Domäne · D1
Rechtliche & organisatorische Transparenz
„Wer kontrolliert den Anbieter rechtlich — und welcher Jurisdiktion ist er unterworfen?"
1. Strategische Bedeutung§
Rechtliche und organisatorische Transparenz ist die erste Bewertungsebene, weil sie alle anderen Domänen vorbestimmt. Wer den Anbieter kontrolliert und welcher Jurisdiktion er unterliegt, bestimmt, welche operativen Hebel überhaupt vom Kunden gesteuert werden können — unabhängig von technischer Reife.
Eigentum, Beherrschungsverhältnisse und extraterritoriale Gesetzeszugriffe bestimmen, ob ein Dienst im Konfliktfall steuerbar bleibt. Diese Fragen sind nicht primär technischer Natur — sie sind rechtlich-strukturell und entscheiden über die Tragfähigkeit jeder weiteren Sicherheitskontrolle.
D1 ist daher zwingend Voraussetzung für jede sinnvolle Bewertung von D2 bis D4. Ohne dokumentierte Eigentümer- und Jurisdiktionsstruktur sind alle weiteren Aussagen über Datenkontrolle, Wechselfähigkeit oder Lieferkette spekulativ.
2. Kernkriterien§
- Eigentümerstruktur und Ultimate Beneficial Owner
Lückenlose Kette vom operativen Anbieter bis zur natürlichen Person bzw. zum staatlichen Eigentümer. Stille Beteiligungen, Treuhandkonstruktionen und mehrstufige Holdings sind offenzulegen.
- Jurisdiktion und extraterritoriale Verpflichtungen
Rechtssitz, Konzernzugehörigkeit und Anwendbarkeit fremder Gesetze (u. a. US CLOUD Act, FISA 702, chinesisches Cybersicherheitsrecht) sind zu benennen und in ihrer Wirkung darzulegen.
- Subunternehmerkette
Vollständige Kette aller Subunternehmer mit Rolle, Standort und Jurisdiktion. Stille Sub-Auftragsverhältnisse sind unzulässig.
- Governance- und Eskalationsstruktur
Entscheidungswege im Anbieter inklusive Eskalation in den Mutterkonzern. Wer entscheidet im Konfliktfall über Datenherausgabe, Dienstabschaltung oder Vertragsbruch?
- Vertragliche Datenzugriffsregeln
Vertraglich festgeschriebene Regeln zu Zugriff durch den Anbieter, durch Subunternehmer und durch staatliche Stellen — inklusive Benachrichtigungspflichten und gerichtlicher Anfechtbarkeit.
- Beherrschungsverhältnisse im Mutterkonzern
Stimmrechte, Vetorechte und Konzernweisungsrechte, soweit sie operative Entscheidungen des Anbieters überlagern können.
3. Prüffragen (Auszug)§
- Wer ist Ultimate Beneficial Owner des Anbieters und seiner Muttergesellschaft?
- Welcher Jurisdiktion unterliegt der Anbieter — und welche extraterritorialen Gesetze sind anwendbar?
- Liegt für jeden Subunternehmer ein dokumentierter Auftragsverarbeitungsvertrag inklusive Standort vor?
- Welche vertraglichen Eskalationswege bestehen bei behördlichen Datenanfragen aus Drittstaaten?
- Existiert eine schriftliche Verpflichtung, Anfragen außereuropäischer Behörden vor Beantwortung dem Kunden mitzuteilen?
- Welche Stimm-, Veto- oder Weisungsrechte hat die Muttergesellschaft gegenüber dem operativen Anbieter?
- Welche internen Regelungen existieren für Konflikte zwischen EU-Recht und Drittstaatenrecht?
- Welche Personen in welcher Jurisdiktion sind berechtigt, den Dienst abzuschalten oder zu übertragen?
4. Akzeptierte Evidenz§
- Beglaubigte Auszüge aus Handels- und Transparenzregistern (Anbieter und alle relevanten Konzernebenen)
- Vertragliche Datenzugriffs- und Eskalationsregelungen im Original
- Auftragsverarbeitungsverträge mit allen Subunternehmern
- Schriftliche Stellungnahmen zu extraterritorialen Gesetzeszugriffen (z. B. CLOUD-Act-Bewertung)
- Governance-Dokumentation, Geschäftsordnung, Konzernrichtlinien zu Datenherausgabe
5. Level-Schwellen in dieser Domäne§
| Level | Mindestanforderung in D1 |
|---|---|
| L0 | Eigentum, Jurisdiktion oder Subunternehmer sind nicht oder nur unvollständig dokumentiert. |
| L1 | Vollständige Dokumentation der Eigentümer-, Jurisdiktions- und Subunternehmerstruktur; unabhängig prüfbar. |
| L2 | Vollständige Transparenz; vertraglich abgesicherte Datenzugriffsregeln nach EU-Recht; Benachrichtigungs- und Anfechtungsrechte bei Drittstaatenanfragen. |
| L3 | Strukturelle Unabhängigkeit von außereuropäischen Jurisdiktionen über die gesamte Konzern- und Lieferkette; keine extraterritorialen Zugriffsrechte. |
6. Anschluss an bestehende Standards§
| Standard | Was abgedeckt ist | Wo EDSO darüber hinausgeht |
|---|---|---|
| ISO/IEC 27001 | Annex A.5.19 Lieferantenbeziehungen — formal abgedeckt | Eigentums- und Jurisdiktionsanalyse nicht gefordert |
| SOC 2 Type II | Keine substantielle Abdeckung | EDSO ergänzt vollständig |
| BSI C5 | Rechtliche Aspekte rudimentär adressiert | Strukturelle Beherrschungsanalyse fehlt |
| TISAX | Eigentum am Rande, Jurisdiktion kaum | EDSO ergänzt strukturell |
7. Typische Audit-Befunde§
- Subunternehmer in Drittstaaten ohne dokumentierten Auftragsverarbeitungsvertrag
- Mutterkonzern mit verbindlichem Weisungsrecht, das den EU-Sitz des operativen Anbieters faktisch aushebelt
- Vertragliche „Best Effort"-Klauseln statt verbindlicher Benachrichtigungspflicht bei Drittstaatenanfragen
- Eigentümerkette endet bei Holding ohne offengelegten UBO