Dr. Felix Rützel

Wechselkarussell in der Cloud: „Cloud Switching“ und Anbieterpflichten unter dem Data Act

Der Großteil der Vorschriften der Verordnung (EU) 2023/2854 („Data Act“) gilt seit dem 12. September 2025. Hierzu gehören auch die Regelungen in Art. 23 ff. Data Act, die in erster Linie Cloud-Anbieter adressieren. Sie müssen seit dem 12. September 2025 diverse Pflichten erfüllen, um Kunden den Anbieterwechsel zu erleichtern. Bei Nichteinhaltung drohen nach dem derzeitigen Entwurf des deutschen Umsetzungsgesetzes Bußgelder. Höchste Zeit also für alle Cloud-Anbieter, sich mit den umfangreichen Pflichten zum sog. Cloud Switching auseinanderzusetzen.

Warum gibt es die neuen Pflichten?

Mit den Vorschriften des Data Act zum Cloud Switching verfolgt die EU das Ziel, die Abhängigkeit von Kunden gegenüber Cloud-Anbietern zu verringern. Kunden sollen vor sog. „Vendor Lock-Ins“ geschützt und der Wettbewerb zwischen Cloud-Anbietern soll gestärkt werden. Handlungsbedarf dürfte die EU in erster Linie aufgrund der Besonderheiten des Marktes im Bereich Cloud-Computing gesehen haben. Dieser wird stark von wenigen „Big Playern“, wie Microsoft Azure, Google Cloud und AWS dominiert. Zudem wächst dieser Markt rasant: So rechnete die International Data Corporation (IDC) im Sommer letzten Jahres mit einem durchschnittlichen jährlichen Wachstum um 19,4 % bis 2028.

Wer ist betroffen?

Die Regelungen des Data Act zum Cloud Switching gelten für alle Anbieter von „Datenverarbeitungsdiensten“. Hierunter fallen in erster Linie Anbieter von Clouddiensten, und zwar unabhängig von der Art des angebotenen Clouddienstes (IaaS, PaaS, SaaS, XaaS). Auch Anbieter von Edge-Computing-Diensten können von den Vorschriften betroffen sein. Nicht erfasst sind Hosting-Dienste im engeren Sinne sowie alle sonstigen Dienste, die Rechenressourcen nicht entsprechend dem Arbeitsaufkommen auf- oder abbauen und Nachfrageschwankungen somit nicht flexibel ausgleichen können.

Die Vorschriften gelten zwar grundsätzlich auch für Anbieter solcher Clouddienste, die überwiegend auf einzelne Kunden zugeschnitten sind (sog. Custom-Built-Services). Anbieter solcher Dienste sind allerdings von einigen zentralen Vorschriften der Art. 23 ff. Data Act ausgenommen. Noch weiter geht die Privilegierung für Cloud-Dienste, die nur für Test- und Bewertungszwecke und für einen begrenzten Zeitraum bereitgestellt werden. Hinsichtlich solcher Testversionen bleiben Cloud-Anbieter von den Pflichten der Art. 23 ff. Data Act vollständig verschont. Aber Achtung: Anbieter privilegierter Dienste müssen Kunden in jedem Fall vor Vertragsschluss informieren, inwieweit sie von den Pflichten des Data Act ausgenommen sind.

Die Vorschriften zum Cloud Switching betreffen vereinfacht den Wechsel zwischen Cloud-Diensten. Sie beschränken sich hierbei aber auf bestimmte Konstellationen, nämlich einen Wechsel zu einem Dienst der gleichen Dienstart (z.B. Wechsel von SaaS zu SaaS), einen Wechsel zur eigenen IKT-Infrastruktur oder die gleichzeitige Inanspruchnahme verschiedener Cloud-Dienste. Nur wenn eine dieser Konstellationen vorliegt, müssen sich Cloud-Anbieter vor den Art. 23 ff. Data Act wappnen. Diesen Vorschriften unterfallen daher insbesondere keine Fälle, in denen ein Wechsel von der eigenen IKT-Infrastruktur in die Cloud eines Anbieters erfolgt. Dies ist denklogisch konsequent: Schließlich können aus der Nutzung der eigenen IKT-Infrastruktur keine Abhängigkeiten entstehen.

Welche Pflichten kommen auf Cloud-Anbieter zu?

Art. 23 ff. Data Act stellen umfangreiche Pflichten für Cloud-Anbieter auf. Hier einige der wichtigsten Regelungen:

Cloud-Anbieter müssen sämtliche in Art. 23 Satz 2 Data Act aufgeführte Hindernisse, die Kunden an einem Wechsel hindern könnten, beseitigen. Immerhin handelt es sich hierbei um eine abschließende Aufzählung. Verboten sind also nur solche Hindernisse, die unter einen der Buchstaben des Art. 23 S. 2 Data Act fallen.

Zudem müssen Cloud-Anbieter mit jedem Kunden einen schriftlichen Vertrag abschließen, der die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf einen Wechsel regelt. Die Mindestinhalte dieses Vertrages sind in einem langen Katalog in Art. 25 Abs. 2, Abs. 3, Abs. 5 Data Act aufgelistet. Wichtig ist, dass ein den Anforderungen des Art. 25 Data Act genügender Vertrag nicht nur ab dem 12. September 2025 mit jedem Neukunden abgeschlossen werden muss, sondern zugleich zu diesem Stichtag mit sämtlichen Kunden derartige Verträge abgeschlossen sein müssen. Es sind daher auch alle vor dem 12. September 2025 geschlossenen Bestandsverträge bis zu diesem Stichtag anzupassen.

Cloud-Anbieter treffen auch neue Informationspflichten. Insbesondere müssen sie Kunden aussagekräftige Informationen bereitstellen, wie ein Wechsel vollzogen werden kann und ob besondere Schwierigkeiten für einen solchen bestehen. Zudem müssen Cloud-Anbieter auf ihren Websites bestimmte Informationen veröffentlichen. Hierzu zählt die Beschreibung aller technischer, organisatorischer und vertraglicher Maßnahmen, die zur Gewährleistung der Sicherheit der gespeicherten Daten getroffen wurden.

Auch der Kommerzialisierung von Anbieter-Wechseln schiebt die EU einen Riegel vor: Cloud-Anbieter dürfen von Kunden nur zeitlich begrenzt und unter engen Voraussetzungen Wechselentgelte erheben. Zwar können noch bis zum 12. Januar 2027 Entgelte für Kosten erhoben werden, die Cloud-Anbietern unmittelbar durch den Wechsel entstehen. Nach diesem Stichtag ist aber auch die Erhebung von Entgelten für derartige Kosten unzulässig. Lediglich für Dienste und Handlungen, die nicht unmittelbar den Wechsel betreffen, sondern zusätzlich erbracht werden (z.B. Übergangsdienste), dürfen weiterhin Kosten erhoben werden. Auch die Vereinbarung von Stornierungsgebühren bei vorzeitiger Vertragskündigung bleibt zulässig.

Doch damit nicht genug: Der Data Act stellt in Art. 30 auch einige technische Anforderungen auf, die Cloud-Anbieter erfüllen müssen. Diese variieren je nach Art des angebotenen Dienstes. So müssen Anbieter von IaaS-Diensten alle angemessenen Maßnahmen ergreifen, um zu erreichen, dass der Kunde bei dem neuen IaaS-Dienst Funktionsäquivalenz erreicht. Ziel dieser Pflicht ist, dass Kunden durch den Wechsel zu einem anderen IaaS-Dienst möglichst keinen Funktionsverlust erleiden. Anbieter von anderen als IaaS-Diensten (SaaS, PaaS, XaaS) müssen unentgeltlich offene Schnittstellen bereitstellen, die den Wechsel ermöglichen. Diese Schnittstellen müssen alle für die Datenübertragung und Interoperabilität mit anderen Diensten erforderlichen Informationen enthalten. Zudem müssen Anbieter von anderen als IaaS-Diensten im Auge behalten, ob die EU Interoperabilitätsspezifikationen oder harmonisierte Interoperabilitätsnormen für die Interoperabilität von Datenverarbeitungsdiensten veröffentlicht. Derartige Spezifikationen bzw. Normen müssen Anbieter innerhalb von zwölf Monaten umsetzen.

Welche Hausaufgaben sind zu erledigen?

Aus den dargestellten Pflichten folgen auch die Hausaufgaben, die Cloud-Anbieter dringend erledigen sollten:

Um den technischen Anforderungen des Data Act zu genügen, müssen technische Wechselhindernisse beseitigt werden. Zudem müssen gegebenenfalls erforderliche Maßnahmen ergriffen werden, um Funktionsäquivalenz und Kompatibilität zu gewährleisten sowie ausreichende offene Schnittstellen bereitzustellen.

Ferner müssen alle Kundenverträge umfassend überarbeitet werden. Hierbei ist vor allem auf die Beseitigung etwaiger verbotener vertraglicher Wechselhindernisse zu achten. Zudem müssen alle nach dem Data Act geforderten Mindestinhalte in alle Verträge aufgenommen werden. Hierfür müssen auch mit allen Bestandskunden neue Verträge abgeschlossen werden. Bei der Vereinbarung von Wechselentgelten sollte genauestens auf die Vereinbarkeit mit den entsprechenden Vorgaben des Data Act geachtet werden. Eine Orientierung für die Überarbeitung der Verträge könnten die Standardvertragsklauseln der EU-Kommission bieten, die bislang allerdings noch nicht veröffentlicht sind.

Last but not least sollte besondere Sorgfalt auf die korrekte Einhaltung der diversen Informationspflichten verwendet werden. Verstöße gegen diese Pflichten sind relativ leicht ermittelbar, sodass für Cloud-Anbieter in der Praxis insoweit ein besonderes Haftungsrisiko besteht.

Wofür der Aufwand?

Leider lassen sich die Hausaufgaben, die der Data Act Cloud-Anbietern aufgibt, nicht von heute auf morgen erledigen. Cloud-Anbieter sollten sich davon aber nicht abhalten lassen. Denn statt eines Eintrags ins Klassenbuch drohen Bußgelder: Der Data Act verpflichtet die Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen zu erlassen. Nach dem derzeitigen Referentenentwurf des „Data Act-Durchführungsgesetzes“ drohen bei Verstößen gegen die Pflichten für Cloud-Anbieter Bußgelder in Höhe von bis zu 100.000 EUR. Diese können vor allem mittelständische Cloud-Anbieter empfindlich treffen.

Um dieses Risiko erfolgreich zu minimieren, sollten sich Cloud-Anbieter dringend mit der Umsetzung des Data Act befassen. Schwierigkeiten ergeben sich zunächst daraus, dass es noch lange dauern wird, bis es erste Gerichtsentscheidungen zum Data Act gibt. Zudem sind die Vorschriften, die sich an Cloud-Anbieter richten, mit zahlreichen Unklarheiten gespickt: Was sind die genauen Voraussetzungen für die Privilegierung als Custom-Built-Service? Wann gelten Kundenverträge als schriftlich abgeschlossen? Wie ausführlich müssen die von Cloud-Anbietern bereitzustellenden Informationen sein? Wann sind Maßnahmen zur Gewährleistung der Funktionsäquivalenz angemessen? Hierdurch wird eine rechtssichere Umsetzung erheblich erschwert.

Autor:

Dr. Felix Rützel ist Rechtsanwalt für IT-Recht bei Grünecker in München. Er berät in- und ausländische Mandanten in allen Fragen des IT-Rechts mit einem Schwerpunkt auf digitalen Geschäftsmodellen und umfangreichen Digitalisierungsprojekten.