EU-Souveränität: Kommission legt Technologiepaket am 3. Juni vor

Deutsche Banken müssen sich 2026 gleich mehreren neuen Gesetzesrahmen stellen – vom Digital Operational Resilience Act (DORA) bis zum EU AI Act. Das Prüfjahr wird für viele Institute zur Bewährungsprobe.

Technologische Souveränität als neues Leitbild

Die EU-Kommission will am 3. Juni 2026 ein „Technologiesouveränitätspaket" vorlegen. Es soll ein „Cloud- und KI-Entwicklungsgesetz" sowie einen aktualisierten „Chips Act" umfassen. Ziel sind strengere Kriterien für Cloud-Dienste in sensiblen Bereichen wie Banken, Energie und Gesundheitswesen. Deutsche Anbieter könnten bei strategischen Ausschreibungen bevorzugt werden.

Anzeige: Wer die Auswirkungen des EU-Technologiesouveränitätspakets auf seine Bank einordnen will, findet in diesem kostenlosen Report die wichtigsten Strategie-Hebel – von Cloud-Repatriierung bis GwG-Revision. Jetzt kostenlosen Compliance-Report anfordern

Der Vorstoß kommt nicht von ungefähr. Eine Umfrage vom 1. Juni zeigt: 69 Prozent der befragten Unternehmen setzen primär auf US-amerikanische Cloud- und KI-Dienste. Rund 70 Prozent des europäischen Cloud-Marktes werden von US-Anbietern kontrolliert.

Die Reaktion der deutschen Kreditwirtschaft ist deutlich. Statt der bisherigen „Cloud first"-Strategie setzen viele Institute nun auf „Cloud controlled"-Modelle. Einige Banken haben mit der „Cloud-Repatriierung" begonnen – sie holen kritische Arbeitslasten zurück in kontrollierte oder hybride Infrastrukturen. Technische Lösungen wie Kubernetes dienen dabei als Exit-Strategie, um die Abhängigkeit von einzelnen Anbietern zu reduzieren.

Ein Beispiel: Eine deutsche Genossenschaftsbank mit einer Bilanzsumme von 51,8 Milliarden Euro implementierte innerhalb von acht Wochen eine BaFin-konforme Plattform. So stellte sie sicher, dass die neuen Resilienzstandards erfüllt werden.

Verschärfte Gangart bei Geldwäschebekämpfung

Die BaFin hat in ihrem Risikobericht 2026 unzureichende Präventionsmaßnahmen als erhebliches Risiko für den Finanzmarkt eingestuft. Besonders im Fokus: die „Know Your Customer"-Prozesse (KYC). Diese gelten nicht mehr als einmaliger Onboarding-Schritt, sondern als kontinuierlicher Kernprozess der Geldwäscheprävention. Regelmäßige Updates und Überwachung sind nach dem Geldwäschegesetz (GwG) Pflicht.

Wie drastisch die Folgen von Compliance-Verstößen sein können, zeigte sich jüngst in der Schweiz. Am 27. Februar 2026 entzog die Finanzmarktaufsicht FINMA der MBaer Merchant Bank AG die Lizenz und ordnete die Liquidation an. Die Behörde monierte schwerwiegende Mängel bei der Sorgfaltspflicht – und dass die Bank Kunden half, Vermögenssperren zu umgehen.

Die Schweizer Regulierung wird in der zweiten Jahreshälfte 2026 noch strenger. Eine GwG-Revision tritt in Kraft, die organisatorische Pflichten zur Verhinderung von Sanktionsverstößen verankert. Banken müssen dann robuste Risikoanalysen und IT-gestützte Screening-Prozesse vorweisen.

Einheitliche Finanzaufsicht rückt näher

Auch die europäische Aufsichtslandschaft steht vor einem Umbau. Am 29. Mai 2026 veröffentlichten die sechs größten EU-Volkswirtschaften – Deutschland, Frankreich, Italien, Spanien, Polen und die Niederlande – ein gemeinsames Positionspapier. Sie schlagen eine schrittweise Übertragung der Aufsicht über bedeutende Marktinfrastrukturen und Krypto-Dienstleister an die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) vor.

Der Bundesverband deutscher Banken (BdB) begrüßte die Initiative. Die EU-Finanzminister wollen das Thema bei ihrem nächsten Treffen Mitte Juni 2026 weiter vertiefen.

Anzeige: Banken mit unzureichenden KYC-Prozessen riskieren ab {DYNAMICYEAR} BaFin-Rügen und Lizenzentzug. Dieser Leitfaden liefert eine Muster-Risikoanalyse und konkrete Schritte zur kontinuierlichen KYC-Überwachung gemäß GwG-Revision. KYC-Risikoanalyse jetzt sichern

KI und Sicherheit: Integration als Herausforderung

Mit dem EU AI Act kommt 2026 eine weitere regulatorische Ebene hinzu. Risikomanager arbeiten daran, die unterschiedlichen Anforderungen in einheitliche Rahmenwerke zu integrieren. Während NIS-2 und DORA verbesserte Erkennungs- und Reaktionsfähigkeiten verlangen, schreiben sie keine konkreten Betriebsmodelle vor. Die Unternehmen entscheiden je nach Größe und Risikoprofil zwischen internen, externen oder hybriden Security Operations Centern (SOC).

Die Investitionsbereitschaft der Banken bleibt trotz der Belastungen hoch. Finanz Informatik, der IT-Dienstleister der Sparkassen-Finanzgruppe, meldete für 2025 einen Umsatz von 2,69 Milliarden Euro – ein Plus gegenüber 2,57 Milliarden Euro im Vorjahr. Das Unternehmen hat KI-Assistenten in die Finanzberatung integriert und stellt weiterhin mehr als 400 Millionen Euro für IT-Entwicklung bereit.

de | wirtschaft | 69472771 |