Insight
Der EU-Data Act: Neue Spielregeln für Ihre Cloud-Verträge
Der EU-Data Act: Neue Spielregeln für Ihre Cloud-Verträge
13. Mai 2025
Share:

Warum der Data Act wichtig für Unternehmen ist?

Am 11. Januar 2024 ist der EU-Data Act in Kraft getreten, der ab dem 12. September 2025 direkt in allen EU-Mitgliedstaaten gelten wird – ohne das nationale Umsetzungsgesetze erforderlich sind. Für Unternehmen die Cloud-Dienste anbieten oder nutzen, sei es als Provider oder als Endverbraucher, bringt dieses neue Gesetz weitreichende Veränderungen mit sich. 

Der Data Act ist Teil der europäischen Datenstrategie und verfolgt ein klares Ziel: Die bislang verschlossenen „Datensilos“ sollen aufgebrochen werden. Dadurch sollen Innovationen innerhalb der EU gefördert das Potenzial datengesteuerter Geschäftsmodelle besser ausgeschöpft werden.

Wichtig zu wissen: Der Data Act gilt für alle Unternehmen, die entsprechende Dienste in EU anbieten – unabhängig davon, wo das Unternehmen seinen Sitz hat.

Die Möglichkeit zum Cloud-Wechsel wird vereinfacht

Der Data Act regelt einerseits den Zugang zu und die Nutzung von Daten bei Smart Products („Internet of Things“). Besonders relevant für Unternehmen sind jedoch die umfassenden Regelungen in Abschnitt 6, die den Wechsel zwischen Cloud-Diensten betreffen.

Das übergeordnete Ziel dieser Bestimmungen ist es:

  • Den Wettbewerb zwischen Cloud-Anbieter zu fördern
  • Neuen Provider den Markteintritt zu erleichtern
  • Kunden einen unkomplizierten und risikoarmen Wechsel zu ermöglichen – sei es zu einem anderen Anbieter oder zurück zu einer unternehmenseigenen IT-Infrastruktur.
  • Den gefürchteten „Vendor Lock-in“ (die dauerhafte Abhängigkeit von einem Anbieter) zu verhindern

Um diese Ziele zu erreichen, legt der Data Act fest, welche Pflichten Cloud-Provider haben und schreibt vor, welche Anforderungen zukünftig Cloud-Verträge mindestens erfüllen müssen. 

Grundlegende Pflichten der Provider: Was müssen Cloud-Provider künftig leisten?

Art 23 des Data Acts legt die grundlegenden Mindestpflichten für Cloud-Provider fest. Diese müssen umfassende Maßnahmen ergreifen, um alle Hindernisse zu beseitigen, die einem Wechsel im Weg stehen können – seien sie kommerzieller, technischer, vertraglicher oder organisatorischer Natur. Zusätzlich müssen Provider sicherstellen, dass ihre Cloud-Lösung mit anderen Cloud-Diensten kompatible ist, sodass eine parallele Nutzung mehrerer Cloud-Dienste über eine einheitliche Benutzeroberfläche möglich wäre (Interoperabilität).

Es gibt jedoch einige Ausnahmen: Die Verpflichtungen gelten nicht für individuell angepasste Funktionen, maßgeschneiderte Software oder temporäre Testversionen. Über diese Maßnahmen muss der Provider den Kunden allerdings vor Vertragsabschluss informieren.

Wichtig ist auch: Die Wechselverpflichtungen greifen nur dann, wenn der neue Zielanbieter vergleichbare Dienste anbietet, also „dasselbe Hauptziel“, „dieselben Hauptfunktionen“ und „dasselbe Dienstmodell“, wie der bisherige Provider.

Was muss in Ihrem Cloud-Vertrag stehen?

Art. 25 Data Act regelt, welche konkreten Regelungen ein Cloud-Vertrag als Mindestinhalt enthalten muss, und konkretisiert damit die in Art. 23 Data Act genannten Pflichten des Providers.

  • Wechselrecht: Kunden enthalten ein explizites Wechselrecht, was vertraglich festgehalten werden muss.
  • Störungsfreier Betrieb: Der Anbieter muss gewährleisten, dass der Geschäftsbetrieb des Kunden während des Wechselprozesses nicht beeinträchtigt wird.
  • Kündigungsfrist: Die Kündigungsfrist bei einem Wechsel darf maximal 2 Monate betragen. Allerdings darf der Anbieter bei vorzeitiger Kündigung weiterhin angemessene Gebühren (Termination Fees) erheben.
  • Übergangsfrist: Für den eigentlichen Wechsel gilt eine Übergangsfrist von maximal 30 Tagen. In technisch begründeten Fällen kann diese Frist unter bestimmten Voraussetzungen auf bis zu 7 Monate verlängert werden. Auch der Kunde hat die Möglichkeit den Übergangszeitraum einmalig mit einer Frist zu verlängern, die für ihn angemessen ist.
  • Vertragsende: Nach erfolgreichem Wechsel gilt der Vertrag als beendet. Die Kundendaten müssen noch weitere 30 Tage verfügbar bleiben und sind danach vom Provider zu löschen.

Der Data Act geht über rein vertragliche Aspekte hinaus und regelt auch die technische Umsetzung des Wechsels.

  • Alle Beteiligten müssen während des Wechselprozesses nach Treu und Glauben zusammenarbeiten (Art. 27)
  • Provider müssen umfassende Informationen zum Wechselprozess bereitstellen, einschließlich verfügbarer Verfahren, Übertragungsmethoden und möglicher technischen Einschränkungen (Art.26)
  • IaaS-Provider (Infrastructure as a Service) müssen alle zumutbaren Maßnahmen ergreifen und sicherstellen, dass nach dem Wechsel eine funktionale Gleichwertigkeit erreicht ist.
  • PaaS- oder SaaS-Anbieter (Platform/Software as a Service) müssen zukünftig sowohl ihren Kunden als auch den neuen Providern, zu denen ein Kunde wechseln möchte, unentgeltlich eine offene Schnittstelle (Inkl. Dokumentation) auf die betriebenen Services zur Verfügung stellen.
  • Jedoch müssen Provider hierbei weder ihr geistiges Eigentum noch ihre Geschäftsgeheimnisse gegenüber ihren Kunden offenlegen.

Sukzessive Abschaffung der Wechselentgelt und Konsequenzen bei Verstößen gegen den EU-Data Act

Ein wichtiger Aspekt des Data Acts ist auch die schrittweise Abschaffung von Wechselentgelten.

Ab dem 12. Januar 2027 können Cloud-Anbieter keine Gebühren mehr für den Wechsel erheben. Bis zu diesem Stichtag sind reduzierte Wechselentgelte erlaubt, die jedoch die tatsächlichen Kosten des Providers für den konkreten Wechsel nicht übersteigen dürfen.

Über diese Gebühren sowie über Standartentgelte und Kosten bei vorzeitiger Kündigung muss der Anbieter den Kunden vor Vertragsabschluss informieren.

Darüber hinaus können bei Verstößen gegen die Vorschriften des Data Acts sowohl zivilrechtliche Ansprüche gegen den Provider als auch behördliche Sanktionen drohen.

Die Bundesnetzagentur wird voraussichtlich als zentrale Aufsichtsbehörde fungieren und kann folgende Bußgelder verhängen:

Während geringfügige Verstöße mit bis zu EUR 50.000 geahndet werden, drohen bei mittleren Verstößen Geldbußen von bis zu EUR 100.000. Schwerwiegende Verstöße können sogar mit bis zu EUR 500.000 sanktioniert werden. 

Für Torwächter – Unternehmen die Schlüsselpositionen in digitalen Märkten kontrollieren (derzeit: Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft) gelten noch strengere Regeln mit Bußgeldern von bis zu 5 Millionen Euro oder 4% des EU-weiten Jahresumsatzes.

Handlungsempfehlung für ihr Unternehmen

Für Unternehmen die Cloud-Dienste nutzen, ergeben sich aus dem Data Act konkrete Handlungsempfehlungen:

  • Neue Verträge: Neue Verträge über Cloud-Leistungen sollten nur noch abschlossen werden, wenn sie die im Data Act vorgeschriebenen Mindestinhalte enthalten. Die EU wird bis zum 12. September 2025 Mustervertragsklauseln zur Verfügung stellen.
  • Bestehende Verträge: Bestehende Verträge sollten zeitnah überprüft werden, ob sie den neuen Anforderungen entsprechen.
  • Frühzeitige Kontaktaufnahme mit Providern: Es empfiehlt sich eine frühzeitige Kontaktaufnahme mit dem Provider, um Vertragsanpassungen zu besprechen und Unklarheiten auszuräumen. Unternehmen sollten hierbei auch prüfen, ob ihnen alle vom Anbieter geforderten Pflichtinformationen vorliegen und diese gegebenenfalls einfordern.

Eine rechtzeitige Klärung offener Fragen ist essenziell, da Unstimmigkeiten während eines laufenden Wechselprozesses dessen erfolgreichen Abschluss gefährden können.

Insgesamt stellt der EU-Data Act einen bedeutenden Schritt zur Stärkung der digitalen Souveränität von Unternehmen dar. Die neuen Regeln zum Cloud-Wechsel werden Kunden mehr Flexibilität geben und den Wettbewerb auf dem Cloud-Markt fördern. Gleichzeitig stellen Sie Unternehmen vor die Herausforderung, bestehende Verträge zu überprüfen und anzupassen.

Unternehmen sollten sich frühzeitig mit den neuen Anforderungen auseinandersetzen und ihre Cloud-Strategie entsprechend ausrichten. Eine fachkundige Beratung kann dabei helfen, den Anpassungsbedarf zu ermitteln und die Compliance mit dem Data Act sicherzustellen.

Sie benötigen Unterstützung? Die HDP unterstützt Sie gerne mit Ihrer Expertise umfassend beim Wechselprozess. Wir prüfen sowohl Ihre bestehenden Verträge auf Anpassungsbedarf als auch Entwürfe für künftige Cloud-Verträge auf Konformität mit dem Data Act.   

Weitere Beiträge: