Cloud-Dienste sind aus dem modernen Finanzsektor nicht mehr wegzudenken. Sie sind mittlerweile ein fester Bestandteil in der Gestaltung der IT-Infrastruktur von Banken geworden. Dabei werden zunehmend auch geschäftskritische IT-Funktionen in die Cloud ausgelagert. In diesem Zusammenhang steigen jedoch auch die Anforderungen an deren Kontrolle und Absicherung. Einerseits liegen die Vorteile von Cloud-Diensten – wie Kosteneffizienz, Skalierbarkeit, moderne Sicherheitsmechanismen und Zugang zu Innovationen – auf der Hand. Die Europäische Zentralbank (EZB) betont jedoch gleichzeitig die damit verbundenen Risiken, etwa durch die starke Abhängigkeit von wenigen großen Anbietern, eingeschränkte Kontrollmöglichkeiten und erhöhte Anforderungen an Informationssicherheit und Resilienz.

Vor diesem Hintergrund konkretisiert der am 16. Juli 2025 veröffentlichte EZB-Leitfaden zur Auslagerung von Cloud-Diensten die aufsichtsrechtlichen Erwartungen an Institute unter direkter EZB-Aufsicht. Im Zentrum stehen die Umsetzung der Anforderungen aus der EU-Verordnung zur digitalen operationellen Resilienz (DORA), die Behebung aufsichtlicher Defizite sowie die Etablierung praxisnaher Umsetzungsstandards. Der Leitfaden enthält keine neuen Rechtsvorschriften. Er ergänzt bestehende Vorgaben um die Erwartungen der EZB und bietet konkrete Empfehlungen („Good Practices“) für eine sichere, kontrollierte und gesetzeskonforme Nutzung von Cloud-Diensten.

Aufsichtsrechtliche Erwartungen der EZB

Die EZB definiert in ihrem Leitfaden klare Vorgaben für den Einsatz von Cloud-Diensten in Finanzinstituten. Ziel ist es, Risiken im Cloud-Umfeld wirksam zu steuern, um Stabilität, Sicherheit und Geschäftskontinuität zu gewährleisten, Schwachstellen zu minimieren und regulatorische Anforderungen konsequent zu erfüllen. Kurz gesagt: Mehr Schutz, mehr Kontrolle, mehr Resilienz im Finanzsektor. Im Zentrum stehen dabei fünf zentrale Themenbereiche: Governance, Resilienz, Datensicherheit, Exit-Strategien sowie Überwachung und Auditierung.

Auslagerungen sollten im Risikomanagementrahmen ein besonderes Augenmerk gewidmet werden. Denn auch bei einer Auslagerung an Cloud-Service-Provider (CSPs) bleibt das beaufsichtigte Institut vollumfänglich verantwortlich für das Management seiner IKT-Risiken. Die EZB erwartet klar definierte Zuständigkeiten sowie vertraglich abgesicherte Prüf- und Kontrollrechte. Eine Risikoanalyse ist verpflichtend – insbesondere im Hinblick auf Anbieterabhängigkeit (Vendor Lock-in), Datenstandorte, Subunternehmerketten und geteilte Infrastrukturen (Multi-Tenancy). Die Cloud-Strategie muss mit der Gesamtstrategie und dem Risikoprofil des Instituts konsistent sein. Als Good Practice gilt, bei ausgelagerten IT-Diensten dieselben Governance- und Sicherheitsstandards anzuwenden wie bei interner Leistungserbringung – einschließlich entsprechender Nachweise seitens des CSP.

Institute müssen gewährleisten, dass Cloud-Dienste – insbesondere für kritische Funktionen - auch bei schweren Störungen verfügbar bleiben – gestützt durch angemessene IKT-Geschäftsfortführungsmaßnahmen. Die EZB verlangt deshalb getestete Notfall- und Wiederherstellungspläne, risikobasierte Backup-Konzepte sowie technische und organisatorische Maßnahmen zur Absicherung gegen plötzliche Dienstunterbrechungen. Als Good Practice gelten geografisch getrennte Rechenzentren, hybride Cloud-Architekturen und die Aufteilung auf mehrere Anbieter, um Ausfallrisiken zu minimieren.

Die Verantwortung für Datenschutz und Systemsicherheit verbleibt auch in der Cloud beim Institut. Damit erweitert sich der Rahmen des Risikomanagements und erfordert eine sorgfältige Bewertung und Analyse der Risiken sowie bewusste Entscheidungen. Gefordert sind durchgängige Verschlüsselung bei Übertragung, Speicherung und möglichst auch Verarbeitung von Daten sowie eine aktive Steuerung des Datenstandorts – politisch instabile Regionen sind dabei auszuschließen. Dabei schließt die EZB relevante Backups explizit ein. Sämtliche IT-Assets sind zu erfassen, klassifizieren und durch rollenbasierte Zugriffsrechte mit Multi-Faktor-Authentifizierung und Logging abzusichern. Ergänzend empfiehlt die EZB, Sicherheitsrichtlinien mit dem CSP abzustimmen und unabhängige Monitoring-Tools einzusetzen.

Auslagerungsverhältnisse müssen jederzeit kontrolliert und ohne Betriebsunterbrechung beendet werden können. Dazu sind vertraglich klare Kündigungsklauseln festzulegen – etwa für den Fall von Leistungsverschlechterung, Standortverlagerung oder rechtlichen Änderungen. Ebenso erforderlich sind vertraglich geregelte Übergangsfristen (Transition Periods), die eine geordnete Migration ermöglichen. Institute sollten belastbare Exit-Pläne mit Zeitplanung, Ressourcenbedarf und Testverfahren entwickeln. Als Good Practice empfiehlt die EZB, frühzeitig Alternativlösungen wie Eigenbetrieb oder Wechsel zu anderen Anbietern vorzubereiten und die technische Portabilität der Daten sicherzustellen.

Auch im laufenden Betrieb bleibt das Institut für die Überwachung der ausgelagerten Dienste verantwortlich. Neben eigenständigem Monitoring sind vertraglich Berichtspflichten für Leistung und Sicherheitsvorfälle zu vereinbaren. Interne Audits müssen regelmäßig erfolgen, mit vertraglich gesichertem Prüfungszugang. Als Good Practice gelten gemeinsame Prüfungen mit anderen Instituten („Pooled Audits“), um Effizienz und Prüftiefe zu erhöhen.

Implikationen für beaufsichtigte Institute

Der EZB-Leitfaden macht deutlich: Die Nutzung von Cloud-Diensten entbindet Institute nicht von ihrer regulatorischen Verantwortung. Im Gegenteil – IKT-Risiken müssen auch im Cloud-Kontext durchgängig, strategisch und eigenverantwortlich gesteuert werden. Insbesondere bei kritischen oder wichtigen Funktionen gelten verschärfte Anforderungen an Steuerbarkeit, Kontrolle und Ausfallsicherheit.

Für beaufsichtigte Institute bedeutet das konkret:

  • Governance- und Risikostrukturen müssen auch bei Cloud-Auslagerungen vollumfänglich DORA-konform sein,
  • belastbare Exit- und Kontinuitätsstrategien sind bereits vor Vertragsabschluss erforderlich,
  • Vertragsgestaltung, Monitoring, Zugriffskontrolle und Datenmanagement zählen zu den zentralen Prüfbereichen der Aufsicht.

Fazit

Mit dem Leitfaden setzt die EZB klare und praxisnahe Maßstäbe für eine sichere Auslagerung von Cloud-Diensten im Finanzsektor. Die Anforderungen gehen weit über technische Einzelaspekte hinaus und betreffen zentrale Themen wie Resilienz, Governance und Datenhoheit. Institute, die sich frühzeitig und strukturiert mit diesen Erwartungen auseinandersetzen, sichern nicht nur ihre regulatorische Konformität, sondern stärken zugleich ihre operative Stabilität im digitalen Umfeld.

Unsere Expertinnen und Experten bei BDO verfügen über umfassendes Know-how zu allen relevanten regulatorischen Anforderungen – von branchenspezifischem Wissen bis hin zu erprobten Good Practices. Profitieren Sie von unserer Erfahrung und Expertise im Bereich regulatorischer Compliance für Ihre Projekte und sprechen Sie uns gerne an.

Autoren