Domäne · D3
Technische Souveränität & Interoperabilität
„Kann der Dienst ohne prohibitiven Aufwand gewechselt werden?"
1. Strategische Bedeutung§
Technische Souveränität misst die Wechselfähigkeit eines Dienstes. Solange ein Dienst nicht innerhalb vertretbarer Frist und zu vertretbaren Kosten gegen einen anderen austauschbar ist, ist der Kunde strukturell von einem einzelnen Anbieter abhängig — unabhängig davon, wie sicher oder transparent dieser Anbieter im Einzelnen ist.
Diese Domäne adressiert daher die strukturelle Verhandlungsmacht. Sie ist die Domäne, die langfristige Preis-, Funktions- und Sicherheitsverhandlungen erst ermöglicht.
Eine hohe Bewertung in D3 verlangt sowohl offene Schnittstellen als auch die nachgewiesene Migrationsfähigkeit in realen Szenarien. Behauptete Portabilität ohne reproduzierbare Exit-Übung zählt nicht.
2. Kernkriterien§
- Offene Standards und Open-Source-Komponenten
Anteil offener Standards an Schnittstellen, Datenformaten und Kernkomponenten. Vermeidung proprietärer Sackgassen.
- Vollständig dokumentierte APIs
Versionierte, vertraglich stabile, vollständig dokumentierte Schnittstellen für alle administrativen und datenbezogenen Funktionen.
- Datenportabilität in offenen Formaten
Exportierbarkeit aller Kundendaten in offenen, dokumentierten Formaten — inklusive Metadaten und Beziehungen.
- SBOM-Bereitstellung
Vollständige Software Bill of Materials für eingesetzte Komponenten, regelmäßig aktualisiert, maschinenlesbar.
- Exit-Kosten-Matrix
Dokumentierte Aufwands- und Kostenabschätzung für vollständige Migration in vergleichbare Zielumgebungen.
- Kompatibilität zu Konkurrenzdiensten
Nachgewiesene Migrationspfade in mindestens zwei konkurrierende Zielarchitekturen — idealerweise als reproduzierbare Referenzimplementierung.
- Proprietäre Lock-in-Elemente
Transparente Auflistung aller proprietären Datenbanken, Funktionen, ML-Modelle oder Konfigurationsformate, die einen Wechsel erschweren.
3. Prüffragen (Auszug)§
- Welche der vom Dienst genutzten Datenformate sind offen standardisiert?
- Ist eine Referenzmigration in eine konkurrierende Zielumgebung dokumentiert und reproduzierbar?
- Welche proprietären Komponenten besitzen kein funktionsäquivalentes offenes Pendant?
- Existiert eine vollständige, aktuelle SBOM — maschinenlesbar im SPDX- oder CycloneDX-Format?
- Welche dokumentierte Exit-Kostenabschätzung liegt für die typische Kundenkonfiguration vor?
- Sind die APIs versioniert und mit verbindlicher Deprecation-Frist versehen?
- Welche Datenkategorien sind nicht oder nur unvollständig exportierbar?
4. Akzeptierte Evidenz§
- API-Spezifikationen (OpenAPI, AsyncAPI) inklusive Versionspolitik
- SBOM im SPDX- oder CycloneDX-Format
- Exit-Drehbuch mit Schätzung von Dauer, Kosten und Datenverlust-Risiko
- Reproduzierbares Migrationsbeispiel in eine alternative Zielarchitektur
- Liste proprietärer Komponenten mit Risikobewertung
5. Level-Schwellen in dieser Domäne§
| Level | Mindestanforderung in D3 |
|---|---|
| L0 | Geschlossener Stack ohne dokumentierte Exit-Pfade; Datenformate undokumentiert. |
| L1 | APIs und Exportwege vollständig dokumentiert; Datenexport in offenen Formaten verfügbar. |
| L2 | Nachgewiesener Exit in vertretbarer Zeit und Kosten; vollständige SBOM; eingeschränkter proprietärer Lock-in. |
| L3 | Stack überwiegend Open Source; reproduzierbare Migration in mindestens zwei Konkurrenzziele; keine wesentlichen proprietären Sackgassen. |
6. Anschluss an bestehende Standards§
| Standard | Was abgedeckt ist | Wo EDSO darüber hinausgeht |
|---|---|---|
| ISO/IEC 27001 | Kaum substantieller Bezug zu Portabilität | EDSO ergänzt vollständig |
| EUCS | Portabilitätsanforderungen teilweise enthalten | Nachweisbare Exit-Übung nicht gefordert |
| EU Data Act | Portabilitätsrechte gesetzlich verankert | Operationalisierbarkeit und Prüftiefe offen — EDSO konkretisiert |
7. Typische Audit-Befunde§
- API-Vollständigkeit nur für gängige Funktionen, kritische Administrationsoperationen nur über Web-UI
- Export in offenem Format, aber ohne Metadaten und Berechtigungsbeziehungen
- SBOM nur auf Anfrage und ohne maschinenlesbares Format
- Versteckter Lock-in über proprietäre Konfigurationsformate
- Exit-Kostenangaben ohne Referenz auf real durchgeführte Migration