Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie europäische Vermögensverwalter Kundendaten schützen und gleichzeitig die Aufsichtsanforderungen der EZB erfüllen

Wie europäische Vermögensverwalter Kundendaten schützen und gleichzeitig die Aufsichtsanforderungen der EZB erfüllen

von Marc ten Eikelder updated Februar 11, 2026 Regulatorische Compliance
Lesezeit: 10 Minuten

Europäische Asset Manager stehen unter dem wachsenden Druck regulatorischer Anforderungen, bei denen der Schutz vertraulicher Kundendaten nicht mehr als nachgelagerte Aufgabe, sondern als Aufsichtspriorität gilt. Der Digital Operational Resilience Act (DORA), der ab dem 17. Januar 2025 gilt, betrifft direkt alternative Investmentfondsmanager (AIFMs), UCITS-Verwaltungsgesellschaften und Wertpapierfirmen. Der Leitfaden der EZB zur Auslagerung von Cloud-Diensten, veröffentlicht im Juli 2025, übersetzt die DORA-Vorgaben zum Drittparteienrisiko in detaillierte Aufsichtsmaßstäbe, die von den Joint Supervisory Teams (JSTs) bei Prüfungen angewendet werden. Die ESMA veröffentlichte im September 2025 überarbeitete Cloud-Outsourcing-Leitlinien für Verwahrstellen nach AIFMD und UCITS, die nicht unter DORA fallen.

Zusammen schaffen diese Regelwerke ein regulatorisches Umfeld, in dem Datensouveränität kein theoretisches Thema, sondern ein praktischer Aufsichtstest ist. Kann Ihr Unternehmen nachweisen, wo sich Portfoliodaten, Anlegerkommunikation und regulatorische Korrespondenz befinden, wer darauf zugreifen kann und wie unbefugte Offenlegung verhindert wird? Für Asset Manager, die US-basierte Cloud-Anbieter für Filesharing, E-Mail oder Zusammenarbeit nutzen, entspricht die ehrliche Antwort oft nicht mehr den aktuellen Erwartungen der Aufsichtsbehörden.

Dieser Leitfaden zeigt, wie europäische Asset Manager vertrauliche Kundendaten durch souveräne Architekturen schützen und dabei gleichzeitig die Anforderungen der EZB, die DORA-Vorgaben und die ESMA-Leitlinien erfüllen können – mit besonderem Fokus auf die operativen Realitäten von Unternehmen mit deutschen institutionellen Anlegern als Kunden.

Executive Summary

Kernaussage: Europäische Asset Manager sehen sich gestaffelten Aufsichtserwartungen von EZB, ESMA und nationalen Behörden gegenüber, die einen nachweisbaren Kontrollrahmen für durch Cloud-Anbieter verarbeitete Kundendaten verlangen. Der EZB-Leitfaden vom Juli 2025 benennt explizit Datenverschlüsselung, geopolitische Risikoanalysen und Vendor-Lock-in als Aufsichtsschwerpunkte. Asset Manager, die auf US-basierte Plattformen für den Austausch sensibler Daten setzen, stehen vor einer strukturellen Lücke zwischen ihrer aktuellen Architektur und den Erwartungen der Aufsicht, da Anbieter, die dem CLOUD Act unterliegen, die Vertraulichkeit von Kundendaten unabhängig von vertraglichen Zusicherungen nicht garantieren können.

Warum das relevant ist: Die JSTs der EZB werden im Rahmen der Aufsichtszyklen 2026 dokumentierte Nachweise zur Cloud-Outsourcing-Compliance anfordern. DORA-Sanktionen können bei schwerwiegenden Verstößen bis zu 10 % des Jahresumsatzes betragen. Die überarbeiteten ESMA-Leitlinien gelten ab dem 30. September 2025 für neue und geänderte Cloud-Outsourcing-Vereinbarungen. Deutsche institutionelle Investoren, insbesondere Pensionskassen und Versicherer unter BaFin-Aufsicht, verlangen zunehmend nachweisbare Datensouveränität als Voraussetzung für die Mandatierung von Asset Managern.

5 wichtige Erkenntnisse

  1. Der EZB-Leitfaden schafft praktische Aufsichtsmaßstäbe für Cloud-Outsourcing. JSTs nutzen den Leitfaden vom Juli 2025 als Benchmark für Prüfungen – zu Governance, Risikoanalyse, Datenverschlüsselung, Datenstandort, Exit-Strategien und Anbieter-Konzentration. Auch wenn der Leitfaden formal nicht bindend ist, führt mangelnde Ausrichtung zu SREP-Feststellungen.
  2. DORA gilt direkt für AIFMs, UCITS-Verwaltungsgesellschaften und Wertpapierfirmen. Diese Unternehmen müssen Rahmenwerke für das Management von IKT-Risiken implementieren, Register aller IKT-Drittparteienbeziehungen führen und ihre operationelle Resilienz unter denselben Durchsetzungsregeln wie Banken nachweisen.
  3. Die EZB verlangt für jede beaufsichtigte Einheit eindeutige Verschlüsselungsschlüssel. Der Leitfaden fordert, dass Verschlüsselungsschlüssel von Cloud-Anbietern nicht mit anderen Kunden geteilt werden dürfen – Kundenschlüsselmanagement ist damit Aufsichtsstandard.
  4. Geopolitische Risikoanalysen sind jetzt explizite EZB-Erwartung. Asset Manager müssen eine Liste der Länder erstellen, in denen Daten gespeichert werden dürfen, und dabei rechtliche sowie politische Risiken berücksichtigen. Die Datenresidenz eines US-Anbieters in der EU genügt nicht, solange der Anbieter ausländischen Zugriffsrechten unterliegt.
  5. Deutsche institutionelle Investoren treiben Souveränitätsanforderungen über Mandatsbedingungen voran. Pensionskassen, Versicherer und Sparkassen verlangen von Asset Managern zunehmend, dass Kundendaten unter europäischer Gerichtsbarkeit mit kundengesteuerten Verschlüsselungsschlüsseln und europäischer Bereitstellung geschützt werden.

Das regulatorische Umfeld für Asset Manager

DORA: Direkte Anwendung auf Asset Management

DORA gilt für eine breite Palette von Finanzunternehmen, darunter AIFMs nach der Richtlinie über alternative Investmentfondsmanager, UCITS-Verwaltungsgesellschaften und Wertpapierfirmen nach MiFID II. Diese Unternehmen müssen umfassende Rahmenwerke für das Management von IKT-Risiken etablieren – von Identifikation über Schutz, Erkennung und Reaktion bis zur Wiederherstellung. DORA verlangt, dass Finanzunternehmen ein Register aller vertraglichen Vereinbarungen mit IKT-Drittanbietern führen, wobei die ersten Einreichungsfristen von den nationalen Aufsichtsbehörden Anfang 2025 festgelegt werden.

Für Asset Manager ist das Drittparteienrisikomanagement von DORA besonders relevant. Portfoliomanagementsysteme, Anlegerreporting-Plattformen, sichere Filesharing-Lösungen für Due-Diligence-Dokumente und Kanäle für regulatorische Einreichungen sind allesamt IKT-Dienste im DORA-Geltungsbereich. Für Dienste, die kritische oder wichtige Funktionen unterstützen, verlangt DORA erweiterte vertragliche Anforderungen wie Prüfungsrechte, Kündigungsrechte, Exit-Strategien und Meldepflichten für Vorfälle.

EZB-Leitfaden zur Auslagerung von Cloud-Diensten (Juli 2025)

Der EZB-Leitfaden wurde am 16. Juli 2025 nach einer öffentlichen Konsultation mit 696 Kommentaren von 26 Teilnehmern veröffentlicht. Auch wenn er sich direkt an von der EZB beaufsichtigte Kreditinstitute richtet, ist davon auszugehen, dass nationale Aufseher die Standards der EZB auch bei Asset Managern und Wertpapierfirmen anwenden werden.

Der Leitfaden übersetzt die DORA-Anforderungen in praktische Aufsichtserwartungen in sechs Bereichen, die für Asset Manager mit Kundendaten direkt relevant sind.

Governance. Das Leitungsorgan trägt die letztendliche Verantwortung für das IKT-Risikomanagement. Unternehmen müssen ihre Cloud-Strategie mit der Gesamtstrategie und der digitalen Resilienz abstimmen und dieselbe Sorgfalt walten lassen wie bei Eigenbetrieb.

Risikoanalyse. Vor Abschluss einer Cloud-Vereinbarung ist eine ex-ante Risikoanalyse durchzuführen, die Vendor-Lock-in, Konzentrationsrisiken, Risiken aus Multi-Tenancy, Datenschutz und geopolitische Risiken adressiert. Die EZB erwartet, dass Unternehmen eine Liste der Länder erstellen, in denen Daten gespeichert werden dürfen, und zusätzliche Risiken bewerten, wenn Subunternehmer in anderen Ländern als der Hauptanbieter sitzen.

Datenverschlüsselung. Der Leitfaden empfiehlt umfassende Verschlüsselungs- und Kryptopolitiken, die Algorithmen, Schlüssellängen und Datenflüsse nach aktuellen Standards definieren. Die EZB fordert, dass Verschlüsselungsschlüssel für Daten der beaufsichtigten Einheit eindeutig sind und nicht mit anderen Kunden geteilt werden.

Datenstandort. Unternehmen sollen die Standorte, an denen Anbieter Daten speichern dürfen, beschränken und Kontrollmechanismen zur Überwachung der Einhaltung implementieren. Der Leitfaden verweist ausdrücklich auf geopolitische Risiken bei der Bewertung von Speicherorten.

Exit-Strategien. Für jeden kritischen Auslagerungsvertrag sind detaillierte Exit-Pläne zu entwickeln – mit klaren Abläufen, Rollen und Kostenschätzungen für die Überführung der Dienste. Die EZB empfiehlt Kündigungsrechte bei Änderungen der Anbieter-Gerichtsbarkeit, Standortwechsel von Rechenzentren und regulatorischen Änderungen mit Auswirkungen auf die Datenverarbeitung.

Anbieter-Konzentration. Die EZB stellt fest, dass der Cloud-Markt stark auf wenige Anbieter konzentriert ist, und verlangt regelmäßige Neubewertung der Konzentrationsrisiken. Anneli Tuominen, Mitglied des EZB-Aufsichtsgremiums, erklärte im Juli 2025, dass die Abhängigkeit von wenigen Drittanbietern Banken Risiken aussetzt, die in Zeiten geopolitischer Spannungen weiterhin EZB-Priorität haben.

Welche Data-Compliance-Standards sind entscheidend?

Read Now

ESMA Cloud-Outsourcing-Leitlinien (September 2025)

Die ESMA veröffentlichte im September 2025 überarbeitete Cloud-Outsourcing-Leitlinien, die sich auf Verwahrstellen nach AIFMD und UCITS beschränken, die nicht unter DORA fallen. Für Asset Manager, die bereits DORA unterliegen, werden die ESMA-Leitlinien weitgehend abgelöst, bleiben aber als Referenz für eine verhältnismäßige Umsetzung relevant. Die Leitlinien umfassen neun Bereiche, darunter Governance, Due Diligence vor Auslagerung, vertragliche Anforderungen, Informationssicherheit, Exit-Strategien, Prüfungsrechte, Sub-Outsourcing, Benachrichtigung der zuständigen Behörde und Aufsicht.

BaFin-Aufsichtserwartungen für Unternehmen mit Deutschlandbezug

Asset Manager, die deutsche institutionelle Investoren betreuen, unterliegen zusätzlicher Prüfung durch das BaFin-Aufsichtsregime. Die BaFin-Aufsichtsmitteilung 2024 zu Cloud-Outsourcing verlangt von beaufsichtigten Unternehmen, Verschlüsselung und Schlüsselmanagement als Kernthemen der Governance zu adressieren. Deutsche institutionelle Investoren unter BaFin-Aufsicht, darunter Pensionskassen nach der Pensionsfonds-Aufsichtsverordnung und Versicherer nach EIOPA-Outsourcing-Leitlinien, geben diese regulatorischen Anforderungen zunehmend als Mandatsbedingungen an ihre Asset Manager weiter. Ein Asset Manager, der keine europäische Datensouveränität nachweisen kann, riskiert den Verlust von Mandaten deutscher Anleger.

Warum der Schutz von Kundendaten mehr als Compliance erfordert

Die Daten, die Asset Manager schützen müssen

Asset Manager verarbeiten Datenkategorien mit unterschiedlichen Sensibilitätsprofilen: personenbezogene Anlegerdaten und KYC-Dokumente unterliegen der DSGVO, Portfolio-Positionen und Handelsstrategien sind Geschäftsgeheimnisse, Due-Diligence-Unterlagen werden unter Geheimhaltungsvereinbarungen geteilt, regulatorische Korrespondenz mit Aufsichtsbehörden und interne Investmentausschuss-Kommunikation steuern Allokationsentscheidungen. Jede Kategorie verlangt Schutz nicht nur nach DSGVO, sondern auch im Rahmen der treuhänderischen Pflichten, die das Asset Management prägen.

Wenn diese Daten über Plattformen von US-Anbietern laufen, schaffen der CLOUD Act und FISA Section 702 einen Zugriffsweg, den Aufseher und institutionelle Investoren zunehmend als unvereinbar mit europäischen Datenschutzstandards sehen. Eine US-Behörde kann den Anbieter verpflichten, Portfoliodaten, Anlegerkommunikation oder regulatorische Korrespondenz herauszugeben – ohne Wissen oder Zustimmung des Asset Managers.

Die treuhänderische Dimension

Asset Manager haben treuhänderische Pflichten gegenüber ihren Kunden, die über regulatorische Compliance hinausgehen. Nach AIFMD Artikel 12 und UCITS-Richtlinie Artikel 14 müssen Manager im besten Interesse der von ihnen verwalteten Fonds und Anleger handeln. Die Speicherung von Kundendaten auf Plattformen, auf die ausländische Behörden ohne Wissen des Managers zugreifen können, schafft ein treuhänderisches Risiko, das keine Vertragsklausel mit dem Cloud-Anbieter auflösen kann.

Deutsche institutionelle Investoren sind für diese Dimension besonders sensibilisiert. Die Mitbestimmungsrechte des Betriebsrats bei betrieblichen Altersversorgungslösungen sowie die BfDI-Durchsetzung des Beschäftigtendatenschutzes führen dazu, dass Pensionskassen ihren eigenen Aufsehern und Betriebsräten nachweisen müssen, dass die Datenverarbeitung durch Asset Manager deutschen Standards entspricht.

Souveräne Architektur für Asset Manager

Um die Erwartungen der EZB, die DORA-Anforderungen und die Vorgaben institutioneller Investoren zu erfüllen, sind drei technische Fähigkeiten erforderlich, die gemeinsam eine überprüfbare Data Governance ermöglichen.

Kundengesteuertes Verschlüsselungsmanagement

Die EZB-Anforderung nach eindeutigen Verschlüsselungsschlüsseln pro beaufsichtigter Einheit führt direkt zum kundengesteuerten Schlüsselmanagement. In diesem Modell generiert und speichert der Asset Manager die Schlüssel in einem eigenen Hardware-Sicherheitsmodul (HSM) – On-Premises oder in einem von der Institution kontrollierten europäischen Rechenzentrum. Die Cloud-Plattform verarbeitet verschlüsselte Daten, erhält aber nie Zugriff auf die Entschlüsselungsschlüssel. Das erfüllt die Verschlüsselungserwartungen der EZB, adressiert die Datenschutzanforderungen von DORA und eliminiert das CLOUD-Act-Risiko, da der Anbieter auch unter rechtlichem Zwang keine lesbaren Daten liefern kann.

Single-Tenant-Bereitstellung in Europa

Die Single-Tenant-Bereitstellung auf dedizierter europäischer Infrastruktur bedient einen Kunden aus isolierten Systemen. In Kombination mit kundengesteuerter Verschlüsselung werden sowohl der logische Zugriffspfad (Schlüssel) als auch der physische Zugriffspfad (geteilte Infrastruktur) eliminiert, die Abhängigkeiten vom Anbieter schaffen. Zudem adressiert dieses Modell die Konzentrationsrisiken, da der Asset Manager echte operative Unabhängigkeit bewahrt – statt nur eine Partition auf einer globalen Multi-Tenant-Plattform zu nutzen.

Richtlinienbasierte Datenresidenz und Audit-Trails

Die EZB erwartet, dass Unternehmen Speicherorte beschränken und Kontrollmechanismen implementieren. Technisches Geofencing, das Daten auf deutsche oder EU-Rechenzentren begrenzt, Replikation außerhalb der EU verhindert und umfassende Audit-Protokolle aller Zugriffe erstellt, liefert diese Fähigkeit auf Plattformebene. Vollständige Audit-Trails unterstützen die DORA-Meldepflichten und liefern die Nachweise, die JSTs bei Aufsichtsprüfungen verlangen.

Implementierung für europäische Asset Manager

Phase 1: IKT-Dienstleistungen erfassen und klassifizieren

Alle Cloud-Dienste erfassen, die Kundendaten, Anlegerkommunikation, regulatorische Korrespondenz oder interne Investmentunterlagen verarbeiten. Jeden Dienst anhand der DORA-Kriterien für kritische oder wichtige Funktionen klassifizieren. Für jeden Anbieter Gerichtsbarkeit, Verschlüsselungsmodell, Schlüsselmanagement-Architektur und Drittparteienrisiko dokumentieren. Diese Übersicht dient als Grundlage für das DORA-Register.

Phase 2: EZB-konforme Risikoanalysen durchführen

Das Risikobewertungs-Framework des EZB-Leitfadens auf jede Cloud-Vereinbarung anwenden. Risiken durch Vendor-Lock-in, Anbieter-Konzentration, Multi-Tenancy und geopolitische Faktoren bewerten. Bei US-basierten Diensten dokumentieren, ob der Anbieter unter ausländischem Zwang entschlüsselte Kundendaten bereitstellen kann, und die Auswirkungen auf treuhänderische Pflichten und Mandatsanforderungen institutioneller Investoren analysieren.

Phase 3: Umstieg auf souveräne Architektur

Dienste mit den sensibelsten Daten priorisieren: KYC-Unterlagen von Anlegern, Portfolio-Positionen, Handelsstrategien und regulatorische Einreichungen. Diese Funktionen auf Plattformen mit kundengesteuerter Verschlüsselung, Single-Tenant-Bereitstellung in Europa und richtlinienbasierter Datenresidenz migrieren. Durch unabhängige Tests sicherstellen, dass der Anbieter keinen Zugriff auf entschlüsselte Daten hat. Exit-Strategien gemäß den Empfehlungen des EZB-Leitfadens entwickeln.

Phase 4: Compliance für die Aufsicht dokumentieren

Ein Nachweispaket vorbereiten, das Dokumentation zum Schlüsselmanagement, Konfigurationsnachweise zur Bereitstellung, Geofencing-Protokolle und vollständige Audit-Trails der Chain of Custody umfasst. Diese Dokumentation an den Erwartungen des EZB-Leitfadens, den DORA-Registeranforderungen und den Nachweisstandards der JSTs und nationalen Aufseher ausrichten.

Schutz von Kundendaten als Wettbewerbsvorteil für europäische Asset Manager

Europäische institutionelle Investoren warten nicht auf regulatorische Vorgaben zur Datensouveränität. Deutsche Pensionskassen, Versicherer und öffentliche Anleger integrieren Datenschutzanforderungen bereits in ihre Auswahlprozesse. Asset Manager, die eine echte zero trust-Architektur mit kundengesteuerter Verschlüsselung, europäischer Bereitstellung und umfassenden Audit-Funktionen nachweisen, heben sich in einem Markt ab, in dem Datenschutzkompetenz als Zeichen operativer Reife gilt.

Der EZB-Leitfaden, DORA und die ESMA-Leitlinien setzen den regulatorischen Mindeststandard. Asset Manager, die diese Anforderungen erfüllen und übertreffen, vermeiden nicht nur Sanktionen – sie bauen die Vertrauensinfrastruktur auf, die institutionelle Investoren verlangen.

Kiteworks unterstützt europäische Asset Manager beim Schutz von Kundendaten und der Erfüllung von Aufsichtserwartungen

Das Private Data Network von Kiteworks liefert die souveräne Architektur, die europäische Asset Manager benötigen, um gleichzeitig die Erwartungen der EZB, die DORA-Anforderungen und die Vorgaben institutioneller Investoren zu erfüllen. Kiteworks setzt auf ein kundengesteuertes Verschlüsselungsmodell, bei dem der Asset Manager die Verschlüsselungsschlüssel im eigenen HSM generiert und verwaltet. Kiteworks hat keinen Zugriff auf entschlüsselte Inhalte und kann auch auf Anordnung ausländischer Behörden keine lesbaren Daten bereitstellen, da die Schlüssel nicht im Besitz von Kiteworks sind.

Kiteworks wird als Single-Tenant-Instanz auf dedizierter europäischer Infrastruktur bereitgestellt – On-Premises, in der Private Cloud oder als gehärtete virtuelle Appliance. Integriertes Geofencing erzwingt die Datenresidenz auf Plattformebene. Umfassende Audit-Protokollierung erfasst jeden Dateizugriff, jede Nutzeraktion und jede administrative Änderung und liefert so die kontinuierlichen Monitoring-Nachweise, die DORA und der EZB-Leitfaden verlangen. Kiteworks unterstützt die DORA-Compliance in allen fünf Säulen durch einen einheitlichen Governance-Ansatz für die Kommunikation sensibler Inhalte.

Die Plattform vereint sicheres Filesharing, E-Mail-Schutz, Managed File Transfer und Web-Formulare in einem Framework. Asset Manager können so die Outsourcing-Erwartungen der EZB, die Drittparteienrisiko-Anforderungen von DORA und die Datenschutzanforderungen der Investoren über alle Kanäle der Datenbewegung hinweg mit einer Architektur und einem Nachweispaket erfüllen.

Erfahren Sie mehr darüber, wie Sie Kundendaten schützen und gleichzeitig die Aufsichtserwartungen der EZB erfüllen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

DORA gilt direkt für AIFMs, UCITS-Verwaltungsgesellschaften und Wertpapierfirmen – unabhängig davon, ob sie der EZB-Aufsicht unterliegen. Der Anwendungsbereich von DORA umfasst praktisch alle regulierten Finanzunternehmen in der EU, einschließlich alternativer Investmentfondsmanager nach AIFMD und UCITS-Verwaltungsgesellschaften. Der EZB-Leitfaden, der formal für direkt beaufsichtigte Kreditinstitute gilt, setzt Aufsichtsmaßstäbe, die nationale Aufseher voraussichtlich übernehmen werden. Asset Manager sollten die Erwartungen des EZB-Leitfadens an Data Governance, Verschlüsselung und Anbieterrisiko-Management als De-facto-Standard behandeln – auch ohne direkte EZB-Aufsicht.

Die EZB empfiehlt umfassende Verschlüsselungspolitiken für Daten während der Übertragung, im ruhenden Zustand und – wo möglich – in der Nutzung, mit Schlüsseln, die für jede beaufsichtigte Einheit eindeutig sind. Der Leitfaden fordert definierte Verschlüsselungsalgorithmen und Schlüssellängen nach aktuellen Standards sowie regelmäßige Überprüfung. Die explizite Vorgabe, dass Verschlüsselungsschlüssel nicht mit anderen Cloud-Kunden geteilt werden dürfen, macht kundengesteuertes Schlüsselmanagement zum Aufsichtsstandard. Asset Manager sollten Verschlüsselungsarchitekturen implementieren, bei denen die Schlüssel im eigenen HSM generiert und gespeichert werden, um diese Anforderungen zu erfüllen.

Die EZB erwartet, dass Unternehmen eine Liste akzeptabler Datenstandorte unter Berücksichtigung rechtlicher und politischer Risiken erstellen – einschließlich ehrlicher Bewertung der CLOUD-Act- und FISA-702-Exponierung. Die Speicherung von Daten in einem Frankfurter Rechenzentrum eines US-Anbieters bietet zwar einen geografischen Standort, aber keine rechtliche Souveränität. Die geopolitische Risikoanalyse muss prüfen, ob die Heimatgerichtsbarkeit des Anbieters staatlichen Zugriff auf Kundendaten unabhängig vom Speicherort ermöglicht. Asset Manager können dies adressieren, indem sie eine Datensouveränitätsarchitektur implementieren, bei der der Anbieter keinen Zugriff auf entschlüsselte Daten hat und so das Risiko ausländischer Gerichtsbarkeit technisch ausschließen.

DORA verlangt Exit-Strategien für alle IKT-Vereinbarungen mit kritischen Funktionen, und der EZB-Leitfaden empfiehlt erweiterte Kündigungsrechte bei Änderungen der Gerichtsbarkeit, Standortwechseln von Rechenzentren und regulatorischen Änderungen. Asset Manager müssen nachweisen, dass sie von jedem Cloud-Anbieter ohne operative Unterbrechung der Kundendienste wechseln können. Dazu gehören dokumentierte Abläufe, Rollenverteilungen, Kostenschätzungen und getestete Migrationspläne. Plattformen, die auf Standardprotokollen mit voller Datenportabilität basieren, vereinfachen die Exit-Planung. Die Bewertung von Anbieterkonzentrationsrisiken sollte regelmäßig erfolgen, wie von der EZB gefordert.

Ja. Deutsche Pensionskassen, Versicherer und öffentliche Anleger nehmen Datenschutzanforderungen zunehmend in ihre Mandatsauswahl auf. Institutionen unter BaFin-Aufsicht müssen ausreichenden Datenschutz entlang der gesamten Lieferkette – einschließlich Asset-Manager-Beziehungen – nachweisen. Die Mitbestimmungsrechte des Betriebsrats nach §87 Abs. 1 Nr. 6 BetrVG greifen, wenn Beschäftigtendaten für Altersvorsorge verarbeitet werden, was zusätzliche Nachweispflichten schafft. Asset Manager, die europäische Datensouveränität durch kundengesteuerte Verschlüsselung, Single-Tenant-Bereitstellung und umfassende Audit-Trails nachweisen, differenzieren sich im deutschen institutionellen Markt.

Weitere Ressourcen 

  • Blog Post  
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datensouveränität und DSGVO
  • Blog Post  
    Diese Fallstricke bei der Datensouveränität vermeiden
  • Blog Post  
    Best Practices für Datensouveränität
  • Blog Post  
    Datensouveränität und DSGVO [Verstehen von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks