Cloud Services

Müssen Big-Tech-Cloud-Anbieter an die kurze Leine?

Das bedeutet der Entwurf der Europäischen Kommission zur Regulierung von Cloud-Anbietern

Cloud Computing ist ein bedeutender Treiber der Digitalisierung in der deutschen Wirtschaft. Dem aktuellen KPMG/Bitkom Cloud Monitor zufolge nutzen 38% der Unternehmen in Deutschland bereits Public-Cloud-Services. Insbesondere bei Finanzdienstleistern ist ein Trend von der Nutzung von privaten Clouds hin zur Nutzung der Services der großen Public-Cloud-Anbieter zu beobachten. Denn nur die großen Anbieter (sogenannte Hyperscaler) können die notwendigen riesigen skalierbaren Infrastrukturen für Datenspeicherung und Rechenleistung bereitstellen und darüber hinaus neue intelligente Services wie Data Analytics und künstliche Intelligenz (KI) anbieten. Damit gewinnen sie zunehmend an Bedeutung und Marktmacht – und mit ihnen potenziell auch die jeweiligen Heimatwirtschaftsräume, vornehmlich USA und China.

Mit der Datenschutzgrundverordnung (DSGVO) wurde 2018 bereits ein europäischer Rahmen für den Umgang mit personenbezogenen Daten festgelegt. Darüber hinaus bestehen regulatorische Anforderungen an den Einsatz von IT bei Banken beispielweise aus den Mindestanforderungen an das Risikomanagement (MaRisk) oder den sogenannten „Bankaufsichtlichen Anforderungen an die IT“ (kurz: BAIT). Gleiches gilt bei Versicherungen (VAIT) und Kapitalanlagegesellschaften (KAIT). Noch gibt es in der deutschen Wirtschaft Bedenken, ob die Cloud-Anbieter diese aufsichtsrechtlichen Anforderungen an Compliance und Datenschutz erfüllen können. Die Sorge vor rechtlichen Unsicherheiten und Schwierigkeiten bei der Erfüllung von Compliance-Anforderungen hemmt derzeit einen schnelleren Siegeszug von Cloud-Computing in Deutschland.

Bereits vor einem Jahr haben Deutschland und Frankreich daher das Projekt „GAIA-X“ gestartet, um eine offene, transparente Dateninfrastruktur nach europäischen Werten und Standards zu schaffen. Bisher befindet sich das Projekt jedoch noch in der Konzeptionsphase und es ist nicht absehbar, wann tatsächliche konkrete marktreife Angebote entstehen.

Europäische Kommission stellt Entwurf zur Regulierung von Cloud-Anbietern vor

Nun hat jedoch die Europäische Kommission im Rahmen des Digital-Finance-Package einen Entwurf für eine Aufsicht für im Finanzsektor aktive große Cloud-Anbieter vorgestellt.

Was ist neu?

Große Aufmerksamkeit dürften Unternehmen der Finanzindustrie nun auf diesen neuerlichen Vorstoß der Europäischen Kommission im Rahmen des digitalen Finanzpaketes („digital finance package“) richten. Dabei schlägt die Europäische Kommission eine neue Regulierung zur Verbesserung der digitalen operationalen Widerstandsfähigkeit („digital operational resilience“) des Finanzsektors vor. Insbesondere große Cloud-Anbieter identifiziert der Regulator als kritisch für die europäische Infrastruktur, weshalb diese einer eigenen Aufsicht unterliegen sollen. Darüber hinaus werden in dem Vorstoß der Europäischen Kommission erstmals neben den etablierten Finanzdienstleistern auch ausdrücklich FinTechs inkludiert.

Wie soll es konkret umgesetzt werden?

Die Europäische Kommission schlägt unter dem Titel „Oversight framework of critical third party service providers“ vor, die Cloud-Anbieter unter die Aufsicht einer Behörde (z.B. EBA, ESA oder EIOPA) zu stellen, um zu überwachen, dass Finanzdienstleister wirksame Regelungen, Prozeduren und Maßnahmen etablieren, um Cyber- und IT-Risiken zu verhindern bzw. sicher zu managen. Die Behörde darf dazu aufsichtsrechtliche Prüfungen durchführen und Strafzahlungen verhängen, ähnlich wie es bereits nach der Finanzkrise auch für insbesondere Banken und Versicherungen durchgeführt wurde.

Cloud-Monitor 2020: Financial Services

Die Finanzindustrie intensiviert Cloud Computing und nutzt vermehrt die Public Cloud. Unsere Studie gibt einen Einblick in die Cloud-Nutzung bei Finanzdienstleistern in Deutschland

Studie herunterladen

Was ist das Ziel der Europäischen Kommission?

Insgesamt betrachtet zielt die Initiative darauf ab, die “digital operational resilience”, also die digitale operative Widerstandsfähigkeit, des Europäischen Finanzsektors zu stärken. Dabei wird die bestehende EU-Finanz-Gesetzgebung erweitert, um auf neue Anforderungen durch die Digitalisierung zu reagieren und bestehende Lücken zu schließen. Die Kernziele sind dabei:

  • Verbesserung des Managements von IT-Risiken,
  • Vermehrung des Wissens der Aufsicht über Bedrohungen und konkrete Vorfälle,
  • Verbesserung der Testfähigkeiten der Finanzdienstleister hinsichtlich der IT-Systeme und
  • verbesserte Ein- und Übersicht der Aufsicht zu den Risiken, die für Finanzdienstleister entstehen, wenn sie in der IT abhängig von Drittanbietern (sogenannte „Third Party Provider“) sind.

Wie geht es weiter?

Wann die nun vorgeschlagenen regulatorischen Anforderungen und Vorgaben rechtlich bindend installiert werden, ist noch nicht absehbar. Allerdings ist erkennbar, dass sich die Europäische Union nicht in eine Abhängigkeit von ausländischen Infrastrukturen begeben will, sondern entweder eigene Angebote etablieren oder zumindest die Angebot Dritter nach eigenen Vorstellungen formen wird. Zweifellos wird damit der europäische Weg zur Digitalisierung weiter eigenständiger.

Für die Cloud-Provider bietet sich damit auch eine echte Chance: Die direkte Aufsicht der Anbieter durch die Behörden könnte Unsicherheiten auf der Seite der Finanzdienstleister abbauen, und damit letztendlich zum Siegeszug der Cloud beitragen.

Weiterlesen

Cloud Services

Thema vertiefen

Cloud Services

Die Finanzbranche verändert sich rasant. Wohl kein Marktteilnehmer kann sich den umfassenden technologischen Neuerungen und dem digitalen Wandel entziehen. Themen wie Data & Analytics, Künstliche Intelligenz oder Robotic Process Automation sind die neuen Taktgeber der Finanzbranche.

Aus dieser Entwicklung ergeben sich vielfältige neue, meist zusätzliche Anforderungen an die IT. Nicht nur kostengünstiger soll diese werden, sondern vor allem auch schneller, flexibler und am Bedarf des Tagesgeschäfts ausgerichtet. Konkret heißt das, es müssen kurzfristig neue, innovative Lösungen gefunden und in die unternehmenseigene IT-Landschaft integriert werden – immer mit dem Ziel vor Augen, ein bestmögliches Angebot für den Endkunden zu generieren

Thema vertiefen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen