Digitale Souveränität beginnt im Vertrag: Wie das Recht Unternehmen hilft, Herr ihrer Daten zu bleiben

Die neue Abhängigkeit

Digitalisierung und die Verlagerung der Arbeitsmittel in die Cloud bringen Effizienz, mehr Leistungsfähigkeit, können Kosten sparen und die Abläufe perfektionieren. Sie bringen aber auch Abhängigkeiten – von der Software, vom Cloud-Anbieter, von den digitalen Strukturen, die längst das Rückgrat unserer Unternehmen bilden, von (außen-) politischen Entwicklungen.

Wenn wir als Anwälte Unternehmen nach Cyberincidents begleiten, wird eines sofort und auf einen Schlag klar: Oft geht nichts mehr. Auch die Produktion steht still, wenn die digitale Welt nicht mehr funktioniert. Die Auswirkungen gehen weit über die reine Verwaltung, E-Mail und Personalwesen hinaus – selbst in der klassischen Industrie. Ebenso ernüchternd ist es, wenn ein wichtiger Software- oder Cloud-Anbieter insolvent geht, Quellcode nicht mehr verfügbar ist oder beim Cloud-Wechsel Daten verloren gehen oder nicht mehr im benötigten Format zur Verfügung stehen und mit enormen Ressourcen migriert werden müssen.

All das zeigt deutlich, wie abhängig Unternehmen im Zuge der Digitalisierung von denen werden, die die IT-Systeme bereitstellen, betreiben und kontrollieren – aber auch von den politischen Entwicklungen, ausländischen Staaten und gesellschaftlichen Abhängigkeiten. Wir wollen in der EU unabhängiger werden, digitale Souveränität erlangen. Ein großes Unterfangen, das kaum einem Unternehmen alleine gelingen kann.

Aber auch im einzelnen Unternehmen ist die Souveränität, die Unabhängigkeit auch in Zeiten der digitalen Transformation nach wie vor ein wesentliches Thema, das immer wieder in den Fokus rücken sollte – und bei dem das Recht an einigen Stellschrauben sehr gut helfen kann.

I. Der IT-Vertrag: Transparenz als Fundament

Seien Sie sich bewusst, was Sie beziehen. Der IT-Vertrag ist das zentrale Instrument der digitalen Souveränität. Die wichtigsten Fragen, die Anbieterauswahl und Vertragsgestaltung beantworten sollten:

  • Stabilität des Dienstleisters: Wie solide ist der Anbieter aufgestellt? Welche Risiken bestehen bei einer Insolvenz oder dem Einstellen des Geschäftsbetriebs? Wer steht hinter dem Vertragspartner, als Investor, als Muttergesellschaft?
  • Leistungsinhalt: Welche Leistung genau wird bereitgestellt? Welche Abhängigkeiten bestehen, etwa von Hyperscalern, Datenbanklizenzen oder oder oder?
  • Rechte des Kunden: Welche Nutzungs-, Zugangs- und Migrationsrechte werden eingeräumt? Werden Datensicherungen erstellt? Können eigenständig Backups gezogen werden?
  • Migrationsfähigkeit: Wie läuft der Wechsel zu einem anderen Anbieter oder zurück in die eigene Infrastruktur ab? Was passiert im Streitfall, nach Kündigung?
  • IT-Sicherheit: Welches Sicherheitsniveau wird vertraglich gewährleistet, welche technischen und organisatorischen Maßnahmen sind vereinbart? Gibt es Besonderheiten für personenbezogene Daten (Datenschutz) und / oder Geschäftsgeheimnisse?
  • Subunternehmerketten: Welche Unterauftragnehmer sind eingebunden, und welche Abhängigkeiten entstehen daraus? Wie ist die Vertragskette gestaltet?

Transparenz ist hier der Schlüssel. Nur wer versteht, worauf er sich einlässt, kann Risiken bewerten und selbstbestimmt entscheiden. Und das sollte auch dann bedacht werden, wenn Verträge vermeintlich „ohnehin nicht verhandelbar“ sind, wie das oftmals bei kleineren Unternehmen im Verhältnis zu den großen Akteuren der Fall ist, wenn Standardprodukte eingekauft werden. Denn selbst dann gibt es häufig die Option, über Zusatzmodule auch ein Mehr an Sicherheit und Kontrollierbarkeit einzukaufen, seien es „EU-Boundaries“ oder Lock-Boxen. Wegschauen ist keine Option.

II. Die Rechte: Verfügbarkeit, Quellcode, Datenkontrolle

Im Ernstfall kommt es auf die vertraglichen Rechte an, und zwar gerade im Krisenfall:

  • Insolvenz des Anbieters: Was passiert mit den Daten und Systemen? Ist vertraglich sichergestellt, dass der Zugang zu personenbezogenen und nicht personenbezogenen Daten erhalten bleibt und deren Wiederherstellung und Rückgabe in einem leicht zugänglichen Format möglich ist?
  • Quellcode: Wer hat den Quellcode in der Hand – oder kann ihn im Fall der Fälle in die Hand bekommen? Escrow-Vereinbarungen können hier entscheidend sein.
  • Datennutzung durch den Dienstleister: Was darf der Anbieter mit den Informationen machen, die ich einstelle? Werden vielleicht sogar Telemetriedaten meiner Mitarbeiterinnen und Mitarbeiter weitergenutzt?
  • Service Levels: Wie sind Verfügbarkeiten, Reaktions- und Behebungszeiten geregelt? Sind quantitative und qualitative Leistungsziele definiert, die eine wirksame Überwachung ermöglichen?
  • Berichts- und Informationspflichten: Wie schnell und wie sicher erfahren Sie von Incidents, Unregelmäßigkeiten, Sicherheitslücken? Was wird an wen berichtet?

Jede dieser Fragen verdient eine klare vertragliche Antwort. Im Einzelfall stellen sich noch eine Reihe weiterer Fragen, die klar strukturiert werden sollten, um sicher aufgestellt zu sein.

III. IT-Sicherheit, Datenschutz und Geheimnisschutz

Eine weitere Dimension der digitalen Souveränität:

  • Wie sicher ist die Lösung? Wie hoch ist das Risiko für einen unbefugten Zugriff?
  • Wohin fließen Daten? Werden Daten in Drittstaaten verarbeitet, und welche Maßnahmen bestehen gegen staatliche Zugriffe?
  • Wie sichere ich Unternehmens-Know-How? Geschäftsgeheimnisse, Strategien, Kundendaten – all das liegt heute in der Cloud und muss geschützt werden.

All diese Fragen müssen Sie nicht nur beantworten, um zu wissen, mit welcher Wahrscheinlichkeit Sie auch noch in den kommenden Wochen und Monaten erfolgreich wirtschaften können. Sie müssen dies auch wissen, um Ihre gesetzlichen Pflichten aus dem Datenschutz, Geschäftsgeheimnisschutz und IT-Sicherheitsrecht erfüllen zu können.

IV. Souveränität durch bewusste Entscheidung

All das kann und sollte vertraglich geregelt werden. Wenn bei großen Anbietern womöglich in einzelnen Fällen scheinbar wenig Einfluss auf die Vertragsgestaltung besteht, muss man dennoch wissen, worauf man sich einlässt – um dann etwa, ganz souverän und selbstbestimmt, entscheiden zu können:

  • Daten und Informationen auf anderen Systemen zu sichern,
  • gesonderte Backups zu erstellen,
  • sich anderweitig arbeitsfähig zu halten, wenn es zum Streitfall oder Ausfall kommt.

Wissen ist hier die Grundlage für Handlungsfähigkeit.

V. Die EU-Digitalregulierung: Neue Rechte und Pflichten

Die europäische Gesetzgebung adressiert inzwischen viele dieser Punkte mit spezifischen Rechten und Pflichten. Ein Überblick über die wichtigsten Bausteine:

1. Der Data Act: Cloud-Switching als Recht

Der Data Act (Verordnung (EU) 2023/2854) enthält in Kapitel VI (Art. 23–31) umfassende Vorgaben zum Wechsel zwischen Datenverarbeitungsdiensten. Ziel ist es, Lock-in-Effekte zu verhindern und den Wettbewerb im Cloud-Markt zu stärken. Die Verträge müssen entsprechende Regelungen enthalten, die Kunden dann nutzen können.

Für Kunden bedeutet das konkret:

  • Das Recht auf jederzeitigen Anbieterwechsel zu einem Dienst gleicher Dienstart oder zur Übertragung aller exportierbaren Daten in die eigene Infrastruktur.
  • Eine verbindliche Übergangsfrist von i.d.R. höchstens 90 Kalendertagen, in der der Anbieter den Wechsel begleiten und die Betriebskontinuität sicherstellen muss.
  • Eine Mindestfrist für den Datenabruf von 30 Kalendertagen nach Ende des Übergangszeitraums sowie ein Löschungsrecht nach Ablauf.
  • Die schrittweise Abschaffung von Wechselentgelten: Ab dem dritten Jahr nach Inkrafttreten sind diese verboten; vorher dürfen nur die tatsächlichen Wechselkosten berechnet werden (Art. 25 Data Act).

Für Anbieter gelten umfangreiche Pflichten:

  • Beseitigung aller gewerblichen, technischen, vertraglichen und organisatorischen Wechselhindernisse.
  • Bereitstellung offener Schnittstellen und maschinenlesbarer Formate für die Datenübertragbarkeit.
  • Umfassende vorvertragliche Informationspflichten über Wechselverfahren, Gebühren, Datenformate und Maßnahmen gegen Drittstaatenzugriffe.

Diese Vorgaben gelten seit dem 12. September 2025 unionsweit für alle neu abgeschlossenen Verträge.

2. NIS-2-Richtlinie und BSIG: Sicherheit in der Lieferkette

Die NIS-2-Richtlinie und ihre nationale Umsetzung im BSIG verlangen in Sachen IT-Sicherheit von besonders wichtigen und wichtigen Einrichtungen die Umsetzung geeigneter, verhältnismäßiger und wirksamer technischer und organisatorischer Maßnahmen. Das Risikomanagement muss dabei explizit die gesamte Lieferkette umfassen (§ 30 Abs. 2 BSIG).

Für die Vertragsgestaltung hat das erhebliche Auswirkungen:

  • Cybersicherheitsanforderungen müssen als funktionale Anforderungen in die Leistungsbeschreibung integriert werden.
  • Dienstleister müssen vertraglich verpflichtet werden, Sicherheitslücken proaktiv zu identifizieren und offenzulegen.
  • Prüf- und Auditrechte des Auftraggebers, Meldepflichten bei Sicherheitsvorfällen und Incident-Response-Prozesse sind vertraglich zu regeln.
  • Es kann angezeigt sein, Cybersicherheitszertifizierungen zu verlangen, jedenfalls sollte das erforderliche Level an Cybersicherheit vertraglich festgelegt werden.

3. DORA: Der Goldstandard für die Finanzwelt

Die DORA-Verordnung (Verordnung (EU) 2022/2554) gestaltet die Anforderungen an IKT-Drittdienstleister noch detaillierter aus. Für Finanzunternehmen gelten zwingende Mindestinhalte in vertraglichen Vereinbarungen mit IT-Dienstleistern (Art. 30 DORA):

  • Klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, einschließlich der Bedingungen für Unterauftragsvergabe.
  • Angaben zu Standorten der Datenverarbeitung und Meldepflicht bei geplanten Standortänderungen.
  • Regelungen zur Datenverfügbarkeit bei Insolvenz oder Vertragsbeendigung, einschließlich Wiederherstellung und Rückgabe in leicht zugänglichem Format.
  • Uneingeschränkte Zugangs-, Inspektions- und Auditrechte für das Finanzunternehmen und die Aufsichtsbehörden bei kritischen oder wichtigen Funktionen.
  • Verbindliche Ausstiegsstrategien mit Übergangszeiträumen, die den Wechsel zu einem anderen Dienstleister oder die Rückkehr zu internen Lösungen ermöglichen.
  • Eine Ex-ante-Risikobewertung vor jedem Vertragsschluss, die operationelle, rechtliche, IKT-, Reputations- und Konzentrationsrisiken umfasst.

Zudem muss die gesamte Unterauftragnehmerkette vertraglich abgesichert werden: Der IKT-Drittdienstleister bleibt verantwortlich und muss die Kontinuität der Dienstleistungen sicherstellen, während dem Finanzunternehmen gleichwertige Auditrechte gegenüber Unterauftragnehmern zustehen.

4. Cyber Resilience Act: Sicherheit digitaler Produkte

Bereits in Kraft seit dem 10. Dezember 2024, aber mit gestaffelter Geltung: Der Cyber Resilience Act (Verordnung (EU) 2024/2847) bringt erstmals verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen – von Smart-Home-Geräten über industrielle Steuerungssysteme bis hin zu Softwareprodukten.

Die wichtigsten Eckdaten:

  • Ab dem 11. September 2026 gelten Berichtspflichten, insbesondere die Meldung aktiv ausgenutzter Schwachstellen und schwerwiegender Sicherheitsvorfälle.
  • Ab dem 11. Dezember 2027 müssen alle Anforderungen vollständig erfüllt sein, um Produkte auf dem EU-Markt in Verkehr zu bringen.
  • Hersteller werden verpflichtet, Cybersicherheit über den gesamten Produktlebenszyklus zu gewährleisten – von der Konzeption (“Security by Design”) bis zur Bereitstellung von Sicherheitsupdates über den gesamten Supportzeitraum.
  • Die CE-Kennzeichnung wird zum Nachweis der CRA-Konformität.

Der CRA betrifft alle Akteure entlang der Lieferkette – Hersteller, Importeure und Händler – und ist damit auch für die Beschaffung und den Betrieb digitaler Produkte in Unternehmen höchst relevant. Wenn Ihr Unternehmen Software und andere digitale Produkte bezieht, können Sie sich bald auf mehr Sicherheit durch den CRA verlassen, sollten das aber auch vertraglich einfordern. Sicherheitsmängel werden dann zum Sachmangel!

5. DSGVO: Der bekannte, aber unvermindert wichtige Rahmen

Daneben beeinflusst die DSGVO die Vertragsgestaltung weiterhin ganz entscheidend. Die Pflichten zur sorgfältigen Auswahl und laufenden Überwachung von Auftragsverarbeitern nach Art. 28 DSGVO, die vertragliche Absicherung technischer und organisatorischer Maßnahmen sowie die Lösch- und Rückgabepflichten nach Vertragsende sind etablierte, aber keineswegs zu unterschätzende Anforderungen.

Fazit: Souveränität ist eine bewusste Entscheidung

Digitale Souveränität ist kein Zufall und kein Selbstläufer. Sie erfordert Bewusstsein, Strategie und vor allem: die richtigen vertraglichen Weichenstellungen. Die EU-Digitalregulierung liefert dafür inzwischen einen zunehmend dichten Rahmen an Rechten und Pflichten. Aber auch jenseits regulatorischer Vorgaben gilt: Wer seine IT-Verträge mit Weitblick gestaltet, wer seine Rechte kennt und seine Abhängigkeiten versteht, bleibt handlungsfähig – auch wenn es einmal ernst wird.

Das Recht kann Souveränität nicht garantieren. Aber es kann sie erheblich fördern – wenn man es richtig einsetzt. Sprechen Sie uns an! Wir beraten Sie bei der Vertragsgestaltung, bewerten die rechtlichen Risiken passgenau und verhandeln Ihre Position.

Dr. Kristina Schreiber, Loschelder Rechtsanwälte – kristina.schreiber@loschelder.de