Dein Office läuft noch — aber haftest du noch?

Wenn die Software funktioniert, ist die Welt in Ordnung. Das kenne ich aus Projekten im norddeutschen Mittelstand sehr gut. Excel öffnet, Access startet, Word druckt. Was soll da schiefgehen?

Einiges.

Microsoft hat in den letzten Jahren konsequent ältere Office-Versionen aus dem Support genommen. Wer das nicht mitbekommen hat (oder bewusst ignoriert), sitzt heute auf einer IT-Infrastruktur, die rechtlich und technisch ein Problem ist. Und das Problem sitzt nicht nur im Serverraum, sondern auf dem Schreibtisch des Geschäftsführers.

Teil 1: Welche Office-Versionen laufen noch und welche nicht mehr?

Hier die wichtigsten Daten im Überblick:

  • Office 2010 — Support-Ende: 13. Oktober 2020. Seit fast sechs Jahren ohne Sicherheitsupdates.
  • Office 2013 — Support-Ende: 11. April 2023. Seit über drei Jahren abgekündigt.
  • Office 2016 — Support-Ende: 14. Oktober 2025. Seit neun Monaten ohne Updates.
  • Office 2019 — Support-Ende: 14. Oktober 2025. Gleiches Datum, gleiches Schicksal.
  • Office 2021Support-Ende: 13. Oktober 2026. In knapp drei Monaten ausgelaufen.
  • Office 2024 — unterstützt bis 9. Oktober 2029.

Wer also heute noch mit Office 2016 oder 2019 arbeitet, bekommt seit Oktober 2025 keine Sicherheits-Patches mehr. Beide Versionen folgen dem Fixed-Lifecycle-Modell: zehn Jahre Support insgesamt, danach Schluss. Das klingt nach einem langen Zeitraum — ist es auch. Aber dieser Zeitraum ist jetzt abgelaufen.

Besonders tückisch: Office 2016 und 2019 verloren bereits ab Oktober 2023 die unterstützte Verbindung zu Microsoft-365-Clouddiensten — also zu Exchange Online, SharePoint Online und allem, was in der Cloud läuft. Wer seine E-Mails über Office 365 abruft und noch Office 2016 installiert hat, lebt seit fast drei Jahren im Graubereich.

Aus meiner Praxis im norddeutschen Mittelstand zeigt sich: Einige Firmen nutzen noch Access in Office 2010 oder arbeiten mit dem alten .mdb-Format — das auf dem Datenbankmodul von Access 97 basiert. Technisch geht das. Sicherheitsupdates gibt es seit Oktober 2020 nicht mehr.

Teil 2: Welche Haftungsrisiken entstehen für Inhaber und Geschäftsführer?

Veraltete Software ist kein IT-Problem. Es ist ein Managementproblem — und seit einigen Jahren auch ein persönliches Haftungsproblem.

Die Rechtslage hat sich in den letzten Jahren deutlich geschärft. § 43 GmbHG verpflichtet Geschäftsführer zur Sorgfalt eines ordentlichen Kaufmanns — und bereits leichte Fahrlässigkeit kann haftungsbegründend sein. Das schließt die Pflicht ein, sicherzustellen, dass das Unternehmen keine Rechtsvorgaben verletzt.

Konkret auf IT bezogen: Art. 32 DSGVO verpflichtet Unternehmen, „angemessene technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten zu ergreifen. Software ohne Sicherheitsupdates zu betreiben, fällt unter diesen Begriff — als Verletzung, nicht als Erfüllung.

Was heißt das für einen Ransomware-Angriff über eine ungepatchte Office-Lücke? Kunden und Lieferanten können das betroffene Unternehmen bei Datenverlust oder Lieferausfällen nach §§ 280, 286 BGB in Anspruch nehmen. Die Beweislast liegt beim Unternehmen: Es muss nachweisen, dass es seinen IT-Sicherheitspflichten in hinreichendem Maße nachgekommen ist.

Dazu kommt die DSGVO: Bei groben Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes. Für ein KMU mit zehn Millionen Euro Umsatz wären das 400.000 Euro — nur weil eine Office-Version keine Patches mehr bekommt und trotzdem Kundendaten verarbeitet.

NIS-2 und § 43 GmbHG koppeln IT-Sicherheit an die persönliche Haftung von Geschäftsführern. Führungskräfte können sich nicht mehr darauf berufen, kein technisches Fachwissen zu haben. Die Verantwortung für den Stand der IT liegt auf Organebene — nicht in der IT-Abteilung.

Eine ungepatchte Office-Version ist kein technischer Schönheitsfehler. Sie ist eine dokumentierbare Pflichtverletzung.

Teil 3: Was verpassen Firmen, die auf alten Office-Versionen sitzen?

Wer auf Office 2016 oder älter setzt, zahlt nicht weniger — er bekommt nur weniger. Und einiges davon ist inzwischen nicht mehr Komfort, sondern Arbeitsgrundlage.

Microsoft Access und VBA: Access hat in neueren Versionen erhebliche Verbesserungen bekommen. Der Übergang von 32 Bit auf 64 Bit (ab Office 2010 optional, ab neueren Versionen Standard) ermöglicht stabilere Laufzeiten bei großen Datenmengen. Wer noch auf 32-Bit-Access setzt, bekommt in größeren Datenbanken früher Speicherprobleme — und kann bestimmte moderne ODBC-Treiber nicht nutzen.

Excel: Ko-Autoren-Funktionalität, dynamische Arrays, die XVERWEIS-Funktion, Power Query als natives Feature — das alles gibt es in Office 2016 und früher nicht vollständig oder gar nicht. Wer heute noch mit SVERWEIS und manuellen Pivots arbeitet, weil die Excel-Version nichts anderes kann, verliert Zeit.

Outlook und E-Mail-Sicherheit: Moderne Authentifizierungsstandards wie OAuth 2.0 und moderne Verschlüsselung werden von älteren Outlook-Versionen nicht vollständig unterstützt. Das ist nicht nur ein Komfortproblem, sondern ein Sicherheits- und Kompatibilitätsproblem — besonders wenn der E-Mail-Server auf Exchange Online läuft.

KI-Integration: Microsoft 365 Copilot, der KI-Assistent direkt in Word, Excel und Outlook, ist ausschließlich für aktive Microsoft-365-Abonnenten verfügbar. Wer auf einer gekauften Einzellizenz aus 2016 oder 2019 sitzt, bekommt diese Funktionen schlicht nicht. Das ist kein Problem, wenn niemand diese Tools nutzen will — aber die Entscheidung sollte bewusst getroffen werden, nicht durch Trägheit entstehen.

Was das für dich als Geschäftsführer bedeutet

Niemand muss sofort alles umstellen. Aber die Entscheidung, auf einer abgekündigten Office-Version zu bleiben, sollte dokumentiert sein — als bewusste Risikoentscheidung mit nachvollziehbarer Begründung. Nicht als blinder Fleck.

Wer in Prozessen noch mit Microsoft Access arbeitet — auch in älteren Versionen —, muss das nicht aufgeben. Access läuft auch unter aktuellen Office-Versionen. Ein Frontend-Upgrade ist oft mit wenig Aufwand möglich, ohne dass die Datenbank angefasst wird.

Was ich in solchen Projekten mache: Ich schaue zuerst auf die Schnittstellen. Welche Access-Version läuft, welches Datenbankformat wird genutzt, welche ODBC-Verbindungen hängen dran. Dann bewerten wir gemeinsam, was ein Versionswechsel tatsächlich bedeutet — und was nicht.

Wer das einmal durchleuchten lassen möchte, erreicht mich über sesoft.de/kontakt.

Quellen

Über den Autor

Sönke Schäfer berät seit über 25 Jahren norddeutsche KMU bei Datenarchitektur, Microsoft-Access-Entwicklung und SQL-Server-Anbindungen. Er kennt die Realität von Betrieben, die noch mit Access 2010 und .mdb-Dateien arbeiten — und weiß, was ein Versionswechsel tatsächlich kostet und was nicht. Mehr unter sesoft.de/datenschaefer-soenke-schaefer/.

Nach oben scrollen