Schluss mit Vendor Lock-in: Data Act verpflichtet Cloud-Anbieter zum einfachen Anbieterwechsel

Der Data Act gilt für alle Anbieter von Cloud-Diensten, die unter den Begriff des „Datenverarbeitungsdienstes“ fallen. Darunter versteht man digitale Dienste, die einen konfigurierbaren, skalierbaren Pool an Rechenressourcen auf Abruf (On Demand) bereitstellen (Artikel 2 Nummer 8 Data Act). Das betrifft alle Anbieter, die Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS) anbieten. Dabei spielt es keine Rolle, ob der Anbieter seinen Sitz in der Europäischen Union hat – entscheidend ist, ob der Dienst in der EU angeboten wird.

Ab September 2025 werden folgende konkrete Pflichten für Cloud-Anbieter verbindlich:

• Kunden müssen ihre Daten einfach und kostenlos zu anderen Anbietern oder in die eigene IT-Infrastruktur übertragen können.
• Die maximale Kündigungsfrist darf zwei Monate nicht überschreiten. Automatische Vertragsverlängerungen ohne aktive Zustimmung werden untersagt.
• Bis Januar 2027 dürfen Anbieter nur die tatsächlichen Kosten für den Wechselprozess berechnen. Danach sind Wechselgebühren vollständig verboten.
• Die Datenübertragung muss in gängigen, maschinenlesbaren Formaten möglich sein. Offene Schnittstellen sollen den Wechsel technisch erleichtern.

Transparenz und Funktionsäquivalenz

Anbieter müssen ihre Kunden vor und während des Wechsels umfassend informieren. Dazu gehören Angaben zum Ablauf, zu Datenformaten, technischen Einschränkungen und verfügbaren Schnittstellen. Nach dem Wechsel sollen die wichtigsten Funktionen und Prozesse weiterhin nutzbar sein. Über mögliche Einschränkungen, etwa wenn bestimmte Automatisierungen nicht übernommen werden können, müssen Anbieter transparent informieren.

Individuell angepasste Lösungen oder Testversionen sind teilweise von den Wechselregeln ausgenommen. Dennoch müssen Anbieter auch hier alle notwendigen Informationen bereitstellen, um einen Wechsel zu ermöglichen, ohne dass Betriebsgeheimnisse offengelegt werden müssen.

Datenlizenzverträge nach dem Data Act

Die Verordnung regelt auch, wie Daten zwischen verschiedenen Parteien genutzt werden dürfen. Datenlizenzverträge müssen fair und transparent sein, besonders wenn Daten an Dritte weitergegeben werden. Klauseln, die kleine Unternehmen benachteiligen, sind unzulässig. Die Verträge müssen klar festlegen, für welche Zwecke die Daten genutzt werden dürfen.

Die Datenweitergabe kann abgelehnt werden, wenn dadurch Geschäftsgeheimnisse gefährdet werden. Für die Weitergabe an Dritte dürfen grundsätzlich angemessene Kosten verlangt werden – bei kleinen Unternehmen jedoch nur die tatsächlichen Bereitstellungskosten.

Umsetzungszeitplan und Sanktionen

Ab dem 12. September 2025 gelten die Vorschriften unmittelbar und verbindlich. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes geahndet werden. Die EU-Kommission wird bis zum Stichtag freiwillige Standardvertragsklauseln zur Verfügung stellen. Diese bieten Orientierung, sind aber nicht zwingend zu verwenden. Eigenentwickelte Klauseln müssen jedoch dieselben Vorgaben erfüllen.

Praktische Umsetzung für Unternehmen

Für eine fristgerechte Umsetzung sollten Cloud-Anbieter folgende Schritte einleiten:

1. Bestandsaufnahme:

Analyse der bestehenden SaaS- und Cloud-Verträge auf kritische Klauseln (zum Beispiel lange Kündigungsfristen, Wechselhindernisse) und Prüfung der aktuellen Datenexport- und Schnittstellenmöglichkeiten auf Konformität mit Data-Act-Standards.

2. Rechtliche Anpassungen:

Überarbeitung der Vertragsmuster unter Einbezug der Data-Act-Vorgaben, besonders von Kündigungsfristen, Exit-Kosten und Transparenzpflichten. Entwicklung von Standard-Exit-Klauseln oder Übernahme der EU-Musterklauseln, sobald sie verfügbar sind.

3. Technische Maßnahmen:

Sicherstellung der Datenportabilität in offenen, maschinenlesbaren Formaten (gegebenenfalls Implementierung oder Anpassung von Schnittstellen) und Dokumentation der Datenformate sowie Bereitstellung technischer Whitepapers oder API-Dokumentationen. Entwicklung oder Anpassung von Tools zur Migration beziehungsweise Exportfunktionalitäten für Kunden.

4. Monitoring und Compliance:

Laufende Überwachung der Einhaltung der Data-Act-Vorgaben in Verträgen und technischen Abläufen. Vorbereitung auf externe Audits oder Zertifizierungen zur Einhaltung von Interoperabilitäts-Standards. Dokumentation aller Wechselprozesse und Kostenschätzungen zur Transparenz gegenüber Kunden.

5. Frühzeitiger Start:

Rechtzeitige Planung und Umsetzung vor dem Geltungsbeginn. Aufbau eines Projektplans mit klaren Verantwortlichkeiten und Meilensteinen.

Fazit

Der Data Act sorgt dafür, dass Kunden nicht mehr an einen Anbieter gebunden sind. Bis spätestens 12. September 2025 müssen Anbieter alle vertraglichen und technischen Voraussetzungen schaffen, um einen einfachen und fairen Anbieterwechsel zu ermöglichen. Wer frühzeitig handelt, kann sich durch Transparenz und Nutzerfreundlichkeit einen Wettbewerbsvorteil sichern.