Mit dem Data Act (VO (EU) 2023/2854) („DA“) verfolgt die Europäische Union das Ziel, die Datenwirtschaft fairer, transparenter und interoperabler zu gestalten. Seit dem 12. September 2025 gilt das neue Regelwerk und bringt auch für Cloud-Anbieter tiefgreifende Änderungen. Kapitel IV regelt das sogenannte Cloudswitching, also die Möglichkeit für Kunden von Cloud-Diensten, zwischen Anbietern wechseln oder Daten in ihre eigene IT-Infrastruktur überführen zu können.
Dadurch sollen Abhängigkeiten der Kunden („Vendor Lock-ins“) verringert und der Wettbewerb zwischen Cloud-Anbietern gefördert werden. Anbieter stellt der Data Act aber vor erhebliche rechtliche und technische Herausforderungen. Diese werden dadurch verschärft, dass die Vorschriften zahlreiche Unklarheiten beinhalten, insbesondere hinsichtlich neuer Informationspflichten sowie verpflichtender Vertragsklauseln.
Dieser Beitrag knüpft an den am 4. November 2025 veröffentlichten Beitrag an, in dem die Anwendbarkeit der Cloud-Switching-Vorschriften und die Pflicht zur Beseitigung von Wechselhindernissen beleuchtet wird.
I. Informationspflichten
Cloud-Anbieter sollten besonderes Augenmerk auf die Einhaltung der Informationspflichten richten, da Verstöße gegen diese leicht aufgedeckt werden können.
Es ist nicht für alle Informationspflichten eindeutig geregelt, wann diese zu erfüllen sind. Anbieter müssen allerdings von vorvertraglichen Pflichten ausgehen, da nur vorvertragliche Informationen die Entscheidungsfindung der Kunden unterstützen können.
Auch bleibt unklar, ob die Pflicht zur Information über die Verfügbarkeit von Daten in Übereinstimmung mit Interoperabilitätsnormen und offenen Interoperabilitätsspezifikationen für Anbieter sämtlicher Cloud-Dienste gilt. Vorsorglich sollten jedoch alle Cloud-Anbieter diese Informationen bereitstellen, unabhängig von der Art des angebotenen Dienstes (IaaS, PaaS, SaaS oder XaaS).
II. Verpflichtende Vertragsklauseln
Art. 25 DA schreibt in einem umfangreichen Katalog verpflichtende Mindestinhalte für Verträge über Cloud-Dienste vor.
Insbesondere müssen Anbieter im Vertrag auch die Wechselentgelte benennen, die nach Art. 29 DA erhoben werden können. Dies stellt Anbieter vor das Problem, wie diese Verpflichtung erfüllt werden kann. Da die konkrete Höhe der Wechselentgelte von verschiedenen Faktoren abhängt und nicht im Voraus bestimmt werden kann, bleibt nur eine abstrakte Umschreibung der möglichen Wechselentgelte. So lange hierüber keine Klarheit herrscht, bietet es sich an, sich bei der Benennung der möglichen Wechselentgelte im Vertrag streng an den Vorgaben des Art. 29 Abs. 1–3 DA zu orientieren. Dort ist die Zulässigkeit von Wechselentgelten geregelt.
Wichtig ist außerdem: Nicht nur für Neuverträge, sondern auch für Verträge mit Bestandskunden müssen die in Art. 25 DA vorgesehenen Mindestinhalte beachtet werden. Anbieter müssen daher alle vor dem 12. September 2025 geschlossenen Verträge an die neuen Mindestinhalte anpassen.
III. Fazit und Ausblick
Der Data Act schafft eine weitreichende unionsrechtliche Cloud-Regulierung. Anbieter sollten dringend die Einhaltung der umfangreichen Informationspflichten sicherstellen. Zudem sind Kundenverträge anzupassen. Gleichzeitig bleibt vieles unklar – insbesondere, wie Gerichte zentrale Begriffe und Pflichten auslegen werden.
Bis zur Klärung der bestehenden Unklarheiten durch die Rechtsprechung empfiehlt sich eine risikobasierte Compliance-Strategie und die laufende Beobachtung behördlicher Leitlinien und Stellungnahmen.
Eine vertiefte Analyse der Informationspflichten für Cloud-Anbieter sowie der Mindestinhalte für Cloud-Verträge findet sich im Aufsatz von Dr. Felix Rützel, nachzulesen in MMR 2025, 864. Dr. Felix Rützel ist Rechtsanwalt im Münchner Büro von Grünecker und berät zu allen Rechtsfragen rund um Informationstechnologie und Digitalisierung.