Cloud Sovereignty: Abhängigkeiten bewusst managen

Wie viel Kontrolle behalten Banken und Versicherer tatsächlich, wenn immer mehr Kernfunktionen schrittweise in die Cloud verlagert werden?

Woran erkennt man belastbar, ob Abhängigkeiten bewusst gesteuert oder stillschweigend eingekauft werden – und an welchen Stellen entstehen durch proprietäre Plattformdienste globaler Hyperscaler neue Risiken für Nachweisfähigkeit, Wechseloptionen und Resilienz?

Digitale Souveränität als Steuerungsthema im Finanzsektor

Digitale Souveränität ist im Finanzsektor längst kein Modebegriff mehr, sondern ein zentrales Steuerungsthema mit direkter Relevanz für Risikoexposition, Compliance-Fähigkeit und Innovationskraft. In der Praxis stellt sich weniger die Frage, ob Institute Cloud-Technologien nutzen sollten, sondern unter welchen Bedingungen sie dies tun können, ohne zentrale Kontrolle über kritische Daten, Systeme und Abhängigkeiten zu verlieren. Gerade bei Cloud-basierten, häufig proprietären Services globaler Hyperscaler zeigt sich, dass digitale Souveränität nicht als Abschottung verstanden werden darf, sondern als Fähigkeit, Abhängigkeiten aus Basis eigener Entscheidungskompetenz, technischer Handlungsfähigkeit sowie klarer regulatorischer Vorgaben bewusst einzugehen und aktiv zu steuern.

Kontrolle statt Autarkie

In der öffentlichen Diskussion wird digitale Souveränität oft auf „volle Datenkontrolle“ oder „technologische Unabhängigkeit“ reduziert. Diese Sicht greift zu kurz, auch für Banken und Versicherungen. Souveränität entsteht nicht dadurch, dass keine Abhängigkeiten existieren, sondern dadurch, dass Abhängigkeiten transparent sind, kontrollierbar bleiben und im Bedarfsfall durch Alternativen oder Exit-Optionen abgesichert werden. Institute müssen nachvollziehbar bestimmen können, wer auf welche Daten zugreifen kann, nach welchem Recht dies geschieht und welche technischen sowie organisatorischen Kontrollmechanismen tatsächlich wirksam sind. Digitale Souveränität wird damit zu einem Baustein regulatorischer und operativer Resilienz, weil sie Institute in die Lage versetzt, Risiken aus geopolitischen Entwicklungen, rechtlichen Zugriffskonstellationen oder marktgetriebenen Veränderungen zu begrenzen, ohne gleichzeitig die Vorteile moderner Cloud-Technologien zu verlieren.

Warum die Relevanz jetzt steigt

Dass das Thema aktuell an Bedeutung gewinnt, ist das Ergebnis mehrerer Entwicklungen, die sich gegenseitig verstärken. Geopolitische Spannungen und die Marktdominanz weniger globaler Cloud-Anbieter führen dazu, dass Fragen nach Kontrolle, Nachweisfähigkeit und Abhängigkeiten stärker in den Mittelpunkt rücken. Ein Großteil der weltweit genutzten Cloud-Ökosysteme wird von Unternehmen außerhalb Europas geprägt, während europäische Vorgaben wie DSGVO, DORA und die Leitlinien der EBA die Anforderungen an Transparenz, Auditierbarkeit und Steuerbarkeit von Dienstleisterketten erhöhen. Für Finanzinstitute entsteht daraus ein Zielkonflikt: Einerseits sind Cloud-Technologien für Effizienz, Skalierung und Innovation nahezu unverzichtbar, andererseits darf die Kontrolle über kritische Systeme und Daten nicht so weit zurücktreten, dass Nachweise gegenüber Aufsicht und Stakeholdern nicht mehr belastbar erbracht werden können oder Wechseloptionen praktisch entfallen.

Souveräne Cloud ohne einheitlichen Standard

Obwohl der Begriff der „souveränen Cloud“ breit verwendet wird, fehlt z.B. eine international einheitliche Definition von Souveränitätskriterien/ Leveln oder eine allgemein anerkannte Zertifizierung. Zwar gibt es Initiativen, die das Ziel verfolgen, Standards und Prinzipien für eine europäische Cloud-Architektur zu etablieren, doch die konkrete Auslegung unterscheidet sich nach Land, Sektor und Rechtsauffassung teils erheblich. Für Institute bedeutet das, dass sie Souveränität selbst operationalisieren müssen, indem sie ein eigenes, prüfbares Kriterienmodell entwickeln, das zur eigenen Risikostrategie und Aufsichtsrealität passt. Dabei reicht es nicht aus, den Standort von Rechenzentren in den Vordergrund zu stellen; entscheidend sind die tatsächlichen Mechanismen der Zugriffskontrolle, die Schlüsselhoheit, die Nachweis- und Auditierbarkeit, die Transparenz von Subdienstleisterketten sowie die praktische Portabilität von Daten und Anwendungen. Als Orientierung kann unter anderem das im Oktober 2025 veröffentlichte Cloud Sovereignty Framework der Europäischen Kommission dienen, insbesondere zur Strukturierung relevanter Bewertungsdimensionen.

Governance als Voraussetzung für wirksame Souveränität

In der Praxis wird zunehmend deutlich, dass digitale Souveränität nicht nur eine technische, sondern ebenso eine organisatorische Dimension besitzt. Technische Maßnahmen entfalten nur dann Wirkung, wenn Governance-Strukturen klar sind, Verantwortlichkeiten nachvollziehbar geregelt werden und Entscheidungsprozesse unabhängig von einzelnen Anbietern gestaltet sind. Souveränität verlangt deshalb ein effektives Zusammenspiel von IT, Informationssicherheit, Datenschutz, Compliance, Einkauf und Third Party Risk Management, das über klassische Zuständigkeitsgrenzen hinweg gemeinsame Standards, Mindestkontrollen und Entscheidungslogiken etabliert. Gerade im Finanzsektor, in dem Betriebsstabilität, Ausfallsicherheit und regulatorische Nachweise von elementarer Bedeutung sind, muss die Nutzung von Cloud Services so gestaltet sein, dass Compliance-Anforderungen nicht nur formal erfüllt, sondern praktisch überprüfbar gemacht werden und Exit-Szenarien nicht als theoretische Option im Vertrag stehen, sondern technisch und organisatorisch vorbereitet und implementiert sind.

Effizienz nutzen, Abhängigkeiten bewusst steuern

Leistungsfähigkeit, Skalierbarkeit und Innovationsgeschwindigkeit der großen Cloud-Anbieter prägen den Markt – und für viele Institute ist ein kompletter Verzicht weder wirtschaftlich noch funktional realistisch. Gleichzeitig steigt das Bewusstsein dafür, dass eine zu starke Abhängigkeit von einzelnen Plattformen Risiken erzeugen kann, etwa durch rechtliche Eingriffe, Veränderungen von Preismodellen, eingeschränkte Wechselmöglichkeiten oder die Nutzung proprietärer Technologien, die Migrationen erschweren. Viele Institute reagieren darauf mit hybriden oder balancierten Strategien, in denen Public Cloud Services gezielt dort eingesetzt werden, wo sie als sinnvoll erachtet werden, während für besonders kritische Daten, Systeme oder Funktionen zusätzliche Kontrollmechanismen, alternative Komponenten oder europäische Angebote genutzt werden, um die Steuerbarkeit zu erhöhen und Konzentrationsrisiken zu begrenzen.

Cloud Sovereignty als Reifeprozess und Assessment-Aufgabe

Digitale Selbstbestimmung ist weniger ein einmaliges Projekt als ein Reifeprozess, der mit einer sachlichen Bestandsaufnahme beginnt. Institute müssen verstehen, wo kritische Daten liegen, unter welchem Recht sie verarbeitet werden, welche Teile der Infrastruktur und relevanten Services in welchem Umfang von externen Dienstleistern abhängen und wie transparent deren Prozesse und Subdienstleisterketten sind. Ebenso relevant ist, ob im Institut die Kompetenzen vorhanden sind, technologische Entscheidungen selbst zu treffen, Alternativen zu bewerten und Abhängigkeiten aktiv zu managen. Ein Sovereignty-Assessment, wie es beispielsweise das Cloud Sovereignty-Framework als Hilfestellung adressiert, übersetzt diese Fragestellungen in eine strukturierte Bewertung, ermittelt Reifegrade und leitet priorisierte Maßnahmen ab, um Datenhoheit zu stärken, Lock-in-Risiken zu reduzieren, Auditierbarkeit zu erhöhen und interne Kompetenzen auszubauen. Das Ergebnis ist kein Schwarz-Weiß-Urteil, sondern ein belastbares Verständnis der eigenen Handlungsspielräume und eine Grundlage für eine Cloud-Strategie, die souverän, regelkonform und zukunftsfähig ist.