att vara kärnan i argumentet. 

Sju år av att titta bort 

CLOUD Act är åtta år gammal. Schrems II-domen, som ogiltigförklarade EU-US Privacy Shield på grund av att amerikansk övervakningslagstiftning var oförenlig med europeiska dataskyddsstandarder, är fem år gammal. Men medan den juridiska risken inte har förändrats har den politiska toleransen för att ignorera den kollapsat. Dess konsekvenser var inte okända: de hade diskuterats i akademiska uppsatser och på dataskyddskonferenser i åratal. Det som saknades var inte analys utan handlingskraft. 

En viktig katalysator var Donald Trumps återkomst till Vita huset i januari 2025. Det som följde var en så abrupt förändring i det geopolitiska klimatet att risker som tidigare verkat teoretiska plötsligt kändes omedelbara. ICC-fallet var ett tidigt exempel. I Tyskland gav det federala inrikesministeriet forskare vid Kölns universitet i uppdrag att utreda den juridiska frågan formellt. Deras entydiga yttrande, som publicerades i december 2025 efter en begäran om allmän handling, slog fast att amerikanska myndigheter kan få tillgång till molndata som lagras i Europa.10 Det tyska inrikesministeriet justerade för sin del sina regler för sekretessbelagd information omedelbart efter att ha mottagit yttrandet från Köln, och erkände i praktiken att sekretessbelagt material inte kan behandlas på USA-kontrollerad infrastruktur. 11 

”Nej, det kan jag inte garantera.”

Och i juni 2025, inför en fransk senatsutredning om offentlig upphandling och digital suveränitet, fick Anton Carniaux, vid tillfället Associate General Counsel på Microsoft France, frågan under ed om han kunde garantera att franska medborgares data som lagras på Microsofts europeiska servrar aldrig skulle överföras till amerikanska myndigheter utan den franska regeringens samtycke. Hans svar var precist och för många förödande: ”Nej, det kan jag inte garantera.”12 

En mening som europeiska beslutsfattare alltid hade vetat var sann fanns nu dokumenterad. Uttalad under ed, av företaget självt. 

Skilsmässor är stökiga – och denna har bara börjat 

Flera vägar framåt har föreslagits: suveräna europeiska molnleverantörer, samriskföretag mellan amerikanska hyperskalare och europeiska partner, kundkontrollerad kryptering och SecNumCloud-certifierade alternativ. Frågan om huruvida något av detta faktiskt löser den underliggande juridiska exponeringen, snarare än att bara paketera om den, är där del 2 i denna serie tar sin början. 

Skilsmässan är påbörjad. Huruvida den kan slutföras är en annan sak. 

Vad som är säkert är att Washington har lagt märke till det. Den 18 februari 2026 instruerade ett telegram från utrikesdepartementet, undertecknat av utrikesminister Marco Rubio, amerikanska diplomater över hela världen att aktivt lobbya mot lagar om datasuveränitet och beskrev dem som hot mot AI-tjänster, globala dataflöden och medborgerliga friheter. Diplomater beordrades att spåra förslag som skulle kunna begränsa gränsöverskridande dataflöden och att motarbeta regleringar som ansågs överdrivna. GDPR nämndes vid namn som ett exempel på en ”onödigt betungande” regel. 13 

Europeiska regeringar som lämnar amerikansk molninfrastruktur fattar, visar det sig, inte helt enkelt ett beslut om IT-upphandling. De är deltagare i en geopolitisk konfrontation, vare sig de vill det eller inte. De kommande månaderna kommer att visa hur långt respektive sida är beredd att gå. Sagan har knappt börjat. 

Del 2 i denna serie granskar de juridiska mekanismerna bakom CLOUD Act och FISA Section 702, fiktionen kring begreppet ”suveräna moln” och vad den tyska regeringens eget rättsliga yttrande kom fram till angående gränserna för tekniska lösningar. 

Fotnoter 

1. Schleswig-Holstein inledde sin övergång i april 2024 genom att driftsätta LibreOffice på 30 000 arbetsstationer med målet att 70 % av Microsoft Office skulle vara borta senast i oktober 2025 och en fullständig migrering till Open-Xchange för e-post. Se: "German State Schleswig-Holstein Ditches Microsoft for Open Source Software in 2025," Eagle Eye Technology, september 2025; EuroStack Directory Project, "Schleswig-Holstein's Bold Open Source Leap," mars 2025. 

   
   

2. Danmarks digitaliseringsdepartement tillkännagav sin övergång under sommaren 2025, med hälften av personalen migrerad i augusti och fullt genomförande till hösten. Citat från Danmarks digitaliseringsminister Caroline Stage Olsen, ursprungligen publicerat på danska på hennes LinkedIn-sida, juni 2025. Översatt från danska; rapporterat i flera medier, däribland "A Search for Digital Sovereignty: EU Governments Shift from Microsoft to Linux & LibreOffice," 2-data.com, och The Document Foundation Blog, 8 juli 2025. 

   
   

3. privatim, "Resolution zur Auslagerung von Datenbearbeitungen in die Cloud", antagen 18 november 2025, publicerad 24 november 2025. Privatim är konferensen för samtliga schweiziska kantonala dataskyddsombud. Fulltext finns på privatim.ch. Notera att kantonen Glarus inte undertecknade resolutionen. 

   
   

4. Detaljer om projektet Swiss Government Cloud (SGC), Federal Office of Information Technology (FOITT). Total kostnad 319,4 miljoner CHF, löper från 2025 till 2032. Se: bit.admin.ch/en/sgc-en. 

   
   

5. Frankrikes SREN-lag (loi visant à sécuriser et réguler l'espace numérique) och dess krav på SecNumCloud-certifiering. Analys i "European Digital Sovereignty at Risk: Microsoft's Senate Testimony," Windows Forum, juli 2025. Interministeriellt seminarium från den 8 april 2026: Moritz Förster, "Frankreichs Plan: Weg von Windows, hin zu Linux," heise online, 10 april 2026. Primärkälla: Direction interministérielle du numérique (DINUM), numerique.gouv.fr. 

   
   

6. "Operation Souveränität: Bundestag plant Befreiungsschlag von Microsoft & Co.", heise online / Table.Media, 2 februari 2026. Citat från Anna Lührmann (Grüne) som återges där. 

   
   

7. Huruvida Microsoft stängde av Khans tillgång som svar på påtryckningar från amerikanska sanktioner eller om ICC i förebyggande syfte inaktiverade kontot för att skydda Microsoft från sanktionsansvar är fortfarande omtvistat. Microsoft förnekade att de hade stängt av tjänsterna och bad senare det brittiska parlamentet att korrigera vittnesmål i frågan då det ansågs innehålla felaktigheter. The Register, 18 februari 2026: https://www.theregister.com/2026/02/18/microsoft_asks_uk_parliament_to_correct_record 

   
   

8. Se: "US Sanctions Turn ICC Judge's Daily Life into a Nightmare," Euronews, 18 februari 2026; Nicolas Guillou-intervju med Le Monde, rapporterad av Nordic Times, december 2025; Verfassungsblog, "The Sanctioning of Law," december 2025. President Macron begärde formellt att Trump skulle häva sanktionerna i ett brev som rapporterades av Anadolu Agency, Politico och La Tribune Dimanche, februari 2026. 

   
   

9. "International Criminal Court Drops Microsoft 365 for European Open-Source Suite Amid Geopolitical Fears," WinBuzzer, 6 november 2025. 

   
   

10. Rättsligt yttrande utarbetat av Kölns universitet på uppdrag av det tyska federala inrikesministeriet (Bundesinnenministerium), publicerat via begäran om allmän handling, december 2025. Rapporterat i "Gutachten: US-Behörden können auf europäische Cloud-Daten zugreifen," flera medier inklusive heise online och Tagesspiegel Background, 10–11 december 2025. 

    
    

11. Benjamin Stiebel, "BMI passt wegen Cloud-Gutachten Geheimschutzregeln an," Tagesspiegel Background, 11 december 2025. https://background.tagesspiegel.de/it-und-cybersicherheit/briefing/bmi-passt-wegen-cloud-gutachten-geheimschutzregeln-an 

    
    

12. Vittnesmål från Anton Carniaux, Director of Public and Legal Affairs, Microsoft France, inför den franska senatens utredning om offentlig upphandling och digital suveränitet, 10 juni 2025. Transkribering tillgänglig på senat.fr. Rapporterat i "Not Sovereign: Microsoft Cannot Guarantee the Security of EU Data," heise online, juli 2025; "Microsoft Admits It Cannot Guarantee EU Cloud Data Sovereignty from US Government," WinBuzzer, 25 juli 2025. 

    
    

13. Telegram från utrikesdepartementet daterat den 18 februari 2026, undertecknat av utrikesminister Marco Rubio, rapporterat av Reuters: "Exclusive: US Orders Diplomats to Fight Data Sovereignty Initiatives," 25 februari 2026. Även rapporterat av TechCrunch och Japan Times samma dag.