Blogpost

Europäische Souveränität beginnt beim Stack

DORA, EU AI Act und steigende Vendor-Risk-Anforderungen rücken den technologischen Stack europäischer FinTechs in den Fokus institutioneller Prüfungen. Entscheidend wird, ob Infrastruktur-, Daten- und KI-Abhängigkeiten governancefähig, auditierbar und resilient aufgebaut sind.

Emanuel Gedeon
4
10 Minuten Lesezeit
European Sovereignty Starts With the Stack

Über das vergangene Jahrzehnt wurde die europäische FinTech-Diskussion von einer einzigen Frage dominiert: Wie wachsen wir schneller?

Mehr Nutzer. Mehr Produkte. Mehr Märkte. Schnelleres Onboarding. Weniger Friktion. Bessere Apps.

Diese Frage verschwindet nicht. Sie ist jedoch nicht länger die wichtigste Frage für die europäische Finanzmarktinfrastruktur. Eine andere Frage tritt nun in den Vordergrund und sie wird nicht von Foundern gestellt, sondern von Aufsichtsbehörden, Regierungen und institutionellen Partnern, die darüber entscheiden, welche FinTechs systemisch eingebunden werden und welche dauerhaft abhängig bleiben.

Die entscheidende Frage ist, wer die Infrastruktur kontrolliert, auf der europäische Finanzdienstleistungen tatsächlich laufen.

Die Infrastrukturebene, über die viele FinTechs nie nachgedacht haben

Jedes FinTech-Produkt basiert auf einem Stack. Ein Teil dieses Stacks ist sichtbar, z.B. das Bankkonto, der Zahlungsdienstleister, der lizenzierte Partner. Der Großteil ist es nicht.

Unterhalb der Produktschicht läuft der europäische Finanzsektor zunehmend auf Cloud-Infrastrukturen, die drei amerikanischen Unternehmen gehören. KI-Modelle, die Kreditentscheidungen, Fraud Detection, AML-Monitoring und Kundenkommunikation steuern, werden überwiegend von nicht-europäischen Unternehmen trainiert, betrieben und aktualisiert. Kundendaten wie Transaktionshistorien, Verhaltensprofile, finanzielle Gesundheitsdaten, fließen durch Systeme, die Rechtsrahmen unterliegen, die nicht immer mit europäischen Datenschutzanforderungen übereinstimmen. Operative Abhängigkeiten von nicht-europäischen Orchestrierungs-Layern, Identity Providern und Compliance-Tools haben sich über Jahre hinweg nahezu unbemerkt aufgebaut.

Nichts davon war eine strategische Entscheidung. Es war das Ergebnis tausender einzelner Beschaffungsentscheidungen, die auf Kosten, Geschwindigkeit und Funktionalität basierten, nicht auf strategischer Souveränität.

Die Aufarbeitung dieser Entscheidungen beginnt jetzt. Und sie kommt nicht in Form eines einzelnen regulatorischen Ereignisses, sondern über eine Serie institutioneller Friktionsmomente, die die Kosten zuvor unsichtbarer Abhängigkeiten schrittweise erhöhen.

Warum das ein FinTech-Problem ist – und nicht nur ein geopolitisches

Europäische Finanzsouveränität klingt zunächst wie ein Thema für Ministerien und Zentralbanken. Zunehmend wird sie jedoch zu einem Thema für FinTech-CEOs, weil jene Unternehmen, die in den kommenden fünf Jahren institutionelle Partnerschaften skalieren wollen, nachweisen müssen, dass ihre Operating Structures nicht auf Abhängigkeiten basieren, die europäische Institutionen inzwischen regulatorisch hinterfragen müssen.

Das regulatorische Signal ist längst nicht mehr subtil. DORA, das seit Januar 2025 gilt, verpflichtet Finanzunternehmen dazu:

  • sämtliche wesentlichen ICT-Drittparteienabhängigkeiten zu kartieren,
  • Konzentrationsrisiken zu bewerten,
  • Mindestvertragsstandards durchzusetzen,
  • und gegenüber Aufsichtsbehörden nachzuweisen, dass ihre Technologie-Supply-Chain steuerbar und resilient ist.

Der European Financial Data Space schreitet voran. Der EU AI Act ist in Kraft. Die Anforderungen an digitale operationelle Resilienz werden umgesetzt.

Die Richtung der Regulierung ist konsistent und eindeutig: Europäische Finanzinstitutionen müssen ihre operativen Abhängigkeiten von nicht-europäischer Infrastruktur verstehen, steuern und – wo erforderlich – reduzieren. Und diese Anforderungen werden direkt an FinTechs und Infrastrukturanbieter in ihrer Lieferkette weitergegeben.

Ein FinTech, das die Frage „Wohin fließen unsere Daten und wer kontrolliert sie?“ nicht beantworten kann, ist kein tragfähiger langfristiger Partner für eine europäische Bank unter DORA-Anforderungen. Das ist keine regulatorische Abstraktion. Es ist eine kommerzielle Realität, die bereits heute in Vendor-Due-Diligence-Prozessen sichtbar wird.

Die vier Infrastrukturebenen, auf denen Souveränität entscheidend wird

1. Wer kontrolliert die Rails?

Die Zahlungsinfrastruktur Europas konzentriert sich zunehmend in den Händen weniger nicht-europäischer Netzwerke. Visa, Mastercard und eine kleine Zahl amerikanischer Processing-Plattformen verarbeiten den überwiegenden Teil des europäischen Kartenzahlungsvolumens. Die Instant-Payment-Infrastruktur über SEPA ist zwar europäisch konzipiert. Die darüberliegenden Fraud-Detection-Layer, Datenanalysen und Zusatzservices jedoch häufig nicht.

Die Wand: Ein Berliner Zahlungsinfrastrukturunternehmen erreicht eine fortgeschrittene Phase der Vertragsverhandlungen mit einer großen deutschen Sparkasse. Das Vendor-Risk-Komitee der Bank verlangt eine vollständige Kartierung des operativen Stacks. Dabei zeigt sich, dass Transaction Routing, Fraud Scoring und Settlement Confirmation vollständig über einen einzelnen amerikanischen Processor laufen, ohne vertragliche Data-Residency-Garantien und ohne DORA-konforme Exit-Arrangements.

Die Partnerschaft wird auf Eis gelegt. Sechs Monate kommerzieller Fortschritt scheitern an einer Abhängigkeitsfrage, die vor diesem Meeting nie gestellt wurde.

Die European Payments Initiative und der digitale Euro sind im Kern Souveränitätsprojekte, d.h. Versuche sicherzustellen, dass die Infrastruktur, über die europäische Verbraucher und Unternehmen Transaktionen durchführen, innerhalb Europas kontrolliert und gesteuert wird.

Für FinTechs, die auf bestehenden Rails aufbauen, stellt sich daher die entscheidende Frage, ob das eigene Operating Model für eine Welt ausgelegt ist, in der europäische Alternativen institutionell bevorzugt oder regulatorisch verlangt werden.

 

2. Wer kontrolliert die Kundendaten?

Finanzdaten sind die wirtschaftlich wertvollste Kategorie personenbezogener Daten überhaupt. Ein vollständiges Bild über Einkommen, Ausgaben, Sparverhalten, Kreditnutzung und Investitionsverhalten ist prognosestärker – und kommerziell verwertbarer – als nahezu jede andere Datenkategorie.

Das Open-Banking-Framework unter PSD2 war teilweise ein Souveränitätsprojekt: der Versuch sicherzustellen, dass europäische Verbraucher ihre Finanzdaten kontrollieren und europäische Unternehmen darauf aufbauen können. Der European Financial Data Space erweitert diese Logik nun auf institutionelle und geschäftliche Finanzdaten.

Die Wand: Eine FinTech Datenplattform erreicht die finale Phase eines Partnerschaftsprozesses mit einer nordischen Versicherungsgruppe, als das Data Governance Team der Versicherung eine zentrale Frage stellt: Unter welchem Rechtsrahmen werden Kundendaten verarbeitet und wo werden sie gespeichert?

Die Antwort – US-Cloud-Infrastruktur, Standard Contractual Clauses, keine explizite Data-Residency-Garantie – löst eine interne Eskalation aus. Die Rechtsabteilung kommt zu dem Ergebnis, dass die Struktur vor einer Freigabe neu verhandelt werden muss.

Die kommerzielle Timeline verschiebt sich um vier Monate. Der CEO des FinTechs erkennt erstmals, dass eine Procurement-Entscheidung von vor drei Jahren inzwischen zu einer kommerziellen Belastung geworden ist.

Die tatsächliche Kontrolle über Kundendaten, d.h. wo sie gespeichert, verarbeitet und für KI-Modelle genutzt werden, bleibt umkämpft. Viele europäische FinTechs analysieren europäische Finanzdaten über Infrastruktur- und KI-Layer, die nicht europäisch sind. Die kommerziellen Konsequenzen dieser Architektur werden mit zunehmender regulatorischer Verdichtung sichtbar.

 

3. Wer kontrolliert die KI-Layer?

Dies ist die Abhängigkeit, deren Tragweite viele FinTechs noch nicht vollständig verstanden haben. KI ist im europäischen Finanzsektor des Jahres 2026 kein Feature mehr. Sie ist operative Infrastruktur. Kreditentscheidungen. Fraud Detection. Transaktionsmonitoring. Kundenkommunikation. Risk Scoring. All diese Funktionen werden zunehmend KI-vermittelt. Und die Modelle, die diese Funktionen ausführen, werden überwiegend von nicht-europäischen Unternehmen trainiert, betrieben und aktualisiert – unter nicht-europäischen Rechtsrahmen.

Der EU AI Act schafft verpflichtende Governance-Anforderungen für Hochrisiko-KI im Finanzsektor. DORA etabliert Anforderungen an das Management von Drittparteirisiken für ICT-Systeme, einschließlich KI-Infrastruktur. BaFin verlangt für KI im regulierten Umfeld eine managementgenehmigte KI-Strategie mit klar definierten Verantwortlichkeiten.

Alle diese Frameworks weisen in dieselbe Richtung: Europäische Finanzinstitutionen müssen ihre KI-Abhängigkeiten erklären, auditieren und, falls erforderlich, ersetzen können.

Ein FinTech, dessen operativer KI-Kern weder europäische Data Residency, noch Auditierbarkeit oder Substituierbarkeit ermöglicht, ist ein FinTech, dessen institutionelle Skalierbarkeit strukturell begrenzt ist. Ob es das heute bereits verstanden hat oder nicht.

Die Wand: Ein Kreditinfrastrukturunternehmen steht drei Wochen vor Vertragsabschluss mit einer deutschen Regionalbank. Das neu etablierte AI Governance Committee der Bank fordert:

  • Dokumentation der Trainingsdaten,
  • Explainability-Framework,
  • Update-Governance,
  • sowie einen Substitutionsplan für den Fall der Nichtverfügbarkeit des Modells.

Das Unternehmen nutzt ein amerikanisches Drittanbieter-KI-Modell für sein zentrales Credit-Scoring. Keine der angefragten Unterlagen existiert. Man wusste nicht, dass sie benötigt werden würden.

Der Vertrag wird nicht abgeschlossen. Die folgenden zwei Monate verbringt das Unternehmen damit, seine KI-Governance-Dokumentation vollständig neu aufzubauen, für eine Abhängigkeit, die gewählt wurde, weil das Modell technisch überlegen war, nicht weil es institutionell steuerbar war.

 

4. Wer kontrolliert operative Abhängigkeiten?

Cloud-Konzentration ist das meistdiskutierte Souveränitätsrisiko europäischer Finanzmarktinfrastruktur. Aus gutem Grund. Die operative Abhängigkeit europäischer Finanzdienstleistungen von AWS, Azure und Google Cloud ist keine bloße kommerzielle Bequemlichkeit. Sie ist ein systemisches Konzentrationsrisiko, das Aufsichtsbehörden ausdrücklich benannt haben und inzwischen aktiv adressieren.

DORAs Konzentrationsrisiko-Regelungen verpflichten Finanzunternehmen zu bewerten, ob die Abhängigkeit von einem einzelnen ICT-Dienstleister eine Verwundbarkeit schafft, die Auswirkungen auf die Finanzstabilität haben könnte.

Die Frage lautet nicht, ob ein Unternehmen Cloud-Infrastruktur nutzt. Das tut inzwischen jedes Unternehmen. Die Frage lautet: Würde das Operating Model weiter funktionieren, wenn ein bestimmter Provider nicht verfügbar wäre? Kompromittiert würde? Oder ein geopolitisches Ereignis seine europäische Serviceverfügbarkeit beeinträchtigen würde?

Für FinTechs, die vollständig auf einem einzelnen Cloud-Provider laufen, ohne Portability-Architektur, ohne Exit-Plan und ohne vertragliche Resilience-Regelungen, bleibt diese Frage aktuell unbeantwortet. Und institutionelle Partner verlangen zunehmend Antworten, bevor Partnerschaften überhaupt abgeschlossen werden.

Der Souveränitätsaufschlag wird real

Über Jahre hinweg zahlten europäische Infrastrukturunternehmen, die souveränitätsbewusste Entscheidungen trafen – z.B. europäische Cloudanbieter, DSGVO-konforme Datenarchitekturen, auditierbare KI, portable Operating Models – häufig einen Kosten- oder Capability-Aufschlag, ohne daraus einen sichtbaren kommerziellen Vorteil zu ziehen.

Das verändert sich gerade.

Europäische Banken, Asset Manager und Versicherungen führen inzwischen Vendor Due Diligence durch, die explizit souveränitätsbezogene Fragen stellt. Öffentliche Finanzinstitutionen treffen Anbieterentscheidungen auf Basis von Data Residency und operativer Unabhängigkeit. Regulatorische Frameworks verschärfen sich kontinuierlich und machen nicht-europäische Abhängigkeiten teurer und schwieriger in einer aufsichtsrechtlichen Diskussion zu verteidigen.

Der frühere Souveränitätsaufschlag wird zunehmend zum Souveränitätsabschlag für Unternehmen, die diese Themen ignoriert haben – und zu einem nachhaltigen Wettbewerbsvorteil für jene, die dies nicht getan haben.

Was das für die Operating Structure von FinTechs bedeutet

Die Verbindung zur Operating Structure ist unmittelbar und praktisch.

Ein FinTech, das in den kommenden drei bis fünf Jahren institutionelle Partnerschaften in Europa skalieren möchte, muss Fragen beantworten können, die vor fünf Jahren kaum jemand gestellt hätte:

  • Wo werden Kundendaten gespeichert und verarbeitet?
  • Welche KI-Systeme treffen operativ relevante Entscheidungen – und sind sie auditierbar?
  • Welche wesentlichen ICT-Drittparteienabhängigkeiten bestehen?
  • Wie hoch ist das Konzentrationsrisiko?
  • Ist das Operating Model resilient gegenüber dem Ausfall eines einzelnen Providers?
  • Welche Exit-Arrangements existieren für wesentliche Outsourcing-Beziehungen?

Das sind keine Compliance-Fragen. Das sind Operating-Model-Fragen. Und die Antworten finden sich nicht in einem Legal Review, sondern darin:

  • wie das Unternehmen gebaut wurde,
  • wie seine Infrastruktur architektonisch aufgebaut ist,
  • und ob seine Governance-Struktur mit genau diesen Fragen im Blick entwickelt wurde.

Die Unternehmen, die schnell auf der leistungsfähigsten verfügbaren Infrastruktur aufgebaut haben – unabhängig von Herkunft, Data-Governance-Auswirkungen oder operativer Portabilität – haben etwas Reales geschaffen. Gleichzeitig haben sie strukturelle Abhängigkeiten aufgebaut, die adressiert werden müssen, bevor institutionelle Skalierung möglich wird.

Je länger diese Abhängigkeiten ungeprüft bleiben, desto teurer wird die spätere Aufarbeitung, in Zeit, kommerzieller Dynamik und Partnerschaften, die nicht zustande kommen, weil die Dependency Map letztlich Antworten liefert, die institutionelle Partner nicht akzeptieren können.

Die Richtung steht fest. Die einzige Frage ist das Timing.

Innovation wird weitergehen. Wachstum wird weitergehen. Die Finanzprodukte, die europäische Verbraucher und Unternehmen benötigen, werden sich weiterentwickeln. Aber die Richtung europäischer Finanzmarktinfrastruktur ist nicht länger unklar.

Die regulatorischen Frameworks. Die institutionellen Procurement-Anforderungen. Die aufsichtsrechtlichen Erwartungen. Die geopolitischen Spannungen. Sie alle weisen in dieselbe Richtung.

Europäische Souveränität über:

  • die Rails,
  • die Daten,
  • die KI,
  • und die operativen Abhängigkeiten des Finanzsystems

wird zu einer strukturellen Anforderung, nicht zu einer politischen Präferenz.

Die Unternehmen, die europäische Finanzmarktinfrastruktur im kommenden Jahrzehnt prägen werden, sind nicht einfach die innovativsten. Es sind die institutionell glaubwürdigsten, die Unternehmen, deren Operating Structures:

  • Dependency Audits,
  • Vendor-Risk-Komitees,
  • AI Governance Reviews,
  • und aufsichtsrechtlichen Prüfungen

standhalten.

Diese Prüfung wird für jedes Unternehmen in diesem Markt kommen. Die einzige Variable ist, ob sie als geplantes Review erscheint, oder als Grund, weshalb eine Partnerschaft scheitert.

Der Stack, den ein Unternehmen 2021 gewählt hat, wird 2026 bewertet. Der Stack, der heute gewählt wird, wird 2029 bewertet werden. Europäische Souveränität beginnt mit dieser Entscheidung. Und sie beginnt jetzt.

Share: LinkedIn Xing X Facebook

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Video
2 Minuten Lesezeit

„Weniger Komplexität, mehr Steuerungsfähigkeit“ – was hinter der Plattform msg.ORRP steckt

msg for banking
Spotlight
3 Minuten Lesezeit

Aktuelles aus dem Aufsichtsrecht & Meldewesen 04/2026

msg for banking
Blogpost
5 Minuten Lesezeit

The Art of Modern Banking: Warum Kreativität die Zukunft des Bankings prägt