Cloud Computing ist ein bedeutender Treiber der Digitalisierung in der deutschen Wirtschaft. Dem aktuellen KPMG/Bitkom Cloud Monitor zufolge nutzen 38% der Unternehmen in Deutschland bereits Public-Cloud-Services. Insbesondere bei Finanzdienstleistern ist ein Trend von der Nutzung von privaten Clouds hin zur Nutzung der Services der großen Public-Cloud-Anbieter zu beobachten. Denn nur die großen Anbieter (sogenannte Hyperscaler) können die notwendigen riesigen skalierbaren Infrastrukturen für Datenspeicherung und Rechenleistung bereitstellen und darüber hinaus neue intelligente Services wie Data Analytics und künstliche Intelligenz (KI) anbieten. Damit gewinnen sie zunehmend an Bedeutung und Marktmacht – und mit ihnen potenziell auch die jeweiligen Heimatwirtschaftsräume, vornehmlich USA und China.
Mit der Datenschutzgrundverordnung (DSGVO) wurde 2018 bereits ein europäischer Rahmen für den Umgang mit personenbezogenen Daten festgelegt. Darüber hinaus bestehen regulatorische Anforderungen an den Einsatz von IT bei Banken beispielweise aus den Mindestanforderungen an das Risikomanagement (MaRisk) oder den sogenannten „Bankaufsichtlichen Anforderungen an die IT“ (kurz: BAIT). Gleiches gilt bei Versicherungen (VAIT) und Kapitalanlagegesellschaften (KAIT). Noch gibt es in der deutschen Wirtschaft Bedenken, ob die Cloud-Anbieter diese aufsichtsrechtlichen Anforderungen an Compliance und Datenschutz erfüllen können. Die Sorge vor rechtlichen Unsicherheiten und Schwierigkeiten bei der Erfüllung von Compliance-Anforderungen hemmt derzeit einen schnelleren Siegeszug von Cloud-Computing in Deutschland.
Bereits vor einem Jahr haben Deutschland und Frankreich daher das Projekt „GAIA-X“ gestartet, um eine offene, transparente Dateninfrastruktur nach europäischen Werten und Standards zu schaffen. Bisher befindet sich das Projekt jedoch noch in der Konzeptionsphase und es ist nicht absehbar, wann tatsächliche konkrete marktreife Angebote entstehen.
Europäische Kommission stellt Entwurf zur Regulierung von Cloud-Anbietern vor
Nun hat jedoch die Europäische Kommission im Rahmen des Digital-Finance-Package einen Entwurf für eine Aufsicht für im Finanzsektor aktive große Cloud-Anbieter vorgestellt.
Was ist neu?
Große Aufmerksamkeit dürften Unternehmen der Finanzindustrie nun auf diesen neuerlichen Vorstoß der Europäischen Kommission im Rahmen des digitalen Finanzpaketes („digital finance package“) richten. Dabei schlägt die Europäische Kommission eine neue Regulierung zur Verbesserung der digitalen operationalen Widerstandsfähigkeit („digital operational resilience“) des Finanzsektors vor. Insbesondere große Cloud-Anbieter identifiziert der Regulator als kritisch für die europäische Infrastruktur, weshalb diese einer eigenen Aufsicht unterliegen sollen. Darüber hinaus werden in dem Vorstoß der Europäischen Kommission erstmals neben den etablierten Finanzdienstleistern auch ausdrücklich FinTechs inkludiert.
Wie soll es konkret umgesetzt werden?
Die Europäische Kommission schlägt unter dem Titel „Oversight framework of critical third party service providers“ vor, die Cloud-Anbieter unter die Aufsicht einer Behörde (z.B. EBA, ESA oder EIOPA) zu stellen, um zu überwachen, dass Finanzdienstleister wirksame Regelungen, Prozeduren und Maßnahmen etablieren, um Cyber- und IT-Risiken zu verhindern bzw. sicher zu managen. Die Behörde darf dazu aufsichtsrechtliche Prüfungen durchführen und Strafzahlungen verhängen, ähnlich wie es bereits nach der Finanzkrise auch für insbesondere Banken und Versicherungen durchgeführt wurde.