Zwischen Regulierung und Praxis: Der EZB-Leitfaden zum Cloud-Outsourcing

In diesem Zusammenhang kann auf den Artikel “Rise in outsourcing calls for attention” verwiesen werden, in dem Folgendes ausgeführt wird: “… more than 80 significant banks outsource critical payment and administrative services, and more than half of the banks outsource some of their lending and investment services. From all contracts with external providers covering critical functions about 50% concern time-critical activities. Around 20% cannot be reintegrated in the banks in case of issues, and around 5% cannot be substituted, for example, through other providers.” ³ Vor diesem Hintergrund hat die Europäische Zentralbank (EZB) einen Leitfaden mit Empfehlungen und bewährten Verfahren (good practices) veröffentlicht, der eng mit den Vorgaben des EU Digital Operational Resilience Act (DORA) aus dem Jahr 2022 verknüpft ist.

Dies zeigt sich im Text durch zahlreiche Hinweise auf die DORA-Regularien. Der ECB Guide on outsourcing cloud services to cloud service providers ⁴ (im Weiteren – EZBGuide) führt zwar keine neuen Regelungen ein, verdeutlicht jedoch klar, welche Merkmale ein risikoarmes, sicheres, resilientes und robustes Cloud-System aufweisen sollte. Die EZB hat dieses Thema auch in ihren Aufsichtsprioritäten für die Jahre 2025 bis 2027 aufgegriffen und dabei insbesondere das Geschäftsmodell und die Risiken im Zusammenhang mit der Einführung von Cloud-Diensten adressiert. ⁵ Die Empfehlungen des EZB-Guides (1.2) richten sich primär an Institute, die direkt der EZB-Bankenaufsicht unterstehen. In diesem Artikel werden die Kernaspekte des Leitfadens analysiert – von Ausfallsicherheit über Ausstiegsstrategien bis hin zu Audit-Anforderungen.

2. Bewährte Verfahren für ein Cloud-basiertes System

Die Geschäftskontinuität bleibt weiterhin ein zentrales Thema für die Sicherung der operativen Stabilität eines Cloud-Systems. Der EZB-Guide stellt klar, dass die Sicherheit kritischer Dienste nicht gewährleistet werden kann, wenn sie ausschließlich innerhalb derselben Cloud-Umgebung betrieben werden. Hier wird darauf hingewiesen, dass Sicherungskopien (Backups) nicht nur beim Haupt-Cloud-Anbieter, sondern auch bei alternativen (sekundären) Anbietern gespeichert werden sollten. Ziel ist es, die Systemverfügbarkeit auch dann sicherzustellen, wenn der primäre Cloud-Anbieter – etwa aufgrund einer Insolvenz – seine Dienste nicht mehr erbringen kann. Um auf solche Notfälle vorbereitet zu sein, empfiehlt der EZB-Guide ausdrücklich, Ausfallszenarien regelmäßig zu testen und Prozesse für den Ausstieg aus der Cloud-Umgebung zu erproben. Diese Maßnahmen sollten selbst dann greifen, wenn der bisherige Cloud-Anbieter das Unternehmen nicht mehr beim Betrieb oder beim Wechsel der Systeme unterstützt.

3. Ausstieg

Der EZB-Guide liefert wichtige Punkte in Bezug auf Ausstiegsstrategie und Vertragskündigung, was nicht explizit aus den Dokumenten seitens der Cloud Provider hervorgeht. Obwohl führende Anbieter im Bereich Cloud-Dienstleistungen Well-Architected Frameworks implementieren, die operative Exzellenz, Sicherheit, Zuverlässigkeit, Leistungseffizienz, Kostenoptimierung sowie Nachhaltigkeit adressieren, fehlt dort ein spezifischer Leitfaden zu Ausstiegsstrategie und Vertragskündigung. ⁶ Die Bedeutung dieser Themen im EZB-Guide steht möglicherweise im Zusammenhang mit politischen Entwicklungen im Jahr 2025 sowie der intensiv diskutierten Abhängigkeit europäischer Staaten von Cloud-Anbietern aus den USA.

Der EZB-Guide empfiehlt – in Anlehnung an Artikel 28 Absatz 8 DORA –, bereits vor der Migration in die Cloud eine umfassende Ausstiegsstrategie zu entwickeln. Es wird ausdrücklich kritisiert, Cloud-Verträge, ohne klar definierte Ausstiegsoptionen abzuschließen.

Der EZB-Guide erläutert und unterstützt Unternehmen dabei, unerwartete Kosten sowie regulatorische Risiken zu vermeiden. Er benennt explizit verschiedene Gründe, die eine Vertragskündigung rechtfertigen (siehe EZB-Guide 2.4.1). Besonders hervorzuheben ist, dass der Cloud Provider verpflichtet wird, eine geordnete Übertragung der betroffenen Dienste gemäß dem festgelegten Ausstiegsplan zu ermöglichen oder diese wieder unternehmensintern bereitzustellen. Diese Anforderung ist in Standardverträgen mit Cloud Providern in der Regel nicht enthalten.

4. Audit

Im Hinblick auf Audit-Anforderungen richtet sich der EZBGuide insbesondere an die Cloud Provider. Kritisiert wird, dass diese häufig nicht ausreichend Transparenz schaffen und den Unternehmen nicht genügend Einblicke gewähren, um ihre internen Abläufe optimal zu steuern und nachzuvollziehen. Infolgedessen entsteht eine zu starke Abhängigkeit der Unternehmen von den Cloud Providern, ohne deren Zuverlässigkeit angemessen bewerten zu können. Daher fordert der EZB-Guide, dass Cloud Provider ihre Kunden aktiv bei Audits und Inspektionen unterstützen müssen. Zudem wird empfohlen, externe Fachleute und unabhängige Dritte einzubinden und sich nicht ausschließlich auf Ressourcen des Providers zu verlassen.

5. Auswertung

A) Welche praktischen Konsequenzen ergeben sich aus dem EZB-Guide?

Der Leitfaden verfolgt das Ziel, „die Erwartungen der EZB hinsichtlich der maßgeblichen Anforderungen aus DORA zu präzisieren, eine einheitliche Aufsichtspraxis zu fördern und durch erhöhte Transparenz faire Wettbewerbsbedingungen sicherzustellen“ (1.1). Dennoch bleibt unklar, wie diese Erwartungen rechtlich zu bewerten sind und in welchem Umfang Banken und ihre Cloud-Anbieter bei einer Prüfung durch die EZB nachweisen können, dass die in der Praxis umgesetzten Cloud-Lösungen tatsächlich den Empfehlungen des Guides entsprechen.

B) Der EZB-Guide im Kontext von DORA

Die Orientierung am DORA-Regelwerk unterstreicht die Kontinuität der Erwartungen an Cloud-basierte Systeme. Der EZB-Guide geht jedoch in vielen Punkten über die Vorgaben von DORA hinaus und konkretisiert zusätzliche Anforderungen sowohl für Banken als auch für Cloud-Anbieter. Ein anschauliches Beispiel dafür sind die im EZB-Guide (2.4.1) festgelegten Kündigungskriterien im Vergleich zu denen in DORA (Artikel 28 Absatz 7). Während der Guide ausdrücklich auf diesen DORA-Artikel verweist und dessen Bestimmungen insbesondere rechtswidrige Verstöße und Risiken aufführt, die die vertragsgemäße Funktionalität beeinträchtigen, erweitert er die genannten Kriterien durch zusätzliche Aspekte, die anschließend in einer tabellarischen Übersicht gegenübergestellt werden. Gemeinsamkeiten sind in der Tabelle durch grüne Markierung hervorgehoben.

Diese Erweiterungen wurden in den Kommentaren zur Entwurfsversion kritisiert – gerade im Hinblick darauf, dass der EZB-Guide sich auf DORA stützt. Der EZB-Guide stellt damit eine Ergänzung zu DORA dar, die dort nicht vorgesehen ist. Dies wirft erneut die Frage auf, inwieweit die im EZB-Guide formulierten „good practices“ tatsächlich juristisch bindend sind und wie sie in der Praxis zu handhaben sind.
 

C) Unterstützungsstrategie der EZB beim Ausstritt aus einer Cloud

Wie in der Analyse des Ausstiegs bereits gezeigt wurde, steht der EZB-Guide auf der Seite der Unternehmen im Ausstiegsfall und versucht, sie abzusichern. Der EZB-Guide stellt damit breitere Erwartungen an die Cloud Provider. Es ist in einigen Kommentaren nachzulesen, dass Cloud Provider versucht haben, die Empfehlungen des EZB-Guides abzuschwächen. ⁷ Gleichzeitig ist zu bedenken, dass es trotz der Erwartungen an die Cloud Provider, in Ausstiegsfällen ihren Kunden zu helfen und eine reibungslose Übergangsphase zu gewährleisten, noch fraglich ist, ob dies in der Praxis auch tatsächlich so umgesetzt wird, da die Cloud-Anbieter ihre eigenen Kündigungsrechte vorbehalten, die in der Regel deutlich umfangreicher und weitreichender ausgestaltet sind als jene ihrer Kunden. Ein Blick in das Customer Agreement von AWS zeigt, dass unter „5. Laufzeit; Kündigung.“ zwei Kündigungsarten vorgesehen sind: die ordentliche und die außerordentliche Kündigung. Die ordentliche Kündigung ermöglicht es beiden Parteien, die Vereinbarung aus beliebigem Grund zu beenden. Im Fall der außerordentlichen Kündigung wird auf einen unbestimmten, aber als „wichtigen“ Grund verwiesen, den jede Partei geltend machen kann. Darüber hinaus behält sich AWS das Recht vor, eine sofortige Kündigung mit Verweis auf Ziffer 4 des betreffenden Customer Agreements vorzunehmen. Dort werden spezifische Situationen aufgeführt, in denen nur AWS ein besonderes Kündigungsrecht zusteht. ⁸

Der EZB-Guide schafft somit mehr Klarheit über Aufsichtserwartungen beim Cloud-Outsourcing, lässt jedoch die rechtliche Verbindlichkeit dieser Erwartungen offen. Die umfassenden Anforderungen an Ausstiegsstrategien, Ausfallsicherheit und Audit-Transparenz stärken die Position der Banken gegenüber Cloud Providern – vorausgesetzt, diese setzen die Empfehlungen um.

Wir von Nagler & Company unterstützen Sie bei der zielgerichteten Umsetzung der EZB-Anforderungen für Cloud-Systeme in den relevanten Fachbereichen. Unser Leistungsspektrum umfasst sowohl die Anpassung Ihrer Prozesse als auch die operative Begleitung im Tagesgeschäft. Sprechen Sie uns an!

Links

_{Florian Eberlein (2021), Über Markt- und Referenzdaten-Systeme in der Cloud, NC Relevant Nr. 27, Dezember 2021
Christopher Kaponig, Robert Freiman (2024), Beyond Legacy – Der Weg traditioneller Anwendungen in die Cloud, NC Relevant Nr. 33, Juni 2024}

Quellen

^{1 Vgl. Analysen von:}
<sub>- Kaya, F., Berg, M. V. D., Wieringa, R., & Makkes, M. (2020), The Banking Industry Underestimates Costs of Cloud Migrations, in S. Aier, J. Gordijn, H. A. Proper, & J. Verelst (Eds.), 2020 IEEE 22nd Conference on Business Informatics (CBI): Proceedings. S. 300-309
- IBM’s Bericht für Banken und Finanzinstitute 2025: “When asked what prevents banks from competing in SME markets with new banking services, 65% of bankers identified incomplete journeys to cloud, and 57% advocated for making core banking architectures modular and flexible.5 Many are still wrestling with the basics”, in IBM Institute for Business Value | Research Insights, 2025 Global Outlook for Banking and Financial Markets, https://www.ibm.com/downloads/documents/us-en/115dcc7faf363f21, S. 8.</sub>

^{2 Kleinere und größere Ausfälle bei Cloud-Anbietern}
<sub>- AWS Post-Event Summaries, https://aws.amazon.com/de/premiumsupport/ technology/pes/
- Azure status history, https://azure.status.microsoft/en-us/status/history/</sub>

^{3 Rise in outsourcing calls for attention} 
_{Supervision Newsletter, European Central Bank, 21 February 2024, https://www.bankingsupervision.europa.eu/press/supervisory-newsletters/newsletter/2024/html/ssm.nl240221.de.html}

^{4 ECB Guide on outsourcing cloud services to cloud service providers European Central Bank} 
_{Banking Supervision, https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.supervisory_guides202507.en.pdf, 19 S.}

^{5 Supervisory priorities 2025-27}
_{https://www.bankingsupervision.europa.eu/framework/priorities/html/ssm.supervisory_priorities202412%7E6f69ad032f.en.html, im EZB-Guide werden Supervisory priorities 2024-26 (1.1) erwähnt.}

^{6 Well Architected Frameworks:}
<sub>- AWS, https://docs.aws.amazon.com/de_de/wellarchitected/latest/framework/welcome.html
- Microsoft Azure, https://learn.microsoft.com/de-de/azure/well-architected/
- Google Cloud, https://docs.cloud.google.com/architecture/framework</sub>

^{7 Kommentar zum EZB-Guide}
<sub>- AWS, https://www.bankingsupervision.europa.eu/framework/legal-framework/public-consultations/pdf/cloudoutsourcing/ssm.cloudservices_comment_01.pdf, ID 9, 14
- Google Cloud, https://www.bankingsupervision.europa.eu/framework/legal-framework/public-consultations/pdf/cloudoutsourcing/ssm.cloudservices_comment_21.pdf,ID 7.</sub>

^{8 AWS Kundenvereinbarung}
_{https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement_2025-09-09_DE_DE.pdf}

Melden Sie sich noch heute an und Sie erhalten diese und künftige Ausgaben unseres Know-how Letters bequem zugesandt.