von Christine Müller*, 18. März 2026
Es jagt, wie man sagt, eine Nachricht die andere. Ob die Diskussionen beim Weltwirtschaftsforum oder bei der Münchner Sicherheitskonferenz, das Vorgehen irischer Datenschützer gegen Deepfakes oder der Schritt des EU-Parlaments, KI-Funktionen auf Dienstgeräten zu deaktivieren: Das Streben nach größerer Unabhängigkeit von US-Tech-Unternehmen auf der Suche nach Datensicherheit und Datenschutz wird zu den großen Themen der kommenden Monate gehören – das haben die ersten Wochen dieses Jahres gezeigt.
Für Banken – und vor allem für öffentliche Finanzinstitute wie Sparkassen, Förder- und Zentralbanken oder Behörden im Finanzbereich – ist die Stärkung der digitalen Souveränität geradezu zur strategischen Grundsatzfrage geworden. Denn Kreditinstitute sind IT-Unternehmen, und viele von ihnen beziehen Cloud-Services von außerhalb der EU – sie sind abhängig von großen US-Hyperscalern. Und damit von den dortigen Rechtsvorgaben: Der „US CLOUD Act“ (= Clarifying Lawful Overseas Use of Data) erlaubt US-Behörden beispielsweise den Zugriff auf Daten von US-Unternehmen – selbst dann, wenn diese in Europa gespeichert sind und ohne die Unternehmen darüber zu informieren.
Das kann sich unter Umständen zum Nachteil entwickeln: Was sich mit den Diskussionen um ein transatlantisches Datentransferabkommen (Data Privacy Framework) schon vor langem andeutete, drängt in der aktuellen Nachrichtenlage auf die Vorstandsagenda. Was passiert zum Beispiel, wenn Sanktionen, Strafzölle oder sogar ein Embargo auf digitale Dienste Wirklichkeit würden, um politischen Druck auszuüben? In Krisensituationen könnten Datenflüsse eingeschränkt, Dienste blockiert oder Zugriffe verweigert werden – Betriebsunterbrechungen wären die Folge, und sie könnten Kundenbeziehungen nachhaltig schädigen.
Es braucht also ein Umdenken – das haben auch die Institute selbst längst erkannt. Sechs von zehn Finanzunternehmen führten 2025 aufgrund der geopolitischen Entwicklung eine umfangreiche Risikobewertung durch, und fast drei von zehn Unternehmen (28%) haben ihre Cloud-Strategie bereits angepasst – das sind zwei Zahlen aus dem KPMG Cloud-Monitor Financial Services 2025, einer Befragung von Verantwortlichen in Banken und anderen Finanzunternehmen in Deutschland.
Digitale Souveränität – das ist die Fähigkeit von Unternehmen, ihre Prozesse eigenverantwortlich, sicher und autonom zu gestalten, unabhängig von der eingesetzten Technologie und beauftragten Cloud-Dienstleistern. Gerade für Finanzunternehmen, die Drittanbieter-Risiken unter dem Digital Operational Resilience Act (DORA) adressieren müssen, sind Unabhängigkeit und Handlungsfähigkeit ein integraler Bestandteil der Compliance-Pflichten. Dabei ist Souveränität als Ziel nicht ausdrücklich durch den Regulator vorgegeben – sie sollte aber angestrebt werden.
Erste Landesverwaltungen und Behörden steigen bei der Gestaltung der digitalen Arbeitsplätze von Endnutzern bereits auf Open-Source-Lösungen um, vom prominenten Beispiel des Internationalen Strafgerichtshofs ganz zu schweigen. Und auch im Finanzsektor ist digitale Souveränität möglich und gestaltbar – wenn auch nur zum Teil.
Das Analyseunternehmen Forrester stellte in seinen Vorhersagen für 2026 fest, dass mehr digitale Souveränität Zeit in Anspruch nehmen und ein Wechsel nicht immer vollständig möglich sein werde. Das stimmt: Hybride Lösungen sind das Mittel der Wahl, das weiß auch die Finanzbranche: Die Hälfte der von uns befragten Verantwortlichen in Finanzunternehmen (49%) plant, zusätzlich zu bereits genutzten Hyperscalern europäische Cloud-Anbieter an Bord zu holen.
In den meisten Fällen ist ein hybrider Ansatz sinnvoll: Kritische Prozesse werden herausgelöst und souverän betrieben, während weniger sensible Bereiche weiter über etablierte Cloud-Dienste laufen. Was ist kritisch, was nicht ohne Weiteres veränderbar? Dazu braucht man noch nicht einmal an die neuesten KI-Innovationen denken – allein schon der digitale Arbeitsplatz mit seinen Mailprogrammen, der Dokumentenablage, den Möglichkeiten der Zusammenarbeit in Echtzeit oder Videokonferenzen läuft bei vielen Instituten komplett über US-Plattformen.
Wie also gehen Institute an einen solchen Wechsel heran? Klar ist: Den einen Weg gibt es nicht, denn jede Bank hat ein eigenes Produktportfolio, einen individuellen Kundenstamm und eigene IT- und Cloud-Provider. Es gilt daher, mit Fragen der Risikoanalyse, einer Kartierung der Abhängigkeiten und der Zukunftsstrategie zu beginnen.
Ist Unabhängigkeit bei den eigenen Daten angestrebt – wo sie liegen, wer zugreifen darf und welche Regeln dafür gelten? Erstreckt sie sich auch auf Anwendungen, zusätzlich auf Hardware, Netzwerke und Rechenzentren und möglicherweise auch noch auf Basiskomponenten wie Chips und Seltene Erden? Und ist damit im Endeffekt ein souveräner Betrieb gewährleistet?
Ein Vergleich der möglichen Alternativanbieter, zum Beispiel aus Europa (auch US-Unternehmen haben souveräne Angebote im Portfolio) schließt sich an, bis hin zur Einführung und Operationalisierung einer neuen Cloud-Lösung. Neben technologischen sind regulatorische, Kosten- und Sicherheitsaspekte zu beachten.
Das Thema ist so wichtig, dass die Bereitschaft, für souveräne Cloud-Angebote einen Aufpreis zu zahlen, gerade in der Finanzindustrie hoch ist: Ein Fünftel würde laut der KPMG-Umfrage bis zu 30% mehr investieren. Fast ein Viertel plant bereits, einen Hyperscaler durch eine europäische Lösung zu ersetzen.
Souveränität versus Wirtschaftlichkeit – auch das ist abzuwägen und das richtige Maß zu finden. Denn wohl kein Unternehmen kann es sich leisten, auf Effizienz und Innovationskraft zu verzichten. Das Ziel sollte vielmehr lauten, ein Gleichgewicht zwischen Autonomie, Kosten und Agilität zu schaffen.
Wer schnell handelt, ist im Vorteil. Denn die Cloud-Kapazitäten – und das Personal, das es für eine Migration benötigt – sind in Europa begrenzt, und nicht jeder Anbieter wird kurzfristig in der Lage sein, mehrere große Migrationen gleichzeitig zu stemmen. Institute, die jetzt investieren, können sich die Ressourcen bei ihrem Wunschpartner sichern, Abhängigkeiten schrittweise reduzieren und damit sowohl ihre Resilienz als auch ihre digitale Souveränität nachhaltig stärken.
––––––––––––––––––––
*Christine Müller ist Partnerin bei KPMG im Geschäftsbereich Financial Services und Expertin für Technologie und IT-Compliance. Ihr Schwerpunkt liegt auf der IT-Architektur von Finanzunternehmen und der Cloud-Migration. KPMG gehört zu den Content-Partnern von Finanz-Szene. Mehr zu unserem Partner-Modell erfahren Sie hier.
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!