Deadline: 12. September 2025 Cloud Switching: Akteure im Zugzwang

Anbieter zum Thema

Impossible Cloud GmbH

Der EU Data Act tritt am 12. September 2025 in Kraft. Was das für Cloud-Verträge bedeutet und welche Akteure in der Branche vor welchen Herausforderungen stehen, erläutert Wilfried Reiners, Rechtsanwalt, PRW Rechtsanwälte.

Im Kern geht es bei der Umsetzung des Data Act, insbesondere Art. 23 ff. darum, den Zugang und die Portabilität von Daten zu verbessern sowie Abhängigkeiten von einzelnen Cloud-Anbietern (Vendor Lock-in) zu reduzieren, führt Wilfried Reiners, Rechtsanwalt, PRW Rechtsanwälte aus. Für Cloud-Verträge hat dies konkrete Folgen.

Erleichterte Portabilität

Ein Verbot oder die Begrenzung von Wechselentgelten führt dazu, dass Cloud-Anbieter keine oder nur sehr geringe Entgelte für die Datenportierung verlangen dürfen. Kosten dürfen laut Reiners nur für nachweislich notwendige technische Maßnahmen erhoben werden.

Schutz vor unberechtigtem Datenzugriff

„Anbieter müssen technische und organisatorische Maßnahmen ergreifen, um unrechtmäßigen Zugriff auf Daten (insbesondere durch Drittstaaten) zu verhindern“, so der Rechtsanwalt. Es gebe auch eine Verpflichtung zur Transparenz über Datenzugriffe durch staatliche Stellen.

Mindestinhalte für Cloud-Verträge

Cloud-Verträge müssen laut Reiners künftig bestimmte Mindestinhalte enthalten, etwa klare Regelungen zur Datenportabilität, Zeitrahmen und Verfahren für den Anbieterwechsel sowie Angaben zu unterstützten Interoperabilitätsstandards. Für Cloud-Anbieter bedeutet das, dass sie ihre Vertragsbedingungen, technischen Prozesse und Servicearchitekturen bis spätestens September 2025 anpassen müssen.

Digitale Souveränität

Doch wie stärkt der Data Act die digitale Souveränität der EU-Mitgliedsstaaten gegenüber US-amerikanischen Hyperscalern? Reiners führt aus, dass der Data Act ein gezieltes politisches Instrument der EU sei, um die Datenhoheit und die digitale Resilienz Europas zu erhöhen. „Der Data Act setzt US-Hyperscalern Grenzen beim Datenzugriff, zwingt sie zur Vertragsanpassung und technischen Öffnung, und schafft faire Wettbewerbsbedingungen für europäische Cloud-Anbieter“, ordnet der Rechtsgelehrte ein.

Einfluss durch den Cloud Act

Dann wäre da noch der Cloud Act, der seit dem 23. März 2018 in Kraft ist. Fraglich ist, welchen Einfluss dieser bei bestehenden Cloud-Verträgen mit US-Hyperscalern hat. Oder anders gefragt: Was ändert es beim Datenzugriff, wenn die Daten in der EU gespeichert sind?

„Der Cloud Act steht in direktem Spannungsverhältnis zur DSGVO, insbesondere zur Datenübermittlung in Drittstaaten (Art. 44 ff. DSGVO)“, führt der Jurist aus. Ein US-Anbieter darf letztlich verpflichtet werden, Daten herauszugeben – auch wenn dies in der EU nicht rechtens wäre. „Der Data Act reagiert indirekt auf diese Problematik“, so Reiners, denn er verlangt von Cloud-Anbietern, dass sie offenlegen, wenn sie durch ausländische Behörden zur Herausgabe von Daten aufgefordert werden.

Unrechtmäßige Zugriffe verhindern

Anbieter müssen zudem technische und organisatorische Maßnahmen treffen, um unrechtmäßige Zugriffe zu verhindern, beispielsweise durch Verschlüsselung, rechtliche Gegenwehr oder Datentreuhandmodelle. „In vielen Fällen müsste ein Zugriff verweigert werden, wenn er gegen EU-Recht verstößt“, antizipiert der Rechtsanwalt. Allerdings gilt: „Der Cloud Act kann Datenzugriffe auch bei Speicherung in der EU erzwingen – das ist ein reales Compliance- und Vertrauensproblem.“ So kontert der EU Data Act mit Transparenz- und Interventionspflichten; er sei aber kein vollständiger Schutz. Technische Maßnahmen, klare Vertragsklauseln, Anbieterwahl und Rechtsgutachten zur Risikoabwägung seien an dieser Stelle entscheidend.

Vertragsrechtliche Grundlagen

„Es ist nicht ausgeschlossen, dass ein von Trump geführtes Justiz- oder Handelsministerium das EU-US-Data-Privacy-Framework erneut schwächt, ignoriert oder beendet“, findet Reiners. Die EU könnte ebenfalls eine Aufkündigung des Abkommens erwägen, antizipiert der Rechtsanwalt. Konkret könnte die US-Regierung US-IT-Anbieter und deren Töchter noch stärker verpflichten, Daten auch aus europäischen Rechenzentren herauszugeben – „selbst bei verschlüsselter Speicherung“, so Reiners und ergänzt: „Mit Blick auf den transatlantischen Druck entsteht ein reales Risiko, dass Datenzugriffe durch US-Behörden erfolgen könnten – ob mit oder ohne Wissen der Datenberechtigten.“ US-Softwarelösungen könnten nach Ansicht von Reiners – ohne dass die Hersteller das wollen oder akzeptieren – auch zur „Waffe“ in bereits existierenden Handelskonflikten werden – bis hin zu Nutzungseinschränkungen, Lizenzverboten oder Datenexport-Stopps.

IT-Risikoanalyse mit Abhängigkeiten

Vor diesem Hintergrund raten wir den Anwendern gemeinsam mit ihren IT-Dienstleistern eine IT-Risikoanalyse mit Abhängigkeiten durchzuführen. Es sollte eine Liste aller kritischen US-Dienste erstellt werden und die Auswirkungen eines Wegfalls bewertet werden. Es sollte zum Beispiel geprüft werden, ob Europäische- oder Open-Source-Lösungen in Betracht kommen. Eine fundierte Risikoanalyse mit rechtlicher Bewertung ist kein weiteres bürokratisches Hindernis, sondern ein strategisches Werkzeug der Entscheiderebene. Sie schafft Klarheit, Transparenz und Entscheidungsfähigkeit – sowohl in der Unternehmensführung als auch in der Verwaltung. Vor allem aber ist sie inzwischen notwendig, um Entscheidungsträger vor einer persönlichen Verantwortlichkeit zu schützen.

Rolle der EU-Standardvertragsklauseln

In welchem Umfang werden die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) zukünftig eine Rolle bei der Ausgestaltung internationaler Datentransfers spielen, insbesondere in Verträgen mit US-Hyperscalern, um den Anforderungen des Data Act gerecht zu werden?

Reiners erklärt dazu: „Die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) bleiben auch nach Inkrafttreten des EU Data Act ein zentrales Instrument für internationale Datentransfers, insbesondere in Verträgen mit US-Hyperscalern.“ Ihre Bedeutung ändere sich aber qualitativ, da sie nicht mehr als alleinige Absicherung ausreichen, um den Anforderungen von DSGVO, Schrems-II-Urteil und Data Act gerecht zu werden.

„Die Wahrscheinlichkeit, dass ein weiteres EuGH-Urteil („Schrems III“) ein künftiges Datenschutzabkommen zwischen der EU und den USA erneut kippt, ist nicht nur realistisch, sondern recht hoch einzuschätzen“, findet der Rechtsgelehrte, „insbesondere weil strukturelle Mängel bestehen bleiben, die bereits Schrems I (2015) und Schrems II (2020) beanstandet haben.“ Schließlich würden die neuen Schutzmaßnahmen der USA erneut auf einer Executive Order (EO 14086) basieren, also einem Verwaltungsakt des US-Präsidenten und keinem Gesetz. US-Geheimdienste behalten demnach Zugriff auf Daten nach FISA 702, so Reiners.

Bemühungen der EU

Doch wie bewertet Reiners die aktuellen EU-Initiativen wie Gaia-X, 8ra und EuroStack, die einen souveränen und sicheren europäischen digitalen Raums schaffen sollen? Aus Sicht des Rechtsanwaltes sind die aktuellen EU-Initiativen wie Gaia-X, 8ra (früher: Project Structura) und EuroStack durchaus strategisch wichtige Projekte, um die digitale Souveränität Europas zu stärken. „Sie zielen darauf ab, Rechtssicherheit, Interoperabilität und Datensouveränität in der Cloud-Infrastruktur zu fördern und eine europäische Alternative zu US-Hyperscalern zu schaffen.“ „Allerdings“, räumt Reiners gleichermaßen ein, dass der praktische Nutzen bislang begrenzt sei, und die Rechts- und Datensicherheit stark von der konkreten Umsetzung und Governance der jeweiligen Projekte abhänge.

Kritikpunkte an den Initiativen

Reiners kritisiert die langsame Umsetzung der EU-Initiativen, die auf viele Pilotprojekte, „aber keine produktive Infrastruktur mit spürbarer Marktwirkung“ herauslaufe. Darüber hinaus sei eine Beteiligung von US-Anbietern in Schlüsselrollen gegeben, beispielsweise Microsoft und AWS als Mitglieder der Initiativen. Das untergräbt nach Ansicht des Juristen das Ziel der Souveränität.

Auch dass keine eigene Infrastruktur gegeben sei, kritisiert der IT-Rechtsexperte: „Gaia-X ist ein Governance- und Zertifizierungsrahmen, kein physischer Cloud-Anbieter“. Sein Fazit: „Wichtig als politisch-strategischer Rahmen, aber aktuell keine Garantie für Rechtssicherheit oder tatsächliche Cloud-Act-Freiheit“

Beseitigung von Switching-Hindernissen

Allerdings könnten die Regelungen im Data Act, insbesondere im Artikel 23 ff. bezüglich des Cloud Switching für die IT-Branche die Situation verbessern. Reiners analysiert: „Die Art. 23 ff. Data Act zwingen Cloud-Anbieter und SaaS-Dienstleister zu einem Paradigmenwechsel: Weg von geschlossenen, kundenbindenden Systemen – hin zu offenen, kundenzentrierten, interoperablen Lösungen. Wer als Anbieter frühzeitig in technische, vertragliche und prozessorientierte Umstellung investiert, kann sich im Wettbewerb positiv differenzieren. Wer es versäumt, droht rechtlich angreifbar zu werden und Kunden zu verlieren.“

Der Anwalt fasst zusammen, welche Änderungen durch besagte Passagen im Data Act anstehen:

Zielsetzung der Regelungen (Art. 23–26 Data Act)

• Vermeidung von Lock-in-Effekten

• Förderung des Wettbewerbs im europäischen Cloud-Markt

• Stärkung der Datenportabilität

• Sicherstellung der Kontrolle über eigene Daten und Anwendungen

Konkret läuft das auf folgende Änderungen hinaus:

1. Technische Interoperabilität sicherstellen (Art. 24, 26)

• Cloud- und SaaS-Anbieter müssen offene Schnittstellen, standardisierte Datenformate und kompatible Exportfunktionen bereitstellen.

• Kunden sollen alle Daten, Metadaten, Anwendungen, Konfigurationen ohne technische Hürden mitnehmen können.

• Beispiel: Ein Wechsel von einem DMS oder ERP in eine andere Cloud darf nicht an proprietären Formaten oder fehlenden APIs scheitern.

2. Vertragliche Transparenz und Wechselszenarien (Art. 23, 25)

Verträge müssen klare Angaben machen zu:

• Verfahren, Fristen und Unterstützungsleistungen beim Wechsel,

• Dauer des Übergangsprozesses (in der Regel max. 30 Kalendertage),

• Kostenregelungen, die nur realistische Aufwände decken dürfen.

3. Verbot oder Begrenzung von Wechselentgelten (Art. 25)

• Anbieter dürfen keine überhöhten Gebühren für die Portierung verlangen.

• Übergangsregelung: Bis 2027 sind moderate Kosten erlaubt, ab dann gilt kostenfreier Wechsel.

4. Pflicht zur Kooperation im Wechselprozess

Der Alt-Anbieter muss den Wechsel aktiv unterstützen (beispielsweise durch Bereitstellung von Exporttools, Dokumentation, Zusammenarbeit mit dem Zielanbieter).

Wer ist wie gefordert?

Die IT-Branche ist ein weites Feld und die beteiligten Akteure sind auf unterschiedliche Art und Weise durch den Data Act gefordert, beziehungsweise haben verschiedene To-Dos. Rechtsanwalt Reiners unterscheidet zwischen Cloud-Anbietern, Softwareherstellern, Systemhäusern und IT-Dienstleistern sowie Kunden. Sie alle stünden vor unterschiedlichen Konsequenzen durch den Data Act:

Cloud-Anbieter (IaaS, PaaS, SaaS)

• Verträge & AGB anpassen.

• Portabilitätslösungen entwickeln.

• Interoperabilität sicherstellen.

Softwarehersteller (vor allem: SaaS)

• Standardformate und Exportfunktionen schaffen.

• Cloud-neutralere Architektur entwickeln.

Systemhäuser & IT-Dienstleister

• Kunden bei Portabilität beraten.

• Migrationsprojekte planen und durchführen.

Kunden der Cloudanbieter

• Vertragsprüfung durchführen.

• Wechselszenarien und Exit-Strategien entwickeln.

Bedeutung für die IT-Branche

Die Chancen durch den Data Act verortet Reiners dahingehend, dass sich neue Märkte für Anbieter mit offenen Architekturen und Wechsel-Services auftun. Ferner würden europäischer Anbieter, die sich frühzeitig anpassen gestärkt aus der Gemengelage hervor gehen. Bei den Cloud-Kunden könne mit einem Vertrauensgewinn durch Transparenz und Flexibilität gerechnet werden.

Doch das alles gebe es nicht umsonst. Als größte Herausforderungen fasst der Jurist zusammen:

• Technischer Umbau proprietärer Plattformen,

• Verlust von Lock-in-basierten Geschäftsmodellen,

• Anpassung von Vertragswerken, Schulung von Vertrieb & Support.

(ID:50457561)