Das Problem des Vendor Lock-in ist nie verschwunden.
Er wurde lediglich anders bewertet.

Über Jahre hinweg galt die Thematik des Vendor Lock-in primär als Kosten- und Migrationsfrage:
Wie teuer wäre ein Wechsel?
Wie aufwendig wäre eine Re-Plattformierung?

Heute stellt sich die Frage grundsätzlicher. Vendor Lock-in berührt zunehmend regulatorische Fragmentierung, geopolitische Spannungen und extraterritoriale Rechtsrahmen.

Das Risiko ist nicht mehr nur technisch oder finanziell. Es ist strukturell.

1. Als das Problem des Lock-in akzeptabel wurde

Cloud-Adoption und SaaS-Standardisierung basierten auf rationalen Abwägungen:

  • Schnellere Time-to-Value
  • Reduzierte Infrastrukturkomplexität
  • Zugang zu Innovationsgeschwindigkeit
  • Übertragung operativer Risiken

Tiefe Integration in Plattformökosysteme war häufig eine bewusste Entscheidung.

Lock-in wurde toleriert, weil das Umfeld als stabil wahrgenommen wurde.

Diese Annahme wird zunehmend fragil.

2. Regulatorische Divergenz und rechtliche Reichweite

Zwei Entwicklungen sind hierbei besonders relevant.

Extraterritoriale Rechtsrahmen

Der U.S. CLOUD Act (2018) stellt klar, dass US-basierte Anbieter unter bestimmten Voraussetzungen verpflichtet sein können, Daten auf rechtmäßige Anordnung herauszugeben – auch wenn diese außerhalb der USA gespeichert sind.

Gleichzeitig unterliegen Organisationen in der Europäischen Union den Anforderungen der DSGVO und nationaler Datenschutzgesetze.

In multinationalen Konzernstrukturen kann dies zu Spannungsfeldern führen, wenn sich Muttergesellschaftsrecht und lokale regulatorische Verpflichtungen überschneiden.

Das Problem ist nicht zwingend die Anwendung selbst.
Das Problem ist die strukturelle Komplexität.

Schrems II und Unsicherheit bei Datentransfers

Mit dem Schrems-II-Urteil (EuGH, 2020) wurde das EU-US-Privacy-Shield-Abkommen für ungültig erklärt.

Die Entscheidung machte deutlich, dass grenzüberschreitende Datenübertragungen rechtlichen und politischen Veränderungen unterliegen.

Auch wenn zwischenzeitlich neue Mechanismen etabliert wurden, bleibt eine Erkenntnis bestehen:

Internationale Daten-Governance ist kein statischer Zustand.

Für Unternehmen mit starker Abhängigkeit von globalen Plattformökosystemen entsteht dadurch eine zusätzliche Planungsvariable.

3. Konzentration in Plattformökonomien

Moderne Enterprise-Architekturen bündeln zunehmend zentrale Funktionen bei wenigen Hyperscalern.

Identitätsmanagement, Kollaboration, Infrastruktur, Analytics, KI-Services und Entwickler-Ökosysteme liegen häufig im selben Anbieterumfeld.

Dadurch entsteht:

  • Technische Abhängigkeit
  • Operative Abhängigkeit
  • Vertragliche Abhängigkeit
  • Jurisdiktionale Exponierung

Das Risiko liegt nicht in mangelnder Stabilität der Plattformen.

Das Risiko liegt in eingeschränkter strategischer Beweglichkeit unter sich verändernden Rahmenbedingungen.

4. Datenlokalisierung vs. tatsächliche Kontrolle

Eine verbreitete Annahme lautet:

„Wenn Daten in der EU gespeichert werden und eine europäische Tochtergesellschaft Vertragspartner ist, sind sie vollständig geschützt.“

In der Praxis sind Konzernstrukturen und überlappende Rechtsordnungen komplexer.

Im Fall kollidierender Rechtsansprüche können gerichtliche Verfahren, regulatorische Prüfungen oder internationale Abstimmungen erforderlich sein.

Aus architektonischer Perspektive ist nicht das politische Szenario entscheidend.

Entscheidend ist das Vorhandensein struktureller Unsicherheit.

Unsicherheit ist ein Governance-Faktor.

5. Konsequenzen für Enterprise Architecture

Der Umgang mit Vendor Lock-in ist nicht primär ein ideologisches Problem.

Er ist eine Governance-Variable.

Architektonische Antworten bestehen nicht darin, große Plattformen grundsätzlich zu vermeiden, sondern darin, Exposition bewusst zu steuern.

Mögliche Ansatzpunkte:

  • Transparente Abbildung von Abhängigkeitskonzentrationen
  • Klare Definition von System-of-Record-Verantwortung
  • Trennung von Datenportabilität und Anwendungsspezifika, wo sinnvoll
  • Szenario-Modelle für regulatorische oder geopolitische Störungen
  • Jurisdiktionsbewusste Risikobetrachtung bei Plattformentscheidungen

Strategische Optionalität bedeutet nicht permanente Redundanz.

Sie bedeutet bewusste Abwägung.

Fazit

Der Umgang mit dem Vendor Lock-in ist wieder strategisch relevant, weil sich das Umfeld verändert hat.

In stabilen regulatorischen Rahmenbedingungen maximiert tiefe Integration Effizienz.

In fragmentierten und dynamischen Rechtsräumen erhöht Konzentration ohne Transparenz die Exposition.

Die zentrale Frage lautet nicht:

„Wie schnell könnten wir migrieren?“

Sondern:

„Welche Annahmen stecken in unserem Abhängigkeitsmodell – und sind wir uns dieser Annahmen bewusst?“

Enterprise Architecture beseitigt Risiken nicht.

Sie sorgt dafür, dass Abhängigkeit eine bewusste Entscheidung bleibt – und kein unbeabsichtigtes Resultat.

Referenzen

  • U.S. Clarifying Lawful Overseas Use of Data Act (CLOUD Act), 2018
  • Gerichtshof der Europäischen Union, Schrems II (Rechtssache C-311/18), 2020
  • Verordnung (EU) 2023/2854 (EU Data Act)
  • Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO)