Die meisten Mittelständler haben Microsoft 365 oder eine vergleichbare Cloud-Plattform aus pragmatischen Gründen eingeführt — einfache Einrichtung, geringe Einstiegskosten, bekannte Anwendungen. Was dabei selten bedacht wurde: Was passiert, wenn man wieder herausmöchte?
Solange alles funktioniert, stellt sich diese Frage nicht. Wenn jedoch ein Preisanstieg kommt oder der Dienst stundenlang nicht erreichbar ist, wird aus der hypothetischen Frage ein sehr konkretes Geschäftsproblem.
Was bedeutet Anbieter-Abhängigkeit wirklich?
Lock-in entsteht, wenn proprietäre Datenformate, tiefe Integrationen und eingelebte Prozesse den Wechsel zu einem anderen Anbieter teurer machen als das Bleiben. Der Wechsel ist nicht nur eine technische Aufgabe — er bedeutet Mitarbeiterschulungen, neu aufgebaute Integrationen, konvertierte Dokumentenbestände und umgebaute Prozesse, die über Jahre auf der alten Plattform gewachsen sind.
Die Verhandlungsposition gegenüber dem Anbieter liegt dann vollständig auf dessen Seite.
Drei Zeichen, dass Ihr Unternehmen bereits abhängig ist
- Alle Unternehmensdaten liegen ausschließlich im Anbieter-Storage, ohne regelmäßige Exporte oder Offline-Backups
- Ihre Mitarbeiter können nicht arbeiten, wenn der Dienst für eine Stunde nicht verfügbar ist
- Ein Plattformwechsel würde bedeuten, die meisten Geschäftsprozesse von Grund auf neu aufzubauen
Wenn einer dieser Punkte zutrifft, haben Sie ein Risiko — und es lohnt sich, dieses Risiko zu quantifizieren, bevor es zum Notfall wird.
Warum das für Compliance relevant ist
Die DSGVO Art. 32 fordert Verfügbarkeit und Belastbarkeit bei der Verarbeitung personenbezogener Daten. Die Konzentration auf einen einzigen Anbieter ist ein dokumentiertes Risiko. Aufsichtsbehörden erwarten einen nachvollziehbaren Notfallplan — nicht die mündliche Zusicherung, dass der Anbieter das schon regelt.
Für Steuerberater und Rechtsanwälte geht die Verantwortung noch weiter: § 203 StGB stellt die unbefugte Offenbarung von Privatgeheimnissen unter Strafe — auch durch fahrlässig mangelhafte IT-Vorsorgemaßnahmen. Wenn ein Ausfall oder ein Datenverlust eintritt und kein Notfallkonzept existiert, kann das nicht nur ein DSGVO-Problem sein, sondern auch eine persönliche strafrechtliche Exposition für den Geschäftsführer.
Das BSI IT-Grundschutz-Kompendium verlangt explizit eine dokumentierte Business-Continuity-Planung — inklusive der Analyse von Abhängigkeiten zu externen Dienstleistern.
Was Sie jetzt tun können
- Richten Sie einen regelmäßigen Exportplan ein und halten Sie Offline-Backups kritischer Daten vor
- Dokumentieren Sie, welche Integrationen bei einem Anbieterwechsel sofort wegfallen würden
- Prüfen Sie Ihr Anbieter-SLA: Welche Verfügbarkeit wird zugesagt — und was passiert, wenn dieser Wert nicht erreicht wird?
Keiner dieser Schritte erfordert einen Anbieterwechsel. Es geht um grundlegendes Risikomanagement — und genau das erwarten Aufsichtsbehörden, wenn sie nach Ihrem Business-Continuity-Konzept fragen.
Wie abhängig ist Ihr M365-Mandant wirklich? Jetzt kostenfrei prüfen lassen — wir analysieren Ihre Datenflüsse und identifizieren Risiken ohne Kosten oder Verpflichtungen.