LEGANTA® Sovereignty Guard ist das spezialisierte Modul zur Erkennung, Bewertung und Überwachung digitaler Souveränität in IT-Verträgen. Es schützt Organisationen vor technologischer Abhängigkeit, Datenverlust und Drittstaatenzugriff – und macht digitale Selbstbestimmung vertraglich messbar und steuerbar.

LEGANTA® Sovereignty Guard basiert auf der vollständigen Digitalisierung und semantischen Analyse des Vertragsinhalts („Form follows Contract“). Es erkennt souveränitätsrelevante Klauseln, bewertet Risiken und integriert externe Ereignisse in die LEGANTA® OntoSphere, d.h. Vertragsinhalte werden mit den drei semantischen Räumen verknüpft:

• Geschäftsraum: Vertragsobjekte, Leistungsversprechen, Lieferketten.
• Rechtsraum: Vergaberecht, Datenschutz, EVB-IT, DSGVO, NIS2.
• Resonanzraum: Externe Risiken wie geopolitische Entwicklungen, Gesetzesänderungen, Marktveränderungen.

Für das Management stehen umfassende Outputformate zur Verfügung:

• Souveränitätsindex: Bewertungskennzahl pro Vertrag oder Anbieter.
• Klauselreport: Ampelbewertung aller relevanten Vertragsklauseln.
• Audit-Trail: Revisionssichere Dokumentation aller Bewertungsschritte.
• Empfehlung: Zuschlags- oder Änderungsentscheidung auf Basis digitaler Selbstbestimmung.

Besonderer Nutzen für die Öffentliche Verwaltung

LEGANTA® Sovereignty Guard unterstützt öffentliche Auftraggeber bei der souveränitätsorientierten Vergabe von IT-Leistungen – insbesondere bei EVB-IT Cloud-, Kauf- und Dienstleistungsverträgen. Es hilft, digitale Souveränität als Vergabekriterium zu verankern und Auditierbarkeit, Datenhoheit und Exit-Strategien systematisch zu bewerten.

In Kombination mit dem Modul Sovereign Procurement Advisor und der Sovereignty Score Engine bietet LEGANTA® eine vollständige Lösung zur souveränitätsorientierten Ausschreibungsunterstützung.

Digitale Souveränität in den Branchen

Digitale Souveränität spielt in der IT heute in vielen Branchen eine zentrale Rolle – insbesondere dort, wo Datenhoheit, regulatorische Anforderungen und technologische Abhängigkeiten kritisch sind. Hier sind die wichtigsten Branchen mit konkreten Beispielen:

1. Öffentlicher Sektor & Verwaltung

Beispiel: Ministerien, Kommunen, Behörden.

Relevanz: Schutz vor Drittstaatenzugriff (z. B. CLOUD Act), EU-Datenlokalität, Vergaberecht.

Typische Klauseln: No-Spy, Datenlokalisierung, Exit-Strategie.

EVB-IT Bezug: Direkt betroffen durch EVB-IT Cloud und Kaufverträge.

2. Finanz- & Versicherungswesen

Beispiel: Banken, Versicherungen, FinTechs.

Relevanz: BaFin-Vorgaben, DSGVO, Outsourcing-Risiken.

Typische Klauseln: Audit-Rechte, Verschlüsselung, Echtzeit-Portabilität.

Souveränitätsrisiko: Cloud-Abhängigkeit, algorithmische Intransparenz.

3. Gesundheitswesen

Beispiel: Krankenhäuser, Krankenkassen, MedTech.

Relevanz: Schutz sensibler Gesundheitsdaten, Interoperabilität von Systemen.

Typische Klauseln: Datenlokalität, Verschlüsselung, Open Standards.

Souveränitätsrisiko: Proprietäre Plattformen, fehlende Exit-Strategien.

4. Industrie & Produktion

Beispiel: Maschinenbau, Automotive, Chemie.

Relevanz: Smart Factory, IoT-Plattformen, digitale Zwillinge.

Typische Klauseln: Schnittstellenoffenheit, Datenzugriff, Vendor Lock-in.

Souveränitätsrisiko: Abhängigkeit von proprietären Cloud-Ökosystemen.

5. Energie & Infrastruktur

Beispiel: Netzbetreiber, Stadtwerke, Versorger.

Relevanz: Kritische Infrastruktur, NIS2-Richtlinie, Echtzeitdaten.

Typische Klauseln: Echtzeit-Portabilität, Auditierbarkeit, Subunternehmertransparenz.

Souveränitätsrisiko: Fremdsteuerung durch Plattformanbieter.

6. Forschung & Bildung

Beispiel: Hochschulen, Forschungszentren.

Relevanz: Wissenschaftsfreiheit, Datenhoheit, Open Science.

Typische Klauseln: Open Source, Datenlokalität, Exportformate.

Souveränitätsrisiko: Cloud-only-Lösungen ohne Rückholoption.

Digitale Souveränität und Vergaberecht

Die besondere Bedeutung der digitalen Souveränität in der öffentlichen Verwaltung unter Berücksichtigung des Vergaberechts lässt sich in drei zentralen Punkten zusammenfassen:

1. Vergaberecht als strategischer Hebel

Das Vergaberecht bestimmt, welche IT-Leistungen die öffentliche Hand beschaffen darf und unter welchen Bedingungen. Digitale Souveränität kann hier gezielt gefördert oder behindert werden:

• Problem: Bisher bevorzugt das Vergaberecht oft den günstigsten Anbieter – auch wenn dieser aus Drittstaaten stammt und keine Souveränitätsgarantien bietet.
• Lösung: Digitale Souveränität muss als Vergabekriterium verankert werden – z. B. durch Vorrang für Open Source, Datenlokalität, Auditierbarkeit und Exit-Strategien.

2. Schutz vor Abhängigkeiten

Die öffentliche Verwaltung ist in ihrer Rolle als Nutzer, Bereitsteller und Auftraggeber digitaler Technologien besonders gefährdet:

• Risiko: Abhängigkeit von proprietären Cloud-Diensten, fehlende Kontrolle über Datenflüsse, Drittstaatenzugriffe (z. B. CLOUD Act).
• Ziel: Verträge müssen technologische Unabhängigkeit sichern – durch offene Schnittstellen, Interoperabilität und Souveränitätsklauseln.

3. EVB-IT Cloud als Instrument – aber mit Lücken

Die neuen EVB-IT Cloud Verträge sind ein Fortschritt, da sie:

• Datenlokalität (EU/EWR),
• Zugriffskontrolle,
• Verschlüsselung und
• Exit-Strategien berücksichtigen.

Aber: Es fehlen noch wichtige Klauseln wie:

• Souveränitätsindex als Vertragsbestandteil,
• Pflicht zur unabhängigen Prüfung (z. B. BSI-Zertifizierung),
• Verpflichtung zu Open Source.

4. LEGANTA®-Implikation

LEGANTA® kann hier eine strategische Rolle übernehmen:

• Modul Sovereignty Guard zur Klauselbewertung,
• Mapping-Modell für Vergabekriterien,
• Audit-Tool für Souveränitätslücken in Ausschreibungen.
• 

Digitale Souveränität und Vertragsgestaltung

Die zentralen Regelungen zur Digitalen Souveränität finden sich in den Vertragsklauseln. Sie lassen sich in 8 Gruppen zusammenfassen, hier am Beispiel von EVB-IT-Verträgen:

1.  Datenlokalisierung & -speicherung:

Verpflichtung, Daten ausschließlich in bestimmten Ländern oder Regionen (z. B. EU/EWR) zu speichern.

Beispiele:

• „Die Entsorgung durch den Auftragnehmer hat so zu erfolgen, dass gespeicherte Daten weder lesbar noch rekonstruierbar sind.“ „Der Auftragnehmer teilt dem Auftraggeber Nutzungssperren mit, die die Nutzung der Hardware beeinträchtigen könnten.“ Fundstelle: EVB-IT Kauf-AGB, §2.4 und §2.7
• „Die Speicherung personenbezogener Daten erfolgt ausschließlich in Rechenzentren innerhalb der EU/EWR.“ Fundstelle: EVB-IT Cloud – Kriterienkatalog für Cloudleistungen, Abschnitt „Datenschutz und Datenlokalität“

2.  Zugriffs- & Kontrollrechte:

Vertragliche Zusicherung, dass Kunden jederzeit Zugriff auf ihre Daten haben und diese portieren/exportieren können.

Beispiele:

• „Der Auftragnehmer verschafft dem Auftraggeber jeweils mit der Lieferung das Eigentum daran.“ „Der Auftraggeber ist berechtigt, vor der Abholung zur Entsorgung Teile der Hardware zurückzubehalten.“ Fundstelle: EVB-IT Kauf-AGB, §2.1 und §7.4
• „Der Auftraggeber erhält jederzeit Zugriff auf seine Daten und kann diese in einem gängigen Format exportieren.“ Fundstelle: EVB-IT Cloud Vertrag, Abschnitt „Leistungsbeschreibung – Datenzugriff“

3.  Datensicherheit & Verschlüsselung:

Vorgaben zur Ende-zu-Ende-Verschlüsselung, Schlüsselverwaltung (idealerweise kundenseitig), Logging.

Beispiel:

• Die Hardware muss frei von Funktionen sein, die die Integrität, Vertraulichkeit und Verfügbarkeit von Daten gefährden.“ „Unerwünscht ist jede Funktion, die nicht ausdrücklich autorisiert wurde.“ Fundstelle: EVB-IT Kauf-AGB, §2.4 – Technische No-Spy-Klausel

4.  Rechtszugriff & Schutz vor Drittstaatenzugriff:

Klauseln zur Information bei Behördenanfragen (z. B. nach CLOUD Act), Widerspruchspflicht gegen unzulässige Herausgabe.

Beispiel:

• „Der Auftragnehmer hat vertrauliche Informationen nur weiterzugeben, wenn der Auftraggeber zuvor ausdrücklich zustimmt.“ „Die Weitergabe durch Subunternehmer ist ausgeschlossen, sofern keine gleichwertige Verpflichtung zur Vertraulichkeit besteht.“ Fundstelle: EVB-IT Kauf-AGB, §10.2

5. Exit-Strategie & Vendor Lock-in:

Regeln für Datenrückgabe, Interoperabilität und Übergabeformate beim Vertragsende.

Beispiel:

• „Der Auftraggeber kann mangelhafte Hardware behalten und dem Auftragnehmer den Zeitwert erstatten.“ „Der Auftragnehmer hat dem Auftraggeber eine angemessene Auslauffrist zu gewähren.“ Fundstelle: EVB-IT Kauf-AGB, §7.4 und §8.2

6. Open Standards & Schnittstellen:

Nutzung offener Standards zur Sicherung der Wechselmöglichkeit.

Beispiel:

• In den EVB-IT Cloud-Verträgen wird auf die Verwendung offener Schnittstellen und interoperabler Formate im Kriterienkatalog für Cloudleistungen verwiesen. Fundstelle: EVB-IT Cloud – Kriterienkatalog für Cloudleistungen

7. Transparenzpflichten:

Verpflichtung des Anbieters, Subunternehmer, Hosting-Standorte und Sicherheitsstandards offenzulegen.

Beispiel:

• „Der Auftragnehmer muss Subunternehmer benennen und deren Verpflichtung zur Vertraulichkeit sicherstellen.“ „Der Auftragnehmer informiert über Nutzungssperren und Exportkontrollvorschriften.“ Fundstelle: EVB-IT Kauf-AGB, §2.7, §2.8, §10.2

8.  Auditierung:

Verpflichtung des Anbieters zur Vorlage eines unabhängigen Prüfberichts (z. B. durch BSI, C5, oder externe Auditoren).

Hier besteht noch Regelungsbedarf

Weiterer Regelungsbedarf

Die Einhaltung der Digitalen Souveränität erfordert weiteren Regelungsbedarf in den AGB-Regularien der EVB-IT-Verträge. Hier sind einige Beispiele;

1.  Souveränitätsbewertung als Vertragsbestandteil:

• Aktuell fehlt eine systematische Bewertung der digitalen Souveränität als vertraglich definierter KPI oder Index.
• LEGANTA® kann hier ein Souveränitätsindex-Modul anbieten, das Klauseln, Datenflüsse und Lieferketten bewertet.

2.  Pflicht zur Souveränitätsprüfung durch Dritte:

• Aktuell fehlt eine Verpflichtung des Anbieters zur Vorlage eines unabhängigen Prüfberichts (z. B. durch BSI, C5, oder externe Auditoren).
• LEGANTA® kann in Audit-Trails Algorithmen, KI-Entscheidungen und manuelle Festlegungen dokumentieren, Prüfpflichten semantisch erfassen und mit Risikokosten verknüpfen.

3.  Verpflichtung zur Nutzung transparenter Open-Source-Komponenten:

• Aktuell fehlt eine explizite Klausel, die den Einsatz von Open-Source-Software mit transparenter Provenienz und Weiterentwicklung nach europäischen Standards zur Sicherung der Souveränität fordert.
• LEGANTA® kann die relevanten Open-Source-Klauseln typisieren und deren Wirkung auf Vendor Lock-in bewerten.

4.  Vertragliche Absicherung gegen algorithmische Intransparenz:

• Aktuell fehlen Klauseln, die algorithmische Entscheidungsprozesse (z. B. KI-gestützte Services) offenzulegen und auditierbar zu machen.
• LEGANTA® OntoSphere kann hierzu KI-Komponenten als Vertragsobjekte erfassen und deren Transparenzpflichten modellieren.

5.  Verpflichtung zur Datenportabilität in Echtzeit:

• Aktuell fehlt eine Klausel, die nicht nur Exportformate regelt, sondern auch die Echtzeit-Portabilität bei laufendem Betrieb sicherstellt.
• LEGANTA® kann hierfür technische Schnittstellen mit Vertragsklauseln verknüpfen und deren Interoperabilität bewerten.