Compliance 13. Februar 2026 · Milan Cák

Self-Host vs. Cloud: Welche Lösung für Bank oder Gesundheitswesen?

Regulatorische Anforderungen, TCO-Vergleich, Data Residency und hybride Szenarien für Banken, Gesundheitswesen und Finanzsektor. Wie 2026 entscheiden.

Die Debatte „Cloud oder On-Premise” läuft seit 2010. In gewöhnlichen Branchen hat die Cloud sie endgültig gewonnen – 2026 würden Sie heute kaum eine Marketingagentur oder einen E-Shop finden, der eigene Server betreibt. In regulierten Branchen (Banken, Versicherungen, Krankenhäuser, öffentliche Beschaffung) ist die Frage jedoch immer noch lebendig und hat ihre guten Gründe. In diesem Artikel gehen wir den aktuellen Stand der Regulierung durch, machen einen TCO-Vergleich und zeigen, wann sich Self-Host wirklich lohnt, wann Cloud und wann Hybrid.

Regulatorischer Kontext — DORA, NIS2, DSGVO und sektorale Regeln

Das Jahr 2026 brachte in den europäischen Raum eine Konsolidierung der Regulierung. Banken und Versicherungen regiert DORA (Digital Operational Resilience Act), kritische Infrastruktur NIS2, der gesamten EU das Ökosystem DSGVO und AI Act. Für das Gesundheitswesen kamen lokale Regeln des Gesundheitsministeriums und sektorale Leitlinien der Zentralbank für Fintech hinzu.

DORA seit Januar 2025 verlangt von Finanzinstituten volle Kontrolle über die ICT-Lieferkette. Jeder Cloud-Anbieter, der „wichtige Funktionen” verarbeitet, muss einen expliziten Vertrag mit Rights-to-Audit, Plan der Exit-Strategie und nachgewiesener Resilienz gegenüber Ausfällen haben. Die Zentralbank prüft regelmäßig, ob die Bank in Echtzeit nachweisen kann, wo ihre Daten sind, wer Zugriff hatte und wie ein 48-stündiger Anbieterausfall ausgehen würde.

NIS2 seit Oktober 2024 erweitert die Pflichten auch auf größere Gesundheitseinrichtungen, Wasserwerke, Energie und öffentliche Verwaltung. Schlüssel ist 24-Stunden Incident Response, 72-Stunden Meldung und verpflichtende MFA für Administratorkonten.

DSGVO löst den Schutz personenbezogener Daten. Für Gesundheitsdaten (Art. 9) und Biometrie gelten strengere Regeln, einschließlich der Pflicht zur DPIA (Data Protection Impact Assessment) vor der Bereitstellung.

Tipp: Bevor Sie sich zwischen Cloud und Self-Host entscheiden, fordern Sie von Ihrer Compliance-Abteilung oder Ihrem Anwalt eine schriftliche Liste der regulatorischen Anforderungen, die Ihre IT-Lösung erfüllen muss. Ohne diese Liste entscheiden Sie aus dem Bauchgefühl, nicht auf Faktenbasis.

Cloud — was es im regulierten Umfeld wirklich bedeutet

Cloud bedeutet in der Alltagssprache „irgendwo im Internet”. In der regulierten Welt ist es feiner. Wir unterscheiden vier Varianten:

Public Cloud – AWS, Azure, Google Cloud. Ihre Anwendung läuft neben Tausenden anderen. Für regulierte Branchen nur bei EU-Regionen und bei Erfüllung aller SCC (Standard Contractual Clauses), CLOUD-Act-Lösungen und idealerweise über „Sovereign Cloud”-Varianten (Azure EU Data Boundary, AWS European Sovereign Cloud) akzeptabel.

Private Cloud – dedizierte Infrastruktur beim Cloud-Anbieter, aber nur für Sie. Teurer, aber volle Kontrolle über Netzwerksegmentierung. Viel leichter vor dem Regulator zu verteidigen.

Sovereign Cloud – Cloud unter EU-Jurisdiktion, ohne Möglichkeit des Zugriffs ausländischer Behörden (CLOUD Act immune). Verfügbar z. B. über DATA CLOUD von lokalen Telekoms oder Cloud4com.

SaaS auf Anwendungsebene – Modulario, Salesforce Financial Cloud, Epic (Gesundheitswesen). Der Anbieter löst Infra und Anwendung. Am einfachsten zu adaptieren, erfordert aber sorgfältige Vendor Due Diligence.

Für Bank und Gesundheitswesen ist 2026 Public Cloud zulässig – aber nur über Sovereign- oder europäische regionale Variante mit klarer DSGVO-SCC. Große Banken haben heute Teile der Infrastruktur in Azure EU, aber nie in der USA-Region.

Self-Host — Kontrolle gegen Komplexität

Self-Host (On-Premise) bedeutet, dass Sie die Infrastruktur selbst betreiben – Ihre Server, Ihr Datenspeicher, Ihr Team, Ihr Risiko. 2026 ist Self-Host weiterhin relevant für drei Szenarien:

Strikte sektorale Vorschriften. Z. B. ausgewählte militärische oder strategisch wichtige Institutionen, wo der Regulator explizit Air-Gapped Deployment verlangt.
Riesige Datenmengen. Wenn Sie täglich 50 TB Logs generieren, ruiniert Sie die Cloud finanziell; eigenes SAN/NAS macht ökonomisch Sinn.
Spezialisierte Legacy-Systeme. Bestehende Mainframe-Core-Bankings, die in der Cloud nicht angeboten werden und deren Migration Hunderte Millionen kosten würde.

Außerhalb dieser drei Szenarien ist Self-Host 2026 finanziell und operativ schwer zu verteidigen. Gründe:

Chronischer Mangel an SRE und Sicherheitsspezialisten. Senior Sysadmin mit Zertifikaten und 5-jähriger Praxis kostet ca. 4.500 Euro monatlich, davon gibt es wenige. Cloud-Anbieter haben Tausende.
24/7 Betrieb. Bankanwendung muss 99,99 % der Zeit laufen. Das mit eigenem Team einzuhalten bedeutet mindestens 4 Personen in Rotation – jährlich 200.000 Euro an Löhnen.
Patching und Zero-Day-Patches. 2025 wurden 45.000 CVEs herausgegeben. Reaktionszeit bei Self-Host sind Tage, bei einem guten Cloud-Anbieter Stunden.

Tipp: Self-Host, der „billig erscheint”, verbirgt meist drei Posten – Kühlung, redundante Verbindung und Sicherheitsspezialisten in 24/7-Rotation. Wenn Ihr TCO-Modell diese drei Posten nicht enthält, ist der Vergleich mit der Cloud nicht fair.

TCO-Vergleich — reale Zahlen aus 2025

Wir haben ein 5-Jahres-TCO-Modell für eine mittelgroße Regionalbank erstellt (Kapazität 50.000 Klienten, 250 interne Benutzer, 1 TB Daten monatlich, Anforderung 99,99 % Uptime).

Szenario A — Self-Host On-Premise

Posten	1. Jahr	Folgejahre
Hardware (Server, SAN, Netzwerk)	180.000 EUR	Erneuerung 20 % jährlich
Lizenzen OS, Datenbank, Backups	45.000 EUR	35.000 EUR jährlich
Datenzentrum + Kühlung	24.000 EUR	24.000 EUR jährlich
Personal (4 Personen, 24/7)	220.000 EUR	230.000 EUR jährlich
Sicherheitsaudits	30.000 EUR	20.000 EUR jährlich
Zertifizierungen (ISO 27001)	50.000 EUR	15.000 EUR jährlich
Insgesamt 1. Jahr	549.000 EUR
Durchschnitt jährlich (5 Jahre)		~360.000 EUR

Szenario B — EU Sovereign Cloud mit SaaS-Anwendung

Posten	1. Jahr	Folgejahre
SaaS-Lizenzen (250 Benutzer)	90.000 EUR	95.000 EUR jährlich
Cloud-Infra zusätzlich (Storage, Backup)	24.000 EUR	26.000 EUR jährlich
Integrationen und Eigenentwicklung	60.000 EUR	30.000 EUR jährlich
Personal (2 Personen, Verwaltung)	130.000 EUR	135.000 EUR jährlich
Sicherheitsaudits	20.000 EUR	15.000 EUR jährlich
Insgesamt 1. Jahr	324.000 EUR
Durchschnitt jährlich (5 Jahre)		~215.000 EUR

Cloud-Ersparnis gegenüber Self-Host: ~40 % über 5 Jahre, vorausgesetzt Sie wählen die EU-Sovereign-Variante mit voller Compliance.

Die Zahlen gelten für eine mittlere Bank. Für ein Mikro-Fintech mit 5 Mitarbeitern ist Cloud 10:1 günstiger. Für eine große globale Bank mit eigenem DC und bereits aufgebautem Team kann Self-Host um 10-15 % günstiger sein.

Data Residency und Sovereignty — wichtigste Frage

Wo liegen Ihre Daten physisch? Diese Frage muss sich Bank und Gesundheitswesen vor jedem Vertrag schriftlich beantworten. Es gibt drei Ebenen:

Daten lokal – ideal für kritische Systeme der öffentlichen Verwaltung und des Gesundheitswesens.
Daten in der EU – akzeptabel für Banken, wenn der Anbieter Data Residency Guarantee und CLOUD Act immune bietet. Anbieter: Azure EU Data Boundary, AWS Frankfurt/Dublin mit European Sovereign Cloud, OVHcloud.
Daten außerhalb der EU – nur für nicht kritische Funktionen mit voller Anonymisierung und Standard Contractual Clauses zulässig.

Modulario-Infrastruktur ist primär in Azure Europe West (Amsterdam) gehostet mit Backup-Replik in Azure Europe North (Dublin), beide unter EU Data Boundary. Für Klienten aus regulierten Branchen können wir auch Deployment in Sovereign Cloud anbieten.

Gesundheitswesen — Spezifika, die Sie nicht vernachlässigen dürfen

Im Gesundheitswesen hat Cloud zwei Hauptbarrieren: historische Skepsis und konkrete lokale Vorschriften. Der Gesundheitssektor erfordert:

Verschlüsselung AES-256 im Ruhezustand und in Bewegung.
End-to-End Audit Trail – jeder Blick in die Krankenakte muss erfasst werden, wer, wann und aus welchem Grund.
Integration mit Krankenkassen über elektronische Schnittstellen.
Betrieb des elektronischen Ausweises des medizinischen Mitarbeiters zum Anmelden.

Modernes SaaS für das Gesundheitswesen (Krankenhaus-Informationssysteme, Ambulanz-Software) bietet 2026 alle diese Anforderungen out-of-the-box. Self-Host erfordert einen Anbieter, der die Spezifika versteht, oder ein eigenes Team – was bei der Kapazität kleinerer Krankenhäuser nicht real ist.

Tipp: Bei der Auswahl von SaaS für Ambulanz oder Poliklinik verlassen Sie sich nicht nur auf Marketing-Aussagen. Fordern Sie Dokumentation über den letzten Penetrationstest und eine Kopie der DPIA. Wenn der Anbieter sie nicht hat, ist es ein Warnsignal.

Finanzsektor — DORA in der Praxis

Der Finanzsektor muss seit Januar 2025 DORA erfüllen – und der Cloud-Anbieter ist damit durch einen Vertrag verbunden, den die Aufsichtsbehörde kontrolliert. Minimum, was der Vertrag enthalten muss:

Rights to Audit – die Bank hat das Recht, jederzeit ein Audit beim Anbieter durchzuführen (typisch über Dritte wie KPMG oder PwC).
Exit Strategy – detaillierter Plan, wie die Bank den Anbieter in 90 Tagen ohne Datenverlust verlässt.
Incident Notification – der Anbieter benachrichtigt die Bank innerhalb von 2 Stunden über einen schweren Vorfall.
Data Location Guarantee – Daten verbleiben in konkreten Regionen.
Sub-Contractor Transparency – die Bank sieht die Kette der Sub-Lieferanten und kann ein Veto einlegen.

Cloud-Anbieter, die das nicht bieten können, sind für die Bank inakzeptabel. Modulario, AWS EU, Azure EU und ausgewählte lokale Anbieter erfüllen diese Anforderungen.

Hybrid-Szenario — häufigste Antwort

In der Praxis enden die meisten Banken und Gesundheitseinrichtungen beim Hybrid. Kritische Core-Systeme (Core Banking, Krankenakte) in Sovereign Cloud oder On-Premise, andere Systeme (E-Mail, ERP, HR, Marketing) in Public Cloud mit EU Data Residency.

Für KMU-Fintech-Firma lohnt sich meist Public EU Cloud vom ersten Tag. Für mittlere Bank wird Hybrid natürlich sein – Core Banking bleibt im bestehenden DC, aber alles andere (CRM, HR, ERP, Dokumente) migriert in die Cloud. Die Ersparnis ist meist 30-45 % über 5 Jahre und gleichzeitig wird volle DORA-Konformität gewahrt.

Entscheidungsbaum — 5 Schritte

Wenn Sie sich entscheiden, welchen Weg zu wählen, gehen Sie folgende fünf Schritte:

Identifizieren Sie die Kritikalität des Systems. Ist es Core (Zahlungen, Krankenakte) oder unterstützend (HR, Marketing)?
Fragen Sie den Regulator. Haben Sie von der Zentralbank/Gesundheitsministerium/Datenschutzbehörde eine schriftliche Stellungnahme oder sektorale Verordnung, die Sie bindet?
Kartieren Sie die Daten. Wo sind personenbezogene Daten? Sind es Gesundheits- oder biometrische Daten (Art. 9 DSGVO)?
Machen Sie ein 5-Jahres-TCO-Modell. Rechnen Sie auch Teamlöhne, Audits, Zertifizierungen mit.
Erwägen Sie Hybrid. In den meisten Fällen ist es das Optimum.

Fazit — 2026 gehört der Cloud, aber mit Bedingungen

Im regulierten Umfeld von 2026 ist Cloud längst keine „gefährliche Fremde”. Im Gegenteil, bei richtiger Wahl (EU Sovereign, DORA-konformer Anbieter, CLOUD Act Immunity) ist Cloud sicherer als die meisten On-Premise-Bereitstellungen – gerade weil Anbieter größenordnungsmäßig mehr in Sicherheit investieren, als sich eine mittlere Bank leisten kann.

Self-Host bewahrt seinen Platz dort, wo der Regulator direkt Air-Gapped Deployment verlangt oder wo der Datenumfang Cloud ökonomisch unvorteilhaft macht. In anderen Fällen ist Cloud – besonders in hybrider Form – die rationale Wahl.

Wenn Sie aus einer regulierten Branche sind und Ihre eigene Situation einschätzen lassen möchten, schreiben Sie uns. Wir bereiten eine schriftliche Stellungnahme mit Entscheidungsbaum, TCO-Modell und konkret empfohlener Architektur für Ihren Fall vor. Die Beratung dauert 60 Minuten und ist kostenlos – Sie gehen mit einem klaren Weg.

Často kladené otázky

Muss eine Bank oder ein Krankenhaus Daten auf eigenen Servern hosten?

Nicht zwingend. DORA (fuer den Finanzsektor seit Januar 2025) erfordert kein On-Premise, sondern: Audit-Rechte beim Cloud-Anbieter, eine Exit-Strategie und nachgewiesene Widerstandsfaehigkeit gegen Ausfaelle. DSGVO fuer Gesundheitsdaten (Art. 9) erfordert DPIA und strengere Garantien, aber Cloud ist bei korrekten technischen Massnahmen zulaessig. Zentrale Frage ist Data Residency: Daten muessen in der EU bleiben, sofern keine DPF-Zertifizierung den Transfer abdeckt.

Was ist Data Residency und warum ist es fuer regulierte Branchen wichtig?

Data Residency bezeichnet den physischen Speicherort von Daten - in welchem Land sie gespeichert sind. Fuer regulierte Branchen in DACH: Gesundheitsdaten muessen in der EU bleiben (DSGVO Art. 9), Finanzdaten unterliegen DORA und BaFin/FMA/FINMA Anforderungen. Sichere Wahl: EU-only Hosting idealerweise in DE, AT oder FR. Modulario hostet in EU-Rechenzentren (Frankfurt). AWS/Azure EU-Region erfuellt die Anforderungen ebenfalls bei korrekter DPA-Konfiguration.

Was ist DORA und wen betrifft es 2026?

DORA (Digital Operational Resilience Act, EU 2022/2554) gilt seit Januar 2025 fuer: Banken, Versicherungen, Investmentfirmen, Zahlungsinstitute, Krypto-Asset-Dienstleister und deren kritische ICT-Lieferanten. Anforderungen: dokumentiertes ICT-Risikomanagement, Incident Reporting bei bedeutenden IT-Ausfaellen innerhalb 24 Stunden, regelmaessige Penetrationstests, Drittanbieter-Risikomanagement einschliesslich Cloud-Provider. Sanktionen: bis zu 1 % des durchschnittlichen taeglichen Gesamtumsatzes pro Tag der Verletzung.

Wann lohnt sich Self-Hosting fuer eine regulierte Organisation?

Self-Hosting (On-Premise) lohnt sich nur bei gleichzeitiger Erfuellung von 3 Bedingungen: (1) Die Organisation hat ein dediziertes IT-Team mit mindestens 2-3 Vollzeit-Systemadministratoren. (2) Der Regulierer verlangt explizit physische Isolation (Air-Gap) - betrifft militaerische Systeme mit Geheimhaltungsstufe. (3) Das TCO des Self-Hostings ist nachweislich geringer als Cloud. Fuer 95 % der europaeischen Krankenhaeuser und Finanzinstitute ist zertifiziertes EU-Cloud guenstiger, sicherer und regulatorisch akzeptabel.

Was ist der Unterschied zwischen Private Cloud und Self-Hosted On-Premise?

Private Cloud: Infrastruktur dediziert fuer eine Organisation, aber durch externen Anbieter gehostet (dedizierte Server in einem Rechenzentrum). Der Anbieter gewaehrleistet physische Sicherheit und Hardware-Patching; die Organisation verwaltet OS und Anwendungen. Self-Hosted On-Premise: physische Server in den Raeumlichkeiten der Organisation, volle Verantwortung fuer Hardware, Netzwerk, Backups und physische Sicherheit. Fuer regulierte Branchen ist Private Cloud ein guter Kompromiss - EU Data Residency ohne eigenen Serverraum.