RegTech-SaaS in Frankreich: Marktlandschaft, Compliance-Anforderungen und was europäische Anbieter wissen müssen

#regtech saas frankreich
Sandor Farkas - Founder & Lead Developer at Wolf-Tech

Sandor Farkas

Gründer & Lead Developer

Experte für Softwareentwicklung und Legacy-Code-Optimierung

Ein Compliance-SaaS-Anbieter aus Großbritannien gewinnt im selben Quartal ein Pilotprojekt bei einer niederländischen Bank und einem deutschen Versicherer. Ermutigt vereinbart der Gründer zwei Discovery-Calls mit französischen Interessenten - einem mittelgroßen Asset Manager in Lyon und einer regionalen Genossenschaftsbank in Bordeaux. Beide Gespräche laufen gut. Dann kommen die Procurement-Fragebögen. Wo genau liegen die Daten? Ist die Plattform bei der ACPR gemeldet? Integriert sich die Lösung mit dem Meldeportal der AMF? Gibt es einen französischsprachigen Auftragsverarbeitungsvertrag nach den CNIL-Referenzklauseln? Enthält der Vertrag ein französischsprachiges SLA? Sechs Wochen später hängen beide Deals in der Schwebe - nicht wegen Preis oder Produkt, sondern wegen Compliance- und Lokalisierungslücken, von denen der Anbieter nichts ahnte.

Das ist die Standarderfahrung ausländischer SaaS-Unternehmen, die unvorbereitet in den französischen RegTech-Markt einsteigen. Frankreichs RegTech-Sektor ist gemessen an Dealvolumen und institutioneller Tiefe der zweitgrößte in Europa und damit wirklich attraktiv. Er ist aber auch geprägt von einer Regulierungsarchitektur - ACPR, AMF, CNIL und Erwartungen an Datensouveränität, die weit über generische DSGVO-Compliance hinausgehen -, die echte Hürden für Anbieter schafft, die ihn als simple Erweiterung ihres deutschen oder britischen Go-to-Market-Playbooks behandeln.

Dieser Leitfaden kartiert die französische RegTech-Landschaft über vier Verticals, erklärt die ACPR- und AMF-Berührungspunkte, die darüber entscheiden, ob Dein SaaS ein Werkzeug bereitstellt oder eine regulierte Tätigkeit ausübt, stellt die französische Procurement-Kultur dem gegenüber, was Du anderswo erlebst, und liefert eine konkrete Checkliste für die Lokalisierungs- und Vertragsanforderungen, an denen Deals spät im Zyklus gerne scheitern.

Der französische RegTech-Markt: Vier Verticals, die zählen

Regulatory Technology ist in Frankreich kein einheitlicher Markt - es sind vier verschiedene Einkaufsökosysteme mit unterschiedlichen regulatorischen Berührungspunkten, unterschiedlichen Beschaffungsprozessen und sehr unterschiedlichen Erwartungen an eine Anbieterbeziehung.

Banking und AML/CFT-Compliance ist das größte und reifste Vertical. Französische Banken - BNP Paribas, Société Générale, Crédit Agricole und die großen regionalen genossenschaftlichen Netzwerke - stehen unter der gemeinsamen Aufsicht der ACPR (Autorité de Contrôle Prudentiel et de Résolution) und des einheitlichen Aufsichtsmechanismus der EZB. Ihre Pflichten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung ergeben sich aus dem AMLA-Rahmen der EU, umgesetzt in französisches Recht über den Code Monétaire et Financier. Für SaaS-Anbieter in diesem Bereich lautet die Kernfrage, ob Du ein Workflow-Tool bereitstellst, das das Urteil eines Compliance-Officers unterstützt, oder eine Entscheidungsmaschine, die bestimmt, ob eine Transaktion verdächtig ist. Die ACPR zieht hier eine scharfe Linie, und Anbieter auf der falschen Seite dieser Linie üben eine regulierte Tätigkeit ohne Lizenz aus.

In der Praxis heißt das: Jede Aktion in Deinem System - ein vergebener Risiko-Score, eine markierte Transaktion, ein abgelehnter Kunde - sollte mit Begründung, verwendeten Dateneingaben und der Identität des Menschen protokolliert werden, der das Ergebnis geprüft oder freigegeben hat. Nutzt Deine Plattform ML-Scoring, erwartet die ACPR Erklärbarkeit auf Ebene der Einzelentscheidung. Black-Box-Scores genügen den Prüfungsanforderungen nicht.

DSGVO-Data-Governance ist das zweite Vertical, fast vollständig geprägt von der CNIL, Frankreichs Datenschutzbehörde. Die CNIL veröffentlicht detaillierte technische Empfehlungen zu Analytics-Konfiguration, Cookie-Consent-Mechanik, Aufbewahrung von Authentifizierungslogs und KI-Datenverarbeitung, die französische Enterprise-Procurement-Teams als faktisch bindend behandeln, selbst wenn die zugrunde liegende Regulierung Interpretationsspielraum lässt. Ein DSGVO-Compliance- oder Data-Governance-SaaS für den französischen Markt zu bauen bedeutet, sich auf Implementierungsebene an den CNIL-Leitlinien auszurichten, nicht nur auf Policy-Ebene. Ein Anbieter, der DSGVO-Compliance behauptet, aber die technischen CNIL-Leitlinien zu Analytics und Authentifizierungs-Logging nicht gelesen hat, fällt bei einer ernsthaften Prüfung durch einen französischen DPO durch.

ESG- und Nachhaltigkeitsberichterstattung ist 2025-2026 das am schnellsten wachsende Vertical. Die Corporate Sustainability Reporting Directive wird aktiv durchgesetzt, und Frankreichs AMF verfolgt eine ungewöhnlich proaktive Linie bei Greenwashing-Offenlegungen, besonders für Asset Manager unter SFDR. Französische Unternehmen oberhalb der CSRD-Schwellen kaufen Plattformen, die doppelte Wesentlichkeitsanalysen, ESRS-konforme Datenerhebung und XBRL-Tagging für ESMAs European Single Access Point automatisieren. Dieser Markt ist vertikal offen - die meisten etablierten Compliance-Plattformen wurden nicht mit dem Scope der CSRD im Kopf gebaut -, und gut positionierte SaaS-Anbieter schließen hier substanzielle Verträge ab.

Versicherung und Solvency II ist das vierte Vertical. Frankreichs Versicherungssektor wird von der ACPR beaufsichtigt, und die Solvency-II-Meldepflichten verlangen vierteljährliche und jährliche Einreichungen in die Datenerhebungsrahmen der EIOPA. Die praktische Konsequenz für SaaS-Anbieter: Dein Datenmodell muss die quantitativen Meldebögen (QRTs) von Solvency II abbilden, und Deine Ausgabeformate müssen mit der XBRL-Taxonomie kompatibel sein, die das Meldeportal der ACPR akzeptiert. Französische Versicherer reagieren zudem sehr sensibel auf Risiken für die Betriebskontinuität: Ihre Procurement-Rahmen verlangen üblicherweise Nachweise über Disaster-Recovery-Tests und Recovery Time Objectives, die über generische SaaS-SLAs hinausgehen.

ACPR und AMF: Die regulatorischen Grenzen, die Deine Produktkategorie definieren

Die folgenreichste Compliance-Frage für jedes RegTech-SaaS beim Markteintritt in Frankreich ist nicht "Bist Du DSGVO-konform?" - sondern "Was glaubt die ACPR oder die AMF, was Du tust?"

Der Perimeter der ACPR. Die ACPR beaufsichtigt Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen und Zahlungsdienstleister. Ihr Interesse an RegTech-Anbietern gilt nicht der Regulierung der Anbieter selbst - es gibt keine ACPR-Lizenz für RegTech-SaaS -, sondern der Verantwortlichkeit des regulierten Unternehmens, das Dein Produkt nutzt. Wenn das AML-Team einer Bank Deine Plattform nutzt, um Verdachtsmeldungen zu erzeugen, erwartet die ACPR, dass die Bank nachweisen kann, dass menschliches Urteil auf das Ergebnis angewendet wurde, dass die Kriterien Deines Systems dokumentiert und vertretbar sind und dass die Bank einem Prüfer auf Französisch erklären kann, warum eine bestimmte Entscheidung getroffen wurde.

Das bedeutet: Dein Produkt muss Audit-Trails erzeugen, die ein französischer Compliance-Officer ohne Hilfe eines Data Scientists lesen kann. Jede gescorte Transaktion, jeder markierte Kunde, jede automatisierte Aktion sollte neben dem strukturierten Log eine menschenlesbare Begründung produzieren. Erzeugt Dein Erklärbarkeitsmodul Ausgaben nur auf Englisch, plane die Lokalisierung ein, bevor Du auf französische Käufer aus regulierten Branchen zugehst.

Der Perimeter der AMF. Die AMF beaufsichtigt Wertpapierdienstleister, Asset Manager (SGPs) und Marktintermediäre. Für RegTech-Anbieter im Bereich ESG und Trading-Compliance ist das Kernanliegen der AMF die Genauigkeit des regulatorischen Reportings - konkret, ob Daten, die über Deine Plattform an das GECO-Meldesystem der AMF oder an Transaktionsregister übermittelt werden, korrekt und vollständig sind. Die veröffentlichte Doktrin der AMF zur Delegation ist eindeutig: Ein reguliertes Unternehmen kann einen externen Anbieter für die Vorbereitung regulatorischer Einreichungen nutzen, bleibt aber für das Eingereichte voll verantwortlich und kann Fehler nicht dem Anbieter zuschreiben. Das hat direkte Folgen dafür, wie Du französische Verträge und SLAs formulierst. Deine Haftungsposition ist in Frankreich mit ziemlicher Sicherheit enger als in Deutschland oder Großbritannien.

Die beratungsnahe Mitte. Ein erheblicher Teil des französischen RegTech-Markts operiert in einem Raum, den ACPR und AMF nicht direkt beaufsichtigen - Compliance-Trainingsplattformen, Policy-Management-Systeme, Regulatory-Intelligence-Feeds und ähnliche Tools. Passt Dein Produkt klar hierhin, entgehst Du der schwersten regulatorischen Prüfung. Das Risiko liegt in mehrdeutiger Positionierung: Eine "Compliance-Decision-Support-Plattform", die tatsächliche Compliance-Entscheidungen beeinflusst, ohne klare menschliche Override-Ebene und dokumentierten Audit-Trail, zieht Prüfungen an, mit denen Du vielleicht nicht rechnest.

Procurement-Kultur: Wie sich französischer Enterprise-Einkauf unterscheidet

Französisches Enterprise-Procurement für SaaS in regulierten Branchen unterscheidet sich von deutschem, britischem und US-Procurement auf operativ relevante Weise.

Einkaufskomitees entscheiden langsam, aber kollektiv. Das IT- und Compliance-Einkaufskomitee einer großen französischen Bank umfasst typischerweise Legal, IT-Security, das DPO-Büro, die interne Revision und die betroffene Fachabteilung. Ein Meeting mit "dem Entscheider" im Sinne einer US-Vertriebskultur zu bekommen ist oft unmöglich - Entscheidungen fallen im Komitee, und das Komitee braucht Dokumentation statt Demos. Plane für Erstverträge mit großen regulierten Instituten RFP-Zyklen von drei bis sechs Monaten ein.

Technische Fragebögen gehen tiefer als anderswo. Französische Enterprise-Käufer in regulierten Branchen fragen routinemäßig nach DPIA-Zusammenfassungen, Penetrationstest-Berichten aus den letzten zwölf Monaten, Datenflussdiagrammen mit allen Unterauftragsverarbeitern und deren physischen Standorten, Nachweisen über Disaster-Recovery-Tests (nicht Design-Spezifikationen) und einer Liste der Unterauftragsverarbeiter, die zwischen in Frankreich niedergelassenen Verarbeitern und solchen mit SCCs oder Angemessenheitsbeschlüssen für internationale Transfers unterscheidet. Anbieter, die diese Dokumente nicht liefern können, scheiden in der Dokumentationsphase aus, bevor eine Demo überhaupt angesetzt wird.

Proof-of-Concept-Anfragen sind technisch ernst gemeint. Anders als in manchen Märkten, wo ein POC eine Formalität ist, nutzen französische Käufer aus regulierten Branchen POCs, um konkrete Integrationspunkte zu testen - die Anbindung an ihr Kernbankensystem, ihre ACPR-Meldeinfrastruktur oder ihren internen Data Lake. Auf einen technisch rigorosen POC von vier bis acht Wochen vorbereitet zu sein ist eine praktische Eintrittsvoraussetzung.

Der Vergleich mit Deutschland und Großbritannien. Procurement im deutschen Mittelstand ist tendenziell schneller, direkter und stärker auf technische Fähigkeit fokussiert. Französisches Enterprise-Procurement ist langsamer, komiteegetriebener und dokumentationslastiger, bevor eine technische Evaluierung beginnt. Britisches Procurement liegt typischerweise dazwischen. Anbieter, die deutsche oder britische Zyklen gewohnt sind, sollten für französische Enterprise-Sales deutlich mehr Zeit einplanen - und das langsamere Tempo nicht als fehlendes Interesse deuten.

Lokalisierungsanforderungen: Was vor dem Abschluss stehen muss

Mehrere Lokalisierungsanforderungen sind für französische Enterprise-Verträge in regulierten Branchen nicht verhandelbar. Fehlen sie, endet der Deal im Einkaufskomitee.

Data Residency. Französische regulierte Branchen verlangen, dass Kundendaten auf Infrastruktur liegen, die sich physisch in Frankreich befindet und unter französischer Rechtshoheit betrieben wird. Praktisch bedeutet das: Produktions-Workloads in AWS Paris (eu-west-3), GCP Paris-Marne, Azure France Central oder bei französisch betriebenen Alternativen wie OVHcloud oder Scaleway. Eine Zentralisierung in Dublin oder Frankfurt - ein üblicher EU-Region-Default - fällt bei Procurement-Reviews großer französischer Finanzinstitute durch. Für Käufer im öffentlichkeitsnahen Bereich wird die SecNumCloud-Qualifizierung Deines Infrastrukturanbieters relevant: Outscale und die qualifizierten Angebote von OVHcloud werden in französischen RFPs mit diesem Souveränitätsniveau am häufigsten genannt.

Französischsprachige Vertragsdokumentation. Französischsprachiges SLA, Auftragsverarbeitungsvertrag und AGB werden als französische Originaldokumente erwartet, nicht als übersetzte Kopien englischer Vorlagen. Die CNIL veröffentlicht Referenzklauseln für Standard-AVV-Bedingungen, deren akkurate Umsetzung französische DPO-Büros erwarten. Ein englischer AVV mit französischem Deckblatt erfüllt diese Erwartung nicht. Investiere in ordentliche juristische Übersetzung und Prüfung, bevor Du aktive französische Sales-Zyklen startest.

Hébergement de données de santé (HDS)-Zertifizierung. Verarbeitet Dein RegTech-Produkt gesundheitsbezogene Daten - relevant für Compliance-Plattformen mit Berührung zu Krankenversicherung, Arbeitsmedizin-Compliance oder EHDS-nahen Anwendungsfällen -, gilt für Deine Infrastruktur das französische HDS-Zertifizierungsframework der ANS. Die HDS-Zertifizierung ist eine echte Procurement-Hürde: Regulierte Healthcare-Käufer in Frankreich verarbeiten keine Gesundheitsdaten über einen nicht HDS-zertifizierten Anbieter, unabhängig vom DSGVO-Status.

CNIL-konforme Consent- und Privacy-Implementierung. Die Durchsetzung der CNIL beim Cookie-Consent gehört zu den konsequentesten in Europa. Hat Dein SaaS eine französischsprachige Web-Präsenz, muss Dein Consent-Mechanismus die veröffentlichten UI-Leitlinien der CNIL erfüllen: eine prominente Ablehnen-Option auf gleicher Ebene wie Akzeptieren, keine vorangekreuzten Boxen, keine Dark Patterns und ein echter "Alles ablehnen"-Pfad, der nicht versteckt ist. Französische Enterprise-Käufer prüfen Anbieter-Websites inzwischen während der Procurement-Due-Diligence darauf - es gilt als Proxy für die gesamte Compliance-Reife.

Integratoren und Compliance-Beratungen: Wie der Markt fließt

Die meisten französischen RegTech-Verträge oberhalb der 50.000-Euro-Schwelle in Banking, Versicherung und Asset Management werden über einen etablierten Intermediär vermittelt oder co-verkauft. Das zählt in Frankreich mehr als in Deutschland oder Großbritannien.

Große Integratoren mit starker Position in der Compliance-Infrastruktur französischer Finanzdienstleister sind unter anderem die Financial-Services-Practice von Capgemini, Sopra Steria und das Regulated-Industries-Vertical von Atos. Für kleinere und Mid-Market-Deals agieren unabhängige Beratungen mit Spezialisierung auf französische Regulierungs-Compliance - besonders in AML/CFT, Solvency II und ESG-Reporting - als faktische Gatekeeper: Sie empfehlen ihren Kunden Plattformen, entwickeln RFP-Anforderungen mit und prägen die Bewertungskriterien. Beziehungen zu diesen Beratungen aufzubauen, nicht nur zum internen Team des Interessenten, verkürzt Sales-Zyklen in Frankreich messbar.

Das Paris FinTech Forum und das Mitgliedernetzwerk von France FinTech sind die primären Orte, an denen RegTech-Käufer und -Anbieter öffentlich interagieren. Präsenz auf diesen Events signalisiert Marktcommitment auf eine Weise, die französische Enterprise-Käufer höher gewichten als generische Aussagen über europäische Reichweite.

Anbieter-Checkliste: Was bereit sein muss, bevor Du einen französischen Sales-Zyklus startest

Arbeite diese Liste durch, bevor Du französische Pipeline in Banking, Versicherung oder Asset Management öffnest.

Zur Datenarchitektur: Produktionsinfrastruktur in einer französischen Region oder bei einem französisch betriebenen Anbieter; dokumentierte Liste der Unterauftragsverarbeiter mit physischen Datenstandorten; Datenflussdiagramm mit sämtlicher Verarbeitung und Speicherung personenbezogener Daten; dokumentierter Transfermechanismus für jeden Unterauftragsverarbeiter außerhalb Frankreichs.

Zur regulatorischen Positionierung: eine schriftliche Beschreibung, ob Dein Produkt für ACPR- oder AMF-Zwecke ein Decision-Support-Tool oder ein Decision-Making-Tool ist; ein Audit-Trail-Design, das französisch lesbare Ausgaben für die Prüfung durch Compliance-Officer erzeugt; Erklärbarkeitsdokumentation für alle ML-Komponenten, die Compliance-Entscheidungen beeinflussen.

Zur Vertragsbereitschaft: französischsprachiger AVV nach den CNIL-Referenzklauseln; französischsprachiges SLA mit RTO/RPO-Zusagen, die durch echte Testnachweise gedeckt sind; französischsprachige AGB; Haftungsbegrenzungsklauseln, die die Verantwortlichkeitsrahmen französischer regulierter Unternehmen widerspiegeln.

Zur technischen Compliance: Penetrationstest-Bericht aus den letzten zwölf Monaten; Disaster-Recovery-Testnachweise mit dokumentierten RTO/RPO-Ergebnissen; DPIA-Zusammenfassung für Procurement-Reviews; CNIL-konformer Cookie-Consent auf allen Web-Properties mit französischer Domain.

Zur Marktpräsenz: mindestens eine Kundenreferenz aus einer französischen regulierten Branche, auch im Pilotstadium; französischsprachige Produktdokumentation oder eine verbindliche Roadmap dafür; ein französischsprachiger Pre-Sales- oder Technik-Kontakt.

Ist Dein Produkt im ESG-Reporting positioniert, ergänze: ESRS-Taxonomie-Alignment und XBRL-Output-Fähigkeit für ESMAs ESAP; Dokumentation Deiner CSRD-Datenerhebungsmethodik; und Vertrautheit mit dem SFDR-Reporting-Rahmen der AMF.

Architektonische Implikationen

Die obigen Compliance-Anforderungen sind nicht nur Vertriebs- und Rechtsprobleme - mehrere haben direkte Auswirkungen darauf, wie Dein Produkt gebaut und betrieben wird.

Vollständigkeit und Aufbewahrung von Audit-Trails übersetzen sich in Storage-Architekturentscheidungen: unveränderliche Append-only-Logs, konfigurierbare Aufbewahrungsrichtlinien mit automatisierter Durchsetzung und rollenbasierte Zugriffskontrollen auf Audit-Daten. Mandanten aus französischen regulierten Branchen erwarten Audit-Daten für mindestens fünf Jahre, konsistent mit französischen gesetzlichen Verjährungsfristen.

Multi-Region-Data-Residency - französische Kundendaten in Frankreich halten und gleichzeitig deutsche Kunden aus Frankfurt bedienen - erfordert mandantenbewusstes Routing auf Anwendungsebene, nicht nur Infrastrukturkonfiguration. Das ist keine triviale Änderung, wenn Deine Plattform auf einer Single-Region-Annahme gebaut wurde, und es lohnt sich, die Abstraktion korrekt zu bauen, bevor Deal-Druck einen überhasteten Umbau erzwingt. Die Arbeit von Wolf-Tech in Custom Software Development und Legacy Code Optimization umfasst regelmäßig genau diese Art von Architektur-Uplift für SaaS-Produkte, die in europäische regulierte Märkte expandieren.

Wenn Du gerade durchdenkst, wie Du Dein Produkt für französische Compliance-Anforderungen strukturierst, oder eine konkrete ACPR- oder AMF-Positionierungsfrage klären willst, melde Dich unter hello@wolf-tech.io oder besuche wolf-tech.io - das sind Fragen, bei denen eine Stunde Architektur-Review Monate an Procurement-Verzögerung sparen kann.

Die Chance, ehrlich betrachtet

Frankreich ist ein großer und wachsender Markt für Regulatory Technology. CSRD-Durchsetzung, die anhaltenden Investitionen der ACPR in Aufsichtstechnologie und der zunehmend technische Ansatz der AMF bei ESG und Handelsüberwachung lenken echtes Budget in RegTech-SaaS. Deals sind langsam - gemessen in Quartalen, nicht Monaten -, aber wenn sie zustande kommen, sind sie langlebig und mehrjährig.

Die Anbieter, die in Frankreich gerade erfolgreich sind, sind nicht zwingend die mit der besten Technologie. Es sind die, die mit dokumentierter Data Residency, fertigen französischsprachigen Verträgen und geklärter ACPR-Positionierung angetreten sind - und die mindestens einen Referenzkunden hatten, auch einen kleinen, auf den sie in Komiteediskussionen verweisen konnten. Die Compliance-Vorarbeit dauert sauber gemacht drei bis sechs Monate. Sie zu beginnen, bevor Du aktive französische Pipeline hast, statt parallel dazu, ist der Unterschied zwischen Deals, die schließen, und Deals, die an einem Fragebogen hängen bleiben.