Thomas Wolf, Autor bei DeutscherAnwaltSpiegel https://www.deutscheranwaltspiegel.de/ueber-uns/redaktion/twolf/ Das Online-Magazin für Anwälte für Unternehmen Thu, 09 Jul 2026 08:11:36 +0000 de hourly 1 https://wordpress.org/?v=7.0.1 Umgang mit Geschäftsgeheimnissen https://www.deutscheranwaltspiegel.de/deutscheranwaltspiegel/datenschutz/umgang-mit-geschaeftsgeheimnissen-163002/ Wed, 08 Jul 2026 09:04:00 +0000 https://www.deutscheranwaltspiegel.de/?p=163002 Umgang mit Geschäfts­geheimnissen

Wie Unternehmen aktuelle Rechtsprechungsanforderungen in den modernen Arbeitsalltag übertragen

Der Beitrag Umgang mit Geschäftsgeheimnissen erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Umgang mit Geschäfts­geheimnissen

Wie Unternehmen aktuelle Rechtsprechungsanforderungen in den modernen Arbeitsalltag übertragen

Der Schutz von Geschäftsgeheimnissen war selten so komplex und gleichzeitig dringlich wie heute. KI-gestützte Arbeitstools und flächendeckendes mobiles Arbeiten haben den Arbeitsalltag, aber auch das Risikobild in den vergangenen Jahren erheblich verändert.

Sieben Jahre nach Inkrafttreten des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) besteht in der Praxis weiterhin vielerorts Rechtsunsicherheit darüber, wann ein Schutzkonzept vorliegt, das die Anforderungen von § 2 Nr. 1 lit. b GeschGehG an das Vorliegen ausreichender und angemessener Maßnahmen, mithin eines Geschäftsgeheimnisses, erfüllt. Das Bundesarbeitsgericht (BAG) hat mit seinem Urteil vom 17.10.2024 (Az. 8 AZR 172/23, NZA 2025, 112) erstmals höchstrichterlich grundlegende Fragen beantwortet und unmissverständlich klargestellt: Wer seinen gesetzlichen Geheimnisschutz im Streitfall nicht belegen kann, verliert ihn.

Das BAG-Urteil vom 17.10.2024

Gegenstand des Revisionsverfahrens war die Klage einer führenden Herstellerin von Füllmaschinen für Lebensmittel und Getränke, die von einem ehemaligen Arbeitnehmer aus dem Forschungs- und Entwicklungsbereich Unterlassung der Weitergabe von Leistungsdaten und Prozessparametern gemäß § 6 Abs. 1 GeschGehG begehrte. Der Arbeitnehmer hatte während seiner Beschäftigung per E-Mail sensible Leistungsdaten an ein Konkurrenzunternehmen weitergeleitet. Strittig war nicht allein, ob die betroffenen Informationen den Anforderungen an ein Geschäftsgeheimnis genügten, sondern vor allem, ob die Klägerin hinreichende Schutzmaßnahmen nachweisen konnte. An diesem Punkt scheiterte das Unternehmen, so dass ein entsprechender Anspruch aus dem GeschGehG gegen den Arbeitnehmer ausschied.

Das BAG wies die Revision der Arbeitsgeberin als unbegründet ab und bestätigte damit die Urteile des Arbeitsgerichts Aachen (Urteil vom 13.01.2022 – Az. 8 Ca  229/20) sowie des Landesarbeitsgerichts Köln (Urteil vom 28.09.2022 – Az. 11 Sa 128/22) in vollem Umfang. Das Urteil enthält mehrere wegweisende Aussagen, die in der Praxis unmittelbaren Handlungsbedarf auslösen:

Einzelfallabhängigkeit der Anforderungen

Die konkreten Anforderungen an angemessene Geheimhaltungsmaßnahmen hängen von der Art des Geschäftsgeheimnisses und den Umständen der Nutzung ab. Ein Minimum an Maßnahmen ist nicht ausreichend, ein perfekter Schutz gleichwohl nicht geschuldet (OLG Hamm, Urteil vom 15.09.2020 – Az. I-4 U 177/19).

Catch-all-Klauseln

Das BAG bestätigte, dass pauschale Geheimhaltungsklauseln, die sämtliche unternehmensinternen Informationen ohne nähere Bestimmung als schützenswerte Geschäftsgeheimnisse erfassen, gemäß §§ 305, 307 Abs. 1 BGB unwirksam sind. Sie verstoßen gegen das Transparenzgebot und beeinträchtigen die durch Artikel 12 Abs. 1 Grundgesetz (GG) geschützte Berufsfreiheit der Arbeitnehmer. Ausdrücklich stellte das BAG klar, dass diese Rechtsfolge nicht aus dem GeschGehG selbst folge und der Gesetzgeber die bereits zuvor erarbeiteten Anforderungen an vertragliche Verschwiegenheitsverpflichtungen nicht ändern wollte. Allenfalls konkret bestimmte Einzelgeheimnisse könnten durch Vereinbarungen wirksam erfasst sein.

Nachwirkende Treuepflicht

Das BAG verneinte überdies einen automatischen Verstoß gegen die nachwirkende Treuepflicht nach § 241 Abs. 2 BGB und stellte insoweit das durch Artikel 12 Abs. 1 GG geschützte Interesse des Arbeitnehmers an der Verwertung seines im Beschäftigungsverhältnis erworbenen Wissens hervor.

Beweislast

Der Inhaber des Geheimnisses trage die vollständige Darlegungs- und Beweislast für das Bestehen und die Anwendbarkeit seiner Schutzmaßnahmen. Wer diese nicht konkret belegen könne, verliere den gesetzlichen Schutz und das unabhängig vom Wert der betroffenen Information.

Mobiles Arbeiten und KI: Unterschätzte Risiken im sich wandelnden Unternehmensalltag

KI-Tools und KI-gestützte Analyse- und Recherchedienste gehören in vielen Unternehmen längst zum täglichen Workflow. Das damit verbundene Risiko für Geschäftsgeheimnisse wird dabei häufig unterschätzt. Ein strukturelles Problem liegt in der Funktionsweise vieler externer KI-Dienste, welche Eingaben der Nutzer zur Verbesserung des Modells nutzen, extern speichern oder in anderen Verarbeitungskontexten weiterverwenden. Gibt ein Mitarbeiter Geschäftsgeheimnisse in ein nicht kontrolliertes KI-Tool ein, können diese Informationen den geschützten Bereich des Unternehmens verlassen. Dies geschieht gegebenenfalls ohne (böswillige) Absicht und/oder ohne nach außen sichtbar zu werden.

Ein Schutzkonzept, das den Umgang mit KI-Tools nicht ausdrücklich umfasst, ist nach dem heutigen Stand unvollständig. Es genügt den Anforderungen von § 2 Nr. 1 lit. b GeschGehG nicht, wenn die naheliegenden Risikopotentiale des modernen Arbeitsalltags ungeregelt bleiben.

Konkrete Maßnahmen

Jedes Unternehmen sollte eine eigenständige, unmissverständlich formulierte KI-Richtlinie einführen, die klar definiert, welche Tools für welche Zwecke genutzt werden dürfen. Eindeutige Vorschriften, welche Kategorien von Informationen in welche externe KI-Anwendungen eingespeist werden dürfen, sind entscheidend.

Ergänzend dazu sollten technische Zugangsbeschränkungen implementiert werden. Browser-Plugins, Netzwerksperren oder Endpoint-Management-Lösungen können die Nutzung nicht zugelassener KI-Anwendungen einschränken oder zumindest bei jeder Benutzung aktiv und unmissverständlich auf die geltenden Richtlinien hinweisen.

Unverzichtbar sind zudem regelmäßige, dokumentierte Schulungen mit konkreten Praxisbeispielen zur Veranschaulichung.

Arbeiten außerhalb der Büroräume

Die Verbreitung ortsunabhängigen Arbeitens hat die Beherrschbarkeit klassischer Schutzmaßnahmen erheblich erschwert. Ob im Homeoffice, Coworking-Space oder öffentlichen Umgebungen, müssen Geschäftsgeheimnisse auch außerhalb der „klassischen“ Büroräume geschützt werden. Die betriebliche Infrastruktur, auf die sich traditionelle Konzepte stützten, wie zum Beispiel physische Zugangssperren, greift heute nur noch eingeschränkt. Besonders risikoträchtig sind der Zugriff über private oder öffentliche WLAN-Verbindungen sowie die Übertragung sensibler Dateien auf private Endgeräte oder private E-Mail-Accounts.

Ein wirksames Schutzkonzept muss diese Lücke schließen. Ausdrückliche Verbote der Dateiübertragung auf private Geräte, die technische Pflicht zur VPN-Nutzung bei externem Systemzugriff, die regelmäßige Überprüfung der eingesetzten Tools auf ihre Sicherheitsstandards sowie gezielte Schulungen, die Arbeitnehmer zu einem verantwortungsvollen, selbständigen Umgang befähigen, sind dringend erforderlich. Dabei dürfen die seit Jahren existierenden Schwachstellen wie Vorschriften zu Telefonaten in der Öffentlichkeit oder manueller Sicherung der Geräte nicht vergessen werden, es bedarf jedoch umfassender Ergänzungen, um der flexiblen Arbeitsplatzgestaltung gerecht zu werden.

Weitere Anforderungen an Schutzkonzepte

Vorbereitung und Personalauswahl

Grundlage jedes Schutzkonzepts ist eine vollständige Bestandsaufnahme aller Geschäftsgeheimnisse, ihrer Aufbewahrungsorte und Zugriffsberechtigungen, auf deren Basis die Schutzmaßnahmen risikobasiert abgestuft werden (BT-Drucks. 19/4724, S. 24 f.). Bereits bei der Personalauswahl können im Rahmen der Datenschutz-Grundverordnung (DSGVO) und von § 26 Bundesdatenschutzgesetz (BDSG) Backgroundchecks durchgeführt werden, zum Beispiel durch Recherche öffentlicher Informationen, die der Bewerber eigenständig veröffentlicht hat (LAG Düsseldorf, Urteil vom 12.04.2024 – Az. 12 Sa 1007/23).

Technische und organisatorische Schutzmaßnahmen

Das als Mindeststandard anerkannte Need-to-know-Prinzip (OLG Stuttgart, Urteil vom 19.11.2020 – Az. 2 U 575/19) kann durch IT-seitige Zugangsbeschränkungen, automatische Vertraulichkeitshinweise beim Öffnen sensibler Dateien sowie physische Zugangskontrollen technisch umgesetzt werden. Flankiert werden kann dies durch verpflichtende, dokumentierte Schulungen im Onboarding sowie durch ein strukturiertes Offboarding, das die Rückgabe aller Unterlagen und Arbeitsmittel und die ausdrückliche Erinnerung an fortbestehende Geheimhaltungspflichten sicherstellt.

Vertragliche und kollektivrechtliche Absicherung

Für den Schutz nach dem Ausscheiden kann der Abschluss gesonderter nachvertraglicher Wettbewerbsverbote gemäß § 110 Gewerbeordnung (GewO) in Verbindung mit §§ 74 ff. HGB in Erwägung zu ziehen sein. Ergänzend können arbeitsrechtliche Weisungen gemäß § 106 GewO sowie Betriebsvereinbarungen eingesetzt werden, wobei bei Überwachungsmaßnahmen die Mitbestimmungsrechte des Betriebsrats gemäß § 87 Abs. 1 Nr. 1, Nr. 6 Betriebsverfassungsgesetz (BetrVG) zu beachten sind. Von Catch-all-Klauseln hingegen ist aufgrund der AGB-Widrigkeit abzusehen.

Monitoring und Krisenmanagement

Das Gesamtkonzept sollte durch ein kontinuierliches Compliancemonitoring unter Benennung eines Verantwortlichen überwacht werden, der Verstöße identifiziert und das Konzept bei Bedarf anpasst. Für den Fall einer ungewollten Offenbarung sollte eine Krisenstrategie bereitstehen, die Sofortmaßnahmen sowie einen klaren Ablauf zur Beweismittelsicherung vorsieht.

Dokumentation als prozessuale Pflichtaufgabe

Das BAG hat in seinem Urteil vom Oktober 2024 bestätigt, dass die vollständige Darlegungs- und Beweislast für das Bestehen und die konkrete Anwendbarkeit des Schutzkonzepts beim Inhaber des Geheimnisses liegt. Ein pauschaler Verweis auf existierende IT-Sicherheitssysteme genügt nicht. Der Arbeitgeber muss substantiiert darlegen können, welche Arbeitnehmer nach Maßgabe der getroffenen Maßnahmen Zugang zu den konkret betroffenen Informationen hatten. Schulungsnachweise, versionierte Richtliniendokumente und Zugriffsprotokolle sind daher keine bürokratischen Formalitäten, sondern prozessuale Notwendigkeiten. Wer diese Dokumentation im Ernstfall nicht vorlegen kann, geht (trotz vorhandenem Schutzkonzept) leer aus.

Fazit

Geschäftsgeheimnisse schützen sich nicht von selbst. Angesichts der wachsenden Herausforderungen durch KI-Tools oder mobiles Arbeiten ist ein statisches Schutzkonzept unzureichend. Unternehmen müssen ihre Konzepte regelmäßig überprüfen, an technologische und organisatorische Realitäten anpassen und konsequent dokumentieren. Wer diese Daueraufgabe vernachlässigt, riskiert, im Streitfall den gesetzlichen Schutz seiner wertvollsten Informationen vollständig zu verlieren. 

Hinweis der Redaktion:
Dieser Artikel knüpft an einen früheren Beitrag des Autors in Deutscher Anwalt­Spiegel, Ausgabe 20/2024, an und greift aktuelle Entwicklungen auf. (tw) 

Autor

Dr. Artur-Konrad Wypych Bird & Bird, Düsseldorf Rechtsanwalt, Fachanwalt für Arbeitsrecht, Partner

Dr. Artur-Konrad Wypych

Bird & Bird, Düsseldorf
Rechtsanwalt, Fachanwalt für Arbeitsrecht, Partner

artur.wypych@twobirds.com
www.twobirds.com

Der Beitrag Umgang mit Geschäftsgeheimnissen erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Arbeitszeugnisse im internationalen Umfeld https://www.deutscheranwaltspiegel.de/deutscheranwaltspiegel/arbeitsrecht/arbeitszeugnisse-im-internationalen-umfeld-163000/ Wed, 08 Jul 2026 09:03:00 +0000 https://www.deutscheranwaltspiegel.de/?p=163000 Arbeitszeugnisse im internationalen Umfeld

Warum am deutschsprachigen Zeugnis kein Weg vorbeiführt

Der Beitrag Arbeitszeugnisse im internationalen Umfeld erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Arbeitszeugnisse im internationalen Umfeld

Warum am deutschsprachigen Zeugnis kein Weg vorbeiführt

Die Arbeitswelt kennt längst keine nationalen Grenzen mehr. Internationale Teams arbeiten standortübergreifend zusammen, Unternehmenssprache ist häufig Englisch, und viele Arbeitnehmer bewegen sich selbstverständlich auf einem globalen Arbeitsmarkt. Gerade in Konzernen mit internationalen Strukturen stellt sich deshalb regelmäßig eine praktische Frage: In welcher Sprache muss ein Arbeitszeugnis ausgestellt werden, wenn ein deutsches Arbeitsverhältnis endet?

Die Problematik gewinnt zusätzlich an Bedeutung, wenn Personalabteilungen im Ausland angesiedelt sind und dort keine deutschen Sprachkenntnisse und erst recht keine vertieften Kenntnisse des deutschen Zeugnisrechts vorhanden sind. Nicht selten wird dann angenommen, ein englischsprachiges Zeugnis genüge. Umgekehrt gehen aber auch deutsche Personalabteilungen oftmals davon aus, man könne Zeugnisse einfach von einer Sprache in eine andere übersetzen.

Tatsächlich gelten jedoch im deutschen Arbeitsrecht klare Grundsätze. Arbeitgeber sollten diese kennen, um rechtliche Risiken zu vermeiden und zugleich den Anforderungen eines internationalen Arbeitsmarkts gerecht zu werden.

Arbeitszeugnis und Sprachwahl – was verlangt das Gesetz?

Der Anspruch auf Erteilung eines Arbeitszeugnisses ergibt sich aus § 109 Gewerbeordnung (GewO). Danach hat der Arbeitnehmer bei Beendigung des Arbeitsverhältnisses Anspruch auf ein schriftliches Zeugnis, das klar und verständlich formuliert sein muss.

Eine ausdrückliche Regelung zur Sprache enthält das Gesetz allerdings nicht. Daraus wird gelegentlich der Schluss gezogen, Arbeitgeber könnten frei entscheiden, ob das Zeugnis auf Deutsch oder Englisch erstellt wird. Eine solche Annahme greift jedoch zu kurz.

In Literatur und Praxis wird überwiegend davon ausgegangen, dass ein Arbeitszeugnis für ein in Deutschland bestehendes Arbeitsverhältnis grundsätzlich in deutscher Sprache zu erteilen ist. Dies gilt unabhängig davon, ob der Arbeitnehmer deutscher Staatsangehöriger ist, welche Sprache im Unternehmen gesprochen wurde oder wo der Sitz des Unternehmens ist. Selbst ob der Arbeitnehmer Deutsch spricht, ist unerheblich.

Hintergrund ist der Zweck des Arbeitszeugnisses. Es dient dazu, künftigen Arbeitgebern auf dem deutschen Arbeitsmarkt eine Einschätzung über Qualifikation, Leistung und Verhalten des Arbeitnehmers zu ermöglichen. Damit das Dokument diesen Zweck erfüllen kann, muss es in der allgemeinen Verkehrssprache abgefasst sein – in Deutschland ist dies die deutsche Sprache.

Reicht ein englischsprachiges Zeugnis aus?

Viele international tätige Unternehmen verwenden Englisch als Betriebssprache. Besprechungen, E-Mails und Berichte werden ausschließlich auf Englisch erstellt. Dennoch folgt daraus nicht automatisch, dass auch das Arbeitszeugnis in englischer Sprache ausgestellt werden kann.

Ein ausschließlich englisches Zeugnis bewegt sich rechtlich auf unsicherem Terrain. Es spricht viel dafür, dass ein solches Dokument den gesetzlichen Zeugnisanspruch nicht vollständig erfüllt. Schließlich soll das Zeugnis gegenüber potentiellen Arbeitgebern ohne zusätzliche Übersetzungsleistungen verständlich und unmittelbar nutzbar sein.

Für Arbeitgeber bedeutet dies in der Praxis: Wird ein deutsches Arbeitsverhältnis beendet, sollte ein deutschsprachiges Zeugnis erstellt werden. Ein ausschließlich englisches Dokument kann den gesetzlichen Anforderungen nicht zuverlässig genügen.

Gibt es einen Anspruch auf ein englisches oder zweisprachiges Zeugnis?

Die zunehmende Internationalisierung führt dazu, dass Arbeitnehmer häufig zusätzlich eine englische Fassung wünschen. Dies gilt insbesondere dann, wenn Bewerbungen nicht nur in Deutschland, sondern auch im Ausland geplant sind.

Ein gesetzlicher Anspruch auf mehrere Sprachfassungen besteht jedoch grundsätzlich nicht. Der Arbeitnehmer kann ein Arbeitszeugnis verlangen, nicht aber mehrere Zeugnisse in unterschiedlichen Sprachen. Dies gilt selbst dann, wenn der Arbeitnehmer über keine oder nur geringe Deutschkenntnisse verfügt. Der gesetzliche Anspruch richtet sich grundsätzlich auf die deutsche Zeugnisfassung.

Allerdings können besondere Umstände jedenfalls die Ausstellung eines englischen Zeugnisses rechtfertigen. Denkbar ist dies etwa bei Arbeitsverhältnissen, die von einer Fremdsprache in besonderem Maße geprägt wurden. Beispiele hierfür sind Positionen mit englischer Unternehmenssprache, Tätigkeiten mit überwiegend englischsprachiger Kommunikation oder Funktionen in stark international ausgerichteten Organisationen.

In solchen Konstellationen kann die Erstellung einer zusätzlichen englischen Version sachgerecht erscheinen. Unabhängig von der Frage eines möglichen Anspruchs stellt die freiwillige Ausstellung eines zweisprachigen Zeugnisses oftmals eine praxisnahe und arbeitnehmerfreundliche Lösung dar.

Können Arbeitgeber und Arbeitnehmer ausschließlich Englisch als Sprache vereinbaren?

Grundsätzlich genießen die Parteien eines Arbeitsverhältnisses Vertragsfreiheit. Sie können zahlreiche Aspekte ihrer Zusammenarbeit selbst gestalten und auch eine bestimmte Vertragssprache festlegen. Daraus folgt jedoch nicht, dass auf ein deutsches Arbeitszeugnis verzichtet werden kann. Selbst wenn Arbeitsvertrag, interne Kommunikation und sämtliche Arbeitsprozesse ausschließlich auf Englisch erfolgen, bleibt unsicher, ob eine Vereinbarung über ein ausschließlich englisches Zeugnis wirksam wäre.

Zwar fehlt bislang eine höchstrichterliche Entscheidung zu dieser Frage. Vieles spricht jedoch dafür, dass der gesetzliche Zeugnisanspruch weiterhin die Erteilung eines deutschsprachigen Dokuments umfasst. Eine vertragliche Regelung, die lediglich ein englisches Zeugnis vorsieht, dürfte daher keine verlässliche Grundlage bieten. Der rechtssichere Weg besteht vielmehr darin, ein deutsches Zeugnis als Hauptdokument zu erstellen und bei Bedarf durch eine englische Fassung zu ergänzen.

Warum eine bloße Übersetzung häufig problematisch ist

In international aufgestellten Unternehmen wird häufig angenommen, ein Arbeitszeugnis könne problemlos übersetzt werden. Gerade hier lauern jedoch erhebliche Risiken.

Die deutsche Zeugnissprache hat sich über Jahrzehnte entwickelt und weist zahlreiche Besonderheiten auf. Viele Formulierungen besitzen eine feststehende Bedeutung, die für erfahrene Personalverantwortliche und Arbeitsrechtler unmittelbar Rückschlüsse auf die Bewertung zulässt. Bereits geringfügige sprachliche Abweichungen können eine andere Leistungsbeurteilung vermitteln. Diese feinen Abstufungen lassen sich oftmals nicht ohne Weiteres in andere Sprachen übertragen. Umgekehrt gilt dasselbe für englischsprachige Beurteilungssysteme, die auf anderen Traditionen und Erwartungen beruhen.

Eine mechanische Übersetzung kann deshalb dazu führen, dass Aussagen ihren ursprünglichen Bedeutungsgehalt verlieren oder missverständlich wirken. Arbeitgeber sollten daher vermeiden, Zeugnisse lediglich Wort für Wort zu übertragen. Stattdessen ist eine sprachliche und inhaltliche Anpassung an die jeweiligen Gepflogenheiten des Zielmarkts erforderlich.

Eigenständige fremdsprachige Referenzen als Alternative

Es kann daher sinnvoll sein, zusätzliche fremdsprachige Dokumente bereitzustellen, beispielsweise in Form eines angloamerikanischen Reference-Letters. Solche Dokumente sollten dann aber unabhängig vom deutschen Zeugnis ausgestellt werden und nur im Grundtenor der Bewertung gleich sein. Voraussetzung ist allerdings, dass deutlich gemacht wird, dass es sich nicht um das gesetzlich geschuldete Arbeitszeugnis handelt.

Ebenso sollte klargestellt werden, ob die fremdsprachige Fassung eine Übersetzung des deutschen Zeugnisses darstellt oder ein eigenständiges Dokument mit eigener Zielsetzung ist. Fehlt eine solche Klarstellung, können Missverständnisse entstehen, insbesondere wenn beide Unterlagen gemeinsam verwendet werden.

Worauf sollten Unternehmen bei mehrsprachigen Zeugnissen achten?

Entscheidet sich ein Arbeitgeber für die Erstellung mehrerer Sprachfassungen, empfiehlt sich eine sorgfältige Gestaltung.

Zunächst sollte eindeutig festgelegt werden, welche Fassung rechtlich maßgeblich ist. Aus Gründen der Rechtssicherheit bietet es sich an, die deutsche Version als verbindliche Ausgangsfassung zu definieren. Darüber hinaus sollten sämtliche Versionen inhaltlich aufeinander abgestimmt sein. Abweichende Leistungs- oder Verhaltensbewertungen können Streitigkeiten auslösen und die Glaubwürdigkeit der Dokumente beeinträchtigen.

Besondere Aufmerksamkeit verdient zudem die sprachliche Ausarbeitung. Eine fremdsprachige Fassung sollte nicht lediglich übersetzt, sondern unter Berücksichtigung der im jeweiligen Land üblichen Formulierungen erstellt werden.

Schließlich sollte jederzeit erkennbar bleiben, ob die fremdsprachige Version eine Übersetzung oder ein eigenständiges Referenzschreiben darstellt.

Fazit

Die internationale Ausrichtung vieler Unternehmen ändert nichts daran, dass das Arbeitszeugnis im deutschen Arbeitsrecht grundsätzlich deutschsprachig zu erteilen ist. Der gesetzliche Zeugnisanspruch orientiert sich weiterhin am deutschen Arbeitsmarkt und dessen Sprachgebrauch. Ein ausschließlich englisches Zeugnis bietet daher keine verlässliche rechtliche Grundlage. Ebenso besteht regelmäßig kein Anspruch auf mehrere Sprachfassungen.

Gleichwohl wird es oft angebracht sein, zusätzlich eine englische Version oder ein eigenständiges Referenzschreiben bereitzustellen. Dies erleichtert Arbeitnehmern die Bewerbung im Ausland und trägt den Anforderungen globaler Karrierewege Rechnung.

Das deutsche Arbeitszeugnis bildet die rechtlich maßgebliche Grundlage. Eine ergänzende fremdsprachige Fassung wird hierauf abgestimmt, eindeutig gekennzeichnet und auf die Besonderheiten des jeweiligen Zielmarktes zugeschnitten. Auf diese Weise lassen sich die Anforderungen des deutschen Zeugnisrechts mit den Bedürfnissen einer zunehmend internationalen Arbeitswelt verbinden. 

Autor

Lars Kussmann, LL.M. KLIEMT.Arbeitsrecht, Düsseldorf Rechtsanwalt, Associate

Lars Kussmann, LL.M.

KLIEMT.Arbeitsrecht, Düsseldorf
Rechtsanwalt, Associate

lars.kussmann@kliemt.de
www.kliemt.de

Der Beitrag Arbeitszeugnisse im internationalen Umfeld erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Liquidationsausschüttungen und die Mutter-Tochter-Richtlinie https://www.deutscheranwaltspiegel.de/deutscheranwaltspiegel/steuerrecht/liquidationsausschuettungen-und-die-mutter-tochter-richtlinie-162996/ Wed, 08 Jul 2026 09:02:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162996 Liquidationsausschüttungen und die Mutter-Tochter-Richtlinie

Zur richtlinienkonformen Auslegung von § 43b Abs. 1 Satz 4 EStG

Der Beitrag Liquidationsausschüttungen und die Mutter-Tochter-Richtlinie erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Liquidationsausschüttungen und die Mutter-Tochter-Richtlinie

Zur richtlinienkonformen Auslegung von § 43b Abs. 1 Satz 4 EStG

Problemaufriss

Eine inländische Tochtergesellschaft wird aufgelöst. Ihre europäische Muttergesellschaft erhält im Zuge der Liquidation noch Gewinnausschüttungen. Was auf den ersten Blick wie ein steuerrechtliches Randproblem wirkt, berührt bei näherer Betrachtung den Kern des europäischen Unternehmenssteuerrechts: Sind solche Ausschüttungen von der Quellensteuer befreit – oder versperrt das nationale Recht diesen Weg?

Den Rahmen gibt die sogenannte Mutter-Tochter-Richtlinie (MTR) vor. Sie ist das zentrale Instrument der Europäischen Union (EU), um die doppelte Besteuerung grenzüberschreitender Dividenden innerhalb von Konzernen zu verhindern. Konkret verpflichtet sie die Mitgliedstaaten, auf Gewinnausschüttungen zwischen verbundenen Unternehmen keine Quellensteuer zu erheben.

Der Bundesfinanzhof hat mit seiner jüngsten Entscheidung zu genau dieser Konstellation eine längst überfällige Klarstellung geliefert. Das Gericht hat dabei nicht nur die Reichweite von § 43b Abs. 1 Satz 4 Einkommensteuergesetz (EStG) – der nationalen Umsetzungsnorm – neu bestimmt. Es hat zugleich das Verhältnis zweier zentraler Vorschriften der Richtlinie grundlegend geklärt: Art. 4 MTR, der die Freistellung auf Ebene des Empfängerstaats regelt, und Art. 5 MTR, der das Quellensteuerverbot im Quellenstaat anordnet.

Der Fall

Ausgangsfall

Eine luxemburgische Société Anonyme (S.A.) war alleinige Gesellschafterin einer deutschen GmbH. Die GmbH wurde zum 31.12.2010 aufgelöst und befand sich seither in Liquidation; am 20.10.2015 wurde sie im Handelsregister gelöscht. In der Zwischenphase – namentlich am 12.11.2013 – beschloss die GmbH eine Gewinnausschüttung, die vollständig aus Gewinnen stammte, welche die Gesellschaft in ihrer aktiven, vorliquidativen Zeit erwirtschaftet hatte. Auf diese Ausschüttung wurde deutsche Kapitalertragsteuer einbehalten und abgeführt.

Die luxemburgische Muttergesellschaft beantragte am 08.12.2015 beim Bundeszentralamt für Steuern (BZSt) die Erteilung eines Freistellungsbescheids sowie die Erstattung der einbehaltenen Abzugsteuer nach § 50d Abs. 1 Satz 2 EStG. Der Antrag stützte sich auf § 43b Abs. 1 Satz 1 EStG, der in Umsetzung der MTR die vollständige Quellensteuerbefreiung für qualifizierte konzerninterne Dividenden vorsieht.

Haltung des BZSt

Das BZSt lehnte eine vollständige Erstattung ab. Es vertrat die Auffassung, die fraglichen Ausschüttungen seien keine Gewinnausschüttungen im Sinne von § 20 Abs. 1 Nr. 1 EStG, sondern als Abschlusszahlungen im Rahmen der Liquidation nach § 20 Abs. 1 Nr. 2 EStG zu qualifizieren.

Daneben berief es sich hilfsweise auf § 43b Abs. 1 Satz 4 EStG, der Kapitalerträge, die „anlässlich der Liquidation“ einer Tochtergesellschaft zufließen, ausdrücklich vom Anwendungsbereich von § 43b Abs. 1 Satz 1 EStG ausnimmt. Eine gewisse Entlastung gewährte das BZSt lediglich auf Basis des Doppelbesteuerungsabkommens Deutschland–Luxemburg vom 23.08.1958, das jedoch keinen vollständigen Quellensteuerausschluss vorsieht.

Verfahren vor dem Finanzgericht und dem BFH

Das Finanzgericht (FG) gab der Klage der S.A. im Wesentlichen statt, versagte aber hinsichtlich eines Teils der Ausschüttungen die Entlastung mit der Begründung, dieser Teil sei als Liquidationsabschlusszahlung im Sinne von § 20 Abs. 1 Nr. 2 EStG zu werten. Für die hier maßgebliche Ausschüttung vom 12.11.2013 hingegen bejahte das FG den Anspruch auf vollständige Freistellung: Die Rückausnahme von § 43b Abs. 1 Satz 4 EStG sei auf Gewinne, die vor Liquidationsbeginn entstanden seien, nicht anwendbar. Der Bundesfinanzhof (BFH, Urteil vom 03.03.2026 – VIII R 8/24) bestätigte diese Sichtweise und setzte damit einen klaren normativen Rahmen für die Behandlung vorliquidativer Gewinne im Kontext der MTR.

Die Rechtsfragen im Einzelnen

Dividende oder Liquidationsabschlusszahlung?

Die erste Weichenstellung: Handelt es sich bei der Ausschüttung um eine Dividende nach § 20 Abs. 1 Nr. 1 EStG – oder um eine Liquidationsabschlusszahlung nach § 20 Abs. 1 Nr. 2 EStG? Nur Dividenden im Sinne von Nr. 1 fallen in den Anwendungsbereich von § 43b EStG.

Der BFH folgte seiner langjährigen Rechtsprechung: Gewinne, die vor der Auflösung erwirtschaftet, aber erst danach ausgeschüttet werden, bleiben Dividenden im Sinne von § 20 Abs. 1 Nr. 1 EStG. Die zeitliche Verschiebung der Ausschüttung in die Liquidationsphase ändert am wirtschaftlichen Charakter nichts. Der Liquidationsstichtag markiert den Beginn der Abwicklung – nicht den Zeitpunkt der Gewinnrealisierung.

Die Reichweite von § 43b Abs. 1 Satz 4 EStG

Hier liegt die eigentliche Brisanz. § 43b Abs. 1 Satz 4 EStG normiert: Die Quellensteuerbefreiung gilt nicht für Kapitalerträge im Sinne von § 20 Abs. 1 Nr. 1 EStG, die „anlässlich der Liquidation“ einer Tochtergesellschaft zufließen. Der Wortlaut ist weit. Das BZSt las die Norm rein zeitlich: Jede Ausschüttung nach Beginn der Liquidation sei erfasst.

Der BFH hat dem klar widersprochen – und zwar auf der Grundlage eines zwingenden unionsrechtlichen Arguments: § 43b Abs. 1 Satz 4 EStG ist an Art. 5 MTR zu messen, der die Ausschüttung von Gewinnen aus der aktiven Zeit der aufgelösten Gesellschaft offensichtlich erfasst – und dieser enthält keine Ausschlussklausel für Liquidationsausschüttungen.

Art. 4 und Art. 5 MTR – zwei verschiedene Mechanismen

Die MTR enthält zwei strukturell verschiedene Regelungsmechanismen zur Vermeidung der Doppelbesteuerung grenzüberschreitender Dividenden:

  • Art. 4 MTR verpflichtet den Ansässigkeitsstaat der Muttergesellschaft, die erhaltenen Gewinnausschüttungen von der Besteuerung freizustellen oder eine Anrechnung zu gewähren. Diese Vorschrift enthält in Art. 4 Abs. 1 MTR ausdrücklich den Vorbehalt, dass die Pflicht zur Freistellung oder Anrechnung nicht für Gewinnausschüttungen gilt, die „anlässlich der Liquidation der Tochtergesellschaft“ erfolgen.
  • Art. 5 MTR verpflichtet demgegenüber den Ansässigkeitsstaat der Tochtergesellschaft – also im vorliegenden Fall Deutschland –, die von der Tochter an die Mutter gezahlten Gewinne vom Steuerabzug an der Quelle zu befreien. Und Art. 5 MTR enthält – anders als Art. 4 Abs. 1 MTR – gerade keinen Vorbehalt für Liquidationsausschüttungen. Dies ist kein Redaktionsversehen. Der Richtlinientext ist insoweit klar und eindeutig. Das Ziel von Art. 5 MTR – die Vermeidung der juristischen Doppelbesteuerung des Anteilseigners durch Quellensteuereinbehalt im Staat der Tochter – besteht unabhängig davon, ob die ausschüttende Gesellschaft sich in Liquidation befindet oder nicht.

Und genau hier liegt der entscheidende Punkt im vorliegenden Fall:

§ 43b Abs. 1 Satz 4 EstG schließt Liquidationsausschüttungen von der Quellensteuerbefreiung aus. Diese Einschränkung wäre unionsrechtlich unbedenklich, wenn Deutschland in der Rolle des Ansässigkeitsstaats der Muttergesellschaft handelte – denn Art. 4 Abs. 1 MTR erlaubt genau diesen Vorbehalt. Deutschland ist in der vorliegenden Konstellation aber nicht Mutterstaat, sondern Ansässigkeitsstaat der Tochtergesellschaft – und damit an Art. 5 MTR gebunden. Art. 5 MTR kennt keinen Liquidationsvorbehalt. Die nationale Norm überträgt also eine Einschränkung, die der Richtliniengeber bewusst nur dem Empfängerstaat zugestanden hat, auf den Quellenstaat – und geht damit über das hinaus, was die MTR erlaubt. § 43b Abs. 1 Satz 4 EStG ist insoweit richtlinienwidrig.

Richtlinienkonforme Auslegung nach dem Gesetzeswortlaut

Der Bundesfinanzhof hat daraus die richtige Konsequenz gezogen: Im Wege richtlinienkonformer Auslegung an Art. 5 MTR ist § 43b Abs. 1 Satz 4 EStG teleologisch zu reduzieren. Die Einschränkung erfasst danach nur Ausschüttungen, die ihren Entstehungsgrund in der Liquidation selbst haben – etwa die Verteilung von Liquidationserlösen.

Vorliquidative Gewinne, die lediglich zeitlich während der Abwicklung zur Auszahlung gelangen, bleiben von der Einschränkung von § 43b Abs. 1 Satz 4 EStG unberührt und genießen weiterhin die vollständige Quellensteuerbefreiung.

Bewusst offengelassen, aber möglicherweise – wie der BFH am Ende seiner Entscheidungsgründe selbst kritisch hinterfragt – ebenfalls in Zweifel zu ziehen ist die weitergehende Frage, ob bei einer deutschen Tochtergesellschaft auch Liquidationsgewinne im engeren Sinn nach § 20 Abs. 1 Nr. 2 EStG dem Quellensteuerausschluss unterliegen müssten. Die Logik des Urteils legt dies zumindest nahe: Wenn Art. 5 MTR keinen Liquidationsvorbehalt kennt, spricht vieles dafür, dass auch Bezüge, die wirtschaftlich einer Gewinnausschüttung gleichkommen, unter seinen Schutz fallen – ungeachtet ihrer formalen Einordnung als Liquidationsüberschuss.

Ausblick

Die Entscheidung ist zu begrüßen. Sie schafft im grenzüberschreitenden Konzernverbund eine spürbare Erleichterung – und das zu Recht. Der Quellensteuerabzug belastet nicht nur die Liquidität, sondern zwingt betroffene Unternehmen in ein Erstattungsverfahren beim Bundeszentralamt für Steuern, das erfahrungsgemäß erhebliche Zeit in Anspruch nimmt. Beides widerspricht dem Grundanliegen der Mutter-Tochter-Richtlinie: Sie soll sicherstellen, dass Gewinnausschüttungen zwischen verbundenen Unternehmen innerhalb der EU nicht durch Quellensteuereinbehalt im Staat der Tochter doppelt besteuert werden – unabhängig davon, in welcher gesellschaftsrechtlichen Situation sich die ausschüttende Gesellschaft befindet. Warum gerade die Liquidation der inländischen Tochtergesellschaft eine Schlechterstellung rechtfertigen soll, erschließt sich jedenfalls für vorliquidative Gewinne nicht.

Bleibt zu hoffen, dass die Entscheidung auch den Anstoß gibt, die offengebliebene Folgefrage zu klären: Wenn der BFH – wie dargestellt – bereits Liquidationsgewinne im engeren Sinn nach § 20 Abs. 1 Nr. 2 EStG mit erkennbarer Skepsis betrachtet, sollte auch insoweit zeitnah Rechtssicherheit geschaffen werden. Entweder durch eine Vorlage an den Europäischen Gerichtshof (EuGH) nach Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) – oder durch eine legislative Klarstellung, die dem Anwendungsbereich der MTR die Konturen gibt, die die Praxis benötigt. 

Autor

Peter Fabry SNP Schlawien Partnerschaft mbB, München Rechtsanwalt, Steuerberater, Partner

Peter Fabry

SNP Schlawien Partnerschaft mbB, München
Rechtsanwalt, Steuerberater, Partner

peter.fabry@snp.law
www.snp.law

Autor

Julia Fischer SNP Schlawien Partnerschaft mbB, München Rechtsanwältin, Associate

Julia Fischer

SNP Schlawien Partnerschaft mbB, München
Rechtsanwältin, Associate

julia.fischer@snp.law
www.snp.law

Der Beitrag Liquidationsausschüttungen und die Mutter-Tochter-Richtlinie erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
eDiscovery im Wandel https://www.deutscheranwaltspiegel.de/deutscheranwaltspiegel/digitalisierung/ediscovery-im-wandel-162992/ Wed, 08 Jul 2026 09:01:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162992 eDiscovery im Wandel

Zwischen Effizienz, Kontrolle und Verantwortung

Der Beitrag eDiscovery im Wandel erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
eDiscovery im Wandel

Zwischen Effizienz, Kontrolle und Verantwortung

eDiscovery und datengetriebene Rechtsprozesse stehen derzeit unter dem Einfluss mehrerer Entwicklungen, die für sich genommen bereits vertraut sind, in ihrer Kombination jedoch neue Herausforderungen schaffen. Generative KI, cloudbasierte Plattformen, geopolitische Abhängigkeiten sowie der Bedarf an stärker interdisziplinären Fähigkeiten wirken zunehmend gleichzeitig auf Prozesse und Organisationsmodelle ein. Dadurch entsteht in vielen Unternehmen ein wachsender Bedarf, diese Entwicklungen einzuordnen und in handhabbare Entscheidungen zu übersetzen.

In der Praxis zeigt sich dies an konkreten Fragen. Welche Daten dürfen in welcher Umgebung verarbeitet werden? Welche Rolle kann und darf KI übernehmen? Wie lässt sich die Belastbarkeit von Ergebnissen belegen? Welche Anforderungen ergeben sich aus Datenschutz und Souveränitätsüberlegungen? Und wie wird die Zusammenarbeit zwischen den beteiligten Funktionen organisiert?

Damit rücken Prozesse, Zuständigkeiten, Kontrollmechanismen und Entscheidungswege stärker in den Mittelpunkt. Richtig adressiert eröffnet sich eine positive Perspektive: eDiscovery kann schneller, konsistenter und besser steuerbar werden. Voraussetzung ist allerdings, dass die wesentlichen Einflussfaktoren nicht isoliert betrachtet werden. Cloudbasierte Plattformen schaffen die Grundlage für skalierbare KI-gestützte Analysen, werfen aber zugleich Fragen zu Datenlokation, Zugriff und Provider-Governance auf. Künstliche Intelligenz kann manuelle Arbeit reduzieren, erhöht aber Anforderungen an Validierung, Qualitätssicherung und Dokumentation. Souveränitätsüberlegungen wirken auf Technologie- und Providerentscheidungen zurück. Interdisziplinäre Fähigkeiten entscheiden schließlich darüber, ob technische Möglichkeiten wirksam genutzt und verantwortet werden können.

Entscheidend ist, diese Zusammenhänge zu verstehen und daraus konsistente Vorgehensweisen abzuleiten. Es geht weniger um einzelne Tools als vielmehr um die Fähigkeit, konsistente Entscheidungen über den gesamten Prozess hinweg zu treffen. Die folgenden Abschnitte greifen zentrale Zusammenhänge auf und zeigen, wie sie sich in konkrete Überlegungen zu Technologie, Governance und Operating-Model übersetzen lassen.

Generative KI: Effizienzpotential mit Nachweispflichten

Generative KI prägt die aktuelle Diskussion im eDiscovery-Kontext stärker als jede andere technologische Entwicklung der vergangenen Jahre. Die Erwartungen sind entsprechend hoch: Daten sollen schneller erschlossen, Erkenntnisse früher verfügbar und manuelle Arbeitsschritte zumindest teilweise automatisiert werden.

In der Praxis wird dieses Potential in ersten Anwendungsfeldern bereits Realität, etwa bei der Strukturierung und Priorisierung von Dokumenten, der Zusammenfassung von Inhalten oder der Unterstützung von Reviewprozessen. Mit der praktischen Nutzung rückt vor allem die Belastbarkeit der Ergebnisse in den Vordergrund. Im eDiscovery-Kontext genügt es nicht, dass ein Ergebnis plausibel wirkt. Entscheidend ist, dass nachvollziehbar ist, wie Ergebnisse zustande kommen, welche Kontrollen durchgeführt werden und auf welcher Grundlage sie als zuverlässig gelten können.

Der Aufwand verschiebt sich entsprechend: Weniger Zeit kann auf manuelle Erstbearbeitung entfallen; dafür gewinnen Validierung, Qualitätssicherung, Sampling, Dokumentation und fachliche Einordnung an Bedeutung. Gerade in sensiblen oder streitigen Kontexten wird diese Verschiebung zum Kern der praktischen Umsetzung.

Auch regulatorische Entwicklungen verstärken diesen Punkt. Anforderungen an Aufsicht, Dokumentation und Nachvollziehbarkeit wirken sich zunehmend direkt auf Prozesse und Toolnutzung aus.

Für Unternehmen ergibt sich daraus ein pragmatischer Ansatz. KI-Anwendungen sollten entlang konkreter Use-Cases betrachtet und im Hinblick auf ihren tatsächlichen Beitrag eingeordnet werden. Dazu gehört, Nutzen und Aufwand greifbar zu machen. Ebenso wichtig ist die Frage, ob die vorhandenen Kompetenzen ausreichen, um Ergebnisse fachlich einzuordnen und verantworten zu können.

Im Kern geht es damit weniger um die Einführung der Technologie als um ihre Einbettung: Wo liefert KI einen echten Mehrwert und unter welchen Bedingungen lassen sich Ergebnisse so absichern, dass sie im jeweiligen Kontext tragfähig sind?

Cloud: Skalierung mit Kontrollbedarf

Viele eDiscovery-Plattformen und Analyseumgebungen setzen heute cloudbasierte oder cloudnahe Infrastrukturen voraus. Treiber sind dabei Skalierbarkeit, Zusammenarbeit sowie die Verfügbarkeit spezialisierter Funktionen, insbesondere im Bereich KI.

Gleichzeitig ist die Ausgangslage in der Praxis heterogen. Während ein Teil der relevanten Daten bereits in cloudbasierten Systemen liegt, werden andere Daten bewusst lokal gehalten oder dürfen nicht in die Cloud überführt werden.

Vor diesem Hintergrund bleibt die Entscheidung für oder gegen die Cloud bestehen, lässt sich aber kaum noch pauschal beantworten. Sie wird vielmehr zu einer kontextabhängigen Abwägung: Welche Daten können in cloudbasierten Umgebungen verarbeitet werden, unter welchen Bedingungen, und wo sind alternative Ansätze erforderlich?

Für Unternehmen bedeutet das, bestehende Setups nicht nur operativ zu nutzen, sondern bewusst zu überprüfen. Viele Organisationen verfügen bereits über etablierte Cloudpartnerschaften oder hybride Infrastrukturen. Entscheidend ist, ob diese Strukturen den Anforderungen von eDiscovery tatsächlich gerecht werden, etwa im Hinblick auf Datenlokation, Zugriffsmöglichkeiten, Kontrollmechanismen und die Nachvollziehbarkeit der Verarbeitung.

Wo dies nicht der Fall ist, entstehen praktische Anpassungsbedarfe: etwa durch alternative Setups für bestimmte Datenkategorien, zusätzliche technische oder organisatorische Schutzmaßnahmen oder klar definierte Voraussetzungen für die Nutzung cloudbasierter Funktionen.

Gerade aus diesen Abwägungen heraus gewinnt die Frage der digitalen Souveränität an Bedeutung. Mit wachsender Abhängigkeit von globalen Plattformen rücken Aspekte wie Datenverarbeitung innerhalb bestimmter Jurisdiktionen, mögliche Drittstaatenzugriffe und Anbieterstrukturen stärker in den Fokus. Cloudstrategie wird damit zunehmend zu einer Gestaltungsfrage, die technologische Möglichkeiten, rechtliche Anforderungen und organisatorische Umsetzung miteinander verbinden muss.

Digitale Souveränität: Reichweite verstehen, Lösungen realistisch wählen

Die Diskussion um digitale Souveränität gewinnt zunehmend an Bedeutung. In der praktischen Umsetzung zeigt sich jedoch schnell, dass sich dieses Konzept nur begrenzt in Reinform abbilden lässt.

Eine vollständig „souveräne“ eDiscovery-Kette von Software über Cloudinfrastruktur und Hardware bis hin zu Support und Betrieb ist in der Praxis kaum umsetzbar. Technische Abhängigkeiten, etablierte Plattformlandschaften und wirtschaftliche Rahmenbedingungen setzen hier klare Grenzen.

Vor diesem Hintergrund verschiebt sich der Fokus. Es geht weniger um ein idealtypisches Zielbild, sondern um den Umgang mit bestehenden Abhängigkeiten. Je nach Kontext können Anforderungen an Datenhaltung, Zugriff und Kontrolle erheblich variieren. Entscheidend ist daher, zu verstehen, wo im konkreten Kontext Abhängigkeiten entstehen, welche davon tatsächlich relevant sind, welche bewusst reduziert werden sollen und wie weit sich dies realisieren lässt.

In der praktischen Umsetzung bedeutet das eine Reihe von Abwägungen. In manchen Szenarien treten Skalierbarkeit, Geschwindigkeit und Funktionalität in den Vordergrund, und bestehende Schutzmaßnahmen können ausreichen. In anderen Fällen rücken Kontrolle und Begrenzung von Abhängigkeiten stärker in den Fokus, etwa durch lokale Verarbeitung, eingeschränkte Zugriffe, zusätzliche Verschlüsselung, vertragliche Absicherungen oder alternative Setups. Eine ideale Lösung wird es dabei nicht in jedem Fall geben.

Die praktische Aufgabe besteht zunächst darin, den eigenen Bedarf zu klären. Welche Daten sind betroffen? Welche rechtlichen und geopolitischen Bezüge bestehen? Welche Zugriffe sind technisch möglich? Welche Abhängigkeiten entstehen durch Anbieter, Plattformen oder Betriebsmodelle und welche Risiken sind damit tatsächlich verbunden?

Erst auf dieser Grundlage lassen sich passende Lösungen auswählen. Das kann eine stärkere vertragliche Absicherung sein, ein anderes Hostingmodell, eine zusätzliche technische Schutzmaßnahme, ein zweites Plattformmodell für besonders sensible Matters oder ein klar definiertes Ausweichszenario. So wird digitale Souveränität von einem schwer greifbaren Begriff zu einem nutzbaren Entscheidungsmaßstab, ohne davon auszugehen, dass sich jede Abhängigkeit vollständig vermeiden lässt.

Organisation und Kompetenzen: Expertise neu zusammenführen

Neben Technologie und Infrastruktur verändert sich auch die organisatorische Seite von eDiscovery. Automatisierung und künstliche Intelligenz verschieben Tätigkeiten zunehmend von manueller Bearbeitung hin zu Steuerung, Validierung und fachlicher Einordnung. Gleichzeitig greifen Technologie, Methodik, Datenschutz und rechtliche Bewertung dabei enger ineinander. Dadurch verändert sich nicht nur, welche Fähigkeiten erforderlich sind, sondern auch, wie diese im Unternehmen organisiert und eingesetzt werden.

Wenn Systeme Dokumente zusammenfassen, Inhalte klassifizieren und Kommunikationsmuster sichtbar machen, vereinfacht dies den Zugang zu großen Datenbeständen. Gleichzeitig steigt jedoch der Bedarf an Personen, die Ergebnisse einordnen, Annahmen überprüfen und Fehlinterpretationen vermeiden können.

Damit verschiebt sich auch der Wertbeitrag von eDiscovery-Teams. Entscheidend ist weniger die Durchführung einzelner Arbeitsschritte als die Fähigkeit, Prozesse zu steuern, Annahmen zu prüfen und Ergebnisse belastbar einzuordnen. Im Vordergrund steht damit die Gestaltung eines Gesamtprozesses, der nachvollziehbar und defensibel bleibt.

Gleichzeitig werden die dafür erforderlichen Kompetenzen über mehrere Funktionen hinweg verteilt. Legal, Compliance, IT, Datenschutz und externe Dienstleister bringen jeweils unterschiedliche Perspektiven ein, die im konkreten Ablauf zusammengeführt werden müssen. Reibungsverluste entstehen dabei häufig nicht durch fehlende Technologie, sondern durch fehlende Abstimmung zwischen fachlichen, technischen und regulatorischen Anforderungen.

Für Unternehmen folgt daraus, dass Organisation und Kompetenzen bewusster gestaltet werden müssen. Ein belastbares Operating-Model muss nicht zwingend vollständig zentralisiert sein. In vielen Fällen wird ein hybrider Ansatz naheliegen: zentrale Standards, methodische Leitplanken, klare Governance und definierte Eskalationswege kombiniert mit der flexiblen Einbindung von Legal, Compliance, IT, Datenschutz, Fachfunktionen und externen Spezialisten. Das konkrete Organisationsmodell ist weniger entscheidend als die Fähigkeit, Expertise dort zusammenzuführen, wo Entscheidungen getroffen werden müssen.

Zusammenführen, was zusammenwirkt

Die beschriebenen Entwicklungen lassen sich zwar einzeln betrachten, lassen sich in der Praxis jedoch kaum unabhängig voneinander gestalten. Entscheidungen zum Einsatz von KI, zur Wahl und Nutzung von Plattformen, zu Datenlokation oder zu organisatorischer Verantwortung greifen ineinander und wirken aufeinander zurück.

Damit verändert sich der Anspruch an eDiscovery. Entscheidend ist weniger die einzelne Maßnahme als das Zusammenspiel der zugrundeliegenden Entscheidungen. KI, Cloud, Souveränität und Organisation sind keine getrennten Themen, sondern greifen in der praktischen Umsetzung unmittelbar ineinander.

Gute Lösungen entstehen dort, wo diese Zusammenhänge bewusst berücksichtigt werden. Das erfordert keine starre Zielarchitektur, sondern eine klare und konsistente Entscheidungslogik: Welche Daten werden wie verarbeitet, welche Technologien kommen zum Einsatz, welche Anforderungen gelten für Kontrolle und Nachvollziehbarkeit – und wer verantwortet diese Entscheidungen im Zusammenspiel?

Der Unterschied zeigt sich häufig erst im Ernstfall. Organisationen, die ihre Entscheidungszusammenhänge geklärt haben, können schneller reagieren, Abwägungen nachvollziehbar begründen und neue Anforderungen gezielt einordnen. Wo diese Grundlage fehlt, werden dieselben Fragen im laufenden Matter immer wieder neu gestellt, oft unter Zeitdruck und mit höherer Unsicherheit.

Der praktische Ansatz ist damit weniger eine einmalige Lösung als vielmehr eine kontinuierliche Aufgabe, die aus folgenden Schritten besteht: Entscheidungen konsistent aufeinander abstimmen, Annahmen regelmäßig überprüfen und Erfahrungen systematisch in zukünftige Prozesse überführen. In diesem Zusammenspiel wird eDiscovery zur steuerbaren Fähigkeit.

Hinweis der Redaktion:
Weitere Aspekte des Themas erläutern die Autoren in den folgenden Ausgaben des Deutschen AnwaltSpiegels. Seien Sie außerdem mit dabei, wenn Experten aus Litigation, Investigation und Compliance die Ergebnisse einer aktuellen Studie in einem exklusiven Roundtable diskutieren. Hier geht es zur Anmeldung. (tw)

Autor

Thomas Fritzsche

Deloitte, Berlin
Partner, Head of Forensic Technology & eDiscovery Services

thfritzsche@deloitte.de
www.deloitte.com

Autor

Dr. Klara Weiand Deloitte, Berlin Partner, Head of Analytics & Innovation

Dr. Klara Weiand

Deloitte, Berlin
Partner, Head of Analytics & Innovation

kweiand@deloitte.de
www.deloitte.com

Der Beitrag eDiscovery im Wandel erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Titanics im deutschen Rechtsmarkt https://www.deutscheranwaltspiegel.de/deutscheranwaltspiegel/rechtsmarkt/titanics-im-deutschen-rechtsmarkt-162990/ Wed, 08 Jul 2026 09:00:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162990 Titanics im deutschen Rechtsmarkt

Was die Krise der amerikanischen Midsize-Firms deutschen Sozietäten zu sagen hat

Der Beitrag Titanics im deutschen Rechtsmarkt erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Titanics im deutschen Rechtsmarkt

Was die Krise der amerikanischen Midsize-Firms deutschen Sozietäten zu sagen hat

Stephen Embry kommentierte auf dem Internetportal „Above the Law“ eine Analyse des Thomson Reuters Institute zum Law Firm Financial Index (LFFI) für das erste Quartal 2026 folgendermaßen: „Trouble for midsize law firms: Is the Titanic sinking?“ Die Studie selbst trägt den nüchterneren Titel „The Quiet Rate Erosion Impacting Midsize Law Firms“ – aber die Daten sind eindeutig und für den deutschen Rechtsmarkt lesenswert, auch wenn sie ausschließlich den US-Markt betrachten.

Die amerikanischen Zahlen

Midsize-Kanzleien in den USA – definiert als Marktkategorie mit einem Full-Service-Ansatz unterhalb der Am Law 200 – konnten ihre Stundensätze im ersten Quartal 2026 um 5,3% erhöhen. Das klingt nach Wachstum, ist aber ein Rückstand: Die Am Law 100 erzielten im selben Zeitraum 9,8%, die Am Law Second Hundred 6,9%. Dieser Abstand wächst seit Jahren beständig.

Gleichzeitig stiegen bei den Midsize-Firms die direkten, mandatsbezogenen Kosten am stärksten von allen drei Segmenten (5,4%), während die Investitionen in Technologie und Wissensmanagement die niedrigsten aller Segmente waren (6,2%). Bei den Recruitingausgaben für Lateral Hires lag der Wert sogar im negativen Bereich (–0,2 %), während die Am Law Second Hundred dort um 5,6% zulegte. Die Nachfrage wuchs mit 2,6% nahezu im Marktdurchschnitt. Das Problem der Midsize-Firms liegt allein auf der Preis- und Kostenseite.

Für Embry bestätigen diese Zahlen eine Markttheorie: Große Kanzleien gewinnen durch Skalierung und Komplexitätskompetenz, kleine Boutiquen durch niedrige Kosten und Fokus; die Mitte verliert auf beiden Flanken. Als wesentliche Ursache benennt er die konsensgetriebene Entscheidungskultur: In Midsize-Firms müssen Investitionsentscheidungen von der gesamten Partnerschaft getragen werden – anders als bei Großkanzleien mit zentralisiertem Management oder Boutiquen, bei denen die geringe Partnerzahl Entscheidungen erleichtert. Eine Lösung bietet Embry nicht; sein Beitrag endet mit dem Appell, Midsize-Firms müssten herausfinden, was sie besonders gut können.

Derselbe Befund, diesseits des Atlantiks

Für den deutschen Markt liefert der LFFI keine Daten, aber ein JUVE-Marktüberblick zu deutschen Mittelstandsberatern vom Frühjahr 20261 zeichnet ein ähnliches Bild. Deutsche Mittelstandsberater sind nicht deckungsgleich mit US-Midsize-Firms, teilen aber ähnliche Partnerkultur und einen breiten Full-Service-Ansatz.

Das Wachstum im Segment hat sich von mehr als 8% auf knapp 4% verlangsamt, die Produktivität stagniert in der Breite. Die Kostenseite ähnelt dem amerikanischen Befund: Bei mehreren untersuchten Kanzleien liegt die Kostenquote inzwischen bei knapp 70% des Umsatzes, getrieben durch IT-Investitionen, die bei einzelnen Sozietäten bereits über 10% der Gesamtkosten ausmachen – siebenstellige Einzelinvestitionen für Cloudmigrationen, sechsstellige jährliche KI-Lizenzkosten, auch bei Einheiten mit nur rund 50 Berufsträgern.

Stundensatzanpassungen sind nach wie vor eine Herausforderung, neben einzelnen Beobachtungen von Mandatsvereinbarungen, die seit zehn Jahren nicht nachverhandelt wurden, weil es vielen Partnern am betriebswirtschaftlichen Verständnis für das eigene Geschäft zu fehlen scheint. In vielen deutschen Mittelstandskanzleien bilden fehlendes Wirtschaftsverständnis, die Abwesenheit eines Managements und mangelnde finanzielle Hygiene eine unheilige Allianz.

Die Konsequenz ist genau die Polarisierung, die Embry für den amerikanischen Markt beschreibt: Während internationale Großkanzleien ihre Stundensätze regelmäßig erhöhen, tun sich viele deutsche Mittelstandskanzleien schwer, überhaupt die Inflation der vergangenen Jahre in ihrer Preisgestaltung nachzuvollziehen. Manche setzen darauf, von den freiwerdenden Marktanteilen der zu teuer werdenden Großkanzleien zu profitieren. Das mag berechtigt sein, ändert aber nichts an der strukturellen Schwäche, die sich in den eigenen Zahlen zeigt.

Eine alte Debatte, neu beleuchtet

Die Frage, ob das klassische Partnerschaftsmodell die nötige Transformation leisten kann, ist nicht neu. In einer Partnerschaft, in der jeder Equity-Partner mitreden möchte, Entscheidungen grundsätzlich für undelegierbar hält und auf das Vetorecht nicht verzichtet – und solche Konstellationen mit sehr vielen stimmberechtigten Partnern sind im deutschen Mittelstandssegment keine Seltenheit –, sei das eine Herkulesaufgabe.

Bereits seit Ende der 90er-Jahre, als internationale Kanzleien mit professionellem Management und klarer Strategie nach Deutschland kamen, positionierten sich deutsche Sozietäten gegen das Konzept der „Managed Firm“ und betonten ihre „partnerschaftlichen Strukturen“ – verstanden als Ablehnung zentralisierter Entscheidungsmacht zugunsten der Eigentümerstellung jedes einzelnen Partners. Eine damalige Analyse des Bucerius Center on the Legal Profession bezeichnete diese Dichotomie als überholt: Entscheidend sei nicht die Struktur an sich, sondern ob Partner sich auf eine Strategie für die Sozietät verständigen und konsequent umsetzen können.2

Bereits damals wurde der entscheidende Risikofaktor benannt: Strukturen, in denen ein wesentliches Element des Partnerrechts ein Vetorecht einzelner Partner ist, verhindern „letztlich jegliche strategische Ausrichtung und Umsetzung“. Damals fehlten empirische Belege für die Richtigkeit dieser These; inzwischen liegen sie vor. Und der Druck hat sich grundlegend verschärft: Heute stehen Mittelstandskanzleien gleichzeitig unter Druck von internationalen Großkanzleien oben und von technologiegetriebenen kleinen Einheiten unten, die dank KI erstmals auch komplexere Mandate übernehmen können. Der Lähmungsmechanismus wirkt damit ungleich schärfer als vor fünfzehn Jahren.

Das gilt auch für die Gewinnverteilung. Ein Lockstep-System, bei dem der Gewinnanteil allein von der Tenure abhängt, ist nur dann ein Strategieinstrument, wenn das Management auch durchsetzt, dass Partner dort arbeiten, wo es die Sozietät strategisch braucht, und Performanceabweichungen konsequent adressiert – andernfalls verkommt es zum Bestandsschutz für die Unproduktiven. In konsensgetriebenen Partnerschaften fehlt genau diese Durchsetzung: Niemand entzieht einem Partner, der sich dem strategischen Fokus verweigert, seinen Anteil, weil der Betroffene die entsprechende Mehrheitsentscheidung mit seiner eigenen Stimme blockieren kann. Ohne Management bleibt auch das kollegialste Gewinnverteilungssystem zahnlos.3

Das Berufsrecht kennt keine Führung

§ 59j BRAO regelt die Geschäftsführung von Berufsausübungsgesellschaften – denkt sie aber als Verwaltung, als Koordination des laufenden Betriebs, nicht als strategische Steuerung einer gemeinsamen unternehmerischen Ausrichtung. Die Norm ist primär darauf ausgerichtet, die Unabhängigkeit und Weisungsfreiheit der anwaltlichen Berufsträger gegen Einflussnahme der Geschäftsführung zu sichern. Das Gesetz schützt den einzelnen Anwalt vor seinen Kanzleipartnern – nicht die Sozietät als handlungsfähige strategische Einheit.

Ein Vergleich der drei umsatzstärksten unabhängigen deutschen Wirtschaftskanzleien des Jahres 2025 zeigt erhebliche Unterschiede beim Umsatz pro Berufsträger. Die Kanzlei mit dem niedrigsten Wert ist diejenige, die ihren Partnern die größte individuelle Freiheit belässt. Wer die Partnerschaft konsequent auf eine gemeinsame Strategie verpflichtet und Verabredungen auch durchsetzt, erwirtschaftet wirtschaftlich mehr.4

Im Mittelstandssegment zeigt sich dasselbe Muster: Sozietäten mit überdurchschnittlichem Wachstum beim Umsatz pro Berufsträger haben dies durch höherwertiges Mandatsgeschäft, gezielte Spezialisierung und Professionalisierung der internen Entscheidungsstrukturen erreicht – neugeschaffene Geschäftsführungspositionen mit echten Befugnissen, eine deutliche Reduktion interner Gremien und professionelle Business-Service-Funktionen jenseits der klassischen Kanzleiverwaltung. Eine Sozietät ist eben nicht einfach eine größere Version einer Einzelkanzlei. Mit zunehmender Größe steigen die Fixkosten exponentiell – heute vor allem für IT-Infrastruktur und qualifiziertes Personal. Diese höheren Kosten rechtfertigen sich nur, wenn die Kanzlei gleichzeitig komplexere, hochwertigere Mandate akquiriert, für die entsprechend höhere Honorare durchsetzbar sind. Eine Sozietät aus Einzelkämpfern, die echte Zusammenarbeit nur in Ausnahmefällen praktizieren, kann das nicht leisten.

„Crisis? What Crisis?“

Die Schlagzeile bei Above the Law ist, das muss man so deutlich sagen, in erster Linie Clickbait. Eine sinkende Titanic ist die amerikanische Midsize-Firm nicht, und die deutsche schon gar nicht – die Profitabilität wächst auch im Mittelstandssegment weiter, nur langsamer. Es geht nicht um eine akute Krise, sondern um eine Vorstufe davon. Krisen in Sozietäten verlaufen typischerweise in drei Stufen: einer strategischen Krise, die durch starke Einzelleistungen verdeckt bleibt, obwohl sich Geschäftsmodell und Mandantenstruktur bereits gegen die Kanzlei entwickeln; einer Ertragskrise, in der sinkende Margen, rückläufige Realisierungsquoten und wachsende Overhead-Kosten erstmals in der GuV sichtbar werden; und schließlich der Liquiditätskrise als erstem offenkundigem Stadium. Bereits in der Ertragskrise beginnt typischerweise die Abwanderung der Partner mit dem größten Marktwert, weil diese strukturelle Schwächen am frühesten erkennen und über Exitoptionen verfügen. Wird erst in der Liquiditätskrise gegengesteuert, ist eine Sanierung regelmäßig nicht mehr möglich – nicht, weil die Zahlen unrettbar wären, sondern weil mit den abgewanderten Partnern die Ertragsbasis fehlt, die eine Sanierung hätte tragen müssen.

Was folgt daraus?

Wer im verschärften Wettbewerb zwischen internationalen Großkanzleien und technologiegetriebenen kleinen Einheiten bestehen will, braucht Strategie und Investitionsfähigkeit – und das setzt voraus, in angemessener Zeit verbindliche Entscheidungen treffen zu können. Eine Kanzlei, deren wesentliche strategische Entscheidungen vom Konsens aller Partner oder von Mehrheiten jenseits der 75%- oder 80%-Marke abhängen, wird diese Fähigkeit nicht entwickeln. Nicht weil ihre Partner unfähig oder ihre Mandate weniger wertig wären, sondern weil die Struktur selbst lähmt: Diejenigen, die von einer Investition am wenigsten profitieren – Partner mit der kürzesten verbleibenden Berufsdauer –, können diejenigen blockieren, für die diese Investition über die Zukunftsfähigkeit ihrer beruflichen Existenz entscheidet.

Die Sozietäten, die im deutschen Mittelstandssegment derzeit positiv auffallen, haben genau hier angesetzt: Geschäftsführungsfunktionen mit echten Befugnissen, verschlankte Gremienstrukturen, reduzierte Exekutivverantwortung der Partner. Wer diesen Schritt nicht geht, wird die anstehenden Herausforderungen durch künstliche Intelligenz kaum bewältigen können. Das ist keine neue Erkenntnis. – aber eine, die im Licht der aktuellen Daten diesseits und jenseits des Atlantiks dringlicher geworden ist als noch vor wenigen Jahren. 

Quellen

  1. Ströder, Zeit zu wachsen, Juve Rechtsmarkt 5/2026, S. 17 ff. ↩
  2. Hartung/Aschenbrenner, „Partnerschaftliche Strukturen“ vs. „Managed Law Firm“ – Der Heilige Krieg zwischen verschiedenen Typen von wirtschaftsberatenden Anwaltskanzleien, Jahrbuch Deutscher Anwaltspiegel 2011/2012, S. 135. ↩
  3. Hartung, Gewinnverteilung unter Berücksichtigung des Managed Lockstep, in: Staub/Hehli Hidber, Management von Anwaltskanzleien, 2012, S. 592. ↩
  4. Ströder, Spitzenduell, Juve-Rechtsmarkt 5/2026, S. 29. ↩

Autor

Markus Hartung The Law Firm Companion, Berlin Geschäftsführender Gesellschafter, Rechtsanwalt markushartung@me.com www.markushartung.com

Markus Hartung

Gründer und Senior Fellow am Bucerius Center on the Legal Profession
Mitglied des Berufsrechtsausschusses des Deutschen Anwaltvereins, Berlin

markushartung@me.com
www.markushartung.com

Der Beitrag Titanics im deutschen Rechtsmarkt erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Geopolitische Cyberrisiken für Anwaltskanzleien https://www.deutscheranwaltspiegel.de/cybersecurityquarterly/cyber-security/geopolitische-cyberrisiken-fuer-anwaltskanzleien-162920/ Thu, 25 Jun 2026 08:04:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162920 Geopolitische Cyberrisiken für Anwaltskanzleien

Drei Führungsentscheidungen, die über Resilienz, Vertrauen und Handlungsfähigkeit entscheiden

Der Beitrag Geopolitische Cyberrisiken für Anwaltskanzleien erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Geopolitische Cyberrisiken für Anwaltskanzleien

Drei Führungsentscheidungen, die über Resilienz, Vertrauen und Handlungsfähigkeit entscheiden

Geopolitische Cyberrisiken sind für Anwaltskanzleien längst kein Randthema mehr. Sie sind unmittelbar, beständig und untrennbar mit der Arbeit verbunden, die Kanzleien für ihre Mandanten leisten. Anwaltskanzleien befinden sich an der Schnittstelle zwischen grenzüberschreitenden Transaktionen, sensiblen Rechtsstreitigkeiten und regulatorischen Angelegenheiten, die staatliche Interessen berühren können. Daher sind sie nicht nur selbst Ziele, sondern auch Zugänge zu ihren Mandanten und den von ihnen bearbeiteten Angelegenheiten.

In Zeiten eskalierender geopolitischer Spannungen dienen Cyberoperationen der Durchsetzung staatlicher Interessen und erstrecken sich auch auf benachbarte Organisationen im privaten Sektor. Für Anwaltskanzleien gehen diese Entwicklungen über technische Störungen hinaus und haben Auswirkungen auf die Mandantenbeziehungen, darunter verzögerte Transaktionen, Gefährdung der Vertraulichkeit und verstärkte behördliche Kontrollen (siehe hier).

Dieses Risiko lässt sich nicht allein durch technische Kontrollmaßnahmen bewältigen. Es erfordert Führungsentscheidungen in den Bereichen Risikotoleranz, Kundenengagement, Governance und Rechenschaftspflicht. Ein gewisses Risiko ist unvermeidbar; die Ergebnisse hängen davon ab, wie damit umgegangen wird.

Drei bewusste Entscheidungen versetzen Unternehmen in die Lage, Vertrauen zu bewahren, ihre Handlungsfähigkeit unter Beweis zu stellen und widerstandsfähig zu agieren. Das Risiko bestimmt, was das Unternehmen akzeptiert. Die Leistungsfähigkeit bestimmt, was es leisten kann. Die Entscheidungsbefugnis bestimmt, wie es handelt.

Entscheidung Nr. 1: Geopolitische Risikotoleranz und Risikosteuerung festlegen

Geopolitische Cyberrisiken sind eine Führungsentscheidung: Sie betrifft das Risikoniveau, das die Kanzlei akzeptieren will. Diese Entscheidung umfasst zwei Aspekte: die Festlegung der Risikotoleranz und deren konsequente Anwendung bei der Mandanten- und Mandatsauswahl.

Die Annahme neuer Mandate birgt sowohl Chancen als auch Risiken. Viele Kanzleien fokussieren sich auf Ersteres und definieren Letzteres nicht hinreichend. Ohne klare Positionierung verändert sich das Risikoprofil einer Kanzlei durch neue Standorte, Mandanten und Mandate schleichend – ohne dass dies bewusst gesteuert wird. Die Folge ist eine „Risiko-Drift“: Das Risiko wächst über die Zeit, ohne dass Kapazitäten oder Governance entsprechend angepasst werden.

Die Definition der Risikotoleranz erfordert ihre Anwendung bei der Mandats- und Klientenauswahl, denn nicht alle Mandate sind gleich risikoreich. Aufgaben, die sensible Rechtsordnungen, staatlich verbundene Einrichtungen oder regulierte Technologien betreffen, können das Risikoprofil erheblich verändern. Diese Risiken sind zu Beginn oft nicht erkennbar und manifestieren sich erst durch Vertragsstrukturen, Datenflüsse oder Beziehungen zwischen den Parteien. Ohne einen strukturierten Ansatz behandeln Kanzleien unter Umständen alle Mandate als gleichwertig – obwohl das definitiv nicht der Fall ist.

Jüngste Cyberangriffe auf Kanzleien wie Covington & Burling verdeutlichen, wie sich dieses Risiko konkret äußert: Die Angreifer – mutmaßlich staatlich gesteuert – nahmen gezielt die Kommunikation bestimmter Anwälte ins Visier, um Informationen für die Verfolgung geopolitischer Ziele zu erlangen. Die Kanzlei war dabei nicht das eigentliche Ziel, sondern der Zugangspunkt. Die Erkenntnis liegt auf der Hand: Das Risiko durch Klienten und Mandate ist der primäre Kanal, über den geopolitische Risiken in eine Kanzlei gelangen. Dies spiegelt ein allgemeineres Muster wider, von dem Organisationen aller Branchen betroffen sind (siehe hier).

Die Unternehmensleitung muss zwischen gewöhnlichen und erhöhten Risiken unterscheiden und diese Unterscheidung konsequent anwenden. Dazu kann es gehören, Risikoindikatoren in die Klienten- und Mandatsannahme zu integrieren sowie Eskalationswege festzulegen, um erhöhte Risiken zu erkennen und zu bewältigen. Ist die Kanzlei nicht bereit oder nicht in der Lage, diese Investitionen zu tätigen, muss sie möglicherweise bestimmte Mandate einschränken oder ein höheres Risikoniveau in Kauf nehmen.

Entscheidung Nr. 2: Sicherheitsmaßnahmen am akzeptierten Risikoniveau ausrichten

Diese Führungsentscheidung betrifft die zentrale Frage: Können wir die Risiken, für die wir uns entschieden haben, tatsächlich tragen? Die Diskrepanz zwischen Risikoanspruch und tatsächlicher Leistungsfähigkeit entsteht oft schleichend – wenn Kanzleien risikoreichere Mandate annehmen, ohne die erforderlichen Sicherheitsmaßnahmen entsprechend anzupassen.

Bei der Aufnahme neuer Mandanten oder Aktivitäten, die den digitalen Fußabdruck der Kanzlei erheblich vergrößern – etwa die Förderung von Remote-Arbeit –, sollten Führungskräfte kritisch prüfen, ob die vorhandenen Kapazitäten ausreichen, um das akzeptierte Risikoniveau zu tragen. Ist dies nicht der Fall, bestehen drei Optionen: in den Aufbau dieser Kapazitäten zu investieren, die betreffende Aktivität einzuschränken oder bewusst mit einem erhöhten Risikoniveau fortzufahren.

Die Vertretung eines prominenten oder politisch sensiblen Mandanten – wie in Entscheidung Nr. 1 beschrieben – erhöht die Wahrscheinlichkeit, ins Visier genommen zu werden. Die Abstimmung der Sicherheitsmaßnahmen auf das jeweilige Risiko ist daher grundlegend für eine erfolgreiche, risikobewusste Mandatsführung.

Eine ähnliche Dynamik gilt für operative Entscheidungen: Remote-Arbeit erweitert den Zugriff auf Kanzleisysteme und sensible Informationen über Standorte und Geräte hinweg. Um diese Flexibilität abzusichern, sind strengere Authentifizierungsverfahren, Gerätekontrolle und Überwachungsmaßnahmen erforderlich. Fehlen diese Kapazitäten, muss die Kanzlei entscheiden, ob sie investiert – oder das Arbeitsmodell einschränkt.

Die Wahl zwischen den drei Optionen – akzeptieren, investieren oder einschränken – ist eine unternehmerische Entscheidung, die jede Kanzlei individuell treffen muss. Wenn Kapazitäten und Risiko aufeinander abgestimmt sind, kann die Kanzlei mit Zuversicht handeln. Fehlt diese Abstimmung, bleiben Lücken bestehen – die sich oft erst unter Druck zeigen, wenn die Kosten der Fehlausrichtung am größten sind.

Entscheidung Nr. 3: Entscheidungsbefugnis für die Reaktion auf Cybervorfälle festlegen

Geopolitische Cybervorfälle stellen nicht nur die Reaktionsfähigkeit auf die Probe, sondern auch die Governancestrukturen: Wer ist befugt zu handeln? Wie werden Entscheidungen getroffen? Und können diese rechtzeitig umgesetzt werden, um den Schaden zu begrenzen?

Kanzleien sollten im Voraus festlegen, wer handlungsbefugt ist, wie Probleme eskaliert werden und unter welchen Umständen die Führungsebene eingeschaltet wird. Dies schließt die Definition klarer Eskalationskriterien ein. Geschäftsführende Partner, CISOs und Leiter der Rechtsabteilung übernehmen dabei unterschiedliche Rollen – diese müssen aufeinander abgestimmt sein, bevor ein Vorfall eintritt. Klare Zuständigkeiten und Verantwortlichkeiten entscheiden darüber, ob getroffene Entscheidungen im Nachhinein nachvollziehbar begründet werden können.

Ein typisches Beispiel: Hat die Kanzlei im Voraus festgelegt, wer befugt ist, kritische Geschäftssysteme während eines Vorfalls abzuschalten, um eine weitere Ausbreitung einzudämmen? Diese Entscheidung sollte vor – nicht während – eines Störfalls getroffen werden.

Klare Entscheidungsbefugnisse ermöglichen eine schnellere Eindämmung, eine konsistentere Kommunikation und besser begründbare Ergebnisse. Ohne sie sind Kanzleien gezwungen, unter größtem Zeitdruck zu handeln, ohne Klarheit darüber zu haben, wer entscheiden darf – und genau dann sind die Kosten einer Verzögerung am höchsten.

Letztendlich ist dies eine Frage der Einsatzbereitschaft: Kann die Kanzlei ihre Entscheidungen umsetzen, wenn es darauf ankommt?

Governance: Die drei Entscheidungen zu einem kohärenten System verbinden

Governance ist der Mechanismus, der diese Entscheidungen miteinander verknüpft und darüber entscheidet, ob sie unter Druck als kohärentes System funktionieren.

Die Entscheidungen sind voneinander abhängig: Die Risikotoleranz beeinflusst die Mandantenauswahl. Das Mandantenrisiko prägt die relevanten Vorfallsszenarien. Die Reaktion auf Sicherheitsvorfälle hängt von klar definierten Entscheidungsbefugnissen ab. Die Einsatzbereitschaft spiegelt wider, wie wirksam diese Elemente unter Druck zusammenspielen. Governance entscheidet darüber, ob diese Entscheidungen wie beabsichtigt umgesetzt werden – und ob sie bei genauer Prüfung verifiziert, getestet und erklärt werden können.

Governance übersetzt die Führungsabsicht in konsequente Praxis. Risikotoleranz, Eskalationswege und Entscheidungsbefugnisse müssen klar definiert sein, bevor sie auf die Probe gestellt werden. Fehlt diese Abstimmung, bleibt Risikotoleranz ein Wunschziel statt gelebter Praxis – und Risiko und Kapazitäten driften im Laufe der Zeit auseinander, selbst wenn einzelne Entscheidungen für sich genommen vernünftig erscheinen.

Europäische Rechtsrahmen untermauern diese Erwartung: Artikel 20 der NIS2-Richtlinie hebt die Verantwortung für Cybersicherheit ausdrücklich auf die Ebene der Vorstände und gleichwertiger Leitungsgremien.

Ohne Governance bleiben Entscheidungen informell und uneinheitlich. Mit Governance bilden sie ein System – nachvollziehbar, überprüfbar und gegenüber Mandanten sowie Aufsichtsbehörden erläuterbar.

Fazit

Zeiten geopolitischer Eskalation sind nicht nur Phasen erhöhten Risikos – sie sind Momente der Entscheidung. Anwaltskanzleien können geopolitische Cyberrisiken zwar nicht beseitigen, aber sie können proaktiv festlegen, wie diese Risiken gesteuert werden.

In solchen Momenten kommt es nicht nur darauf an, welche Entscheidungen getroffen werden. Entscheidend ist, ob die Kanzlei ihre Kapazitäten auf das Risikoniveau abgestimmt hat, das sie zu tragen bereit war.

Die Folgen reichen weit über Systemausfälle hinaus: Sie betreffen das Vertrauen der Mandanten, das Risiko regulatorischer Maßnahmen und die Fähigkeit der Kanzlei, ihre Entscheidungen im Falle einer Überprüfung zu begründen. Kanzleien, die ihren Ansatz im Voraus festlegen, sind besser in der Lage, ihre Mandanten zu schützen, den Geschäftsbetrieb aufrechtzuerhalten und das Vertrauen zu bewahren. Wer dies nicht tut, wird gezwungen sein, Entscheidungen in der Krise zu treffen – wenn die Kosten der Ungewissheit am höchsten sind.

Wie sich Cyberrisiken auswirken, entscheidet sich nicht erst in der Krise. Es kommt auf die Entscheidungen an, die Führungskräfte treffen, bevor eine Krise eintritt. 

Autor

Robert Kang Association of Corporate Counsel (ACC) Cybersecurity-Kolumnist, Adjunct Professor der Loyola Law School, Los Angeles & USC Viterbi School of Engineering

Robert Kang

Association of Corporate Counsel (ACC)
Cybersecurity-Kolumnist, Adjunct Professor der Loyola Law School, Los Angeles & USC Viterbi School of Engineering

media@acc.com
www.acc.com

Der Beitrag Geopolitische Cyberrisiken für Anwaltskanzleien erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Nach dem Cyberangriff beginnt die Haftungsprüfung https://www.deutscheranwaltspiegel.de/cybersecurityquarterly/cyber-security/nach-dem-cyberangriff-beginnt-die-haftungspruefung-162918/ Thu, 25 Jun 2026 08:03:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162918 Nach dem Cyberangriff beginnt die Haftungsprüfung

IT-Sicherheit ist Managementaufgabe: Was in der Praxis zu tun ist

Der Beitrag Nach dem Cyberangriff beginnt die Haftungsprüfung erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Nach dem Cyberangriff beginnt die Haftungsprüfung

IT-Sicherheit ist Managementaufgabe: Was in der Praxis zu tun ist

Cyberangriffe gehören inzwischen zu den größten Geschäftsrisiken für deutsche Unternehmen. Im Fokus stehen dabei in der Regel die wirtschaftlichen Folgen einer Betriebsunterbrechung, Wiederherstellungskosten oder Lösegeldforderungen. Weniger Beachtung findet jedoch oft eine andere Folge von Cybervorfällen: die Frage nach der Verantwortung und damit nach der Haftung. Denn wenn Kunden geschädigt werden, Daten abfließen oder Lieferverpflichtungen nicht erfüllt werden können, drohen betroffenen Unternehmen auch rechtliche Auseinandersetzungen.

Aus anwaltlicher Sicht zeigt sich, dass Haftungsfragen nach einem Cyberincident keinesfalls trivial sind. Dabei geht es nicht nur um die Frage, ob das betroffene Unternehmen selbst Schadensersatz leisten muss. Ebenso relevant ist, ob entstandene Schäden gegenüber IT-Dienstleistern, Verantwortlichen oder sogar den Angreifern regressiert werden können.

Die gute Nachricht für Unternehmen: Wer angemessene Sicherheitsmaßnahmen umsetzt, Prozesse dokumentiert und Vertragsbeziehungen sauber gestaltet, schafft eine solide Grundlage, um Ansprüche abzuwehren und eigene Ansprüche erfolgreich durchzusetzen.

Welche Haftungsrisiken bestehen für Unternehmen im Fall eines Cyberangriffs?

Ob eine Haftung besteht, hängt regelmäßig von einer Vielzahl technischer und rechtlicher Faktoren ab. Zunächst muss geklärt werden, was tatsächlich passiert ist und welche Ursachen dem Vorfall zugrundeliegen. Erst auf dieser Grundlage lässt sich bewerten, ob vertragliche oder gesetzliche Pflichten verletzt wurden.

Besondere Bedeutung kommt den vertraglichen Vereinbarungen mit Kunden zu. Hauptleistungspflichten und etwaige Nebenleistungspflichten sind zu identifizieren. Dabei bedarf es zum einen der Auswertung der Vertragsdokumentation und zum anderen der Kenntnis relevanter Rechtsprechung. Im Kern ist die Frage zu beantworten, welches Level der IT-Sicherheit zwischen den Vertragsparteien einzuhalten war. Enthält der Vertrag – wie in der Regel der Fall – dazu keine ausdrückliche Vereinbarung, stellt sich die Frage, ob spezialgesetzliche Regelungen im Einzelfall Anwendung finden. Kommt zum Beispiel die Datenschutz-Grundverordnung (DSGVO) zur Anwendung, müssen Unternehmen Sicherheitsmaßnahmen einsetzen, die nach dem jeweils aktuellen technischen Wissen – kurz zusammengefasst – machbar und praxistauglich sind, auch wenn noch nicht jedes vergleichbare Unternehmen sie nutzt. Sofern ein Unternehmen mit einer Zertifizierung (beispielsweise nach ISO 27001) im Außenverhältnis auftritt, können sich auch daraus vertraglich einzuhaltende Maßstäbe ergeben.

Auch muss der Ablauf, der zu einer Pflichtverletzung geführt hat, überhaupt erkennbar und vermeidbar gewesen sein. Wenn Angreifer über eine bis dato noch unbekannte Sicherheitslücke einer Software ins System des Unternehmens gekommen sind, kann diese Voraussetzung im Einzelfall durchaus in Zweifel gezogen werden.

Schwierigkeiten bereitet Anspruchstellern erfahrungsgemäß die Beschreibung und der Nachweis des ihnen konkret entstandenen Schadens. Denn nur ein Vermögensnachteil, der konkret ursächlich mit dem Vorfall verknüpft ist, kann einen Schadensersatzanspruch in dieser Höhe auch begründen. Bloße Leerlaufzeiten des Personals, weil aufgrund des Vorfalls „nichts geht“, können nicht ohne weiteres einen Schadensersatzanspruch begründen. Personalkosten, die auch ohne den Vorfall angefallen wären, sind nicht ersatzfähig. Entgangene Einnahmen müssen mindestens im Wege von Vergleichszeiträumen nachgewiesen werden. Konkret entgangene Aufträge lassen sich oft nur schwer belegen. Bei der Schadensberechnung verbieten sich also allzu grobe Schätzungen und pauschale Angaben, vielmehr braucht es eine konkrete Berechnung auf einer sauberen Tatsachengrundlage.

Neben vertraglichen Ansprüchen spielen auch gesetzliche Haftungsgrundlagen eine wichtige Rolle. Insbesondere Datenschutzverstöße können Schadensersatzansprüche von betroffenen Personen auslösen. Die Rechtsprechung beschäftigt sich seit Jahren intensiv mit der Frage, unter welchen Voraussetzungen und in welcher Höhe solche Ansprüche bestehen. Gerade im Rahmen eines Cybervorfalls, bei dem es vielfach gerade um die Veröffentlichung von unrechtmäßig erlangten Daten durch die Angreifer geht, kommt es oftmals zu Verstößen gegen die DSGVO. Diese Ansprüche beschäftigen sowohl die deutsche Justiz als auch den EuGH in den letzten Jahren regelmäßig. Weiterhin ringen die Gerichte darum, wie dieser Schadenersatzanspruch in der DSGVO zu verstehen ist. Auch hier gilt aber: Die Haftung für immaterielle Schäden im Datenschutzrecht befreit Betroffene ebenfalls nicht (völlig) vom Nachweis eines entstandenen Nachteils.

Haftung reverse: Wer kommt als Regressschuldner in Betracht?

Für Unternehmen stellt sich jedoch auch die umgekehrte Frage: Wer haftet für die eigenen Vermögenseinbußen?

Die Prüfung von sogenannten Regressansprüchen ist ebenfalls Teil der anwaltlichen Beratung bei Cybervorfällen. Wenn auch die Geltendmachung und Durchsetzung solcher Ansprüche zeitlich zumeist nachgelagert stattfindet, sind diese Ansprüche immer in die rechtlichen Überlegungen miteinzubeziehen, schon allein um eine Verjährung entsprechender Ansprüche zu verhindern.

Denkbare Schuldner eines Regressanspruchs sind zunächst IT-Dienstleister, die für das Unternehmen tätig waren (zum Beispiel bei Outsourcing). Ob ein Unternehmen sich bei seinem IT-Dienstleister schadlos halten kann, hängt maßgeblich davon ab, wie die konkreten vertraglichen Pflichten des IT-Dienstleisters und sein Verursachungsbeitrag zum Cybervorfall zu bewerten sind. Die Verträge zur Erbringung von IT- Dienstleistungen sind vielfach historisch gewachsene Vertragskonstruktionen, bestehend aus Rahmenverträgen, Nachträgen und Leistungsscheinen. Sie sind dabei nicht in allen Fällen juristisch hinreichend deutlich. Eine einheitliche Verwendung von Begrifflichkeiten und eine klare Struktur erleichtern es dem fachkundigen juristischen Leser, auf den vertraglichen Willen der Parteien zu schließen. Umso sauberer muss teilweise mit Hilfe von juristischem Handwerkszeug ermittelt werden, was vertraglich geschuldet war. Denn auch gegenüber einem IT-Dienstleister genügt natürlich allein der Verweis darauf nicht, dass es zu einem Vorfall gekommen ist, um dessen Haftung zu begründen. Auch ein IT-Dienstleister haftet wiederum nur für die jeweils konkret von ihm geschuldete Leistung und Sorgfalt.

Für die Regresssituation ist aber folgender Aspekt sehr wichtig: Je weitreichender das Outsourcing ist, desto schwieriger gestaltet sich vielfach die Prüfung und Durchsetzung von Regressansprüchen. Ausschlaggebend sind dafür vor allem zwei Punkte: Schon die Ermittlung des relevanten Sachverhalts ist schwierig, wenn der Einblick des Unternehmens in den spezifischen Bericht des IT-Systems aufgrund des Outsourcings begrenzt ist. Das Unternehmen ist dann von den Informationen des potentiellen Regressgegners abhängig. Hinreichende vertragliche Informationspflichten sollten in dem Outsourcingvertrag daher Berücksichtigung finden. Ob diese Ansprüche etwas wert sind, zeigt sich dann oftmals erst im Streitfall. Zudem kann ein weitreichendes Outsourcing auch zu einer faktischen Abhängigkeit führen und auch dadurch die Regresssituation komplex werden lassen. Ungeachtet regulatorischer Vorgaben, die ein Unternehmen oder einen Unternehmensleiter verpflichten, die IT-Sicherheit selbst in die Hand zu nehmen und damit die Möglichkeiten des Outsourcings zu beschränken, sollte ein (vielfach natürlich notwendiges) Outsourcing vertraglich auch mit Blick auf diese Fragen sorgfältig aufgesetzt und laufend überwacht werden.

Auch die Geltendmachung von Ansprüchen gegenüber Angreifern kommt grundsätzlich in Betracht, wenn diese denn – wie vielfach leider nicht – überhaupt bekannt sind. Mitunter können strafrechtliche Ermittlungen dazu aber tatsächlich hilfreiche Informationen liefern, und eine auch zivilrechtliche Inanspruchnahme der Täter kann geprüft werden. Ob ein bestehender Regressanspruch dann aber auch tatsächlich vollstreckt werden kann, steht wiederum auf einem anderen Blatt.

Zuletzt sollte in diesem Kontext auch ein denkbarer Regressanspruch gegen eigene Mitarbeiter oder Geschäftsleiter nicht unerwähnt bleiben. Den Regressmöglichkeiten gegenüber Arbeitnehmern sind aufgrund des sogenannten innerbetrieblichen Schadensausgleichs enge Grenzen gesetzt. Die Rechtsprechung sieht insoweit eine nur abgestufte Haftung von Arbeitnehmern vor (je nach subjektiver Vorwerfbarkeit). Die Inanspruchnahme eines Geschäftsleiters aufgrund eines Organisationsverschuldens erscheint eher erfolgversprechend, aber es sind aufgrund des bestehenden Haftungsregimes diverse Hürden im Rahmen eines Regresses zu nehmen.

Cybervorfälle lassen sich trotz hoher Sicherheitsstandards nicht immer verhindern. Unternehmen können ihre rechtliche Position jedoch erheblich stärken, wenn sie IT-Sicherheit als Managementaufgabe verstehen, Verantwortlichkeiten klar regeln und Vertragsbeziehungen sorgfältig gestalten. Wer technische Resilienz und rechtliche Vorsorge gleichermaßen berücksichtigt, reduziert nicht nur Risiken, sondern gewinnt auch entscheidende Handlungsspielräume im Ernstfall.

Autor

Dr. Franz König, LL.M. Bach Langheid Dallmayr, Köln Rechtsanwalt, Fachanwalt für Versicherungsrecht, Partner

Dr. Franz König, LL.M.

BLD Bach Langheid Dallmayr Rechtsanwälte, Köln
Rechtsanwalt, Fachanwalt für Versicherungsrecht, Partner

franz.koenig@bld.de
www.bld.de

Autor

Judith Schöningh, LL.M. BLD Bach Langheid Dallmayr Rechtsanwälte, Köln Rechtsanwältin, Fachanwältin für Versicherungsrecht, Partnerin

Judith Schöningh, LL.M.

BLD Bach Langheid Dallmayr Rechtsanwälte, Köln
Rechtsanwältin, Fachanwältin für Versicherungsrecht, Partnerin

judith.schoeningh@bld.de
www.bld.de

Der Beitrag Nach dem Cyberangriff beginnt die Haftungsprüfung erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
NIS2 verändert die öffentliche IT-Beschaffung grundlegend https://www.deutscheranwaltspiegel.de/cybersecurityquarterly/wirtschaftspraxis/nis2-veraendert-die-oeffentliche-it-beschaffung-grundlegend-162915/ Thu, 25 Jun 2026 08:02:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162915 NIS2 verändert die öffentliche IT-Beschaffung grundlegend

Resilienz und Lieferkettensicherheit im Fokus

Der Beitrag NIS2 verändert die öffentliche IT-Beschaffung grundlegend erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
NIS2 verändert die öffentliche IT-Beschaffung grundlegend

Resilienz und Lieferkettensicherheit im Fokus

Cybersicherheit wird durch NIS2 (EU-Richtlinie für Netz- und Informationssicherheit 2) für öffentliche Auftraggeber vom technischen Spezialthema zum vergaberechtlichen Pflichtprogramm: Wer IT beschafft, muss künftig neben Preis und Funktion auch nachweisbare Resilienz und Lieferkettensicherheit bewerten und einkaufen.

NIS2 erreicht die öffentliche Beschaffung

Das vor mehr als einem halben Jahr in Kraft getretene NIS2-Umsetzungsgesetz ist längst kein Zukunftsthema mehr, sondern geltendes Recht für Verwaltung und Wirtschaft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass circa 29.500 Unternehmen und Einrichtungen den neuen gesetzlichen Pflichten der IT-Sicherheit unterliegen.

Dies betrifft auch viele Behörden und öffentliche Unternehmen, die nun durch NIS2 reguliert werden. Dazu gehören Bundesbehörden, öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung sowie weitere Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Für Landesverwaltungen haben einige Länder, wie etwa Hessen, Niedersachsen und Rheinland-Pfalz, eigene Umsetzungsakte geschaffen.

Kommunale Verwaltungen sind dagegen nicht pauschal durch das NIS2-Umsetzungsgesetz erfasst. Kommunale Eigen- oder Regiebetriebe können aber dann in den Anwendungsbereich fallen, wenn sie kritische Anlagen betreiben oder als wirtschaftlich tätige Einrichtungen in die vom Umsetzungsgesetz erfassten Sektoren fallen und die Schwellenwerte für wichtige oder besonders wichtige Einrichtungen überschreiten.

Die Bestimmung der Anwendbarkeit der NIS2-Richtlinie kann mitunter sehr komplex sein. Für Vergabestellen heißt das: Vor der Ausschreibung steht eine sorgfältige Betroffenheitsprüfung.

Sicherheit in der Lieferkette und beim Einkauf

NIS2 verlangt von betroffenen Einrichtungen die Umsetzung von Risikomanagementmaßnahmen. Zu den Mindestmaßnahmen gehören ausdrücklich die Sicherheit der Lieferkette und die sicherheitsbezogenen Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern. Hinzu kommen Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung informationstechnischer Systeme, Komponenten und Prozesse einschließlich des Schwachstellenmanagements.

Diese Maßnahmen sind wichtig, weil viele Sicherheitsvorfälle nicht beim Auftraggeber selbst beginnen, sondern über Software, Dienstleister oder Unterauftragnehmer in die Organisation gelangen. Ein Auftraggeber, der einen unsicheren Dienstleister beauftragt, riskiert Sicherheitsvorfälle und kann durch dessen Verhalten selbst gegen NIS2-Pflichten verstoßen. Cybersicherheit ist damit nicht länger ein freiwilliges „Nice-to-have“. Sie wird zur zwingenden Voraussetzung und zum Kernbestandteil der geschuldeten Leistung.

Berücksichtigung in den Ausschreibungsunterlagen

Erster vergaberechtlicher Ansatzpunkt zur Umsetzung der NIS2-Pflichten ist die Eignung. Öffentliche Aufträge werden nach § 122 Gesetz gegen Wettbewerbsbeschränkungen (GWB) an fachkundige und leistungsfähige Unternehmen vergeben, die die vom Auftraggeber festgelegten Eignungskriterien erfüllen. Diese Kriterien dürfen insbesondere die technische und berufliche Leistungsfähigkeit betreffen und müssen mit dem Auftragsgegenstand in Verbindung stehen sowie verhältnismäßig sein.

Bei IT-Beschaffungen können Auftraggeber daher gezielt Nachweise zur Informationssicherheit verlangen. Anerkannte Zertifikate, wie etwa die Normen ISO/IEC 27001, 27002, 27701 und 27005, gewinnen dadurch an Bedeutung. Darüber hinaus kommen auch BSI-Personenzertifizierungen oder aussagekräftige Referenzprojekte in Betracht.

Ein weiterer zentraler Ansatzpunkt zur Sicherstellung der Einhaltung der NIS2-Anforderungen ist die Leistungsbeschreibung. Nach § 121 GWB ist der Auftragsgegenstand so eindeutig wie möglich zu beschreiben. Gerade bei IT-Sicherheit sollten Auftraggeber nicht bei allgemeinen Formeln wie „Stand der Technik“ stehen bleiben. Besser sind konkrete Funktions- und Leistungsanforderungen. Dazu gehören Sicherheitsmaßnahmen wie z.B. Verschlüsselung, Multi-Faktor-Authentifizierung, Schwachstellenmanagement, Notfallkommunikation und Meldewege.

Absicherung durch vertragliche Regelungen

Das Leistungssoll wird neben der Leistungsbeschreibung mit den vertraglichen Regelungen definiert, um die Einhaltung der erforderlichen IT-Sicherheitsmaßnahmen abzusichern. Dazu gehören unter anderem Kontroll- und Prüfrechte, eine verpflichtende Mitwirkung bei Sicherheitsvorfällen sowie gegebenenfalls Vertragsstrafen bei Verstößen. In diesem Zusammenhang sollen die Ergänzenden Vertragsbedingungen für die IT-Beschaffung (EVB-IT) perspektivisch neue Regelungen zur IT-Sicherheit enthalten, in denen die NIS2-Pflichten dauerhaft und systematisch verankert werden.

IT-Sicherheit als Zuschlagskriterium

Die Art und Weise der Umsetzung der Maßnahmen zur Sicherstellung der Cybersicherheit kann auch als inhaltliches Differenzierungskriterium bei der Entscheidung über den Zuschlag berücksichtigt werden.

Der Zuschlag wird nach § 127 GWB auf das wirtschaftlichste Angebot erteilt. Dabei ist das beste Preis-Leistungs-Verhältnis maßgeblich. Neben Preis oder Kosten können auch qualitative Kriterien berücksichtigt werden, wenn sie mit dem Auftragsgegenstand in Verbindung stehen, transparent beschrieben und überprüfbar sind.

Praktisch können Auftraggeber insbesondere höherwertige Zertifizierungen, überzeugende Sicherheitskonzepte, Incident-Response-Fähigkeiten oder den Umfang der Sicherheitsmaßnahmen in der Lieferkette bewerten und berücksichtigen. Funktionale Mindestanforderungen zur Einhaltung der Anforderungen nach NIS2 müssen jedoch bereits über die Leistungsbeschreibung und die vertraglichen Regelungen als abgesichertes Leistungssoll des Dienstleisters gewährleistet sein.

Für Bieter werden Nachweise zum Marktzugangserfordernis

Wer als Bieter dokumentierte Sicherheitsprozesse, belastbare Zertifizierungen, nachvollziehbares Lieferantenmanagement und Meldeprozesse vorweisen kann, wird in IT-Vergaben bessere Chancen haben. Wer nur allgemeine Compliancezusagen abgibt, wird dagegen Schwierigkeiten bekommen, Eignung, Leistungsfähigkeit und Angebotsqualität nachzuweisen.

Das betrifft nicht nur klassische IT-Dienstleister. Auch Hersteller digitaler Produkte, Betreiber von Rechenzentren, Cloud-Anbieter, Managed-Service-Provider, Wartungsdienstleister, Berater und Unterauftragnehmer werden häufiger nach Sicherheitskonzepten, Zertifikaten, Incident-Response-Fähigkeiten und Lieferkettentransparenz gefragt.

Was für Auftraggeber jetzt zählt

Für Auftraggeber liegt die wichtigste Veränderung auf organisatorischer Ebene: IT-Sicherheit darf nicht erst nach Zuschlag durch die Fachabteilung oder den Dienstleister „nachgezogen“ werden. Vergabe, IT-Sicherheit, Datenschutz, Fachbereich und Vertragsmanagement müssen die Anforderungen bereits bei Markterkundung, Leistungsbeschreibung und Wertungsmatrix gemeinsam definieren.

Der entscheidende Maßstab bleibt die Verhältnismäßigkeit. Für eine kritische Fachanwendung, ein Bürgerportal, ein Krankenhaus-IT-System oder einen kommunalen Versorger sind strengere Sicherheitsanforderungen naheliegender als für Standardleistungen ohne Zugriff auf sensible Systeme. Vergaberechtlich tragfähig sind Anforderungen vor allem dann, wenn sie risikoangemessen, auftragsbezogen, transparent, gleichwertigkeitsoffen und dokumentiert sind.

NIS2 macht die öffentliche IT-Beschaffung nicht einfacher. Sie macht aber sichtbar, was gute Beschaffung ohnehin leisten muss: Risiken erkennen, Anforderungen präzise formulieren, Qualität bewerten und Verträge so gestalten, dass Sicherheit nicht nur versprochen, sondern im Betrieb überprüfbar eingehalten wird. Wer Cybersicherheit so versteht, behandelt NIS2 nicht als zusätzliche Last, sondern als Qualitätsmaßstab für eine belastbare digitale Verwaltung. 

Autor

Dr. Annette Rosenkötter FPS, Frankfurt am Main Rechtsanwältin, Partnerin, Fachanwältin für Vergaberecht und für Verwaltungsrecht

Dr. Annette Rosenkötter

FPS, Frankfurt am Main
Rechtsanwältin, Partnerin, Fachanwältin für Vergaberecht und für Verwaltungsrecht

rosenkoetter@fps-law.de
www.fps-law.de

Autor

Dr. Johannes Zhou FPS, Frankfurt am Main Rechtsanwalt, Associate, IT und Datenschutz

Dr. Johannes Zhou

FPS, Frankfurt am Main
Rechtsanwalt, Associate, IT und Datenschutz

zhou@fps-law.de
www.fps-law.de

Der Beitrag NIS2 verändert die öffentliche IT-Beschaffung grundlegend erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Digitale Souveränität in die Umsetzung bringen https://www.deutscheranwaltspiegel.de/cybersecurityquarterly/digitalisierung/digitale-souveraenitaet-in-die-umsetzung-bringen-162905/ Thu, 25 Jun 2026 08:01:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162905 Digitale Souveränität in die Umsetzung bringen

Strukturierte Marktbedingungen, faire Beschaffung und Interoperabilität als Voraussetzungen eines belastbaren europäischen Cloudmarkts

Der Beitrag Digitale Souveränität in die Umsetzung bringen erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Digitale Souveränität in die Umsetzung bringen

Strukturierte Marktbedingungen, faire Beschaffung und Interoperabilität als Voraussetzungen eines belastbaren europäischen Cloudmarkts

Mit dem im Juni 2026 vorgestellten „European Technological Sovereignty Package“ der Europäischen Kommission rückt die digitale Eigenständigkeit in das Zentrum der Souveränitätsdebatte, indem es Maßnahmen für Halbleiter, künstliche Intelligenz und Cloudinfrastruktur mit einem einheitlichen Rahmen zur Bewertung der Cloud- und KI-Souveränität verbindet. Richtig sind die dem Vorschlag zugrundeliegenden Prinzipien – insbesondere mehr Offenheit und Interoperabilität bei gleichzeitiger Verringerung der Anbieterbindung.

Zugleich wird eine stärkere technologische Entkopplung Europas IT-Infrastruktur nicht per se resilienter machen. Vielmehr kommt es darauf an, Investitionen zu mobilisieren, Interoperabilität zu fördern, ein Lock-in begünstigende Praktiken zu beenden und eigenständige Entwicklungen vor allem in der Halbleitertechnologie voranzutreiben.

Die entscheidende Aufgabe verschiebt sich nun von der Ankündigung zur Umsetzung, denn die nationalen Regierungen müssen die kritischen Abhängigkeiten ihrer Lieferketten identifizieren und daraus Maßnahmen ableiten. Die folgenden Überlegungen entwickeln dies am Beispiel des Cloudmarkts, an dem sich zeigt, dass Souveränität weniger eine Frage der Abschottung als der von Wahlfreiheit und Selbstbestimmung ist.

Die Cloud als Systemmarkt: Mehr als Speicherplatz

Wer über Cloud spricht, denkt zunächst an Speicherplatz und ausgelagerte IT, doch das greift zu kurz, denn die Cloud ist längst der Ort, an dem Unternehmen arbeiten, Verwaltungen ihre Dienste betreiben und KI-Modelle trainiert werden. Sie ist damit ein Systemmarkt, dessen Gestaltung mitentscheidet, wie viel Wertschöpfung Europa selbst bestimmen kann; deshalb zählt nicht, ob wir eine Cloud nutzen, sondern unter welchen Bedingungen wir es tun.

Ein Markt kann technisch hochmodern und zugleich strukturell unfrei sein, wenn er für Nutzer bequem wirkt, einen Wechsel und Interoperabilität jedoch faktisch erschwert und Lock-ins begünstigt. Ein souverän gestalteter Cloudmarkt bedeutet deshalb nicht Abschottung, sondern er bedeutet, dass Wahlmöglichkeiten erhalten bleiben und Abhängigkeiten auflösbar sind, so dass Souveränität nicht Unabhängigkeit von allen meint, sondern die nachweisbare Fähigkeit, selbstbestimmt und im eigentlichen Kundeninteresse zu entscheiden. Die jüngste Untersuchung der EU-Kommission zu den Cloudlizenzierungspraktiken von Microsoft fügt sich entsprechend in diesen Rahmen ein.

Das Marktbild: Wachstum bei zugleich hoher Konzentration

Der europäische Cloudmarkt wächst mittlerweile dynamisch und wird hierdurch für nahezu alle Branchen geschäftskritisch, und darin liegt die Spannung: Denn je wichtiger die Cloud wird, desto folgenreicher ist die Frage, wer die zentralen Infrastrukturen und Vertragslogiken vorgibt. Die Marktanteile konzentrieren sich bei wenigen großen Anbietern, von denen einige ihre Marktmacht gezielt nutzen, um Kunden zur Nutzung weiterer Dienste im eigenen Ökosystem zu bewegen.

Abhängigkeiten entstehen jedoch nicht allein bei der Infrastruktur, sondern ebenso über Datenbanken, Identitätsdienste, Officeprodukte und zunehmend KI-Dienste, weil ein Kunde selten nur eine Leistung einkauft, sondern ein ganzes Ökosystem, dessen spätere Ablösung zum kostspieligen Großprojekt wird.

Es genügt deshalb nicht, Marktanteile isoliert zu betrachten, denn entscheidend ist das Zusammenspiel aus Marktmacht, Produktbreite und Wechselhürden, das den Wettbewerb über die Architektur der Systeme selbst bestimmt.

Wie ein Lock-in in der Praxis entsteht

Der Begriff des Lock-in klingt technisch, beschreibt aber konkrete Verhältnisse, in denen ein Kunde seinen Anbieter theoretisch zwar frei wählen kann, in der Praxis jedoch gezielt immer tiefer in das Ökosystem eines Anbieters gedrängt wird.

Die oft als Lösung dieses Problems angeführten Datenexporte beschreiben nur einen Teil der Wirklichkeit, denn selbst portierbare Daten nützen wenig, wenn Anwendungen, Berechtigungen und Complianceprozesse mitwandern müssen. Hinzu treten finanzielle Bindungen, so dass ein Lock-in selten als verschlossene Tür, sondern als Geflecht wirkt, das den Wechsel nicht verbietet, ihn aber unattraktiv macht.

Besonders anschaulich werden diese Effekte bei den Lizenzpraktiken für weit verbreitete Unternehmenssoftware, wie sie derzeit vor allem bei Microsoft zu beobachten sind, denn wenn zentrale Programme auf der eigenen Plattform günstiger lizenziert werden als auf konkurrierenden Clouds, bestimmt sich der Wettbewerb nach der tragfähigen Lizenzkombination statt nach der Qualität. Ähnlich wirkt die Bündelung an eine dominierende Produktwelt wie Microsoft 365, wodurch sich ein besseres Angebot zusätzlich gegen bestehende Verträge durchsetzen muss. Dadurch wirken die Lizenzmodelle von Microsoft wie eine unsichtbare Marktschranke.

Folgen für Wettbewerb, Innovation und Kosten

Die Folgen solcher Strukturen sind nicht abstrakt, sondern zeigen sich in Budgets und Innovationszyklen, denn hohe Wechselkosten und mangelnde Wahlfreiheit senken den Druck auf die Anbieter, dauerhaft bessere Konditionen zu bieten, während dominierende Produktbündel die Wettbewerber zwingen, gegen ein ganzes Ökosystem anzutreten.

Für die Innovationsfähigkeit ist das problematisch, weil junge europäische ebenso wie alternative Anbieter technologisch stark sein können, aber auf Kunden treffen, deren Systeme bereits tief in bestehende Plattformen eingebettet sind. Der Wettbewerb findet dann nicht mehr auf Augenhöhe statt und wirkt wie eine Innovationssteuer, die gerade jene Anbieter schwächt, die Europa eigentlich fördern müsste.

Auch die Cybersicherheit ist davon betroffen, denn Wahlfähigkeit schafft Resilienz. Ein souveräner Cloudmarkt steht nicht im Gegensatz zur Cybersicherheit, sondern bildet eine ihrer Voraussetzungen.

Wettbewerbsrecht: Den Markt offenhalten, ohne Technologie zu bremsen

Die wettbewerbsrechtliche Frage lautet nicht, ob große Anbieter erfolgreich sein dürfen, denn Erfolg und Innovation sind keine Rechtsverstöße. Problematisch wird es jedoch dort, wo Größe genutzt wird, um Wechselmöglichkeiten zu verengen oder die eigene Plattform durch Lizenz- und Bündelungsmechanismen zu bevorzugen. Die Wettbewerbsbehörden kritisieren solche Praktiken immer wieder, insbesondere bei Microsoft. Interoperabilität und Portabilität werden deshalb zur zentralen Maßgabe.

Interoperabilität verlangt nicht, dass alle Angebote gleich aufgebaut sind, sondern dass Systeme sinnvoll zusammenarbeiten, und Portabilität gewährleistet, dass Kunden ihre Daten ohne unverhältnismäßige Hürden herauslösen können. Hier setzt das regulatorische Momentum der EU an, denn die Vorschriften über digitale Märkte prüfen, ob zentrale Cloudleistungen als Zugangspunkte mit besonderer Verantwortung gelten, während die Regeln über den Datenzugang den Wechsel erleichtern.

Entscheidend wird jedoch sein, ob aus rechtlichen Zielen auch praktische Standards werden, denn ein Recht auf Wechsel hilft wenig, wenn dieser zu teuer oder zu intransparent bleibt. Das Wettbewerbsrecht ist dabei keine Innovationsbremse, sondern schafft Innovationsräume, weil es alternativen Anbietern eine faire Chance sichert.

Die öffentliche Hand: Resilient beschaffen statt abhängig digitalisieren

Für die öffentliche Hand ist die Cloudfrage besonders sensibel, weil Verwaltungen sensitive Daten verarbeiten und im Krisenfall handlungsfähig bleiben müssen, zugleich aber unter erheblichem Digitalisierungs- und Kostendruck stehen. Die Versuchung ist daher groß, den einfachsten Weg über einen großen Anbieter zu wählen.

Eine resiliente Beschaffung fragt jedoch nicht allein, ob eine Lösung heute funktioniert, sondern ebenso, ob ein Wechsel morgen möglich ist und sich Störungen abfedern lassen. Daraus folgt kein pauschales Verbot, sondern ein differenzierter Ansatz, der Risikoanalysen nach Kritikalität verlangt und verbindliche Ausstiegsstandards bereits bei der Ausschreibung wirksam werden lässt – unter anderem auch ein Ansatz, der im neuen EU Tech Sovereignty Package ausdrücklich adressiert wird.

Hier liegt auch der eigentliche Hebel für mehr Digitalsouveränität, denn die öffentliche Beschaffung ist wegen ihres Auftragsvolumens ein zentrales Instrument der Umsetzung. Souveränität lässt sich in objektive Kriterien übersetzen, die rechtliche Kontrolle, operative Resilienz und technologische Offenheit verlangen. Mit einem einheitlichen Bewertungsrahmen, wie ihn das EU-Souveränitätspaket vorsieht, wird Souveränität messbar und für Vergabeverfahren greifbar. Dadurch kann sie Wirkung entfalten, statt auf eine bloße Symbolpolitik reduziert zu werden.

Wirtschaft und Mittelstand: Wahlfreiheit muss alltagstauglich sein

Für Unternehmen, insbesondere den Mittelstand, ist die Debatte demgegenüber weniger ideologisch, denn hier ist vor allem die Frage entscheidend, was eine Lösung kostet, wie sicher sie ist und was geschieht, wenn ein Anbieter seine Preise, Lizenzen oder Prioritäten ändert.

Dabei hilft es wenig, wenn es theoretisch viele Anbieter gibt, der konkrete Wechsel aber an Lizenzfragen, Integrationskosten oder fehlenden Schnittstellen scheitert. Vielmehr müssen für einen fairen Cloudmarkt Preise vergleichbar und Wechselpfade planbar sein, so dass ein Unternehmen europäische und digitalsouveräne außereuropäische Anbieter einbinden kann, ohne wirtschaftlich bestraft zu werden.

Für die Marktaufsicht und die Politik ergibt sich daraus ein klarer Auftrag, der nicht darin besteht, zu entscheiden, welcher Anbieter sich durchsetzt, sondern darin, dafür zu sorgen, dass Kunden tatsächlich wählen können. Darin liegt der Unterschied zwischen einer lenkenden Industriepolitik und einer wirksamen Marktöffnung, denn ein offener Markt bevorzugt nicht automatisch europäische Anbieter, schafft aber die Bedingungen, unter denen sie realistisch konkurrieren können.

Jenseits der Cloud: Europas Infrastruktur als Aufbauprojekt

Die Bedeutung dieser Debatte reicht über die Cloud hinaus: Digitale Souveränität entsteht nicht allein über Marktregeln, sondern auch über den Aufbau eigener Kapazitäten, der sich nicht breitflächig und kurzfristig erreichen lässt. In Feldern wie der Halbleiterfertigung und den großen KI-Basismodellen fehlt Europa die nötige Tiefe. Das ist kein Makel, sondern zeigt, dass Eigenständigkeit nicht mit vollständiger Autarkie gleichzusetzen ist. Internationale Kooperationen dürfen allerdings nicht einseitig und konzentriert stattfinden, sondern müssen Risiken diversifizieren.

Wer diese Lage verändern will, muss zugleich an Finanzierung und Nachfrage ansetzen. Dafür muss die Kapitalmarktunion so vollendet werden, dass Wachstumsunternehmen ihre Finanzierungsrunden nicht außerhalb Europas aufnehmen müssen.

Fazit: Digitale Souveränität heißt überprüfbare Wahlfähigkeit

Damit schließt sich der Kreis zum Ausgangspunkt, denn die Cloud ist nicht nur Infrastruktur, sondern mittlerweile zur zentralen Steuerungsschicht der digitalen Wirtschaft und Verwaltung geworden.

Ein produktives Verständnis von Souveränität ruht auf drei Leitgedanken:

  • Wettbewerb muss praktisch möglich sein,
  • Souveränität muss in messbare Anforderungen übersetzt werden, und
  • Innovation braucht offene Märkte, in denen Kunden wechseln und vergleichen können.

Souveränität lässt sich nicht einmal und zu einem festgelegten Stichtag herstellen, sondern ist das Ergebnis vieler paralleler und wiederkehrender Migrations- und Beschaffungsentscheidungen. Schnelle Lokalisierungsvorgaben erzeugen dagegen vor allem Umstellungskosten zu Lasten des Mittelstands, ohne Europas Position nachhaltig zu verbessern. Tragfähig ist allein ein gestufter Pfad samt verbindlicher Interoperabilitätsstandards, Ausstiegspflichten in öffentlichen Verträgen und planbaren Migrationsfristen, flankiert vom Aufbau strategischer Partnerschaften, die einen wichtigen Beitrag zum digitalen Ökosystem leisten und sich dabei an fairen und offenen Wettbewerbsprinzipien orientieren.

Das neue europäische Souveränitätspaket setzt hierfür den richtigen Rahmen, doch seine Wirkung entscheidet sich nicht in der Ankündigung, sondern in der praktischen Umsetzung. Damit Europa dauerhaft handlungsfähig bleibt, müssen Abhängigkeiten identifiziert werden. Gleichzeitig sollten resiliente Beschaffungspraktiken gezielt gefördert werden, und es sollte sichergestellt werden, dass Lizenzmodelle nicht als versteckte Marktschranken wirken. Digitale Souveränität ist am Ende keine digitale Autarkie, sondern die nachweisbare Fähigkeit, selbstbestimmt zu entscheiden, mit wem wir zusammenarbeiten und welche Regeln dabei gelten.

Autor

Prof. Dr. Dennis-Kenji Kipker cyberintelligence.institute, Frankfurt am Main Research Director

Prof. Dr. Dennis-Kenji Kipker

cyberintelligence.institute, Frankfurt am Main/Berlin
Gründer und Research Director

dennis.kipker@cyberintelligence.institute
www.cyberintelligence.institute

Autor

Dr. Carolin Kemper Hasso-Plattner-Institut, Potsdam Postdoctoral Researcher „Technology and Regulation“

Dr. Carolin Kemper

Hasso-Plattner-Institut, Potsdam
Postdoctoral Researcher „Technology and Regulation“

carolin.kemper@hpi.de
www.hpi.de

Der Beitrag Digitale Souveränität in die Umsetzung bringen erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Souveränität in der Cloud https://www.deutscheranwaltspiegel.de/cybersecurityquarterly/digitalisierung/souveraenitaet-in-der-cloud-162903/ Thu, 25 Jun 2026 08:00:00 +0000 https://www.deutscheranwaltspiegel.de/?p=162903 Souveränität in der Cloud

Wettbewerb stärken für mehr digitale Sicherheit und Innovation

Der Beitrag Souveränität in der Cloud erschien zuerst auf DeutscherAnwaltSpiegel.

]]>
Souveränität in der Cloud

Wettbewerb stärken für mehr digitale Sicherheit und Innovation

Die Gestaltung des Cloudmarkts gilt als zentrale Stellschraube digitaler Souveränität. Gewachsene Abhängigkeiten und begrenzter Wettbewerb erschweren es Unternehmen und Behörden, ihre Cloudinfrastrukturen nach realen Anforderungen auszurichten. Die Folgen sind: steigende Kosten, gebremste Innovationsprozesse und unsichere IT-Strukturen.

Beim ersten Roundtable des Online-Magazins CyberSecurityQuarterly begrüßte Herausgeber und Moderator Prof. Dr. Thomas Wegerich als Experten Dr. Carolin Kemper, Postdoctoral Researcher „Technology and Regulation“ beim Hasso-Plattner-Institut in Potsdam, Prof. Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht und Berater der Bundesregierung sowie Research Director des cyberintelligence.institute, Dr. Hauke Hansen, Fachanwalt für Informationstechnologierecht sowie Urheber- und Medienrecht und Partner bei FPS, sowie Maximilian Sachse, Wirtschaftsredakteur der Frankfurter Allgemeinen Zeitung. Gemeinsam mit Vertretern aus Behörden und Unternehmen mit Schwerpunkt auf Digitalisierung, IT-Infrastruktur, Wettbewerb und digitaler Sicherheit diskutierten sie am 21.05.2026 im F.A.Z. Tower darüber, wo aus politischer, wirtschaftlicher und wettbewerbsrechtlicher Sicht derzeit besonderer Handlungsbedarf besteht (siehe hierzu auch den Beitrag von Kipker/Kemper).

Kriterien für IT-Sicherheit und digitale Souveränität

In der ersten Keynote erläuterte Dr. Carolin Kemper, welche technischen und organisatorischen Anforderungen eine sichere, resiliente und souveräne Cloudinfrastruktur erfüllen muss. Im Zentrum stand das Zusammenspiel von IT-Sicherheit, Personal- und Notfallplanung als Kernelemente eines übergreifenden Risikomanagements. Kemper analysierte den risikobasierten Regulierungsansatz, der in der europäischen Gesetzgebung, z.B. NIS2-Richtlinie und Cyber Resilience Act (CRA), angelegt ist. Sie hob hervor, dass dieser Ansatz das Compliancerisiko systematisch auf die Cloudanbieter überträgt, was Anbieter zu proaktivem Sicherheitsmanagement verpflichte. Große Unternehmen mit mächtigen Rechtsabteilungen, gutem Behördenzugang und großer Bußgeldtoleranz könnten diese regulatorische Unbestimmtheit einfacher absorbieren als KMUs.

Kemper plädierte dafür, digitale Souveränität als konkreten strukturellen Standortfaktor zu verstehen, der offene Standards, Interoperabilität und die Möglichkeit zum Anbieterwechsel einschließe. Als regulatorisches Referenzdokument verwies sie auf die Publikation des Bundesamts für Sicherheit in der Informationstechnik (BSI) „Criteria enabling Cloud Computing Autonomy“ (C3A), die konkrete Kriterien für souveräne Cloudnutzung im behördlichen und unternehmerischen Kontext formuliert. Bei der Anbieterauswahl empfahl sie, auf offene Standards zu setzen und systematische Abhängigkeiten zu vermeiden, die etwa durch Lock-in-Preisstrategien entstehen. So schließen z.B. vermeintlich attraktive Abomodelle die Nutzung alternativer Dienste aus oder schränken Wechselmöglichkeiten durch langfristige Vertragsbindung und technische Rahmenbedingungen ein. Digitale Souveränität bedeute, „selbstbestimmt zu handeln und die Hoheit über die eigenen Prozesse und Systeme zu haben“, unterstrich Kemper. Daten auf deutschen oder europäischen Servern zu lagern reiche dafür nicht aus.

Marktbezogene Barrieren und kartellrechtliche Herausforderungen

Die zweite Keynote eröffnete Prof. Dr. Dennis-Kenji Kipker mit der These, dass Cloudpolitik „keine Spezialfrage der IT“ sei, sondern darüber entscheide, „ob Europa digitale Wertschöpfung, Sicherheit und Innovationsfähigkeit selbst gestalten kann – oder ob zentrale Zukunftsmärkte dauerhaft von wenigen Plattformen vorstrukturiert werden“. Die Frage, an welchem Ort Daten gespeichert werden, trete dabei in den Hintergrund. Wichtiger sei, wie die gesamte digitale Wertschöpfung organisiert werde, auch im Hinblick auf künstliche Intelligenz und Cybersecurity. Der Cloudmarkt sei heute ein Systemmarkt, in dem sich Marktanteile und Skalenvorteile bei wenigen großen Anbietern konzentrieren.

Trotz des dynamischen Wachstums im Cloudsegment betrachtet Kipker dies als strukturelles Problem für den europäischen Wettbewerb. Das bereits von Kemper beschriebene Phänomen des „Lock-in“, bei dem Nutzer von einem Anbieter abhängig sind und Alternativen nur mit erheblichem Aufwand eingesetzt werden können, entstehe nicht allein durch technische Hürden. Das Zusammenspiel von Daten, Lizenzen, Produktbündeln, proprietären Schnittstellen und eingefahrenen Gewohnheiten erhöhe Kosten, verenge die Auswahl und schwäche alternative Anbieter systematisch. Das Kartellrecht müsse den Cloudmarkt durch Interoperabilität, Portabilität und faire Lizenzpraktiken offenhalten, um echten Wettbewerb zu ermöglichen.

Für die öffentliche Verwaltung betonte Kipker, dass digitale Souveränität mit unabhängiger Beschaffung, Exitfähigkeit und überprüfbaren Anforderungen an bestehende Abhängigkeiten beginne. Für KMUs entscheide sich Cloudfreiheit an konkreten Vertragsbedingungen, realen Migrationskosten und der Frage, ob Innovation ohne Plattformzwang möglich bleibt.

Ein offener Cloudmarkt sei die eigentliche Infrastrukturfrage hinter KI, Datenräumen, Forschung, Industrie 4.0 und Cybersecurity. Die aktuellen Weichenstellungen hätten daher Konsequenzen für die gesamte Digitalisierung Europas.

Podiumsdiskussion: Wege zu einem offenen und fairen Cloudmarkt

Die anschließende Podiumsdiskussion, an der neben Kemper und Kipker auch Hansen und Sachse ihre Positionen einbrachten, vertiefte die aufgeworfenen Fragen mit Blick auf vier Zielbereiche: Wettbewerb und Marktstrukturen, öffentliche Hand und digitale Souveränität, Wirtschaft und Wachstum sowie Europas digitale Zukunft.

DMA und Geopolitik: Regulierung unter Druck

Bei den von der EU-Kommission durchgeführten Marktuntersuchungen zu der Frage, ob Amazon Web Services (AWS) und Microsoft Azure als Gatekeeper im Sinne des Digital Markets Act (DMA) einzustufen seien, zeigte sich Hansen gespalten. Die Grundidee des DMA, proaktiv zu regulieren statt nachträglich zu reagieren, sei richtig. Zugleich stoße die Kommission auf die geopolitische Realität, dass US-Präsident Trump Druck über Zölle ausübt und die Amerikaner nun mit am Regulierungstisch sitzen. Kipker warnte davor, die Debatte auf USA versus Europa zu verengen. Es gehe darum, Abhängigkeiten und Risiken zu erkennen und resiliente Strukturen aufzubauen. Kemper ergänzte um eine rechtswissenschaftliche Einschränkung: Der DMA definiert Gatekeeper als Gateway zwischen Business-Usern und End-Usern. Das Konzept passt für klassische Plattformen wie den Amazon Marketplace, greift bei Cloudinfrastruktur aber nicht vollständig, weil Cloud primär Ressourcen bereitstellt. Für Clouddienste gibt es im DMA daher zwar allgemeine, aber keine spezifischen Pflichten. Interoperabilität und Datenportabilität für Cloud sind eher im Data Act geregelt.

Souveränität im Alltag: Praxisdilemma und Alternativen

Sachse betonte, dass europäische Cloudanbieter technisch durchaus konkurrenzfähig seien, aber an Funktions- und Toolvielfalt nicht mit AWS oder Azure mithalten könnten. Kipker forderte daher ein Register souveräner Alternativprodukte, um KMUs und Kommunen auf verfügbare Alternativen hinzuweisen, denn der Alltagsdruck lasse keine Zeit für eigene Marktrecherche.

Viele Mandanten im Mittelstand hätten laut Hansen weder Zeit noch Ressourcen, sich mit der Frage der digitalen Souveränität zu befassen. Ein geschlossenes Ökosystem wie Microsoft sei für sie vor allem bequem und verlässlich. Selbst wenn der Wille zur Veränderung vorhanden sei, komme man aufgrund der Trägheit der Beschaffungsstrukturen nicht ohne Weiteres aus eingefahrenen Routinen heraus. IT-Migrationsprojekte gelten als Risiko ohne politischen Gewinn: Im besten Fall geht nichts schief.

Sachse plädierte dafür, dass der Staat als Ankerkunde Vertrauen in Alternativen schaffen könne. Wenn eine Behörde erfolgreich auf eine europäische Lösung umstellt, strahle das in den Privatmarkt aus. Als Positivbeispiel wurde Schleswig-Holstein mehrfach genannt, das einen weitgehend erfolgreichen Open-Source-Umstieg vollzogen hat, auch weil Microsoft dort über keine Lobbydruckmittel verfügt, weder Rechenzentren noch Standorte. Anders verlief es in München: Nach einem zunächst erfolgversprechenden Linux-Projekt kehrte die Stadt vollständig ins Microsoft-Ökosystem zurück. In der Open-Source-Community ist dieser Vorgang bis heute nicht abschließend erklärt; Kipker führt ihn auf Lobbyarbeit und Investitionsdruck zurück. Kemper brachte einen pragmatischen Ansatz ein: Man müsse bei bestehenden Hyperscalern auf offenen Standards bestehen, so dass eine Migration zu einem anderen Anbieter prinzipiell möglich bleibt.

Sanktionen, Souveränität und das Scheitern von GAIA-X

Ob Regulierung mit Bußgeldern der richtige Hebel sei, um Unternehmen zur Souveränität zu bewegen, blieb in der Diskussion offen. Hansen verwies auf die Wirkung persönlicher Haftung: So wie die Datenschutz-Grundverordnung (DSGVO) nach 2018 plötzlich Chefsache wurde, könnten Sanktionen auch hier Bewegung erzeugen. In wirtschaftlich schwierigen Zeiten sei das politisch allerdings heikel, weil es als Überregulierung wahrgenommen werde.

Kemper differenzierte: Für IT-Sicherheit und Datenschutz sei ein Regulierungseingriff als grundrechtlich fundiertes Ziel gut begründbar. Bei digitaler Souveränität als politischem Konstrukt sei das weniger klar. Sinnvoller sei es, faire Marktbedingungen bei den Cloudanbietern selbst durchzusetzen. Kipker ergänzte, dass die NIS2-Umsetzung zeige, wie Sanktionsdrohungen allein nicht reichen: Von den rund 30.000 betroffenen Unternehmen hatte sich zum Meldestichtag nur etwa die Hälfte beim BSI registriert, das zudem nicht genug Personal zur Durchsetzung hat.

Warum GAIA-X als „Cloud-Airbus“ gescheitert sei, beantworteten alle Diskutanten ähnlich: Das politisch zusammengestellte Konsortium konnte keine gemeinsame Vision entwickeln. Deutsche und französische Akteure hatten unterschiedliche Vorstellungen, etablierte europäische Cloudanbieter sahen keinen Anreiz, sich selbst Konkurrenz zu machen. Am Ende verlagerte sich das Projekt von einem gemeinsamen Cloud-Provider auf Datenräume und Standardsetzung, mit kaum messbarer Marktdurchdringung. Sachse fragte, ob das europäische „Airbus-Denken“, alles perfekt und groß oder gar nicht, selbst das Problem sei, und plädierte dafür, bestehenden europäischen Anbietern gute Rahmenbedingungen zu geben, statt erneut komplizierte Konsortien zu gründen.

Ausblick: Was die nächsten fünf Jahre entscheiden

Der abschließende Blick in die „Glaskugel“ zeichnete ein deutliches Bild: Digitale Souveränität ist kein Selbstzweck – sie ist die Voraussetzung dafür, dass Europa in einer zunehmend fragmentierten Welt handlungsfähig bleibt. Die Diskutanten waren sich einig, dass Wechselfreiheit keine technische Frage ist, sondern eine Frage der Selbstbestimmung – ob von Azure zu AWS oder zu Nextcloud. Gefordert sind technisch sinnvolle Lösungen, marktwirtschaftlich entwickelte europäische Alternativen ohne politisch erzwungene Konsortien und transparente Beschaffungsmöglichkeiten für alle: öffentliche Hand, Privatwirtschaft und Einzelverbraucher. Damit Cloudsouveränität das wird, was sie sein sollte: eine wirtschaftliche Entscheidung, keine politische Notlösung.

Autor

Dr. Thomas R. Wolf F.A.Z. BUSINESS MEDIA GmbH, Frankfurt am Main Redakteur Rechtspublikationen

Dr. Thomas R. Wolf

F.A.Z. Business Media GmbH, Frankfurt am Main
Redakteur Rechtspublikationen

thomas.wolf@faz-bm.de
www.deutscheranwaltspiegel.de

Der Beitrag Souveränität in der Cloud erschien zuerst auf DeutscherAnwaltSpiegel.

]]>