BaFin und Cloud: Ein Widerspruch?

Compliance
Veröffentlicht 12.03.2026

Florian Breuer Senior Solution Engineer d.velop AG

Cloud-Technologien gewinnen auch in der Finanzbranche an Bedeutung – gleichzeitig müssen Unternehmen regulatorische Anforderungen wie die BaFin Cloud SV 40 erfüllen.

Viele Finanzdienstleister stehen aktuell vor einer strategischen Frage: Passt die Cloud überhaupt zu den strengen regulatorischen Anforderungen der BaFin?

Lange Zeit galt die Nutzung von Cloud-Infrastrukturen in der Finanzbranche als schwierig oder sogar riskant. Gleichzeitig steigt der Druck auf Banken, Versicherungen und andere Finanzinstitute, ihre IT zu modernisieren. Neue Anwendungen, digitale Geschäftsmodelle und steigende Anforderungen an Effizienz machen deutlich: Die Cloud wird zunehmend zum Standard in der Finanz-IT.

Besonders seit den verschärften Cloud-Leitlinien der BaFin in den Jahren 2023 und 2024 ist das Thema aktueller denn je. Viele Unternehmen befinden sich noch immer mitten in der Anpassung ihrer Cloud-Strategie und suchen nach Lösungen, die Innovation und Compliance miteinander verbinden.

Cloud-Technologien als zentraler Bestandteil der Finanz-IT

Die Finanzbranche befindet sich mitten in einer technologischen Transformation. Viele IT-Systeme wurden historisch On-Premises betrieben, also in unternehmenseigenen Rechenzentren. Doch immer mehr moderne Anwendungen werden heute ausschließlich als Cloud-Services angeboten.

Auch wirtschaftliche Faktoren spielen eine Rolle. Der Betrieb eigener IT-Infrastrukturen verursacht hohe Kosten und erfordert kontinuierliche Investitionen in Hardware, Sicherheit und Fachpersonal. Gleichzeitig wachsen die regulatorischen Anforderungen.

Cloud-Lösungen bieten hier mehrere Vorteile:

  • Skalierbarkeit und Flexibilität
  • Schnellere Einführung neuer digitaler Services
  • Bessere Integration mit Partnern und Plattformen
  • Optimierte Ressourcennutzung in Rechenzentren

Auch Nachhaltigkeitsaspekte gewinnen zunehmend an Bedeutung. Zentralisierte Cloud-Rechenzentren können deutlich effizienter betrieben werden als viele einzelne Unternehmensrechenzentren und tragen so zur Reduzierung des Energieverbrauchs bei.

💻 andsafeAG – BaFin regulierter Digitalversicherer setzt auf Cloud-Lösung von d.velop

Was die BaFin bei der Cloud-Nutzung wirklich verlangt

Trotz dieser Vorteile gelten für Finanzunternehmen klare regulatorische Rahmenbedingungen. Die BaFin verlangt von beaufsichtigten Instituten, dass sie jederzeit eine ordnungsgemäße Geschäftsorganisation sicherstellen.

Grundlage hierfür ist unter anderem § 25a des Kreditwesengesetzes (KWG). Demnach müssen Finanzunternehmen:

  • Ein funktionierendes Risikomanagement etablieren
  • Interne Kontrollsysteme betreiben
  • Angemessene IT-Sicherheitsmaßnahmen umsetzen
  • Notfallkonzepte für kritische Systeme vorhalten

Zur Konkretisierung dieser Anforderungen hat die BaFin verschiedene regulatorische Leitlinien entwickelt, darunter die Mindestanforderungen an das Risikomanagement (MaRisk).

💡Wichtig ist dabei: Die BaFin verbietet Cloud-Technologien nicht.

Stattdessen betrachtet sie Cloud-Dienste häufig als sogenannte Auslagerungen. Das bedeutet, dass Finanzunternehmen auch bei der Nutzung externer IT-Dienstleister weiterhin die Verantwortung für ihre Geschäftsprozesse behalten.

In der Praxis bedeutet dies vor allem, dass Unternehmen sicherstellen müssen, jederzeit ausreichende Transparenz, Kontrollmöglichkeiten und Sicherheitsstandards gewährleisten zu können.

Worauf Finanzunternehmen bei Cloud-Anbietern achten sollten

Damit Cloud-Technologien regulatorisch sicher genutzt werden können, sollten Finanzunternehmen verschiedene Aspekte berücksichtigen.

Ein zentraler Punkt ist die Auswahl des Cloud-Anbieters. Finanzinstitute sollten darauf achten, dass Anbieter über entsprechende Erfahrung im regulierten Umfeld verfügen und transparente Sicherheits- sowie Compliance-Konzepte bereitstellen.

Auch die Betriebsstabilität spielt eine wichtige Rolle. Cloud-Infrastrukturen müssen so gestaltet sein, dass Systeme hochverfügbar bleiben und im Notfall schnell wiederhergestellt werden können. Konzepte wie Disaster-Recovery, redundante Rechenzentren und regelmäßige Backups sind hierbei entscheidend.

Außerdem müssen Datenschutz und Informationssicherheit gewährleistet sein. Verschlüsselungen, Zugriffskontrollen, Mehrfaktor-Authentifizierung sowie klar definierte Sicherheitsprozesse gehören heute zu den grundlegenden Anforderungen moderner Cloud-Plattformen.

Infografik zu BaFin Cloud SV 40 und den wichtigsten Anforderungen an Cloud-Nutzung in der Finanzbranche wie Sicherheit, Transparenz, Risikomanagement und Datenportabilität. Alternative (etwas kürzer – oft besser für SEO): BaFin Cloud SV 40 Anforderungen für Cloud-Nutzung in der Finanzbranche: Sicherheit, Transparenz, Risikomanagement und Datenportabilität.

Ein weiterer wichtiger Aspekt ist die sogenannte Exit-Strategie. Finanzunternehmen müssen sicherstellen, dass sie ihre Daten jederzeit exportieren oder zu einem anderen Anbieter migrieren können. Offene Standards und transparente Datenformate spielen hierbei eine zentrale Rolle.

Cloud-Infrastrukturen für regulierte Branchen

Moderne Cloud-Infrastrukturen sind heute gezielt darauf ausgelegt, regulatorische Anforderungen zu erfüllen.

Ein Beispiel hierfür ist die Nutzung der Open Telekom Cloud, die speziell auf europäische Compliance-Anforderungen zugeschnitten ist. Sie basiert auf dem offenen Standard OpenStack und ermöglicht dadurch eine hohe Datenportabilität sowie die Vermeidung von sogenannten Vendor-Lock-in-Effekten.
Die Open Telekom Cloud erfüllt außerdem zentrale Sicherheits- und Compliance-Standards wie:

  • ISO-27001-Zertifizierung
  • SOC1 und SOC2
  • C5-Kritierien des Bundesamts für Sicherheit und Informationstechnik

Durch den Betrieb in europäischen Rechenzentren wird außerdem sichergestellt, dass sensible Daten nicht in Drittstaaten übertragen werden.

Solche Infrastrukturen ermöglichen es Finanzunternehmen, Cloud-Technologien zu nutzen und gleichzeitig regulatorische Anforderungen zuverlässig einzuhalten.

💡Sensible Daten sicher speichern: Open Telekom Cloud als europäische Lösung für regulierte Märkte

Jetzt ansehen

Fazit: BaFin und Cloud – Kein Widerspruch

Die Digitalisierung der Finanzbranche schreitet kontinuierlich voran. Cloud-Technologien spielen dabei eine immer wichtigere Rolle, um IT-Systeme flexibel, skalierbar und zukunftsfähig zu gestalten.

Regulatorische Anforderungen sorgen gleichzeitig dafür, dass Sicherheit, Transparenz und Kontrolle jederzeit gewährleistet bleiben.

Mit klaren Vorgaben auf nationaler und europäischer Ebene entsteht ein Rahmen, der Innovation und Regulierung miteinander verbindet. Werden diese Anforderungen frühzeitig berücksichtigt, kann die Cloud einen wichtigen Beitrag zu einer sicheren und modernen Finanz-IT leisten.

BaFin und Cloud sind daher kein Wiederspruch, sondern können gemeinsam die Grundlage einer zukunftsfähigen digitalen Finanzinfrastruktur bilden.