Die Regelungen im Data Act Artikel 23 ff. zum Cloud Switching beschäftigen die Akteure in der IT-Branche. Am 12. September treten diese in Kraft. Ein fachlich versierter Jurist analysiert für IT-BUSINESS die Situation im Detail.
Der Data Act bildet ein neues rechtliches Fundament für Cloud Computing.
(Bild: Midjourney / KI-generiert)
Der Data Act könnte das Cloud Computing revolutionieren: Die bisherigen Einschränkungen durch Vendor-Lock-Ins sollen weitgehend aufgehoben und der Wechsel zwischen Anbietern erleichtert werden. Damit könnte die Abhängigkeit von einzelnen Anbietern der Vergangenheit angehören. Auch dem Ziel einer Souveränen Cloud kommt man so ein gutes Stück näher. Könnte dies den Startschuss für ein neues Zeitalter der Freiheit in der Cloud bedeuten? Dr. Lars Lensdorf, Partner bei Covington & Burling kennt die juristischen Aspekte im Detail.
Was wird sich ändern?
Dr. Lars Lensdorf, Partner bei Covington & Burling
(Bild: Covington & Burling)
Die Regelungen im Data Act Artikel 23 ff. zum Cloud Switching für die IT-Branche werden nicht spurlos an der Branche vorbeigehen. Lensdorf ordnet ein: „Bisher wurde der Wechsel zu einem anderen Cloud-Anbieter für Kunden oftmals erschwert was zu Lock-In-Effekten führte.“ Mit dem Data Act soll der Wettbewerb rund um datengetriebene Geschäftsmodelle, laut dem Juristen, geöffnet und zugleich der Anbieterwechsel für Kunden erleichtert werden. „Vorkommerzielle, gewerbliche, technische, vertragliche und organisatorische Hindernisse sollen nunmehr durch die Art. 23 ff. Data Act beseitigt werden“, erklärt der Partner bei Covington & Burling und führt aus, dass dies verschiedene Aspekte betrifft, nämlich:
vereinfachten Datenzugriff,
vereinfachte Datenportabilität,
Interoperabilität,
standardisierte Schnittstellen,
kundenfreundliche Regelungen zur Beendigung eines Cloud-Vertrags sowie
die schrittweise Abschaffung von Wechselentgelten.
Zudem sollten IaaS-Anbieter für eine Trennung der von ihnen auf Basis der IaaS-Leistungen erbrachten weiteren Leistungen sorgen, soweit dies technisch durchführbar ist.
Hintergrund
Cloud Switching gegen Vendor-Lock-In-Effekte
Als Cloud Computing seinen Einzug hielt, argumentierten die Anbieter mit Vendor-Lock-In-Effekten bei dauerhaften Lizenzen, die durch Cloud-Flexibilität ersetzt werden könnten. Pustekuchen: Viele Anbieter schufen selbst – absichtlich oder unabsichtlich – neue Abhängigkeiten durch komplexe Verträge, versteckte Kosten und technische Barrieren. Wenn man sich nun im Markt umhört, wird klar: Der Data Act sorgt derzeit für viel Bewegung hinter den Kulissen. Juristen und Techniker loten aus, wie das Cloud Switching der Zukunft mit den neuen „Spielregeln“ aussehen wird. Der Herbst wird zeigen, ob die Vorgaben zu Cloud Switching ein neues Zeitalter im Cloud Computing einläuten werden.
Was steht im Data Act?
Der freie Fluss von Daten und Workloads ist das erklärte Ziel für die Zukunft.
(Bild: Midjourney / KI-generiert)
Um diesen Zielen zu entsprechen, enthalte Art. 25 allgemeine Vorgaben für die Vertragsgestaltung, die auf der Anbieterseite wohl in den meisten Fällen zu einer Anpassung der bestehenden Verträge führen wird, so der Jurist.
Art. 26 und Art. 28 Data Act legen demnach Informationspflichten für Cloud-Anbieter fest, die ebenfalls in den meisten Fällen auf Anbieterseite heute so noch nicht umgesetzt sein dürften.
Ein besonderes Augenmerk sei auf Art. 29 Data Act zu richten, der eine schrittweise Abschaffung von Wechselentgelten vorsieht.
In technischer Hinsicht kommt schließlich Art. 30 Data Act eine besondere Bedeutung zu. Art. 30 Data Act unterscheidet zwischen IaaS-, PaaS- und SaaS-Anbietern.
IaaS-Anbieter haben den Wechsel gemäß Art. 30 (1) Data Act dadurch zu ermöglichen, dass sie Kapazitäten, angemessene Informationen, Dokumentationsmaterial, technische Unterstützung und gegebenenfalls die erforderlichen Instrumente bereitstellen.
PaaS- und SaaS-Anbieter haben laut Lensdorf gemäß Art. 30 (2) Data Act unentgeltlich offene Schnittstellen bereit zu stellen. Darüber hinaus haben sie für eine Kompatibilität mit gemeinsamen Spezifikationen auf der Grundlage offener Interoperabilitätsspezifikationen oder harmonisierter Interoperabilitätsnormen zu sorgen.
Wer ist ein „Datenverarbeitungsdienst“?
„Um den Anforderungen zu entsprechen, werden Anbieter in einem ersten Schritt ihre Produkte und Dienste darauf hin überprüfen müssen, ob diese einen ‚Datenverarbeitungsdienst‘ im Sinne des Data Act darstellen, für den die vorstehend skizzierten Anforderungen gelten“, führt der Jurist aus. Ein „Datenverarbeitungsdienst“ ist gemäß Art. 2 Nr. 8 Data Act demnach genau genommen „eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.“
Hintergrund
Das „Hotel California“ der Cloud
Wenn man so will ist es der Song „Hotel California“ von den Eagles aus dem Jahr 1976. Es handelt von einem gleichnamigen Hotel, in das ein müder Reisender zur Übernachtung eincheckt. Er merkt bald, dass die anderen Hotelgäste eine eingeschworene Gemeinschaft bilden. Als er das Weite suchen will und sich beim Rezeptionisten meldet, erfährt er: "You can check out any time you like, but you can never leave!“
Abwägungsfragen bei einzelnen Leistungen
Das Orchestrieren einer Multi-Cloud-Umgebung soll durch den Data Act erleichtert werden.
(Bild: Midjourney / KI-generiert)
Lensdorf antizipiert, dass nach den Erwägungsgründen des Data Act IaaS-, PaaS- und SaaS-Leistungen hiervon auf jeden Fall erfasst werden, allerdings wird es seiner Erfahrung nach bei vielen Leistungen nicht so klar und einfach sein zu bestimmen, ob diese von der Definition des „Datenverarbeitungsdienst“ erfasst werden. „Sofern die Überprüfung ergibt, dass Leistungen unter den Begriff des ‚Datenverarbeitungsdienst‘ fallen, sind die vorstehend skizzierten Anpassungen vorzunehmen“, legt sich Lensdorf fest. Hinsichtlich der vertraglichen Anpassungen könne man die von der EU-Expertengruppe im April dieses Jahres veröffentlichten Standardvertragsklauseln als Hilfestellung betrachten, rät der Jurist. Ziel der unverbindlichen Klauseln sei es, die Verhandlungen und den Abschluss fairer, angemessener, nicht-diskriminierender und ausgewogener Verträge zu unterstützen. Die EU-Kommission wird den Bericht voraussichtlich in eine offizielle Empfehlung überführen“, so der Partner einer Kanzlei.
Digitale Souveränität
Anbieter werden für das Cloud Switching mehr Schnittstellenarbeit leisten müssen.
(Bild: Midjourney / KI-generiert)
Die Frage liegt auf der Hand: Wie stärkt der Data Act die Digitale Souveränität der EU-Mitgliedsstaaten gegenüber US-amerikanischen Hyperscalern?
Lensdorfs Antwort auf diese Frage ist differenziert: „Ziel des Data Acts ist ein Binnenmarkt für Daten zur globalen Wettbewerbsfähigkeit und Datensouveränität Europas.“ Unter Digitaler Souveränität kann man unter anderem die Fähigkeit von Individuen und Institutionen verstehen, in einer digitalen Welt selbstbestimmt und verantwortungsbewusst handeln zu können. Dies werde dann dadurch erreicht, dass Kunden in EU-Mitgliedsstaaten nicht mehr an Hyperscaler gebunden sein sollen und ihnen die Möglichkeit gegeben wird, ihre Daten ungehindert zu bewegen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
„Inwieweit ausländische politische Bestrebungen die Digitale Souveränität beeinträchtigen könnten, kann ich aktuell nicht abschließend beurteilen“, räumt Lensdorf ein. Der Data Act wird ihm zufolge jedoch für die Digitale Souveränität im Allgemeinen durch die Stärkung der Unabhängigkeit von Kunden und deren Entscheidungsfreiheit gegen internationale Tech-Unternehmen und konkurrierende Rechtsordnungen eine große Rolle spielen.
Hintergrund
APIs: Die Herzstücke des Cloud Switching
Im Cloud Switching sind APIs (Application Programming Interfaces) unverzichtbar. Sie ermöglichen den Datenaustausch zwischen Cloud-Anbietern, indem sie unterschiedliche Systeme verbinden. APIs sorgen dafür, dass bei Anbieterwechseln alle Funktionen zugänglich und Daten geschützt bleiben. Im Cloud Switching sind RESTful APIs, SOAP APIs und GraphQL entscheidende Schnittstellen.
Der Cloud Act und die Cloud
Während der Data Act in der EU entstanden ist, spielt der Cloud Act in den USA eine Rolle und taucht immer wieder in Zusammenhang mit Fragestellungen rund um das Thema Digitale Souveränität auf. Der Cloud Act ist seit dem 23. März 2018 in Kraft und es stellt sich die Frage, welche Rolle dieser bei bestehenden Cloud-Verträgen mit US-Hyperscalern spielt. „Der Cloud Act – Cloud steht übrigens nicht für ‚Cloud Computing‘, sondern ist eine Abkürzung von ‚Clarifying Lawful Overseas Use of Data‘ - legt fest, unter welchen Bedingungen US-Behörden Zugriff auf Daten erhalten können, die bei US-Unternehmen gespeichert sind, selbst wenn die Daten physisch außerhalb der USA liegen.“, erläutert Lensdorf. Insofern werden US-Hyperscaler vom Anwendungsbereich des Cloud Acts erfasst.
Zusammenhang mit dem Data Act
„Für den Datenzugriff des Kunden im Sinne des Data Acts dürfte sich jedoch hierdurch wenig ändern“, bringt es der Partner einer großen Kanzlei auf den Punkt. „Die Daten, auf die durch den Cloud Act zugegriffen werden kann, sind häufig personenbezogene Daten, sodass sich der Cloud Act vielmehr im Spannungsverhältnis mit der DSGVO befindet“. Da die DSGVO strenge Vorschriften über den Austausch personenbezogener Daten mit Drittstaaten enthält, könne es in dem Zusammenhang zu Rechtskonflikten kommen, insbesondere – so der Jurist – wenn ein Unternehmen, das den Bestimmungen der DSGVO unterliegt, von einem US-Gericht zur Offenlegung von Daten aufgefordert wird, aber die DSGVO dem entgegensteht. Lensdorf weiß: „Von größerem Interesse dürfte deshalb sein, wie sich das Spannungsverhältnis zwischen DSGVO und Cloud Act entwickelt, insbesondere auch vor dem Hintergrund des seit Juli 2023 geltenden EU-US Data Privacy Framework.“ Für die Kunden eines US-Hyperscalers sei zunächst wichtig, dass sie sich diesen Herausforderungen bewusst sind, sich mit diesen im Vorfeld des Vertragsschlusses auseinandersetzen und die Überlegungen sowie die ergriffenen Maßnahmen dokumentieren.
Hintergrund
Marktdominanz der Hyperscaler
„Die Cloud“ heißt konkret allzu oft, dass Angebote der US-Hyperscaler genutzt werden. So speichert fast die gesamte westliche Welt ihre Daten zu einem großen Teil bei US-Firmen. Diese Marktdominanz geht mit kritikwürdigen Effekten einher. Die drei Hauptkritikpunkte drehen sich um Sicherheitsbedenken:
Der US Cloud Act erlaubt US-Behörden unter gewissen Voraussetzungen den Datenzugriff, auch wenn diese nicht in den USA gespeichert sind, was europäische Datenschutzstandards „herausfordert“.
Neben den bekannten Kosten kommen oft zusätzliche Gebühren für Datenübertragungen, APIs und Speicher dazu, die viele Unternehmen bereits überrascht haben.
Vertragsrechtliche Konsequenzen
Was ändert sich in Bezug auf Cloud-Verträge mit US-Hyperscalern, wenn sowohl der EU Data Act als auch der Cloud Act gelten? Diese Frage beantwortet Lensdorf aus mehreren Blickwinkeln: „Der Cloud Act ist meines Erachtens im Zusammenspiel mit dem Data Act weniger relevant, da der Data Act in Bezug auf Cloud-Leistungen vor allem den Zweck hat, die Abhängigkeit des Kunden vom Cloud-Anbieter zu verhindern.“ Der Cloud Act soll hingegen den US-Behörden die Möglichkeit eröffnen, von einem Provider Daten zum Zwecke der Strafverfolgung herauszuverlangen, auch wenn diese Daten außerhalb der USA gespeichert werden, wenn Gesetze des jeweiligen Landes dies ausschließen.
Verträge sind einzuhalten
Der Grundsatz, dass Verträge einzuhalten sind, ist ein Eckpfeiler des Vertragsrechts. Doch wie wirkt sich dieser Grundsatz auf bestehende Verträge zwischen europäischen Kunden und US-Hyperscalern aus, wenn sie mit neuen regulatorischen Anforderungen konfrontiert werden?
„Dass bestehende Verträge aufgrund neuer regulatorischer Anforderungen angepasst werden müssen, ist keine neue Entwicklung, sondern ein bereits etablierter Mechanismus“, führt Lensdorf aus. „Gerade in regulierten Bereichen, wie beispielsweise bei Banken, Finanzdienstleistern und Versicherungen, ist die Anpassung bestehender Verträge an neue regulatorische Anforderungen gang und gäbe.“
Hintergrund
Cloud-Monitor von KPMG
An der Cloud führt de facto kein Weg vorbei, wenn man den Ergebnissen des aktuellen „Cloud-Monitor 2024“ der Wirtschaftsprüfer von KPMG Glauben schenkt: 98 Prozent der befragten Unternehmen in Deutschland mit 50 und mehr Beschäftigten nutzen demnach Cloud Computing. Davon fährt etwas mehr als die Hälfte eine Cloud-First-Strategie. Das Boom-Thema KI treibt den Cloud-Siegeszug voran: 97 Prozent der Cloud-nutzenden Unternehmen beziehen KI aus der Cloud.
Ähnlich wie bei DORA
Zu nennen sei in diesem Zusammenhang beispielsweise das Erfordernis von Anpassungen an den Digital Operational Resilience Act – kurz DORA. Der Grundsatz „pacta sunt servanda“ beschreibt laut dem Rechtswissenschaftler das Prinzip der Vertragstreue zwischen den Vertragsparteien. Die Umsetzung neuer regulatorischer Vorgaben durch Vertragsparteien soll hingegen die Gesetzeskonformität des Vertrages herstellen. In der Regel enthalten Verträge demnach mal mehr, mal weniger ausdifferenzierte Regelungen zu der Frage, wie mit regulatorischen Anpassungen beziehungsweise Änderungen umzugehen ist. „Aber selbst wenn der Vertrag hierzu keine expliziten Regelungen enthält, kann sich eine Anpassungsverpflichtung in bestimmten Bahnen aus vertraglichen Neben- bzw. Treuepflichten oder aus dem gesetzlichen Institut der Störung der Geschäftsgrundlage (§ 313 BGB) ergeben“, führt Lensdorf aus.
Mit dem Data Act soll der Wettbewerb rund um datengetriebene Geschäftsmodelle geöffnet und zugleich der Anbieterwechsel für Kunden erleichtert werden.
Dr. Lars Lensdorf, Partner bei Covington & Burling
Nicht „Ob“, sondern „Wie“
Erfahrungsgemäß geht es laut dem Juristen bei diesen Verhandlungen dann weniger um das „Ob“ der Vertragsanpassung als vielmehr um das „Wie“, insbesondere um die kaufmännischen Parameter. „Da das ‚Wie‘ weitgehend der Privatautonomie der Vertragsparteien unterliegt, rate ich dringend dazu, dieses Thema im Vertrag zu adressieren“, so der Jurist. „Da wir alle keine Hellseher sind und es in der Regel, insbesondere bei langfristigen Verträgen, schwer ist, mögliche gesetzlich erforderliche Anpassungen und ihre Konsequenzen vollumfänglich zu antizipieren, empfehle ich, Grundprinzipien und Leitplanken zu vereinbaren, auf deren Basis dann eine Lösung im jeweiligen Einzelfall verhandelt werden kann.“
Hintergrund
EU Data Act forciert Cloud Switching
Der EU Data Act macht Vorgaben für den nahtlosen Wechsel zwischen Cloud-Dienstleistern. Ab September 2025 müssen Barrieren wie hohe Egress-Gebühren beseitigt werden. So sollen Nutzer beim Cloud Computing mehr Kontrolle und Flexibilität über ihre Daten erhalten. Dazu werden Anbieter an ihren Verträgen, Prozessen und Schnittstellen arbeiten müssen.
Die Rolle der EU-Standardvertragsklauseln
In welchem Umfang werden die EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) zukünftig eine Rolle bei der Ausgestaltung internationaler Datentransfers spielen, insbesondere in Verträgen mit US-Hyperscalern, um den Anforderungen des Data Act gerecht zu werden? Diese Frage beantwortet Lensdorf vielschichtig: „Bei dem Begriff EU-Standardvertragsklauseln ist zu differenzieren zwischen a) den EU-Standardvertragsklauseln im Sinne des Datenschutzrechts, die als Grundlage für Transfers in Drittstaaten mit einem nicht adäquaten Datenschutzniveau dienen können und b) EU-Standardvertragsklauseln im Sinne des Data Act, die die Vertragsparteien bei der Ausarbeitung und Aushandlung von Verträgen mit fairen, angemessenen und nichtdiskriminierenden vertraglichen Rechten und Pflichten unterstützen sollen“, erläutert der Jurist.
Ausgewogenes Verhältnis zwischen Nutzern und Anbietern
Während Erstere für Datentransfers in Drittstaaten verbindlich seien und von den Parteien grundsätzlich nicht geändert werden sollten, stellen die EU-Standardvertragsklauseln gemäß Art. 41 Data Act unverbindliche Musterklauseln dar. Und zwar Musterklauseln, „die die vertraglichen Vorgaben in Bezug auf das Cloud Switching in einem ausgewogenen Verhältnis zwischen Nutzern und Anbietern regeln sollen“, konkretisiert er. Die Europäische Kommission habe demnach nunmehr mit dem Dokument „Final Report of the Expert Group on B2B data sharing and Cloud computing contracts” diese EU-Standardvertragsklauseln nach dem Data Act erstmals veröffentlicht.
Zumindest ein hilfreiches Tool
„Auch wenn die Klauseln unverbindlich sind, kann davon ausgegangen werden, dass sie aufgrund der zu Beginn bestehenden Rechtsunsicherheit zumindest zunächst als ein hilfreiches Tool sowohl für die Provider- als auch die Kundenseite dienen werden“, antizipiert der Anwalt. Zugleich sollten sich Provider demnach Argumente für den Fall überlegen, wenn sie die vorgeschlagenen Musterklauseln nicht in ihre Vertragspraxis übernehmen. Lensdorf geht davon aus, dass zumindest große, verhandlungsstarke Kunden zu einem gewissen Grad auf die Übernahme der Musterklauseln, wenn auch nicht wortwörtlich, so zumindest hinsichtlich ihrer Kernregelung, bestehen werden.
Praxisgerecht gedacht: Hyperscalern geben Vertragsklauseln vor
Hinter den Kulissen wird in der Cloud-Branche fleißig gearbeitet.
(Bild: Midjourney / KI-generiert)
In Bezug auf die Verhandlungsmacht der Kunden stellt sich die Frage, ob angesichts der marktdominierenden Position von Hyperscalern realistischerweise überhaupt die Möglichkeit besteht, individuelle Vertragsklauseln auszuhandeln. Dr. Lensdorf ordnet die Sachlage ein: „Vor dem Hintergrund, dass es auf dem globalen Markt nur wenige, dominierende Hyperscaler gibt, erscheint es eher unwahrscheinlich, dass Kunden die Möglichkeit haben werden, individuelle Vertragsklauseln auszuhandeln.“ Ausnahmen werde es seiner Einschätzung nach allenfalls bei sehr großen Kunden geben, die über eine entsprechend starke Verhandlungsposition verfügen.
Der Data Act relativiert die Marktmacht
Allerdings gilt jedenfalls für den Zugang zu Daten, die Weitergabe von Daten und den Anbieterwechsel, dass sich diese Problematik durch den Data Act relativieren dürfte, „da teilweise harmonisierte Bedingungen geschaffen werden und die Vertragsklauseln der Hyperscaler, die nicht den Anforderungen des Data Act entsprechen, gegebenenfalls im Rahmen eines gerichtlichen Prozesses angegriffen und durch die zuständige Aufsichtsbehörde sanktioniert werden können“, führt der Jurist aus.
Rechtsfolgen missbräuchlicher Klauseln
Vergleichbar mit dem deutschen AGB-Recht enthält der Data Act mit Art. 13 auch Regelungen und Rechtsfolgen zu missbräuchlichen Klauseln, führt der Fachjurist aus. Dies allein stärke jedoch die Verhandlungsposition nur bedingt. „Im Falle der Nichtumsetzung könnte sich der Betroffene zusätzlich bei der zuständigen Aufsichtsbehörde (Bundesnetzagentur) beschweren, welche für die Anwendung und Durchsetzung des Data Acts nach dem aktuellen Entwurf der Durchführungsverordnung zum Data Act zuständig sein wird“, skizziert Lensdorf. Der Entwurf sieht aktuell demnach in den vertragliche Vorgaben zum Cloud Switching einen Bußgeldtatbestand vor, sofern ein Vertrag nach Art. 25 Abs. 1 Satz 1 in Verbindung mit Absatz 2 und Absatz 3 des Data Acts
nicht,
nicht richtig,
nicht vollständig,
nicht in der vorgeschriebenen Weise oder
nicht rechtzeitig bereitgestellt wurde.
Denkbar ist laut Lensdorf in dem Zusammenhang eine Sanktionierung von nicht Data Act konformen Klauseln der Cloud-Anbieter auch über die Einflugschneise des Lauterkeitsrechts in Form von § 3a UWG, wie der Jurist erläutert.
Warten auf „Schrems III“
Ausblick auf ein mögliches ‚Schrems III‘: Nach den Urteilen Schrems I und Schrems II, wie hoch schätzen Sie die Wahrscheinlichkeit ein, dass ein weiteres EuGH-Urteil (möglicherweise Schrems III) zukünftige Abkommen erneut kippen könnte? Was könnte zu einem solchen Urteil führen?
Hintergrund
Was ist Schrems II?
Maximilian „Max“ Schrems ist ein österreichischer Jurist, der mit seiner Klage vor dem Europäischen Gerichtshof (EuGH) das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA und den EU-US-Privacy Shield beendete. Das hat bis heute juristische Auswirkungen. So entschieden in Folge mehrere Aufsichtsbehörden, dass die Nutzung von US-Cloud-Anbietern nicht den Anforderungen des Schrems-II-Urteils entspricht. Der Begriff „Schrems III“ anzizipiert, dass es weitere, ähnlich gelagerte Urteile geben könnte.
Zur Schrems-III-Frage geht Lensdorf davon aus, dass grundsätzlich ein Risiko bestehe, dass der EuGH auch das jetzt geltende EU-US Data Privacy Framework kippt. „Andererseits enthält das neue Abkommen viele Elemente und Kriterien, welche denen der DSGVO entsprechen oder zumindest mit diesen vergleichbar sind“, so der Rechtsgelehrte. Folgerichtig lasse sich schwer abschätzen, ob der EuGH das zukünftige Abkommen kippen könnte. „Vieles wird davon abhängen, inwieweit bisher zugesagte Schutzmaßnahmen der USA unter der Trump-Administration weiterhin Bestand haben oder ob diese wesentlich geändert werden“, ordnet der Jurist ein.
Dynamik in der US-Politik
Kritisch für den weiteren Bestand des EU-US Data Privacy Framework können nach Ansicht von Lensdorf beispielsweise Entwicklungen wie die Ende Januar dieses Jahres sein, als drei demokratische Mitglieder durch die neue Trump-Administration aufgefordert wurden, das Privacy and Civil Liberties Oversight Board (PCLOB) zu verlassen. „Das PCLOB ist eines der wenigen unabhängigen Aufsichtsgremien in den USA, das sich mit der Überprüfung von Überwachungspraktiken und dem Schutz der Privatsphäre befasst.“ Ihm komme eine entscheidende Rolle bei der Einhaltung des EU-US Data Privacy Framework zu, indem es Beschwerden europäischer Bürger zu Datenschutzverletzungen prüft. Verlassen die drei Mitglieder das Gremium, könnte man an der Unabhängigkeit und Handlungsfähigkeit des Gremiums zweifeln, findet er. Wie Behörden und Datenschützer darauf reagieren, bleibe abzuwarten.
Bestand von Datenschutzabkommen
So bleibt die Frage, welche Maßnahmen erforderlich wären, um sicherzustellen, dass zukünftige transatlantische Datenschutzabkommen robust genug sind, um einem gerichtlichen Überprüfungsprozess standzuhalten. Lensdorf erläutert in dieser Frage, dass es mit dem EU-US Data Privacy Framework gegenwärtig ein wirksames Abkommen gebe. „Auch wenn immer wieder kritische Töne zu vernehmen sind und auch die aktuellen Entwicklungen in den USA sicher sorgfältig zu beobachten und zu bewerten sind, ändert das erst einmal nichts daran, dass ein Datentransfer auf Basis des EU-US Data Privacy Framework möglich ist“, betont Lensdorf. Sollte das EU-US Data Privacy Framework eines Tages vom EuGH kassiert werden, werde man die Ursachen und Gründe genau analysieren müssen. Die Grundsätze seien relativ einfach: „Es muss sichergestellt werden, dass für die Übermittlung personenbezogener Daten in die USA ein mit der EU im Wesentlichen vergleichbares Datenschutzniveau auf Seiten der USA besteht“, erklärt der Jurist die Voraussetzung. Wesentliche Elemente hierfür seien unter anderem: die Zusicherung einer transparenten Verarbeitung der Daten in den USA,angemessene Rechtsbehelfe für Betroffene aus der EU wie Auskunftsrechte, Widerspruchsrechte und effektiver Rechtsschutz. US-Behörden dürften demnach außerdem nicht anlasslos auf personenbezogene Daten zugreifen, sondern nur „in angemessener und verhältnismäßiger Weise“. „Der Teufel steckt – wie so häufig im Leben – im Detail“, fasst Lensdorf die Rechtslage zusammen.
Kommentar
Auch eine Bürokratiemaschine macht mal was richtig
Die Europäische Union, diese oft und zurecht gescholtene Bürokratiemaschine, hat vielleicht mal einen Volltreffer gelandet. Wer hätte gedacht, dass uns die Macher des Fest-an-der-Flasche-bleibenden Plastikflaschendeckels unter Ursula „Ups, wo sind die SMS“ von der Leyen mit dem EU Data Act so einen Wurf landet? Wenn das alles so funktioniert wie geplant, werden Cloud-Nutzer galant aus den virtuellen Fängen des „Hotel California“ geleitet, wie die Cloud im Hinblick auf die Vendor-Lock-In-Problematik gerne augenzwinkernd genannt wird. Die Eagles besangen einst „You can check out anytime you like, but you can never leave“, und wer hätte ahnen können, dass damit unsere digitalen Cloud-Domizile so treffend beschrieben werden? Artikel 23 ff. des Data Acts zieht nun den Stecker zu diesem Szenario: Keine verschlossenen Türen mehr, die uns im Cloud-Hotel festnageln. Nutzer können die „digitale Lobby“ verlassen, müssen keine unnötigen Auscheckgebühren zahlen, haben keine lästigen Datenstaus an den Hotelparkgaragen-Ausfahrten. Warten wir mal ab, wie sich das ausspielt. Vorsichtiger Optimismus ist angebracht, dass es mehr Wettbewerb geben wird und sich in dieser Gemengelage nicht nur die Hyperscaler durchsetzen, sondern dann auch die kleineren Player aus der EU. Vor allem, weil letztere beim Thema Rechtssicherheit Pluspunkte einfahren.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/17/fd1778d08449fea134998137a6b60297/0129245350v1.jpeg "Nur 1.034 Gramm bringt das Acer Travelmate P6 14 AI in der von uns getesteten Version auf die Waage. In dem Chassis aus Aluminium-Magnesium-Legierung sitzt ein Mainboard mit einem Intel Core Ultra 7 258V. Das 14-Zoll-IPS-Display liefert die Full-HD+-Auflösung, allerdings nur mit 60 Hz. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/64/95/64952f6ea7a90e5b05cfee86750f54a9/0129232332v1.jpeg "Der CM5-Pico von Zotac ist als Gerät auf Basis des Raspberry Pi Compute Module 5 für Linux als Betriebssystem ausgelegt. Der kleine Rechner kommt ohne aktive Kühlung aus und soll sich für den 24/7-Betrieb eignen. (Bild: Zotac)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/04/a4/04a464283fa693f85c17fe0e50a28f7b/0125255049v1.jpeg "Hinter den Kulissen wird in der Cloud-Branche fleißig gearbeitet. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/db/02/db0230027fc4c0996173d8b015cdfa4b/0124872500v1.jpeg "Das Orchestrieren einer Multi-Cloud-Umgebung soll durch den Data Act erleichtert werden. (Bild: Midjourney / KI-generiert)")