Microsoft Remote Desktop: Was Unternehmer 2026 wissen müssen
Stand: April 2026
Homeoffice und mobiles Arbeiten sind längst keine Ausnahme mehr — und in vielen Betrieben ist Microsoft Remote Desktop, kurz RDP, das technische Fundament dafür. Über dieses Protokoll greifen Mitarbeiter von außen auf den Bürorechner zu, als säßen sie direkt davor. Das funktioniert seit Jahren zuverlässig. Doch 2026 bringt eine Zäsur, die viele Unternehmen noch nicht auf dem Schirm haben: Microsoft hat zentrale Teile des bisherigen RDP-Client-Angebots eingestellt. Für Sie als Unternehmer oder Geschäftsführer bedeutet das konkreten Handlungsbedarf — denn wer zu lange wartet, riskiert Sicherheitsprobleme, Datenschutzverstöße und unangenehme Fragen bei der nächsten Betriebsprüfung. In diesem Artikel erläutern wir Ihnen, was sich geändert hat, was weiterhin gilt und wie Sie die Kosten Ihrer Remote-Work-Infrastruktur steuerlich optimal behandeln.
Was ist Microsoft Remote Desktop überhaupt?
Hinter dem Begriff steckt das sogenannte Remote Desktop Protocol — ein Netzwerkprotokoll, das Microsoft entwickelt hat und das es erlaubt, einen entfernten Windows-Computer vollständig zu bedienen. Sie sehen den Bildschirm des anderen Rechners in Echtzeit, Ihre Tastatur- und Mauseingaben werden direkt übertragen. Technisch läuft diese Verbindung standardmäßig über den Netzwerkport 3389 und nutzt verschlüsselte Verbindungen auf Basis von TCP/IP.
In unserer Beratungspraxis sehen wir, dass gerade mittelständische Unternehmen auf diesen Weg setzen: Buchhaltungsprogramme, ERP-Systeme und Steuersoftware liegen auf dem Server im Büro, der Mitarbeiter im Homeoffice verbindet sich per Remote Desktop damit. Das ist praktisch und in vielen Fällen kosteneffizient — vorausgesetzt, die technische Konfiguration stimmt.
Wichtiger Hinweis: Microsoft Remote Desktop ist kein eigenständiges Programm, sondern ein Protokoll (RDP), das fest in alle aktuellen Windows-Versionen eingebaut ist. Es gibt mehrere Client-Apps, die dieses Protokoll nutzen — und genau bei diesen Apps liegt 2026 der entscheidende Unterschied.
Die wichtigste Änderung 2026: Was Microsoft abgeschaltet hat
Dieser Punkt ist konkret — und vielen Unternehmen noch nicht bewusst. Microsoft hat den Support für den bisherigen Remote Desktop Client in zwei Schritten beendet:
- Remote Desktop App aus dem Microsoft Store. Diese App wurde im Mai 2025 aus dem Store entfernt und erhält seither keine Updates mehr. Verbindungen zu Cloud-Diensten wie Windows 365 oder Azure Virtual Desktop über diese App wurden ab September 2025 geblockt.
- Remote Desktop Client (MSI-Installer). Der separat installierbare Client für Unternehmensumgebungen erreichte am 27. März 2026 das Ende seines Supports für öffentliche Cloud-Umgebungen. Er wird nicht mehr zum Download angeboten und bekommt keine Sicherheits-Updates mehr.
Was bleibt? Das vertraute Programm Remote Desktop Connection — bekannt als mstsc.exe — ist weiterhin Bestandteil von Windows und wird von Microsoft für direkte Netzwerkverbindungen zwischen lokalen Rechnern nach wie vor unterstützt. Wenn Sie also ausschließlich innerhalb Ihres eigenen Firmennetzwerks per RDP arbeiten und keine Cloud-Dienste einbinden, können Sie vorerst so weiterarbeiten wie bisher.
Für alle anderen gilt: Microsoft empfiehlt den Wechsel zur neuen Windows App als offiziellem Nachfolger. Diese App fasst den Zugang zu Windows 365 Cloud-PCs, Azure Virtual Desktop, Microsoft Dev Box und klassischen Remote Desktop Services unter einer einzigen Oberfläche zusammen. Sie steht für Windows, macOS, iOS und den Webbrowser bereit.
Tipp: Klären Sie gemeinsam mit Ihrer IT-Abteilung oder einem IT-Dienstleister, welche RDP-Clients bei Ihnen konkret im Einsatz sind. Ob Sie mstsc.exe, den alten MSI-Client oder die neue Windows App nutzen, ist entscheidend dafür, ob und wie schnell Sie handeln müssen.
Sicherheitsrisiken: Was Unternehmer bei Microsoft Remote Desktop kennen müssen
Remote Desktop gehört zu den Protokollen, die Angreifer am häufigsten ins Visier nehmen. Der Grund ist einfach: Da Port 3389 als Standard-RDP-Port allgemein bekannt ist, wird das Internet systematisch nach Systemen abgescannt, die diesen Port nach außen offen halten. Automatisierte Angriffe, bei denen massenhaft Passwörter ausprobiert werden (sogenannte Brute-Force-Angriffe), sind im Unternehmensalltag längst Realität.
Für Sie als Unternehmer ist das kein rein technisches Thema. Die DSGVO verpflichtet jeden, der personenbezogene Daten verarbeitet, zu angemessenen technischen und organisatorischen Schutzmaßnahmen — und personenbezogene Daten finden sich in nahezu jedem Unternehmenssystem, von der Kundendatei bis zur Lohnabrechnung. Wer Remote Desktop ohne ausreichende Absicherung betreibt, bewegt sich auf dünnem Eis.
Wichtiger Hinweis: Software ohne aktuelle Sicherheitsupdates entspricht nicht mehr dem Stand der Technik, den die DSGVO (Art. 32) als Maßstab anlegt. Wer nach dem End-of-Support-Datum weiterhin den alten Remote Desktop Client für Cloud-Verbindungen einsetzt, trägt ein erhöhtes Haftungsrisiko.
Die wesentlichen Risiken lassen sich in drei Bereiche einteilen:
- Schwache Authentifizierung. Viele Unternehmen verwenden für RDP-Verbindungen dieselben Passwörter wie für die normale Windows-Anmeldung. Das macht automatisierte Angriffe besonders leicht. Multi-Faktor-Authentifizierung (MFA) — also die Kombination aus Passwort und einem zweiten Bestätigungsfaktor wie einer App — ist hier kein optionales Extra, sondern eine Grundanforderung.
- Offener Port 3389. Ist der RDP-Port direkt aus dem Internet erreichbar, ist das eine offene Einladung für Angreifer. Empfehlenswert ist in der Praxis der Einsatz eines VPN (Virtual Private Network) oder eines Remote Desktop Gateways, das als vorgelagerte Schutzschicht fungiert.
- Ungepatchte Systeme. Bekannte Sicherheitslücken wie BlueKeep (CVE-2019-0708) werden gezielt für Ransomware-Kampagnen genutzt. Regelmäßige Sicherheitsupdates sind keine Frage des Komforts — sie sind eine Voraussetzung für den datenschutzkonformen Betrieb.
Weiterlesen: Homeoffice IT-Sicherheit: Was Unternehmer wissen müssen
DSGVO und Remote Desktop: Wo Handlungsbedarf besteht
Sobald ein Mitarbeiter per Remote Desktop auf einen Unternehmensrechner zugreift, liegt aus datenschutzrechtlicher Sicht eine Datenverarbeitung vor — allein schon deshalb, weil auf dem zugegriffenen System typischerweise personenbezogene Daten einsehbar sind, etwa offene Kundenvorgänge oder eine laufende Buchhaltungssoftware. In Unternehmen mit Betriebsrat kann außerdem relevant sein, dass Fernzugriffs-Tools unter bestimmten Umständen dem Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG unterliegen können.
Für die Praxis bedeutet das: Ihre Fernzugriffslösung muss im Verzeichnis der Verarbeitungstätigkeiten erfasst sein, das die DSGVO (Art. 30) für jedes Unternehmen vorschreibt. Wer einen externen IT-Dienstleister mit dem Fernzugriff betraut, braucht zwingend einen Auftragsverarbeitungsvertrag. Und wer Microsoft-Dienste wie Azure Virtual Desktop nutzt, sollte prüfen, ob eine aktuelle Datenschutz-Folgenabschätzung vorliegt — Microsoft stellt seit 2025 überarbeitete Vorlagen dafür bereit.
Für Steuerberater, Rechtsanwälte und andere Berufsgeheimnisträger gelten noch strengere Maßstäbe: Eine belastbare Datenschutz-Folgenabschätzung, die die spezifischen Risiken für das Berufsgeheimnis ausdrücklich bewertet, ist nach aktueller Einschätzung der Datenschutzaufsichtsbehörden hier nicht optional.
Die steuerliche Seite: IT-Kosten für Remote-Desktop-Infrastruktur richtig behandeln
Jetzt kommen wir zu dem Teil, der für Sie als Unternehmer unmittelbar greifbar ist: Wie behandeln Sie die Kosten Ihrer Remote-Desktop-Infrastruktur steuerlich richtig?
Software-Lizenzen und Abonnements als Betriebsausgaben
Laufende Lizenzkosten für Dienste wie Windows 365, Microsoft 365 Business oder Azure Virtual Desktop sind als Betriebsausgaben vollständig abziehbar — nach § 4 Abs. 4 EStG bei Einzelunternehmern und Personengesellschaften, entsprechend bei Kapitalgesellschaften —, sofern die betriebliche Veranlassung klar ist. Bei Fernzugriffsinfrastruktur ist das in aller Regel unproblematisch nachzuweisen.
Bei einmaligen Softwareanschaffungen — also Lizenzkäufen statt monatlicher Abonnements — gilt seit dem Wirtschaftsjahr 2021 eine praxisfreundliche Vereinfachung: Betriebs- und Anwendersoftware sowie Computerhardware können mit einer angesetzten Nutzungsdauer von einem Jahr abgeschrieben werden. Das bedeutet, dass solche Ausgaben bereits im Jahr der Anschaffung vollständig als Betriebsausgabe abgezogen werden dürfen — unabhängig davon, ob die Anschaffung im Januar oder im Dezember erfolgt ist.
Hardware für den Fernzugriff
Notebooks, Thin Clients oder andere Endgeräte, die für den Remote-Desktop-Zugriff angeschafft werden, sind ebenfalls Betriebsausgaben. Auch hier greift seit 2021 die einjährige Nutzungsdauer für Computerhardware, was eine Sofortabschreibung im Anschaffungsjahr ermöglicht. Grundvoraussetzung ist, dass die betriebliche Nutzung mindestens zehn Prozent beträgt.
Werden Geräte daneben auch privat genutzt — was im Homeoffice-Kontext häufig vorkommt —, muss der private Anteil als Entnahme gebucht werden. Das Finanzamt geht bei Selbstständigen grundsätzlich davon aus, dass IT-Geräte auch privat eingesetzt werden. Eine nachvollziehbare Dokumentation des betrieblichen Nutzungsanteils ist daher bei einer Betriebsprüfung entscheidend und kann im Zweifelsfall viel Diskussion ersparen.
GoBD-Anforderungen: Fernzugriff und Buchführungssoftware
Wer Buchführungssoftware — etwa DATEV, Lexware oder ein ERP-System — über Remote Desktop auf einem zentralen Server betreibt, muss die GoBD im Blick behalten. Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) verlangen für jede in der Buchführung eingesetzte Software eine sogenannte Verfahrensdokumentation. Darin müssen organisatorische und technische Abläufe so beschrieben sein, dass ein sachkundiger Außenstehender — zum Beispiel ein Betriebsprüfer — das System nachvollziehen kann. Die Fernzugriffslösung als Teil der IT-Infrastruktur gehört ausdrücklich dazu.
In unserer Beratungspraxis beobachten wir, dass dieser Punkt bei Betriebsprüfungen häufig unterschätzt wird. Eine fehlende oder nicht mehr aktuelle Verfahrensdokumentation führt zwar nicht automatisch zu Steuernachzahlungen, gibt dem Prüfer aber Anlass für formelle Beanstandungen der Buchführung — mit Konsequenzen, die im Einzelfall weitreichend sein können. Eine Prüfung, ob Ihre Dokumentation noch passt, lohnt sich.
Weiterlesen: GoBD Verfahrensdokumentation: Was Unternehmer wissen müssen
Homeoffice-Pauschale und Remote Desktop
Für Unternehmer und Selbstständige, die von zu Hause aus arbeiten und dabei per Remote Desktop auf ihre Bürosysteme zugreifen, ist die Homeoffice-Pauschale relevant. Sie beträgt 6 Euro pro Arbeitstag im Homeoffice und ist auf maximal 1.260 Euro pro Jahr gedeckelt. Als Betriebsausgabe nach § 4 Abs. 5 Satz 1 Nr. 6c EStG ist sie abziehbar — ohne dass Sie ein abgetrenntes Arbeitszimmer nachweisen müssen.
Wer ein häusliches Arbeitszimmer hat, das tatsächlich den Mittelpunkt der gesamten betrieblichen Tätigkeit bildet, kann alternativ die anteiligen Raumkosten — Miete, Strom, Heizung, Internetanschluss — in tatsächlicher Höhe geltend machen. Ob das gegenüber der Pauschale vorteilhafter ist, hängt von Ihrer konkreten Situation ab. Sprechen Sie das mit uns durch — eine individuelle Prüfung lohnt sich hier regelmäßig.
Die Windows App als Nachfolger: Was Sie wissen sollten
Microsoft hat die Windows App als zentrale Plattform für alle Fernzugriffs-Szenarien positioniert. Sie vereint fünf Verbindungstypen unter einer einzigen Oberfläche, für die bisher separate Clients notwendig waren: Windows 365 Cloud-PCs, Azure Virtual Desktop, Microsoft Dev Box, Remote Desktop Services auf Windows-Servern sowie direkte PC-zu-PC-Verbindungen.
Technisch bringt die Windows App spürbare Verbesserungen: Unterstützung für RDP Multipath (das für stabilere Verbindungen auch bei wechselnden Netzwerkbedingungen sorgt), eingebauter Schutz vor Keylogging-Angriffen, verbesserte Unterstützung für mehrere Bildschirme und eine übersichtlichere Kontenverwaltung für Umgebungen mit mehreren Arbeits- oder Schulkonten. Die Oberfläche bleibt dabei auf allen Plattformen einheitlich — Windows, macOS, iOS und Browser.
Wichtig für Ihre Planung: Das klassische mstsc.exe bleibt für direkte Netzwerkverbindungen innerhalb Ihres eigenen Firmennetzwerks weiterhin vollständig nutzbar. Die Änderungen betreffen in erster Linie den Zugang zu Microsoft-Cloud-Diensten über den alten MSI-Client.
Wichtiger Hinweis: Unternehmen, die ausschließlich im eigenen Netzwerk per RDP arbeiten und keine Microsoft-Cloud-Dienste nutzen, haben keinen unmittelbaren Handlungszwang. Wer hingegen Azure Virtual Desktop, Windows 365 oder vergleichbare Dienste einsetzt, muss zeitnah auf die Windows App wechseln.
Häufig gestellte Fragen
Was genau hat Microsoft bei Remote Desktop im Jahr 2026 abgeschaltet?
Am 27. März 2026 hat Microsoft den Support für den separat installierbaren Remote Desktop Client (MSI-Version) für öffentliche Cloud-Umgebungen beendet. Dieser Client erhält keine Sicherheitsupdates mehr und steht nicht länger zum Download bereit. Das direkt in Windows integrierte Programm mstsc.exe (Remote Desktop Connection) bleibt dagegen weiterhin unterstützt und kann für lokale Netzwerkverbindungen uneingeschränkt genutzt werden.
Welche häufigen Fehler machen Unternehmen beim Einsatz von Microsoft Remote Desktop?
Der klassische Fehler ist, RDP ohne eine vorgelagerte Schutzschicht — etwa ein VPN oder ein Remote Desktop Gateway — direkt aus dem Internet zugänglich zu machen. Dazu kommen schwache Passwörter und das Fehlen einer Multi-Faktor-Authentifizierung. In unserer Beratungspraxis sehen wir außerdem regelmäßig, dass Remote-Verbindungen weder in der DSGVO-Verfahrensdokumentation noch im Verzeichnis der Verarbeitungstätigkeiten erfasst sind — was bei Datenschutzprüfungen zu erheblichen Problemen führen kann.
Sind die Kosten für Microsoft Remote Desktop und verwandte IT-Infrastruktur steuerlich absetzbar?
Ja. Laufende Lizenzkosten für Remote-Desktop-Dienste wie Windows 365 oder Azure Virtual Desktop können als Betriebsausgaben vollständig abgezogen werden. Für Software-Einzelanschaffungen gilt seit dem Wirtschaftsjahr 2021, dass eine Nutzungsdauer von einem Jahr angesetzt werden darf — die Kosten sind damit bereits im Anschaffungsjahr vollständig als Betriebsausgabe abziehbar. Gleiches gilt für Hardware, die für den Fernzugriff angeschafft wird, sofern die betriebliche Nutzung nachgewiesen ist.
Was müssen Unternehmer bei Remote Desktop und der DSGVO beachten?
Fernzugriff stellt eine Datenverarbeitung dar, sobald auf dem zugegriffenen System personenbezogene Daten vorhanden oder einsehbar sind — das trifft auf nahezu jede Unternehmensumgebung zu. Die wesentlichen Pflichten: Aufnahme in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), Abschluss eines Auftragsverarbeitungsvertrags mit externen IT-Dienstleistern sowie der ausschließliche Einsatz aktuell gepatchter Software. Wer nach dem End-of-Support-Datum weiterhin unsichere Clients betreibt, entspricht nicht mehr dem Stand der Technik, den Art. 32 DSGVO als Maßstab anlegt.
Welche Fristen gelten für die Migration zur Windows App?
Der Support für den MSI-basierten Remote Desktop Client endete am 27. März 2026 für öffentliche Cloud-Umgebungen. Für Azure Government und Azure 21Vianet-Umgebungen läuft die Frist verlängert bis zum 28. September 2026. Wer Cloud-Dienste wie Windows 365 oder Azure Virtual Desktop nutzt, sollte die Migration zur Windows App so bald wie möglich abschließen, um weder Verbindungsunterbrechungen noch Sicherheitsrisiken durch fehlende Updates zu riskieren.
Gibt es Auswirkungen auf die GoBD-Konformität beim Einsatz von Remote Desktop?
Wer Buchführungssoftware über einen Remote-Desktop-Zugang betreibt, muss die eingesetzte Fernzugriffslösung in der Verfahrensdokumentation nach den GoBD vollständig beschreiben. Ziel ist, dass ein sachverständiger Dritter — zum Beispiel ein Betriebsprüfer — die Systeme und Prozesse lückenlos nachvollziehen kann. Eine fehlende oder veraltete Dokumentation kann bei Betriebsprüfungen zu formellen Beanstandungen der Buchführung führen. Eine Einzelfallprüfung gemeinsam mit Ihrem Steuerberater ist hier ausdrücklich empfehlenswert.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche Beratung im Einzelfall dar. Steuerliche Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Steuerberater. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.
TABAK Steuerberatung
Augustaanlage 33, 68165 Mannheim
Inhaberin und Steuerberaterin: Fatma Tabak-Özkul
