481 Millionen Euro und kein Ende: Deutschlands Microsoft-Abhängigkeit als politisches Versagen -

481,4 Millionen Euro. Diese Zahl sollte in jedem Digitalministerium, in jedem Haushaltsausschuss, in jedem IT-Referat der Bundesverwaltung als das gelesen werden, was sie ist: der Preis einer politischen Fehlentscheidung, die sich über Jahrzehnte aufgeschichtet hat. So viel hat die Bundesverwaltung im Jahr 2025 für Microsoft-Lizenzen ausgegeben – ein Anstieg von rund 38 Prozent gegenüber dem Vorjahr und fast 76 Prozent gegenüber 2023. Zwischen 2017 und 2025 summierten sich die Ausgaben, je nach Berechnungsmethode, auf mehr als 1,9 Milliarden Euro.

Das ist keine Haushaltsnotiz. Das ist die Quittung für eine IT-Politik, die über Jahrzehnte Bequemlichkeit über Souveränität gestellt hat.

Die Zahl hinter der Zahl

Bemerkenswert an den aktuellen Zahlen ist nicht allein ihre Höhe, sondern die Offenheit, mit der sie ans Licht kommen: Abgeordnete der Grünen und der Linken haben die Daten per parlamentarischer Anfrage herausgepresst. Die Grünen-Abgeordnete Rebecca Lenhard deckte dabei auf, dass dem Bund eine Gesamtsicht auf digitale Abhängigkeiten im Föderalstaat schlicht fehlt: Für die Ausgaben der Länder und Kommunen liegen der Bundesregierung keine belastbaren Zahlen vor. Das Gesamtvolumen der Microsoft-Ausgaben der deutschen öffentlichen Hand dürfte also erheblich größer sein als die genannte halbe Milliarde.

Die Zahlen erfassen außerdem nur Lizenzgebühren – keine Schulungen, keine Migrationskosten, keine Betriebsausgaben. Rechnet man Länder, Kommunen und weitere US-Softwarelizenzen hinzu, überweist Deutschland jährlich Milliarden Euro an Anbieter aus den USA und Asien. Und für 2026 hat Microsoft bereits weitere Preissteigerungen angekündigt.

Microsoft und DSGVO: eine Geschichte der Nachbesserungen

Wer für dieses Geld Rechtssicherheit erwartet, wird enttäuscht. Die datenschutzrechtliche Bewertung von Microsoft 365 ist seit Jahren ein Flickenteppich aus Warnungen, Nachbesserungen und neuen Warnungen.

Bereits im Herbst 2020 kam die Datenschutzkonferenz (DSK) – das Gremium aller deutschen Datenschutzbehörden – zu dem Schluss, dass ein datenschutzkonformer Einsatz von Microsoft 365 auf Basis der damaligen Unterlagen nicht möglich sei. Die DSK beanstandete unter anderem das Fehlen einer Rechtsgrundlage für die Übermittlung von Telemetriedaten an Microsoft sowie eine mangelnde Transparenz darüber, welche Daten zu welchen Zwecken fließen. Eine eigens eingesetzte DSK-Arbeitsgruppe verhandelte mit Microsoft. Das Ergebnis der Bewertung 2022 war ernüchternd: Der überarbeitete Datenschutznachtrag von Microsoft genügte nicht, um einen datenschutzkonformen Betrieb zu belegen.

Parallel dazu zog sich ein Verfahren auf europäischer Ebene hin: Der Europäische Datenschutzbeauftragte (EDPS) stellte im März 2024 fest, dass die EU-Kommission selbst mit dem Einsatz von Microsoft 365 gegen EU-Datenschutzrecht verstieß. Die Kommission wurde angewiesen, bestimmte Datentransfers bis Dezember 2024 auszusetzen – und klagte gleichzeitig dagegen. Das Verfahren endete im Juli 2025 damit, dass der EDPS die Verstöße nach umfangreichen Nachbesserungen als behoben erklärte.

Was dieser Vorgang zeigt, ist bezeichnend: Selbst die EU-Kommission, mit allen Ressourcen und eigenem Datenschutzbeauftragten ausgestattet, hat jahrelang Microsoft 365 nicht regelkonform eingesetzt. Kein Schulamt, kein Kommunalreferat ohne spezialisierte Datenschutzjuristen hat realistische Chancen, das selbst korrekt hinzubekommen. Mehrere Kultusministerien – darunter Baden-Württemberg und Bayern – haben Microsoft 365 an Schulen deshalb eingeschränkt oder an Bedingungen geknüpft.

Das Grundproblem bleibt strukturell: Der CLOUD Act verpflichtet US-Unternehmen, auf Anfrage von US-Behörden Daten herauszugeben – unabhängig davon, ob diese physisch auf europäischen Servern liegen. Das ist kein Implementierungsproblem, das sich mit Auftragsverarbeitungsverträgen lösen lässt. Es ist ein struktureller Widerspruch zwischen US-Recht und EU-Datenschutzrecht, der solange bestehen bleibt, wie amerikanische Technik den Kern europäischer Verwaltungsprozesse bildet.

Jahrzehnte der Abhängigkeit: eine kurze Geschichte des Versagens

Wie konnte es so weit kommen? Die ehrliche Antwort lautet: durch konsequente Entscheidungen zugunsten kurzfristiger Bequemlichkeit und gegen langfristige Souveränität. Auf jeder Ebene, immer wieder.

München und LiMux: Das vielleicht bekannteste Beispiel liefert München. Ab 2006 startete die Stadt das Projekt LiMux – ein ehrgeiziger Versuch, rund 15.000 Verwaltungsarbeitsplätze von Windows auf Linux umzustellen. Mehr als ein Jahrzehnt später waren tatsächlich über 14.800 Linux-Desktops im Produktiveinsatz. Dann begann der politische Gegenwind. 2017 beschloss der Stadtrat, vollständig zu Windows zurückzukehren. Microsoft hatte bereits in den frühen 2000er Jahren seinen Angebotspreis für München erheblich gesenkt, um den öffentlichen Wechsel zu verhindern – ein klassisches Mittel, um Lock-in zu erzeugen und Alternativen unattraktiv erscheinen zu lassen. Heute, fast zehn Jahre nach der Rückkehr zu Microsoft, denkt München erneut über Open Source nach.

ZenDiS und openDesk: Auf Bundesebene hat man mit dem Zentrum für Digitale Souveränität (ZenDiS) und seiner Office-Suite openDesk tatsächlich einen Ansatz in die richtige Richtung unternommen. openDesk bündelt Open-Source-Komponenten wie LibreOffice, Nextcloud, Matrix und Open-Xchange zu einem integrierten Arbeitsplatz für Behörden. Das Innen- und das Verteidigungsministerium testen die Lösung, sogar der Internationale Strafgerichtshof in Den Haag hat beschlossen, Microsoft-Lösungen durch openDesk zu ersetzen – nachdem die Trump-Regierung seine IT-Infrastruktur per Sanktionen als Druckmittel eingesetzt hatte.

Und dann kommt der Haushalt. Ursprünglich waren für ZenDiS 45 Millionen Euro vorgesehen. Nach Haushaltskürzungen musste das Zentrum mit 19 Millionen Euro auskommen. Im gleichen Zeitraum flossen 481 Millionen für Microsoft-Lizenzen. Das ist kein Missverhältnis – das ist eine politische Prioritätensetzung, die in ihrer Widersprüchlichkeit kaum zu überbieten ist.

Schleswig-Holstein als Gegenbeispiel: Dass es anders geht, beweist das nördlichste Bundesland. 2025 teilte Schleswig-Holstein mit, dass 80 Prozent der Landesverwaltungs-Arbeitsplätze auf Linux und LibreOffice umgestellt worden seien. Es gab anfänglich technische Probleme – aber auch den politischen Willen, sie zu lösen, statt beim nächsten Preisschock von Microsoft wieder nachzugeben. Das ist der Unterschied.

Der strukturelle Widerspruch: Souveränität mit Subventionen untergraben

Bildungseinrichtungen bekommen Microsoft 365 kostenlos oder zu stark vergünstigten Preisen. openDesk, die mit Steuergeld entwickelte Alternative, kostet Universitäten rund 45 Euro pro Arbeitsplatz und Jahr. Für eine mittelgroße Universität mit 30.000 Studierenden bedeutet das über 1,6 Millionen Euro Mehrkosten jährlich. Das Resultat: Der Staat subventioniert faktisch den Lock-in der nächsten Generation ins Microsoft-Ökosystem – und die souveräne Alternative, die mit öffentlichem Geld gebaut wurde, bleibt für die Einrichtungen unerschwinglich, die sie am meisten brauchen würden.

Führende Vertreter der Hochschul-IT haben das in einem offenen Brief an Bundesminister Wildberger (BMDS) auf den Punkt gebracht: Die digitale Ausbildung einer ganzen Generation werde heute in einem von US-Technologien dominierten Ökosystem geprägt, das für Deutschlands digitale Souveränität das eigentliche Langzeitproblem darstellt. Wer in der Schule mit Microsoft groß wird, kauft als Verwaltungsangestellter morgen Microsoft. Das ist kein Zufall – das ist Strategie.

Was digitale Souveränität tatsächlich bedeutet

Digitale Souveränität ist kein Buzzword für Koalitionsverträge. Es ist die Fähigkeit, über die eigene digitale Infrastruktur zu entscheiden – ohne fremde Preissetzung fürchten zu müssen, ohne strukturellen Datenzugriff durch ausländische Behörden, ohne die Gefahr, dass ein US-Präsident per Sanktionserlass den IT-Betrieb eines deutschen oder internationalen Gerichts lahmlegt.

Genau das ist dem Internationalen Strafgerichtshof passiert: Microsoft blockierte den E-Mail-Zugang des Chefanklägers, weil die Trump-Regierung Sanktionen gegen den Gerichtshof verhängte. Das ist keine theoretische Bedrohung. Das ist Realität 2025. Und es wird in jedem Land so sein, das seine Kernsysteme bei einem US-Anbieter betreibt – solange der CLOUD Act gilt und die amerikanische Exekutive Zugriff auf deren Infrastruktur hat.

Wer jetzt mit dem Finger auf Verwaltungskultur oder auf träge Bürokraten zeigt, lenkt ab. Das Problem ist politischer Natur. Es fehlt seit Jahrzehnten nicht an Warnungen, Studien, Pilotprojekten oder technischen Alternativen – die DSK warnt seit 2020, der CCC seit Jahren länger, die OSBA seit ebenso langer Zeit. Was fehlt, ist der politische Wille, die kurzfristigen Migrationskosten zu akzeptieren, um langfristige Unabhängigkeit zu gewinnen.

Stattdessen zahlt die Bundesverwaltung jedes Jahr mehr für eine Software, die ohne erheblichen Konfigurationsaufwand DSGVO-Risiken erzeugt, über die keine echte Datenkontrolle möglich ist und aus deren Abhängigkeit man sich mit der Hälfte des jährlichen Lizenzbudgets schrittweise hätte herausbewegen können. Die Rechnung dafür liegt vor: 481 Millionen Euro. Für ein Jahr. Und die nächste kommt.

Weiterführende Quellen und Links:

Microsoft Digitale-Souveränität Open-Source DSGVO Datenschutz IT-Beschaffung Verwaltung ZenDiS openDesk CLOUD-Act

481 Millionen Euro und kein Ende: Deutschlands Microsoft-Abhängigkeit als politisches Versagen

Jahrzehnte der IT-Bequemlichkeit haben den Bund in eine Kostenfalle manövriert – und die heißt nicht digitale Souveränität