Verträge, Jurisdiktionen, Subunternehmer, Aufkäufe. Vier Begriffe, die in keiner Souveränitätsdebatte eine Rolle spielen -- und die trotzdem darüber entscheiden, ob deine Organisation morgen noch handlungsfähig ist. Warum reden alle über souveräne Cloud-Infrastruktur, aber niemand über die Verträge, die sie absichern sollen?

Das Vertragsproblem, über das keiner spricht

Die Debatte über digitale Souveränität dreht sich um Rechenzentren, Open-Source-Alternativen und europäische Cloud-Anbieter. Das ist nicht falsch. Aber es greift zu kurz.

Die technische Infrastruktur ist nur so souverän wie der Vertrag, der sie regelt. In regulierten Umgebungen erlebe ich das seit Jahren: Organisationen investieren erhebliche Mittel in souveräne Infrastruktur -- und unterschreiben gleichzeitig Verträge, die keinen einzigen Mechanismus enthalten, um Datenresidenz zu überprüfen, Subunternehmer-Wechsel zu kontrollieren oder im Krisenfall den Anbieter zu wechseln. Der Vertrag sagt "Daten in Deutschland". Ob das stimmt, weiß niemand. Weil niemand nachsieht.

Das Problem hat eine neue Dimension bekommen. Im KI-Bereich werden innovative Startups in atemberaubendem Tempo von amerikanischen oder chinesischen Konzernen aufgekauft. Dein Vertragspartner von gestern gehört morgen einem Unternehmen, das unter einer völlig anderen Rechtsordnung operiert. Und dein Vertrag? Hat keine Klausel für diesen Fall. Deine Daten sind trotzdem dort.

Klingt nach Zukunft. Ist Gegenwart. Und die Frage ist nicht, ob es passiert. Die Frage ist, ob dein Vertrag darauf vorbereitet ist.

Es ist nicht ausreichend die technische Seite der Souveränität für die Entscheidende zu halten. Rechenzentrum in Deutschland, europäischer Anbieter, offene Standards. Alles richtig. Alles notwendig. Aber nicht hinreichend. Denn die eigentliche Verwundbarkeit sitzt nicht nur in der Infrastruktur. Sie sitzt auch im Kleingedruckten.

Fünf Stufen vertraglicher Souveränität

Die meisten Organisationen glauben, ihre Verträge schützen sie. Ein ehrliches Reifegrad-Modell zeigt, wo du tatsächlich stehst -- und wie weit der Weg ist.

Stufe 1 - Implizit. Souveränität wird vorausgesetzt, aber nirgends vertraglich fixiert. Dein Anbieter speichert die Daten "irgendwo in der EU". Du vertraust darauf. Bis du es nicht mehr kannst. Eine Vielzahl der Verträge bewegen sich auf diesem Niveau. Nicht aus böser Absicht. Aus Gewohnheit.

Stufe 2 - Reaktiv. Es gibt Standard-Klauseln aus der allgemeinen Anbieter-Vorlage. Datenresidenz steht drin, irgendwo auf Seite 47 der AGB. Monitoring existiert nicht. Compliance wird angenommen, bis ein Vorfall das Gegenteil beweist. Das ist die Komfortzone - und sie ist gefährlich, weil sie Kontrolle suggeriert, die nicht existiert. Der Unterschied zu Stufe 1 ist kosmetisch.

Stufe 3 - Definiert. Hier beginnt echte Souveränität. Maßgeschneiderte Klauseln sind Teil des Vertrags: Datenresidenz mit konkreten Standorten, Subunternehmer-Transparenz mit Genehmigungspflicht, Exit-Mechanismen mit definierten Fristen und Datenmitnahmegarantie. Überprüfung erfolgt durch periodische Audits - manuell, aber systematisch. Der entscheidende Unterschied zu den vorherigen Stufen: Jemand prüft, ob der Vertrag eingehalten wird. Nicht einmal im Jahr. Regelmäßig.

Stufe 4 - Gesteuert. Souveränitätskontrollen werden aktiv und kontinuierlich durchgesetzt. Dashboards zeigen den Compliance-Status. Drittanbieter-Risikobewertungen sind integriert. Geopolitische Risikobewertung ist ein fester Tagesordnungspunkt im Lieferanten-Review - nicht als Pflichtübung, sondern als Frühwarnsystem. Organisationen auf dieser Stufe erkennen einen Subunternehmer-Wechsel, bevor er wirksam wird.

Stufe 5 - Dynamisch. Automatisiertes Monitoring aller vertraglichen Souveränitätsverpflichtungen. Änderungen in Rechtsräumen oder Unternehmensstrukturen werden erkannt und lösen definierte Eskalationsprozesse aus. Die Organisation reagiert nicht auf Vorfälle. Sie erkennt Verschiebungen, bevor sie zu Vorfällen werden. Das europäische SEAL-Framework für Cloud-Souveränität weist in diese Richtung. Der Gedanke dahinter ist richtig: Souveränität ist kein Zustand, sondern eine kontinuierliche Fähigkeit. Nur müsste dieser Ansatz auf alle IT-Verträge ausgedehnt werden, nicht nur auf Cloud-Dienste.

Der Sprung von Stufe 2 auf Stufe 3 ist der kritischste. Er erfordert keine neue Technologie. Er erfordert eine Entscheidung: Wollen wir unsere Souveränität vertraglich durchsetzen - oder nur dokumentieren? Die meisten Organisationen scheuen diesen Schritt, weil er Verhandlungsmacht voraussetzt und Konflikte mit Anbietern bedeutet. Aber genau das ist der Punkt. Digitale Souveränität heißt: Deine Ermittlungswerkzeuge funktionieren auch dann noch, wenn ein Anbieter seine Lizenzpolitik ändert. Deine Daten bleiben in deiner Hoheit, auch wenn ein Konzern den Eigentümer wechselt. Kein Drittanbieter kann dich per Vertragsklausel handlungsunfähig machen. Das muss im Vertrag stehen. Nicht im Strategiepapier.

Die ehrliche Diagnose: Die meisten Organisationen, die ich kenne, operieren auf Stufe 1 oder 2. Sie haben Verträge mit Souveränitätsbezug, aber keine Verträge mit Souveränitätswirkung. Es entsteht kein Schutz. Es entsteht Dokumentation. Der Unterschied entscheidet darüber, was passiert, wenn ein Subunternehmer wechselt, ein Startup aufgekauft wird oder eine Regierung ihre Rechtsprechung ausweitet.

Wer steuert, wenn der Vertrag schweigt?

Ein guter Vertrag allein reicht nicht. Ohne aktive Governance ist er eine Absichtserklärung, kein Schutzschild.

Vertragliche Souveränität braucht klare Verantwortlichkeiten - quer durch die Organisation. Vier Aufgaben, die jemand konkret verantworten muss: die laufende Definition und Aktualisierung der Souveränitätsanforderungen, das kontinuierliche Monitoring der Vertragseinhaltung, die geopolitische Risikobewertung mit Auswirkungsanalyse auf bestehende Verträge, und die Incident Response bei Souveränitätsverletzungen. Letztere braucht konkrete Eskalationspfade für den Fall, dass ein Anbieter aufgekauft wird oder Daten plötzlich einer anderen Jurisdiktion unterliegen.

Viele Organisationen haben regelmäßig diese Aufgaben keinem konkreten Team zugeordnet. Die IT denkt, Recht kümmert sich. Recht denkt, die Beschaffung hat es im Vertrag geregelt. Die Beschaffung denkt, die IT überwacht. Niemand überwacht.

Das Ergebnis: Der erste Kontakt mit der Realität findet statt, wenn der Schaden bereits eingetreten ist. Ein Subunternehmer wurde gewechselt. Die Daten liegen in einer anderen Jurisdiktion. Und niemand hat eine Handlungsanweisung. Nicht weil der Vertrag schlecht ist. Sondern weil niemand zuständig war, ihn durchzusetzen.

Wer sich jetzt fragt, ob das in seiner Organisation anders läuft: Die Probe ist einfach. Frag in deiner nächsten Sitzung, wer für die Überwachung der Souveränitätsklauseln in euren IT-Verträgen zuständig ist. Wenn die Antwort länger als drei Sekunden dauert, hast du deine Antwort.

Warnsignale in deinen Verträgen

Bevor du den großen Umbau startest: Prüfe deine bestehenden Verträge auf diese roten Flaggen.

Kein Exit ohne Schmerz. Dein Vertrag enthält keine oder nur unklare Ausstiegsklauseln. Kein definierter Migrationspfad, keine Datenmitnahmegarantie, keine realistische Übergangsfrist. Du bist technisch souverän, aber vertraglich gefangen. Dein Anbieter weiß das. Und er verhandelt entsprechend.

Subunternehmer im Nebel. Du weißt nicht, welche Subunternehmer dein Anbieter einsetzt - oder du erfährst es erst, nachdem der Wechsel vollzogen ist. Keine Genehmigungspflicht, keine vorherige Benachrichtigung, keine Kontrolle darüber, in welcher Jurisdiktion deine Daten tatsächlich verarbeitet werden. Ein offshore Subunternehmer-Wechsel ohne dein Wissen ist keine theoretische Gefahr. Es passiert.

Eigentümerwechsel ohne Schutz. Dein Vertrag enthält keine Change-of-Control-Klausel. Wenn dein KI-Startup morgen von einem US- oder chinesischen Konzern übernommen wird, ändert sich vertraglich: nichts. Praktisch ändert sich alles - Rechtsraum, Datenzugriffsrechte, Geschäftspolitik, Kooperationsbereitschaft. Die Konsolidierungswelle im KI-Markt macht dieses Szenario nicht unwahrscheinlich. Sie macht es zur Frage des Zeitpunkts, nicht der Möglichkeit. Und der Zeitpunkt ist immer der falsche.

Compliance auf Vertrauensbasis. Dein Vertrag schreibt Datenresidenz vor, enthält aber keinen Mechanismus zur Überprüfung. Keine Audit-Rechte, keine Transparenzberichte, keine technische Verifikation. Du hoffst, dass der Anbieter sich daran hält. Das ist kein Risikomanagement. Das ist Glaube. In allen Organisationen - unabhängig ob hochreguliert oder normale Schutzbedarfe ist dieser Glaube nicht nur fahrlässig. Er ist ein Compliance-Risiko, das im Ernstfall Konsequenzen hat, die über den einzelnen Vertrag weit hinausgehen.

Vertragliche Handlungsfähigkeit aufbauen

Drei Maßnahmen, die keinen großen Umbau erfordern - aber sofort Wirkung entfalten.

Vertrags-Audit mit Souveränitätsfokus. Nimm deine kritischsten IT-Verträge und prüfe sie auf die vier Warnsignale. Nicht alle auf einmal. Beginne mit den Verträgen, in denen personenbezogene oder sicherheitsrelevante Daten fließen. Eine Woche reicht für die erste Bestandsaufnahme. Danach weißt du, wo du stehst. Das ist mehr, als die meisten Organisationen von sich behaupten können.

Modulare Vertragsbausteine. Entwickle standardisierte Souveränitätsmodule: Datenresidenz, Subunternehmer-Governance, Change-of-Control, Exit-Management. Keine neuen Rahmenverträge. Ergänzungsmodule, die in bestehende Verträge eingebaut werden können. Das spart Verhandlungszeit und macht die Anforderungen für Anbieter transparent und kalkulierbar. Ein wichtiger Baustein, der oft vergessen wird: die Pflicht zur vorherigen schriftlichen Genehmigung bei jedem Wechsel eines offshore Subunternehmers. Klingt bürokratisch. Ist aber der einzige Mechanismus, der verhindert, dass deine Daten über Nacht die Jurisdiktion wechseln.

Crossfunktionales Governance-Team. IT, Recht, Beschaffung und Informationssicherheit an einen Tisch. Nicht als Projektgruppe mit Ablaufdatum, sondern als dauerhaftes Gremium mit klarem Auftrag: Souveränitätsmonitoring, Eskalation, Vertragsanpassung. Die Besetzung muss verbindlich sein - mit namentlicher Zuordnung, nicht mit Rollenbeschreibungen, die jeder anders interpretiert. Ohne dieses Team bleibt jede Vertragsklausel Papier. Und Papier schützt keine Daten.

Eine Anmerkung zur Trennlinie, die in keinem Vertrag fehlen darf: Für die eigene Wissensarbeit, zum Prototyping und zur Bewertung nutze ich internationale KI-Modelle intensiv. Für regulierte Daten und den operativen Behördenbetrieb kommen sie nicht in Frage - und das muss vertraglich abgebildet sein. Diese Unterscheidung gehört in jede Leistungsbeschreibung. Explizit, nicht als implizite Annahme.

Du fragst dich, ob deine Verträge deine Organisation tatsächlich schützen? Prüfe es. Nicht irgendwann. Diese Woche. Die nächste Übernahme eines KI-Anbieters wartet nicht auf deinen Vertrags-Review-Zyklus. Dein Vertrag ist dein Souveränitätsniveau. Nicht dein Rechenzentrum.

Quick Check: Ist dein Vertrag auf Digitale Souveranität vorbereitet?

Checke Deine Verträge.
Exit-Fähigkeit. Enthält dein Vertrag einen definierten Migrationspfad mit Datenmitnahmegarantie und realistischer Übergangsfrist? Ohne Exit-Klausel bist du technisch souverän, aber vertraglich gefangen – und dein Anbieter weiß das.
Subunternehmer-Kontrolle. Hast du Genehmigungspflicht und Benachrichtigungsrecht bei jedem Subunternehmer-Wechsel vertraglich verankert? Jeder unkontrollierte Subunternehmer-Wechsel kann deine Daten über Nacht in eine andere Jurisdiktion verschieben.
Change-of-Control-Schutz. Gibt es eine Vertragsklausel, die dir Sonderkündigungsrechte oder Neuverhandlung einräumt, wenn dein Anbieter übernommen wird? Im KI-Markt werden Startups in Monaten aufgekauft. Ohne Change-of-Control-Klausel entscheidet der neue Eigentümer über deine Daten.
Compliance-Verifikation. Hast du vertragliche Audit-Rechte und technische Mechanismen, um Datenresidenz tatsächlich zu überprüfen? Compliance auf Vertrauensbasis ist kein Risikomanagement. Es ist Hoffnung mit Unterschrift.
Governance-Verantwortung. Ist ein crossfunktionales Team benannt, das Souveränitätsanforderungen definiert, überwacht und bei Verstößen eskaliert? Wenn IT, Recht und Beschaffung jeweils denken, die anderen kümmern sich, kümmert sich niemand.
Souveränitäts-Reifegrad. Kannst du dein aktuelles Souveränitätsniveau auf einer Skala von 1 bis 5 einordnen – und weißt du, wo du in 12 Monaten stehen willst? Ohne Standortbestimmung kein Zielbild. Ohne Zielbild keine Priorisierung der Vertragsmaßnahmen.

Sovereignty ends where your contract is silent by Andreas Lezgus

The contract clause nobody checks.

Read on Substack
Artikel auf Social Media teilen: