Trust Center

Exit Management

Strukturierte Vertragsbeendigung und Datenrückführung

Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Management-Zusammenfassung

Das Exit Management regelt die strukturierte Vertragsbeendigung und Datenrückführung bei Kündigung des Vertragsverhältnisses.
Der Exit-Prozess umfasst fünf Phasen: Vorbereitung, Transition, Datenrückführung, Loeschung und Nachbereitung.
Alle kundenbezogenen Daten werden innerhalb der vertraglich vereinbarten Fristen vollstaendig zurueckgegeben und geloescht.
Ein Uebergabezeitraum sichert den reibungslosen Wissenstransfer und die Betriebskontinuitaet waehrend der Exit-Phase.
Die Einhaltung der Exit-Verpflichtungen wird durch zertifizierte Prozesse nach ISO 27001 und DORA Art. 28 nachgewiesen.

Kündigungsgründe

Ordentliche Kündigung: Einhaltung der vertraglichen Kündigungsfristen (3–6 Monate zum Quartalsende).
Ausserordentliche Kündigung: Kündigung aus wichtigem Grund ohne Einhaltung der ordentlichen Frist.
Fristlose Kündigung: Bei schwerwiegenden Vertragsverletzungen, Zahlungsverzug oder Insolvenz.
Aufhebungsvertrag: Einvernehmliche Vertragsaufhebung mit individuell vereinbarten Exit-Bedingungen.

Exit-Phasen

Vorbereitung (T-90): Kick-off, Exit-Team, Bestandsaufnahme aller vertraglichen Verpflichtungen und Datenbestaende.
Transition (T-60): Datenexport-Vorbereitung, Schnittstellen-Dokumentation, Uebergabeplanung und Testlaeufe.
Datenrueckfuehrung (T-30): Strukturierte Datenuebergabe in vereinbarten Formaten, Vollstaendigkeitspruefung und Abnahme.
Loeschung (T+30): Nachweis der vollstaendigen Loeschung aller Kundendaten inkl. Backups, Loeschzertifikat.
Nachbereitung (T+60): Abschlussbericht, Lessons Learned, Archivierung der Exit-Dokumentation.

Datenrückgabe & Löschung

Vollstaendige Rueckgabe aller kundeneigenen Daten in strukturierten, maschinenlesbaren Formaten (CSV, JSON, XML).
Bereitstellung ueber sicheren, verschluesselten Datenkanal (SFTP, verschluesselter Export) mit SHA-256-Checksummen.
Loeschung aller Kundendaten auf Produktivsystemen, Staging-Umgebungen, Data Warehouses und Backup-Systemen.
Ausstellung eines Loeschzertifikats mit Zeitstempel, verantwortlicher Person und Pruefvermerk des Datenschutzbeauftragten.
Zertifizierte Loeschung nach ISO 27001 A.5.31 und BDSG § 46 mit vollstaendiger Dokumentation im Loeschprotokoll.

Übergabe-Unterstützung

Knowledge Transfer: Strukturierte Uebergabe von Betriebswissen, Konfigurationen und Prozessdokumentationen.
Dokumentation: Vollstaendige Bereitstellung aller relevanten technischen und organisatorischen Dokumentationen.
Uebergangszeitraum: Optionaler Uebergabezeitraum bis zu 90 Tagen mit definierten Service-Leveln und Ansprechpartnern.

Vertragliche Regelungen

Kündigungsfristen: Festgelegte Kündigungsfristen je nach Vertragsmodell (Standard 3 Monate, Enterprise 6 Monate).
Mitwirkungspflichten: Beidseitige Verpflichtung zur aktiven Mitwirkung waehrend der Exit-Phase mit definierten Reaktionszeiten.
Haftungsregelungen: Klare Haftungsverteilung fuer Datenverluste, Verzoegerungen und Verstoesse gegen Exit-Verpflichtungen.

Checkliste Exit

Uebersicht aller Massnahmen, Verantwortlichkeiten und Status je Exit-Phase.

Phase	Massnahme	Verantwortlich	Status
Vorbereitung	Exit-Team zusammenstellen	Customer Success	Geplant
Vorbereitung	Vertragliche Verpflichtungen pruefen	Legal	Geplant
Transition	Datenexport vorbereiten	Engineering	In Arbeit
Transition	Schnittstellen dokumentieren	Engineering	In Arbeit
Datenrueckfuehrung	Datenextrakt durchfuehren	Engineering	Offen
Datenrueckfuehrung	Vollstaendigkeit pruefen	Quality Assurance	Offen
Loeschung	Datenloeschung durchfuehren	Engineering	Offen
Loeschung	Loeschzertifikat ausstellen	Datenschutz	Offen
Nachbereitung	Abschlussbericht erstellen	Customer Success	Offen
Nachbereitung	Lessons Learned durchfuehren	Management	Offen

ISO 27001 Verbindung

ISO/IEC 27001:2022 definiert die Kontrollanker fuer das Exit Management und die Vertragsbeendigung.

A.5.1 Richtlinien fuer Informationssicherheit
A.5.31 Ruecknahme von Vermoegenswerten und Loeschung
A.5.37 Dokumentierte Betriebsablaeufe

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-06-13

DORA (EU) 2022/2554 – Art. 28 Vertragsanforderungen Stand: 2022-12-14
ISO/IEC 27001:2022 – A.5.31 Ruecknahme von Vermoegenswerten und Loeschung Stand: 2022-10
BDSG § 46 – Loeschung und Einschraenkung der Verarbeitung Stand: Abruf 2026-06-13

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.