Warum Datenfeeds nicht nur Dienstleistungen, sondern steuerungsrelevante Leistungen sind - Eine regulatorische Neubewertung im aufsichtsrechtlichen Kontext von Banken und Finanzinstituten.

Marktdaten sind längst mehr als reine Informationsquellen. Sie stellen heute eine unverzichtbare Ressource für die operative Steuerung von Finanzinstituten dar und prägen nahezu alle wesentlichen Kernprozesse. Von Handelsaktivitäten über Bewertungsprozesse und Risikomessung bis hin zu regulatorischen Berichtspflichten hängen die kritischen Funktionen eines Hauses maßgeblich von der Datenqualität ab. In der modernen Bankpraxis sind Marktdaten tief in die Systemlandschaft integriert. Über Feeds und Schnittstellen fließen sie kontinuierlich und oft vollautomatisiert in Handelsplattformen oder Risikosysteme ein, da die Erhebung sowie die Aufbereitung dieser Informationen hochgradig spezialisiert sind, beziehen Banken den Großteil ihrer Daten von global agierenden oder spezialisierten externen Partnern.

Die enge Verzahnung von externer Datenversorgung, interner IT und operativen Prozessen schafft jedoch eine starke strukturelle Abhängigkeit. Störungen in der Marktdatenversorgung können daher unmittelbare und erhebliche Auswirkungen auf den gesamten Geschäftsbetrieb haben. Während ein kompletter Ausfall eines Feeds meist sofort systemseitig erkannt wird und zu einem kompletten Stillstand der Prozesse führt, bergen unerkannt fehlerhafte oder verzögerte Daten mitunter größere Gefahren. Wenn solche Qualitätsmängel von den Systemen nicht identifiziert und abgefangen werden, werden veraltete oder falsche Preisinformationen in automatisierten Prozessen ungehindert weiterverarbeitet. Die Folge sind Fehlentscheidungen im Handel sowie die Erstellung verfälschter Risikokennzahlen und Reportings, deren nachträgliche Identifikation und Korrektur enorme Aufwände verursachen. Eine systematische Auswahl der Anbieter sowie ein streng qualitätsgesicherter Datenbezug sind somit essenziell für eine ordnungsgemäße Leistungserbringung im Finanzgeschäft.

Wie genau sich diese essenziellen Koordinationsaufgaben unter den neuen Vorzeichen von DORA ausgestalten lassen, steht im Zentrum dieses Beitrags. Wir skizzieren dafür einen ganzheitlichen Ansatz in fünf Phasen, der operative Stabilität und regulatorische Compliance vereint.

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) am 17. Januar 2025 hat die Europäische Union einen umfassenden Rechtsrahmen geschaffen, der die Widerstandsfähigkeit des Finanzsektors gegenüber IT Störungen sowie Cyberangriffen stärken soll [4]. Ein zentraler Aspekt dieser Regulierung ist die signifikante Erweiterung des klassischen Auslagerungsmanagements.

Bisher wurden Marktdatenanbieter regulatorisch primär als klassische Drittdienstleister eingestuft. Der Fokus lag dabei auf der vertraglichen Gestaltung und allgemeinen Outsourcing-Richtlinien, während die tiefe strukturelle Verflechtung oft unterschätzt wurde. Mit der Einführung des DORA vollzieht sich nun ein grundlegender Perspektivwechsel: Gerade, weil die strukturellen Abhängigkeiten so immens sind, werden Marktdatenanbieter nicht länger nur als externe Lieferanten, sondern als integraler Bestandteil der kritischen digitalen Infrastruktur betrachtet und damit als Informations- und Kommunikationstechnologie Drittdienstleister (IKT-Drittdienstleister) eingestuft. Da ihr Ausfall die operationelle Resilienz eines Finanzinstituts unmittelbar gefährdet, rückt die Stabilität dieser Versorgungskette nun konsequenterweise ins Zentrum der Aufsicht.

Maßgeblich hierfür ist Artikel 3 Absatz 21 der DORA-Verordnung, welcher IKT-Dienste als digitale Datendienste definiert, die über IKT-Systeme kontinuierlich für interne oder externe Nutzer bereitgestellt werden [4]. Diese Einordnung hat weitreichende Konsequenzen für das Marktdatenmanagement der Institute. Da Datenfeeds, Schnittstellen und Terminals direkt in kritische Bankprozesse einfließen, gelten sie fortan als integraler Bestandteil der technischen Infrastruktur.

Besonders relevant ist in diesem Zusammenhang die explizite Einbeziehung von Hardwaredienstleistungen. Da große Anbieter häufig physische Terminals, Leitungen oder lokale Server zur Verfügung stellen, unterliegen auch diese Komponenten sowie deren Wartung und regelmäßige Softwareupdates den strikten regulatorischen Resilienz Anforderungen. In der Konsequenz verschiebt sich der Fokus des Risikomanagements von der rein administrativen Steuerung einer Auslagerung hin zur Gewährleistung der tatsächlichen technischen Belastbarkeit und der Sicherheit der gesamten Versorgungskette.

Die Steuerung von Marktdatenanbietern ist kein neues Thema, erfährt jedoch durch die aktuelle europäische Gesetzgebung eine fundamentale Neuausrichtung. Die Regulierung stellt heute ein vielschichtiges Gefüge aus nationalen Gesetzen und europäischen Verordnungen dar, dessen Überwachung einer klaren Hierarchie folgt. Auf der europäischen Ebene bildet DORA [4] den neuen harmonisierten Rahmen für die digitale Resilienz. Ergänzend steuern die Richtlinie MiFID II [8] sowie die Verordnung MiFIR [9], welche in Deutschland im Wertpapierhandelsgesetz (WpHG) [7] umgesetzt sind, die Anforderungen an Markttransparenz und Handelsüberwachung.

Auf nationaler Ebene bildet das Kreditwesengesetz (KWG) [6] das Fundament der Aufsicht. Während § 25a KWG die allgemeine Geschäftsorganisation regelt, setzt § 25b KWG die entscheidenden Leitplanken für die Auslagerung von Aktivitäten und Prozessen. Diese gesetzlichen Anforderungen werden durch die MaRisk [1], insbesondere im Abschnitt AT 9, sowie die BAIT [2] in prüffähige Kriterien für das Risikomanagement und die IT-Sicherheit übersetzt. Flankiert wird dies durch die EBA-Leitlinien zum Outsourcing [3], welche den Umgang mit kritischen oder wichtigen Funktionen definieren und belastbare Strategien für einen möglichen Ausstieg fordern.

Diese regulatorische Entwicklung verlief über zwei Jahrzehnte hinweg in Etappen. Die Aufsicht zielt nicht mehr primär darauf ab, die organisatorischen Kontrollrechte der Institute zu wahren. Vielmehr rückt die technische Belastbarkeit der Anbieter-Infrastruktur selbst in den Fokus der Prüfung. Der neue einheitliche europäische Rechtsrahmen schafft erstmals verbindliche, prüfbare Standards für die operative Resilienz im gesamten Finanzsektor.

Der klassische Einkauf bleibt weiterhin eine wesentliche Grundlage für die initiale Anbahnung passender Datenquellen sowie für die kaufmännische Bewertung von Preisen und komplexen Lizenzmodellen. Auch die grundlegende vertragliche Ausgestaltung der kommerziellen Rahmenbedingungen und der spezifischen Nutzungsrechte ist weiterhin ein Teil dieses Verantwortungsbereich. Die Anforderungen durch DORA erfordern jedoch eine weitaus integriertere Betrachtung des gesamten Dienstleistungslebenszyklus, die weit über die reine Beschaffung hinausgeht.

Diese neue regulatorische Realität setzt eine enge Zusammenarbeit zwischen dem Einkauf und dem zentralen Auslagerungsmanagement voraus. Marktdaten sind als fortlaufender Service zu betrachten, dessen Risiken über die gesamte Dauer der Geschäftsbeziehung hinweg gesteuert werden müssen. Dieser ganzheitliche Ansatz stellt sicher, dass neben der kaufmännischen Effizienz auch die operative Stabilität und die regulatorische Konformität dauerhaft gewährleistet bleiben. Daraus ergeben sich die folgenden fünf Phasen des Marktdaten-Auslagerungsmanagements:

Der Lebenszyklus beginnt mit der Ermittlung des vollständigen Umfangs aller aktiven Marktdatenbezüge. Eine strukturierte Vorarbeit ist hierbei unerlässlich, um Transparenz darüber zu schaffen, welche Daten von welchen Fachbereichen genutzt werden und ob es sich um IKT bezogene Leistungen handelt. Zur Unterstützung dieser Bestandsaufnahme werden Lizenzmanagement Tools sowie zentrale Datenkataloge genutzt, die Aufschluss über Datenquellen, Nutzungsrechte und technische Anbindungen geben. Erst diese fundierte Basis ermöglicht es, die Kritikalität der Daten im Hinblick auf wichtige Funktionen des Instituts präzise zu bestimmen. Dieser Prozess folgt den Anforderungen aus Artikel 28 Absatz 4 [4], der eine umfassende Bewertung der Risiken vor Abschluss jeder vertraglichen Vereinbarung vorschreibt.

Im Zentrum dieses Risk Scoping steht die Analyse verschiedener Risikodimensionen. Hierbei werden technische Aspekte wie die Verfügbarkeit, die Integrität und die Vertraulichkeit sowie allgemeine IT-Sicherheitsrisiken bewertet. Darüber hinaus fließen strategische Dimensionen wie Konzentrationsrisiken, Abhängigkeiten von kritischen Sub-Dienstleistern sowie potenzielle Exit- und Wechselrisiken in die Betrachtung ein. Die Tiefe dieser Analyse richtet sich nach der Relevanz des jeweiligen Fremdbezugs. Als inhaltliche Experten fungieren dabei die Fachbereiche, welche die Ergebnisse der vorab erstellten Business Impact Analyse auf die konkrete Dienstleistung übertragen. Sie schätzen realistisch ein, welche Bedeutung ein spezifischer Datenfeed für den täglichen Geschäftsbetrieb tatsächlich hat.

Die Bewertung folgt dem Maximalprinzip: Sind mehrere Prozesse mit einem Marktdatenfeed verknüpft, bestimmt die höchste Bewertung aller beteiligten Schutzziele das Gesamtrisiko der Dienstleistung. Diese aggregierte Sichtweise setzt sich bis auf die Dienstleisterebene fort, wobei die höchste Kritikalität einer Einzelleistung maßgeblich für die Einstufung des gesamten Anbieters ist. Auf dieser Grundlage wird schließlich das in Artikel 28 Absatz 3 [4] geforderte Informationsregister erstellt. Im Gegensatz zum klassischen Auslagerungsregister bildet dieses Instrument auch nicht ausgelagerte IKT-Bezüge sowie komplexe Abhängigkeiten innerhalb der Lieferketten ab. Eine präzise Vorklassifizierung nach Marktdatenarten und Lieferwegen verhindert dabei späteren Mehraufwand und schafft die notwendige Übersicht für alle nachgelagerten Prozesse der digitalen Resilienz.

Ergänzend zur initialen Klassifizierung ist der Prozess der Due Diligence ein fester Bestandteil bei jedem Neuvertrag und findet zudem fortlaufend bei bestehenden Dienstleistern Anwendung. Diese Partner werden regelmäßig überprüft, um die finanzielle Stabilität sicherzustellen sowie relevante Risiken turnusmäßig zu identifizieren. Gemäß den Anforderungen aus Artikel 28 Absatz 4 a-c [4] erfolgt die Prüfung anhand spezifisch konzipierter Fragebögen, welche zentrale Themenbereiche wie die Governance, das IKT-Risikomanagement sowie die Business Continuity und Informationssicherheit abdecken. Ein wesentlicher Teil dieser Analyse ist die Identifikation der gesamten Lieferkette, da Marktdatenanbieter oft externe Kapazitäten nutzen. Dies umfasst klassische Betreiber von Rechenzentrum ebenso wie Cloud Infrastrukturen der großen Hyperscaler. Im Sinne der regulatorischen Anforderungen an die Überwachung von Unterauftragsverhältnissen muss diese Kette transparent sein, um Konzentrationsrisiken frühzeitig zu erkennen. Ein kritisches Beispiel ist die geografische Konzentration, bei der verschiedene Anbieter denselben Standort nutzen, was trotz unterschiedlicher Vertragspartner zu einem Single Point of Failure für die gesamte Datenversorgung führen kann.

Besonders bei großen globalen Datenanbietern stehen Kreditinstitute oft einer asymmetrischen Verhandlungsmacht gegenüber. In diesem Kontext dient DORA als regulatorisches Druckmittel, um die oft verweigerten Mindestanforderungen gemäß Artikel 30 [4] durchzusetzen. Während diese Anbieter in der Vergangenheit häufig auf undurchsichtige Standardverträge beharrten, ermöglicht es die gesetzliche Pflicht den Instituten nun, essenzielle Zugangs- und Audit Rechte sowie die Teilnahme an institutsübergreifenden Tests einzufordern. DORA schafft hier eine notwendige rechtliche Basis, um gegenüber marktbeherrschenden Akteuren die erforderliche Compliance Tiefe zu erzwingen, die zuvor mangels Harmonisierung nur schwer durchsetzbar war.

Zusätzlich wird dieser Rahmen durch Artikel 31 Absatz 9 [5] der DORA-Verordnung ergänzt, welcher eine offizielle Liste für kritische IKT-Drittdienstleister vorsieht. Es ist zu erwarten, dass insbesondere die marktbeherrschenden Daten- und Cloud Anbieter als kritisch eingestuft werden. Diese Anbieter unterliegen künftig der direkten Aufsicht durch die europäischen Aufsichtsbehörden, wodurch das bestehende Machtgefälle gegenüber den Banken teilweise reduziert wird. Die bestehenden vertraglichen Steuerungsmöglichkeiten der Finanzinstitute werden somit durch ein wirksames europäisches Aufsichtsrahmenwerk flankiert, das die operative Resilienz der gesamten Branche stärkt.

In der aktuellen Praxis erfüllen viele Bestandsverträge zu Marktdaten noch nicht die strengen Anforderungen nach Artikel 30 der DORA-Verordnung [4]. Daher sind strategisch und effizient geplante Nachverhandlungen erforderlich, um die regulatorische Konformität sicherzustellen. Als Orientierung dient hierbei das Proportionalitätsprinzip, wonach alle Maßnahmen und Kontrollen sowie der damit verbundene Aufwand in einem angemessenen Verhältnis zum jeweiligen Risiko stehen sollten.

Die vertragliche Unterteilung erfolgt dabei idealerweise in zwei Kategorien. Für kritische IKT-Dienstleister sind umfassende Regelungen zwingend erforderlich. Hierzu zählen uneingeschränkte Audit Rechte, die auch für die Aufsichtsbehörden gelten, sowie detaillierte Meldepflichten bei Vorfällen. Zudem sind spezifische Vorgaben zum Datenstandort und die vertragliche Verpflichtung zur Unterstützung bei bedrohungsgeleiteten Penetrationstests (TLPT) notwendig. Für nicht kritische IKT-Dienstleister können diese Anforderungen reduziert werden, wobei wesentliche Mindeststandards wie grundlegende Berichtspflichten und Kündigungsrechte erhalten bleiben.

Bei der Vertragsgestaltung liegt ein besonderer Fokus auf der Datenintegrität. Falsche Informationen, wie etwa korrupte Preisfeeds, werden regulatorisch inzwischen vergleichbar kritisch bewertet wie ein kompletter Ausfall der Versorgung. Da fehlerhafte Daten automatisierte Handelsentscheidungen massiv fehlsteuern können, sollten auch für nicht kritische Dienstleister klare Maßnahmen zur Sicherstellung der Datenqualität sowie entsprechende Kontrollmechanismen vertraglich fixiert werden. Damit wird sichergestellt, dass die vertragliche Basis nicht nur juristischen Anforderungen genügt, sondern auch die operative Zuverlässigkeit der Datenströme absichert.

Die kontinuierliche Steuerung der Marktdatenanbieter stellt sicher, dass die Dienstleistungsqualität dauerhaft gewahrt bleibt. Ziel ist es, sämtliche Anforderungen von der kaufmännischen Performance bis hin zur operationellen Resilienz während der aktiven Nutzungsphase konsequent zu überwachen. Ein zentrales Element ist dabei die Performance Überwachung, bei der regelmäßig geprüft wird, ob der Dienstleister die vereinbarten Service Level Agreements (SLAs) anhand messbarer Kennzahlen wie Latenz, Verfügbarkeit und Datenqualität einhält. Für Bestandsverträge, die noch keine expliziten Servicevorgaben enthalten, werden übergangsweise interimistische Proxy-SLAs definiert. Diese schaffen die regulatorisch geforderte Mindesttransparenz, indem sie die Verfügbarkeit je nach Bezugsweg strukturiert dokumentieren und als Steuerungsgrundlage dienen, bis sie durch finale, vertraglich fixierte KPIs abgelöst werden.

Um die Effizienz dieser Überwachung zu steigern, erfolgt eine gezielte Fokussierung auf die wesentlichen Kennzahlen. Anstatt eine unüberschaubare Menge an technischen Informationen zu erfassen, werden die Metriken auf die kritischen Erfolgsfaktoren reduziert, welche eine direkte Aussagekraft über die operationelle Resilienz erlauben. So wird sichergestellt, dass die Risikosteuerung nicht durch eine Informationsflut beeinträchtigt wird, sondern gezielt auf kritische Abweichungen reagieren kann. Diese Daten bilden die Grundlage für turnusmäßige Steuerungsgespräche mit den Anbietern, in denen Maßnahmen zur Qualitätssteigerung verbindlich vereinbart und die künftige Resilienz-Planung aktiv vorangetrieben werden.

Ein kritischer Aspekt unter DORA ist das Incident Management in Verbindung mit strengen Meldefristen. Da Institute schwerwiegende Vorfälle gemäß der Artikel 17 bis 20 der Verordnung [4] innerhalb sehr kurzer Fristen an die Aufsicht melden müssen, ist eine vertragliche Verpflichtung der Anbieter zu Sofortmeldungen nahezu in Echtzeit unerlässlich. Die Erstmeldung muss oft bereits innerhalb von 4 bis 24 Stunden erfolgen, was eine lückenlose Kommunikation und initiale Ursachenanalysen unmittelbar nach dem Eintreten einer Störung erfordert. Transparente Definitionen von Reaktions- sowie Wiederherstellungszeiten sind daher essenziell, um die Geschäftsfortführung abzusichern und den regulatorischen Pflichten jederzeit nachkommen zu können.

Ein weiteres anspruchsvolles Thema im Marktdatenumfeld ist das Exit Management, das unter DORA eine neue regulatorische Tiefe erfährt. Gemäß Artikel 28 Absatz 8 der Verordnung [4] müssen Institute über fundierte Ausstiegsstrategien verfügen, um die betriebliche Stabilität auch bei Beendigung eines Dienstleistungsverhältnisses ohne Beeinträchtigung ihrer Geschäftsprozesse zu wahren. Dieser Prozess folgt einer logischen Abfolge, die weit über rein vertragliche Kündigungsfristen hinausgeht. Zunächst erfolgt die Definition spezifischer Ausstiegsstrategien, in denen Auslöser wie kritische Qualitätsmängel oder die vollständige Einstellung eines Datenfeeds festgelegt werden. Diese Szenarien bilden die notwendige Entscheidungsgrundlage für das weitere operative Vorgehen.

Im Zentrum der Analyse steht die Bewertung der Substituierbarkeit sowie die Identifikation potenzieller Ersatzanbieter, was eine direkte Forderung aus Artikel 30 Absatz 3 [4] darstellt. Es wird detailliert geprüft, wie schnell sich ein Datenfeed technisch ersetzen lässt und ob alternative Partner die benötigten Datenformate sowie Latenzen liefern können, um einen nahtlosen Übergang zu gewährleisten. Für diesen Zeitraum wird ein klares Eskalationsmodell sowie eine fachübergreifende Governance etabliert. Diese regelt die Kommunikation zwischen dem Fachbereich, dem Einkauf und der IT-Sicherheit, um bei Verzögerungen in der Substitution sofort gegenzusteuern und die Geschäftsfortführung jederzeit abzusichern.

Den Abschluss bildet die technische Abwicklung, die insbesondere die Daten Portabilität sowie die Reversibilität umfasst. Hierbei wird gemäß den Anforderungen aus Artikel 30 Absatz 2 [4] die rechtssichere Rückführung oder Löschung der Daten gemäß den Lizenzbedingungen des scheidenden Anbieters sichergestellt. Das übergeordnete Ziel ist eine vollständige technische Entkopplung, damit keine gefährlichen Abhängigkeiten in den internen Systemen verbleiben. Durch diese strukturierte Herangehensweise wird sichergestellt, dass das Institut trotz der hohen Spezialisierung im Marktdatenbereich seine strategische Handlungsfreiheit und digitale Resilienz bewahrt.

Die fünf Phasen des Marktdatenmanagements sind eng miteinander verzahnt. In der operativen Praxis laufen diese Schritte selten isoliert ab, sondern greifen oft parallel oder in iterativen Schleifen ineinander. So liefert das permanente Monitoring kontinuierlich neue Erkenntnisse über die tatsächliche Performance der Anbieter. Diese Informationen können unmittelbar eine Anpassung der Risikoklassifizierung oder eine gezielte Nachverhandlung bestehender Verträge erforderlich machen.

Auch ein geplantes Exit Szenario mündet in der Regel in eine erneute Bestandsaufnahme und die gezielte Auswahl eines alternativen Anbieters. Dieser flexible und zirkuläre Ansatz ermöglicht den Instituten eine proaktive Steuerung ihrer digitalen Resilienz. Anstelle starrer administrativer Abfolgen tritt ein dynamisches Risikomanagement in den Vordergrund, das auf Veränderungen im Marktumfeld oder bei der technischen Leistungsfähigkeit der Partner unmittelbar reagieren kann. Diese enge Verzahnung stellt sicher, dass die Versorgung mit Marktdaten nicht nur effizient, sondern vor allem regulatorisch konform und technisch jederzeit belastbar bleibt.

Die Versorgung mit Marktdaten in einem großen Institut erfolgt durch eine Vielzahl an externen Dienstleistern, die deutlich im dreistelligen Bereich liegen. Dies verdeutlicht die häufig vorliegende Komplexität in der Marktdatenlandschaft.

Ein dominanter Anteil entfällt in unserem Beispiel mit insgesamt 50% auf Indexdaten sowie Handelsplattformen. Je nach Ausrichtung des Instituts kann dieser Anteil auch deutlich höher liegen. Diese beiden Segmente bilden das Rückgrat der täglichen Prozesse. Ein Ausfall in diesen Bereichen hätte unmittelbare Auswirkungen auf die Bewertung von Finanzinstrumenten und die allgemeine Handelsfähigkeit des Instituts. Inzwischen zeigt sich auch die wachsende Bedeutung von ESG-Daten, die bereits 15% des Portfolios einnehmen. Da diese Informationen zunehmend in verpflichtende regulatorische Berichte einfließen, rücken sie im Rahmen von DORA als steuerungsrelevante Leistungen massiv in den Fokus der digitalen Resilienz.

Die größte Herausforderung für das Management ergibt sich aus der hohen Anzahl der beteiligten Unternehmen. Eine dreistellige Anzahl an Dienstleistern über spezialisierte Gebiete wie Rating-, Immobilien- und Nischendaten unterstreicht die Notwendigkeit eines automatisierten Informationsregisters. Nur durch eine solche digitale Erfassung lassen sich Konzentrationsrisiken innerhalb der Lieferkette und die technische Belastbarkeit der gesamten Kette effektiv überwachen. Darüber hinaus erfordert diese Vielfalt regelmäßige Abstimmungen sowie strukturierte Leistungsüberprüfungen, um die Qualität und Zuverlässigkeit der Services dauerhaft sicherzustellen und das Institut vor operativen Störungen zu schützen.

DORA transformiert das Marktdatenmanagement von einer rein operativen Beschaffungsfunktion zu einer zentralen Aufgabe der Governance. Was zunächst wie eine regulatorische Bürde wirken mag, erweist sich bei strategischer Umsetzung als Katalysator für operative Exzellenz. Die verpflichtende Dokumentation aller Verträge schafft erstmals volle Transparenz über einen der komplexesten Kostenblöcke im Finanzwesen. Diese neue Datenbasis bildet das Fundament für signifikante Kostenoptimierungen sowie eine effizientere Steuerung der institutsweiten Ressourcen.

Gleichzeitig fungiert DORA als entscheidendes regulatorisches Korrektiv gegenüber globalen Datenoligopolen. Durch die Pflicht zur Durchsetzung von Auditrechten und Kontrollrechten begegnen Institute marktbeherrschenden Anbietern erstmals auf einer gefestigten rechtlichen Basis. Wer seine Lieferketten aktiv managt und Exit Strategien belastbar implementiert, reduziert nicht nur operative Risiken. Er sichert vielmehr die volle Handlungsfähigkeit in Krisenmomenten und vermeidet präventiv kostspielige Sanktionen durch die Aufsicht.

In einer datengetriebenen Finanzwelt stellt die Stabilität der Marktdatenversorgung das digitale Nervensystem eines Hauses dar. Institute, die den neuen Lebenszyklus im Marktdaten Auslagerungsmanagement proaktiv adaptieren, gewinnen weit mehr als nur regulatorische Konformität. Sie stärken ihre strategische Unabhängigkeit, optimieren ihre Verhandlungsmacht und legen den Grundstein für eine nachhaltige digitale Betriebsstabilität im harten Wettbewerb.

Finbridge unterstützt Sie bei der Entwicklung Ihrer zukunftssicheren Datenstrategie und der Konzeption einer hochleistungsfähigen IT-Architektur. Alle Akteure in der Finanzbranche – vom Handel über das Risikocontrolling und Finance bis zum Vorstand – benötigen verlässliche Marktdaten. Das Management einer hohen Anzahl an Marktdatenanbietern und der damit verbundenen Datenvolumina erfordert tiefgreifende fachliche, technische und kommerzielle Expertise. Durch unser weitreichendes Problemlösungs-Know-how im gesamten Finanzbereich begleiten wir Sie bei der Automatisierung und Skalierung Ihres Marktdatenmanagements. Unsere Spezialisten verfügen über detaillierte Kenntnisse und Fähigkeiten in folgenden Bereichen:

• Systemintegration & Datenarchitektur: Nahtlose und performante Anbindung komplexer Datenfeeds und API-Schnittstellen an Ihre internen Handelsplattformen und Risikosysteme. Wir kümmern uns um die Anpassung relevanter Systeme und Prozesse aufgrund von internen oder externen Einflussfaktoren wie z.B. Providerwechseln.

• Toolgestützte Governance & Lizenzverwaltung: Implementierung von digitalen Informationsregistern und einer effizienten, transparenten Lizenzverwaltung. Wir analysieren den tatsächlichen Marktdatenbedarf zur Identifikation ungenutzter oder redundanter Daten sowie kostengünstigerer Alternativen.

• Technische Performance-Messung: Etablierung automatisierter Überwachungsprozesse zur kontinuierlichen Messung von Service Level Agreements (SLAs), Latenzen, Verfügbarkeiten und Datenintegrität in Echtzeit, kombiniert mit einer schnellen, gründlichen und bereichsübergreifenden Prozessanalyse.

• Datenmigration, Exit-Readiness & Projektmanagement: Begleitung von Projekten aller Größe im Marktdatenbereich. Wir unterstützen Sie bei Vorstudien, der Einführung zentraler Marktdatensysteme oder Lizenzmanagement-Tools sowie der sicheren technischen Entkopplung bei Providerwechseln unter Einsatz moderner Projektmanagementmethoden (wie Agile Project Management und Scrum).

Wir können flexibel auf die spezifischen Bedürfnisse Ihres Instituts eingehen und entwerfen gemeinsam mit Ihnen die individuell optimale Lösung zur Umsetzung einer datengetriebenen IT-Landschaft. So stellen wir sicher, dass Sie Ihre Marktdatenversorgung mit maximaler technischer Effizienz steuern und gleichzeitig allen verschärften regulatorischen Anforderungen nach DORA vollumfänglich gerecht werden.

[1]: Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) (2023): Mindestanforderungen an das Risikomanagement (MaRisk), 7. Novelle. Rundschreiben 05/2023 (BA). BaFin - News & Maßnahmen - Rundschreiben 05/2023 (BA) - Mindestanforderungen an das … , (aufgerufen 09.02.26).

[2]: Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) (2017): Bankaufsichtliche Anforderungen an die IT (BAIT). Rundschreiben 10/2017 (BA) in der Fassung vom 16.12.2024. BaFin - Rundschreiben - Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT … , (aufgerufen 09.02.26).

[3]: European Banking Authority (EBA) (2019): Guidelines on Outsourcing Arrangements. (EBA/GL/2019/02). Guidelines on outsourcing arrangements | European Banking Authority , (aufgerufen 09.02.26)

[4]: Europäisches Parlament und Rat (2022): Verordnung (EU) 2022/2554 über digitale Betriebsstabilität im Finanzsektor (DORA). Verordnung - 2022/2554 - DE - EUR-Lex , (aufgerufen 08.02.2026).

[5]: Europäisches Parlament und Rat (ESAs) (2025): List of designated CTPPs gemäß DORA-Verordnung. The European Supervisory Authorities designate critical ICT third-party providers under the Digital Operational Resilience Act | European Banking Authority , (aufgerufen 09.02.26).

[6]: Bundesministerium der Justiz (BMJ) (1961): Gesetz über das Kreditwesen (Kreditwesengesetz - KWG). KWG - nichtamtliches Inhaltsverzeichnis , (aufgerufen 09.02.26).

[7]: Bundesministerium der Justiz (BMJ) (1994): Gesetz über den Wertpapierhandel (Wertpapierhandelsgesetz - WpHG). WpHG - nichtamtliches Inhaltsverzeichnis , (aufgerufen 09.02.26).

[8]: Europäisches Parlament und Rat (2014): Richtlinie 2014/65/EU über Märkte für Finanzinstrumente (MiFID II). Directive - 2014/65 - DE - mifid ii - EUR-Lex , (aufgerufen 09.02.26).

[9]: Europäisches Parlament und Rat (2014): Verordnung (EU) Nr. 600/2014 über Märkte für Finanzinstrumente (MiFIR). Regulation - 600/2014 - DE - mifir - EUR-Lex , (aufgerufen 09.02.26).