9. März 2026

Hyperscaler in SaaS-Vergaben: Ein Beschaffungsparadoxon und seine riskanten Umgehungsstrategien

Bei der Analyse größerer IT-Vergaben zeigt sich immer wieder eine typische Beschaffungssituation: Öffentliche Auftraggeber benötigen Software-as-a-Service-Lösungen, die technisch auf Cloud-Infrastrukturen globaler Plattformanbieter betrieben werden.

In vielen dieser Konstellationen nutzt der eigentliche Anbieter nicht eigene Infrastruktur, sondern Infrastrukturleistungen von Hyperscalern wie Microsoft Azure, Amazon Web Services oder Google Cloud.

Vergaberechtlich wird der Hyperscaler in solchen Fällen häufig als Unterauftragnehmer eingeordnet, wenn der Anbieter die Infrastruktur nicht selbst betreibt. Datenschutzrechtlich fungieren Hyperscaler in vielen Konstellationen zudem als Subprozessoren, wobei die konkrete Rollenverteilung stets einzelfallabhängig ist.

Hier entsteht ein strukturelles Beschaffungsparadoxon:
Das Vergaberecht verlangt Transparenz über Leistungsstrukturen und Beteiligte. Die Cloud-Marktpraxis dagegen basiert auf standardisierten Plattformbedingungen und einer nur begrenzt verhandelbaren Mitwirkung globaler Anbieter.

Eine typische Beschaffungsstrategie

Um dieses Spannungsfeld aufzulösen, verfolgen viele Vergabestellen eine Kombination aus mehreren Instrumenten:

  • Durchführung einer strategischen Markterkundung
  • Verwendung der EVB-IT Cloud oder alternativ der EVB-IT System- bzw. Dienstleistungsverträge als Vertragsgrundlage
  • nachrangige – teilweise ausnahmsweise vorrangige – Einbeziehung von Anbieterbedingungen
  • Definition von Mindestanforderungen zur Sicherung der Vergleichbarkeit
  • gegebenenfalls Bewertung von Abweichungen über Zuschlagskriterien.

Dieses Modell versucht, den Wettbewerb zu sichern und gleichzeitig die faktische Vertragsarchitektur von Cloud-Anbietern zu berücksichtigen.

Beobachtete Vermeidungsstrategien

Unter Zeitdruck oder angesichts der begrenzten Mitwirkungsbereitschaft großer Plattformanbieter lassen sich in der Praxis jedoch immer wieder bestimmte Vermeidungsstrategien beobachten.

Ein erstes Muster besteht in der funktionalen Beschreibung der Infrastruktur. Statt einen konkreten Cloud-Anbieter zu benennen, wird lediglich ein „geeignetes Rechenzentrum“ oder eine entsprechende technische Umgebung beschrieben.

Ein zweites Muster betrifft die datenschutzrechtliche Rollenverteilung. Teilweise wird versucht, Konstellationen ohne Auftragsverarbeitung oder ohne gemeinsame Verantwortlichkeit zu konstruieren, indem angenommen wird, dass alle Beteiligten Zwecke und Mittel der Verarbeitung jeweils eigenständig festlegen.

Ein drittes Muster betrifft die Reduktion formaler Anforderungen. In solchen Fällen werden beispielsweise keine Subprozessorlisten verlangt, keine technischen und organisatorischen Maßnahmen auf Hyperscaler-Ebene abgefragt oder keine entsprechenden Erklärungen der Cloud-Anbieter eingefordert.

Die praktische Wirkung dieser Konstruktionen ist, dass der Hyperscaler im Vergabeverfahren nicht mehr als klassischer Unterauftragnehmer erscheint. Stattdessen wird er faktisch als technische Infrastrukturressource behandelt, die nicht als benannter Dritter Teil des Vertragsgefüges wird.

Rechtliche und praktische Risiken

Solche Gestaltungen können zwar kurzfristig dazu beitragen, Verfahren unter hohem Zeitdruck oder bei schwieriger Marktsituation überhaupt durchzuführen. Sie gehen jedoch regelmäßig mit erheblichen rechtlichen und operativen Unsicherheiten einher.

Datenschutzrechtlich bleiben solche Konstruktionen häufig auslegungsbedürftig und potenziell risikobehaftet. Auch aus Sicht der IT-Sicherheit sind sie häufig nur begrenzt belastbar. Gegenüber Aufsichtsbehörden oder Prüfinstanzen lassen sich entsprechende Modelle zudem nicht immer überzeugend begründen.

Hinzu kommt, dass solche Konstruktionen Risiken regelmäßig auf den Auftragnehmer verlagern. Dieser trägt letztlich Verantwortung und Haftung für Leistungsbestandteile, die er gegenüber dem Hyperscaler nur begrenzt steuern kann.

Solche Gestaltungen entstehen häufig aus der Notwendigkeit heraus, unter Zeitdruck oder angesichts begrenzter Mitwirkungsbereitschaft großer Anbieter überhaupt einen funktionierenden Wettbewerb zu ermöglichen. Dennoch bleiben sie rechtlich und operativ anspruchsvoll.

Praxisimpuls

Ein häufiger Ausgangspunkt für solche Überlegungen ist eine sehr praktische Frage aus der Vergabepraxis: Wie kann ein Vergabeverfahren rechtssicher gestaltet werden, wenn Hyperscaler bestimmte Erklärungen faktisch nicht abgeben oder nicht unterschreiben?

Dass globale Plattformanbieter bestimmte Vertrags- oder Complianceerklärungen nicht individuell abgeben, ist in vielen Bereichen Marktrealität. Umso wichtiger wird es, Risiken bewusst zu gestalten und transparent zu adressieren, statt sie formal aus dem Verfahren auszublenden.

Die Frage nach Datensouveränität und der praktischen Steuerbarkeit solcher Konstellationen bildet dabei noch einmal ein eigenes Themenfeld.

Am Ende bleibt eine zentrale Herausforderung öffentlicher Cloud-Beschaffung: Lösungen müssen nicht nur rechtlich vertretbar sein, sondern auch unter realen Marktbedingungen funktionieren.

Zurück

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dieses Feld ist ein Pflichtfeld

Dieses Feld ist ein Pflichtfeld

Dieses Feld ist ein Pflichtfeld

Bei der Übermittlung Ihrer Nachricht ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.

Sicherheitsüberprüfung

Ungültiger Captcha-Code. Versuchen Sie es erneut.

©Urheberrecht. Alle Rechte vorbehalten.

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.