Von Anna Sleegers, Frankfurt

Der Gang in die Public Cloud ist für Banken der einfachste und kostengünstigste Weg zu Effizienzgewinnen. Anders als bei der sogenannten Private Cloud, die bereits von vereinzelten Banken genutzt wird, bieten die entsprechenden Angebote von Google, Amazon oder Microsoft den Instituten eine nahezu unbegrenzte Skalierbarkeit, bei überschaubaren und vor allem bedarfsgerecht abrufbaren Leistungen.

Doch wie bei allem im Internet, das billig oder gar kostenlos ist, muss man befürchten, dass die Anbieter von Public-Cloud-Dienstleistungen sich ihren Service mit Nutzerdaten statt in Euro oder Dollar bezahlen lassen. Gerade die sensiblen Kundendaten von Banken sind für Technologiekonzerne Gold wert.

Die Vorstellung, dass US-Konzerne über Cloud-Dienstleistungen für Banken generierte Informationen über deren Kunden in Europa in anderen Zusammenhängen verwerten, ist für Kunden, Aufsichtsbehörden, Datenschützer sowie die Banken selbst gleichermaßen blanker Horror. Um dies zu vermeiden, müssen die europäischen Banken sich vertraglich entsprechend absichern. So hat etwa die Commerzbank sowohl Microsoft als auch Google dazu verpflichtet, Kundeninformationen nur in Datenzentren zu speichern und zu verarbeiten, die innerhalb des Wirkungsbereichs der europäischen Datenschutzgrundverordnung (DSGVO) liegen.

Damit künftig nicht jeder Finanzdienstleister in Europa bei der Gestaltung der entsprechenden Verträge mit seinen Cloud-Dienstleistern bei null anfangen muss, hat die im Januar gegründete European Cloud User Coalition (ECUC), der sich inzwischen 19 Finanzdienstleister aus ganz Europa angeschlossen haben, die Fragestellungen und Lösungsansätze in einem Positionspapier zusammengetragen, das ab Montag, 17. Mai auf der Website des Zusammenschlusses abrufbar ist.

Indem sie die Anbieter verpflichten, ihre Daten innerhalb der europäischen Union (EU) oder Drittstaaten zu speichern, die sich der Datenschutzgrundverordnung angeschlossen haben, verschaffen sich die hiesigen Banken Rechtssicherheit mit Blick auf einen etwaigen Missbrauch der Daten. Mittelfristig dürfte sich das jedoch auch strukturell auswirken. Denn die damit für die US-Technologiekonzerne verbundene Notwendigkeit, Datenzentren innerhalb von Europa zu unterhalten, ist zumindest ein Schritt in Richtung digitaler Autonomie.

Doch in dem 20-seitigen Positionspapier geht es nicht bloß um den Datenschutz. Auch mit Blick auf die Folgen von Betriebsunterbrechungen etwa durch technische Pannen oder Hackerangriffe unterliegen die europäischen Banken strengen Vorgaben. In dem Positionspapier nimmt die ECUC in diesem Zusammenhang auch Stellung zu dem Digital Operational Resilience Act, kurz DORA, mit dem die EU einen Rechtsrahmen schaffen will, um einheitliche Vorschriften zur digitalen Betriebssicherheit von Finanzinstituten sicherzustellen.

Ziel der Initiatoren ist es, auf Seiten der US-Dienstleister ein Be­wusstsein für die hohen regulatorischen Anforderungen zu schaffen, denen die europäischen Banken gerecht werden müssen. Denn wie Jörg Hessenmüller, Chief Operating Officer der Commerzbank im vergangenen Herbst im Interview der Börsen-Zeitung unterstrich, handelt es sich bei der Public Cloud um eine Outsourcing-Dienstleistung: „Daher müssen wir wie bei jeder Form des Outsourcings sicherstellen, dass die Dienstleister dieselben Anforderungen erfüllen, die wir auch erfüllen müssen.“

Gerade für kleinere Institute, die bei der Digitalisierung nur sehr be­grenzt auf Bordmittel zurückgreifen können, stellt dies eine große Herausforderung dar. Je kleiner die eigene Rechtsabteilung, desto größer dürfte die Scheu sein, sich auf bilaterale Vertragsverhandlungen mit den Anwälten der US-Technologiefirmen einzulassen. Das in den vergangenen Monaten unter Federführung von Deutscher Börse, ING und der Commerzbank erarbeitete Positionspapier ist erklärtermaßen auch als Orientierungshilfe in diesen Fällen gedacht. Die Public Cloud ist nach Einschätzung der ECUC der Schlüssel für die digitale Transformation der gesamten Branche. Wie die Nutzerkoalition anlässlich der Veröffentlichung betont, steht sie für weitere Mitglieder offen, die an der Entwicklung gemeinsamer europäischer Standards mitwirken wollen.

Wertberichtigt Seite 6