Die Ausgaben der öffentlichen Hand für Produkte und Dienstleistungen des US-Konzerns Microsoft fallen noch weitaus höher aus als bisher bekannt. Das lässt sich einer heise online vorliegenden Antwort des Bundesfinanzministeriums auf eine Frage des Bundestagsabgeordneten Sascha H. Wagner von der Linksfraktion entnehmen. Demnach offenbaren neue Berechnungsmaßstäbe, dass die schon 2019 konstatierte tiefe Abhängigkeit der deutschen Verwaltung von proprietärer Software historisch hohe, kontinuierlich wachsende Summen an Steuergeldern verschlingt. Bundeseigene Open-Source-Alternativen fristen weiter ein Nischendasein.

Die teils drastisch abweichenden Summen resultieren aus einer weiterreichenden Definition der anfallenden Kosten. In der Vergangenheit hatte die Bundesregierung auf Anfragen des Abgeordneten Victor Perli stets die Ausgaben der unmittelbaren Bundesverwaltung, also der Ministerien und ihrer direkt nachgeordneten Behörden, ausgewiesen. Nach dieser isolierten Lesart beliefen sich die Lizenzgebühren zwischen 2017 und 2024 auf insgesamt rund 1,3 Milliarden Euro.

Eine neue Datengrundlage, die auf eine vorausgegangene Anfrage der Grünen-Abgeordneten Rebecca Lenhard zurückgeht, zieht auch den Handelspartner-Rahmenvertrag der Zentralstelle IT-Beschaffung (ZIB) des Beschaffungsamtes voll mit heran. Dieser schließt neben der unmittelbaren auch die mittelbare Bundesverwaltung sowie sämtliche Zuwendungsempfänger mit ein.

Allein 2022 flossen nach dieser Definition netto knapp 211 Millionen Euro in Richtung Redmond. Für 2025 kletterten die Ausgaben nach der neuen Statistik auf über 481 Millionen Euro. Insgesamt summierten sich die Kosten nach dieser Lesart zwischen 2017 und 2025 auf mehr als 1,9 Milliarden Euro.

Methodische Unterschiede und veränderte Maßstäbe

Dass sich die alten und neuen Zahlenpaare nur bedingt in Deckung bringen lassen, liegt an mehreren Faktoren, wie das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) erläutert. So seien in der Vergangenheit bei den Perli-Anfragen Bruttobeträge gemeldet und eigene Ausschreibungen der Ressorts abseits des ZIB-Rahmenvertrags berücksichtigt worden. Gleichzeitig fehlen in der neuen Auflistung die Jahre 2015 und 2016, da der ZIB-Rahmenvertrag erst im Juni 2017 geschlossen wurde. Ungeachtet dieser methodischen Differenzen zeigt der finanzielle Trend in der Gesamtbetrachtung steil nach oben.

Der Linken-Politiker Wagner fordert Konsequenzen: „Die Abhängigkeit von US-Software kostet die Steuerzahler jedes Jahr hunderte Millionen“, moniert er gegenüber heise online. „Der Umstieg auf europäische Lösungen muss schneller gehen, damit Trumps Tech-Bros uns nicht irgendwann mit dem Zugang zu Software und Cloud-Diensten erpressen können.“ Bund und Länder müssten dem Vorbild Frankreichs folgen, die Zusammenarbeit mit umstrittenen Firmen wie Palantir stoppen und für Office-Anwendungen künftig primär Produkte der bundeseigenen Softwareschmiede Zendis nutzen.

Kritik auch aus der Wirtschaft

Die Open Source Business Alliance (OSBA) warnt ebenfalls vor einer gefährlichen und teuren Abhängigkeit, die die staatliche IT-Modernisierung bedrohe. OSBA-Vorstandsvorsitzender Peter Ganten zeigte sich schon im Februar alarmiert, dass sich die Bundesverwaltung scheinbar wehrlos der Marktmacht von Microsoft ergebe. Besonders die Kostensteigerung um rund 38 Prozent von 2024 auf 2025 zeige, wie riskant die Bindung an einen einzelnen marktbeherrschenden Anbieter sei.

Ganten beklagt, dass dies dringend nötige Gelder verschlinge, die dann bei der Modernisierung der staatlichen IT fehlten. Zudem warnt er vor Sicherheitsrisiken, da weite Teile der Verwaltungsdaten de facto nicht vor dem Zugriff der US-Regierung geschützt seien. Der Bund müsse konsequent in offene und souveräne Lösungen investieren.

Um die teils ausufernden IT-Ausgaben des Bundes überhaupt besser kontrollieren zu können, hat das BMDS einen Zustimmungsvorbehalt für wesentliche IT-Beschaffungen etabliert. Dieser greift bei Vorhaben, die ein jährliches Volumen von mindestens 500.000 Euro oder Gesamtkosten von über drei Millionen Euro aufweisen, sowie bei Projekten von besonderer strategischer Tragweite, etwa zur Cybersicherheit oder großen Digitalisierungsprogrammen.

Bis Ende März hat das Ressort in diesem Rahmen über 200 IT-Vorhaben der Ministerien gesichtet. In gut 50 Fällen erteilte es Auflagen oder Hinweise, vereinzelt stoppte es Vorhaben komplett. Aufgrund der anstehenden Haushaltsaufstellung für 2027 hat sich die Anzahl der zur Prüfung vorgelegten Vorhaben im April verzehnfacht. Über konkrete finanzielle Einsparungen durch dieses Instrument kann die Regierung mit Verweis auf das laufende Haushaltsverfahren aber noch keine fundierten Angaben machen.

Ernüchternde Bilanz für digitale Souveränität

Das für digitale Souveränität zuständige Zendis stellt der Bundesverwaltung die Kollaborationssuite OpenDesk sowie die Entwicklungsplattform OpenCode zur Verfügung. Während letztere laut der Regierung mit rund 5700 aktiven Projekten und etwa 13.500 Nutzern aus Bund, Ländern und Kommunen föderal übergreifend eingesetzt wird, fallen die Verbreitungszahlen für OpenDesk ernüchternd aus. Aktuell nutzen die Behörden in Summe hier nur 8756 Lizenzen, von denen sich 8475 im Produktivbetrieb befinden.

Den Löwenanteil macht dabei das Robert-Koch-Institut (RKI) aus, das allein 7904 Lizenzen für sein Projekt Agora im Kontext des Öffentlichen Gesundheitsdienstes verwendet. Im BMDS selbst sind lediglich 571 Lizenzen im produktiven Einsatz sowie 137 in einem Pilotprojekt. Auch das Auswärtige Amt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erproben die Software bislang nur homöopathisch mit je rund 70 Lizenzen.

(mma)

Das Cookie-Banner ist wohl eines der hartnäckigsten Ärgernisse des Internets. Weil Nutzer:innen ohne ihr Einverständnis nicht getrackt werden dürfen, bombardieren Websites und Werbefirmen sie mit den Einwilligungsanfragen. Oft sind diese manipulativ gestaltet und häufig werden sie weggeklickt. Echte Selbstbestimmung für Nutzer:innen ist so nicht möglich. Die EU-Kommission hat deshalb einen Vorschlag gemacht, der die Banner weitgehend abschaffen könnte.

Im Rahmen des Digital-Omnibus-Gesetzespakets sollen Diensteanbieter nach dem Willen der Kommission verpflichtet werden, automatische Signale zu Tracking-Präferenzen zu beachten. Solche Signale könnten Nutzer:innen etwa über ihren Browser senden. Dagegen wenden sich seit längerem nicht nur Lobby-Organisationen der Tracking-Wirtschaft, sondern auch mehrere Länder wie Deutschland und Frankreich.

Ein kürzlich von Politco geleaktes Dokument aus dem Rat der EU-Mitgliedstaaten zeigt: Die Gegenwehr war erfolgreich. Der jüngste Kompromissvorschlag der zypriotischen Ratspräsidentschaft sieht eine vollständige Streichung des von der Kommission vorgeschlagenen Artikel 88b vor, in dem die Cookie-Revolution stattfinden sollte.

„Das muss man sich auf der Zunge zergehen lassen: Die EU-Kommission will endlich die Cookie-Banner abschaffen, aber Google und einige EU-Mitgliedsstaaten wollen sie nun unbedingt behalten“, kommentiert Datenschutz-Aktivist Max Schrems von der Organisation noyb den Vorgang. „Jahrzehntelang wurde sich über EU-Bürokratie beschwert, aber in Wirklichkeit fürchtet sich die Tracking-Industrie dermaßen vor einer Möglichkeit, dass Verbraucher:innen einfach ‚Nein’ sagen können, dass nach etwas Lobbying alle umfallen.“

So könnte eine Zukunft ohne Cookie-Banner aussehen

Die Idee der EU-Kommission ist schnell erklärt: Einwilligungen oder Ablehnungen zum Online-Tracking sollen künftig nicht mehr über individuell gestaltete Banner auf den jeweiligen Websites abgegeben werden, sondern standardisiert und automatisiert durch maschinenlesbare Signale, die sogenannten Privacy Signals.

Praktisch hieße das etwa, dass Nutzer:innen ihre Präferenzen über Einstellungen im Browser, im Betriebssystem oder über spezialisierte Programme, sogenannte Einwilligungs-Agenten, festlegen könnten. Betreiber:innen von Websites und Werbefirmen müssten diese Signale laut Entwurf der Kommission „respektieren“. Sie dürften sie also nicht mehr ständig erneut nach Einwilligungen fragen. Ausnahmen sollen für journalistische Medien gelten, deren Werbefinanzierung man aufgrund ihrer Bedeutung für die Demokratie nicht gefährden wolle.

Die Idee hinter den Privacy Signals ist nicht neu, schon vor mehr als 15 Jahren implementierten einige Browser den „Do Not Track“-Standard. Mit dessen Hilfe konnten Nutzer:innen über einen einzigen Klick signalisieren, dass sie nicht getrackt werden wollen. Die Werbeindustrie ignorierte den Standard jedoch. Versuche des Europäischen Parlaments, Ende der 2010er-Jahre im Rahmen der ePrivacy-Reform ein ähnliches Signal verbindlich einzuführen, scheiterten am massiven Widerstand der Industrie.

In Deutschland schuf deshalb zuletzt die Ampel-Regierung einen rechtlichen Rahmen für „Dienste zur Einwilligungsverwaltung“, mit denen Nutzer:innen ihre Zustimmung oder Ablehnung für einzelne Websites managen können. Im letzten Moment verließ Digitalminister Volker Wissing jedoch der Mut und sein Ministerium sorgte mit einer Verordnung dafür, dass die Signale der Einwilligungsmanager nicht bindend sind, sondern von Trackern ignoriert werden können. Bislang hat die Bundesdatenschutzbeauftragte einen einzigen Einwilligungs-Manager zertifiziert.

Zuspruch aus Wissenschaft und Zivilgesellschaft

Die EU-Kommission entschied sich bei ihrem Vorschlag für den neuen Artikel 88b für einen Mittelweg: Eine pauschale Ablehnung jeglichen Trackings ist nicht vorgesehen, stattdessen ein Management für jede einzelne Website. Dafür sollten die Signale verbindlich sein, die Tracking-Industrie hätte sie – mit der Ausnahme bei journalistischen Medien – nicht weiter ignorieren dürfen.

Dieser Ansatz stieß auf breite Zustimmung in Forschung und Zivilgesellschaft. Anfang Juni veröffentlichten zahlreiche Wissenschaftler:innen von europäischen Universitäten einen offenen Brief, in dem sie die Notwendigkeit einer derartigen Regelung betonten. „Das derzeitige Einwilligungssystem der EU versagt in demokratischer, sozialer und marktwirtschaftlicher Hinsicht – und es versagt beim Schutz genau jener Menschen, denen es eigentlich dienen sollte“, heißt es darin.

Artikel 88b biete „eine einmalige Chance“. Er könne das digitale Ökosystem der EU „von endlosen Pop-ups hin zu einer interoperablen, maschinenlesbaren Rechteinfrastruktur verändern, die einfach und reibungslos funktioniert“. Die Implementierung von Privacy Signals sei nicht nur technisch machbar, sondern passe auch gut zum Ansatz der EU, die seit Jahrzehnten Gelder für die Forschung an Privatsphäre-schützenden Technologien bereitgestellt.

Der Vorschlag könne zudem nicht nur Nutzer:innen das Leben leichter machen, sondern könne auch Unternehmen erleichtern, sich an geltendes Recht zu halten. Allerdings schlugen die Wissenschaftler:innen mehrere Nachbesserungen vor, damit die Regelung die erwünschte Wirkung erziele.

Auch der Verbraucherzentrale Bundesverband hatte mehrere Vorschläge unterbreitet, wie der neue Ansatz wirksamer werden könne. Anbieter sollten etwa die Signale nicht nur „respektieren“, sondern auch umsetzen müssten.

Mitgliedstaaten kritisieren fehlende Folgenabschätzung

„Artikel 88b im Digital-Omnibus könnte die kaputte Einwilligungspraxis im Datenschutz reparieren“, findet auch Jan-David Franke von Wikimedia Deutschland im Gespräch mit netzpolitik.org. Wo Cookie-Banner Verantwortung auf einzelne Nutzende abwälzen würden, würde ein verbindliches Privacy Signal sie wieder dort verorten, wo sie hingehört: bei den Unternehmen, die mehr als das Nötige an Daten wollten. Franke warnt: „Wer das aus dem Digital-Omnibus streicht, baut nicht Bürokratie ab, sondern schwächt das Vertrauen in europäischen Datenschutz insgesamt.“

Doch genau danach sieht es gerade aus. Seit Monaten berät der Rat der Mitgliedstaaten über seine Position zum Daten-Omnibus und die Cookie-Regelung ist einer der umstrittenen Punkte. Mächtige Länder wie Deutschland, Frankreich und Polen haben sich immer wieder vehement gegen die Privacy Signals ausgesprochen. Dabei führten sie Ratsdokumenten zufolge mögliche negative Konsequenzen für die europäische Wirtschaft ins Feld. Die EU-Kommission habe die Maßnahme ohne Folgenabschätzung vorgeschlagen, das sei problematisch.

Mit ihrem Drängen haben die Staaten offenbar Erfolg: Der jüngste Kompromissvorschlag der zypriotischen Ratspräsidentschaft sieht eine vollständige Streichung von Artikel 88b vor. Die Initiative für Privacy Signals wäre damit einmal mehr Geschichte – jedenfalls dann, wenn sich der Rat bei den anstehenden Verhandlungen mit dem EU-Parlament und der Kommission durchsetzen würde. Bereits am Freitag könnte der Rat seine Position beschließen.

Kritik an Verhalten der Bundesregierung

Daran gibt es scharfe Kritik aus der Zivilgesellschaft. „Die Bundesregierung betreibt in Brüssel offenbar gezielte Interessenvertretung zugunsten der Adtech- und Verlagsindustrie und auf Kosten der Verbraucher:innen“, schreibt auf Anfrage etwa Florian Glatzner vom Verbraucherzentrale Bundesverband. „Ausgerechnet die Regelung, die Nutzer:innen endlich eine einfachere Kontrolle über Tracking und Profilbildung ermöglichen würde, soll gestrichen werden.“

Besonders sauer stößt dem Verbraucherschützer die Begründung der Bundesregierung auf, mit der sie sich gegen Artikel 88b ausgesprochen hat: eine fehlende Folgenabschätzung für digitale Geschäftsmodelle. Gleichzeitig fordere sie bei anderen, deutlich weiterreichenden Änderungsvorschlägen wie einer Neudefinition personenbezogener Daten keine Folgenabschätzung. Das wirke wenig konsistent, so Glatzner. „Vielmehr entsteht der Eindruck, dass hier ein Vorwand genutzt wird, um die einzige verbraucherfreundliche Maßnahme im gesamten Paket zu verhindern.“

Auch Max Schrems von noyb hält nicht mit Kritik hinter dem Berg: Cookie-Banner seien keine Erfindung des Datenschutzes, sondern der Tracking-Industrie, denn ohne Einwilligung gebe es kein Online-Schnüffeln. „Jetzt hat man Angst, dass eine einfachere Möglichkeit, ‚Ja’ oder ‚Nein’ zu sagen, Umsatzeinbußen bei Google und Co zur Folge hat.“ Daher lobbyiere die Tracking-Industrie, „was das Zeug hält“, um das Cookie-Banner zu behalten.

Google warnte vor Folgen

Besonders einflussreich war offensichtlich ein Lobby-Papier von Google, das unter der Überschrift „Verschwunden mit einem Klick“ vor drastischen Folgen der Privacy-Signal-Lösung für die Online-Wirtschaft warnte. Ausgehend von der Erkenntnis, dass deutlich weniger Menschen ihre Zustimmung zum Tracking geben, wenn sie einfache Einstellungsmöglichkeiten haben, zeichnete der US-Konzern das Bild von einer Regelung, die Europa mindestens 40 bis 50 Milliarden Euro kosten würde.

Dies nicht etwa, weil weniger Geld für Werbung ausgegeben würde, sondern weil die Werbung ohne Tracking-Cookies weniger effizient sei und deshalb weniger Umsatz für die Werbekunden generieren würde. Mal abgesehen davon, dass dies eine hochgradig spekulative Schätzung ist, dürfte das Unternehmen dabei vor allem sein eigenes Geschäftsinteresse im Blick haben: Google ist der größte Werbekonzern der Welt. 132 Milliarden Dollar Gewinn machte er in 2025, so viel wie kein US-Unternehmen je zuvor, den Großteil davon mit Werbung.

Unterstützung erhielten Googles Lobbyist:innen erneut von Verbänden der Deutschen Digitalwirtschaft wie Bitkom und dem Bundesverband Digitalwirtschaft (BVDW). Auch deutsche Handels- und Werbeorganisationen wie der Deutsche Handelsverband, der E‑Commerce-Verband oder der Markenverband unterzeichneten einen offenen Brief des BVDW und sprachen sich mit drastischen Worten gegen die Regelung aus.

Zum wiederholten Male stellten sich im Kampf gegen Datenschutz und für Tracking auch deutsche Medienverbände an die Seite von Google, namentlich der Bundesverband Digitalpublisher und Zeitungsverleger sowie der Medienverband der freien Presse.

Deutsche Datenschutz-Forscher:innen haben den Aussagen der Werbe-Industrie in einem offenen Brief an die Bundesregierung vehement widersprochen. Es sei nicht haltbar, dass die Einführung von Privacy Signals automatisch zu wirtschaftlichen Verlusten führe. Vielmehr könne Artikel 88b dazu führen, dass Nutzer:innen mehr Informationen hätten und sie deshalb sowohl Risiken als auch Vorteile besser einschätzen können. Die Einwilligungsrate könne für vertrauensvolle Dienste dadurch sogar steigen.

Der digitale Omnibus als „Geschenk an Big Tech“

Bereits an diesem Freitag könnte der Rat seine Position zum Daten-Omnibus beschließen. Dabei steht noch bei mehreren kritischen Punkten eine Einigung aus. So hat die EU-Kommission beispielsweise vorgeschlagen, klarzustellen, dass Unternehmen personenbezogene Daten ohne Einwilligung der Betroffenen für das Training von KI-Modellen nutzen dürfen. Zudem sollen pseudonymisierte Daten unter Umständen von der DSGVO ausgenommen werden.

Beides hatte – anders als der Vorschlag zu Privacy Signals – massive Kritik von Datenschutzbehörden und Zivilgesellschaft ausgelöst. Die EU-Kommission betont, sie wolle mit dem Omnibus-Paket lediglich ihre Digitalgesetzgebung harmonisieren und vereinfachen. Kritiker:innen sprechen von einer De-Regulierungsagenda und einem Angriff auf Grundrechte.

Dass sie den digitalen Omnibus insgesamt als problematisches Vorhaben sehen, zeigte gestern erneut eine Veranstaltung von Digital-Rights- und Verbraucherschutz-Organisationen in Brüssel und Berlin. „Der Schutz von Grundrechten durch bestehende EU-Digitalgesetze muss jetzt verteidigt und durchgesetzt werden, statt sie auszuhöhlen“, sagte etwa Konstantin Macher von der Digitalen Gesellschaft. „Wir fordern, dass die EU-Kommission für die Menschen in der EU kämpft und nicht für die Interessen von US-amerikanischen Big-Tech-Unternehmen.“

Nach Analysen von Anti-Lobby-Organisationen stammen zahlreiche Vorschläge im Omnibus von dem Wunschzettel der großen US-Tech-Konzerne. Von „Vereinfachung” und „Bürokratieabbau” zu sprechen, lenke deshalb von der Realität ab, so Macher. „In Wirklichkeit erleben wir gerade den bislang größten Rückbau von Digitalrechten in der EU. Dieses Geschenk an Big-Tech-Unternehmen ist gleichzeitig ein Einknicken vor dem Druck der US-Regierung.“

Postman, Hersteller des gleichnamigen API-Entwicklungs-Tools, führt mit Passport ein sicheres Zugangssystem für APIs ein. Es basiert nicht mehr auf Zugangsschlüsseln (API-Keys, Credentials), die jeder verwenden kann, der sie besitzt – also auch Einbrecher. Sondern es führt eine Zugangskontrolle mit individuellen Zertifikaten ein.

API-Nutzer sind dabei kryptografisch eindeutig identifiziert und bekommen Zugänge von Postman granular und kontrolliert freigeschaltet. Der private Schlüssel verbleibt jeweils beim Nutzer, sodass niemand anderes die zugehörigen Zugangsschlüssel verwenden kann. Die Zugangsprüfung findet in einem speziellen Postman-Proxy innerhalb des Kundennetzwerks statt.

Postman prüft das Zertifikat des Kunden und erteilt dauerhaften oder temporären Zugang zu API-Endpunkten. Agenten können Zugänge an Unteragenten weitergeben, aber nur kurzzeitig im zertifizierten Bereich. Unternehmensweite Access Points lassen sich ebenfalls in das System integrieren.

Ein Zugriff am Proxy vorbei ist nicht möglich. Über die Zertifikate lassen sich auch feingranulare Zugriffsmodelle auf Endpunkte umsetzen.

Immer mehr API-Aufrufe durch Agenten

Postman reagiert damit auf die zunehmende und unkontrollierte Verbreitung von API-Credentials, die oft nur in Profilen, Textdateien oder YAML-Konfigurationen vorliegen und von Entwicklern im Alltag oft schnell hin- und herkopiert werden, gerne auch über Git, MS Teams oder Slack. Während eines Einsatzes findet sich ein Schlüssel laut Postman an acht Plätzen in einem Rechner und wird so zur leichten Beute für Angreifer.

Der zunehmende Einsatz von KI-Agenten im Entwicklungszyklus von Software erhöht diese Risiken noch, da Agenten selbsttätig mit den Schlüsseln umgehen und diese eventuell in der Infrastruktur oder an Unteragenten weitergeben.

Das neue System von Postman erhöht durch den Proxy zwar den Aufwand im Unternehmen, löst aber eine Reihe von Sicherheitsproblemen.

(who)