Das richtige Maß von digitaler Souveränität in bewegten Zeiten
Das richtige Maß von digitaler Souveränität in bewegten Zeiten
Die geopolitische Lage wirft Fragen nach der technologischen Eigenständigkeit auf.
Keyfacts:
- Die geopolitische Unsicherheit erhöht den Druck für Banken, Versicherungen und Co., sich mit dem Thema digitale Souveränität zu befassen.
- Viele Institute beziehen Cloud-Services von außerhalb der EU – sie sind abhängig von großen US-Hyperscalern.
- Digitale Souveränität im Finanzsektor ist möglich und gestaltbar: In vier Schritten gelangen Unternehmen zur souveränen Cloud.
Seien wir ehrlich: Ohne den effizienten Bezug von Rechenleistung und innovativen Services geht es in Banken, Versicherungen und anderen Unternehmen der Finanzindustrie nicht. Aber Institute in Deutschland und Europa müssen sich im aktuellen Umfeld die Frage nach der Unabhängigkeit und Souveränität stellen.
Denn was sich mit den Diskussionen um ein transatlantisches Datentransferabkommen (Data Privacy Framework) und die Urteile Schrems I und Schrems II seit Jahren andeutete, wird im aktuellen geopolitischen Kontext zur strategischen Grundsatzfrage.
Bei der KPMG Cloud-Konferenz 2025 im September war es eines der großen Themen: Wie bleiben Finanzinstitute in Deutschland und Europa digital souverän? In unseren Panel-Diskussionen und in den Gesprächen am Rande wurde klar: Es braucht ein Umdenken, und das haben auch die Unternehmen in der Finanzindustrie längst erkannt.
Einige Erkenntnisse aus dem aktuellen KPMG Cloud-Monitor Financial Services 2025, für den mehr als 100 Entscheiderinnen und Entscheider aus deutschen Finanzinstituten befragt wurden, unterstreichen das: 6 von 10 Unternehmen führen derzeit aufgrund der geopolitischen Entwicklung eine umfangreiche Risikobewertung durch, und fast 3 von 10 Unternehmen (28 Prozent) haben ihre Cloud-Strategie bereits angepasst.
KPMG Cloud-Monitor: Reaktionen auf geopolitische Risiken
Quelle: KPMG in Deutschland 2025; Anteil in Prozent der Finanzdienstleister, die Cloud-Dienste nutzen, Mehrfachnennung möglich
Europäische Lösungen könnten Hyperscaler ersetzen
Die Hälfte der befragten Verantwortlichen in Finanzunternehmen (49 Prozent der Befragten) plant, zusätzlich zu bereits genutzten Hyperscalern europäische Cloud-Anbieter an Bord zu holen.
Das Thema ist so wichtig, dass die Bereitschaft, für souveräne Cloud-Angebote einen Aufpreis zu zahlen, gerade in der Finanzindustrie hoch ist: Ein Fünftel würde bis zu 30 Prozent mehr investieren. Fast ein Viertel plant bereits, einen Hyperscaler durch eine europäische Lösung zu ersetzen.
Cloud-Monitor 2025: Financial Services
Digitale Souveränität, NIS2 und KI verändern die Cloud-Nutzung – erfahren Sie, wie Finanzdienstleister darauf reagieren.
Studie herunterladen
Studie: Sourcing in der Finanzbranche
Sourcing bietet enormes Potenzial, um im digitalen Wandel zu bestehen – doch wie lässt sich dieses strategisch und kosteneffizient nutzen? Wir haben 200 Führungskräfte befragt.
Studie herunterladen
Neben technologischen sind regulatorische, Kosten- und Sicherheitsaspekte zu beachten. Die eigene Strategie sollte mit den Ansprüchen des Instituts an Souveränität in der Leistungstiefe des Cloud-Service-Providers abgeglichen werden.
Ist Unabhängigkeit bei den eigenen Daten angestrebt – wo sie liegen, wer zugreifen darf und welche Regeln dafür gelten? Erstreckt sie sich auch auf Anwendungen, zusätzlich auf Hardware, Netzwerke und Rechenzentren und möglicherweise zusätzlich auch noch auf Basiskomponenten wie Chips und Seltenen Erden?
Vier Ebenen der Leistungstiefe auf dem Weg zur souveränen Cloud
Quelle: KPMG 2025
Der Weg der Finanzindustrie in eine souveräne Cloud
Digitale Souveränität im Finanzsektor ist möglich und vielfach nötig. Sie ist eine konkrete strategische Handlungsoption und gestaltbar. Die Umsetzung einer Strategie für eine souveräne Cloud erfordert nach unserem Ermessen ein Vorgehen in vier Schritten:
- Strategische Ausrichtung und Risikobewertung: Zuerst werden die Souveränitätsziele definiert, die sich in der Multi-Cloud Strategie widerspiegeln und eine umfassende Risikobewertung durchgeführt, die Compliance-Lücken (zum Beispiel DORA) und geopolitische Risiken analysiert.
- Definition des Souveränitätsanspruchs: Anschließend werden die Ziele in einen messbaren Anforderungskatalog übersetzt, der technische, organisatorische und vertragliche Aspekte wie Exit-Strategien detailliert.
- Anbieter-Analyse und Due Diligence: Anhand des Katalogs erfolgen eine systematische Marktanalyse und eine tiefgehende Due Diligence der Anbieter, um deren tatsächliche Souveränitätsleistung jenseits von Marketingversprechen zu prüfen.
- Validierung mittels Proof of Concept: Abschließend wird die ausgewählte Lösung in einem Proof of Concept (PoC) mit klaren Erfolgskriterien praktisch erprobt, um kritische Annahmen vor einer finalen Implementierung zu validieren.
Quelle: KPMG 2025
Digitale Souveränität: entscheidend für die Handlungsfähigkeit von Finanzinstituten
Die Auseinandersetzung mit Cloud-Souveränität ist also mehr als das Erfüllen einer regulatorischen Pflicht. Sie ist eine strategische Kernaufgabe, die über die zukünftige Handlungs- und Wettbewerbsfähigkeit von Finanzinstituten entscheidet.
In einem Umfeld wachsender geopolitischer und digitaler Unsicherheiten wird die nachweisbare Kontrolle über sensible Kundendaten und kritische Betriebsprozesse zu einem entscheidenden Faktor für die Stärkung des Kundenvertrauens. Vor allem für Institute mit öffentlichem Auftrag, zum Beispiel Förderbanken, ist das besonders wichtig.
Wer schnell handelt, ist im Vorteil. Denn die Cloud-Kapazitäten in Europa sind begrenzt, und nicht jeder Anbieter wird kurzfristig in der Lage sein, mehrere große Migrationen gleichzeitig zu stemmen. Institute, die jetzt investieren, können sich die Ressourcen bei ihrem Wunschpartner sichern, Abhängigkeiten schrittweise reduzieren und damit sowohl ihre Resilienz als auch ihre digitale Souveränität nachhaltig stärken.
