Digitale Souveränität

Was dieser Leitfaden Ihnen gibt

Was digitale Souveränität für KMU konkret bedeutet
Abhängigkeiten erkennen und steuern
Cloud-Strategie und Vendor-Lock-in
Handlungsoptionen für die Schweiz

Abhängigkeiten erkennen · Vendor Lock-in begrenzen · Vertragsrealität · Strategischer Vorteil

Vorbemerkung

Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.

Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.

Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.

Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.

Hinweis

Diese Leitfäden ersetzen keine Rechtsberatung. Sie sind Orientierungsinstrumente aus der Praxis und können keine auf den Einzelfall bezogene juristische, steuerliche oder technische Beratung ersetzen. Bei konkreten Fragen zu Ihrer Situation wenden Sie sich an qualifizierte Fachleute – gerne auch an das Team von NBK Legal: www.nbklegal.online

Vorwort: Warum digitale Souveränität kein Luxusthema ist

Digitale Souveränität klingt nach einem strategischen Konzept für Großunternehmen. In der Praxis ist sie für Schweizer KMU eine operative Frage, die jeden Tag beantwortet wird – meist unbewusst, durch das Fehlen von Exit-Strategien, die Abhängigkeit von einem einzigen Cloud-Anbieter oder die fehlende Dokumentation kritischer Systeme.

Dieser Leitfaden ist kein Plädoyer für digitale Autarkie. Es ist ein operatives Instrument, das Ihnen hilft, bewusste Entscheidungen über Abhängigkeiten zu treffen – und die richtigen Vertragsklauseln, um diese Entscheidungen abzusichern.

Das Kernprinzip Digitale Souveränität bedeutet nicht: alles selbst betreiben. Es bedeutet: wissen, von wem Sie abhängig sind, warum, und was passiert, wenn diese Abhängigkeit endet – geplant oder ungeplant.

1. Was digitale Souveränität für ein KMU wirklich bedeutet

Vier Dimensionen – und was jede im Alltag konkret heißt.

1.1 Die vier Dimensionen – operativ übersetzt

Dimension	Was es bedeutet	Praxistest: Können Sie diese Frage beantworten?
Technisch	Sie können kritische Systeme ohne externe Genehmigung anpassen, migrieren oder abschalten	Welche Systeme können Sie in 30 Tagen zu einem anderen Anbieter wechseln?
Daten	Sie wissen, wo Ihre Daten liegen, wer darauf Zugriff hat, und können sie jederzeit exportieren	Wo liegen Ihre Produktionsdaten heute? In welchem Format? Können Sie sie heute exportieren?
Operational	Ihr Geschäftsbetrieb funktioniert weiter, wenn ein kritischer Anbieter ausfällt oder den Vertrag kündigt	Was passiert, wenn Ihr Cloud-Anbieter morgen den Service einstellt? Wie lange können Sie weiterarbeiten?
Strategisch	Sie treffen bewusste Entscheidungen über digitale Abhängigkeiten, anstatt in diese hineinzufallen	Wann haben Sie zuletzt Ihre kritischen Technologieabhängigkeiten überprüft?

Der Praxistest Wenn Sie die Fragen in der rechten Spalte nicht sofort beantworten können, haben Sie ein Souveränitätsproblem. Das ist kein Urteil – es ist der Ausgangspunkt für diesen Leitfaden.

2. Abhängigkeiten erkennen und bewerten

Bevor Sie Maßnahmen ergreifen, müssen Sie wissen, wo Sie stehen. Das ist die wichtigste Stunde Ihrer digitalen Souveränitätsarbeit.

2.1 Die Abhängigkeitsmatrix

Erstellen Sie für jeden kritischen Anbieter eine Zeile in dieser Matrix. 'Kritisch' bedeutet: wenn dieser Anbieter morgen wegfällt, hat das unmittelbare Auswirkungen auf Ihren Betrieb.

Anbieter	Leistung	Lock-in-Risiko	Exit-Zeit	Maßnahme
[Ihr Cloud-Anbieter]	Infrastruktur / Daten	Hoch/Mittel/Niedrig	Schätzung in Wochen	Exit-Plan / API-Offenheit prüfen
[Ihr SaaS-Anbieter]	[Funktion]
[KI-Modell-Anbieter]	KI-Funktionalität
[Netzwerk-/Telco]	Konnektivität

Lock-in-Indikatoren: Proprietäres Datenformat · Keine Export-API · Wechselgebühren > 3 Monatsumsatz · Keine gleichwertigen Alternativen · Kundendaten nur beim Anbieter

2.2 Die häufigsten Lock-in-Fallen

Lock-in-Typ	Wie er entsteht	Wie Sie ihn erkennen
Daten-Lock-in	Daten in proprietärem Format, kein Standard-Export	Kein JSON/CSV-Export; 'Export' kostet extra; Datenformat nicht dokumentiert
Prozess-Lock-in	Geschäftsprozesse tief in eine Plattform integriert	Mehr als 3 Systeme hängen von einem Anbieter ab; interne Prozesse spiegeln Plattform-Logik
Kompetenz-Lock-in	Interne Expertise nur für eine Plattform vorhanden	Kein Mitarbeiter kennt Alternativen; Ausschreibungen sind de-facto-Single-Source
Vertrags-Lock-in	Lange Laufzeiten, hohe Exit-Kosten, eingeschränkte Portabilität	Vertragslaufzeit >3 Jahre; Wechselgebühren nicht verhandelt; Datenrückgabe nicht geregelt
Ökosystem-Lock-in	Tiefe Integration in ein Anbieter-Ökosystem	Microsoft/AWS/Google als einzige Optionen; Interoperabilität nur innerhalb des Ökosystems

3. Maßnahmen nach Priorität

Digitale Souveränität ist kein einmaliges Projekt. Es ist eine kontinuierliche Governance-Aufgabe. Aber es gibt Sofortmaßnahmen mit hohem Wirkungsgrad.

3.1 Vertragliche Maßnahmen – das unterschätzte Werkzeug

Die wirksamste Maßnahme für digitale Souveränität kostet nichts außer Verhandlungszeit: die richtigen Vertragsklauseln.

Datenportabilität

Muss in jeden Cloud/SaaS-Vertrag «Bei Vertragsbeendigung stellt der Anbieter alle vom Kunden erzeugten und gespeicherten Daten innerhalb von 30 Tagen in einem standardisierten, maschinenlesbaren Format (JSON / CSV / [relevanter Standard]) kostenfrei bereit. Der Anbieter löscht alle Kundendaten nachweislich innerhalb von 60 Tagen nach Exportabschluss.»

Was Sie nie akzeptieren sollten «Alle durch den Dienst erzeugten Daten verbleiben Eigentum des Anbieters.» oder «Datenexporte werden zu marktüblichen Preisen berechnet» ohne Preisdeckelung. Beides ist Daten-Lock-in in Vertragsform.

Exit-Unterstützung

Standardklausel «Der Anbieter erbringt auf Anfrage Übergangsleistungen für einen Zeitraum von bis zu 6 Monaten nach Vertragsbeendigung zu den im Vertrag festgelegten Konditionen, um einen geordneten Anbieterwechsel zu unterstützen.»

Verhandeln Sie explizit Was ist im Übergangszeitraum enthalten? Datenmigration, API-Zugang, Dokumentation, technischer Support – oder nur 'Verfügbarkeit der Plattform'? Die Unschärfe ist meistens zu Ihren Lasten.

Subdienstleister-Transparenz

Klausel für kritische Dienste «Der Anbieter offenbart auf Anfrage die Namen aller wesentlichen Subdienstleister, die für die Leistungserbringung eingesetzt werden, und informiert den Kunden innerhalb von 30 Tagen über wesentliche Änderungen in der Sub-Lieferkette.»

3.2 Technische Maßnahmen – pragmatisch priorisiert

Prio	Maßnahme	Aufwand	Wirkung
1	Offene Datenformate für alle kritischen Datensätze festlegen	Niedrig	Daten-Lock-in eliminiert
2	Datenexport-Test: Können Sie heute alle kritischen Daten exportieren?	Niedrig	Zeigt sofort Lock-in-Situationen auf
3	SBOM (Software Bill of Materials) für kritische Systeme erstellen	Mittel	Transparenz über Abhängigkeiten; NIS2/DORA-Anforderung
4	Multi-Cloud-Strategie für kritische Workloads	Hoch	Höchste Resilienz; nicht für alle geeignet
5	API-Standards für eigene Daten und Systeme definieren	Mittel	Verhindert künftigen Lock-in bei Eigenentwicklungen
6	Backup-Strategie mit Off-Site-Kopie bei unabhängigem Anbieter	Mittel	Operational Sovereignty bei Anbieterausfall

3.3 Organisatorische Maßnahmen

Technologie-Entscheidungs-Protokoll: Jede Einführung eines neuen kritischen Anbieters erfordert eine dokumentierte Abhängigkeitsbewertung. Nicht mehr als 3 Fragen: Datenportabilität? Exit-Kosten? Alternative verfügbar?

Jährliche Abhängigkeitsüberprüfung: Einmal jährlich die Abhängigkeitsmatrix aktualisieren. Hat sich das Lock-in-Risiko verändert? Gibt es neue Alternativen?

Kompetenzdiversifizierung: Mindestens zwei Mitarbeitende mit Kenntnissen über jedes kritische System. Single-Point-of-Failure bei Kompetenz ist genauso riskant wie bei Technologie.

Lieferantenbewertung: Neue kritische Anbieter auf Souveränitätskriterien bewerten: Datenportabilität, offene Standards, Marktposition, Finanzkraft.

4. Digitale Souveränität und Regulierung: Was zusammenhängt

Digitale Souveränität ist kein separates Compliance-Thema. Die EU-Digitalregulierung codifiziert viele Souveränitätsprinzipien – und Compliance mit diesen Regimen schafft gleichzeitig Souveränität.

Regulierung	Souveränitätsprinzip	Praktische Konsequenz
Data Act	Datenzugang und Portabilität	Cloud-Lock-in wird illegal; Datenexport wird Pflicht
DORA	Operative Resilienz; Exit-Strategien	EU-Finanzunternehmen müssen Souveränität nachweisen – und fordern das von Ihnen
NIS2	Lieferkettensicherheit; Subdienstleister-Kontrolle	Transparenz über Ihre Abhängigkeiten ist Kundenanforderung
AI Act	Menschliche Kontrolle über KI-Systeme	Operational Sovereignty bei KI: Sie müssen eingreifen und korrigieren können
EUCS (EU Cloud Scheme)	Souveräne Cloud-Infrastruktur	Zertifizierung für hochsensible Daten; zunehmend Beschaffungsvoraussetzung

Die strategische Erkenntnis Wer digitale Souveränität proaktiv aufbaut, erfüllt gleichzeitig die Kernforderungen aus Data Act, DORA, NIS2 und AI Act. Das ist keine Koinzidenz – die EU hat Souveränitätsprinzipien bewusst in diese Regulierungen eingeschrieben.

5. Digitale Souveränität für Schweizer Unternehmen

Schweizer KMU haben in der Souveränitätsdebatte eine besondere Position: Sie sind nicht Teil des EU-Binnenmarkts, aber wirtschaftlich eng integriert. Das schafft spezifische Chancen und Risiken.

5.1 Die Schweizer Souveränitätschance

Schweizer Datenhaltung ist ein kommerzielles Differenzierungsmerkmal – besonders für regulierte Sektoren.

Rechtssicherheit: Schweizer Recht gilt als stabil und verlässlich. EU-Kunden aus regulierten Sektoren schätzen Schweizer Gerichtsbarkeit.

Datenlokalisierung: Für Finanz- und Gesundheitsdaten ist Schweizer Datenhaltung oft explizit gewünscht oder gefordert.

Neutralität: Schweiz als neutrales Land ist für manche Kunden ein geopolitisches Souveränitätsargument.

Regulierungsstabilität: Schweizer Regulierung ändert sich langsamer als EU-Recht. Das gibt Planungssicherheit.

5.2 Die Schweizer Souveränitätsrisiken

US-Cloud-Abhängigkeit: Die meisten Schweizer KMU nutzen US-amerikanische Cloud-Dienste (AWS, Azure, Google). Diese unterliegen dem CLOUD Act – US-Behörden können unter Umständen Zugang verlangen.

Vendor-Concentration: Zu starke Konzentration auf einzelne Anbieter erhöht geopolitische Risiken. Exportbeschränkungen, Sanktionen oder politische Spannungen können Dienste unterbrechen.

Schweizer KMU ohne EU-Footprint: Wer keine EU-Niederlassung hat, verliert möglicherweise Zugang zu EU-Förderprogrammen für souveräne Cloud-Infrastruktur.

5.3 Praktische Empfehlungen für Schweizer KMU

Empfehlung	Warum
Swiss Cloud für kritische Daten prüfen	CLOUD Act-Risiko minimieren; Kundendifferenzierung bei regulierten Kunden
EU-Datenzentrum für EU-Kunden in Betracht ziehen	Data-Act-Compliance erleichtert; NIS2-Kunden bevorzugen EU-Datenhaltung
ISO 27001 und ISO 22301 als Governance-Basis	Deckt Souveränitätsanforderungen aus NIS2, DORA und FINMA ab
Offene Standards für alle Eigenentwicklungen	Verhindert eigenen Kunden-Lock-in; erleichtert künftige Migration
Regelmässige Ausschreibungen für kritische Dienste	Verhindert Preismacht-Aufbau; sichert Marktkenntnis

6. Die fünf häufigsten Fehler

Fehler 1: Souveränität als IT-Thema behandeln

Digitale Souveränität wird an die IT-Abteilung delegiert. Die Geschäftsleitung sieht sich nicht als zuständig. Das führt dazu, dass strategische Abhängigkeitsentscheidungen ohne Managementperspektive getroffen werden – und das Unternehmen merkt es erst, wenn es zu spät ist.

Was zu tun ist

Abhängigkeitsmatrix und jährliche Überprüfung sind Geschäftsleitungsaufgabe, nicht IT-Aufgabe. Die Frage 'Von wem sind wir kritisch abhängig?' ist eine strategische Frage.

Fehler 2: Niedrige Preise als Souveränitätsargument

'Wir bleiben bei Anbieter X, weil Wechseln teuer ist.' Das ist ein Lock-in-Symptom, nicht ein strategisches Argument. Die echten Kosten eines Lock-ins – Preismacht des Anbieters nach Bindung, Schwierigkeiten bei regulatorischen Anforderungen, Ausfallrisiko – werden selten vollständig berechnet.

Was zu tun ist

Total Cost of Dependency berechnen: Nicht nur die laufenden Kosten, sondern auch Wechselkosten, Opportunitätskosten fehlender Alternativen und regulatorische Risiken bei fehlendem Exit.

Fehler 3: Exit-Strategien nicht dokumentieren

'Wir könnten wechseln, wenn wir wollten.' Ohne dokumentierten Exit-Plan ist das eine Annahme, keine Strategie. Im Krisenfall – Anbieterausfall, Preiserhöhung, regulatorische Anforderung – bleibt keine Zeit für die Planung.

Was zu tun ist

Für jeden kritischen Anbieter: ein einseitiger Exit-Plan. Welche Alternative? Wie lange dauert die Migration? Wer ist verantwortlich? Was kostet es? Diese Fragen heute beantworten, nicht in der Krise.

Fehler 4: SBOM als Compliance-Checkbox

Software Bill of Materials wird zunehmend von Kunden und Regulatoren verlangt. Viele KMU erstellen eine SBOM für ein Audit und vergessen sie danach. Eine veraltete SBOM ist irreführend und kann bei Sicherheitsvorfällen zum Problem werden.

Was zu tun ist

SBOM in den Entwicklungs- und Deployment-Prozess integrieren. Automatisierte SBOM-Generierung bei jedem Release. Tools: Syft, CycloneDX, SPDX.

Fehler 5: Souveränität als Gegenmodell zu Cloud

'Souveränität bedeutet, alles On-Premise zu betreiben.' Das ist ein Missverständnis. Digitale Souveränität bedeutet bewusste Entscheidungen über Abhängigkeiten – nicht die Ablehnung von Cloud-Diensten. Ein gut verhandelter Cloud-Vertrag mit Portabilitätsgarantien ist souveräner als ein schlecht dokumentiertes On-Premise-System.

Was zu tun ist

Souveränität nach Kriterien bewerten, nicht nach Technologie: Portabilität der Daten, Exit-Möglichkeit, Transparenz, Vertragskonditionen. Diese Kriterien können Cloud und On-Premise gleichermaßen erfüllen – oder verfehlen.

7. Der praktische Fahrplan – sechs Schritte

Schritt	Maßnahme	Zeitaufwand	Output
1	Abhängigkeitsmatrix erstellen: kritische Anbieter, Leistungen, Lock-in-Risiko	4–8 Stunden	Übersicht aller kritischen Abhängigkeiten
2	Datenexport-Test: Können Sie heute alle kritischen Daten exportieren?	2–4 Stunden	Identifizierung von Lock-in-Situationen
3	Verträge auditieren: Portabilität, Exit, Subdienstleister, Dateneigentum	4–8 Stunden pro Vertrag	Liste der Klauseln, die nachverhandelt werden müssen
4	Exit-Pläne für Top-3-kritische Anbieter erstellen	2 Stunden pro Anbieter	Handlungsfähigkeit im Krisenfall
5	Technologie-Entscheidungs-Protokoll einführen	2 Stunden Einrichtung	Verhindert künftigen unkontrollierten Lock-in
6	Jährliche Überprüfung in Governance-Kalender aufnehmen	1 Stunde Planung	Souveränität als kontinuierlicher Prozess

Hinweis

Dieser Leitfaden ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich an nbklegal.online.

Kontakt & weitere Informationen

NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU	Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden

Weiter vertiefen

Self-Check Self-Check Governance Wie souverän ist Ihre IT-Governance aufgestellt? Lesen → Deep Dive Deep Dive: Cloud-Souveränität Technische Tiefe zu Cloud-Abhängigkeiten und Alternativen. Lesen → Krimi Krimi: Der stille Zeuge Wenn digitale Abhängigkeit zum Unternehmensrisiko wird. Lesen →

DIGITALE

Vorbemerkung

Vorwort: Warum digitale Souveränität kein Luxusthema ist

1. Was digitale Souveränität für ein KMU wirklich bedeutet

1.1 Die vier Dimensionen – operativ übersetzt

2. Abhängigkeiten erkennen und bewerten

2.1 Die Abhängigkeitsmatrix

2.2 Die häufigsten Lock-in-Fallen

3. Maßnahmen nach Priorität

3.1 Vertragliche Maßnahmen – das unterschätzte Werkzeug

Datenportabilität

Exit-Unterstützung

Subdienstleister-Transparenz

3.2 Technische Maßnahmen – pragmatisch priorisiert

3.3 Organisatorische Maßnahmen

4. Digitale Souveränität und Regulierung: Was zusammenhängt

5. Digitale Souveränität für Schweizer Unternehmen

5.1 Die Schweizer Souveränitätschance

5.2 Die Schweizer Souveränitätsrisiken

5.3 Praktische Empfehlungen für Schweizer KMU

6. Die fünf häufigsten Fehler

Fehler 1: Souveränität als IT-Thema behandeln

Fehler 2: Niedrige Preise als Souveränitätsargument

Fehler 3: Exit-Strategien nicht dokumentieren

Fehler 4: SBOM als Compliance-Checkbox

Fehler 5: Souveränität als Gegenmodell zu Cloud

7. Der praktische Fahrplan – sechs Schritte

Kontakt & weitere Informationen