Illustration Absmeier foto magnific

Von Christian Uhl, CEO enthus GmbH

Wer die Debatte um digitale Souveränität verfolgt, begegnet zwei hartnäckigen Missverständnissen. Das erste: Souveränität sei ein politisches Infrastrukturprogramm – europäische Alternativen zu amerikanischen Hyperscalern aufbauen, technologische Unabhängigkeit als Staatsziel. Das zweite: Souveränität bedeute, alles selbst zu betreiben und damit auf Skalierbarkeit, Innovationstempo und Wirtschaftlichkeit zu verzichten. Beides ist falsch.

Souveränität ist keine Frage der Infrastruktur-Nationalität. Sie ist eine Frage der Jurisdiktion.

Ein deutsches Mittelstandsunternehmen, das seine Kundendaten in einem Rechenzentrum in Frankfurt speichert, das einer US-amerikanischen Muttergesellschaft gehört, unterliegt potenziell US-amerikanischem Recht. Der CLOUD Act von 2018 erlaubt amerikanischen Strafverfolgungsbehörden unter bestimmten Voraussetzungen, von US-Unternehmen weltweit Datenzugang zu verlangen – unabhängig davon, wo der Server physisch steht. Die Adresse auf dem Datenblatt löst dieses Problem nicht.

Das ist kein akademisches Problem. Es ist ein Vertragsrisiko. Und eines, das sich mit den richtigen Fragen vollständig beherrschen lässt.

Erste Frage: Welche Rechtsordnung gilt – tatsächlich?

Nicht formal, sondern de facto: Unter welchem Gesellschaftsrecht operiert mein Anbieter? Welche Muttergesellschaft steht dahinter, und welche Auskunftspflichten hat sie gegenüber staatlichen Stellen? Welches Gericht entscheidet im Streitfall? Ein Auftragsverarbeitungsvertrag, der diese Fragen umgeht, ist kein Datenschutzvertrag. Er ist eine Kulisse.

Zweite Frage: Kann ich raus?

Portabilität ist das unterschätzte Souveränitätskriterium. Daten müssen in gängigen, offen dokumentierten Formaten exportierbar sein. Schnittstellen müssen nach offenen Standards arbeiten. Migrationskosten dürfen kein faktisches Kündigungshindernis sein. Wer heute einen Cloud-Vertrag unterzeichnet, der diese Fragen nicht beantwortet, hat kein Werkzeug gewählt. Er hat eine Abhängigkeit vereinbart – möglicherweise dauerhaft.

Dritte Frage: Steht das im Vertrag?

Technische Antworten auf die ersten beiden Fragen helfen wenig, wenn sie nicht vertraglich fixiert sind. Versprechen sind keine Verträge. Architekturbeschreibungen sind keine Garantien. Souveränität, die nur auf dem Vertrauen in die aktuelle Geschäftsstrategie eines Anbieters beruht, ist keine Souveränität. Sie ist eine Wette.

Der BSI-Kriterienkatalog C3A, veröffentlicht am 27. April 2026, ist der erste operative Rahmen, der diese Anforderungen prüfbar macht. Nicht als politisches Manifest, sondern als konkretes Prüfraster: Residenz, Portabilität, Interoperabilität, Transparenz über Sub-Dienstleister, Zugriffskontrolle.

Kurz: alles, was die drei Fragen oben beantworten muss.

Was diesen Katalog bedeutsam macht, ist nicht seine Existenz allein – sondern was er beendet. Er beendet den Zustand, in dem Anbieter Souveränität als Eigenschaft behaupten konnten, ohne dass jemand diesen Anspruch überprüfen konnte. Ab jetzt gibt es einen Maßstab. Wer ihn nicht erfüllt, muss das erklären. Wir sehen in unseren Projekten, wie Cloud-Entscheidungen getroffen werden: unter Zeitdruck, mit Fokus auf Funktionalität und Preis – und mit dem impliziten Gefühl, dass Jurisdiktion ein Fußnotenthema ist.

Die Rechnung kommt manchmal schnell: wenn ein Anbieter übernommen wird und sich die Gesellschaftsstruktur verschiebt, wenn neue Regulierung Fragen aufwirft, die der Vertrag schlicht nicht adressiert, wenn ein Wechsel am Ende nicht an der Technologie scheitert, sondern an den Klauseln.

Das ist kein Pech. Es ist das Ergebnis einer Entscheidung, die bewusst getroffen wurde – auch wenn sie sich damals nicht so anfühlte.

Von jedem Lieferantenvertrag verlangen wir, dass er Leistung, Pflichten und Ausstiegsrechte klar regelt. Cloud-Infrastruktur ist keine Ausnahme – sie ist die Lieferbeziehung, von der alle anderen abhängen.

Der C3A-Katalog schafft die Grundlage, diese Anforderungen endlich messbar zu stellen. Die Frage, die bleibt, ist keine technische. Sie ist eine Führungsfrage: Wer in meinem Unternehmen verantwortet, dass unsere Cloud-Verträge diese Maßstäbe erfüllen?

Wenn die Antwort lautet »Das klären wir noch« – dann ist das die eigentliche Schwachstelle.

Christian Uhl ist CEO der enthus GmbH. Das Unternehmen begleitet mittelständische Unternehmen, Gesundheitseinrichtungen und öffentliche Organisationen bei der Gestaltung souveräner, belastbarer IT-Architekturen.

Hier ist eine praxisnahe Checkliste für Vertragsprüfungen, abgeleitet ausschließlich aus den im Text beschriebenen Anforderungen des BSI‑Kriterienkatalogs C3A und den drei zentralen Leitfragen. Die Punkte sind so formuliert, dass sie direkt in einer Vertragsprüfung oder Ausschreibung verwendet werden können.

Checkliste: Vertragsprüfung nach BSI‑Kriterienkatalog C3A

Jurisdiktion & rechtlicher Zugriff

☐ Ist klar und explizit geregelt, unter welchem Gesellschafts‑ und Rechtsraum der Anbieter tatsächlich operiert (nicht nur der Standort des Rechenzentrums)?
☐ Ist die Muttergesellschaft benannt und sind deren gesetzliche Auskunftspflichten gegenüber staatlichen Stellen bekannt und berücksichtigt?
☐ Ist vertraglich festgelegt, welches Gericht im Streitfall zuständig ist?
☐ Wird im Vertrag nicht nur formal, sondern de facto geklärt, welcher Rechtsordnung die Daten unterliegen?

Datenresidenz (C3A: Residenz)

☐ Ist die Datenresidenz eindeutig beschrieben und prüfbar dokumentiert?
☐ Wird nicht allein auf den physischen Standort der Server verwiesen, sondern auch auf die rechtliche Zugriffssituation?

Portabilität & Exit-Fähigkeit (C3A: Portabilität)

☐ Sind Datenexporte jederzeit möglich, ohne zusätzliche Hürden oder Sondergenehmigungen?
☐ Erfolgt der Export in gängigen, offen dokumentierten Formaten?
☐ Sind Schnittstellen offen dokumentiert und nach anerkannten Standards spezifiziert?
☐ Sind Migrations‑ und Wechselkosten so geregelt, dass sie kein faktisches Kündigungshindernis darstellen?

Interoperabilität (C3A: Interoperabilität)

☐ Ist der Einsatz offener Standards vertraglich festgeschrieben?
☐ Wird vermieden, dass technische Abhängigkeiten entstehen, die einen Anbieterwechsel faktisch verhindern?

Transparenz über Sub‑Dienstleister

☐ Sind alle Sub‑Dienstleister offengelegt (nicht nur auf Nachfrage)?
☐ Ist geregelt, dass Änderungen bei Sub‑Dienstleistern melde‑ bzw. genehmigungspflichtig sind? (Implizit aus Transparenzanforderung)

Zugriffskontrolle

☐ Ist vertraglich geregelt, wer unter welchen Bedingungen Zugriff auf Daten hat?
☐ Sind staatliche Zugriffsanfragen und deren Behandlung eindeutig adressiert (kein Vertrauen auf Unternehmenspolitik)?

Vertragliche Verbindlichkeit (»Steht das im Vertrag?«)

☐ Sind alle Aussagen zur Souveränität vertraglich fixiert – nicht nur in Präsentationen oder Architekturbeschreibungen?
☐ Enthält der Vertrag garantierte Zusagen statt unverbindlicher Versprechen?
☐ Beruht die zugesagte Souveränität nicht auf Vertrauen in die aktuelle Geschäftsstrategie, sondern auf einklagbaren Klauseln?

Prüfbarkeit & Maßstab (C3A als Referenz)

☐ Wird der BSI‑Kriterienkatalog C3A explizit als Prüfraster anerkannt oder referenziert?
☐ Ist bekannt, dass der Anbieter Abweichungen begründen muss, wenn Kriterien nicht erfüllt werden?

Governance & Verantwortung

☐ Ist intern klar benannt, wer die Verantwortung trägt, dass Cloud‑Verträge diese Kriterien erfüllen (Führungs‑ und Governance‑Frage)?

Albert Absmeier & KI

1244 Artikel zu „Digitale Souveränität „

Ausgabe 3-4-2026 | News | Business Process Management | Cloud Computing | Digitalisierung | Künstliche Intelligenz

KI, Cloud und digitale Souveränität – Fünf zentrale Trends im DMS

5. Mai 2026

Künstliche Intelligenz prägt auch 2026 das Dokumentenmanagement und treibt spürbare Effizienzgewinne voran. Gleichzeitig wächst der Anspruch, Daten stärker zu kontrollieren und digitale Souveränität zu sichern. Daraus ergeben sich die zentralen DMS-Trends des Jahres.

Jetzt 25 % Ticketrabatt für »manage it« Leser

1244 Artikel zu „Digitale Souveränität „