Cloud-Nutzung & EU Data Act (VO (EU) 2023/2854) – FAQ für Cloud-Kunden und Anbieter

Januar 2026 | IT-Recht

Cloud-Nutzung und der EU-Data Act

Anlass zur Freude bei Nutzern, möglicherweise ein Aufstöhnen bei Anbietern von Cloud-Lösungen: Zum 12. September 2025 ist die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ der EU, folgend „Data Act“, in Kraft getreten. In diesem werden unter anderem umfassend Pflichten von Anbietern von Cloud-Lösungne gegenüber ihren Kunden neu geregelt, um in diesem zügig wachsenden Marktbereich einen EU-weiten einheitlichen Standard dafür festzulegen, wie Cloud-Lösungen für Nutzer bereitzustellen sind. Welche neuen Standards Sie als Nutzer ab jetzt erwarten können und welche Pflichten Sie als Anbieter nun erfüllen müssen, wollen wir Ihnen in diesem Beitrag kurz umreißen. 

Der neue Data Act

Als Verordnung hat der Data Act gem. Art. 288 II AEUV allgemeine Geltung, ist verbindlich und gilt unmittelbar in jedem Mitgliedsstaat, sodass es keiner weiteren Umsetzung mehr durch den nationalen Gesetzgeber bedarf. Zwar müssen die Mitgliedsstaaten der EU weitere Durchführungsbestimmungen erlassen, auch besteht laut dem Bundesministerium für Digitales und Staatsmodernisierung eine Übergangsfrist bis zum 12. September 2026. Dennoch handelt es sich bereits jetzt um unmittelbar geltendes Recht.

Es ist altbekannt, dass die EU seit jeher verbraucherfreundlich eingestellt ist. Ein klassisches Beispiel hierfür sind die europäischen Regelungen bezüglich der Frage, auf welche Rechtsordnung sich Verbraucher berufen können, die Geschäfte mit ausländischen Unternehmen tätigen. Aber auch der digitale Bereich soll möglichst nutzerfreundlich ausgestaltet werden, was sich unter anderem auch im Data Act zeigt. So soll es nach diesem für Nutzer deutlich leichter werden, z.B. den Cloud-Anbieter zu wechseln oder auch mehrere Anbieter parallel zu nutzen. 

Dass dies naturgemäß mit einem Eingriff in die privatrechtliche Freiheit der Vertragsgestaltung einhergeht, ist den Schaffern der Verordnung dabei bewusst. So beziehen sich die Erwägungsgründe der Verordnung ausdrücklich auch auf privatrechtliche Vorschriften als dem Gesamtrahmen, in welchem die Weitergabe von Daten stattfindet. Dass die EU in die privatrechtlichen Gestaltungsfreiheiten der einzelnen Rechtsordnungen eingreift, ist jedoch kein Novum. Auch die deutschen Regelungen bezüglich des AGB-Rechts, die die Rechte der Verbraucher gestärkt haben, beruhen auf EU-Recht. In den Erwägungsgründen wird ausdrücklich als Ziel festgelegt, die „Ausnutzung vertraglicher Ungleichgewichte [zu verhindern], die einen fairen Datenzugang und eine faire Datennutzung erschweren.“ Dabei soll zwar – wie Erwägungsgrund 9 vorsieht – das jeweilige nationale Vertragsrecht unberührt bleiben. Allerdings nur, sofern in der Verordnung nichts anderes vorgesehen ist. Es besteht demnach ein Vorrang der europäischen Regelungen vor nationalem Recht, sofern die dort geregelten Bereiche betroffen sind. Die Verordnung zielt daher in erster Linie darauf ab, die Bedingungen, unter denen Nutzer Dienste zur Verarbeitung ihrer Daten in Anspruch nehmen, innerhalb der EU zu vereinheitlichen, sodass jeder gleichermaßen „faire, angemessene und nichtdiskriminierende Bedingungen“ vorfindet.

Was bedeutet das für Cloud-Anbieter?

„Darüber hinaus soll mit dieser Verordnung der Wechsel zwischen Datenverarbeitungsdiensten erleichtert und die Interoperabilität von Daten sowie von Mechanismen und Diensten für die Datenweitergabe in der Union verbessert werden“, so Erwägungsgrund 5. Hier kommen die Art. 23ff. Data Act ins Spiel: Ziel ist es, die Abhängigkeit der Kunden vom jeweiligen Anbieter zu verringern. Dies hat gleichzeitig zur Folge, dass sich der Wettbewerb zwischen den Anbietern dahin verlagern muss, Kunden nicht mehr durch versteckte Schwierigkeiten bei einem Wechsel des Anbieters an sich zu binden, sondern durch möglichst attraktive Angebote zu überzeugen. Gem. Art. 23 Data Act wird grundlegend festgeschrieben, dass Anbieter die in den nachfolgenden Artikeln aufgeführten Maßnahmen zu treffen haben, um ihren Kunden einen Wechsel entweder zu einem anderen Cloud-Anbieter oder zu ihrer eigenen IKT-Infrastruktur zu ermöglichen oder auch mehrere Dienstleister in Anspruch zu nehmen. Es dürfen den Kunden keine Hindernisse aufgezwungen werden bzw. müssen bestehende Hindernisse beseitigt werden, die Kunden an genau diesen Dingen hindern würden. 

Welche Neuerungen bringt der Data Act?

Grob vereinfacht gesagt müssen Anbieter nun:

  1. mit ihren Kunden einen schriftlichen Vertrag schließen oder geschlossen haben. Dies betrifft nicht nur neue Verträge, sondern auch die Verträge mit Altkunden. Somit müssen Sie bestehende Verträge überarbeiten oder ggf. neu schließen.
  2. in diesem Vertrag festgelegt haben, dass es dem Nutzer ermöglicht wird, den Anbieter zu wechseln oder auf eine eigene Infrastruktur umzuziehen und dass Sie den Nutzer dabei unterstützen.
  3. in diesem Vertrag den Nutzer umfassend informieren, wie ein Wechsel vollzogen werden kann und welche Maßnahmen zur Sicherheit der Kundendaten getroffen werden
  4. in diesem Vertrag festschreiben, welche Wechselentgelte anfallen. Diese sind allerdings nur in begrenzter Höhe zulässig, bis sie nach Ablauf eines Übergangszeitraumes schließlich gänzlich unzulässig werden
  5. technische Maßnahmen treffen, die es dem Nutzer ermöglichen, bei einem neuen Dienst dieselben Funktionen nutzen zu können. Dazu müssen Anbieter eventuell bestehende Vorgaben der EU hinsichtlich der Interoperabilität der einzelnen Dienste beachten.

So können wir Sie unterstützen

Die neuen Pflichten für Anbieter sind aufgrund der unmittelbaren Geltung der Verordnung zügig umzusetzen. Die Mitgliedsstaaten werden zudem durch die Verordnung zur „Verhängung wirksamer, verhältnismäßiger und abschreckender finanzieller Sanktionen, die auch Zwangsgelder und Geldstrafen mit Rückwirkung umfassen können, …“ verpflichtet. Diese Regelung, die eher an die im anglo-amerikanischen Rechtsraum anzutreffenden punitive damages – zu Deutsch Strafschadensersatz – erinnert und den EU-rechtlichen Vorschriften sonst eher fremd ist, zeigt die erhebliche Bedeutung, die die EU dem Thema des Schutzes der Nutzer zuschreibt. Und auch, wie wichtig es ist, sich als Anbieter rechtzeitig und umfassend aufzustellen. Sollten daher bei Ihnen Fragen zu diesem Thema aufkommen, können wir Sie in unserer Kanzlei umfassend beraten. Dr. Marc Maisch, Rechtsanwalt und Fachanwalt für IT-Recht, unterstützt Sie gerne dabei, Ihre Verträge zu überarbeiten, sich an die neuen Regularien anzupassen und so rechtssicher bewegen zu können.

Kontaktieren Sie uns daher gerne, auch direkt über unsere Website maisch.law. Wir freuen uns, sie unterstützen zu können.