Zurück zur Übersicht
08.04.2026 Fachbeitrag

„Datenverarbeitungsdienste“ im Sinne des Data Act – Pars pro toto oder totum pro parte?

Update IP, Media & Technology Nr. 140

Seit September 2025 müssen Anbieter bestimmter digitaler Dienste ihren Kunden den Wechsel zu Konkurrenzprodukten ermöglichen. Was auf den ersten Blick nach einer klaren Marktregulierung aussieht, wirft in der Umsetzung grundlegende Fragen auf: Welche Anbieter sind überhaupt betroffen? Wie kurz dürfen Wechselfristen sein? Und was gilt für Verträge, die schon vor Inkrafttreten der Regelung bestanden? Der folgende Beitrag ordnet diese Fragen ein und gibt eine Orientierung für die Praxis.

I. Ausgangslage: Warum der Gesetzgeber den Cloud-Markt reguliert

Wer heute digitale Infrastruktur einkauft – sei es Speicherplatz, Rechenleistung oder eine komplette Softwareplattform –, geht damit häufig eine langfristige Bindung ein. Daten werden in proprietären Formaten gespeichert, Schnittstellen sind auf einen bestimmten Anbieter zugeschnitten, und ein Anbieterwechsel scheitert oft schon an den technischen und finanziellen Hürden der Migration. Dieses Phänomen – im Fachjargon als Vendor Lock-in bezeichnet – beeinträchtigt nicht nur die Flexibilität einzelner Unternehmen, sondern hemmt den Wettbewerb im gesamten europäischen Cloud-Markt.

Genau hier setzt Kapitel VI des Data Act (Verordnung (EU) 2023/2854) an. Die seit dem 12. September 2025 geltenden Vorschriften verpflichten Anbieter sogenannter Datenverarbeitungsdienste, ihren Kunden einen reibungslosen Wechsel zu ermöglichen. Das Pflichtenprogramm reicht von zwingenden Vertragsinhalten über die Bereitstellung offener Schnittstellen bis hin zum stufenweisen Wegfall von Wechselentgelten. Doch damit diese Pflichten greifen, muss zunächst eine Vorfrage beantwortet werden: Fällt der betreffende Dienst überhaupt unter den Begriff des Datenverarbeitungsdienstes?

II. Was der Data Act unter einem Datenverarbeitungsdienst versteht

Die Verordnung enthält in Art. 2 Nr. 8 eine Begriffsbestimmung, die den Anwendungsbereich von Kapitel VI eröffnet. Danach liegt ein Datenverarbeitungsdienst vor, wenn ein digitaler Dienst dem Kunden einen netzbasierten Zugriff auf einen geteilten Pool von Rechenressourcen – etwa Speicher, Prozessorleistung oder Netzwerkkomponenten – verschafft, die bedarfsgesteuert, skalierbar und mit geringem Verwaltungsaufwand bereitgestellt werden können.

Diese Umschreibung orientiert sich an der international etablierten Cloud-Computing-Definition des National Institute of Standards and Technology (NIST) aus dem Jahr 2011. Der Verordnungsgeber hat die dort verwendete Begrifflichkeit in weiten Teilen übernommen und lediglich um Elemente ergänzt, die auch dezentrale Verarbeitungsmodelle wie Edge-Computing einbeziehen sollen. In den Erläuterungen zur Verordnung (Erwägungsgrund 81) werden die drei geläufigen Service-Modelle IaaS, PaaS und SaaS ausdrücklich erwähnt. Darüber hinaus ist die Definition technikneutral angelegt, sodass auch jüngere Konzepte – etwa datengetriebene Dienste oder KI-basierte Angebote – grundsätzlich unter den Begriff fallen können.

Bei näherer Betrachtung zeigt sich, dass die Abgrenzung in der Praxis alles andere als trivial ist. Denn die Begriffsbestimmung vereint rund 17 Einzelmerkmale, von denen etliche auslegungsbedürftig sind. Hinzu kommt, dass die verschiedenen Sprachfassungen der Verordnung nicht durchgängig deckungsgleich sind.

III. Wo die Abgrenzung schwierig wird: Das Beispiel komplexer Software-Dienste

Für klassische Infrastrukturangebote – etwa virtuelle Server, Speichervolumen oder Datenbankinstanzen – besteht kaum Zweifel daran, dass sie vom Begriff des Datenverarbeitungsdienstes erfasst sind. Diese Dienste stellen dem Kunden unmittelbar technische Ressourcen zur Verfügung, die er nach Bedarf hoch- und herunterskalieren kann. Es handelt sich um das Kerngeschäft der großen Cloud-Plattformen, und der Gesetzgeber hatte bei der Ausgestaltung des Wechselregimes erkennbar diese Angebote vor Augen.

Weniger eindeutig ist die Lage bei Software-Diensten, die zwar über das Internet bereitgestellt werden, deren eigentlicher Mehrwert aber nicht in der Rechenleistung liegt, sondern in den tatsächlichen Funktionen, die sie abbilden. Ein Buchhaltungsprogramm in der Cloud, ein Personalverwaltungssystem oder eine branchenspezifische Planungssoftware nutzen im Hintergrund selbstverständlich skalierbare Rechenressourcen. Doch der Kunde bucht nicht Speicher oder Prozessorzeit, sondern eine betriebswirtschaftliche Lösung. Er konfiguriert Gehaltsabrechnungsregeln oder Lagerverwaltungsprozesse – nicht Serverinstanzen.

Die entscheidende Frage lautet deshalb: Reicht es für die Einordnung als Datenverarbeitungsdienst bereits aus, dass ein Dienst im Hintergrund auf Cloud-Infrastruktur aufsetzt? Oder muss der Kunde selbst einen Zugriff auf die zugrundeliegenden Ressourcen haben? Folgt man der Systematik und dem Ziel der Verordnung, spricht einiges für die zweite Lesart: Der Gesetzestext verlangt, dass der Dienst Zugang zu Rechenressourcen „ermöglicht“ – was mehr voraussetzt als die bloße interne Nutzung solcher Ressourcen durch den Anbieter.

Auch der Blick auf die NIST-Systematik stützt diese Einschätzung: Dort wird zwischen der Infrastrukturschicht, auf der Ressourcen direkt bereitgestellt werden, und der Anwendungsschicht unterschieden, auf der fertige Software ohne Ressourcenkontrolle konsumiert wird. Je stärker ein Dienst betriebliche Prozesse abbildet, konfigurationsintensiv ist und individuelle Anpassungen erfordert, desto weiter entfernt er sich vom Typus des Datenverarbeitungsdienstes, wie ihn die Verordnung im Blick hat.

Für die Praxis bedeutet das: Ein Anbieter, der ausschließlich Serverkapazitäten oder Plattformdienste bereitstellt, fällt klar unter Kapitel VI. Ein Anbieter einer hochspezialisierten Branchensoftware, deren Wert in der fachlichen Logik und nicht in der Bereitstellung technischer Ressourcen liegt, hat demgegenüber einige gute Argumente, sich außerhalb des Anwendungsbereichs zu sehen. Zwischen diesen beiden Polen gibt es freilich zahlreiche Mischformen, für die eine pauschale Antwort nicht möglich ist. Erforderlich ist daher immer eine spezifische Analyse des tatsächlichen Dienstangebotes und dessen konkreter Ausgestaltung. 

IV. Fristen und Vertragsgestaltung beim Anbieterwechsel

1. Der Ablauf eines Wechsels nach Art. 25 DA

Die Verordnung sieht einen gestuften Wechselprozess vor. Zunächst muss der Kunde seinen Wechselwunsch gegenüber dem Anbieter erklären. Hierfür sieht Art. 25 Abs. 2 lit. d DA eine Höchstfrist von zwei Monaten vor, die im Vertrag als Obergrenze verankert sein muss. Nach Ablauf dieser Frist schließt sich eine Übergangsphase von grundsätzlich 30 Kalendertagen an, in der die eigentliche Datenmigration stattfinden soll. Während dieser Phase muss der Anbieter den Dienst weiterhin bereitstellen und den Kunden beim Wechsel unterstützen.

2. Ein sprachliches Problem mit praktischen Folgen

In der deutschen Fassung der Verordnung wurde die Zweimonatsfrist ursprünglich als „Kündigungsfrist“ bezeichnet. Das war missverständlich, denn der Vertrag endet nicht schon mit Ablauf dieser Frist. Tatsächlich markiert sie lediglich den Startpunkt des Wechselprozesses – der Vertrag gilt erst dann als beendet, wenn der Wechsel tatsächlich vollzogen ist oder die Übergangsphase abläuft. Es handelt sich bei der Artikulation des Wechselverlangens gegenüber dem Anbieter eines Datenverarbeitungsdienstes daher auch nicht um ein Gestaltungsrecht im engeren Sinn. Eine formelle Kündigungserklärung ist insoweit gerade nicht erforderlich.

Nach förmlicher Berichtigung des Data Act vom 9. September 2025 wird in der deutschen Fassung inzwischen der zutreffendere Begriff der „Ankündigungsfrist“ im Data Act verwendet.

3. Realitätscheck: 30 Tage für eine Migration?

Die 30-tägige Übergangsphase ist für einfache Dienste realistisch, stößt bei komplexen Umgebungen aber schnell an ihre Grenzen. Wenn umfangreiche Datenmengen migriert, Schnittstellen angepasst und Geschäftsprozesse in einer neuen Umgebung abgebildet werden müssen, dürfte ein Monat in vielen Fällen nicht ausreichen. Die Verordnung berücksichtigt das insofern, als der Anbieter eine Verlängerung auf bis zu sieben Monate beantragen kann, wenn er die technische Undurchführbarkeit nachweist (Art. 25 Abs. 4 DA). Ob und wie dieser Nachweis in der Praxis geführt werden kann, bleibt allerdings offen.

V. Was gilt für bestehende Verträge?

Eine der kontroversesten Fragen im Zusammenhang mit Kapitel VI betraf die Frage, ob Verträge, die bereits vor dem Geltungsbeginn der Verordnung am 12. September 2025 geschlossen wurden. Die Verordnung selbst gibt darauf keine eindeutige Antwort. Art. 50 DA, der für die einzelnen Kapitel jeweils regelt, ab wann sie gelten, enthält für Kapitel VI schlicht keine ausdrückliche Regelung – anders als etwa für die Vorschriften über missbräuchliche Vertragsklauseln, bei denen der Gesetzgeber eine klare Übergangsbestimmung vorgesehen hat.

Die Bundesnetzagentur – die mit dem am 26. März 2026 im Bundestag beschlossenen Data Act-Durchführungsgesetz (DADG) als Aufsichtsbehörde benannt wurde – stellt dies allerdings klar und formuliert im FAQ-Bereich zum DA insoweit eindeutig: Die Vorgaben des Kapitel VI DA gelten für bestehende sowie für neue Verträge.

VI. Digitaler Omnibus

1. Der Vorschlag eines Art. 31 Abs. 1a DA-E

Im November 2025 hat die EU-Kommission im Rahmen ihres Digital-Omnibus-Pakets auch Änderungen am Data Act vorgeschlagen. Für die hier behandelte Fragestellung ist vor allem eine neue Ausnahmeregelung relevant: Nach dem vorgeschlagenen Art. 31 Abs. 1a DA-E sollen Dienste, deren Funktionalität überwiegend auf die individuellen Anforderungen eines Kunden zugeschnitten wurde, von den meisten Wechselpflichten ausgenommen werden – allerdings nur, sofern der betreffende Vertrag vor dem 12. September 2025 geschlossen wurde.

Dieser Vorschlag ist in zweifacher Hinsicht aufschlussreich. Einerseits bestätigt er, dass das Wechselregime vorrangig auf standardisierte, breit verfügbare Infrastruktur- und Plattformangebote abzielt und nicht auf individuell konfigurierte Fachanwendungen. Andererseits wirft er aber auch neue Fragen auf: Wann genau ist die „Mehrheit der Funktionen“ eines Dienstes kundenspezifisch angepasst? Und warum soll die Ausnahme nur für Altverträge gelten, wenn doch das Abgrenzungsproblem auch bei Neuverträgen besteht? Im Ergebnis adressiert der Vorschlag die Frage der zeitlichen Geltung, lässt aber die grundlegende Abgrenzungsfrage unbeantwortet.

VII. Fazit und Handlungsempfehlungen

Die Regelungen zum Cloud-Switching in Kapitel VI des Data Act verfolgen ein nachvollziehbares Ziel: Kunden sollen nicht länger in geschlossenen Systemen gefangen sein. In der praktischen Umsetzung zeigt sich allerdings, dass zentrale Fragen ungeklärt geblieben sind – allen voran die Reichweite des Begriffs „Datenverarbeitungsdienst“.

Für Unternehmen, die Cloud-Dienste anbieten oder nutzen, ergeben sich daraus konkrete Handlungserfordernisse: Anbieter sollten ihr Produktportfolio daraufhin analysieren, welche Dienste als Datenverarbeitungsdienste einzuordnen sein könnten. Dabei kommt es weniger auf das Marketing-Label an als auf die Frage, ob der Kunde Zugang zu technischen Ressourcen erhält oder eine fertige Anwendungsfunktionalität nutzt. Bestehende Verträge müssen auf ihre Vereinbarkeit mit den Anforderungen des Art. 25 DA überprüft und gegebenenfalls angepasst werden.

Aufgrund der derzeit noch bestehenden Unwägbarkeiten empfiehlt es sich, die weiteren Entwicklungen aufmerksam zu verfolgen: Die FAQ der EU-Kommission zum Data Act, die Standardvertragsklauseln für Cloud-Wechsel, die Verwaltungspraxis der Bundesnetzagentur und der Fortgang des Digitalen Omnibus werden in den kommenden Monaten maßgeblich dazu beitragen, die derzeit noch offenen Fragen zu klären. 

Als PDF herunterladen
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dominik Eickemeier
Köln
Samuel Hübenthal
Köln

Ansprechpartner

Dominik Eickemeier
Köln
Samuel Hübenthal
Köln

Weitere Artikel

02.04.2026
Allgemeine und konkrete Umweltaussagen unter der EmpCo-Richtlinie
27.03.2026
Neue Entwicklungen im Digital Omnibus
24.03.2026
BGH bestätigt weite Auslegung des Erfordernisses einer Lernkontrolle für die Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
23.03.2026
Digital Compliance – Der neue Rechtsrahmen für KI, Daten und digitale Resilienz
19.03.2026
EuGH: Missbräuchliche Auskunftsersuchen können zurückgewiesen werden: „Brillen Rottler“ konkretisiert die Grenzen von Art. 15 und Art. 82 DSGVO
16.03.2026
CNIL sanktioniert unzulässige Weitergabe von Loyalty-Daten an Social Media für Werbezwecke
11.03.2026
Einsatz künstlicher Intelligenz – Was ist aktuell rechtlich zu beachten?
03.03.2026
Digitale Souveränität in Unternehmen: Cloud- und KI-Nutzung rechtssicher gestalten
03.03.2026
BGH konkretisiert räumliche Trennung beim Online-Coaching – Vertragsinhalt ist entscheidend für Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
25.02.2026
DIGITAL OMNIBUS: Welche Erleichterungen ergeben sich für Unternehmen?
23.02.2026
AI Act: Der deutsche Entwurf zum Durchführungsgesetz im Überblick
13.02.2026
Neuer Widerrufsbutton: Was Unternehmen bis zum 19. Juni 2026 umsetzen müssen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.