Digital Hub
Cloud Enabled Business Transformation

Müssen Big-Tech-Cloud-Anbieter an die kurze Leine?

Das bedeutet der Entwurf der Europäischen Kommission zur Regulierung von Cloud-Anbietern

Cloud Operational Resilience
veröffentlicht am 02.10.2020 | Lesezeit: ca. 3 Minuten

Cloud Computing ist ein bedeutender Treiber der Digitalisierung in der deutschen Wirtschaft. Dem aktuellen KPMG/Bitkom Cloud Monitor zufolge nutzen 38% der Unternehmen in Deutschland bereits Public-Cloud-Services. Insbesondere bei Finanzdienstleistern ist ein Trend von der Nutzung von privaten Clouds hin zur Nutzung der Services der großen Public-Cloud-Anbieter zu beobachten. Denn nur die großen Anbieter (sogenannte Hyperscaler) können die notwendigen riesigen skalierbaren Infrastrukturen für Datenspeicherung und Rechenleistung bereitstellen und darüber hinaus neue intelligente Services wie Data Analytics und künstliche Intelligenz (KI) anbieten. Damit gewinnen sie zunehmend an Bedeutung und Marktmacht – und mit ihnen potenziell auch die jeweiligen Heimatwirtschaftsräume, vornehmlich USA und China.

Mit der Datenschutzgrundverordnung (DSGVO) wurde 2018 bereits ein europäischer Rahmen für den Umgang mit personenbezogenen Daten festgelegt. Darüber hinaus bestehen regulatorische Anforderungen an den Einsatz von IT bei Banken beispielweise aus den Mindestanforderungen an das Risikomanagement (MaRisk) oder den sogenannten „Bankaufsichtlichen Anforderungen an die IT“ (kurz: BAIT). Gleiches gilt bei Versicherungen (VAIT) und Kapitalanlagegesellschaften (KAIT). Noch gibt es in der deutschen Wirtschaft Bedenken, ob die Cloud-Anbieter diese aufsichtsrechtlichen Anforderungen an Compliance und Datenschutz erfüllen können. Die Sorge vor rechtlichen Unsicherheiten und Schwierigkeiten bei der Erfüllung von Compliance-Anforderungen hemmt derzeit einen schnelleren Siegeszug von Cloud-Computing in Deutschland.

Bereits vor einem Jahr haben Deutschland und Frankreich daher das Projekt „GAIA-X“ gestartet, um eine offene, transparente Dateninfrastruktur nach europäischen Werten und Standards zu schaffen. Bisher befindet sich das Projekt jedoch noch in der Konzeptionsphase und es ist nicht absehbar, wann tatsächliche konkrete marktreife Angebote entstehen.

Europäische Kommission stellt Entwurf zur Regulierung von Cloud-Anbietern vor

Nun hat jedoch die Europäische Kommission im Rahmen des Digital-Finance-Package einen Entwurf für eine Aufsicht für im Finanzsektor aktive große Cloud-Anbieter vorgestellt.

Was ist neu?

Große Aufmerksamkeit dürften Unternehmen der Finanzindustrie nun auf diesen neuerlichen Vorstoß der Europäischen Kommission im Rahmen des digitalen Finanzpaketes („digital finance package“) richten. Dabei schlägt die Europäische Kommission eine neue Regulierung zur Verbesserung der digitalen operationalen Widerstandsfähigkeit („digital operational resilience“) des Finanzsektors vor. Insbesondere große Cloud-Anbieter identifiziert der Regulator als kritisch für die europäische Infrastruktur, weshalb diese einer eigenen Aufsicht unterliegen sollen. Darüber hinaus werden in dem Vorstoß der Europäischen Kommission erstmals neben den etablierten Finanzdienstleistern auch ausdrücklich FinTechs inkludiert.

Wie soll es konkret umgesetzt werden?

Die Europäische Kommission schlägt unter dem Titel „Oversight framework of critical third party service providers“ vor, die Cloud-Anbieter unter die Aufsicht einer Behörde (z.B. EBA, ESA oder EIOPA) zu stellen, um zu überwachen, dass Finanzdienstleister wirksame Regelungen, Prozeduren und Maßnahmen etablieren, um Cyber- und IT-Risiken zu verhindern bzw. sicher zu managen. Die Behörde darf dazu aufsichtsrechtliche Prüfungen durchführen und Strafzahlungen verhängen, ähnlich wie es bereits nach der Finanzkrise auch für insbesondere Banken und Versicherungen durchgeführt wurde.

Cloud-Monitor 2021: Financial Services

Unsere Studie zu Entwicklungen bei der Cloud-Nutzung in der Finanzbranche, u.a. mit diesen Themen: Wie groß ist die Akzeptanz der Cloud bei Finanzdienstleistern schon? Auf welche Wolke setzen sie (Public- oder Private-Cloud)? Warum werden spezialisierte Digital- oder Cloud-Teams benötigt?

Studie herunterladen

Was ist das Ziel der Europäischen Kommission?

Insgesamt betrachtet zielt die Initiative darauf ab, die “digital operational resilience”, also die digitale operative Widerstandsfähigkeit, des Europäischen Finanzsektors zu stärken. Dabei wird die bestehende EU-Finanz-Gesetzgebung erweitert, um auf neue Anforderungen durch die Digitalisierung zu reagieren und bestehende Lücken zu schließen. Die Kernziele sind dabei:

  • Verbesserung des Managements von IT-Risiken,
  • Vermehrung des Wissens der Aufsicht über Bedrohungen und konkrete Vorfälle,
  • Verbesserung der Testfähigkeiten der Finanzdienstleister hinsichtlich der IT-Systeme und
  • verbesserte Ein- und Übersicht der Aufsicht zu den Risiken, die für Finanzdienstleister entstehen, wenn sie in der IT abhängig von Drittanbietern (sogenannte „Third Party Provider“) sind.

Wie geht es weiter?

Wann die nun vorgeschlagenen regulatorischen Anforderungen und Vorgaben rechtlich bindend installiert werden, ist noch nicht absehbar. Allerdings ist erkennbar, dass sich die Europäische Union nicht in eine Abhängigkeit von ausländischen Infrastrukturen begeben will, sondern entweder eigene Angebote etablieren oder zumindest die Angebot Dritter nach eigenen Vorstellungen formen wird. Zweifellos wird damit der europäische Weg zur Digitalisierung weiter eigenständiger.

Für die Cloud-Provider bietet sich damit auch eine echte Chance: Die direkte Aufsicht der Anbieter durch die Behörden könnte Unsicherheiten auf der Seite der Finanzdienstleister abbauen, und damit letztendlich zum Siegeszug der Cloud beitragen.

Datenschutz (DSGVO)

Wie DSGVO-konform ist Ihr Unternehmen?

Unsere Business Analytics hilft Ihnen dabei, dies herauszufinden. Profitieren Sie von der KPMG-Reifegradanalyse und erhalten Sie eine objektive Bewertung der bei Ihnen eingesetzten Maßnahmen in Bezug auf die Implementierung der DSGVO.

Jetzt Analyse starten

Daniel Wagenknecht

Partner, Financial Services

Weiterlesen

Cloud Enabled Business Transformation

Thema vertiefen

Cloud Enabled Business Transformation

Die Finanzbranche verändert sich rasant. Kein Marktteilnehmer kann sich den umfassenden technologischen Neuerungen und dem digitalen Wandel entziehen. Themen wie Data & Analytics, Künstliche Intelligenz oder Robotic Process Automation sind die neuen Taktgeber der Finanzbranche. An dieser Stelle kommen Cloud-Services ins Spiel – denn nur sie bieten die hierfür notwendige Flexibilität und Agilität. Der KPMG Cloud Monitor Financial Services 2021 zeigt: Bereits mehr als zwei Drittel der deutschen Institute nutzen cloudbasierte Technologien.

Thema vertiefen
Gerrit Bojen Partner, Financial Services

Gerade gelesen

Big-Tech-Clouds an die kurze Leine?

Das bedeutet der Entwurf der Europäischen Kommission zur Regulierung von Cloud-Anbietern

Weitere Artikel zum Thema

Wertbestimmung der Cloud-Migration

Nicht nur Kosten: Bei der Bestimmung eines Cloud-Value-Cases kommt es auf mehr an.

Kommt nun ein Privacy Shield 2.0?

Neuer Anlauf für einen sicheren Datenrahmen für Cloud-Kunden

DORA: Mit Sicherheit in die Cloud

Der Digital Operational Resilience Act vereinheitlicht den digitalen EU-Finanzsektor

Stresstests in der Cloud

Weg von händischer Tabellenpflege: Große Datenmengen effizient managen

Erfolgsfaktor Cloud Operating Model

Neue Rollen, Prozesse und Skills: Die Cloud-Transformation verändert Unternehmen

Cloud Foundation

Standardisierung und Transparenz über die gesamte Cloud-Landschaft

Suche
Schliessen
Submit RFP
Find out how KPMG´s expertise can help you and your company.
© 2022 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.