Vorgaben des Data Act für SaaS-Verträge und andere Cloud-Verträge

Welche Cloud-Produkte betrifft der Data Act?

Im Cloudbereich betrifft der Data Act in erster Linie Anbieter, die unter den Begriff des "Datenverarbeitungsdienstes" fallen. Nach Art. 2 Nr. 8 Data Act handelt es sich dabei um eine digitale Dienstleistung, die es einem Kunden ermöglicht, über ein Netzwerk auf einen gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zuzugreifen.

Diese Ressourcen können zentralisiert, verteilt oder hochgradig verteilt sein und werden mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters bereitgestellt und freigegeben. Darunter fallen insbesondere Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS) – mit anderen Worten: Ein Großteil der heutigen cloudbasierten Geschäftsmodelle.

Welchen Einfluss hat der Data Act auf SaaS-Produkte?

Für Anbieter von SaaS-Produkten ist vor allem Kapitel VI des Data Act von Interesse: Dort finden sich die zentralen Regelungen für den Wechsel zwischen Datenverarbeitungsdiensten.

Der Data Act zielt diesbezüglich darauf, den sogenannten "Vendor Lock-In" zu verhindern. Dies beschreibt Situationen, in den Kunden durch technische oder vertragliche Hürden an einen Anbieter gebunden sind und diesen faktisch kaum wechseln können. Den Nutzern von SaaS-Produkten soll durch den Data Act mehr Kontrolle über ihre Daten und eine autonomere Entscheidung über Anbieterwechsel ermöglicht werden.

Für Anbieter bedeutet dies nicht nur technische Anpassungen - auch auf vertraglicher Ebene müssen einige Pflichten umgesetzt werden.

Welche konkreten Pflichten ergeben sich für SaaS-Anbieter?

SaaS-Anbieter müssen ihre Kunden beim Wechsel künftig aktiv unterstützen. Der Data sieht insofern konkrete Pflichten vor:

• Unfaire Vertragsklauseln: Der Data Act schiebt Knebelklauseln in SaaS-Verträgen einen Riegel vor. Diese dürfen keine unangemessenen Kündigungsfristen, Vertragslaufzeiten oder komplizierte Wechselmodalitäten vorsehen. Verträge müssen künftig vielmehr so gestaltet sein, dass der Wechsel ohne unfaire Verzögerungen und Hürden möglich ist
• Wechselentgelte: Wechselentgelte oder "Exit-Gebühren" werden schrittweise abgeschafft und dürfen spätestens ab dem 12.01.2027 nicht mehr erhoben werden. Die bis dahin zulässigen ermäßigten Wechselentgelte dürfen die tatsächlichen unmittelbaren Kosten nicht übersteigen.
• Interoperabilität und Datenportabilität: Um nahtlose Anbieterwechsel zu ermöglichen, muss auch auf technischer Seite nachgerüstet werden. Dienste müssen künftig so gestaltet sein, dass Daten strukturiert und maschinenlesbar exportiert werden können.
• Funktionsäquivalenz: Nutzer sollen ihre Daten und digitalen Vermögenswerte nach einem Wechsel ohne erhebliche Funktionseinschränkungen weiterverwenden können. Anbieter sind verpflichtet, den Wechselprozess so zu gestalten, dass eine möglichst hohe Übereinstimmung der Funktionen zwischen dem bisherigen und dem neuen Dienst gewährleistet wird. Dies zielt auf die Beseitigung organisatorischer, technischer, kommerzieller und vertraglicher Einschränkungen, die einen effektiven Wechsel erschweren können.
• Information und Transparenz: Anbieter müssen ihren Kunden umfassende Informationen über das Wechselverfahren, Portierungsmethoden, Datenformate und Standards zur Verfügung stellen. Auch über kostspielige oder besonders eingriffsintensive Anbieterwechsel müssen die Kunden ggf. unterrichtet werden.

Was müssen SaaS-Anbieter bei der Umsetzung des Data Act beachten?

Mit Blick auf den Data Act spielt zunächst der zeitliche Rahmen eine Rolle. Dieser entfaltet ab dem 12.09.2025 allgemeine Geltung - bei Verstößen drohen empfindliche Sanktionen. Der Data Act sieht insofern – ähnlich wie die DSGVO – Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor.

Unternehmen sollten ihre bestehenden Verträge deshalb zeitnah auf Vereinbarkeit mit dem Data Act prüfen. Das Augenmerk liegt dabei auf Regelungen, die nach der neuen Rechtslage als Hindernis für den Anbieterwechsel gelten könnten. Insofern sollte insbesondere bei längeren Kündigungsfristen und Modalitäten zu neuen Verträgen mit anderen Anbietern noch einmal genau hingeschaut werden.

Anbieter von Datenverarbeitungsdiensten sollten insofern im Hinterkopf behalten, dass die Europäische Kommission noch vor Geltung des Data Act unverbindliche Standardvertragsklauseln zur Verfügung stellen wird. Diese sollen die Umsetzung erleichtern und könnten als wertvolle Orientierung für die Vertragsgestaltung dienen.

Parallel sollten die geforderten technischen Modalitäten in Angriff genommen und offene Schnittstellen, maschinenlesbare Datenformate und strukturierte Exportfunktionen bereitgestellt werden.

Anbieter sind hingegen jedoch nicht verpflichtet ihre Geschäftsgeheimnisse oder ihr geistiges Eigentum preiszugeben. Dennoch kann das Spannungsverhältnis zwischen Datenautonomie und anderen Rechtsgütern Im Einzelfall einen Balanceakt bedeuten und Anbieter dadurch vor Herausforderungen stellen.

Wie kann SRD Rechtsanwälte SaaS-Anbietern bei der Umsetzung des Data Act unterstützen?

SRD verfügt über langjährige Expertise im Datenrecht und begleitet Unternehmen bei der rechtssicheren Umsetzung des Data Act. Dazu gehört

• die Prüfung bestehender Verträge sowie die Anpassung von AGB, individuellen Vertragsklauseln und Leistungsbeschreibungen.
• Einen besonderen Schwerpunkt bildet für uns dabei Wahrung von Geschäftsgeheimnissen und anderen unternehmerischen Interessen im Rahmen der Vertragsgestaltung.
• Parallel beraten wir zur technischen Umsetzung rechtlicher Anforderungen – etwa bei der Dokumentation von Schnittstellen, Exportfunktionen und Exit-Strategien.

Fazit

Der Data Act setzt einen Paradigmenwechsel für das Cloud-Switching in Gang: Kunden sollen nicht mehr an Anbieter gebunden sein, sondern ihre Daten frei bewegen können. Anbieter müssen dafür die erforderlichen vertraglichen und technischen Strukturen bis zum 12.09.2025 umsetzen.

Herausforderungen ergeben sich im Rahmen der Vertragsgestaltung vor allem im Hinblick auf die aktive Unterstützung der Kunden beim Anbieterwechsel. Auf technischer Ebene muss vielerorts in puncto Datenportabilität und Interoperabilität nachgerüstet werden. Mit Blick auf die fortschreitende Umsetzungsfrist empfiehlt es sich, diese Umstrukturierungen möglichst zeitnah anzugehen.