Cloud-Dienste sind IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen). Die damit verbundene Möglichkeit, Kosten einzusparen und technische Expertise in skalierbarer, bedarfsgerechter Art und Weise zu nutzen, sorgt für ein erhöhtes Interesse von Unternehmen an Cloud-Lösungen. Weiter befeuert wird das Interesse durch die Bereitstellung innovativer Technologien aus den Bereichen KI (Künstliche Intelligenz) und ML (Maschinelles Lernen) in der Cloud.

Die BaFin misst dem Cloud-Computing und Cloud-Diensten eine erhebliche aufsichtliche Bedeutung zu. Die Nutzung von Cloud-Diensten ist dabei grundsätzlich von der Finanzmarktaufsicht bereits erfasst; regelmäßig handelt es sich um Themen rund um die ordnungsgemäße Geschäftsorganisation, insbesondere das Risiko- und Auslagerungs- beziehungsweise Ausgliederungsmanagement. Neben den umfangreichen gesetzlichen Vorgaben in den jeweiligen Aufsichtsgesetzen sind auch die hierzu ergangenen Verwaltungsanweisungen von besonderer Bedeutung, wie etwa das Rundschreiben zu Mindestanforderungen an das Risikomanagement - MaRisk für Kredit- und Finanzdienstleistungsinstitute und die vergleichbaren Rundschreiben für Kapitalverwaltungsgesellschaften, Versicherungsunternehmen, kleine Versicherungsunternehmen sowie Einrichtungen der betrieblichen Altersvorsorge. Zur Konkretisierung dieser Vorgaben hat die BaFin bereits wichtige Schritte unternommen, um Rechtssicherheit für den Einsatz von Cloud-Diensten schaffen.

BAIT, VAIT, KAIT und ZAIT: Konkrete Vorgaben der BaFin

Hierzu gehören zunächst die Rundschreiben mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), in denen die BaFin ihre aufsichtliche Erwartungshaltung an Rahmenbedingungen eine sichere Informationsverarbeitung und Informationstechnik formuliert. Gleiches gilt für die "Versicherungsaufsichtlichen an die Anforderungen an die IT" (VAIT), die "Kapitalaufsichtlichen Anforderungen an die IT (KAIT)" und die "Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)".

BAIT, VAIT, KAIT und ZAIT konkretisieren, vertiefen und ergänzen in Teilen bereits bestehende Anforderungen

Orientierungshilfe von BaFin und Deutscher Bundesbank

Speziell mit Blick auf den Bezug von Cloud-Diensten haben die BaFin und die Deutsche Bundesbank zudem das Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ veröffentlicht. Die Orientierungshilfe formuliert keine neuen Vorgaben; die bestehenden Anforderungen an Auslagerungen bleiben daher unberührt. Insbesondere gilt auch bei Auslagerungen an Cloud-Anbieter unter anderem der Grundsatz, dass das auslagernde beaufsichtigte Unternehmen weiterhin dafür verantwortlich bleibt, dass es die gesetzlichen Bestimmungen, die es beachten muss, auch wirklich einhält.

Zu allen regulatorischen und aufsichtlichen Aspekten hält die BaFin umfangreiche Erstinformationen bereit. Eine Auswahl finden Sie auf dieser Seite unter der Rubrik "Mehr zum Thema".