Mit dem Data Act (VO (EU) 2023/2854) („DA“) verfolgt die Europäische Union das Ziel, die Datenwirtschaft fairer, transparenter und interoperabler zu gestalten. Seit dem 12. September 2025 gilt das neue Regelwerk und bringt auch für Cloud-Anbieter tiefgreifende Änderungen. Kapitel IV regelt das sogenannte Cloudswitching, also die Möglichkeit für Kunden von Cloud-Diensten, zwischen Anbietern wechseln oder Daten in ihre eigene IT-Infrastruktur überführen zu können.
Dadurch sollen Abhängigkeiten der Kunden („Vendor Lock-ins“) verringert und der Wettbewerb zwischen Cloud-Anbietern gefördert werden. Anbieter stellt der Data Act aber vor erhebliche rechtliche und technische Herausforderungen. Diese werden dadurch verschärft, dass die Vorschriften zahlreiche Unklarheiten beinhalten, insbesondere hinsichtlich ihrer Anwendbarkeit sowie der Pflicht zur Beseitigung von Wechselhindernissen.
1. Anwendbarkeit und Ausnahmen
Die in Kapitel IV des Data Act geregelten Pflichten gelten nicht uneingeschränkt. Bestimmte maßgeschneiderte („Custom-Built“) Dienste werden teilweise von den Anforderungen ausgenommen. Entscheidend ist, in welchem Umfang der Dienst auf individuelle Kundenbedürfnisse zugeschnitten ist: Übersteigt dieser Anteil die Mehrheit der zentralen Funktionen, kommt der Anbieter in den Genuss der Privilegierung.
Testversionen sind von den Regelungen gänzlich ausgenommen, wenn sie für einen begrenzten Zeitraum und ohne kommerziellen Maßstab bereitgestellt werden. Dieses Privileg soll Innovation ermöglichen, indem Anbieter in der Entwicklungsphase nicht unverhältnismäßig belastet werden.
Die Pflichten unterscheiden sich zudem je nach Dienstart. Während Software-as-a-Service (SaaS)-Anbieter und Platform-as-a-Service (PaaS)-Anbieter komplexe Interoperabilitätsanforderungen erfüllen müssen, sind Infrastructure-as-a-Service (IaaS)-Anbieter teilweise von technischen Vorgaben befreit. Anbieter von IaaS-Custom-Built-Versionen treffen keinerlei technische Pflichten.
Problematisch bleibt jedoch, dass viele Schlüsselbegriffe – etwa was unter einer „zentralen Funktion“ oder einem „größeren kommerziellen Maßstab“ zu verstehen ist – noch nicht abschließend geklärt sind. Hinsichtlich der Anwendbarkeit der Pflichten besteht für Anbieter daher erhebliche Rechtsunsicherheit.
2. Pflicht zur Beseitigung von Wechselhindernissen
Kern des Kapitels IV ist die Pflicht zur Beseitigung von Wechselhindernissen (Art. 23 DA). Anbieter müssen sicherstellen, dass Kunden den Anbieter ohne unzumutbare vorkommerzielle, gewerbliche, technische, vertragliche und organisatorische Barrieren wechseln können.
Der Data Act konkretisiert diese Pflicht in einem abschließenden Katalog, sodass nicht jede Form von Wechselhindernis automatisch verboten ist. Es verbleibt also ein gewisser Spielraum für die Vertragsfreiheit der Anbieter, auch wenn der Data Act bedeutende Verbote für Wechselhindernisse enthält.
3. Fazit und Ausblick
Der Data Act schafft eine weitreichende unionsrechtliche Cloud-Regulierung. Anbieter sollten dringend prüfen, inwieweit sie von dieser betroffen sind und ob sie die strengen Vorschriften zur Erleichterung von Wechseln einhalten. Verträge und Prozesse sind gegebenenfalls anzupassen. Gleichzeitig bleibt vieles unklar – insbesondere, wie Gerichte zentrale Begriffe und Pflichten auslegen werden.
Bis zur Klärung der bestehenden Unklarheiten durch die Rechtsprechung empfiehlt sich eine risikobasierte Compliance-Strategie und die laufende Beobachtung behördlicher Leitlinien und Stellungnahmen.
Eine vertiefte Analyse der Anwendbarkeit der Cloudswitching-Vorschriften sowie der Pflicht zur Beseitigung von Wechselhindernissen findet sich im Aufsatz von Dr. Felix Rützel, nachzulesen in MMR 2025, 769. Dr. Felix Rützel ist Rechtsanwalt im Münchner Büro von Grünecker und berät zu allen Rechtsfragen rund um Informationstechnologie und Digitalisierung.