Digitale Souveränität für Banken: auf welche Faktoren kommt es an?

Datensouveränität: Mehr als nur der Standort des Rechenzentrums

Wenn von Datensouveränität die Rede ist, wird häufig zuerst an den physischen Speicherort gedacht. Daten, die in einem europäischen Rechenzentrum liegen, gelten vielfach als sicher und compliant. Doch diese Annahme greift zu kurz. Entscheidend ist nicht allein, wo Daten gespeichert werden, sondern wer unter welchem Recht darauf zugreifen kann.

Wie wirkt sich internationale Regulatorik auf die digitale Souveränität aus?

Der US-amerikanische CLOUD Act verpflichtet Unternehmen mit Sitz in den Vereinigten Staaten, auf Anforderung von US-Behörden Daten herauszugeben – unabhängig davon, ob diese in den USA, in Europa oder anderswo gespeichert sind. Für europäische Banken, die Cloud-Dienste oder Softwarelösungen US-amerikanischer Anbieter nutzen, ergibt sich daraus ein struktureller Konflikt mit der DSGVO und weiteren europäischen Datenschutzvorgaben.

Seit Januar 2025 verschärft die DORA-Verordnung die Anforderungen an das Drittparteienrisikomanagement im Finanzsektor zusätzlich. Banken müssen dokumentieren, welche Drittanbieter sie nutzen, wo deren Infrastruktur betrieben wird und welchen rechtlichen Rahmenbedingungen die Datenverarbeitung unterliegt. Ergänzend dazu ist seit September 2025 der EU Data Act vollumfänglich anwendbar, der unter anderem Regeln für den Wechsel zwischen Cloud-Anbietern einführt und Anbieterabhängigkeiten reduzieren soll.

Echte Datensouveränität erfordert ein Zusammenspiel aus technischen, vertraglichen und organisatorischen Maßnahmen. Eine souveräne Cloud zeichnet sich nicht allein durch den Standort der Rechenzentren aus, sondern auch durch die Möglichkeit, Daten und Anwendungen bei Bedarf zu migrieren und sicherzustellen, dass kein unautorisierter Zugriff von außen erfolgt.

Technologische Souveränität: Art und Herkunft des Tech-Stacks zählen

Neben der Daten-Thematik rückt eine weitere Frage in den Fokus: Woher stammen die eingesetzten Technologien selbst? Die Risiken einer einseitigen Abhängigkeit von außereuropäischen Technologieanbietern sind vielfältig. Sie reichen von Preiserhöhungen und veränderten Lizenzmodellen über die Verweigerung oder Verzögerung von Sicherheits-Updates bis hin zu politisch motivierten Zugangsbeschränkungen. Diese Risiken können die Handlungsfreiheit deutlich einschränken: Agiert ein Anbieter in restriktiver Weise in Sachen Lizenzen oder Zugänge, stehen Banken vor der Wahl zwischen Akzeptanz oder aufwändiger Migration.

Welche technologischen Aspekte stärken digitale Souveränität?

Europäische Softwareanbieter können hier eine Alternative bieten. Entscheidend ist dabei, dass die Technologie nicht nur in Europa gehostet, sondern auch in Europa entwickelt und weiterentwickelt wird. Dies trägt dem europäischen Rechtsrahmen und branchenspezifischen Anforderungen unmittelbar Rechnung.

Im Bereich der Kernbankensysteme ist außerdem ein Blick auf die technologischen Einzelkomponenten angezeigt. Proprietäre Schnittstellen, herstellerspezifische Cloud-Plattformen und geschlossene Architekturen verstärken Abhängigkeitsffekte – nicht nur auf kommerzieller Ebene, sondern auch im gesamten Technologie-Stack. Offene Standards, API-basierte Architekturen und der Einsatz von Open-Source-Komponenten fördern hingegen die technologische Souveränität. Sie ermöglichen den Austausch einzelner Komponenten, ohne das Gesamtsystem zu gefährden, und reduzieren die Abhängigkeit von einem einzelnen Anbieter.

Operative Souveränität: Die Eigentümerstruktur als strategischer Faktor

Eine Dimension, die in der Beurteilung digitaler Souveränität häufig übersehen wird, betrifft die Eigentümerstruktur der Technologieanbieter selbst. Wer ein Softwareunternehmen besitzt, bestimmt langfristig dessen strategische Ausrichtung, Investitionsprioritäten und Preispolitik. Für Banken, die ihre Kernprozesse auf die Lösungen eines Anbieters stützen, ist diese Frage alles andere als abstrakt.

Wie beeinflussen Besitzverhältnisse von Softwareanbietern den Grad der Souveränität?

In der europäischen Finanz-IT-Landschaft lässt sich in den vergangenen Jahren eine zunehmende Konsolidierung beobachten. Private-Equity-Gesellschaften oder große internationale Akteure, häufig mit Sitz außerhalb Europas, übernehmen lokale Softwareanbieter. Was kurzfristig Kapital und Skaleneffekte bringen kann, birgt mittelfristig Risiken: veränderte Produktstrategien, die Verlagerung von Entwicklungskapazitäten, steigende Lizenzkosten oder die Einstellung von Produktlinien, die nicht ins Portfolio passen.

Für Banken, die langfristige Planungssicherheit und einen verlässlichen Technologiepartner suchen, ist die Unabhängigkeit der Eigentümerstruktur daher ein relevantes Auswahlkriterium. Ein Anbieter mit stabiler, unabhängiger und idealerweise europäischer Eigentümerstruktur bietet größere Gewähr dafür, dass strategische Entscheidungen im Einklang mit den Interessen der Kunden und des europäischen Marktes getroffen werden. Bei der Due Dilligence für potenzielle Anbieter sollten also Fragen beantwortet werden wie: Wem gehört der Anbieter? Als wie stabil sind diese Eigentumsverhältnisse einzuschätzen? Wie ist die Finanzierungssituation?

Die Take-Aways für digitale Souveränität im Bankensektor

• Bewusstsein wächst: einer der Top Technologie-Trends für Finanzdienstleister
• Prozess, kein Zustand: schrittweise Steigerung als geeignetes Zielbild
• Zusammenspiel von Maßnahmen: Datensouveränität technisch, regulatorisch und organisatorisch umsetzen
• „Unter die Haube schauen“: Einzelkomponenten und Entwicklungsprozesse von Softwarelösungen für technologische Souveränität prüfen
• Stakeholder der Technologiepartner kennen: Eigentümerverhältnisse identifizieren und Implikationen ableiten

 

BANCOS entwickelt als unabhängiger, europäischer Softwareanbieter mit Sitz in Berlin seit 1988 Kernbanken- und Automatisierungslösungen für Banken und Fintechs. Informieren Sie sich hier online und nehmen Sie Kontakt mit uns auf, wenn Sie eine individuelle Beratung wünschen.