Welche zentralen Bestimmungen des EU Data Act gelten für Cloud-Service-Provider?

Für Cloud-Service-Provider ist der EU Data Act nicht einfach nur ein weiterer Regulierungstext, den man an Legal weiterreicht.

Er verändert Erwartungen rund um Kontrolle, Portabilität, Interoperabilität und Kundenmacht, und das wirkt sich direkt auf Produktdesign, Verträge und Operating Models aus.

Viele Provider stellen fest: Auch wenn sie technisch DSGVO-konform sind, sind sie strukturell auf den Data Act nicht vorbereitet.

Dieser Artikel hebt die wichtigsten Bestimmungen hervor, die Cloud-Provider verstehen müssen, wo Unternehmen die Auswirkungen typischerweise unterschätzen und was in der Praxis häufig schiefgeht.

Warum der EU Data Act speziell für Cloud-Provider relevant ist

Der EU Data Act zielt darauf ab, Machtverhältnisse neu auszubalancieren.

Während die DSGVO auf personenbezogene Daten und rechtmäßige Verarbeitung fokussiert, geht es im Data Act stärker um:

• Zugang zu Daten

• Kontrolle über die Datennutzung

• Portabilität zwischen Providern

• Vermeidung von Vendor Lock-in

Für Cloud-Service-Provider betrifft das direkt:

• Infrastructure as a Service (IaaS)

• Platform as a Service (PaaS)

• Software as a Service (SaaS)

• Data Hosting, Analytics und Managed Services

Wenn Ihr Geschäftsmodell davon lebt, dass Kunden bleiben, weil Weggehen schwierig ist, ist der Data Act sehr direkt auf Sie ausgerichtet.

1. Pflichten zu Switching und Portabilität

Was der Data Act verlangt

Cloud-Provider müssen:

• Kunden den Anbieterwechsel ermöglichen oder Workloads zurück on-prem verlagern lassen

• Hürden für den Wechsel abbauen

• klare Exit-Prozesse bereitstellen

• Datenportabilität in nutzbaren Formaten sicherstellen

• Switching-Gebühren schrittweise abbauen

Wo Provider exponiert sind

Viele Provider gehen davon aus:

„Wir erlauben doch bereits den Datenexport.“

Das reicht selten aus.

Typische Probleme:

• undokumentierte Abhängigkeiten

• proprietäre Formate

• fehlende Metadaten

• unklare Zeitpläne

• manuelle Prozesse, die nicht skalieren

Aus regulatorischer Sicht ist „Friction by Design“ nicht neutral.

2. Interoperabilität und technische Transparenz

Was der Data Act verlangt

Cloud-Services müssen unterstützen:

• Interoperabilität mit anderen Providern

• Kompatibilität mit offenen Standards, wo möglich

• ausreichende technische Dokumentation, um Migration zu ermöglichen

Das gilt besonders für PaaS- und SaaS-Angebote.

Typischer Fallstrick

Provider dokumentieren APIs, aber nicht:

• Transformationslogik

• Service-Abhängigkeiten

• Konfigurationsannahmen

• Daten-Semantik

In der Praxis heißt das: Kunden können Daten technisch extrahieren, aber Funktionalität woanders nicht realistisch nachbauen.

Genau diese Lücke soll der Data Act schließen.

3. Vertragliche Fairness und Transparenz

Was der Data Act verlangt

Verträge müssen klar regeln:

• Zugangsrechte zu Daten

• Bedingungen der Datennutzung

• Grenzen für einseitige Änderungen

• Exit- und Switching-Bedingungen

Klauseln, die unangemessen einseitig sind, können unwirksam werden.

Was oft schiefgeht

Cloud-Verträge:

• reservieren sehr weitgehende einseitige Änderungsrechte

• verstecken Exit-Bedingungen in Anhängen

• setzen auf Mehrdeutigkeit statt Klarheit

Unter dem Data Act wird Mehrdeutigkeit zum Risiko, nicht zur Flexibilität.

4. Datenzugang und Sharing mit Dritten

Was der Data Act verlangt

Kunden müssen in der Lage sein:

• auf ihre Daten zuzugreifen

• sie mit Dritten ihrer Wahl zu teilen

• ohne unnötige Verzögerung oder Diskriminierung

Das betrifft je nach Kontext sowohl Rohdaten als auch abgeleitete Daten.

Praktische Warnung

Viele Provider wissen faktisch nicht:

• welche Daten sie pro Kunde halten

• wo diese repliziert werden

• wie sie durch nachgelagerte Services fließen

Ohne solides Dateninventar und Lineage bleibt Compliance theoretisch.

5. Sicherheit und Schutz bleiben verpflichtend

Der Data Act senkt Sicherheitsanforderungen nicht.

Cloud-Provider müssen:

• Daten während des Transfers schützen

• sicherstellen, dass Zugriff autorisiert ist

• unrechtmäßigen Zugriff durch Dritte verhindern

Dazu gehört, wo relevant, auch der Umgang mit unrechtmäßigen staatlichen Zugriffsanfragen.

Sicherheit darf jedoch nicht als Vorwand genutzt werden, um legitime Portabilität zu verweigern.

6. Schluss mit „Schreiben Sie uns eine E-Mail, dann schicken wir eine Datei“

Eine der am stärksten unterschätzten Verschiebungen ist die Erwartung an Skalierbarkeit.

Manuelle Prozesse mögen für wenige Kunden technisch genügen. Im Geist der Regulierung genügen sie nicht, wenn Tausende Zugriff oder Migration anfragen.

Wenn Ihr Prozess auf Folgendem basiert:

• Support-Tickets

• manuellen Exports

• ad-hoc Freigaben

dann sind Sie sehr wahrscheinlich exponiert.

Der Data Act setzt auf wiederholbare, skalierbare Mechanismen, nicht auf heldenhafte Support-Arbeit.

Die unbequeme Wahrheit für Cloud-Provider

Der EU Data Act zwingt Provider, Fragen zu beantworten, die oft lange umgangen wurden:

• Wissen wir wirklich, welche Daten wir halten und wo?

• Können Kunden gehen, ohne dass Engineering eingreifen muss?

• Nutzen wir Reibung als Retention-Mechanismus?

• Würden unsere Verträge einer Prüfung standhalten, wenn Macht ausgewogener verteilt wäre?

Nur auf Vertragsebene compliant sein zu wollen, ohne Systeme und Prozesse anzupassen, ist der Punkt, an dem viele Provider scheitern.

Worauf Regulierer achten werden

Basierend auf der Durchsetzung ähnlicher Regelwerke werden Regulierer besonders auf Folgendes schauen:

• Nachvollziehbarkeit von Datenflüssen

• Klarheit der Verträge

• praktische Umsetzbarkeit von Switching

• Evidenz einer echten Compliance-Absicht

• dokumentierte Remediation, wenn Lücken entdeckt werden

Unvollkommene Systeme mit transparentem Verbesserungsplan werden eher akzeptiert als perfekte Statements bei fragiler Realität.

Wo Governance und Stewardship entscheidend werden

Für Cloud-Provider ist Data-Act-Compliance kein Einmalprojekt.

Sie erfordert:

• klare Data Ownership

• neutrale Data Stewardship

• end-to-end Sichtbarkeit

• dokumentierte Entscheidungen

• Audit-Logs, die Verhalten zeigen, nicht nur Versprechen

Ohne das brechen Compliance-Bemühungen unter operationalem Druck oft zusammen.

Ein pragmatischer erster Schritt

Wenn Sie Cloud- oder Cloud-nahe Services anbieten, starten Sie mit einem fokussierten Assessment:

• identifizieren, welche Daten Kunden heute tatsächlich abrufen können

• Abhängigkeiten und versteckte Kopplungen mappen

• ein Exit-Szenario end-to-end testen

• Verträge gegen das reale Systemverhalten prüfen

Die Lücke zwischen „was der Vertrag sagt“ und „was das System tut“ ist der Ort, an dem das meiste Risiko lebt.

So unterstützen wir

Wir unterstützen Cloud-Service-Provider mit:

• EU-Data-Act-Readiness-Assessments

• Design von Governance und Stewardship

• Reviews zu Portabilitäts- und Exit-Prozessen

• informellen Audits im Hinblick auf kommende Durchsetzung

• Übersetzung rechtlicher Pflichten in operative Realität

Wenn Sie verstehen möchten, wo Ihre größte Exponierung liegt, können Sie ein Kennenlerngespräch anfragen oder ein informelles Governance- und Data-Act-Assessment buchen.

Das ist meist der schnellste Weg, von Annahmen zu Klarheit zu kommen

Wie wir Sie unterstützen können

Unsere Audits & Daten-Compliance-Prüfungen helfen Organisationen, Compliance nachzuweisen, Unsicherheiten zu reduzieren und mit Sicherheit voranzugehen.