Lisa-Marie Schuchardt

Last Call für Cloud-Anbieter: So verändert der EU Data Act den Umgang mit Kundendaten

Mit dem EU Data Act tritt ein neues Regelwerk in Kraft, das die Spielregeln für Cloud- und insbesondere SaaS-Anbieter grundlegend verändert. Insbesondere die neuen Pflichten zu Datenportabilität, Interoperabilität und Anbieterwechsel setzen etablierte Geschäftsmodelle unter Druck. Für Datenschutzbeauftragte und Vertragsverantwortliche bedeutet das: Die bisherige Vertrags- und Datenschutzpraxis muss umfassend überprüft werden. Wer seine Alt-verträge, AGB und Auftragsverarbeitungsverträge jetzt nicht anpasst, riskiert nicht nur Compliance-Lücken und Bußgelder, sondern auch eine Kundenabwanderung durch Sonderkündigungen.

Neue Spielregeln für den Datenzugang in der EU

Mit der Verordnung (EU) 2023/2854 (Data Act) hat die Europäische Union die Rahmenbedingungen für den Zugang zu und die Nutzung von Daten innerhalb des Binnenmarkts umfassend neugestaltet. Ein wesentlicher Teil der Vorschriften richtet sich dabei explizit an Anbieter von Datenverarbeitungsdiensten, zu denen ausdrücklich auch SaaS-Anbieter zählen – unabhängig von deren Größe oder Umsatz. Im Fokus des Data Acts für Datenverarbeitungsdienste steht der Wille, Lock-in-Effekte abzubauen, die Interoperabilität durch einheitliche Schnittstellen und Standards zu fördern und den Wettbewerb insbesondere gegenüber großen Cloud-Providern zu stärken. Hintergrund dieser Regulierung ist die wachsende Bedeutung von Daten als Produktionsfaktor. Trotzdem stoßen Unternehmen im Cloud- und SaaS-Bereich noch oft auf technische oder vertragliche Blockaden, die einen freien und effizienten Datenfluss behindern.

Genau diese Hindernisse geht der Data Act nun an: Die Verordnung verpflichtet die Anbieter von Datenverarbeitungsdiensten dazu, ihren Nutzerinnen und Nutzern künftig einen leichteren Zugang zu ihren eigenen Daten zu ermöglichen. Außerdem müssen Daten so bereitgestellt werden, dass ein problemloser, anbieterübergreifender Datentransfer möglich ist. Insgesamt werden gezielt Wechselbarrieren reduziert und abgebaut.

Die neuen Vorgaben richten sich nicht nur an internationale Hyperscaler, sondern an sämtliche Anbieter, die Datenverarbeitungsdienste in der EU anbieten, unabhängig davon, wie groß ihr Marktanteil oder die Reichweite ihres Angebots ist. Explizit nennen die Erwägungsgründe Software-as-a-Service, Platform-as-a-Service, Infrastructure-as-a-Service und auch AI-as-a-Service als Datenverarbeitungsdienste.

Der Data Act ist bereits in Kraft und gilt ab dem 12. September 2025 unmittelbar in allen EU-Mitgliedstaaten. Unternehmen haben damit nicht mehr viel Zeit, um ihre technischen Systeme, Abläufe und insbesondere die vertragliche Ausgestaltung an die neuen Vorgaben anzupassen.

Die neuen Pflichten für Cloud-Anbieter

Der Data Act definiert eine Reihe neuer Pflichten, die für alle Cloud-Anbieter verbindlich sind, die alle dazu dienen, Wechsel zu erleichtern und Hindernisse abzubauen.

Cloud Switching

Cloud-Nutzer erhalten künftig ein umfassendes Recht auf Anbieterwechsel, auch während laufender Vertragsbeziehungen. Dieses Wechselrecht setzt voraus, dass aktueller Anbieter und Zielanbieter vergleichbare Hauptfunktionen und Dienstmodelle anbieten (z.B. Wechsel von SaaS zu SaaS). Dabei müssen die Dienste aus Sicht des Nutzers austauschbar sein. Die maximal zulässige Ankündigungsfrist für einen Wechsel beträgt für Nutzer zwei Monate. Sobald der erfolgreiche Datentransfer abgeschlossen ist, endet der Vertrag beim bisherigen Anbieter automatisch und unabhängig von etwaigen Mindestlaufzeiten. Es wird hier also ein weiterer Vertragsbeendigungsmechanismus etabliert. Für die technische Abwicklung des Anbieterwechsels sieht der Data Act grundsätzlich eine Übergangsfrist von 30 Tagen vor, in denen die Daten des Nutzers exportiert und auf den neuen oder zusätzlichen Anbieter zu übertragen sind. Ausnahmsweise kann diese Frist bei triftigen technischen Gründen auf maximal sieben Monate verlängert werden, wobei eine detaillierte Begründung durch den bisherigen Anbieter erforderlich ist. Solange läuft der ursprüngliche Vertrag mit dem bisherigen Anbieter weiter und muss auch weiterhin von beiden Seiten erfüllt werden – von der Dienstbereitstellung bis zur Vergütungspflicht. 30 Tage nach Beendigung des Vertrages sind die Daten vom alten Anbieter noch als Backup aufzuheben und dann zu löschen.

Ein denkbares Beispiel wäre ein Fitnessstudio, welches eine Cloud-Software nutzt, um Mitgliedsdaten und Trainingspläne zu verwalten. Es entscheidet sich für einen neuen Anbieter mit besseren Auswertungen, der aber die gleichen Grundfunktionen als Cloud-Software anbietet und teilt dieses Wechselverlangen dem bisherigen Anbieter am 1. Oktober mit. Nach dem Data Act beginnt nun die zweimonatige Ankündigungsfrist, die am 30. November endet.

Ab dem 1. Dezember startet die 30-tägige Wechselphase, in der der bisherige Anbieter die Mitgliedsdaten vollständig und in einem maschinenlesbaren Format, zum Beispiel als CSV-Datei, an den neuen Anbieter übergibt. Der Wechsel ist am 30. Dezember abgeschlossen, und der Vertrag mit dem bisherigen Anbieter endet automatisch.

Anschließend hat der alte Anbieter noch 30 Tage Zeit, um ein internes Backup der Daten vorzuhalten, falls es technische Probleme beim neuen Anbieter gibt. Nach Ablauf dieser Frist – also spätestens am 29. Januar – müssen die Daten beim alten Anbieter vollständig gelöscht werden.

Egress-Kosten

Ein zentrales Ziel des Data Act ist der vollständige Abbau sogenannter Egress-Entgelte, also Gebühren für den Datenexport beim Anbieterwechsel. Diese Entgelte werden schrittweise reduziert und bis spätestens 12. Januar 2027 vollständig abgeschafft. Versteckte oder überhöhte Gebühren, die den Anbieterwechsel faktisch blockieren, sind ausdrücklich untersagt.

Informationspflichten

Anbieter müssen künftig klar und verständlich über sämtliche Wechselverfahren informieren und das sowohl im Vertrag als auch auf ihrer Website. Außerdem ist ein Online-Register bereitzustellen, das sämtliche Datenstrukturen, Datenformate und Exportprozesse ausführlich dokumentiert. Zusätzlich verlangt der Data Act die Offenlegung der Gerichtsbarkeit samt Serverstandort der IKT-Infrastruktur und Maßnahmen gegen unzulässigen Zugriff durch Drittstaaten.

Technische Interoperabilität

Cloud-Anbieter sind künftig verpflichtet, für technische Interoperabilität zu sorgen. Dazu müssen sie offene Interoperabilitätsspezifikationen einhalten, sobald diese in der einschlägigen EU-Datenbank veröffentlicht sind. Wo solche Standards (wie aktuell noch) fehlen, ist der Datenexport in marktüblichen, maschinenlesbaren Formaten sicherzustellen. Die technische Offenheit von Schnittstellen muss den problemlosen Datentransfer und die Zusammenarbeit mit anderen Diensten ermöglichen.

Data Act vs. DSGVO

Der Data Act schafft keinen eigenen datenschutzrechtlichen Rahmen und ändert die DSGVO nicht. Dennoch ergeben sich zahlreiche Schnittstellen und Wechselwirkungen, die Cloud-Anbieter in der Umsetzung des Data Acts unbedingt beachten müssen.

Sobald eine Datenübertragung oder ein Export personenbezogener Daten erfolgt, gilt uneingeschränkt die DSGVO. Dies ist auch dann der Fall, wenn der Data Act einen Portabilitätsanspruch oder ein Wechselrecht begründet. Eine Übertragung personenbezogener Daten darf ausschließlich erfolgen, wenn eine der Rechtsgrundlagen nach Art. 6 DSGVO vorliegt. Zusätzlich ist zu prüfen, ob neben den Daten des anfragenden Nutzers auch Daten anderer natürlicher Personen betroffen sind, etwa im Falle von Unternehmenskunden mit Mitarbeiter-Accounts.

Mit der Umsetzung von Datenportabilität und Anbieterwechsel gehen erhöhte Informations- und Transparenzpflichten einher. Betroffene müssen im Sinne der DSGVO klar und nachvollziehbar darüber informiert werden, wie ihre Daten exportiert oder übertragen werden, wer Empfänger ist und welche technischen sowie organisatorischen Maßnahmen zum Schutz der Daten getroffen werden. Ebenso sind die Vorgaben zu Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch umfassend zu erfüllen und lückenlos zu dokumentieren.

Besondere Anforderungen bestehen, wenn große Datenmengen oder sensible Daten in ein Drittland exportiert werden sollen. In solchen Fällen kann eine Datenschutz-Folgenabschätzung erforderlich sein, um Risiken für die Rechte und Freiheiten der Betroffenen zu bewerten. Zudem ist die Zulässigkeit der Übermittlung anhand der Vorgaben der Art. 44 ff. DSGVO gesondert zu prüfen. Bei der Migration sensibler Daten sollten stets beide beteiligten Anbieter in die dokumentierten Datenschutzprozesse einbezogen werden.

Gerade für Cloud-Anbieter bedeutet dies, dass Auftragsverarbeitungsverträge überprüft und bei Bedarf angepasst werden müssen. Portabilitätsklauseln sollten den Ablauf, das technische Format und die Fristen für den Datenexport klar festlegen. Ebenso sind präzise Löschfristen zu definieren und die Einbindung von ggf. neuen Subunternehmern für Wechsel transparent zu regeln. Wechsel- und Exportprozesse müssen detailliert beschrieben werden, um sowohl den rechtlichen Anforderungen als auch der technischen Nachvollziehbarkeit gerecht zu werden.

Unabhängig davon sind beim Export, der Migration oder beim Anbieterwechsel zwingend angemessene technisch-organisatorische Maßnahmen umzusetzen. Dazu gehören unter anderem Ende-zu-Ende-Verschlüsselung, differenzierte Zugriffsbeschränkungen, eine vollständige Protokollierung aller Datenbewegungen sowie eine belastbare Nachweisführung über sämtliche Schutzmaßnahmen.

Im Fall des wechselnden Fitnessstudios muss die Datenübertragung beim Anbieterwechsel auch nach den Vorgaben der DSGVO erfolgen. Rechtsgrundlage für die Übermittlung ist in der Regel die Vertragserfüllung gemäß Art. 6 Abs. 1 Satz 1 lit. b DSGVO. Vor dem Wechsel müssen die Mitglieder verständlich darüber informiert werden, welche Daten übertragen werden, an wen, zu welchem Zweck, welche Sicherheitsmaßnahmen greifen und welche Rechte ihnen zustehen. Diese Informationspflichten nach Art. 13 und 14 DSGVO kann das Fitnessstudio jedoch nur erfüllen, wenn es vom bisherigen und neuen Cloud-Anbietern sämtliche dafür erforderlichen Angaben erhält. Während der Übertragung sind geeignete technisch-organisatorische Maßnahmen, insbesondere Verschlüsselung und Zugriffsbeschränkungen, umzusetzen. Nach Ablauf der vereinbarten Backup-Frist von 30 Tagen muss der alte Anbieter die Daten vollständig löschen und dies dokumentieren, damit das Fitnessstudio seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen kann. Zudem sind mit beiden Anbietern aktuelle Auftragsverarbeitungsverträge nach Art. 28 DSGVO erforderlich, in denen Ablauf, Löschfristen und Datensicherheitsmaßnahmen klar geregelt sind. Wenn Gesundheitsdaten oder andere sensible Informationen verarbeitet werden, ist außerdem zu prüfen, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist. Hierzu sollten alle Beteiligten zusammenarbeiten, um einen datenschutzrechtlich konformen Wechsel zu ermöglichen.

Vertragsanpassungen sind dringend notwendig

Der Data Act wirkt sich in mehrfacher Hinsicht unmittelbar und tiefgreifend auf die Vertragsgestaltung und das Geschäftsmodell von Cloud-Anbietern aus. Wer die neuen Pflichten nicht rechtzeitig in seine Verträge, AGB und internen Prozesse integriert, geht erhebliche rechtliche und wirtschaftliche Risiken ein.

Leistungsbeschreibung

Verträge zwischen Anbietern und Nutzern müssen künftig präzise regeln, wie Portabilität, Interoperabilität und Wechselprozesse konkret ablaufen. Dazu gehören Angaben zu exportierbaren Datenarten, unterstützten Schnittstellen, technischen Verfahren und zeitlichen Abläufen beim Anbieterwechsel. Es empfiehlt sich zudem, dies in separaten Portabilitätsanhängen oder Exit-Plänen verbindlich darzustellen.

Wechselklauseln

Das gesetzliche Wechselrecht nach Data Act fordert eine Überarbeitung klassischer Kündigungsklauseln. Neu ist beispielsweise die automatische Vertragsbeendigung nach erfolgreichem Datentransfer – auch vor Ablauf von Mindestlaufzeiten. Die Einhaltung der maximal zulässigen Ankündigungsfristen und Übergangsfristen muss vertraglich gesichert sein.

Haftungsregelungen

Der Datenexport und Anbieterwechsel bergen Haftungsrisiken, etwa bei Verzögerungen oder Datenverlusten. Es besteht ein erhöhter Bedarf, Haftung und Ersatzansprüche eindeutig im Vertrag zu regeln; dies umfasst auch die Differenzierung von Haftungsstufen und Ausschlussklauseln.

Auftragsverarbeitungsverträge

Die Verbindung von Data Act-Vorgaben mit den Anforderungen der DSGVO macht die Überarbeitung von Datenschutzanhang, Auftragsverarbeitungsverträgen und technisch-organisatorischen Maßnahmen empfehlenswert. Die genauen Prozesse für Export, Löschung und Subunternehmer-Einbindung sind nachvollziehbar, prüfbar und eindeutig zu dokumentieren.

Risiken bei Untätigkeit

Eine mangelnde oder verspätete Umsetzung der neuen Anforderungen kann schwerwiegende Folgen haben. Zwar befindet sich das entsprechende Umsetzungsgesetz noch im Entwurfsstadium, welches die Bundesnetzagentur als Aufsichtsbehörde benennen und den Bußgeldrahmen festlegen soll, dennoch zeichnet sich bereits ab, dass der Bußgeldrahmen sich an dem der DSGVO orientieren soll.

Zusätzlich besteht das Risiko, dass Kunden auf zivilrechtlichem Wege Ersatz für Schäden verlangen, die durch fehlerhaften oder verspäteten Anbieterwechsel bzw. Datenverlust entstehen. Nicht-angepasste Verträge können von Kunden außerdem außerordentlich gekündigt werden durch entsprechende Wechselverlangen. Ein Schutz für bestehende Alt-Verträge vor Inkrafttreten des Data Acts ist nicht vorgesehen.

Noch bleibt offen, ob der Data Act mit seinen Informationspflichten eine Abmahnbefugnis nach dem UWG auslösen wird, es ist jedoch zu erwarten, dass hierzu Abmahnungen von Wettbewerbern ausgesprochen werden.

Schritt-für-Schritt-Checkliste zur Data-Act-Umsetzung für Cloud-Anbieter

• Bestandsaufnahme: Als Cloud-Anbieter die Pflichten unter dem Data Act identifizieren.
• Vertragsprüfung: Bestehende Verträge und insbesondere auch AGB und interne Datenschutzdokumentation auf Übereinstimmung prüfen.
• Technische Vorbereitung: Prozesse und Tools für vollständigen, sicheren Export und Import von Daten in marktüblichen, maschinenlesbaren Formaten entwickeln sowie technische Interoperabilität prüfen und an Interoperabilitätsstandards anpassen.
• Vertragsanpassungen: Neue Wechselklauseln, Informationsklauseln und Portabilitätsregelungen aufnehmen. Gleichzeitig datenschutzrechtliche Vereinbarungen überarbeiten, wenn notwendig.
• Online-Register mit allen Angaben zu Formaten, Wechselmodalitäten und Serverstandorten implementieren.
• Interne Datenschutzprozesse und Dokumente anpassen: Leitfäden für Wechselverlangen, Löschfristen und ggf. Datenschutzfolgenabschätzung anlegen.
• Interne Schulungen: Awareness bei Vertrieb, Support, IT und Rechtsabteilung schaffen. Mitarbeitende zu Wechselprozessen und Einhaltung von Fristen/Berechtigungen schulen.
• Kontinuierliche Kontrolle und Nachweisbarkeit: Sämtliche Entwicklungsschritte und Anpassungen dokumentieren (Rechenschaftspflicht) und regelmäßige Audits und Funktionsprüfungen der Wechselprozesse durchführen.

Der Data Act bringt für Cloud-Anbieter erhebliche Veränderungen mit sich – sowohl technisch als auch vertraglich. Die Zeit drängt seit dem Geltungsbeginn am 12. September 2025 und sollte genutzt werden, um Portabilitäts- und Wechselprozesse rechtssicher und technisch reibungslos zu gestalten. Dazu gehören die Anpassung von AGB, Auftragsverarbeitungsverträgen und Datenschutzanhängen ebenso wie die Implementierung eines transparenten Online-Registers zu Formaten und Schnittstellen. Parallel sollten interne Abläufe, etwa für Datentransfers und Löschprozesse, überprüft, dokumentiert und getestet werden. Wer diese Vorbereitungen angeht, minimiert nicht nur das Risiko von Bußgeldern und Vertragsstreitigkeiten, sondern kann den gesetzlich erzwungenen Anbieterwechsel sogar als Wettbewerbsvorteil für sich selbst nutzen, denn jeder Anbieter kann gleichzeitig auch auf der Empfänger-Seite eines Wechselverlangens für einen neuen Kunden stehen.

Autorin:

Lisa-Marie Schuchardt ist Rechtsanwältin im Tech & Data Team bei der Berliner Kanzlei NEON. Sie berät Unternehmen in den Bereichen Datenschutzrecht, Software, Digital Compliance und digitale Geschäftsmodelle.