Cloud Computing ist von grundlegender Bedeutung. Es ermöglicht die digitale Transformation des europäischen Finanzsektors. Die 2021 gegründete European Cloud User Coalition (ECUC) setzt sich für diese Transformation ein und befähigt europäische Finanzinstitute (FI), Public-Cloud-Technologie rechtskonform zu nutzen. Die DKB unterstützt die ECUC in ihrem primären Ziel, eine gemeinsame Position zu regulatorischen und datenschutzrechtlichen Herausforderungen zu entwickeln, mit denen die technischen Lösungen der Cloud-Anbieter im besten Fall konform sein sollen. Die Anforderungen im Positionspapier wurden aus den Erfahrungen der ECUC-Mitglieder bei der Einführung von Cloud Computing abgeleitet.
Hier einige Beispiele:
Erfüllung der regulatorischen Anforderungen beim Outsourcing von Cloud-Diensten, z.B. die Anpassung der Cloud-Verträge an die aktuellen regulatorischen und datenschutzrechtlichen Vorgaben und Gesetze
Verringerung des administrativen Aufwandes für alle Finanzinstitute, die individuell mit Cloud Providern zusammenarbeiten, z.B. kundenspezifische Vertragsvereinbarungen und Cloud-Setup
Offenlegung der Datenströme innerhalb der europäischen und nichteuropäischen Cloud-Regionen und ein effektiver Schutz personenbezogener Daten in Drittländern
Durch die lang andauernde Niedrigzinsphase stehen Banken mit ihren traditionellen Geschäftsmodellen immer mehr unter Druck. Hier gilt es, an verschiedenen Stellen Kosten zu senken bzw. mit Bedacht zu investieren. Einige ECUC-Mitgliedsbanken haben dies bereits beherzigt und den Einsatz von Cloud-Lösungen verstärkt. Die Cloud-Lösung ersetzt die Anschaffung eigener Software und verfolgt den Pay-per-Use Ansatz. Es wird lediglich für die tatsächliche Nutzung gezahlt.
Die ECUC hatte im Mai 2021 ihr erstes Positionspapier veröffentlicht, um den Public-Cloud-Providern eine aggregierte Sicht auf die Herausforderungen und Lösungen bei der Nutzung von Public Cloud Computing in regulierten Kreditinstituten zu vermitteln. Das erste Positionspapier enthält erste gemeinsame Anforderungen der ECUC an Cloud-Anbieter und Regulierungsbehörden.
Mit dem jetzt veröffentlichten zweiten Positionspapier deckt die ECUC zusätzliche Anforderungen an Cloud-Anbieter ab, insbesondere in Bezug auf Themen wie Datenschutz, Sicherheit und Portabilität, Resilienz und Ausstiegsstrategien. Sie hat erkannt, dass einige regulatorische und datenschutzrechtliche Anforderungen noch nicht ausreichend durch Standardvertragsklauseln und durch die von Cloud-Anbietern bereitgestellten technischen und organisatorischen Maßnahmen erfüllt werden. Die ECUC reagiert in ihrem Positionspapier auch auf den Entwurf der EU-Verordnung „Digital Operational Resilience Act“ (DORA). Sie wendet sich darin an die Regulierungsbehörden mit der Erwartung, dass nach Inkrafttreten von DORA regulierten Instituten eine 36-monatige Einführungsphase gewährt wird.
Der regelmäßige Austausch der ECUC-Mitglieder untereinander ist sehr wertvoll. So erfahren wir, welche Themen für andere Banken in Deutschland und in Europa auf ihrem Weg in die Cloud tagesaktuell und strategisch relevant sind. Daraus haben wir als DKB konkrete Anforderungen an die Cloud-Provider abgeleitet, die in das zweite Positionspapier im Abschnitt „Privacy & Data Protection“ eingeflossen sind. In den Gesprächen mit den Cloud-Providern weisen wir mit Nachdruck auf die gemeinsamen Positionen der in der ECUC vertretenen Mitglieder hin, was wiederum die Lösungsfindung für die Themen der DKB erleichtert.
Wir nutzen den Austausch auch für die Einordnung von Veröffentlichungen der Cloud-Provider in Sachen Datenschutz und Informationssicherheit. Die Berichte von ECUC-Mitgliedern über ihre Erfahrungen mit den Regulierungs- und Datenschutzbehörden weisen auf Handlungsbedarfe hin, die unsere Cloud Governance weiter verbessern.
Während des gesamten Jahres 2021 stand die ECUC in regelmäßigem Kontakt mit Cloud-Anbietern, europäischen Regulierungsbehörden, sowie mit dem europäischen Projekt GAIA-X AISBL. In jedem Dialog hat das DKB-Cloud-Team die Interessen aller ECUC-Mitglieder vertreten und gemeinsam formulierte Anforderungen der Finanzindustrie für die Ausgestaltung von Public Cloud Services durch die Cloud-Anbieter diskutiert.
Das DKB-Cloud-Team hat in der ECUC-Arbeitsgruppe zum Thema „Privacy and Data Protection“ konkrete Forderungen an die Cloud Provider formuliert. Uns ist es zum Beispiel sehr wichtig, jederzeit die Kontrolle über den Ort der Datenverarbeitung zu haben. Dazu gehört neben einer besseren technischen Ausstattung der Cloud-Dienste auch eine Anpassung des Vertragswerkes mit den Cloud-Providern. In Abschnitt 2 des Positionspapiers haben wir Anforderungen formuliert, nach denen Cloud-Anbieter in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) und den Leitlinien des Europäischen Datenschutzausschusses personenbezogene Daten schützen müssen. Warum haben wir uns gerade diesem Thema angenommen? Erstens bringen wir viel Erfahrung im Dialog mit Cloud-Anbietern mit und zweitens haben wir ein gutes Verständnis der Cloud-Technologien. Dadurch konnten wir auf die Verbesserung der technischen und organisatorischen Datenschutzmaßnahmen durch die Cloud-Anbieter selber erfolgreich hinwirken.
Wir haben vor der Veröffentlichung des Positionspapiers viele Gespräche mit den Cloud-Anbietern geführt. Dabei haben die ECUC-Mitglieder stets die Motivation der ECUC deutlich gemacht, die strengen regulatorischen Anforderungen für cloudbasiertes Outsourcing zu erfüllen. Die Dialoge mit den Cloud-Anbietern waren sehr unterschiedlich, ebenso wie deren Reaktionen auf unsere Positionen. Viele Cloud-Anbieter zeigten sich offen für die Positionen der durch die ECUC vertretenen Institute. Dabei wurde deutlich, dass die Umsetzung aller regulatorischen und datenschutzrechtlichen Anforderungen an das Cloud-Outsourcing mit den vorhandenen Cloud-Services noch nicht in vollem Umfang möglich ist. Hier sind insbesondere Cloud-Services zu nennen, bei denen sich die Datenverarbeitung nicht auf eine europäische Region eines Cloud-Providers beschränken lässt. Daher ist es unser Ziel, den Austausch mit den Cloud-Anbietern fortzuführen und weiter nach gemeinsamen Lösungen zu suchen.
Die europäische Finanzindustrie ist die am strengsten regulierte. Da Cloud-Anbieter ihre Dienste branchenübergreifend anbieten, finden die speziellen Anforderungen der europäischen Finanzindustrie bisher nicht ausreichendBerücksichtigung. Deshalb vertritt die ECUC gebündelt die Interessen der Finanzinstitute, um die Nutzung von Public Cloud-Computing zu vereinfachen.
Ein konkretes Beispiel dazu: Die Europäische Zentralbank (EZB) erwartet volle Kooperation bei der Einhaltung von Leitlinien und Empfehlungen der Europäischen Bankenaufsichtsbehörde (EBA). Die EBA gewährleistet ein wirksames und kohärentes Maß an Regulierung und Beaufsichtigung im europäischen Bankensektor.
Zu den Aufsichtsprioritäten der EZB für die Jahre 2022 bis 2024 gehört die Bewertung von Schwachstellen im IT-Outsourcing und der Cyber-Abwehr. Die EZB prüft daher verstärkt die Outsourcing-Vereinbarungen zwischen IT-Dienstleistern und Banken und bewertet die konkrete Ausgestaltung der Cyber-Abwehr der europäischen Banken.
Im ECUC- Positionspapier haben wir viele Bedingungen an den Datenschutz in Cloud-Services formuliert. Zwei Beispiele sollen das verdeutlichen: Einerseits fordert die ECUC Cloud-Service-Anbieter dazu auf, bekannt zu machen, welche ihrer Dienste weltweit angeboten werden. Diese Information ist wichtig, da das Speichern und Verarbeiten von personenbezogenen Daten nur innerhalb des Europäischen Wirtschaftsraums (EWR) und in Ländern mit einem Angemessenheitsbeschluss ausreichend geschützt geschehen kann. Wir fordern seit längerem die Cloud-Provider auf, diese Informationen zu veröffentlichen.
Ein weiterer Punkt, den wir im Papier ansprechen, sind die datenschutzrechtlich anspruchsvollen vertraglichen Beziehungen zwischen Finanzinstituten (FIs) und den nicht-europäischen Vertragsparteien der Cloud-Anbieter. Die zumeist trilateralen Vertragswerke stellen Risiken für die FIs dar, da nicht immer klar ist, welche Vertragspartei des Cloud-Anbieters für die Datentransfers zuständig ist. Die ECUC sieht die im EWR ansässigen Vertragspartner der Cloud-Anbieter als primären Verarbeiter der Daten der FIs, die ihrerseits die Standardvertragsklauseln der EU mit den außerhalb des EWR ansässigen Vertragsparteien vereinbaren müssen.
Die Nutzung von Public Cloud Computing spielt bei der digitalen Transformation des europäischen Finanzsektors eine sehr wichtige Rolle. Es gibt ein erhebliches Potenzial für den Umbau der Geschäftsmodelle der Kreditinstitute, wenn diese die Public Cloud Services uneingeschränkt nutzen könnten. Dieses Potenzial kann sich jedoch nur weiterentwickeln, wenn unsere Forderungen von den Cloud-Anbietern höher priorisiert werden.
Wir sehen unsere Dialoge mit den Cloud-Anbietern als Möglichkeit, konstruktiv und weitreichend über technische und organisatorische Maßnahmen zu sprechen. Dabei konzentrieren wir uns auf die Erfüllung der datenschutzrechtlichen und regulatorischen Anforderungen. Wir stellen das Geschäftsmodell der Cloud-Anbieter nicht in Frage. Im Gegenteil: Wir regen sinnvolle Erweiterungen der angebotenen Cloud-Services an, sodass die Implementierung effektiver und regelkonformer Cloud-Lösungen für Finanzinstitute weiter vereinfacht wird.
Unser Ziel als ECUC ist es, die Nutzung von Cloud Computing für europäische FIs zu vereinfachen. Die Veröffentlichung unserer Anforderungen in Form eines Positionspapiers ist ein wichtiges Mittel, die nötige Aufmerksamkeit auf die Bedürfnisse des Finanzsektors zu lenken. Eine Aktualisierung des vorliegenden Positionspapiers wird dann erfolgen, wenn weiterer Handlungsbedarf bei den Cloud Anbietern erkennbar ist. Mit Blick auf die Zukunft werden wir mit allen Beteiligten kontinuierlich nach Lösungen für die Herausforderungen des Finanzsektors beim Cloud Computing suchen. Unser Fokus liegt dabei auf einer langfristigen regelkonformen und sicheren Nutzung von Cloud-Technologie.
Die aktuellste Version des ECUC-Positionspapiers findest du hier.