[{"data":1,"prerenderedAt":541},["ShallowReactive",2],{"navigation-docs_de":3,"/blog/dora-microsoft-365-exit-strategie-banken-2026-posts_de":50,"/blog/dora-microsoft-365-exit-strategie-banken-2026-surround-posts_de":530},[4],{"title":5,"path":6,"stem":7,"children":8,"page":49},"De","/","de",[9],{"title":10,"path":11,"stem":12,"children":13,"page":49},"Docs","/docs","de/1.docs",[14,24],{"title":15,"path":16,"stem":17,"children":18},"Einführung","/docs/getting-started","de/1.docs/1.getting-started/1.index",[19,20],{"title":15,"path":16,"stem":17,"children":-1},{"title":21,"path":22,"stem":23,"children":-1},"Migrations-Fahrplan","/docs/getting-started/migration-fahrplan","de/1.docs/1.getting-started/2.migration-fahrplan",{"title":25,"path":26,"stem":27,"children":28,"page":49},"Technologien","/docs/technologien","de/1.docs/2.technologien",[29,33,37,41,45],{"title":30,"path":31,"stem":32,"children":-1},"Nextcloud","/docs/technologien/nextcloud","de/1.docs/2.technologien/1.nextcloud",{"title":34,"path":35,"stem":36,"children":-1},"Matrix / Element","/docs/technologien/matrix","de/1.docs/2.technologien/2.matrix",{"title":38,"path":39,"stem":40,"children":-1},"ONLYOFFICE","/docs/technologien/onlyoffice","de/1.docs/2.technologien/3.onlyoffice",{"title":42,"path":43,"stem":44,"children":-1},"Ubuntu Linux","/docs/technologien/ubuntu","de/1.docs/2.technologien/4.ubuntu",{"title":46,"path":47,"stem":48,"children":-1},"Keycloak","/docs/technologien/keycloak","de/1.docs/2.technologien/5.keycloak",false,{"id":51,"title":52,"authors":53,"badge":58,"body":60,"date":480,"description":481,"extension":482,"faq":483,"howto":499,"image":522,"meta":524,"navigation":525,"path":526,"seo":527,"stem":528,"__hash__":529},"posts_de/de/3.blog/14.dora-microsoft-365-exit-strategie-banken-2026.md","DORA, CTPP-Designation und Microsoft 365 – warum Banken 2026 eine belastbare Exit-Strategie brauchen",[54],{"name":55,"to":6,"avatar":56},"europioneer Team",{"src":57},"/favicon.svg",{"label":59},"DORA & Finanzsektor",{"type":61,"value":62,"toc":461},"minimark",[63,67,96,110,115,122,125,153,164,168,175,209,220,224,231,245,256,280,290,294,297,302,305,309,312,316,324,328,331,335,338,342,349,353,389,393,405,409,415,421,424,429],[64,65,52],"h1",{"id":66},"dora-ctpp-designation-und-microsoft-365-warum-banken-2026-eine-belastbare-exit-strategie-brauchen",[68,69,70,71,75,76,79,80,83,84,87,88,91,92,95],"p",{},"Am ",[72,73,74],"strong",{},"18. November 2025"," haben die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA die erste offizielle Liste der ",[72,77,78],{},"Critical ICT Third-Party Providers"," unter dem ",[72,81,82],{},"Digital Operational Resilience Act (DORA)"," veröffentlicht. Auf dieser Liste stehen 19 Anbieter, darunter ",[72,85,86],{},"Microsoft Ireland Operations Limited",". Anfang 2026 hat die operative ESA-Aufsicht über diese CTPPs begonnen – mit eigenen Joint Examination Teams und einem Lead Overseer pro Anbieter. Am ",[72,89,90],{},"2. Februar 2026"," hat Microsoft daraufhin ein eigenes ",[72,93,94],{},"Konzentrationsrisiko- und Exit-Strategie-Framework"," veröffentlicht. Wer in Deutschland eine Bank, eine Versicherung, einen Zahlungsdienstleister oder ein Wertpapierinstitut führt, hat ab diesem Zeitpunkt ein konkretes regulatorisches Problem, falls Microsoft 365 oder Azure nicht aktiv im Exit-Plan dokumentiert ist.",[68,97,98,99,104,105,109],{},"Wir ordnen ein, was sich seit der CTPP-Designation geändert hat, welche Anforderungen die BaFin im DORA-Informationsregister konkret prüft und wie ein Exit-Plan aussieht, der einer ESA-Prüfung im laufenden Jahr standhält. Hintergrund zur europäischen Sovereignty-Bewegung – siehe unsere Analyse zum ",[100,101,103],"a",{"href":102},"/blog/eurostack-digitale-souveraenitaet","Eurostack-Konzept"," und zur ",[100,106,108],{"href":107},"/blog/cloud-act-2026","CLOUD-Act-Exposition deutscher Microsoft-Tenants",".",[111,112,114],"h2",{"id":113},"was-dora-seit-anfang-2026-verlangt-kurz-und-konkret","Was DORA seit Anfang 2026 verlangt – kurz und konkret",[68,116,117,118,121],{},"DORA ist seit dem ",[72,119,120],{},"17. Januar 2025"," EU-weit verbindlich. Adressiert sind ungefähr 22 000 europäische Finanzunternehmen – Banken, Versicherer, Wertpapierhäuser, KVGen, Zahlungsdienstleister, Krypto-Verwahrer, Handelsplätze, ICT-Drittanbieter mit kritischen Funktionen.",[68,123,124],{},"Vier Säulen sind aufsichtsrechtlich wirksam:",[126,127,128,135,141,147],"ol",{},[129,130,131,134],"li",{},[72,132,133],{},"IKT-Risikomanagement"," – Governance, Asset Inventar, Schutz- und Erkennungsmaßnahmen, Geschäftsfortführungsplanung.",[129,136,137,140],{},[72,138,139],{},"Vorfallsmeldung"," – Klassifikation und Meldung schwerwiegender IKT-Vorfälle binnen weniger Stunden.",[129,142,143,146],{},[72,144,145],{},"Resilienztests"," – inklusive Threat-Led Penetration Testing (TLPT) für signifikante Institute.",[129,148,149,152],{},[72,150,151],{},"IKT-Drittanbieter-Risiko"," – Art. 28 ff., das Herzstück der CTPP-Designation. Vertragspflichten, Exit-Strategie, regelmäßiges Testen.",[68,154,155,156,159,160,109],{},"Die ",[72,157,158],{},"BaFin-Frist für das erste DORA-Informationsregister"," lief vom 9. bis 30. März 2026. Wer es nicht oder unvollständig abgegeben hat, ist bereits in der zweiten Stufe – Nachfrage, Frist, Anordnung. Hintergrund zum Zusammenspiel mit NIS2 und DSGVO siehe ",[100,161,163],{"href":162},"/blog/nis2-dsgvo-microsoft-paradox","NIS2-DSGVO-Microsoft-Paradox",[111,165,167],{"id":166},"was-die-ctpp-designation-von-microsoft-praktisch-ändert","Was die CTPP-Designation von Microsoft praktisch ändert",[68,169,170,171,174],{},"Die ESA-Designation hat ",[72,172,173],{},"drei direkte Konsequenzen"," für jedes Microsoft-Kunden-Institut in Deutschland:",[176,177,178,188,198],"ul",{},[129,179,180,183,184,187],{},[72,181,182],{},"Direkte Aufsicht",": Microsoft wird ab 2026 von ungefähr 30 ESA-Aufsehern überwacht. Ein ",[72,185,186],{},"Lead Overseer"," ist benannt, ein Joint Examination Team kann jederzeit Informationen anfordern und Vor-Ort-Prüfungen durchführen.",[129,189,190,193,194,197],{},[72,191,192],{},"Erhöhte Dokumentationspflicht beim Kunden",": Die Bank muss ihren Microsoft-Footprint nicht nur listen, sondern auch das ",[72,195,196],{},"Konzentrationsrisiko"," quantifizieren – also belegen, wie kritisch die Abhängigkeit ist und welche Alternativen existieren.",[129,199,200,203,204,208],{},[72,201,202],{},"Bezug auf Sub-Dienstleister",": Microsoft muss seine Sub-Dienstleisterkette an die ESA offenlegen. Bank-Kunden übernehmen diese Kette in ihr eigenes DORA-Register – inklusive Akamai, CDN-Anbieter, regionaler Sub-Operator. Dieselbe Diskussion wie beim ",[100,205,207],{"href":206},"/blog/microsoft-copilot-flex-routing","Copilot Flex Routing",", nur regulatorisch verbindlich.",[68,210,211,212,215,216,219],{},"Wichtig: CTPP-Designation ",[72,213,214],{},"bedeutet nicht",", dass Microsoft jetzt automatisch DORA-konform ist. Sie bedeutet, dass Microsoft direkt überwacht wird. Die ",[72,217,218],{},"Kundenverantwortung bleibt",": Jede Bank muss ihre eigene Exit-Strategie nach Art. 28 vorhalten – Microsoft kann sie nicht erfüllen.",[111,221,223],{"id":222},"microsofts-konzentrationsrisiko-framework-nützlich-aber-kein-freibrief","Microsofts Konzentrationsrisiko-Framework – nützlich, aber kein Freibrief",[68,225,226,227,230],{},"Am 2. Februar 2026 hat Microsoft ein ",[72,228,229],{},"Sechs-Schritte-Resilience-Framework"," publiziert. Es enthält:",[176,232,233,236,239,242],{},[129,234,235],{},"Datenportabilitätsformate für Azure-Dienste (Blob, SQL, Active Directory, Analytics)",[129,237,238],{},"Geschätzte Exportzeiten je nach Datenvolumen",[129,240,241],{},"Migrations-Playbooks zu AWS, GCP oder on-premise",[129,243,244],{},"Vorlagen für Cloud-Risk-Governance",[68,246,247,248,251,252,255],{},"Das ist ein ",[72,249,250],{},"echter Fortschritt",". Aufsichtsrechtlich ersetzt es aber ",[72,253,254],{},"drei Dinge nicht",":",[176,257,258,264,270],{},[129,259,260,263],{},[72,261,262],{},"Die eigene Konzentrationsrisiko-Bewertung"," – die ESA verlangt das Institut, nicht den Anbieter, als Autor.",[129,265,266,269],{},[72,267,268],{},"Die getestete Exit-Übung"," – Microsoft kann Pfade beschreiben, aber nicht im Namen der Bank durchspielen.",[129,271,272,275,276,279],{},[72,273,274],{},"Die Wahl einer echten Alternative"," – ein Wechsel von Microsoft zu AWS oder GCP löst das Konzentrationsrisiko ",[72,277,278],{},"nicht",", weil alle drei dem CLOUD Act unterliegen. DORA fragt nach Resilienz, nicht nach US-Hyperscaler-Diversifikation.",[68,281,282,283,286,287,109],{},"Wer als deutsche Bank eine ESA-prüfbare Exit-Strategie aufbauen will, kommt deshalb an einem ",[72,284,285],{},"europäisch souveränen Ersatzstack"," nicht vorbei. Architektur und Komponenten siehe ",[100,288,289],{"href":289},"/alternativen",[111,291,293],{"id":292},"die-exit-strategie-nach-art-28-howto","Die Exit-Strategie nach Art. 28 – HowTo",[68,295,296],{},"Die sechs Schritte unten sind im strukturierten HowTo-Schema dieses Beitrags abgelegt (für Googles Rich Results). Zusammengefasst:",[298,299,301],"h3",{"id":300},"schritt-1-microsoft-footprint-identifizieren-step-1","Schritt 1: Microsoft-Footprint identifizieren {#step-1}",[68,303,304],{},"Alle Microsoft-Verträge im DORA-Register markieren. Microsoft 365, Azure, Entra ID, Dynamics, Power Platform, Defender. Kritikalität nach Geschäftsprozess klassifizieren.",[298,306,308],{"id":307},"schritt-2-konzentrationsrisiko-quantifizieren-step-2","Schritt 2: Konzentrationsrisiko quantifizieren {#step-2}",[68,310,311],{},"Heatmap nach durchschnittlicher und maximaler Wiederanlaufzeit. Welche Komponenten haben heute keinen Ersatzplan? Genau diese sind ESA-meldepflichtig.",[298,313,315],{"id":314},"schritt-3-alternativen-technisch-validieren-step-3","Schritt 3: Alternativen technisch validieren {#step-3}",[68,317,318,319,323],{},"Mindestens einen europäischen Ersatzpfad pro Dienst benennen und im Labor testen. Open-Xchange statt Exchange, Nextcloud statt SharePoint, Keycloak statt Entra ID, Element/Matrix statt Teams. Vergleichbar zum Stack, den auch das ",[100,320,322],{"href":321},"/blog/opendesk-vertriebspartnerprogramm-2026","openDesk-Vertriebspartnerprogramm"," verwendet.",[298,325,327],{"id":326},"schritt-4-exit-vertrag-mit-übergangsphase-step-4","Schritt 4: Exit-Vertrag mit Übergangsphase {#step-4}",[68,329,330],{},"Mindestens 12 Monate garantierte Datenexportphase, standardisierte Formate, API-Exporte. Eine fünftägige Kündigungsfrist trägt nicht.",[298,332,334],{"id":333},"schritt-5-jährliche-exit-übung-step-5","Schritt 5: Jährliche Exit-Übung {#step-5}",[68,336,337],{},"Migration einer realen Abteilung. Ergebnisse dokumentieren. Die JETs werden nach genau diesen Übungen fragen.",[298,339,341],{"id":340},"schritt-6-vier-regime-dokumentation-konsolidieren-step-6","Schritt 6: Vier-Regime-Dokumentation konsolidieren {#step-6}",[68,343,344,345,109],{},"DSGVO, NIS2, DORA, BSI-IT-Grundschutz oder C5 in einer Datenbank führen. Background siehe ",[100,346,348],{"href":347},"/blog/bsi-grundschutz-microsoft-365","BSI-Grundschutz und Microsoft 365",[111,350,352],{"id":351},"begriffe-kurz-definiert","Begriffe – kurz definiert",[176,354,355,361,367,373,378,384],{},[129,356,357,360],{},[72,358,359],{},"DORA",": Digital Operational Resilience Act, EU-Verordnung 2022/2554, anwendbar seit 17. Januar 2025. Adressiert die digitale operationelle Widerstandsfähigkeit des EU-Finanzsektors.",[129,362,363,366],{},[72,364,365],{},"CTPP",": Critical ICT Third-Party Provider. Anbieter, dessen Ausfall systemische Folgen für den europäischen Finanzsektor hätte. Designation durch die ESAs nach Art. 31(9) DORA, Liste erstmals am 18. November 2025 veröffentlicht.",[129,368,369,372],{},[72,370,371],{},"JET (Joint Examination Team)",": Prüfteam aus EBA-, EIOPA- und ESMA-Mitarbeitern, das einen designierten CTPP operativ überwacht.",[129,374,375,377],{},[72,376,186],{},": Federführende Behörde pro CTPP. Für Microsoft ist das einer der drei ESAs, abhängig vom Schwerpunktsegment.",[129,379,380,383],{},[72,381,382],{},"Exit-Strategie nach Art. 28 DORA",": Vertraglich fixierter, regelmäßig getesteter Plan zur Ablösung eines IKT-Drittdienstleisters innerhalb einer aufsichtsrechtlich tragfähigen Frist – ohne Service-Unterbrechung, ohne Datenverlust, in einem Format, das ein alternativer Anbieter verarbeiten kann.",[129,385,386,388],{},[72,387,196],{},": Aufsichtsrechtliches Risiko, das aus der Bündelung kritischer Funktionen bei einem einzelnen Anbieter entsteht. Beim DORA-Register quantitativ erfasst.",[111,390,392],{"id":391},"wo-europioneer-ansetzt","Wo europioneer ansetzt",[68,394,395,396,398,399,401,402,109],{},"europioneer betreibt einen ",[72,397,285],{}," auf Basis von Nextcloud, Open-Xchange, Element/Matrix, Keycloak und Collabora Online – als Managed-Hosted-Service in deutschen und EU-Rechenzentren, ohne Hyperscaler-Sub-Processor. Für Banken und Versicherer übernehmen wir die technische Validierung in Schritt 3 sowie die jährliche Exit-Übung in Schritt 5 – inklusive Migration einer realen Abteilung von Exchange Online und SharePoint auf den europäischen Stack, dokumentiert in einem Format, das die JETs lesen. Komponentenüberblick unter ",[100,400,289],{"href":289},", Pakete und Preise unter ",[100,403,404],{"href":404},"/pricing",[111,406,408],{"id":407},"fazit","Fazit",[68,410,411,414],{},[72,412,413],{},"2026 ist das Jahr, in dem DORA von Papier zu Prüfung wird."," Die ESA-Aufseher haben Microsoft offiziell unter Beobachtung – aber sie prüfen nicht Microsoft, sie prüfen die deutsche Bank, die ihren Microsoft-Footprint nicht ehrlich quantifiziert. Das Microsoft-Konzentrationsrisiko-Framework vom Februar 2026 ist ein gutes Stück Material – aber nicht die Exit-Strategie eines deutschen Instituts. Wer 2026 eine ESA-prüfbare Antwort liefern muss, kommt an einem europäischen Ersatzstack im Test- und Pilotbetrieb nicht vorbei.",[68,416,417],{},[100,418,420],{"href":419},"/contact?subject=DORA-Exit-Strategie","Exit-Strategie-Workshop anfragen →",[422,423],"hr",{},[68,425,426],{},[72,427,428],{},"Verwandte Beiträge:",[176,430,431,436,441,446,451,456],{},[129,432,433],{},[100,434,435],{"href":107},"CLOUD Act 2026 – die rechtliche Lage für deutsche Cloud-Kunden",[129,437,438],{},[100,439,440],{"href":162},"NIS2 und DSGVO – das Microsoft-Paradox in der deutschen Lieferkette",[129,442,443],{},[100,444,445],{"href":347},"BSI-IT-Grundschutz und Microsoft 365 – wo es bricht",[129,447,448],{},[100,449,450],{"href":321},"openDesk-Vertriebspartnerprogramm 2026 – der Souveräne Arbeitsplatz für KMU",[129,452,453],{},[100,454,455],{"href":206},"Microsoft 365 Copilot Flex Routing – wie die EU Data Boundary durchlöchert wird",[129,457,458],{},[100,459,460],{"href":102},"Eurostack – warum europäische digitale Souveränität konkret wird",{"title":462,"searchDepth":463,"depth":463,"links":464},"",2,[465,466,467,468,477,478,479],{"id":113,"depth":463,"text":114},{"id":166,"depth":463,"text":167},{"id":222,"depth":463,"text":223},{"id":292,"depth":463,"text":293,"children":469},[470,472,473,474,475,476],{"id":300,"depth":471,"text":301},3,{"id":307,"depth":471,"text":308},{"id":314,"depth":471,"text":315},{"id":326,"depth":471,"text":327},{"id":333,"depth":471,"text":334},{"id":340,"depth":471,"text":341},{"id":351,"depth":463,"text":352},{"id":391,"depth":463,"text":392},{"id":407,"depth":463,"text":408},"2026-06-02T00:00:00.000Z","Seit Ende 2025 gilt Microsoft als kritischer IKT-Drittdienstleister unter DORA. Was BaFin, ESAs und das Konzentrationsrisiko-Framework jetzt für Banken und Versicherer bedeuten.","md",[484,487,490,493,496],{"q":485,"a":486},"Ist Microsoft offiziell ein kritischer IKT-Drittdienstleister unter DORA?","Ja. Am 18. November 2025 haben die europäischen Aufsichtsbehörden (EBA, EIOPA, ESMA – zusammen ESAs) die erste Liste der Critical ICT Third-Party Providers (CTPPs) veröffentlicht. Microsoft Ireland Operations Limited ist Teil dieser Liste von 19 Anbietern und unterliegt seit Anfang 2026 der direkten Aufsicht durch die ESAs. Die operative Überwachung mit eigenen Joint Examination Teams (JETs) hat 2026 begonnen.",{"q":488,"a":489},"Welche Frist hat die BaFin für das DORA-Informationsregister gesetzt?","Das erste Informationsregister musste deutschen Finanzunternehmen zwischen dem 9. und 30. März 2026 an die BaFin gemeldet werden. Es enthält alle IKT-Drittdienstleister inklusive Cloud, SaaS, Datacenter und Managed Security – mit Kritikalität, Datenstandort und Sub-Dienstleisterkette. Wer Microsoft 365 oder Azure nutzt, hat damit eine direkte Verbindung zu einem CTPP im Register.",{"q":491,"a":492},"Was unterscheidet DORA Art. 28 von einem klassischen Cloud-Vertrag?","Artikel 28 verlangt eine vertraglich fixierte und regelmäßig getestete Exit-Strategie für jeden kritischen IKT-Dienst. Es genügt nicht, einen Exit theoretisch zu beschreiben. Verlangt werden dokumentierte Datenportabilität, ein Migrationsplan zu einem alternativen Anbieter oder on-premise, getestete Wiederanlauffristen und eine Übergangsphase ohne Service-Unterbrechung. Ein reines Microsoft-eigenes Exit-Playbook erfüllt diese Anforderung nur teilweise, weil es Microsoft als einzigen Ausgangspunkt voraussetzt.",{"q":494,"a":495},"Reicht das Microsoft-Konzentrationsrisiko-Framework vom Februar 2026 für die Aufsicht?","Nein, es ist ein Baustein, kein Ersatz. Microsofts Six-Step-Framework liefert Datenportabilitätsformate, Export-Zeitschätzungen und Migrationspfade zu AWS, GCP oder on-premise. Die BaFin verlangt jedoch eine institutsinterne Risikobewertung der Konzentration, eine nachweisbar getestete Exit-Übung und eine Sub-Dienstleisterketten-Analyse. Das Microsoft-Dokument liefert das Material, ersetzt aber nicht den eigenen Beweis.",{"q":497,"a":498},"Wie passt DORA zu CLOUD Act, NIS2 und BSI-Grundschutz?","DORA ist sektorspezifisch (Finanzwesen), die anderen sind sektor-übergreifend. Wer Microsoft 365 in einer Bank betreibt, muss vier Regimes parallel bedienen – DSGVO/Schrems, NIS2 (für Kritis-relevante Bereiche), BSI-IT-Grundschutz oder C5 plus DORA. Die Risikoanalysen sind weitgehend deckungsgleich, die Dokumentationspflichten überschneiden sich. Wer früh europäisch hostet, reduziert die Vier-Regime-Last in einem Schritt.",{"name":500,"description":501,"totalTime":502,"steps":503},"DORA-Exit-Strategie für Microsoft 365 in einem Finanzinstitut aufbauen","Sechsstufiger Pfad von der CTPP-Bestandsaufnahme bis zur jährlichen Exit-Übung, ESA-prüfbar dokumentiert.","P180D",[504,507,510,513,516,519],{"name":505,"text":506},"Microsoft-Footprint im Informationsregister identifizieren","Alle Microsoft-Verträge im DORA-Informationsregister markieren – Microsoft 365, Azure, Entra ID, Dynamics, Power Platform, Defender. Kritikalität je Dienst nach Funktion (Kernbanksystem-Anbindung, Kundenkommunikation, Identity) klassifizieren. Sub-Dienstleister, die Microsoft selbst meldet (z. B. Akamai, CDNs), übernehmen.",{"name":508,"text":509},"Konzentrationsrisiko quantifizieren","Ausfallszenario je Kerndienst rechnen – durchschnittliche und maximale Wiederanlaufzeit, betroffene Geschäftsprozesse, regulatorische Meldepflichten innerhalb 24 Stunden. Ergebnis ist eine Heatmap, welche Microsoft-Komponenten ohne Ersatzplan an die ESA gemeldet werden müssten.",{"name":511,"text":512},"Alternativen technisch validieren","Für jeden kritischen Dienst mindestens einen europäischen Ersatzpfad benennen und im Labor testen. Beispiele – Open-Xchange oder Mailcow statt Exchange Online, Nextcloud statt SharePoint, Keycloak statt Entra ID, Element/Matrix statt Teams, lokal gehostetes Modell statt Copilot. Test heißt – Datenmigration mit Produktivvolumen einmal durchgespielt.",{"name":514,"text":515},"Exit-Vertrag mit Übergangsphase formulieren","Im Microsoft-Vertrag eine Exit-Klausel mit garantierter Datenexportphase von mindestens 12 Monaten ergänzen. Standardformate (PST, EML, CSV, ICS, OOXML) und maschinenlesbare API-Exporte festhalten. Eine Kündigung mit fünf Werktagen Vorlauf ist nicht aufsichtsrechtlich tragfähig.",{"name":517,"text":518},"Exit-Übung jährlich durchführen","Mindestens einmal jährlich eine Teil-Exit-Übung durchführen, z. B. Migration einer Abteilung aus Exchange Online in Open-Xchange. Ergebnisse, Probleme und Wiederanlaufzeiten dokumentieren. Die ESA-Joint-Examination-Teams werden 2026 und 2027 nach genau diesen Übungsnachweisen fragen.",{"name":520,"text":521},"Vier-Regime-Dokumentation konsolidieren","Verarbeitungsverzeichnis (DSGVO Art. 30), Risikoregister (NIS2 Art. 21), DORA-Informationsregister (Art. 28) und BSI-Grundschutz- oder C5-Nachweise in einer gemeinsamen Datenbank pflegen. Doppelarbeit kostet Banken ein bis zwei Vollzeitstellen pro Jahr; eine konsolidierte Compliance-Datenbank halbiert den Aufwand.",{"src":523},"https://images.unsplash.com/photo-1559526324-4b87b5e36e44?w=1200&q=80",{},true,"/de/blog/dora-microsoft-365-exit-strategie-banken-2026",{"title":52,"description":481},"de/3.blog/14.dora-microsoft-365-exit-strategie-banken-2026","oL4zLBBIA4tDqCvNo39lrpu4MelOMAUAOYDqNxpKx1s",[531,536],{"title":532,"path":533,"stem":534,"description":535,"children":-1},"openDesk verlässt die Bundesverwaltung – ZenDIS öffnet den Souveränen Arbeitsplatz für KMU","/de/blog/opendesk-vertriebspartnerprogramm-2026","de/3.blog/13.opendesk-vertriebspartnerprogramm-2026","Seit Mai 2026 dürfen Vertriebspartner openDesk an KMU verkaufen. Was die ZenDIS-Suite leistet, wie sie Microsoft 365 ablöst und wie Sie pilotieren.",{"title":537,"path":538,"stem":539,"description":540,"children":-1},"Nextcloud für KMU – Die sichere Alternative zu OneDrive und SharePoint","/de/blog/nextcloud-fuer-kmu","de/3.blog/2.nextcloud-fuer-kmu","Nextcloud bietet alles, was KMU für Dateiverwaltung, Teamkollaboration und Kommunikation brauchen – auf eigenen Servern, DSGVO-konform.",1780384470670]