Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie europäische Banken die EBA-Outsourcing-Richtlinien mit kundengesteuerten Verschlüsselungsschlüsseln erfüllen

Wie europäische Banken die EBA-Outsourcing-Richtlinien mit kundengesteuerten Verschlüsselungsschlüsseln erfüllen

von Marc ten Eikelder updated Februar 11, 2026 Regulatorische Compliance
Lesezeit: 10 Minuten

Die Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu Auslagerungsvereinbarungen (EBA/GL/2019/02) verlangen von Finanzinstituten, dass sie eine effektive Kontrolle über ausgelagerte Funktionen behalten. Dazu gehört die Überwachung der Leistung, die Durchsetzung von Sicherheitsstandards und das Recht, Vereinbarungen zu beenden, wenn der Datenschutz gefährdet ist. Seit Januar 2025 hat der Digital Operational Resilience Act (DORA) durchsetzbare Anforderungen an das ICT-Risikomanagement, die Überwachung von Drittparteien und die operationelle Resilienz eingeführt, die in allen EU-Mitgliedstaaten unmittelbar gelten. Zusammen schaffen diese Rahmenbedingungen ein regulatorisches Umfeld, in dem europäische Banken die tatsächliche Kontrolle über Kunden- und Betriebsdaten, die von Cloud Service Providern verarbeitet werden, nachweisen müssen.

Für deutsche Banken, die von der BaFin beaufsichtigt werden, ist dieses regulatorische Bild noch detaillierter. Die BaFin verlangt in ihrer Aufsichtlichen Mitteilung 2024 zur Cloud-Auslagerung ausdrücklich, dass beaufsichtigte Unternehmen Verschlüsselung und Schlüsselmanagement als zentrales Governance-Thema adressieren. Das BAIT-Rahmenwerk (Bankaufsichtliche Anforderungen an die IT), das für Institute im Übergang zu DORA bis Dezember 2026 weiterhin gilt, definiert klare Erwartungen an IT-Sicherheitskontrollen. Gleichzeitig betont der Entwurf des Leitfadens der EZB zur Auslagerung von Cloud-Diensten, dass Institute Eigentümer ihrer Daten bleiben und den Speicherort bei Cloud-Anbietern beschränken müssen.

Der gemeinsame Nenner all dieser Anforderungen ist Kontrolle. Nicht vertraglich zugesicherte Kontrolle, sondern architektonisch, nachweisbar und technisch belegbare Kontrolle über die Datensouveränität. Dieser Leitfaden erklärt, wie kundengesteuerte Verschlüsselungsschlüssel das zentrale Auslagerungsrisiko adressieren, das Regulierungsbehörden im Fokus haben, und wie europäische Banken diesen Ansatz umsetzen, um EBA-, DORA- und nationale Aufsichtserwartungen gleichzeitig zu erfüllen.

Executive Summary

Kernaussage: Die EBA-Auslagerungsleitlinien und DORA verlangen von europäischen Banken, dass sie eine effektive Kontrolle über Daten behalten, die von Cloud-Anbietern verarbeitet werden – einschließlich des Schutzes vor unbefugtem Zugriff. Kundengesteuerte Verschlüsselungsschlüssel, bei denen die Bank kryptografische Schlüssel selbst generiert, speichert und ausschließlich in ihrem eigenen Hardware-Sicherheitsmodul verwaltet, bilden die architektonische Grundlage zur Erfüllung dieser Anforderungen. Der Cloud-Anbieter kann selbst unter rechtlichem Zwang keinen Zugriff auf entschlüsselte Daten erhalten.

Warum das wichtig ist: Die Durchsetzung von DORA begann am 17. Januar 2025, mit Strafen von bis zu 10 % des Jahresumsatzes bei schwerwiegenden Verstößen. Die BaFin erwartet von deutschen Banken bereits jetzt die Einhaltung und hat angekündigt, dass erste Erkenntnisse bis Ende 2025 vorliegen werden. Wenn Ihr Institut auf einen US-basierten Cloud-Anbieter setzt, der Zugriff auf Verschlüsselungsschlüssel behält, besteht eine messbare Lücke zwischen Ihrer Auslagerungsvereinbarung und den regulatorischen Erwartungen. Kundengesteuerte Verschlüsselung ist die technische Maßnahme, die diese Lücke schließt.

5 wichtige Erkenntnisse

  1. EBA-Leitlinien verlangen effektive Kontrolle, nicht nur vertragliche Zusagen. Absatz 98 der EBA/GL/2019/02 schreibt vor, dass Auslagerungsverträge für kritische Funktionen Datenstandorte festlegen, Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen und Kündigungsrechte bei Sicherheitsmängeln enthalten müssen.
  2. DORA schreibt Verschlüsselung im ruhenden Zustand, während der Übertragung und – wo erforderlich – in der Nutzung vor. Finanzunternehmen müssen unter DORA umfassende Verschlüsselungskonzepte umsetzen, um Informationen in allen Zuständen vor unbefugtem Zugriff zu schützen.
  3. Die BaFin benennt Verschlüsselung und Schlüsselmanagement explizit als Governance-Themen. Die Aufsichtliche Mitteilung 2024 verlangt von deutschen Banken, Schlüsselmanagement in ihren Cloud-Governance-Richtlinien zu adressieren – über allgemeine Verschlüsselung hinaus und mit dokumentierter Kontrolle über kryptografische Schlüssel.
  4. Vom Anbieter gehaltene Schlüssel schaffen ein unauflösbares Auslagerungsrisiko. Behält ein US-basierter Cloud-Anbieter die Verschlüsselungsschlüssel, führen CLOUD Act und FISA 702 dazu, dass die Bank die Vertraulichkeit der Daten nicht garantieren kann – und damit gleichzeitig gegen EBA- und DORA-Anforderungen verstößt.
  5. Kundengesteuerte Schlüssel erfüllen mehrere regulatorische Anforderungen gleichzeitig. Eine einzige architektonische Entscheidung – die Speicherung der Verschlüsselungsschlüssel im eigenen HSM der Bank – adressiert EBA-Auslagerungskontrollen, DORA-Verschlüsselungspflichten, DSGVO-Übertragungsschutz und BaFin-Aufsichtserwartungen.

Warum die EBA-Auslagerungsleitlinien mehr als vertragliche Kontrollen verlangen

Der risikobasierte Ansatz der EBA für Cloud-Auslagerungen

Die EBA-Leitlinien zu Auslagerungsvereinbarungen, gültig seit dem 30. September 2019, gelten für Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute und E-Geld-Institute. Die Leitlinien verfolgen einen risikobasierten Ansatz, der von Finanzinstituten verlangt, Risiken in allen Auslagerungsvereinbarungen zu identifizieren, zu bewerten und zu mindern – mit verschärften Anforderungen für kritische oder wichtige Funktionen.

Cloud-basiertes Filesharing, E-Mail, Kollaborationsplattformen und Managed File Transfer-Systeme für den Austausch sensibler Daten gelten in der Regel als kritische oder wichtige Funktionen. Diese Plattformen verarbeiten Kundendaten, interne Kommunikation, regulatorische Korrespondenz und Transaktionsaufzeichnungen. Nach EBA-Absatz 75 müssen Institute vor Abschluss von Auslagerungsvereinbarungen umfassende Risikobewertungen durchführen und die Sicherheitslage des Anbieters fortlaufend überwachen.

Entscheidend ist, dass die EBA-Leitlinien festhalten, dass die ausschließliche Abstützung auf Zertifizierungen wie ISO 27001 für Risikobewertungen oder laufende Überwachung nicht ausreicht. Banken müssen über Anbieterzusagen hinaus die tatsächliche technische Architektur bewerten, die bestimmt, wer auf ihre Daten zugreifen kann.

Was die Leitlinien für Datensicherheit verlangen

Für kritische oder wichtige Auslagerungen verlangt Absatz 98 der EBA/GL/2019/02 schriftliche Vereinbarungen, die festlegen, wo Daten gespeichert und verarbeitet werden, mit Benachrichtigungspflicht bei Standortänderungen durch den Anbieter. Die Vereinbarung muss Zugänglichkeit, Verfügbarkeit, Integrität, Vertraulichkeit und Sicherheit der Daten sicherstellen. Sie muss garantieren, dass das Institut auf seine Daten zugreifen kann, falls der Anbieter insolvent wird. Und sie muss Kündigungsrechte bei Schwächen in der Datensicherheit enthalten.

Absatz 100 verlangt von Instituten, die Leistung ihres Anbieters regelmäßig zu überwachen – mit besonderem Fokus auf Datenverfügbarkeit, -sicherheit und -integrität. Die EBA-Leitlinien zum ICT- und Sicherheitsrisikomanagement fügen hinzu, dass Verträge Mindestanforderungen an Cybersicherheit, Spezifikationen für den Datenlebenszyklus, Anforderungen an Verschlüsselung, Netzwerksicherheit und Anforderungen an den Standort von Rechenzentren enthalten sollten.

Dies sind keine bloßen Absichtserklärungen. Sie schaffen verbindliche Aufsichtserwartungen, die nationale Aufsichtsbehörden wie die BaFin durch Prüfungen, Anordnungen und – unter DORA – finanzielle Sanktionen durchsetzen.

Welche Data Compliance Standards sind relevant?

Jetzt lesen

DORA verschärft die Anforderungen an ICT-Drittparteirisiken

Verschlüsselungsanforderungen unter DORA

DORA (Verordnung EU 2022/2554) ist seit dem 17. Januar 2025 verbindlich und schafft einheitliche Anforderungen an die ICT-Sicherheit für rund 22.000 Finanzunternehmen in der EU. Nach dem ICT-Risikomanagement-Rahmen von DORA müssen Finanzunternehmen umfassende Verschlüsselungskonzepte für Daten im ruhenden Zustand, während der Übertragung und – wo erforderlich – in der Nutzung implementieren. Wo Verschlüsselung technisch nicht möglich ist, sind Daten in einer separaten, sicheren Umgebung mit gleichwertigen Maßnahmen zur Wahrung von Vertraulichkeit und Integrität zu behandeln.

Das Drittparteirisikomanagement von DORA verlangt, dass alle ICT-Serviceverträge Service Level Agreements, Prüfungsrechte, Kündigungsrechte, Exit-Strategien und Verfahren zur Vorfallbenachrichtigung enthalten. Die europäischen Aufsichtsbehörden haben im November 2025 19 ICT-Serviceprovider – darunter AWS, Microsoft Azure und Google Cloud – als kritisch eingestuft und damit einer direkten EU-Aufsicht unterstellt. Das bedeutet, dass europäische Banken ihre Beziehungen zu diesen Anbietern nicht mehr als reine Vertragsangelegenheit betrachten können. Die Aufsichtsbehörden prüfen nun die Anbieter selbst.

Die spezifischen Erwartungen der BaFin an deutsche Banken

Die Aufsichtliche Mitteilung der BaFin vom Februar 2024 zur Cloud-Auslagerung geht über die EBA-Grundanforderungen hinaus. Sie verlangt von beaufsichtigten Unternehmen, interne Richtlinien für die Cloud-Nutzung zu entwickeln, die Verschlüsselung und Schlüsselmanagement als Kernthema neben Compliance, Identitätsmanagement und Steuerung von Subunternehmern abdecken. Die BaFin erwartet von Banken eine strategische Analyse, ob jede ausgelagerte Funktion angemessen überwacht und – falls nötig – zurückgeholt werden kann.

Die BaFin hat signalisiert, dass sie die Auslagerungsaufsicht 2025 intensivieren und erste DORA-Compliance-Erkenntnisse bis Jahresende erwartet. Deutsche Banken, die auf US-Hyperscaler ohne kundengesteuerte Verschlüsselung setzen, sind einem direkten Aufsichtsrisiko ausgesetzt, da ihre aktuelle Architektur möglicherweise nicht den BaFin-Anforderungen an angemessene Datenschutzkontrollen entspricht.

Das Verschlüsselungsschlüssel-Problem, das europäische Banken lösen müssen

Warum vom Anbieter gehaltene Schlüssel regulatorisch nicht ausreichen

Wenn eine europäische Bank einen US-basierten Cloud-Anbieter für sicheres Filesharing, E-Mail oder Zusammenarbeit nutzt, behält der Anbieter in der Regel die Kontrolle über die Verschlüsselungsschlüssel. Selbst wenn die Bank EU-Rechenzentrumsregionen auswählt, unterliegt die betreibende Rechtseinheit dem CLOUD Act, der US-Behörden die Herausgabe von Daten unabhängig vom Speicherort ermöglicht. FISA Section 702 erlaubt Geheimdiensten die Überwachung von Nicht-US-Personen ohne individuelle Anordnung.

Dies führt zu einem architektonischen Konflikt mit den Anforderungen von EBA und DORA. Die Auslagerungsvereinbarung der Bank kann zwar vertraglich Vertraulichkeit verlangen, doch der Anbieter kann rechtlich gezwungen werden, Daten zu entschlüsseln und bereitzustellen, ohne die Bank zu informieren. Das von der EBA geforderte Kündigungsrecht bei Sicherheitsmängeln wird bedeutungslos, wenn der Mangel strukturell ist: Der Anbieter hält die Schlüssel und unterliegt ausländischen Zugriffsrechten.

Die EDPB-Empfehlungen 01/2020 bestätigen: Wenn ein Anbieter die Verschlüsselungsschlüssel besitzt und einem Rechtsregime unterliegt, das Regierungszugriffe erlaubt, existieren keine wirksamen ergänzenden Maßnahmen. Für Banken, die Transfer Impact Assessments durchführen, stellen vom Anbieter gehaltene Schlüssel ein nicht abwendbares Risiko dar.

Wie kundengesteuerte Schlüssel den Konflikt lösen

Kundengesteuerte Verschlüsselungsschlüssel verändern die Risikostruktur grundlegend. In diesem Modell generiert und speichert die Bank die Verschlüsselungsschlüssel in ihrem eigenen Hardware-Sicherheitsmodul, das sich On-Premises oder in einem von der Bank kontrollierten europäischen Rechenzentrum befindet. Die Cloud-Plattform verarbeitet verschlüsselte Daten, besitzt aber niemals die Entschlüsselungsschlüssel. Wird der Anbieter von einer ausländischen Behörde zur Herausgabe von Daten gezwungen, kann er nur Chiffretext liefern, der ohne die Schlüssel der Bank unlesbar ist.

Dieser Ansatz unterscheidet sich von „Bring Your Own Key“ (BYOK)-Angeboten, bei denen die Bank zwar einen Schlüssel generiert, ihn aber in den Schlüsselverwaltungsdienst des Anbieters hochlädt. Bei BYOK behält der Anbieter Zugriff auf das Schlüsselmaterial und kann zur Nutzung gezwungen werden. Kundengesteuerte Verschlüsselung bedeutet, dass der Schlüssel niemals die Infrastruktur der Bank verlässt.

Regulatorische Anforderungen, die durch kundengesteuerte Schlüssel erfüllt werden

Regulatorische Anforderung Vom Anbieter gehaltene Schlüssel Kundengesteuerte Schlüssel
EBA: Sicherstellung der Vertraulichkeit (Abs. 98) Keine Garantie; Anbieter unterliegt ausländischen Zugriffsrechten Garantiert; Anbieter kann Daten nicht entschlüsseln
EBA: Laufende Überwachung der Datensicherheit (Abs. 100) Begrenzte Transparenz; basiert auf Anbieterberichten Vollständiger Audit-Trail unter Kontrolle der Bank
DORA: Verschlüsselung im ruhenden Zustand und während der Übertragung Verschlüsselt, aber Anbieter hält Schlüssel Verschlüsselt mit exklusiver Schlüsselkontrolle der Bank
DORA: ICT-Drittparteirisikomanagement Restrisiko durch ausländische Zugriffsrechte Risiko architektonisch eliminiert
BaFin: Governance für Verschlüsselung und Schlüsselmanagement Schlüsselmanagement an Anbieter delegiert Schlüsselmanagement unter Bank-Governance
DSGVO: Technische Maßnahmen nach Art. 32 Anbieter-gesteuerte Maßnahmen; Übertragungsrisiko bleibt Bank-gesteuerte Maßnahmen; Übertragungsrisiko gemindert
CLOUD Act / FISA 702-Exponierung Volle Exponierung; Anbieter kann Anforderungen erfüllen Keine Exponierung; Anbieter kann keine lesbaren Daten liefern

Architektonische Anforderungen über Verschlüsselungsschlüssel hinaus

Kundengesteuerte Verschlüsselung ist notwendig, aber nicht ausreichend. Europäische Banken sollten Cloud-Plattformen anhand von drei ergänzenden Anforderungen bewerten, die gemeinsam verifizierbare Datensouveränität schaffen.

Single-Tenant-Bereitstellung in Europa

Multi-Tenant-Cloud-Umgebungen teilen Infrastruktur zwischen Kunden, wobei Anbieterpersonal weltweit Wartungsarbeiten durchführt. Eine Single-Tenant-Bereitstellung auf dedizierter europäischer Infrastruktur stellt sicher, dass Bankdaten auf isolierten Systemen liegen, deren Zugriffskontrollen europäischem Recht unterliegen. In Kombination mit kundengesteuerter Verschlüsselung werden sowohl logische als auch physische Zugriffspfade für Unbefugte ausgeschlossen.

Richtlinienbasierte Datenresidenz

Absatz 98 der EBA verlangt, dass Vereinbarungen Datenstandorte mit Änderungsbenachrichtigung festlegen. DORA verstärkt dies durch Erwartungen an die Datenresidenz. Anstatt sich auf vertragliche Zusagen zu verlassen, sollten Banken Plattformen mit technischer Geofencing-Funktion einsetzen, die Speicherung auf deutsche oder EU-Rechenzentren beschränkt, Replikation in Nicht-EU-Regionen verhindert und alle Zugriffsversuche für den Audit-Trail protokolliert.

Umfassende Audit- und Überwachungsfunktionen

Sowohl EBA als auch DORA verlangen eine kontinuierliche Überwachung ausgelagerter Dienste. Banken benötigen Plattformen, die vollständige Transparenz über jeden Datei-Zugriff, jede Anwenderaktion, jede administrative Änderung und jede Datenbewegung bieten. Diese Data-Governance-Fähigkeit unterstützt das nach DORA Artikel 28(3) geforderte Auslagerungsregister und ermöglicht es Banken, Compliance bei BaFin-Prüfungen und EZB-Aufsichtsüberprüfungen nachzuweisen.

Implementierung: Ein risikobasierter Ansatz für europäische Banken

Phase 1: Bestehende Auslagerungen bewerten

Erfassen Sie alle Cloud-Dienste, die Kunden-, Betriebs- und Mitarbeiterdaten verarbeiten. Dokumentieren Sie für jeden Dienst die Jurisdiktion des Anbieters, das Verschlüsselungsmodell, die Schlüsselmanagement-Architektur und die Drittparteirisikoklassifizierung. Vergleichen Sie dies mit den Anforderungen des DORA-Registers für Informationen, um Lücken zu identifizieren.

Phase 2: Verschlüsselungsschlüssel-Exponierung bewerten

Wenden Sie für jeden Cloud-Dienst, der eine kritische oder wichtige Funktion unterstützt, den Schlüsseltest an: Kann der Anbieter auf entschlüsselte Daten zugreifen, wenn er von einer ausländischen Behörde dazu gezwungen wird? Vergleichen Sie die Ergebnisse mit den Anforderungen von EBA und DORA. Priorisieren Sie Dienste, die die sensibelsten Daten verarbeiten: Kundenfinanzdaten, regulatorische Korrespondenz, interne Audit-Materialien und grenzüberschreitende Transaktionsdaten.

Phase 3: Kundengesteuerte Architektur implementieren

Stellen Sie kritische Datenbewegungsplattformen auf Architekturen um, bei denen die Bank die exklusive Kontrolle über die Verschlüsselungsschlüssel behält. Dies umfasst in der Regel die Bereitstellung einer gehärteten virtuellen Appliance oder eines On-Premises-HSM für die Schlüsselspeicherung, die Konfiguration einer Single-Tenant-Bereitstellung in Europa und die Einrichtung von Geofencing-Richtlinien. Validieren Sie durch unabhängige Tests, dass der Anbieter unter keinen Umständen auf entschlüsselte Daten zugreifen kann.

Phase 4: Kontinuierliche Compliance-Überwachung etablieren

Setzen Sie kontinuierliche Überwachung gemäß EBA-Absatz 100 und den Anforderungen an die operationelle Resilienz von DORA um. Etablieren Sie regelmäßige Review-Zyklen mit dokumentierten Nachweisen für Aufsichtsprüfungen. Stellen Sie sicher, dass Notfallpläne Szenarien abdecken, in denen ausländische Behörden Datenzugriff verlangen oder beim Anbieter Sicherheitsmängel auftreten.

Kundengesteuerte Verschlüsselung ist die Basis regulatorisch konformer Auslagerung

EBA-Auslagerungsleitlinien, DORA und die Aufsichtserwartungen der BaFin laufen auf ein Prinzip hinaus: Europäische Banken müssen effektive, nachweisbare Kontrolle über Daten behalten, die von Cloud-Anbietern verarbeitet werden. Hält ein Anbieter die Verschlüsselungsschlüssel und unterliegt ausländischen Zugriffsrechten, ist diese Kontrolle architektonische Fiktion. Kundengesteuerte Verschlüsselungsschlüssel stellen echte Kontrolle wieder her, indem sie sicherstellen, dass keine Drittpartei ohne explizite Beteiligung der Bank auf entschlüsselte Daten zugreifen kann.

Banken, die kundengesteuerte Schlüssel mit Single-Tenant-Bereitstellung in Europa und richtlinienbasierter Datenresidenz kombinieren, erfüllen nicht nur regulatorische Mindestanforderungen. Sie schaffen die zero trust-Infrastruktur, die DORA für ein widerstandsfähiges europäisches Finanzsystem vorsieht.

Kiteworks unterstützt europäische Banken bei der Einhaltung der EBA-Auslagerungsleitlinien durch kundengesteuerte Verschlüsselung

Das Private Data Network von Kiteworks bietet die architektonischen Kontrollen, die europäische Banken benötigen, um EBA-, DORA- und BaFin-Anforderungen gleichzeitig zu erfüllen. Kiteworks arbeitet mit einem kundengesteuerten Verschlüsselungsmodell, bei dem die Bank die Verschlüsselungsschlüssel in ihrem eigenen HSM generiert und behält. Kiteworks kann auf entschlüsselte Inhalte nicht zugreifen und keine lesbaren Daten an ausländische Behörden liefern, da es die Schlüssel nicht besitzt.

Kiteworks wird als Single-Tenant-Instanz auf dedizierter europäischer Infrastruktur bereitgestellt – einschließlich On-Premises, Private Cloud und gehärteter virtueller Appliance. Integriertes Geofencing erzwingt Datenresidenz auf Plattformebene. Umfassende Audit-Protokollierung erfasst jeden Datei-Zugriff, jede Anwenderaktion und jede administrative Änderung und liefert so die kontinuierlichen Überwachungsnachweise, die EBA-Absatz 100 und DORA verlangen. Kiteworks unterstützt DORA-Compliance durch seinen einheitlichen Ansatz für das ICT-Risikomanagement über alle Kanäle sensibler Inhalte hinweg.

Die Plattform vereint sicheres Filesharing, E-Mail-Schutz, Managed File Transfer und Web-Formulare unter einem einzigen Governance-Rahmen. So können Banken Auslagerungsanforderungen für alle Datenbewegungskanäle mit einer Architektur, einem Kontrollsystem und einem Aufsichtsnachweis erfüllen.

Erfahren Sie mehr darüber, wie Sie die EBA-Auslagerungsleitlinien durch kundengesteuerte Verschlüsselungsschlüssel erfüllen – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Die EBA-Leitlinien gelten für alle Auslagerungsvereinbarungen, mit verschärften Anforderungen für kritische oder wichtige Funktionen. Cloud-Dienste, die Kundendaten verarbeiten, regulatorisches Reporting unterstützen oder Kernbankprozesse ermöglichen, gelten in der Regel als kritisch. Die Leitlinien verlangen ein Anbieterrisikomanagement, einschließlich Risikobewertung, vertraglicher Kontrollen und laufender Überwachung für alle ausgelagerten Dienste. Banken sollten jeden Cloud-Dienst klassifizieren und angemessene Kontrollen anwenden – mit den strengsten Anforderungen, einschließlich festgelegter Datenstandorte und Verschlüsselungsstandards, für kritische Funktionen. Auch nicht-kritische Cloud-Auslagerungen erfordern schriftliche Vereinbarungen mit Sicherheitsauflagen und Kündigungsregelungen gemäß DSGVO-Compliance-Anforderungen.

DORA schafft direkt durchsetzbare Verschlüsselungspflichten, die mit Strafen von bis zu 10 % des Jahresumsatzes belegt werden können. Während frühere EBA-Leitlinien Verschlüsselung als Sicherheitsmaßnahme empfohlen haben, schreibt DORA umfassende Verschlüsselungskonzepte für Daten im ruhenden Zustand, während der Übertragung und – wo erforderlich – in der Nutzung vor. DORA verlangt zudem, dass Finanzunternehmen ein Register für alle ICT-Drittparteiverhältnisse führen, einschließlich Verschlüsselungskonfigurationen. Die ESAs haben im November 2025 19 große Cloud-Anbieter als kritisch eingestuft und damit einer direkten Aufsicht unterstellt. Banken müssen nicht nur nachweisen, dass Verschlüsselung existiert, sondern dass ihr Data-Governance-Framework sicherstellt, dass die Kontrolle über die Verschlüsselungsschlüssel beim Institut verbleibt – insbesondere, wenn Anbieter ausländischen Zugriffsrechten unterliegen.

Bei BYOK generiert die Bank einen Schlüssel, lädt ihn aber in die Infrastruktur des Anbieters hoch; bei kundengesteuerter Verschlüsselung verlässt der Schlüssel niemals das eigene HSM der Bank. Dieser Unterschied ist für die regulatorische Compliance entscheidend. Bei BYOK behält der Cloud-Anbieter Zugriff auf das Schlüsselmaterial und kann nach dem CLOUD Act oder FISA 702 zur Entschlüsselung gezwungen werden. Bei kundengesteuerten Verschlüsselungsschlüsseln verarbeitet der Anbieter nur Chiffretext und kann unabhängig von rechtlichen Anforderungen keine lesbaren Daten liefern. Die Aufsichtliche Mitteilung der BaFin benennt Schlüsselmanagement als zentrales Governance-Thema, und die DPIA für Cloud-Auslagerungen sollte klar dokumentieren, welche Partei die Entschlüsselungshoheit besitzt.

Banken sollten Dokumentationen zur Verschlüsselungsarchitektur, Schlüsselmanagement-Richtlinien, Transfer Impact Assessments und Nachweise zur kontinuierlichen Überwachung vorhalten. Die BaFin erwartet von deutschen Banken interne Richtlinien, die Verschlüsselung und Schlüsselmanagement als Teil des Cloud-Governance-Rahmens abdecken. Die Dokumentation sollte den Schlüsselgenerierungsprozess, den Standort des HSM, Zugriffskontrollen für das Schlüsselmaterial und den Nachweis enthalten, dass der Cloud-Anbieter keinen Zugriff auf Entschlüsselungsschlüssel hat. Das DORA-Register für Informationen muss diese Regelungen erfassen. Banken sollten zudem Risikobewertungen dokumentieren, die zeigen, wie kundengesteuerte Schlüssel die spezifischen Risiken aus den Transfer Impact Assessments für Dienste mit US-basierten Anbietern mindern.

Ja, wenn die Bank architektonische Kontrollen implementiert, die dem Anbieter den Zugriff auf entschlüsselte Daten unmöglich machen. Die EBA-Leitlinien verbieten die Auslagerung an Drittland-Anbieter nicht, verlangen aber eine erweiterte Risikobewertung und zusätzliche Schutzmaßnahmen. Die entscheidende Frage ist, ob der Anbieter gezwungen werden kann, lesbare Kundendaten nach ausländischem Recht bereitzustellen. Behält die Bank die exklusive Kontrolle über die Verschlüsselungsschlüssel im eigenen HSM, setzt sie auf dedizierte europäische Infrastruktur und erzwingt Datenresidenz technisch, kann die Auslagerung EBA-, DORA- und DSGVO-Anforderungen erfüllen, da das Auslandszugriffsrisiko architektonisch neutralisiert wird.

Weitere Ressourcen

  • Blog Post  
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datensouveränität und DSGVO
  • Blog Post  
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blog Post  
    Datensouveränität Best Practices
  • Blog Post  
    Datensouveränität und DSGVO [Verständnis von Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks