Der beim Bundesfinanzministerium angesiedelte Fintechrat fordert mit Blick auf die Nutzung der Cloud im Finanzsektor neue Aufsichtsregeln. Im Interview der Börsen-Zeitung erklärt Chris Bartz, der Vorsitzende des Gremiums sowie Chief Executive Officer und Mitgründer von Elinvar, einer digitalen Plattform für Vermögensverwalter und Banken, was aufsichtsrechtlich momentan aus seiner Sicht falsch läuft .- Herr Bartz, alle reden von Cloud Computing, aber in der Praxis tun sich Hürden auf. Was ist da los?Bildlich gesprochen ist es heute so, dass ich mich als Bank oder Vermögensverwalter vor Ort im Rechenzentrum eines Cloud-Anbieters davon überzeugen muss, dass dieses ordnungsgemäß geführt wird. Bei einem Stromanbieter ist das komplett anders. Da muss ich nicht nachprüfen, ob RWE wirklich ein Kraftwerk besitzt. Aber das muss so nicht bleiben, denn Cloud-Dienste kann man sehr schön strukturieren in erstens Infrastruktur, also die Bereitstellung der Ressource, zweitens die Plattform, auf der das Betriebssystem gefahren wird, plus die Middleware und drittens die eigentliche Software-Applikation.- Diese Schichtung bietet den Ansatzpunkt für Verbesserungen?Im Fintechrat sind wir uns einig, dass die eigentliche Cloud-Infrastruktur genauso reguliert werden sollte wie Strom oder andere kritische Infrastrukturen, also branchenübergreifend gleich. Dafür sind die Eckpfeiler schon verankert, beispielsweise der C5-Standard des BSI. Neu ist, die Infrastruktur-Schicht komplett branchenübergreifend gleich zu behandeln: Es soll keine gesetzliche oder durch Prüfungspraxis manifestierte Pflicht zur eigenen Prüfungshandlung durch ein auslagerndes Institut ohne entsprechende Indizien für eine Handlungsnotwendigkeit geben, heißt es in unserem Positionspapier. Das ist ein Kernelement, denn wenn ich einen Cloud-Anbieter nutze, dessen Eignung durch eine branchenübergreifende Behörde verifiziert ist, bedarf es keiner Prüfung mehr auf der Ebene der Infrastruktur. Natürlich ist es sinnvoll, sich bestimmte Prüfungsrechte vorzubehalten, um im Krisenfall reagieren zu können. Aber ohne entsprechende Indizien besteht im Tagesgeschäft eben keine Pflicht mehr, selbst vor Ort zu prüfen. Das wäre ein echter Fortschritt in der Praxis, weil es die Zusammenarbeit vereinfacht und das Ökosystem stärkt.- Darauf aufbauend kämen dann branchenspezifische aufsichtsrechtliche Anforderungen?Wenn es um die branchenspezifische Ausgestaltung von Anwendungen, beispielsweise zum Management von Portfolios oder Kreditprozessen geht, sollte derjenige, der die entsprechende Plattform as a Service (PaaS) oder Software as a Service (SaaS) managt, die entsprechende branchenspezifische Lizenzierung haben. Es ist gerade diese klare Trennung zwischen den eigentlichen Anwendungen und der branchenübergreifend nutzbaren Infrastruktur, die einen echten Wandel darstellt. Für die reine Infrastruktur gelten am Ende die gleichen hohen Standards rund um Sicherheit, Skalierbarkeit oder Verfügbarkeit – unabhängig davon, ob man dort Gesundheits-, Finanz- oder andere kritische Daten speichert, alles kann auf dieser Ebene übergreifend reguliert werden.- Kernelement beim Positionspapier ist die Forderung nach einer KWG-Lizenz für bankspezifische Cloud-Leistungen?Eine Forderung im branchenspezifischen Bereich ist der Gleichklang zwischen technologischer und regulatorischer Verantwortung. Das führt zur Notwendigkeit einer KWG-Lizenz, wenn es gemäß KWG um lizenzpflichtige Dienstleistungen geht, und das zeichnet sich am Markt bereits ab. So hat beispielsweise die Solarisbank eine Banklizenz, Elinvar eine Finanzportfolioverwaltungs-Lizenz. Wer Systeme mit branchenspezifischer Software betreibt, der muss die dafür geeignete Lizenz vorhalten. Und wer nur die Infrastruktur nutzt, der kann sich in unserem Modell darauf verlassen, dass diese geprüft ist.- Was gibt es noch für Mängel beim Cloud Computing in Deutschland?Na ja, es kommt in der derzeitigen Struktur zu Doppelarbeiten und Unsicherheiten. Theoretisch muss jeder beim Rechenzentrum vorbeifahren und dann dort die Frage klären, wer eigentlich als Infrastruktur-Provider dahinter steht, da wir uns immer in einem Ökosystem mit verschiedenen Schichten bewegen. Wenn eine Bank zum Beispiel über ein Fintech Cloud-Dienstleistungen beziehen will, dann ist die Bank verpflichtet zu erfragen, was die grundlegende Infrastruktur ist, und muss diese separat prüfen. Und wenn man als Bank Microsoft schon geprüft hat, aber AWS (Amazon) nicht, dann hat das Fintech, das AWS nutzt, ein Problem. Oder: Fünf Banken nutzen alle den gleichen Cloud-Anbieter, trotzdem muss jeder separat vor Ort prüfen. Man kann zwar Sammelprüfungen machen, das kann aber kartellrechtliche Herausforderungen nach sich ziehen. Im Ergebnis stellen wir fest, dass in Deutschland gegenüber den USA sehr viel mehr Zurückhaltung besteht, Cloud-Services zu nutzen.- Womit es auf die Agenda für den Finanzplatz Deutschland gehört.In der Tat hat der Fintechrat die Aufgabe, genau solche Themen zu adressieren, und wurde dabei durch die neue klare Positionierung seitens des Bundesfinanzministeriums nochmals gestärkt. Im Kontext Cloud ist klar, dass die Unsicherheiten beziehungsweise unterschiedlichen Interpretationen und der damit assoziierte Aufwand unnötige Herausforderungen mit sich bringen. Außerdem bedeutet das heutige System zusätzlichen Aufwand für Cloud-Anbieter und erschwert den Wettbewerb. Hinzu kommen Datenschutzprobleme, weil jeder Kunde, der zur Prüfung vorbeikommt, potenziell Daten von anderen Kunden sehen kann. Von daher die Empfehlung, Infrastruktur branchenübergreifend zu regulieren und zugleich die branchenspezifischen Anforderungen an Plattform- und Software-Anbieter klar zu definieren. Ziel ist es, Innovationen und Leistungsfähigkeit für den Finanzdienstleistungsmarkt in Summe zu fördern und zugleich Risiken zu reduzieren. Auf dieser Basis könnte Deutschland auch für Europa die richtigen Impulse setzen.- Sind Amazon, IBM und Microsoft dann gezwungen, sich KWG-Lizenzen besorgen?Das würde ich nicht erwarten, denn ich vermute, dass sie sich eher auf den Infrastrukturteil konzentrieren. Ich persönlich rechne damit, dass sich sowohl etablierte Finanzdienstleister als auch neue Spezialanbieter entsprechende KWG-Lizenzen besorgen oder diese bereits besitzen. Zugleich können sich auch im Infrastruktur-Bereich auf Basis branchenübergreifend klarer Standards und entsprechender Marktchancen neue Anbieter viel leichter etablieren.—-Das Interview führte Björn Godenrath.