Der Data Act – neue Pflichten für alle Cloud- und Edge-Dienste

Einführung

Der Data Act ist seit dem 12. September 2025 (nahezu) vollständig anwendbar. Nach dem Vorschlag der EU-Kommission eines Digital-Omnibus-Pakets, wird ebenfalls das Data-Governance-Gesetz bald eingefügt (mehr dazu hier).

Der Data Act fokussiert sich vor allem auf ein Zugangsrecht für Daten, die von vernetzten Produkten oder verbundenen Diensten generiert werden. Ein weiterer Schwerpunkt liegt jedoch auf den sog. Datenverarbeitungsdiensten, die insbesondere viele Cloud- und Edge-Dienste umfassen. Diesbezüglich haben Kunden das Recht, problemlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und können in diesem Zusammenhang unter vereinfachten Bedingungen ihre Verträge kündigen. Um dieses Recht durchzusetzen, müssen Cloud- und Edge-Anbieter in Zukunft zahlreiche neue Vertragsbedingungen vereinbaren, Informationspflichten erfüllen, Kunden beim Wechsel unterstützen sowie harmonisierte Interoperabilitätsstandards umsetzen. 

Wen adressiert der Data Act?

• Der Data Act stellt weitreichende Anforderungen an Anbieter von “Datenverarbeitungsdiensten”. Dazu zählen Clouddienste, die einen gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimaler Interaktion rasch bereitgestellt werden können.
• Was von dieser eher technischen Definition erfasst ist, ist letztendlich Frage des Einzelfalles. Wenn Rechenressourcen lediglich auf dem Plattform-Level skaliert werden oder manuelles Einstellen des Anbieters erfordert, lassen sich Argumente gegen die Anwendbarkeit des Data Acts finden.
• Wenn allerdings der Kunde es selbst in der Hand hat, wann und ob Rechenressourcen bereitgestellt werden, muss genau geprüft werden. Allgemein besteht hier ein Risiko in den Anwendungsbereich zu fallen, und zwar unabhängig davon, ob der Service als • Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS) oder eine neue Variation wie bspw. Storage-as-a-Service und Database-as-a-Service bereitgestellt wird. 
  Achtung: In diesem Zusammenhang adressiert der Data Act nämlich nicht nur die großen so genannten hyperscaler. Der Data Act kann Anwendung finden, selbst wenn die Skalierbarkeit nur durch Einbindung eines weiteren Anbieters ermöglicht wird.
• Für Dienste, die auf einzelne Kunden zugeschnitten sind oder Test- und Bewertungszwecken dienen, ist der Anwendungsbereich des Data Acts jedoch begrenzt. 

Welche neuen Regeln gelten?

Wechsel- und Exitrecht

• Kunden haben das Recht, problemlos zwischen Datenverarbeitungsdiensten zu wechseln. 
• Kunden haben das Recht, grundsätzlich kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und alle ihre exportierbaren Daten auf einen neuen Dienst zu übertragen. 
• Danach gilt der Vertrag mit dem alten Anbieter als beendet. Das bedeutet im Grundsatz, dass Kunden danach kein Entgelt mehr entrichten müssen. Seit dem 11. Januar 2024 dürfen nur noch ermäßigte Wechselentgelte für die Exitunterstützung des Kunden erhoben werden, ab dem 12. Januar 2027 soll der Wechsel grundsätzlich kostenlos sein. 
• Allerdings erlaubt der Data Act Vertragsstrafen einzuführen, für die frühzeitige Beendigung. Darüber hinaus lässt sich argumentieren, dass der Data Act nicht schlichtweg jede Zahlung nach Kündigung verbietet.

Vertragliche und organisatorische Hindernisse abbauen

• Anbieter von Datenverarbeitungsdiensten müssen alle Hindernisse beseitigen, die Kunden davon abhalten 
  • ihre Verträge zu kündigen, 
  • neue Verträge mit anderen Anbietern abzuschließen oder 
  • ihre exportierbaren Daten zu übertragen. 
• Der Anbieter von Datenverarbeitungsdiensten muss den Kunden bei dessen Exitstrategie (d.h. dem Wechsel oder der Löschung aller exportierbaren Daten) unterstützen. Nach einer Kündigungsfrist von max. 2 Monaten soll der Wechsel im Grundsatz abgeschlossen sein. 
• Auch nach Abschluss des Wechsels kann der Kunde für mindestens 30 weitere Tage alle Daten beim Anbieter abrufen. 
• Der Anbieter muss garantieren, dass nach Ablauf dieses Abrufzeitraums alle exportierbaren Daten des Kunden gelöscht werden. 

Kunden informieren

• Um den Wechsel zu erleichtern müssen Anbieter von Datenverarbeitungsdiensten alle Kategorien von Daten und digitalen Vermögenswerten angeben, die im Rahmen eines Wechsels zu einem neuen Anbieter übertragen werden können. 
• Die Informationspflichten beziehen sich auf 
  
  • Wechsel- und Übertragungsmethoden, -formate und technischen Beschränkungen, 
  • ein Online-Registers mit Angaben zu den exportierbaren Daten sowie 
  • Einzelheiten zu Standarddienstleistungsgebühren und etwaige Sanktionen bei vorzeitiger Kündigung. 

Technische Interoperabilität und Schutzvorkehrungen

• Anbieter von Datenverarbeitungsdiensten müssen in Zukunft harmonisierte Interoperabilitätsnormen umsetzen, um Kompatibilität zwischen verschiedenen Diensten zu gewährleisten. 
• In diesem Zusammenhang wird die Norm ISO/IEC 19941:2017 bereits im Data Act genannt. 
• Neue Normen werden zukünftig von der EU-Kommission in einer zentralen Datenbank veröffentlicht. 
• Anbieter von Datenverarbeitungsdiensten müssen für den Wechsel sowie um unrechtmäßigen staatlichen Zugang von Drittländern zu verhindern, Schutzvorkehrungen umsetzen. Dies erfordert bspw. die Verschlüsselung von Daten sowie die regelmäßige Durchführung von Audits. 

Verträge aktualisieren

• Die oben genannten Pflichten erfordern, dass die Vertragsbedingungen der Datenverarbeitungsdienste umfassend angepasst werden.
  Achtung: Wenn die neuen Rechte der Kunden nach dem Data Act nicht in den Verträgen abgebbildet sind, wird dies bereits als Verstoß gegen den Data Act gewertet. Darüber hinaus müssen die Verträge angepasst werden, wenn Vertragsstrafen eingeführt werden wollen.
• Die neue Regelung kann daher zu weitgehenden – möglicherweise entschädigungslosen – außerordentlichen Kündigungsrechten der Kunden führen.
  Hinweis: Um den Anbieter zu unterstützen, hat die EU-Kommission Standardvertragsklauseln entwickelt. Diese Standardklauseln sind jedoch sehr umfangreich und teilwweise komplex. Sie erfordern in jedem Fall einen Zuschnitt auf den individuellen Vertrag.

Ab wann gelten diese Maßnahmen?

• Allgemein gilt der Data Act ab dem 12. September 2025 und nach dem Willen der EU-Kommission auch für Altverträge.
• Schon seit dem 11. Januar 2024 dürfen aber grundsätzlich nur noch ermäßigte Wechselentgelte erhoben werden.

Durchsetzung der Verpflichtungen aus dem Data Act 

• Die Pflichten aus dem Data Act können von den Kunden vertraglich und von den Mitgliedstaaten mit Sanktionen durchgesetzt werden. Es wird Bußgelder geben, die auf der Grundlage von Methoden berechnet werden, die bereits aus der DS-GVO bekannt sind – u.a. dem Jahresumsatz. 
• In Deutschland hat die Bundesnetzagentur bereits ein Beschwerdeportal eingerichtet.

Weiterführend: Der Data Act bringt Chancen und Risiken im Zusammenhang mit der Datennutzung in der EU, aber auch Unsicherheiten für die gesamte Datenindustrie mit sich. Wir bieten Hilfestellung zu allen relevanten Themen, weiterführende Informationen finden Sie auf unserem Global Data Hub.