Wer hat wirklich Zugriff auf Ihr Unternehmen?
Die meisten Unternehmen investieren viel Zeit in die Auswahl von Business-Software. Sie vergleichen Funktionen, Preise, Design, KI-Fähigkeiten und Integrationen.
Doch nur sehr wenige stellen eine überraschend wichtige Frage.
Wie viele andere Unternehmen werden am Ende unsere Daten verarbeiten?
Es ist genau die Art von Frage, von der viele Softwareanbieter still hoffen, dass Sie sie nicht stellen.
Der moderne SaaS-Stack
Moderne SaaS-Plattformen wirken oft wie ein einziges Produkt. Hinter dem Login-Bildschirm verlassen sie sich jedoch häufig auf viele separate Unternehmen — jedes übernimmt einen anderen Teil Ihrer Geschäftsabläufe.
Identität, Dateispeicherung, Kundensupport, Analysen, Monitoring, E-Mail-Versand, Push-Benachrichtigungen, KI-Verarbeitung — all das kann von unterschiedlichen Anbietern kommen. Jeder mit eigenen Bedingungen, eigener Datenschutzerklärung und eigenem Ort der Datenverarbeitung.
Das ist nicht immer etwas Schlechtes. Spezialisierte Anbieter können in ihrem Bereich hervorragend sein. Aber wenn ein typisches SaaS-Produkt gleichzeitig von zwanzig davon abhängt, verändert sich das Gesamtbild.
Was „Verarbeitung durch Dritte“ tatsächlich bedeutet
Wenn ein Anbieter sagt, er „nutzt Partner zur Bereitstellung des Dienstes“, ist das selten nur eine Fußnote. Meist bedeutet es, dass Teile Ihrer Daten physisch durch die Systeme dieser Partner laufen.
Dazu können Kundennamen, E-Mail-Adressen, Dateien, Kommunikation, Supportanfragen, Verhaltensmuster, KI-Eingaben und -Ausgaben sowie je nach Architektur sogar Abrechnungsdetails gehören.
Sie haben keinen Vertrag mit dem Partner unterschrieben. Der Anbieter hat das getan. Ihre Geschäftsinformationen laufen trotzdem durch dessen Systeme.
Warum das 2026 wichtig ist
Aufsichtsbehörden vertreten zunehmend eine strengere Sicht auf jedes zusätzliche Unternehmen, das personenbezogene Daten berührt. Nach UK GDPR und EU GDPR muss jeder Unterauftragsverarbeiter offengelegt, kontrolliert und vertraglich gebunden sein — und der Verantwortliche (oft Ihr Unternehmen) trägt die Verantwortung für diese Kette.
Je mehr Unternehmen beteiligt sind, desto schwieriger wird es, dieser Verantwortung gerecht zu werden.
Das ist kein theoretisches Risiko. Audit-Feststellungen, Anfragen von Aufsichtsbehörden und Kundenbeschwerden beginnen oft mit derselben Frage, die wir am Anfang gestellt haben: „Wer verarbeitet meine Daten?“
Der versteckte Verstärkungseffekt
Ein einzelner Ausfall legt ein SaaS-Produkt selten vollständig lahm. Aber wenn ein Produkt auf zwanzig anderen aufbaut, kann ein kleines Problem bei einem davon zu einem spürbaren Problem für Ihr Unternehmen werden.
Ein Speicheranbieter nimmt eine Datenbank für Wartungsarbeiten offline. Ein E-Mail-Zustelldienst hat einen regionalen Vorfall. Ein Analyseanbieter ändert über Nacht seine Preise. Eine Kundensupport-Plattform wird übernommen und ändert ihre APIs.
Jedes dieser Probleme muss jemand anderes lösen. Ihr Unternehmen ist in der Zwischenzeit dasjenige, das still darunter leidet.
Wie KIMISUITE das anders angeht
Als wir KIMISUITE entwickelt haben, haben wir uns bewusst dafür entschieden, die Zahl der an der Plattform beteiligten Unternehmen zu reduzieren.
Die meisten Kernfunktionen der Plattform — Authentifizierung, die Business-Anwendungen, Dokumentenerstellung, interne Infrastruktur — werden von unserem eigenen Team betrieben. Nicht weil wir glaubten, jeden spezialisierten Anbieter in jeder Hinsicht übertreffen zu können, sondern weil wir überzeugt waren, dass Einfachheit es wert ist, geschützt zu werden.
Wo ein Drittanbieterdienst wirklich erforderlich ist — globale Zahlungsabwicklung ist ein gutes Beispiel — wählen wir sorgfältig aus, dokumentieren dies transparent und nutzen ihn nur für die Funktion, für die er ausgewählt wurde.
Bequemlichkeit allein ist kein ausreichender Grund.
Was das in der Praxis bedeutet
Ein typischer SaaS-Arbeitsbereich kann Folgendes umfassen:
- Authentifizierung: externer Identitätsanbieter
- Dateispeicherung: großer Cloud-Anbieter
- E-Mail-Versand: spezialisierter Mail-Anbieter
- Support-Chat: externes SaaS
- Analysen: Drittanbieter-Plattform
- KI-Funktionen: externe API
- Monitoring: externer Observability-Anbieter
- Customer-Success-Nachrichten: noch ein weiterer Anbieter
KIMISUITE ersetzt die meisten davon durch interne Dienste, die wir selbst betreiben. Ihre Geschäftsdaten müssen nicht durch eine lange Lieferantenkette laufen, um ihre Aufgabe zu erfüllen.
Weniger Angriffsfläche, weniger Risiko
Sicherheitsfachleute verwenden oft den Satz: „Man kann nicht absichern, was man nicht sehen kann“.
Jedes externe System in einem Software-Stack ist etwas, das Sie nicht direkt prüfen, sich nicht direkt einloggen und nicht selbst beheben können. Die Zahl solcher Systeme zu reduzieren, beseitigt das Risiko nicht — aber es macht die vorhandenen Systeme deutlich leichter verständlich.
Sichtbarkeit ist eine Voraussetzung für Vertrauen. Darauf optimieren wir die Plattform.
Der Blick auf die lange Frist
Eine Plattform, die auf zwanzig Anbietern basiert, ist grundsätzlich zwanzig Roadmaps, zwanzig Preisentscheidungen und zwanzig möglichen Übernahmen ausgesetzt. Nichts davon liegt in Ihrer Kontrolle. Weniges liegt auch in der Kontrolle des Anbieters.
Eine Plattform, die überwiegend intern entwickelt und betrieben wird, hat eine kürzere und besser vorhersehbare Liste von Abhängigkeiten. Wir können in Jahren planen, nicht in Quartalen voller Unsicherheit durch Anbieter.
Das ist ein Teil davon, wie wir sicherstellen, dass KIMISUITE langfristig bestehen bleibt — zu vorhersehbaren Preisen und mit vorhersehbarem Verhalten.
Abschließende Gedanken
Wenn Sie das nächste Mal Business-Software bewerten, schauen Sie über die Funktionsliste hinaus.
Fragen Sie, wer Ihre Daten verarbeitet. Fragen Sie, von wem Sie abhängig sind — über das Unternehmen hinaus, das Sie bezahlen.
Wenn die ehrliche Antwort lautet: „viele Unternehmen, von denen Sie noch nie gehört haben“, dann ist das eine wichtige Information.
Wenn die ehrliche Antwort lautet: „hauptsächlich wir, mit einer kleinen Zahl klar offengelegter Ausnahmen“, dann ist auch das eine wichtige Information.
Wir glauben, dass die zweite Antwort so aussehen sollte, wie Business-Software sein sollte.
Lesen Sie weiter in der Trust Series:
← Zurück: Built, Not Assembled — Warum wir KIMISUITE anders entwickelt haben
→ Weiter: Wer kann auf Ihre Geschäftsdaten zugreifen?
Starten Sie Ihre 14-tägige kostenlose Testphase · KIMISUITE Preise ansehen