Müssen Big-Tech-Cloud-Anbieter an die kurze Leine?
Big-Tech-Clouds an die kurze Leine?
Das bedeutet der Entwurf der Europäischen Kommission zur Regulierung von Cloud-Anbietern
Cloud Computing ist ein bedeutender Treiber der Digitalisierung in der deutschen Wirtschaft. Dem aktuellen KPMG/Bitkom Cloud Monitor zufolge nutzen 38% der Unternehmen in Deutschland bereits Public-Cloud-Services. Insbesondere bei Finanzdienstleistern ist ein Trend von der Nutzung von privaten Clouds hin zur Nutzung der Services der großen Public-Cloud-Anbieter zu beobachten. Denn nur die großen Anbieter (sogenannte Hyperscaler) können die notwendigen riesigen skalierbaren Infrastrukturen für Datenspeicherung und Rechenleistung bereitstellen und darüber hinaus neue intelligente Services wie Data Analytics und künstliche Intelligenz (KI) anbieten. Damit gewinnen sie zunehmend an Bedeutung und Marktmacht – und mit ihnen potenziell auch die jeweiligen Heimatwirtschaftsräume, vornehmlich USA und China.
Mit der Datenschutzgrundverordnung (DSGVO) wurde 2018 bereits ein europäischer Rahmen für den Umgang mit personenbezogenen Daten festgelegt. Darüber hinaus bestehen regulatorische Anforderungen an den Einsatz von IT bei Banken beispielweise aus den Mindestanforderungen an das Risikomanagement (MaRisk) oder den sogenannten „Bankaufsichtlichen Anforderungen an die IT“ (kurz: BAIT). Gleiches gilt bei Versicherungen (VAIT) und Kapitalanlagegesellschaften (KAIT). Noch gibt es in der deutschen Wirtschaft Bedenken, ob die Cloud-Anbieter diese aufsichtsrechtlichen Anforderungen an Compliance und Datenschutz erfüllen können. Die Sorge vor rechtlichen Unsicherheiten und Schwierigkeiten bei der Erfüllung von Compliance-Anforderungen hemmt derzeit einen schnelleren Siegeszug von Cloud-Computing in Deutschland.
Bereits vor einem Jahr haben Deutschland und Frankreich daher das Projekt „GAIA-X“ gestartet, um eine offene, transparente Dateninfrastruktur nach europäischen Werten und Standards zu schaffen. Bisher befindet sich das Projekt jedoch noch in der Konzeptionsphase und es ist nicht absehbar, wann tatsächliche konkrete marktreife Angebote entstehen.
Europäische Kommission stellt Entwurf zur Regulierung von Cloud-Anbietern vor
Nun hat jedoch die Europäische Kommission im Rahmen des Digital-Finance-Package einen Entwurf für eine Aufsicht für im Finanzsektor aktive große Cloud-Anbieter vorgestellt.
Was ist neu?
Große Aufmerksamkeit dürften Unternehmen der Finanzindustrie nun auf diesen neuerlichen Vorstoß der Europäischen Kommission im Rahmen des digitalen Finanzpaketes („digital finance package“) richten. Dabei schlägt die Europäische Kommission eine neue Regulierung zur Verbesserung der digitalen operationalen Widerstandsfähigkeit („digital operational resilience“) des Finanzsektors vor. Insbesondere große Cloud-Anbieter identifiziert der Regulator als kritisch für die europäische Infrastruktur, weshalb diese einer eigenen Aufsicht unterliegen sollen. Darüber hinaus werden in dem Vorstoß der Europäischen Kommission erstmals neben den etablierten Finanzdienstleistern auch ausdrücklich FinTechs inkludiert.
Wie soll es konkret umgesetzt werden?
Die Europäische Kommission schlägt unter dem Titel „Oversight framework of critical third party service providers“ vor, die Cloud-Anbieter unter die Aufsicht einer Behörde (z.B. EBA, ESA oder EIOPA) zu stellen, um zu überwachen, dass Finanzdienstleister wirksame Regelungen, Prozeduren und Maßnahmen etablieren, um Cyber- und IT-Risiken zu verhindern bzw. sicher zu managen. Die Behörde darf dazu aufsichtsrechtliche Prüfungen durchführen und Strafzahlungen verhängen, ähnlich wie es bereits nach der Finanzkrise auch für insbesondere Banken und Versicherungen durchgeführt wurde.
Cloud-Monitor 2023: Financial Services
Unsere Studie „Cloud-Monitor 2023: Financial Services. Nutzung von Cloud Computing im Finanzsektor“ zeigt Ihnen, wie Sie durch den Einsatz von Cloud-Lösungen Ihre IT-Landschaft transformieren und Prozesse optimieren können.
Studie herunterladenWas ist das Ziel der Europäischen Kommission?
Insgesamt betrachtet zielt die Initiative darauf ab, die “digital operational resilience”, also die digitale operative Widerstandsfähigkeit, des Europäischen Finanzsektors zu stärken. Dabei wird die bestehende EU-Finanz-Gesetzgebung erweitert, um auf neue Anforderungen durch die Digitalisierung zu reagieren und bestehende Lücken zu schließen. Die Kernziele sind dabei:
- Verbesserung des Managements von IT-Risiken,
- Vermehrung des Wissens der Aufsicht über Bedrohungen und konkrete Vorfälle,
- Verbesserung der Testfähigkeiten der Finanzdienstleister hinsichtlich der IT-Systeme und
- verbesserte Ein- und Übersicht der Aufsicht zu den Risiken, die für Finanzdienstleister entstehen, wenn sie in der IT abhängig von Drittanbietern (sogenannte „Third Party Provider“) sind.
Wie geht es weiter?
Wann die nun vorgeschlagenen regulatorischen Anforderungen und Vorgaben rechtlich bindend installiert werden, ist noch nicht absehbar. Allerdings ist erkennbar, dass sich die Europäische Union nicht in eine Abhängigkeit von ausländischen Infrastrukturen begeben will, sondern entweder eigene Angebote etablieren oder zumindest die Angebot Dritter nach eigenen Vorstellungen formen wird. Zweifellos wird damit der europäische Weg zur Digitalisierung weiter eigenständiger.
Für die Cloud-Provider bietet sich damit auch eine echte Chance: Die direkte Aufsicht der Anbieter durch die Behörden könnte Unsicherheiten auf der Seite der Finanzdienstleister abbauen, und damit letztendlich zum Siegeszug der Cloud beitragen.
Datenschutz (DSGVO)
Wie DSGVO-konform ist Ihr Unternehmen?
Unsere Business Analytics hilft Ihnen dabei, dies herauszufinden. Profitieren Sie von der KPMG-Reifegradanalyse und erhalten Sie eine objektive Bewertung der bei Ihnen eingesetzten Maßnahmen in Bezug auf die Implementierung der DSGVO.
Jetzt Analyse starten