Zum Hauptinhalt springen
Perspective:
Perspective
21 Apr. 2026
9 Minuten Lesezeit

Digitale Souveränität

Dr. Till Contzen
Daniel Bader
Beschaffung souveräner IT im Unternehmen: rechtssichere Planung und Umsetzung

Digitale Souveränität ist für Unternehmen längst kein abstraktes Leitbild mehr. Sie ist eine konkrete Antwort auf die Risiken, die sich beim Bezug, Betrieb und Wechsel digitaler Lösungen ergeben. Praktische Relevanz gewinnt sie überall dort, wo geopolitische Spannungen, regulatorische Anforderungen und technologische Abhängigkeiten die Verlässlichkeit digitaler Infrastrukturen, Datenflüsse und Bezugsquellen unmittelbar berühren.

Treiber dieser Entwicklung ist die zunehmende Erfahrung, dass digitale Leistungen nicht unter allen Umständen gleichermaßen verfügbar, steuerbar und rechtlich beherrschbar sind. Ausschlaggebend sind vor allem die beschleunigte Veränderung regulatorischer und politischer Rahmenbedingungen sowie wachsende Abhängigkeiten von einzelnen Technologien und Anbietern.

Wer diese Risiken ernst nimmt, muss frühzeitig festlegen, an welchen Stellen Kontrolle rechtlich oder operativ unverzichtbar ist – und wo Abhängigkeiten bewusst akzeptiert werden können.

Warum digitale Souveränität für Unternehmen an Bedeutung gewinnt

Für Unternehmen ist digitale Souveränität vor allem eine Steuerungsaufgabe. Geschäftskritische digitale Leistungen müssen so ausgewählt, beschafft und betrieben werden, dass rechtliche Anforderungen, wirtschaftliche Tragfähigkeit und operative Beherrschbarkeit zusammengeführt werden. Fehlt es an einer belastbaren Planung, drohen erhebliche Folgekosten, neue Abhängigkeiten und spätere Umsetzungsprobleme.

Für die Bewertung digitaler Souveränität kommt es deshalb nicht auf abstrakte Unabhängigkeitsversprechen an, sondern auf konkrete Kriterien. Maßgeblich sind insbesondere:

  • die Kontrolle über Datenzugriff und Datenstandort,
  • die Belastbarkeit gegenüber Sicherheits- und Compliance-Risiken,
  • die Nachweis- und Auditierbarkeit vereinbarter Anforderungen,
  • die Transparenz von Anbieter- und Lieferstrukturen,
  • die Vermeidung von Vendor Lock-in sowie
  • die tatsächliche Möglichkeit, Leistungen skalierbar, wirtschaftlich tragfähig und mit ausreichender operativer Autonomie zu nutzen.

Gerade diese Kriterien entscheiden darüber, ob digitale Infrastrukturen auch unter veränderten regulatorischen, politischen oder wirtschaftlichen Rahmenbedingungen belastbar bleiben.

Smarte Souveränität als realistisches Zielbild

Digitale Souveränität folgt in der Praxis regelmäßig keinem Alles-oder-Nichts-Ansatz. Unternehmen müssen vielmehr bestimmen, an welchen Stellen ein hohes Maß an Souveränität zwingend erforderlich ist – und wie sich diese Anforderungen mit den Vorteilen hochskalierbarer, kosteneffizienter und innovationsstarker Standard-Cloud-Angebote sinnvoll verbinden lassen.

Dieses Zielbild lässt sich als smarte Souveränität beschreiben: eine intelligente Ausgestaltung souveräner Lösungen mit Blick auf Nachhaltigkeit, Kosten, Dauer und Innovationsfähigkeit. Ein sehr hoher Souveränitätsgrad kann Kontrolle und Resilienz stärken, geht aber je nach Ausgestaltung häufig mit höheren Kosten, geringerer Skalierbarkeit und einem begrenzteren Zugang zu Innovationsdynamik einher. Umgekehrt eröffnen Standard-Cloud-Angebote erhebliche Skalierungs- und Innovationspotenziale, können jedoch bestehende Souveränitätsrisiken vertiefen.

In der Praxis spricht vieles für hybride Modelle. Bestimmte Komponenten, Daten oder Funktionen werden in einer stärker souveränen Umgebung verortet, während andere bewusst in Standard-Cloud-Angeboten oder vergleichbaren Standardumgebungen verbleiben. Voraussetzung ist eine klare Trennung zwischen Muss- und Soll-Anforderungen sowie ein steuerbarer Ansatz, der Veränderungen ermöglicht, ohne das Zielbild aufzugeben.

Harte Anforderungen können sich aus gesetzlichen oder regulatorischen Vorgaben ergeben, die je nach Jurisdiktion erheblich variieren. Hinzu treten weiche Vorgaben aus internen Policies, Selbstverpflichtungen oder Governance-Entscheidungen des Unternehmens. Wer diese Ebenen nicht sauber trennt, riskiert entweder überzogene Anforderungen mit unnötigen Kosten- und Innovationsnachteilen oder ein Zielbild, das später weder vertraglich noch operativ belastbar abgesichert werden kann.

Von der Zieldefinition zur Beschaffungsentscheidung

Ist das Zielbild definiert, stellt sich die Frage nach dem geeigneten Beschaffungsweg. Typischerweise kommen Direktbeschaffung und Ausschreibung in Betracht. Beide Verfahren haben je nach Gegenstand, Volumen und Risikoprofil ihre Berechtigung.

Die Direktbeschaffung überzeugt vor allem durch Geschwindigkeit, geringeren Verfahrensaufwand und größere Flexibilität in der Anbieterwahl. Kürzere und informellere Entscheidungswege können insbesondere dann sinnvoll sein, wenn der Bedarf klar umrissen ist, kleinere Beschaffungen anstehen oder hochstandardisierte Lösungen eingekauft werden. Dem kann jedoch, insbesondere bei hochspezialisierten Lösungen, eine geringere Markttransparenz und das Risiko gegenüberstehen, dass mangels Wettbewerb laufende Kosten höher ausfallen oder Alternativen nicht hinreichend geprüft werden.

Die Ausschreibung setzt demgegenüber stärker auf Vergleichbarkeit, Wettbewerb und nachvollziehbare Entscheidungsprozesse. Sie erhöht die Chance, passende Leistungen zu tragfähigen Konditionen zu beziehen, und stärkt zugleich die Compliance bei der Beauftragung. Der damit verbundene Aufwand ist allerdings spürbar höher, insbesondere wenn RfI-, RfP-, BAFO- und Verhandlungsphasen durchlaufen werden. Gerade bei großvolumigen, sicherheitsrelevanten oder stark zugeschnittenen Beschaffungen ist dieser Aufwand jedoch häufig sachgerecht.

Bereits in dieser Phase empfiehlt es sich, mit belastbaren Referenzrahmen zu arbeiten. Das EU Cloud Sovereignty Framework, die BSI-Souveränitätskriterien, die C5-Kriterien und der Sovereign Cloud Stack können helfen, Anforderungen zu strukturieren, Angebote vergleichbar zu machen und Nachweise bereits im Auswahlverfahren gezielt einzufordern. Standards ersetzen dabei nicht die unternehmensindividuelle Bewertung, sie erhöhen aber die Vergleichbarkeit und die spätere vertragliche Anschlussfähigkeit der Beschaffung.

Gerade bei souveränitätsbezogenen Vorhaben zeigt sich, dass Beschaffungsprozesse ganzheitlich – in technischer, operativer und rechtlicher Sicht – gedacht und strukturiert werden müssen. Je komplexer die Anforderungen an Datenkontrolle, Anbietertransparenz, Interoperabilität, Nachweisfähigkeit und Exit-Fähigkeit sind, desto wichtiger wird ein Verfahren mit klar dokumentierten Bewertungsmaßstäben.

Vertragsgestaltung, Migration und Go-Live

Der Vertrag ist nicht der alleinige Maßstab digitaler Souveränität, aber ein zentrales und in der Praxis häufig unterschätztes Steuerungsinstrument. Gerade weil Rechtsabteilungen in Technologieprojekten noch nicht immer frühzeitig und tief genug eingebunden werden, bleiben souveränitätsrelevante Anforderungen sonst oft auf der Ebene allgemeiner Zielbeschreibungen stehen, ohne in belastbare Leistungspflichten, Nachweise und Rechtsfolgen übersetzt zu werden.

Ausgangspunkt ist eine klare Leistungsbeschreibung. Sektor- oder unternehmensspezifische Besonderheiten, die Auslegung einschlägiger Standards sowie die Reichweite interner Policies müssen so konkret festgelegt werden, dass später eindeutig bestimmbar bleibt, was geschuldet ist und woran die Leistung gemessen wird. Das gilt besonders in hybriden oder mehrgliedrigen Liefermodellen, in denen mehrere Anbieter oder technische Ebenen zusammenspielen.

Hinzu kommen Anforderungen an den Anbieter, die von ihm eingesetzten Subunternehmer und Lieferanten: Je nach Risikoprofil kann es relevant sein, unmittelbare und mittelbare Eigentums- oder Kontrollstrukturen offenzulegen, gegebenenfalls bis hin zu wirtschaftlich Berechtigten. Für die Leistungserbringung selbst können (soweit rechtlich zulässig) Vorgaben zu Wohnsitz und Nationalität sowie zu Sicherheitsprüfungen oder -zertifizierungen eine Rolle spielen.

Solche Anforderungen entfalten jedoch nur dann praktische Wirkung, wenn sie mit Transparenz-, Audit-, Dokumentations- und Nachweispflichten verknüpft werden. Souveränität darf nicht auf bloße Zusicherungen reduziert werden, sondern muss prüfbar, dokumentierbar und im Konfliktfall auch durchsetzbar sein. Gerade bei komplexen Betriebsmodellen ist zudem eine klare Abgrenzung der jeweiligen Leistungspflichten unverzichtbar, damit es im Störungsfall nicht zu einer Verantwortungsdiffusion kommt.

Ein weiterer Schwerpunkt liegt auf Zukunftsfähigkeit und Wechselmöglichkeit. Verträge sollten Skalierbarkeit sowie Anpassungs- und Innovationsfähigkeit der Lösung absichern, damit geänderte Bedarfe, rechtliche Entwicklungen und Marktverhältnisse nicht sofort zu einem erneuten und kostenintensiven Beschaffungsvorhaben führen. Ebenso zentral sind Mechanismen zur Vermeidung von Vendor Lock-in, insbesondere durch klare Kündigungs- und Exit-Regelungen, Interoperabilität, offene Standards sowie praktikable Wechselpfade.

Dazu kann gehören, dass Konfigurationen, Dokumentation sowie kundenspezifische Entwicklungen, Automatisierungen und vergleichbare projektspezifische Artefakte laufend oder spätestens beim Exit in nutzbarer Form bereitgestellt werden. Auch Cloud-Switching-Mechanismen können in diesem Zusammenhang relevant sein. Nicht zuletzt ist digitale Souveränität immer auch eine wirtschaftliche Frage, weshalb laufende Betriebskosten, mitskalierende Preislogiken, Anpassungsmechanismen, Gainsharing bei Innovation und Change sowie der Umgang mit schwankenden Hardwarepreisen vertraglich sauber adressiert werden sollten.

Digitale Souveränität muss sich schließlich auch in der Umsetzung bewähren. Erforderlich sind klare Vorgaben für Migrationsleistungen, ausdrücklich auch mit Blick auf die vereinbarten Souveränitätsanforderungen. Hierzu zählen etwa erhöhte Anforderungen an die Nachvollziehbarkeit der einzelnen Migrationsschritte sowie, soweit möglich, die Vermeidung von Datentransfers außerhalb der Zielregion im Zuge der Migration.

Werden vereinbarte Anforderungen im Rahmen der Migration nicht eingehalten, sollten Kündigung, Rücktritt oder funktional vergleichbare Mechanismen vorgesehen sein. Der Produktivbetrieb sollte zudem erst beginnen, wenn auch die souveränitätsspezifischen Kriterien abgenommen wurden. Nach Abschluss der Migration sollte hinsichtlich der Altsysteme auf Löschbestätigungen hingewirkt werden.

Im Hinblick auf den laufenden Betrieb sollte die Beschreibung der Souveränitätsanforderungen sollte insbesondere auch die Support-, Admin- und Control-Plane-Ebene umfassen: etwa das Identity Management, Auditing, Monitoring und Provisioning. Gerade hier zeigt sich, ob der Anbieter diese Anforderungen auch im operativen Alltag durchgängig einhalten kann.

Wie wir Unternehmen unterstützen

Die rechtliche Begleitung digital souveräner Beschaffung sollte nicht erst bei der Vertragsredaktion einsetzen. Sie reicht von der Übersetzung regulatorischer und interner Anforderungen in belastbare Muss- und Soll-Kriterien über die rechtliche Begleitung von Auswahl- und Verhandlungsprozessen bis zur Ausgestaltung von Leistungs-, Nachweis-, Audit-, Exit-, Migrations- und Abnahmeregelungen. Soweit sinnvoll, kann dies gemeinsam mit den Kolleginnen und Kollegen von Deloitte T&T in einem integrierten Ansatz erfolgen, der rechtliche, technische und operative Perspektiven frühzeitig zusammenführt.

Für die Realisierung digitaler Souveränität genügen abstrakte Bekenntnisse nicht – hierfür ist eine belastbare Kette aus Zielbild, Auswahlverfahren, Vertragsarchitektur und kontrollierter Umsetzung erforderlich. Wer diese Elemente frühzeitig zusammendenkt, schafft einen realistisch steuerbaren und rechtlich belastbaren Ordnungsrahmen für digitale Souveränität.

Did you find this useful?

Yes
No

Thanks for your feedback

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?

Kontaktieren Sie uns

Dr. Till Contzen

Dr. Till Contzen

Partner | Lead Digital Law
+49 69 719188439
Daniel Bader

Daniel Bader

Senior Associate | Digital Law
+49 89 29036 6913

Einblicke und weiterführende Inhalte

Legal Managed Services

Viele Rechtsabteilungen haben Schwierigkeiten, ihre täglichen Aufgaben mit dem Ziel in Einklang zu bringen, kritische und strategisch wichtige Initiativen zu verfolgen. Deloitte Legal unterstützt Mandanten dabei, eine Reihe wichtiger Ziele zu erreichen: Effizienz, Transparenz und Compliance.
Service
12 Minuten Lesezeit

Künstliche Intelligenz (KI)

Als Teil unserer maßgeschneiderten Beratung im Bereich Künstliche Intelligenz (KI) unterstützen wir Unternehmen sowohl bei der Use-case spezifischen Einzelfallprüfung, um individuelle Anwendungen rechtlich abzusichern, als auch bei der Entwicklung von umfassenden Governance-Strukturen für den verantwortungsvollen Umgang mit KI. Dabei arbeiten wir Hand-in-Hand mit den KI-Spezialisten von Deloitte, sodass unsere Beratung stets eng an den technischen Gegebenheiten erfolgt.
Service

Daten­ und Daten­ssicherheit

Das Datenschutzrecht und Datenrecht umfasst die Beratung und Vertretung in allen Belangen rund um den Schutz, die Verarbeitung und die rechtliche Nutzung von (personenbezogenen) Daten. Ziel ist es, die Mandanten bei der Einhaltung der Datenschutzbestimmungen zu unterstützen und rechtliche Risiken im Umgang mit Daten zu minimieren.
Service

Digital Law: Intangibles, Data & Technology

Digitalisierung und technologische Innovationen schaffen nicht nur Wachstum und Beschäftigung, sondern sind auch Schlüssel zu den Innovationen und der Wettbewerbsfähigkeit von morgen.

Wir kombinieren juristische Exzellenz mit technologischem Verständnis und branchenspezifischen Know-How. Dank unseres OneDeloitte-Ansatzes und der engen Zusammenarbeit mit anderen Bereichen von Deloitte profitieren unsere Mandanten von interdisziplinären, maßgeschneiderten Lösungen, die alle Aspekte Ihrer geschäftlichen Anforderungen integrieren.

Service