Was bedeutet Digitale Souveränität in der Praxis? Wie lässt sie sich bewerten? Wo sind Finanzinstitute schon souverän – und wo bestehen noch externe Abhängigkeiten, beispielsweise bei der Nutzung cloudbasierter Services eines Cloud Hyperscalers?
Angesichts der aktuellen geopolitischen Lage und regulatorischen Anforderungen müssen Banken und Versicherer Strategien entwickeln, um ihre Abhängigkeit von globalen Cloud-Anbietern zu reduzieren und gleichzeitig Effizienz und Innovation zu sichern.
Kaum ein Begriff wird derzeit so häufig verwendet und zugleich so unterschiedlich ausgelegt wie „Digitale Souveränität”. In der öffentlichen Diskussion reicht die Spannbreite von der reinen Forderung nach Datenkontrolle bis hin zu völliger technologischer Unabhängigkeit. Beides greift jedoch zu kurz. Souveränität bedeutet nämlich nicht Abschottung, sondern die Fähigkeit, auf Basis eigener Entscheidungskompetenz und technischer Handlungsfähigkeit über Abhängigkeiten zu bestimmen und diese bewusst zu steuern.
Für Finanzinstitute ist das mehr als eine theoretische Frage. Sie verarbeiten hochsensible Kundendaten, stehen unter strenger Aufsicht seitens der Regulatoren und sind auf stabile und resiliente IT-Infrastrukturen angewiesen. Digitale Souveränität ist somit ein wichtiger Faktor für die regulatorische und operative Resilienz der Institute. Wer selbst über die Nutzung und Weiterentwicklung seiner digitalen Systeme entscheidet, kann u.a. Risiken aus geopolitischen oder rechtlichen Einflüssen reduzieren und die eigene Innovationsfähigkeit zeitgleich stärken.
Warum Digitale Souveränität jetzt an Bedeutung gewinnt
Die aktuelle geopolitische Lage, zunehmende Regulierung und die Marktdominanz globaler Cloud-Anbieter haben in den letzten Monaten dafür gesorgt, dass das Thema mehr in den Fokus gerückt ist. Der Großteil der weltweit genutzten Cloud-Services stammt von US-amerikanischen oder chinesischen Unternehmen, deren Infrastruktur und Rechtsrahmen meistens außerhalb europäischer Kontrolle liegen. Gleichzeitig verlangen europäische Vorgaben – von der DSGVO über DORA bis zu den EBA-Leitlinien – unter anderem eine Nachvollziehbarkeit darüber, wer auf welche Daten zugreifen kann und nach welchem Recht dies geschieht.
Für Banken und Versicherer entsteht daraus ein strategischer Zielkonflikt. Einerseits ist der Zugang zu modernen Cloud-Technologien unverzichtbar, um Effizienz, Skalierbarkeit und Innovation zu ermöglichen. Andererseits darf die Kontrolle über kritische Systeme und Daten nicht verloren gehen. Die Herausforderung besteht darin, Cloud-Dienste so zu nutzen, dass regulatorische Anforderungen, Datenschutz und technologische Weiterentwicklung im Gleichgewicht bleiben.
Ein Begriff ohne verbindliche Definition
Obwohl in Politik und Wirtschaft viel von der „souveränen Cloud“ die Rede ist, existiert keine einheitliche Definition oder international anerkannte Zertifizierung zum Thema souveräne Cloud. Initiativen wie Gaia-X oder EuroCloud versuchen schon länger, gemeinsame Standards für eine europäische Cloud-Infrastruktur zu etablieren. Die nationale Umsetzung unterscheidet sich jedoch deutlich: Was in einem Land als souverän gilt, erfüllt andernorts oft nicht die rechtlichen und technischen Kriterien.
Für Finanzinstitute bedeutet das, dass sie eigene Kriterien entwickeln müssen, um Cloud-Angebote zu bewerten. Zentral ist dabei die Frage, in welchem Maß Kontrolle, Transparenz und Wechselfähigkeit tatsächlich gewährleistet sind. Eine souveräne Cloud zeichnet sich nicht allein durch den Standort der Rechenzentren aus, sondern auch durch die Möglichkeit, Daten und Anwendungen bei Bedarf zu migrieren, die Integrität der Systeme zu prüfen und vertraglich sicherzustellen, sodass kein unautorisierter Zugriff von außen erfolgt. Hilfestellung hierbei bietet auch das „Cloud Sovereignty Framework“ der Europäischen Kommission, das im Oktober 2025 veröffentlicht wurde.
Zunehmend wird deutlich, dass Souveränität nicht nur eine technische, sondern auch eine organisatorische Dimension hat. Sie erfordert klare Governance-Strukturen, nachvollziehbare Verantwortlichkeiten und die Fähigkeit, strategische Entscheidungen unabhängig von einzelnen Anbietern zu treffen.
Spagat zwischen Effizienz und Kontrolle
Die großen Cloud-Anbieter haben den Markt durch ihre Leistung, Skalierbarkeit und Innovationsgeschwindigkeit geprägt. Für Finanzinstitute ist es wirtschaftlich und funktional kaum realistisch, auf die-se Möglichkeiten zu verzichten. Gleichzeitig wächst das Bewusstsein, dass eine zu starke Abhängigkeit von einzelnen Plattformen Risiken birgt – sei es durch rechtliche Eingriffe, Preismodelle, eingeschränkte Wechselmöglichkeiten oder proprietäre Technologien.
Viele Häuser analysieren daher verstärkt die mögliche Nutzung von hybriden Strategien: Sie kombinieren zum Beispiel Public Cloud Services mit selbst-entwickelten oder europäischen Alternativen, um die Balance zwischen Kontrolle und Effizienz zu wahren. Diese „balancierte Souveränität” erfordert jedoch eine sorgfältige Planung. Die Verträge müssen so gestaltet sein, dass sie nicht nur die Compliance-Vorgaben erfüllen, sondern auch technologische Exit-Szenarien und Auditierbarkeit sicherstellen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Gerade im Finanzsektor, in dem Betriebsstabilität und regulatorische Nachweise von entscheidender Bedeutung sind, kann Digitale Souveränität nur gelingen, wenn beispielsweise die Bereiche IT, Compliance, Informationssicherheit, Datenschutz und Third Party Risk Management eng zusammenarbeiten. Es geht weniger darum, sich völlig unabhängig zu machen, als vielmehr darum, die eigene Abhängigkeit zu verstehen, zu bewerten und aktiv zu steuern.
Digitale Selbstbestimmung als Reifeprozess
Souveränität entsteht nicht durch eine einzelne Technologieentscheidung, sondern durch eine strategische Ausrichtung und systematische Weiterentwicklung. Finanzinstitute sollten sich daher nicht fragen, ob sie bereits souverän sind, sondern in welchen Bereichen dies bereits der Fall ist und wo Handlungsbedarf besteht.
Entscheidend ist eine sachliche Bestandsaufnahme: Wo liegen kritische Daten? Unter welchem Recht werden sie verarbeitet? Welche Teile der Infrastruktur, relevanter Services und Funktionen sind von externen Dienstleistern abhängig und wie transparent sind deren Prozesse? Welche Kompetenzen bestehen intern, um technologische Entscheidungen selbst zu treffen oder Alternativen zu bewerten?
Diese Fragen bilden die Grundlage für ein Cloud-Sovereignty-Assessment. Das Assessment dient dazu, die Ausprägung zentraler Souveränitätsziele – etwa rechtliche, operationelle und strategische Aspekte – systematisch zu bewerten. Das Ergebnis ist ein strukturierter Reifegrad-Überblick, der den aktuellen Stand erfasst und konkrete Entwicklungspfade aufzeigt. Auf Basis des Assessments lassen sich priorisierte Maßnahmen ableiten – etwa zur Stärkung der Datenhoheit, zur Reduktion externer Abhängigkeiten oder zur Förderung eigener technologischer Kompetenzen. Damit wird das Assessment zu einem zentralen Steuerungsinstrument für Organisationen, die ihre Cloud-Strategie souverän, regelkonform und zukunftsfähig ausrichten wollen. Das Ziel besteht nicht darin, ein Schwarz-Weiß-Bild zu zeichnen, sondern ein realistisches Verständnis der eigenen Handlungsspielräume zu erlangen.
* Die Autoren Christian Konradt fokussiert sich als Senior Manager bei Deloitte auf die Finanzdienstleistungs-Branche mit Expertise in Cloud Compliance, Berechtigungsmanagement und Informationssicherheit. Vassilios Tsioupas ist Senior Manager bei Deloitte mit Schwerpunkten in Cloud Compliance, IT-Audit, IT-Governance und Risikomanagement. Als Consultant ist Tim Ziesmer bei Deloitte auf die Beratung von Finanzunternehmen spezialisiert und verfügt über tiefgreifende Kenntnisse in den Bereichen Cloud Compliance, Risikomanagement – insbesondere Business Continuity Management – und Informationssicherheit.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/71/df/71df3b24f4f5b15bbbdddb38e4d46301/0128778046v1.jpeg "Der Recherche- und Schreibassistent Google NotebookLM hilft, eigene hochgeladene Quellen (PDFs, Dokumente, Webseiten, Videos) zusammenzufassen, zu analysieren und zu ordnen. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/f4/aef413ed4859bbee6c1d3c45af147619/0128069563v1.jpeg "Microsoft stellt Microsoft 365 Local vor, das speziell auf europäische Anforderungen zugeschnitten ist: Exchange, SharePoint und Skype for Business lassen sich künftig lokal betreiben – auf Basis von Azure Local. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/87/cc/87cc46c6c556a3562a37df663392d122/0128734661v1.jpeg "Indem Prozesse, Architektur und Technologie Hand in Hand gehen, lassen sich Unternehmen erfolgreich und effizient steuern. (Bild: © Tida - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/0d/ff0d69bf7d5c6f7dd3def3e53e738e1d/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/b9/deb9b7f5a96c953565fadeea9cf56104/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/37/b0370ece0abae67ce95463b8cb22503e/0128775212v1.jpeg "Angesichts der aktuellen geopolitischen Lage und regulatorischen Anforderungen müssen Banken und Versicherer Strategien entwickeln, um ihre Abhängigkeit von globalen Cloud-Anbietern zu reduzieren und gleichzeitig Effizienz und Innovation zu sichern. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/72/fe7285f2a6b2a87a94434942081b9bd0/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/67/03/6703970cd61a6673d249ee1d55fc7d06/0128589163v1.jpeg "KI sollte als praktisches Werkzeug betrachtet werden, das Prozesse vereinfacht. Der Mittelstand kann von ihr profitieren, indem er pragmatisch anfängt, Erfahrungen teilt und Stärken nutzt. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898d9a69260db6f7017dcee457fcddab/0128998051v2.jpeg "Amazon Web Services arbeitet am Aufbau einer souveränen Cloud für die EU, der European Sovereign Cloud. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/c1/97c1849a879c70ecbc6c2c9861497ef1/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/60/d7/60d7e9d1bbd142b4e02c8484436b4c46/0124351245v1.jpeg "Wie sich Unternehmen aus der Finanzbranche optimal auf DORA vorbereiten können. (Bild: BritCats Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/55/2755002ffdf5f22fe5de3843a84c52d1/0127640937v1.jpeg "Wer mehrere Anbieter strategisch kombiniert, gewinnt Kontrolle, Resilienz und Innovationskraft. So werden regulatorische Vorgaben erfüllt, Risiken verteilt und die digitale Souveränität langfristig gesichert. (Bild: © jahidsuniverse - stock.adobe.com)")