← Journal

Woche 1 / 52 8 Min. Lesezeit

Was das DORA-Oversight über Hyperscaler wirklich verändert

Kernfrage

Wenn AWS, Microsoft und Google jetzt unter direkter EU-Aufsicht stehen — was heißt das für eine Bank konkret?

Woche 1. Ich beginne bewusst mit der Neuerung, die DORA von einer weiteren IT-Richtlinie unterscheidet: dem Oversight kritischer IKT-Drittdienstleister. Seit November 2025 gibt es eine erste Liste mit 19 Anbietern — darunter alle großen Hyperscaler. Doch was heißt „unter EU-Aufsicht” eigentlich, wenn der Aufseher keine Lizenz erteilt und keine entziehen kann? Es lohnt sich, das einmal mechanisch durchzugehen.

Wie ein Anbieter „kritisch” wird

Nicht jeder Cloud-Dienstleister fällt unter das Oversight. Ob ein Anbieter als kritisch (CTPP) eingestuft wird, entscheidet sich an vier Kriterien, die DORA in Artikel 31 Abs. 2 festlegt:

  • Systemische Auswirkung — was ein großflächiger Ausfall des Anbieters für Stabilität und Kontinuität der Finanzdienstleistungen bedeuten würde, gemessen an Zahl und Aktiva der betroffenen Institute.
  • Systemische Bedeutung der Abhängigen — wie viele global oder anderweitig systemrelevante Institute (G-SRI/A-SRI) am Anbieter hängen und wie stark sie untereinander verflochten sind.
  • Kritische Funktionen — inwieweit Banken auf den Dienst ihre kritischen oder wichtigen Funktionen stützen, auch mittelbar über Unterauftragsketten.
  • Substituierbarkeit — wie schwer der Anbieter zu ersetzen ist: wenige Alternativen, hohe Marktanteile, proprietäre Technik, prohibitive Migrationskosten und -risiken.

Diese Kriterien lesen sich wie eine Beschreibung der Hyperscaler. Und weil viele von ihnen außerhalb der EU sitzen, schafft Art. 31 Abs. 12 einen praktischen Hebel: Ein als kritisch eingestufter Anbieter aus einem Drittland muss binnen zwölf Monaten eine Tochtergesellschaft in der Union gründen, damit die Aufsicht überhaupt greifen kann.

Der Lead Overseer und seine Werkzeuge

Für jeden kritischen Anbieter benennen die europäischen Aufsichtsbehörden eine federführende Überwachungsbehörde — den Lead Overseer. Das ist je nach Anbieter die EBA, die ESMA oder die EIOPA; keine neue Behörde, sondern eine der drei ESAs in koordinierender Rolle.

Welche der drei es wird, hängt vom Nutzerkreis ab: Federführend ist die ESA, deren beaufsichtigte Institute zusammen den größten Anteil an der Bilanzsumme aller Finanzunternehmen halten, die den Anbieter nutzen (Art. 31 Abs. 1 lit. b). Ein Beispiel macht das greifbar. Läuft ein Cloud-Anbieter ganz überwiegend bei Banken, führt die EBA die Aufsicht; wird er vor allem von Versicherern genutzt, die EIOPA; dominieren Wertpapierfirmen, Fondsgesellschaften oder Marktinfrastrukturen den Nutzerkreis, die ESMA. Bei den großen Hyperscalern, deren Finanzsektor-Kundschaft stark bankgeprägt ist, deutet die Logik auf die EBA — die konkrete Zuweisung je Anbieter bleibt aber Sache des Überwachungsforums.

Ihr Werkzeugkasten steht in Artikel 35 Abs. 1: Informationen und Unterlagen anfordern, Untersuchungen und Vor-Ort-Inspektionen durchführen und Empfehlungen aussprechen — zu IKT-Sicherheits- und Qualitätsanforderungen, zu Vertragskonditionen, zu geplanten Unterauftragsvergaben und sogar die Empfehlung, auf weitere Unterauftragsvergaben zu verzichten, wenn kumulativ ein Drittland-Subunternehmer, eine kritische Funktion und ein ernstes Risiko für die Finanzstabilität zusammenkommen.

Gesteuert wird das nicht bilateral, sondern kollektiv — auf drei Ebenen. Das Überwachungsforum (Art. 32), ein Unterausschuss des Gemeinsamen Ausschusses der ESAs, sorgt für die sektorübergreifende Steuerung: jährliche Gesamtbewertung, Benchmarks, Konsultation vor Empfehlungen; ihm gehören die drei ESAs, die nationalen Aufseher und Beobachter von Kommission, EZB, ESRB und ENISA an. Im gemeinsamen Überwachungsnetzwerk (Joint Oversight Network, JON) stimmen sich die federführenden Behörden operativ ab, um über alle kritischen Anbieter hinweg einen kohärenten Aufsichtsansatz zu sichern (Art. 33–34). Und die eigentliche Prüfarbeit leisten die gemeinsamen Prüfteams (Joint Examination Teams, JET), die je Anbieter gebildet werden (Art. 40).

Und wenn ein Anbieter nicht mitzieht? Dann greift Art. 35 Abs. 6: ein Zwangsgeld, täglich verhängt, für bis zu sechs Monate, in Höhe von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes des Anbieters im Vorjahr. Bei einem Hyperscaler ist das keine symbolische Summe.

Oversight ≠ Lizenzierung

Und doch — das ist der Kern — ist all das keine Lizenzierung. Die Aufsichtsbehörden können den Hyperscalern nichts verbieten und sie nicht zulassen; sie beaufsichtigen sie. Die Vertragsbeziehung bleibt zwischen Bank und Anbieter. Die regulatorische Verantwortung wandert damit nicht weg vom Institut — sie wird nur von einer zusätzlichen Ebene flankiert. Das eigene Informationsregister und die eigenen Exit-Szenarien verlieren dadurch nicht an Bedeutung; im Gegenteil, sie sind die Grundlage, auf der das Oversight überhaupt aufsetzt.

Wo die eigentliche Macht sitzt

Damit zur entscheidenden Frage: Wenn der Lead Overseer einem AWS oder Microsoft etwas nur empfehlen kann — worin besteht dann seine Macht?

Das Zwangsgeld ist die eine Antwort. Die andere, wirksamere, liegt eine Ebene tiefer: DORA bindet nicht in erster Linie die Hyperscaler, sondern die Banken. Für einen außereuropäischen Anbieter mag eine Empfehlung unverbindlich sein — für das regulierte Institut in der EU ist die Einhaltung der DORA-Vertragsanforderungen es nicht. Wer mit einem Hyperscaler Geschäft machen will, muss ihn vertraglich auf DORA-Kurs bringen. Die Aufsicht wirkt also mittelbar, aber hart: über die Pflichten der Kunden, nicht über einen Durchgriff auf den Anbieter.

Genau hier verstärkt sich der Druck derzeit selbst. Europäische Institute bündeln ihre Nachfragemacht gegenüber den dominierenden US-Anbietern und suchen — oder fördern aktiv — europäische Alternativen. Das Oversight macht das Konzentrationsrisiko sichtbar; der Markt zieht daraus seine eigenen Konsequenzen. So schlägt eine IKT-Aufsichtsfrage in eine Souveränitätsfrage um — und landet direkt bei den souveränen Cloud-Initiativen.

Die Grenzen

Man sollte die Reichweite trotzdem nicht überschätzen. Der Lead Overseer soll Doppelarbeit mit der NIS2-Richtlinie vermeiden (Art. 35 Abs. 2) — die Melde- und Aufsichtswelten überlappen, aufgelöst sind sie nicht. Die Tochtergesellschaft-Pflicht schafft einen Anknüpfungspunkt, doch ob sie außereuropäischen Konzernen wirklich juristischen Griff verschafft, muss sich erst zeigen. Und zwischen „kritisch benannt” und „tatsächlich steuerbar” liegt eine Lücke, die kein Rechtstext allein schließt.

Offene Fragen

  • Wie viel faktische Steuerungswirkung entfaltet ein Oversight, dessen schärfstes direktes Schwert ein Zwangsgeld ist — und dessen eigentliche Kraft über die Kundenpflichten läuft?
  • Liefert die zweite Einreichung der Informationsregister 2026 die Datenqualität, die belastbare Substituierbarkeits- und Exit-Analysen brauchen?
  • Verschafft die Unions-Tochter eines Hyperscalers der Aufsicht echten jurisdiktionellen Zugriff — oder bleibt es bei einem formalen Anknüpfungspunkt?

Diese Fragen nehme ich mit ins Dossier DORA.

Quellen

  1. EUR-Lex — DORA (VO (EU) 2022/2554), Kap. V, Art. 31–44
  2. EBA — Oversight of critical ICT third-party providers
  3. BaFin — DORA