Vendor Lock-in: Wenn Sie nicht Herr Ihrer Daten sind

Eine der unangenehmsten Fragen, die ich einem Geschäftsführer stellen kann, ist simpel: Wenn Ihr Software-Anbieter morgen den Preis verdoppelt oder den Stecker zieht, was machen Sie dann? Meistens wird es still. Nicht weil die Antwort schwer ist, sondern weil die ehrliche Antwort lautet: Dann sitze ich fest. Genau das ist Vendor Lock-in. Und es ist kein Software-Problem, es ist ein Kontrollproblem.

Ich schaue auf solche Abhängigkeiten aus der Sicht von jemandem, der prüft, statt verkauft. In fünf Branchen und fünf Ländern habe ich Audits gemacht, von der Luftfahrt bis zur Präzisionstechnik. Das Muster ist immer dasselbe: Nicht der Anbieter, der am lautesten warnt, wird gefährlich. Gefährlich wird der, von dem man nicht mehr loskommt, ohne den Betrieb anzuhalten. Budder bei die Fische: Wer nicht Herr seiner Daten und seiner Update-Zyklen ist, hat einen Teil seiner Selbstständigkeit abgegeben, ohne es zu merken.

Lock-in ist keine Bequemlichkeit, es ist Fremdbestimmung

Vendor Lock-in bedeutet nicht, dass ein Werkzeug bequem ist und man gern dabei bleibt. Es bedeutet, dass der Wechsel so teuer, so riskant oder technisch so umständlich gemacht wird, dass Sie praktisch nicht mehr gehen können. Diese Abhängigkeit ist selten ein einzelner böser Vertrag. Sie wächst in kleinen, harmlos wirkenden Schritten:

• Ihre Daten liegen in einem Format, das nur dieser Anbieter sauber lesen kann. Ein vollständiger Export? Gibt es nicht, oder kostet extra.
• Updates kommen, wann der Anbieter sie liefert, nicht wann Sie sie brauchen. Sie warten auf fremde Zyklen.
• Schnittstellen zu anderen Systemen sind bewusst dünn gehalten. Wer raus will, muss vieles von Hand nachbauen.
• Das Wissen über Ihre eigenen Abläufe sitzt beim Anbieter, nicht bei Ihnen. Jede Frage kostet einen Tagessatz.
• Der Vertrag bindet über Jahre, der Ausstieg ist teuer und nirgends sauber beschrieben.

Jeder einzelne Punkt klingt für sich harmlos. Zusammengenommen ergeben sie einen Käfig mit schöner Oberfläche. Und niemand hat ihn böswillig gebaut, er ist einfach so gewachsen, weil keiner die richtigen Fragen vor der Unterschrift gestellt hat.

Der Konflikt, den keiner kommen sieht

Ein Beispiel aus der Praxis, das mir hängengeblieben ist. Ein Betrieb durfte ein wichtiges System nicht aktualisieren, weil eine Sperrfrist des Anbieters lief. Gleichzeitig verlangte die Cyberversicherung im Kleingedruckten aktuelle Sicherheitsstände. Zwei Verträge, ein Widerspruch, und der Mittelständler saß genau in der Mitte. Updatet er, bricht er die eine Vereinbarung. Updatet er nicht, riskiert er im Schadensfall den Versicherungsschutz.

Das ist die unsichtbare Seite von Lock-in. Solange alles läuft, merkt man nichts. Der Konflikt zeigt sich erst, wenn es darauf ankommt: bei einem Sicherheitsvorfall, bei einer Prüfung, bei einem Ausfall. Und dann ist es zu spät, die Abhängigkeit noch zu verhandeln. Hoffnung ist keine Strategie.

Abhängigkeit kostet nichts, solange alles läuft. Sie schickt die Rechnung genau in dem Moment, in dem Sie sie am wenigsten gebrauchen können.

Wem gehören Ihre Daten wirklich?

Die Eigentumsfrage bei Daten wird gern überlesen, weil sie so selbstverständlich klingt. Natürlich gehören mir meine Daten, im Vertrag steht das oft auch so. Die entscheidende Frage ist eine andere: Kommen Sie ohne den Anbieter an Ihre Daten heran, in einem Format, mit dem Sie auch woanders weiterarbeiten können? Eigentum, das man nur mit Erlaubnis des Anderen benutzen kann, ist halbes Eigentum.

Drei Beispiele machen das greifbar. Eine KI, die Bewerbungen vorsortiert, sammelt über Monate sensible Personendaten und Bewertungslogiken. Liegen die beim Anbieter und kommen Sie nicht sauber heran, ist ein Wechsel nicht nur teuer, sondern auch ein Datenschutzthema. Eine Kamera mit Modell, die in der Endkontrolle Ihre Bauteile prüft, lernt auf Ihren Teilen, Ihren Toleranzen, Ihrem Licht. Dieses trainierte Modell ist Ihr Kapital. Gehört es Ihnen oder dem Anbieter? Und eine KI, die in Ihrem ERP Aufträge anlegt, hängt an Ihren Stammdaten. Liegen die in einer geschlossenen Anbieter-Cloud, ist das Herz Ihres ERP nicht mehr ganz in Ihrer Hand.

Fünf Hebel, mit denen Sie Herr bleiben

Die gute Nachricht: Man kann sich gegen Lock-in wappnen, ohne auf gute Werkzeuge zu verzichten. Es geht nicht darum, alles selbst zu bauen. Es geht darum, vor der Unterschrift die richtigen Punkte festzunageln:

• Datenexport schriftlich klären: In welchem offenen, lesbaren Format bekomme ich meine Daten jederzeit heraus, ohne Zusatzkosten? In den Vertrag schreiben, nicht versprechen lassen.
• Ausstieg vorab beschreiben: Was passiert mit Daten, Modellen und Konfiguration, wenn ich kündige? Wer hilft beim Übergang, zu welchem Preis? Ein Ausstieg, der erst im Streit verhandelt wird, ist immer teuer.
• Update-Hoheit sichern: Sind Sicherheitsupdates jederzeit möglich, unabhängig von Marketing-Sperrfristen? Dieser Punkt rettet Sie im Konflikt mit der Cyberversicherung.
• Wissen ins Haus holen: Mindestens ein Mensch bei Ihnen muss verstehen, was das Werkzeug tut, wo die Daten liegen und wie man es im Notfall abschaltet. Sonst tauschen Sie nur einen Lock-in gegen einen anderen.
• Standard vor Sonderweg: Wo es geht, offene Schnittstellen und verbreitete Formate verlangen. Je gewöhnlicher die Technik, desto leichter der Wechsel.

Kein Hexenwerk. Aber all diese Punkte gehören geklärt, bevor unterschrieben wird, nicht danach. Nach der Unterschrift haben Sie die schlechtere Verhandlungsposition, und der Anbieter weiß das.

Was ein Auditor an der Abhängigkeit sieht

Ein Verkäufer will, dass Sie kaufen. Ein Auditor will, dass Sie auch dann noch handlungsfähig sind, wenn etwas schiefgeht. Deshalb ist Vendor Lock-in für mich kein Komfortthema, sondern ein Resilienzthema. In einem Sicherheits-Managementsystem nach ISO/IEC 27001 ist die Abhängigkeit von Lieferanten ein eigener Prüfpunkt: Was passiert mit dem Betrieb, wenn ein kritischer Dienstleister ausfällt, den Preis diktiert oder den Zugang sperrt?

Diese Frage stelle ich auch in jedem Sparring, und sie ist mit der Lieferkette in der Fertigung wörtlich verwandt. Niemand nimmt einen einzigen Zulieferer für ein kritisches Teil ohne Notfallplan. Kein Zweitlieferant, keine Lagerreserve, keine Ausweichmöglichkeit? Das wäre fahrlässig. Bei Software und KI tun viele Betriebe genau das, nur weil die Abhängigkeit unsichtbar im Rechenzentrum sitzt statt sichtbar in der Halle.

Datensouveränität ist deshalb nichts Abstraktes. Sie ist die digitale Variante einer alten Werkstattregel: Verlass dich nie blind auf eine einzige Maschine, einen einzigen Lieferanten, einen einzigen Menschen, von dem alles abhängt. Wer seine Daten, seine Update-Hoheit und sein Wissen im Haus behält, kauft sich keine Bequemlichkeit. Er kauft sich die Freiheit, im Ernstfall selbst zu entscheiden. Und die ist im Zweifel mehr wert als jeder Rabatt im Angebot.