TL;DR: Der Digital Operational Resilience Act (DORA) (Verordnung EU 2022/2554) stellt den Banking-Posteingang unter direkte Aufsicht: Jeder Drittanbieter, der Finanzdokumente verarbeitet, wird zu einer kritischen ICT-Abhängigkeit, die registriert, bewertet und auf Anfrage auditierbar sein muss. Generische KI-Pipelines, die auf US-Hyperscalern aufgebaut sind, stehen vor strukturellen Herausforderungen, DORAs vertragliche, architektonische und operative Anforderungen für beaufsichtigte Unternehmen vollständig zu erfüllen – insbesondere in Bezug auf Aufsichtsprüfungsrechte, CLOUD-Act-Exposition und Konzentrationsrisiko. Eine 100 % EU-jurisdiktionsnative Inbound-Infrastruktur reduziert das Drittanbieterrisiko erheblich und liefert die technische Dokumentation, die BaFin-, FINMA- und EZB-Aufsichtsbehörden verlangen.

Key Takeaways

DORA klassifiziert Dokumentenverarbeitungsanbieter als ICT-Drittdienstleister. Jeder Anbieter, der Finanzdokumente verarbeitet – Rechnungen, KYC-Akten, Zahlungsaufträge – fällt in den Rahmen des DORA-Drittanbieter-Risikomanagements und erfordert eine formelle Due Diligence.
US-amerikanische Cloud-Anbieter haben Schwierigkeiten, die CLOUD-Act-Expositionsanforderungen für beaufsichtigte Unternehmen zu erfüllen. DORA verlangt vertragliche Garantien für Aufsichtsprüfungsrechte, die die US-Jurisdiktion schwer vollständig zu erfüllen macht.
Konzentrationsrisiko ist eine DORA-Durchsetzungspriorität. Aufsichtsbehörden prüfen aktiv Abhängigkeiten von dominanten US-Hyperscalern. Souveräne EU-Infrastruktur adressiert dieses Problem direkt.
Audit-fähige technische Dokumentation ist eine DORA-Anforderung. Beaufsichtigte Unternehmen müssen Register über ICT-Drittanbieter-Abhängigkeiten führen, einschliesslich Datenspeicherorten, Vertragsbedingungen und Exit-Strategien.
DORA- und EU-AI-Act-Pflichten konvergieren bei Dokumenten-KI. Bankinstitute, die KI in KYC-, Kredit- und Zahlungsworkflows einsetzen, sind beiden Rahmenwerken gleichzeitig ausgesetzt.

Der Banking-Posteingang als regulatorischer blinder Fleck

DORA bringt die Inbound-Dokumenteninfrastruktur in denselben Aufsichtsperimeter wie Kernbankensysteme. DORA ist seit dem 17. Januar 2025 in Kraft, und Aufsichtsbehörden prüfen nun aktiv ICT-Drittanbieter-Abhängigkeiten im gesamten Finanzsektor. KYC-Onboarding-Akten, Kreditanträge, Zahlungsaufträge und Handelsfinanzierungsdokumente fließen alle durch den Anbieter oder die Pipeline, die das Institut eingesetzt hat – und unter DORA muss jeder dieser Verarbeitungsschritte nachverfolgbar, auditierbar und durch Verträge geregelt sein, die spezifische Aufsichtsanforderungen erfüllen.

Drei Risikoexpositionen sind für Banking-CISOs besonders relevant.

US-Hyperscaler-Pipelines verarbeiten sensible Finanzdokumente auf Infrastruktur, die dem US-Recht unterliegt und US-CLOUD-Act-Pflichten ausgesetzt ist. Dies schafft Spannungen mit den Aufsichtsprüfungsrechtsanforderungen von DORA.
Konzentrationsrisiko akkumuliert sich, wenn mehrere Dokumenten-Workflows über denselben dominanten Anbieter geleitet werden. Aufsichtsbehörden prüfen dieses Muster aktiv unter DORA Artikel 25.
Dokumentationslücken entstehen, wenn KI-Pipelines, die ohne DORA im Hinterkopf eingesetzt wurden, nachträglich in ein konformes ICT-Register eingetragen werden müssen – ein substanzielles rechtliches und operatives Projekt.

Was DORA tatsächlich erfordert

Bankinstitute können sich nicht einfach auf die Compliance-Nachweise ihres Anbieters verlassen. Sie müssen ihre eigenen unabhängig nachweisen. DORA Artikel 30 spezifiziert Mindestvertragsbedingungen für ICT-Drittanbietervereinbarungen: explizite Datenspeicherortgarantien, Aufsichtsprüfungsrechte, Kündigungsbestimmungen, Business-Continuity-Anforderungen und Transparenz bei Unterauftragnehmern. Für US-Hyperscaler-Dokumenten-KI-Dienste stellen mehrere dieser Anforderungen Herausforderungen dar, die vertraglich schwer vollständig zu lösen sind.

DORA Artikel 25 erfordert Monitoring, Testing und Dokumentation des ICT-Konzentrationsrisikos. Eine generische LLM-API ohne dokumentenspezifisches SLA, ohne feldgranularen Audit Trail und ohne definierten Datenportabilitätsmechanismus zeigt ein herausforderndes Profil gegenüber diesen Anforderungen.

Für Bankinstitute fügt der EU AI Act eine kombinierte Verpflichtung hinzu. Der Einsatz von KI in KYC-, Kreditwürdigkeitsbewertungs- oder Zahlungsverarbeitungs-Workflows löst eine Hochrisikoeinstufung unter Anhang III aus – was erklärbare Outputs, feldgranulares Logging und nachgewiesene menschliche Aufsicht gleichzeitig mit den Drittanbieter-Risikoanforderungen von DORA erfordert.

Die DORA-Anforderungslücke für gängige Dokumenten-KI-Deployments:

DORA-Anforderung	US-Hyperscaler-API	Parashift AI
Datenspeicherortgarantie	EU-Region verfügbar; rechtliche Jurisdiktion bleibt US	100 % EU-Jurisdiktion; keine US-Muttergesellschaft
Aufsichtsprüfungsrechte	Vertraglich schwierig aufgrund US-Jurisdiktion	Vollständige Prüfungsrechte innerhalb des EU-Perimeters
CLOUD-Act-Exposition	Erhebliche Exposition für in den USA eingetragene Unternehmen	Erheblich reduziert; keine US-Muttergesellschaft
Dokumenten-Level-Audit-Trail	Nur generische Infrastruktur-Logs	Feldgranulare Extraktions-Logs pro Dokument

Die Parashift-Methode: Eine DORA-fähige Inbound-Architektur für das Banking

Parashifts Architektur adressiert den DORA-Drittanbieter-Risikorahmen auf jeder Ebene:

Vertraglich,
architektonisch und
operativ.

Ein geschlossener EU-Perimeter ohne US-Muttergesellschaft. Parashift betreibt dedizierte Compliance-Zonen für Deutschland (C5-zertifiziert – der deutsche Bundescloud-Sicherheitsstandard, anerkannt von der BaFin, der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht) und die Schweiz (nDSG-konform – das Schweizer Bundesgesetz über den Datenschutz – und FINMA-ready, wobei FINMA die Eidgenössische Finanzmarktaufsicht der Schweiz ist). Es gibt keine US-Muttergesellschaft, keinen Drittland-Support-Zugriff und einen deutlich engeren rechtlichen Weg für eine US-Behördenanordnung, um Daten zu erreichen, die innerhalb des Parashift-Perimeters verarbeitet werden. Aufsichtsprüfungsrechte sind vertraglich und architektonisch ungehindert.

Zero-Data-Retention, die die DORA-Daten-Governance vereinfacht. Kundendokumente und extrahierte Daten werden nach der Verarbeitung nicht gespeichert. Das KI-Modell-Training verwendet ein proprietäres abstraktes Datenformat – strukturell anonymisierte Repräsentationen, die die Modellgenauigkeit ohne Speicherung wiederherstellbarer Kundendaten aufrechterhalten. Dies reduziert das Daten-Governance-Risikoprofil im DORA-ICT-Register des Instituts erheblich.

Feldgranulare Audit Trails für DORA und EU AI Act. Jedes verarbeitete Dokument generiert einen vollständigen, feldgranularen Audit Trail: was extrahiert wurde, mit welchem Konfidenzlevel, aus welchem Dokument und welche Routing-Entscheidung folgte. Parashift-Kunden, die Banking-Dokumente verarbeiten, erreichen typischerweise Automatisierungsraten von über 90 %, wobei diese Audit Trails automatisch für jedes Dokument generiert werden – direkt zur Unterstützung der DORA-Artikel-25-Nachverfolgbarkeitsanforderungen und der EU AI Act Artikel 12 Logging-Pflichten.

Konfigurierbare menschliche Aufsicht für Hochrisiko-Banking-Workflows. Routing-Thresholds definieren präzise, wann die Dokumentenextraktion autonom fortschreitet und wann menschliches Review obligatorisch ist – EU AI Act Artikel 14 als dokumentierte, auditierbare operative Kontrolle implementierend. Für KYC-, Kredit- und Zahlungsworkflows liegt der Nachweis der menschlichen Aufsicht in den Routing-Logs.

On-Premises- und Air-Gapped-Deployment für hochsensible Workflows. Für Institute mit den höchsten Datensensitivitätsanforderungen unterstützt Parashift On-Premises- und Air-Gapped-Deployment-Optionen – das spezialisierte Dokumenten-KI-Modell direkt innerhalb des eigenen IT-Perimeters des Instituts betreibend, ohne externe Netzwerkabhängigkeit. Dies reduziert die ICT-Drittanbieter-Risikoklassifikation für diese Workflows erheblich.

Für CISOs, die diese Fähigkeiten direkt auf DORA-Anforderungen für ihr ICT-Register abbilden müssen, hier das vollständige Compliance-Mapping auf einen Blick:

DORA-Anforderung	Parashift AI	Institutioneller Nutzen
Art. 30 – Vertragsanforderungen: Datenspeicherort, Prüfungsrechte, Exit-Strategie	EU-souveräner Perimeter; vollständige Prüfungsrechte; strukturierter Export	DORA-konforme Vertragsbedingungen; reduzierte US-Jurisdiktionsbeschränkungen
Art. 25 – Konzentrationsrisiko: ICT-Anbieterkonzentration überwachen und managen	Dedizierte souveräne Infrastruktur	Reduziert Konzentrationsrisiko für Aufsichtsprüfungen
Art. 12 – Vorfalls-Logging: Audit Trails für kritische ICT-Funktionen	Feldgranulare Extraktions-Logs pro Dokument	Dokumentenebene-Nachweise für Aufsichtsprüfungen
CLOUD-Act-Exposition: Schutz vor US-Behördenanordnungen zu Daten	Keine US-Muttergesellschaft; geschlossener EU-Perimeter	Reduziert systemisches Risiko für BaFin/FINMA/EZB beaufsichtigte Unternehmen erheblich

Der Banking-Posteingang erfordert denselben architektonischen Standard wie Kernbankensysteme

DORAs Erweiterung des ICT-Drittanbieter-Risikomanagements auf Dokumentenverarbeitungsanbieter stellt eine fundamentale Veränderung in der Art und Weise dar, wie Bankinstitute ihre Inbound-Infrastruktur bewerten müssen. Eine 100 % EU-jurisdiktionsnative Inbound-Infrastruktur adressiert dies direkt: reduzierte US-Jurisdiktionsexposition, geringeres Konzentrationsrisiko bei dominanten Hyperscalern und ein klarerer Weg zur Erfüllung der Dokumentationspflichten im DORA-ICT-Register. Für Banking-CISOs, die sich auf Aufsichtsprüfungen vorbereiten, kann eine souveräne Inbound-Architektur einen potenziellen Audit-Befund in eine dokumentierte Stärke verwandeln.

Ist Ihre aktuelle Dokumentenverarbeitungsinfrastruktur DORA-ready? In 30 Minuten zeigen wir Ihnen, wo Parashifts souveräne KI-Architektur etwaige Lücken schliesst.

Jetzt Beratungsgespräch buchen →

Hinweis: Dieser Artikel spiegelt Parashifts Verständnis von DORA und dem EU AI Act vom Juni 2026 wider. Er dient ausschliesslich Informationszwecken und stellt keine Rechtsberatung dar. Für verbindliche Compliance-Positionen konsultieren Sie bitte spezialisierte Rechtsberatung.

Compliance

Die „Deployer-Falle“: Warum das EU AI Act Compliance-Paket Ihres Cloud-Anbieters Ihre Deployer-Pflichten nicht abdeckt

TL;DR: Wenn ein europäisches Unternehmen Azure OpenAI, AWS Bedrock oder Google Vertex AI zur Verarbeitung von Dokumenten in regulierten Workflows einsetzt, decken Microsoft, Amazon und Google ausschliesslich ihre eigenen Anbieter-Pflichten nach dem EU AI Act ab – und nichts darüber...

Juni 11, 2026

Compliance

Die Azure-Illusion: Warum die „EU Data Boundary“ europäische Unternehmen nicht vor den Datenschutzrisiken des US CLOUD Act schützt

TL;DR: Daten auf europäischen Servern eines US-amerikanischen Cloud-Anbieters zu speichern, beseitigt die Exposition gegenüber dem US CLOUD Act nicht – denn die rechtliche Zuständigkeit folgt der Konzernmutterschaft, nicht dem Serverstandort. Für CISOs und Chief Legal Counsels in regulierten Branchen ist...

Juni 4, 2026