Das wichtigste Hebelmittel des europäischen Kunden ist nicht die Regulierung im Abstrakten — es sind die konkreten Klauseln in konkreten Verträgen. Dieses Kapitel stellt eine Checkliste für IT- und Cloud-Verträge bereit. Die meisten Punkte konsolidieren bestehende regulatorische Anforderungen (DORA, EU Data Act, Cyber Resilience Act, NIS2) in einem operativen Rahmen, anstatt neue Ebenen einzuführen.
Regulatorischer Kontext: Was bereits in Kraft ist
Fünf Instrumente prägen die Vertragslandschaft im Jahr 2026:
- DORA (Digital Operational Resilience Act) — seit dem 17. Januar 2025 für 22.000 Finanzinstitute in Kraft. Verlangt eine formale Ausstiegsstrategie, Prüfungsrechte und die Überwachung von Unterauftragnehmern. Am 18. November 2025 wurden 19 IKT-Anbieter als kritisch (CTPP) eingestuft — darunter AWS, Azure und Google Cloud. , Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex, 2022-12-14 · link · archived
- EU Data Act — Anbieterwechsel bei Cloud-Diensten — wirksam ab dem 12. September 2025. , Data Act , Directorate-General for Communications Networks, Content and Technology, 2025-09-12 · link · archived Der Kunde muss in der Lage sein, die Migration mit einer Frist von zwei Monaten einzuleiten, gefolgt von 30 Tagen Übergang und 30 Tagen zur Datenabholung. Stufenweises Verbot von Wechselgebühren ab Januar 2027.
- NIS2 — in den meisten Mitgliedstaaten 2024–2025 umgesetzt. Erweiterter Anwendungsbereich auf ca. 160.000 Einrichtungen.
- Cyber Resilience Act (CRA) — vollständige Verpflichtungen ab dem 11. Dezember 2027. Erfordert SBOM und Schwachstellenmanagement über den gesamten Produktlebenszyklus.
- AI Act — stufenweise in Kraft 2025–2027.
Die Checkliste
| # | Bereich | Anforderung | Regulatorische Grundlage |
|---|---|---|---|
| 1 | Datenspeicherort | Vertragliche Garantie des Datenspeicherorts in der EU/EWR; explizite Liste der Rechenzentren; Benachrichtigung bei Änderung | GDPR Art. 44–49, Data Act |
| 2 | Verschlüsselungsschlüssel | BYOK oder HYOK; Kunde hält den Hauptschlüssel; Anbieter hat keinen Klartextzugriff auf Schlüssel | DORA, Best Practice |
| 3 | Ausstiegsrecht | Dokumentierte Ausstiegsstrategie; Datenmigration in offenem Format; maximale Ausstiegszeit ≤ 6 Monate; keine Vertragsstrafen bei Abgang | Data Act Art. 23–31, DORA |
| 4 | SBOM | Anbieter liefert eine aktuelle Software Bill of Materials für alle gelieferten Produkte | CRA |
| 5 | Unterauftragsvergabe | Explizite Liste der Unterauftragnehmer; Vetorecht des Kunden bei Wechsel des Unterauftragnehmers | DORA, NIS2 |
| 6 | Sicherheitspatches | SLA für kritische Patches ≤ 72 Stunden; Recht des Kunden, Patches in einer Staging-Umgebung vor dem Einsatz zu testen | CRA, Best Practice |
| 7 | Prüfungsrechte | Kunde oder Dritter (Prüfer) hat das Recht, die Sicherheitskontrollen des Anbieters zu prüfen | DORA Art. 28 |
| 8 | Betriebskontinuität | Anbieter weist einen getesteten BC/DR-Plan nach; Kunde nimmt am jährlichen BC-Test teil | DORA, NIS2 |
| 9 | Jurisdiktionelle Transparenz | Explizite Benennung der Rechtsräume, in denen Muttergesellschaft, Betreiber und Unterauftragnehmer ansässig sind; Risikoanalyse extraterritorialer Gesetzgebung | Best Practice |
| 10 | Konzentrationsgrenzen | Organisation führt eine interne Überprüfung durch — kein einzelner Lieferant stellt mehr als zwei kritische Systeme ohne Managementgenehmigung bereit | DORA (IKT-Risikomanagement) |
Verwendung dieser Checkliste
Die Checkliste ist keine Vertragsvorlage. Sie ist eine Liste von Bestimmungen, die verhandelt werden sollen. Größere Anbieter werden einigen davon widerstehen; manche sind in Standardbedingungen nicht verhandelbar; manche sind nur bei bestimmten Vertragsvolumina erreichbar. Die realistische Anwendung:
- Bei jeder Vertragsverlängerung die Checkliste durchgehen und feststellen, welche Punkte vorhanden sind, welche fehlen und welche gestärkt werden müssen.
- Für die zehn wichtigsten kritischen Lieferanten nicht auf die Verlängerung warten — proaktive Nachträge einleiten.
- Bei neuen Verträgen die Checkliste als Ausgangspunkt bei der Lieferantenauswahl verwenden. Anbieter, die die meisten Punkte ablehnen, zeigen damit, wo ihre kommerziellen Interessen liegen.
- Die Lücke dokumentieren. Wo die Checkliste nicht erfüllt wird, dokumentieren, warum und welche kompensierenden Kontrollen vorhanden sind. Dieses Dokument ist selbst ein Aktivposten bei regulatorischen Prüfungen nach DORA.
Was diese Checkliste nicht löst
Die Checkliste schafft Hebelmacht; Hebelmacht ist notwendig, aber nicht hinreichend.
Sie löst nicht die politische Ebene (Verhandlungen mit den USA über den CLOUD Act, Regulierungsdiplomatie in der WTO).
Sie löst keine Fragen, die kollektives EU-Handeln erfordern — den Aufbau neuer Fabs, die Unterstützung des RISC-V-Ökosystems, die Energiepolitik für Rechenzentren. Diese gehören zu staatlichen Planern, nicht zu einzelnen CIOs.
Was sie löst: die eigene Vertragsposition der Organisation gegenüber ihren aktuellen und künftigen Lieferanten. Diese Position ist es, die Regulierung operativ statt bloß wünschenswert macht.
Zitierte Quellen
- European Parliament and Council of the European Union, Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex , 2022-12-14 . link · archived
- European Commission, Data Act , Directorate-General for Communications Networks, Content and Technology , 2025-09-12 . link · archived