Wer hat Zugriff auf unsere Daten – und wo sind diese gespeichert? Diese Fragen stellen sich aktuell immer mehr Unternehmen im europäischen Finanzsektor. Angesichts zunehmender Cyberrisiken und globaler Spannungen sowie steigender regulatorischer Anforderungen, u.a. durch DORA, wächst das Bewusstsein für digitale Souveränität. Und das zurecht: Die Zusammenarbeit mit US-Cloud-Diensten führt für Finanzunternehmen immer wieder zu Herausforderungen – sowohl operativ, rechtlich als auch sicherheitstechnisch. Die Bedeutung des europäischen Datenstandorts für Resilienz, Versorgungssicherheit und Wettbewerbsfähigkeit ist daher wichtiger denn je. Das gilt auch für das Vertragsmanagement.
81 Prozent der deutschen Unternehmen sind beim Bezug digitaler Technologien von den USA abhängig. Das geht aus der aktuellen bitkom-Studie „Digitale Souveränität – Wie abhängig ist unsere Wirtschaft?“ hervor. Vor dem Hintergrund des US Cloud Act ist dieses Ergebnis besonders alarmierend. Der US Cloud Act verpflichtet US-Cloud-Anbieter zur Herausgabe von Daten internationaler Kunden – selbst dann, wenn sich diese Daten physisch außerhalb der USA befinden und durch Gesetze wie die DSGVO im Heimatland des Kunden geschützt sind. Für Finanzunternehmen ist das ein erhebliches Risiko, wenn man bedenkt, dass seit einigen Jahren der Trend zur Auslagerung von IT-Services stetig zunimmt.
Digitale Abhängigkeiten werden zum geopolitischen Risiko
Wie eng technologische Abhängigkeiten und Handlungsfähigkeit miteinander verknüpft sind, zeigt ein aktuelles Beispiel: Der Internationale Strafgerichtshof in Den Haag hat beschlossen, sich von US-Diensten zu lösen und künftig auf europäische Softwarelösungen zu setzen*. Hintergrund waren politische Spannungen und die Verhinderung des Zugriffs auf einen bezogenen IT-Service. Der Schritt zeigt, wie wichtig digitale Souveränität für die Aufrechterhaltung der eigenen Handlungsfähigkeit ist – nicht nur für internationale Organisationen, sondern auch für Unternehmen in Europa. Geopolitische Entwicklungen beeinflussen zunehmend digitale Infrastrukturen. Umso wichtiger ist es, kritische Systeme unabhängig und widerstandsfähig zu gestalten.
Cloud-Souveränität beginnt in Europa
Für den heimischen Finanzsektor gelten strenge Anforderungen an Datenschutz und IT-Sicherheit. Die alleinige Datenhaltung in Europa reicht nicht aus, um dabei die Compliance zu 100 Prozent sicherzustellen. Für Finanzunternehmen ist es deswegen ein signifikanter, risikomindernder Faktor, auf europäische Cloud-Provider zu setzen. Ein weiterer wichtiger Aspekt, den es zu bedenken gilt, ist die Datenportabilität im Hinblick auf notwendige Exitstrategien.
Zudem fördert die EU kontinuierlich Initiativen und Projekte, um Europas Technologiekompetenz und digitale Souveränität weiter zu stärken. Das EU-Forschungsprojekt EMERALD beispielsweise befasst sich mit der Entwicklung einer kontinuierlichen und einheitlichen Zertifizierung von Cloud-Services in Europa, unter anderem im Kontext von DORA.
Digitale Souveränität bietet Finanzunternehmen nicht nur Sicherheit, sondern auch handfeste Wettbewerbsvorteile am Markt. Auch Kunden und Partner fragen zunehmend nach transparentem Datenschutz und regionaler Datenhoheit. Unternehmen, die europäische Technologien einsetzen, sichern sich dadurch einen Vertrauensvorsprung, der bei Ausschreibungen und der Kundenakquise entscheidend sein kann. Angesichts potenzieller US-Zölle und der von der EU diskutierten Digitalsteuer auf US-IT-Dienstleistungen kann der frühzeitige Wechsel zu europäischen Anbietern zudem zukünftige Mehrkosten vermeiden.
Bedeutung für das Vertragsmanagement
Insbesondere im Kontext von Vertragsmanagement ist die Unabhängigkeit von US-Cloud-Anbietern ein entscheidender Faktor. Denn hier kommen hochsensible Informationen zu Kundendaten, Lieferketten, Security-Details und vielem mehr ins Spiel. Es gilt, versteckte Abhängigkeiten, unklare Datenflüsse oder unbefugte Zugriffe durch Dritte strikt zu vermeiden. Der Einsatz einer Software für Vertragsmanagement muss eine sichere und DSGVO-konforme Datenspeicherung und -verarbeitung ermöglichen. Die österreichische cloudbasierte Software Fabasoft Dora stellt ausschließlich Datenlokationen innerhalb Europas zur Verfügung – wahlweise in Deutschland, Österreich oder der Schweiz. International anerkannte Zertifikate unabhängiger Prüfungsinstanzen wie das C5-Testat des BSI, der EU Cloud Code of Conduct auf Level 3 oder ISAE SoC 2 Type 2 bestätigen höchste Datenschutz- und Datensicherheitsstandards.
Fazit
Die US-Abhängigkeit stellt für Finanzunternehmen ein erhebliches Risiko für die Datenhoheit, Compliance und Innovationsfähigkeit europäischer Betriebe dar. Umso wichtiger sei es, die eigene digitale Souveränität zu stärken: Die Nutzung von EU-Cloud-Dienstleistern für digitales Vertragsmanagement ist nicht nur unerlässlich für die Sicherung von Datenschutz und Compliance, sondern bietet auch massive wirtschaftliche und operative Vorteile. Angesichts der aktuellen politischen und technologischen Entwicklungen wird die Verlagerung zu europäischen Providern zunehmend zur strategischen Notwendigkeit für Unternehmen, die ihre Datenhoheit bewahren und ihre Vertragsprozesse sicher und effizient gestalten wollen.
*) Quelle: Internationaler Strafgerichtshof wirft Microsoft raus | heise online
