Bye Bye Lock-in: Wie der Data Act Cloud Switching verändert

Am 27. November 2023 wurde der sog. Data Act verabschiedet. Die Geltung des Gesetzes steht unmittelbar bevor: Ab dem 12.09.2025 gilt der Data Act in weiten Teilen in der gesamten Europäischen Union. Während die Bestimmungen zu IoT-Produkten bereits einiges an Aufmerksamkeit erlangt haben (unser Beitrag vom 16.05.2025), standen die Vorgaben des Data Acts zum sog. Cloud-Switching in der öffentlichen Wahrnehmung bisher eher im Hintergrund. Dies verwundert angesichts der Auswirkungen, welche aufgrund des Data Act auf die Vertragsgestaltung sowie auf Geschäftsmodelle im Bereich Cloud zu erwarten sind.

Zentrales Anliegen

Zentrales Anliegen der Bestimmungen zum Cloud Switching (Art. 23 ff. DA) ist den Wechsel zwischen „Datenverarbeitungsdiensten“ zu erleichtern, um sog. „Lock-In-Effekt“ zu vermeiden.

Anwendungsbereich

Die Regelungen des Data Act zum Cloud-Switching betreffen sog. Datenverarbeitungsdienste. Erfasst sind damit typische Cloud-Leistungen wie IaaS-, PaaS-, SaaS- und AIaaS-Dienste. Kunden derartiger Dienste solle ein Wechsel zu einem anderen Datenverarbeitungsdienst oder zur eigenen IKT-Infrastruktur ermöglicht werden.

Überblick über den Pflichtenkatalog:

• Verbot von Wechselhindernissen:

Cloud-Anbietern ist es verboten, Hindernisse für einen Wechsel zu anderen Anbietern aufzubauen. Alle Beteiligten müssen für einen erfolgreichen Wechsel zwischen Cloud-Anbietern zusammenarbeiten.

• Vertragliche Pflichten:

In Cloud-Verträge müssen zwingende Mindestinhalte zum Wechsel zwischen Cloud-Anbietern aufgenommen werden. Dies gilt sowohl für neue als auch für bereits bestehende Cloud-Verträge.

• Informations- und Transparenzpflichten:

Cloud-Anbieter müssen Kunden umfassende (vor-)vertragliche Informationen bereitstellen.

• Wechselentgelte:

Entgelte für den Wechsel eines Cloud-Dienstes müssen schrittweise zunächst ermäßigt und ab dem 12. Januar 2027 vollständig gestrichen werden.

• Technische Vorgaben:

Abhängig von der Art der erbrachten Cloud-Services (IaaS / SaaS und PaaS) müssen Anbieter technische Maßnahmen zur Durchführung von Wechseln ergreifen

Umsetzung

Für Anbieter von Datenverarbeitungsdiensten bedeutet die neue Rechtslage, dass neben einer Anpassung ihrer Vertragstemplates auch bestehende Cloud-Verträge überprüft und gegebenenfalls angepasst werden müssen. Darüber hinausgehend ist in organisatorischer und technischer Hinsicht zu prüfen, ob die sich aus dem Data Act ergebenden Pflichten hinsichtlich der Bereitstellung von Informationen und der Umsetzung des Wechsels erfüllt werden. Da die neuen Vorgaben auch für bestehende Verträge gelten, ist eine frühzeitige Anpassung bis zum 12. September 2025 essenziell. Andernfalls drohen Bußgelder oder private Schadensersatzansprüche. Daneben können sich Kunden – für den Fall, dass keine Vertragsanpassung erfolgt – ggf. trotz Vereinbarung einer Mindestlaufzeit von ihren Verträgen lösen, ohne dass sie hierfür eine Vertragsstrafe zu entrichten haben.

Kunden von Datenverarbeitungsdiensten sollten im Hinblick auf Neuabschlüsse sicherstellen, dass die sich aus dem Data Act ergebenden Rechte entsprechend umgesetzt sind. Hierfür bedarf es eines Knowhow-Aufbaus bei den intern hiermit befassten Abteilungen wie dem IT-Einkauf. Daneben sollten Kunden ihre bestehenden Verträge dahingehend überprüfen, ob der Data Act als Chance für einen Wechsel bzw. eine Kündigung eines unvorteilhaften Vertrages genutzt werden kann. Hier bieten sich – insbesondere, wenn Anbieter die Umsetzung des Data Acts verschlafen hat – ggf. erhebliche Einsparpotenziale.

Weitere Details zur strategischen Umsetzung der Vorgaben zum Cloud Switching finden Sie in unserem Booklet „Cloud Switching nach dem Data Act“.