Es ist einer dieser Momente, in denen man als Datenschutzaktivist nicht weiß, ob man lachen oder weinen soll. Die Stadt Hannover hat 60.000 bis 75.000 Microsoft-365-Lizenzen im Wert von 324.000 bis 342.000 Euro für Schulen gekauft – und kann sie nicht nutzen. Warum? Weil die Datenschutzvereinbarung nicht den städtischen Vorgaben entspricht. Die Lizenzen sind unbrauchbar. Das Geld ist – möglicherweise – verloren. Die Schüler stehen ohne funktionierende Lösung da.

Heise online berichtet, dass der Fehler kurz vor Ostern bekannt wurde. Die Stadt musste die Nutzung von Word, PowerPoint und Co. an Schulen sofort stoppen. Wie es zu diesem „Vertragsfehler" kommen konnte, wird derzeit geprüft. Ob das investierte Geld verloren ist, ist noch unklar.

Doch dieser Vorfall ist mehr als ein peinlicher Patzer einer überforderten Stadtverwaltung. Er ist symptomatisch für ein systemisches Versagen – bei Städten, Kommunen, Gemeinden und Ländern in ganz Deutschland. Ein Versagen, das Steuergeld verschlingt, Datenschutz missachtet und Lehrkräfte im Stich lässt. Ein Versagen, das besonders perfide ist, weil es ausgerechnet die Schwächsten trifft: Kinder und Jugendliche.

Die Fakten: Was in Hannover schiefging

Die Hannoversche Allgemeine Zeitung berichtete zuerst über den Vorfall. Die Stadtverwaltung wollte Microsoft 365 Education als „Ergänzung" einsetzen – für Kommunikation und gemeinsames Arbeiten. Office-Anwendungen wie Word, PowerPoint und Excel sollten genutzt werden.

Dabei werden grundsätzlich personenbezogene Daten an Microsoft und Subunternehmen übermittelt. Das ist bekannt. Das ist dokumentiert. Das ist der Grund, warum Microsoft 365 an Schulen seit Jahren in der Kritik steht. Die Datenschutzkonferenz (DSK) hat 2022 festgestellt, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können. Zahlreiche Bundesländer haben Warnungen ausgesprochen. Datenschützer schlagen seit Jahren Alarm.

Hannover wusste das. Oder hätte es wissen müssen. Dennoch kaufte die Stadt Lizenzen. Doch offenbar schloss man die falsche Datenschutzvereinbarung ab. Diese steht im Widerspruch zu den eigenen Datenschutzregeln der Stadt. WinFuture berichtet, dass der Fehler nur durch Zufall bekannt wurde. Hätte niemand genau hingeschaut, würden die Schulen bis heute eine datenschutzrechtlich unzulässige Software nutzen – auf Kosten der Kinder.

Die Stadt betont, es handele sich nicht um einen Datenschutzvorfall wie bei einem Hackerangriff, „sondern um eine unzureichende vertragliche Grundlage". Das klingt verharmlosend. Faktisch bedeutet es: Hannover hat Steuergelder für Software ausgegeben, die nicht genutzt werden darf, weil die rechtlichen Grundlagen fehlen.

Die perfide Logik: „Vorbereitung aufs Berufsleben"

Besonders bemerkenswert ist die Begründung, die laut derStandard für die Anschaffung genannt wurde: „Die Schülerinnen und Schüler sollen mit Programmen arbeiten, die ihnen später auch im Berufsleben begegnen werden."

Diese Argumentation ist perfide. Sie ist falsch. Und sie offenbart ein fundamentales Missverständnis über den Bildungsauftrag von Schulen.

Erstens: Der Bildungsauftrag von Schulen besteht nicht darin, Schüler zu Microsoft-Bedienern auszubilden. Schulen sollen kritisches Denken fördern, Medienkompetenz vermitteln, digitale Mündigkeit schaffen. Nicht die Bedienung proprietärer Software trainieren.

Zweitens: Die Argumentation ist ein Zirkelschluss. Würden öffentliche Institutionen konsequent auf Open-Source-Software setzen, würde sich auch der Arbeitsmarkt anpassen – nicht umgekehrt. Schulen haben die Macht, Standards zu setzen. Stattdessen machen sie sich freiwillig abhängig.

Drittens: Die Argumentation ignoriert die Datenschutzrisiken. Kinder und Jugendliche sind besonders schutzbedürftig. Ihre Daten gehören nicht in die Hände eines US-Konzerns, der US-Gesetzen wie dem CLOUD Act unterliegt.

Viertens: Microsoft 365 ist keine Grundkompetenz. Die Fähigkeit, mit Textverarbeitungsprogrammen, Tabellenkalkulationen und Präsentationssoftware umzugehen, ist übertragbar. Wer LibreOffice beherrscht, kann auch Microsoft Office bedienen. Aber wer nur Microsoft kennt, ist gefangen im Vendor Lock-in.

Diese Begründung – „Vorbereitung aufs Berufsleben" – wird bundesweit genutzt. Von Nordrhein-Westfalen über Bayern bis Hessen. Sie ist ein Feigenblatt, um die eigene Trägheit zu kaschieren. Sie ist eine Kapitulation vor der Bequemlichkeit.

Das systematische Versagen: Warum passiert das immer wieder?

Hannover ist kein Einzelfall. Es ist die Spitze eines Eisbergs. Städte, Kommunen, Gemeinden und Länder in ganz Deutschland setzen auf Microsoft 365 – trotz Datenschutzbedenken, trotz Warnungen, trotz Alternativen. Warum?

Grund 1: Inkompetenz und Überforderung

Viele Verwaltungen sind digital überfordert. IT-Abteilungen sind unterbesetzt, unterbezahlt, überarbeitet. Datenschutzbeauftragte werden als Bürokratie-Bremse wahrgenommen, nicht als Schutzinstanz. Die Komplexität von Cloud-Diensten, Datenschutzverordnungen und Lizenzverträgen übersteigt die Kapazitäten vieler Kommunen.

Hannover ist ein Paradebeispiel. Man kauft Lizenzen im Wert von über 300.000 Euro – und schließt die falsche Datenschutzvereinbarung ab. Das ist kein Pech. Das ist Inkompetenz. Jemand hat seine Hausaufgaben nicht gemacht. Jemand hat nicht geprüft. Jemand hat die Tragweite nicht verstanden.

Grund 2: Der Weg des geringsten Widerstands

Microsoft 365 ist bekannt. Es ist etabliert. Es ist das, was „alle nutzen". Statt sich mit Alternativen auseinanderzusetzen, greift man zur vermeintlich einfachen Lösung. Dass diese Lösung datenschutzrechtlich problematisch, teuer und abhängig macht, wird ausgeblendet.

Schleswig-Holstein hat gezeigt, dass es anders geht. Das nördlichste Bundesland stellt seine Verwaltung auf Open Source um. LibreOffice, Nextcloud, Linux. Es ist möglich. Es ist wirtschaftlich. Es ist souverän. Doch es erfordert Mut, Planung, Durchhaltevermögen.

Die meisten Verwaltungen wählen den bequemen Weg. Und zahlen dafür – mit Steuergeldern, mit Datenschutz, mit Souveränität.

Grund 3: Lobbying und Vendor Lock-in

Microsoft ist kein passiver Anbieter. Der Konzern betreibt aggressives Lobbying. Schulen werden mit kostenlosen oder günstigen Angeboten gelockt. Einmal im Microsoft-Ökosystem gefangen, ist der Ausstieg schwer. Daten sind in proprietären Formaten gespeichert. Mitarbeiter sind geschult. Prozesse sind etabliert.

Der Wechsel zu Alternativen bedeutet Aufwand. Schulungen. Datenmigration. Umstellung. Viele Verwaltungen scheuen diesen Aufwand – selbst wenn die langfristigen Kosten von Microsoft 365 höher sind.

Grund 4: Fehlendes Datenschutzbewusstsein

Datenschutz wird oft als lästige Pflicht wahrgenommen, nicht als Grundrecht. „Wir haben wichtigere Probleme" ist eine Standardantwort. Die Tragweite von Datenflüssen an US-Konzerne wird unterschätzt. Die Risiken des CLOUD Act werden ignoriert. Die Tatsache, dass Kinder besonders schützenswert sind, wird ausgeblendet.

Solange Datenschutz nicht als strategische Priorität verstanden wird, sondern als Bürokratie-Hindernis, wird sich nichts ändern.

Grund 5: Politischer Unwille

Letztlich ist es eine Frage des politischen Willens. Länder wie Schleswig-Holstein zeigen, dass Alternativen möglich sind – wenn die Politik dahinter steht. Doch viele Landesregierungen scheuen die Konfrontation mit Microsoft. Sie fürchten den Aufwand. Sie wollen keine Widerstände in Schulen und Verwaltungen riskieren.

Das Ergebnis: Halbherzige Lösungen. Datenschutzvereinbarungen, die nicht funktionieren. Lizenzen, die nicht nutzbar sind. Steuergelder, die verschwendet werden.

Die Opfer: Lehrer, die alleine gelassen werden

Besonders perfide ist ein Satz, der in Berichten über Hannover auftaucht: Lehrer werden mit den Problemen oftmals alleine gelassen.

Das ist nicht neu. Das ist System. Lehrkräfte sollen digitalen Unterricht gestalten – ohne funktionierende Infrastruktur. Sie sollen Datenschutz beachten – ohne rechtssichere Lösungen. Sie sollen Microsoft 365 nutzen – aber bitte datenschutzkonform. Wie das gehen soll? Keine Ahnung. Macht mal.

Wir kennen Fälle, in denen Lehrkräfte explizit für IT und Datenschutz eingestellt wurden. Menschen mit Kompetenz. Menschen, die Missstände erkennen. Menschen, die auf Datenschutzprobleme bei Microsoft 365 hinweisen.

Und was passiert? Ihre Warnungen werden ignoriert. Ihre Bedenken werden abgetan. Ihre Expertise wird nicht ernst genommen. Im schlimmsten Fall werden sie als Blockierer wahrgenommen. Als Fortschrittsverhinderer. Als die, die „Nein" sagen, wenn andere „Ja, aber" wollen.

Das ist nicht nur frustrierend für die Betroffenen. Es ist gefährlich. Denn wenn diejenigen, die Ahnung haben, nicht gehört werden, treffen diejenigen die Entscheidungen, die keine Ahnung haben. Das Ergebnis sehen wir in Hannover: 324.000 Euro für nichts.

Es gibt auch Fälle, in denen Mitarbeiter, die auf Missstände hingewiesen haben, später gemobbt, versetzt oder gekündigt wurden. Whistleblowing im öffentlichen Dienst ist gefährlich – selbst wenn man im Recht ist. Die EU-Hinweisgeberschutz-Richtlinie sollte das ändern. In der Praxis sieht es oft anders aus.

Besonders schutzbedürftige Personen: Kinder

Schulen sind keine normalen Arbeitsplätze. Schüler sind keine Erwachsenen. Kinder und Jugendliche sind besonders schutzbedürftig. Die DSGVO trägt dem Rechnung. Art. 8 DSGVO setzt besondere Anforderungen für die Verarbeitung von Daten Minderjähriger.

Microsoft 365 verarbeitet personenbezogene Daten. Telemetriedaten. Nutzungsverhalten. Inhalte. Metadaten. All das fließt an Microsoft – einen US-Konzern, der dem CLOUD Act unterliegt, der der NSA-Überwachung unterworfen ist, dessen Sicherheitskultur das Cyber Safety Review Board als „inadäquat" bezeichnet hat.

Und wir vertrauen diesem Konzern die Daten unserer Kinder an? Wir akzeptieren, dass Schüler keine Wahl haben? Dass sie Microsoft nutzen müssen, weil die Schule es vorschreibt?

Das ist unverantwortlich. Das ist fahrlässig. Das ist ein Verrat an der Schutzpflicht, die Schulen gegenüber Minderjährigen haben.

Die Schweizer Datenschutzbehörden haben im November 2025 ein faktisches Verbot internationaler Cloud-Dienste für Behörden ausgesprochen. Die Begründung: Echte Ende-zu-Ende-Verschlüsselung ist bei SaaS-Lösungen wie Microsoft 365 praktisch unmöglich. Der CLOUD Act bleibt anwendbar, solange der Anbieter US-Recht unterliegt.

Deutschland diskutiert noch. Während Schüler zu Versuchskaninchen werden.

Die Kosten: Steuergeld für Abhängigkeit

Hannover hat 324.000 Euro für unbrauchbare Lizenzen ausgegeben. Das ist Steuergeld. Geld, das Bürger erarbeitet haben. Geld, das in Bildung fließen sollte. Stattdessen landet es bei Microsoft – für Software, die nicht genutzt werden darf.

Doch selbst wenn die Datenschutzvereinbarung korrekt gewesen wäre, wäre es eine Verschwendung. Denn Microsoft 365 kostet nicht nur einmalig. Es kostet jährlich. Lizenzen müssen erneuert werden. Updates müssen bezahlt werden. Die Abhängigkeit wächst.

OpenDesk, die Open-Source-Alternative des Zentrums für Digitale Souveränität (ZenDiS), kostet einmalig in der Entwicklung. Danach fallen nur noch Betriebs- und Supportkosten an. Kein Vendor Lock-in. Keine jährlichen Lizenzgebühren. Kein Geld, das ins Ausland fließt.

Die Bundesregierung hat 45 Millionen Euro in die Entwicklung von OpenDesk investiert. Das klingt viel. Aber es ist eine einmalige Investition. Im Vergleich zu den Milliarden, die jährlich für Microsoft-Lizenzen ausgegeben werden, ist es ein Schnäppchen.

Schleswig-Holstein spart durch den Umstieg auf Open Source mehrere Millionen Euro jährlich. Geld, das in Bildung, in Lehrerfortbildung, in IT-Support investiert werden kann. Statt in Redmond zu landen.

Die Alternativen: Sie existieren

„Es gibt keine Alternative" ist eine Lüge. Es gibt viele Alternativen. Sie sind funktionsfähig. Sie sind datenschutzkonform. Sie sind wirtschaftlich.

OpenDesk kombiniert LibreOffice, Nextcloud, Element, Thunderbird und weitere Open-Source-Tools zu einer funktionsfähigen Office-Suite. Der Internationale Strafgerichtshof nutzt OpenDesk. Die Bundeswehr hat einen Rahmenvertrag. Schleswig-Holstein stellt um.

LibreOffice ist eine vollwertige Office-Suite. Textverarbeitung, Tabellenkalkulation, Präsentationssoftware. Kompatibel mit Microsoft-Formaten. Kostenlos. Open Source. Keine Telemetriedaten an US-Konzerne.

Nextcloud bietet Cloud-Speicher, Kollaboration, Kalender, Kontakte. Alles auf eigenen Servern oder bei vertrauenswürdigen europäischen Hostern. Keine Datenflüsse in die USA. Keine CLOUD-Act-Risiken.

Matrix ist ein offenes Protokoll für Echtzeitkommunikation. Ende-zu-Ende-Verschlüsselung ist Standard. Der BundesMessenger, das deutsche Gesundheitswesen, die Bundeswehr – sie alle setzen auf Matrix.

Diese Lösungen existieren. Sie funktionieren. Sie sind verfügbar. Was fehlt, ist der politische Wille zur Umsetzung.

Was jetzt zu tun ist

Hannover muss eine Entscheidung treffen. Entweder man korrigiert die Datenschutzvereinbarung – was fragwürdig ist, da Microsoft 365 grundsätzlich datenschutzrechtlich problematisch bleibt. Oder man akzeptiert den Verlust von 324.000 Euro und wechselt zu Alternativen.

Die richtige Entscheidung ist klar: Wechsel zu Open Source. Nicht als Notlösung. Als strategische Entscheidung.

Erstens: Sofortiger Stopp weiterer Microsoft-365-Beschaffungen. Keine neuen Abhängigkeiten schaffen.

Zweitens: Evaluation von OpenDesk für alle Schulen. Das ZenDiS bietet Unterstützung bei der Migration. Schleswig-Holstein hat vorgemacht, dass es funktioniert.

Drittens: Schulung von Lehrkräften und IT-Personal. Open Source ist nicht schwieriger als Microsoft – nur anders. Mit den richtigen Schulungen ist die Umstellung machbar.

Viertens: Transparenz schaffen. Die Stadt Hannover muss öffentlich darlegen, wie es zu diesem Fehler kommen konnte. Wer war verantwortlich? Wer hat die Datenschutzvereinbarung nicht geprüft? Welche Konsequenzen gibt es?

Fünftens: Lehren ziehen. Nicht nur Hannover. Alle Städte, Kommunen, Gemeinden und Länder müssen aus diesem Fall lernen. Datenschutz ist keine Nebensache. IT-Beschaffung ist keine Routineaufgabe. Kinder sind besonders schützenswert.

Fazit: Ein Systemversagen auf allen Ebenen

Der Fall Hannover ist ein Lehrstück. Ein Lehrstück über Inkompetenz, Trägheit und die fatalen Folgen fehlenden Datenschutzbewusstseins.

324.000 Euro für unbrauchbare Lizenzen. Lehrer, die alleine gelassen werden. Schüler, deren Daten Versuchskaninchen für datenschutzrechtliche Experimente sind. Mitarbeiter, die auf Missstände hinweisen und ignoriert werden.

Das ist kein Einzelfall. Das ist System. In Hannover. In Nordrhein-Westfalen. In Bayern. In Hessen. Überall dort, wo Bequemlichkeit über Verantwortung siegt. Wo Abhängigkeit akzeptiert wird, weil Alternativen Arbeit bedeuten. Wo Datenschutz als Hindernis wahrgenommen wird, nicht als Grundrecht.

Die Ironie: Während Deutschland über digitale Souveränität diskutiert, kauft Hannover Microsoft-Lizenzen. Während die Schweiz Cloud-Dienste verbietet, plant Bayern Milliarden für Microsoft ein. Während der Internationale Strafgerichtshof auf OpenDesk umsteigt, setzen deutsche Schulen auf Software, die die eigene Datenschutzbehörde für problematisch hält.

Es ist Zeit, aufzuwachen. Es ist Zeit, Verantwortung zu übernehmen. Es ist Zeit, Alternativen ernst zu nehmen.

Denn eines ist klar: Wer die digitale Infrastruktur seiner Schulen an US-Konzerne auslagert, hat den Bildungsauftrag nicht verstanden. Schulen sollen kritische, mündige Bürger erziehen. Nicht Microsoft-Bedienende. Nicht digitale Kolonien amerikanischer Tech-Giganten.

Hannover hat 324.000 Euro verloren. Doch der eigentliche Verlust ist größer: Vertrauen. In die Kompetenz der Verwaltung. In den Schutz der Daten unserer Kinder. In die Fähigkeit, aus Fehlern zu lernen.

Es wird Zeit, dass sich das ändert. Nicht irgendwann. Jetzt.

Quellen und weiterführende Links:

Der Hannover-Fall:

• Born’s IT-Blog: Fail in Hannover: 60.000 Microsoft 365-Lizenzen für Schulen unbrauchbar
• heise online: Vertragsfehler: 75.000 Microsoft-Lizenzen in Hannover vorerst nutzlos
• WinFuture: Peinlicher Patzer: Hannover wählt falsche Microsoft-365-Lizenzen aus
• IT-Daily: Hannover kauft falsche Microsoft-Lizenzen – 324.000 Euro verpulvert
• derStandard: Folgenschwere Panne: Hannover kauft 60.000 falsche Microsoft-Lizenzen

Datenschutzproblematik Microsoft 365:

• Datenschutzkonferenz: Festlegung der DSK zu Microsoft 365
• Xpert Digital: US CLOUD Act und seine Auswirkungen
• CISA: Cyber Safety Review Board
• heise: Schweiz: Datenschützer verhängen breites Cloud-Verbot

Alternativen und Open Source:

• OpenDesk: Offizielle Website
• ZenDiS: Zentrum für Digitale Souveränität
• Tagesspiegel Background: Warum nur Open Source digital souverän ist
• Handelsblatt: Strafgerichtshof ersetzt Microsoft durch deutsche Lösung
• Bundesregierung: BundesMessenger

Whistleblower-Schutz:

• Whistleblower-Netzwerk: EU-Richtlinie und Umsetzung

Weiterführende Informationen:

• LibreOffice: Offizielle Website
• Nextcloud: Offizielle Website
• Matrix: Offizielle Website

Siehe auch

• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird
• Die DSGVO als Reaktion auf Snowden: Eine Theorie über symbolische Datensouveränität und ihre Grenzen
• Datenschutz-Erfolg gegen Microsoft: Warum Deutschland diesem Beispiel folgen sollte