Der EU Data Act ist am 11. Januar 2024 in Kraft getreten und ab dem 12. September 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar. Es beginnt eine neue Ära für den Umgang mit Daten in Europa. Während er weitreichende Konsequenzen für Hersteller vernetzter Produkte mit sich bringt, rückt er auch Anbieter von Datenverarbeitungsdiensten, insbesondere Cloud-Diensten, stark in den Fokus. Die Verordnung soll Hindernisse für einen reibungslosen Datenaustausch überwinden und datengesteuerte Innovationen fördern. Die EU-Kommission hat Standardvertragsklauseln für den Data Act insbesondere für Cloud Switching zur Verfügung gestellt.
Vereinfachter Cloud-Wechsel
Ein zentrales Ziel des Data Act (Kapitel IV) ist es das Cloud Switching zu erleichtern. Darunter ist der Wechsel von Kunden zwischen verschiedenen Cloud-Anbietern oder zu On-Premise-Lösungen zu verstehen. Sogenannte „Vendor Lock-Ins“ sollen damit verhindert werden. Anbieter von Datenverarbeitungsdiensten sind verpflichtet, sämtliche kommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hürden für einen Anbieterwechsel zu beseitigen. Zu den Datenverarbeitungsdiensten gehören Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS) sowie Storage-as-a-Service und Database-as-a-Service. Dies soll den Wettbewerb ankurbeln sowie den Marktzutritt für neue Anbieter senken.
Standardvertragsklauseln (SCCs)
Zur Unterstützung der Umsetzung dieser neuen Anforderungen wurde eine Expertengruppe von der EU-Kommission beauftragt, freiwillige Standardvertragsklauseln (SCCs) für Cloud-Computing-Verträge zu entwickeln. Der „Final Report of the Expert Group on B2B data sharing and cloud computing contracts“ vom 2. April 2025 stellt diese Klauseln bereit. Die SCCs sind nicht verpflichtend sondern freiwillig. Sie wurden so verfasst, dass sie von den Parteien entsprechend ihren vertraglichen Bedürfnissen angepasst werden können. Die SCCs sind modular aufgebaut und können somit flexibel in bestehende Vertragswerke integriert werden. Sie behandeln Schlüsselthemen wie Anbieterwechsel- und Exit-Strategien, Vertragsbeendigung, Sicherheit, Business Continuity, Datenlokalisierung und Haftung. Ein Entwurf der SCCs liegt bereits vor, die finale Fassung wird bis zum 12. September 2025 erwartet.
Kernpflichten und die Herausforderung der Umsetzung
Ab dem 12. September 2025 müssen alle Verträge über Datenverarbeitungsdienste den neuen Vorgaben entsprechen, auch bereits bestehende Vereinbarungen. Cloud-Anbieter werden nunmehr verpflichtet, ihren Kunden eine maximale Kündigungsfrist von zwei Monaten und eine verbindliche Übergangsfrist von maximal 30 Tagen für einen Wechsel zu gewähren. Auch die Möglichkeit, Wechselentgelte zu verlangen, wird schrittweise abgeschafft. Bis zum 12. Januar 2027 sind nur noch ermäßigte Entgelte erlaubt, danach dürfen gar keine Wechselentgelte mehr verlangt werden.
Zudem müssen Cloud-Anbieter umfassende Informationen zur Verfügung stellen, etwa über Verfahren, Datenformate und Übergangsfristen, um Transparenz zu gewährleisten. Technisch bedeutet dies für IaaS-Anbieter also die Sicherstellung der „Funktionsäquivalenz“ nach einem Wechsel. PaaS- und SaaS-Anbieter müssen offene Schnittstellen und die nötige Dokumentation bereitstellen.
Trotz Ausnahmen für kundenspezifische Lösungen oder temporäre Testsoftware, stehen viele Anbieter vor erheblichen technischen und organisatorischen Herausforderungen. Die Komplexität der Materie und die Schnittstellen zum Datenschutzrecht, insbesondere der DSGVO, erfordern eine sorgfältige Analyse.
Die neuen Anforderungen des Data Act treten in Kürze in Kraft.
Der EU Data Act ist ab dem 12. September 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar.
Beschränkungen der Datennutzung für Datenempfänger
Wenn Sie als Datenempfänger Daten von einem alten Anbieter eines Neukunden erhalten, dürfen Sie diese Daten nur für die Zwecke und unter den Bedingungen verarbeiten, die mit dem Nutzer vereinbart wurden.
- Löschpflicht: Die Daten müssen gelöscht werden, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden.
- Wettbewerbsverbot: Die Daten dürfen nicht dazu verwendet werden, ein Konkurrenzprodukt zu dem vernetzten Produkt zu entwickeln, von dem die Daten stammen.
- Verbot des Ausspähens: Es ist verboten, die Daten zu nutzen, um Einblicke in die wirtschaftliche Lage, die Vermögenswerte oder die Produktionsmethoden des Dateninhabers zu gewinnen.
- Keine Weitergabe an Dritte: Datenempfänger dürfen die erhaltenen Daten nicht an weitere Dritte weitergeben, es sei denn, dies wurde vertraglich mit dem Nutzer vereinbart und ist mit den Schutzmaßnahmen und geltendem Recht vereinbar.
- Schutz von Geschäftsgeheimnissen: Auch wenn angeforderte Daten Geschäftsgeheimnisse enthalten, sind Sie grundsätzlich zur Bereitstellung verpflichtet. Allerdings müssen alle erforderlichen technischen und organisatorischen Maßnahmen getroffen werden (z.B. Geheimhaltungsvereinbarungen, Verschlüsselung). Eine Verweigerung der Datenherausgabe ist nur in Ausnahmefällen und unter Meldepflicht an die Behörden zulässig, wenn ein schwerwiegender wirtschaftlicher Schaden zu befürchten ist.
Maßnahmen für Cloud-Anbieter
Für Cloud-Anbieter bedeutet der Data Act nicht nur die Notwendigkeit zur Compliance, sondern auch eine Chance, ihre Dienstleistungen wettbewerbsfähiger zu gestalten. Die fristgerechte Anpassung von Verträgen und IT-Infrastrukturen bis zum 12. September 2025 ist damit unerlässlich. Es empfiehlt sich, frühzeitig zu analysieren, welche Dienste unter den Data Act fallen und wie die geforderten Datenzugangs- und Wechselmöglichkeiten technisch und organisatorisch umgesetzt werden können. Die Auseinandersetzung mit den von der EU-Expertengruppe veröffentlichten SCCs bietet eine wertvolle Hilfestellung zur Gestaltung rechtssicherer und praxistauglicher Prozesse. Unternehmen sollten dies nicht als bloße regulatorische Last sehen, sondern als Möglichkeit, Vertrauen bei Kunden aufzubauen und sich im internationalen Wettbewerb zu positionieren, indem sie Datenzugang und -portabilität proaktiv und transparent gestalten.
- Jetzt starten: Datenbestände prüfen, Rollen als Dateninhaber oder -empfänger klären, personenbezogene und nicht-personenbezogene Daten unterscheiden.
- Verträge anpassen: AGB und Verträge auf Kündigungsfristen, Übergangsregelungen und Wechselentgelte prüfen. SCCs als Vorlage nutzen.
- Technik vorbereiten: Systeme für sicheren, lesbaren Datenzugang umrüsten. TOMs für Datenschutz und Geheimnisschutz umsetzen.
- Informationspflichten erfüllen: Kunden über Art, Umfang und Zugriff auf Daten informieren.
- Prozesse etablieren: Klare interne Prozesse für Datenzugang und -wechsel. Mitarbeiterschulungen in IT, Recht, Sicherheit, Produktentwicklung.
Fazit
Der Data Act und die Erfüllung der Cloud Switching Vorgaben ist komplex und weist zahlreiche Schnittstellen zu anderen Rechtsgebieten (insb. DSGVO, KI-Verordnung, Wettbewerbsrecht) auf. Eine frühzeitige spezialisierte Rechtsberatung kann helfen, Compliance sicherzustellen und neue Geschäftschancen zu identifizieren. Durch proaktives Handeln können Sie nicht nur rechtliche Risiken vermeiden (Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes sind möglich), sondern auch Wettbewerbsvorteile sichern und neue datengetriebene Geschäftsmodelle erschließen.
Bereit, den EU Data Act zu bewältigen und Ihre Daten-Compliance zu optimieren?
Die neuen Anforderungen des EU Data Act treten in Kürze in Kraft. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenzugangs- und Nutzungsrechtes sowie der Datenschutz-Compliance unterstützen können.
