Datenverarbeitungsdienste im Fokus: Warum der Data Act vor allem SaaS-Anbieter betrifft
Der EU Data Act unterscheidet klar zwischen zwei Regelungsbereichen. Zum einen adressiert er vernetzte Produkte und verbundene Dienste wie etwa IoT-Geräte oder smarte Plattformanbindungen; hier greifen die Vorschriften der Artikel 3 bis 11. Zum anderen enthält der Data Act in den Artikeln 23 bis 31 ein eigenständiges Kapitel, das sich ausschließlich an Anbieter von Datenverarbeitungsdiensten richtet. Unter diesen Begriff fallen sämtliche Cloud-Leistungen, also Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und insbesondere Software-as-a-Service (SaaS). Ein Datenverarbeitungsdienst im Sinne des Gesetzes ist damit jeder netzbasierte Dienst, der seinen Kunden konfigurierbare, skalierbare und elastische Rechenressourcen bereitstellt (Art. 2 Nr. 8 EU Data-Act).
Für kleine und mittlere Unternehmen bedeutet dies: Betreiben Sie eine SaaS-Plattform oder stellen Sie eine cloudbasierte App zur Verfügung, die zentral auf Servern Daten verarbeitet und den Nutzern über Internetzugang Funktionen eröffnet, dann sind Sie unmittelbar Adressat der Pflichten aus dem Data Act. Unternehmen, die hingegen lediglich Einmal-Downloads digitaler Inhalte oder klassische Beratungsleistungen anbieten, fallen nicht unter diese Vorschriften.
2. Wichtige Pflichten für SaaS-Anbieter
a) Vertragslaufzeit und Kündigungsfrist
Kündigungsfristen über zwei Monate? Nicht mehr erlaubt. SaaS-Kunden müssen jederzeit mit höchstens zwei Monaten Frist kündigen können.
b) Datenportabilität und Wechselmöglichkeit
Kunden haben Anspruch auf eine vollständige Kopie ihrer Daten (z. B. Projektdateien, Modelle) in gängigen, maschinenlesbaren Formaten – zu Null Kosten ab 2027, spätestens innerhalb von 30 Tagen.
c) Offene Schnittstellen und Interoperabilität
Ihre Plattform muss offene APIs anbieten, damit Kunden reibungslos zu einem anderen Anbieter wechseln können. Funktionseinschränkungen sind unzulässig.
d) Transparenz über Datenstandorte
Sie müssen klar erklären, wo Daten gespeichert und verarbeitet werden, unter welchem Recht dies geschieht und welche Schutzmechanismen gegen Drittstaaten-Zugriffe bestehen.
e) Unterstützung beim Anbieterwechsel
Wenn Kunden zu einem anderen Anbieter wechseln, müssen Sie aktiv mitwirken. Datenbereitstellung und Hilfestellung sind verbindlich zu leisten, inklusive Löschung überschüssiger Daten nach dem Wechsel.
3. Was bedeutet das für Ihre AGB und Prozesse?
Inhaltlich relevante Ergänzungen in SaaS-AGB umfassen:
- Neue Kündigungsklausel (max. 2 Monate)
- Portabilitätsklausel mit 30-Tage-Frist und gebührenfreier Auslieferung ab 2027
- Interoperabilitäts- und Schnittstellenklausel
- Transparenzpflichten zu Infrastruktur
- Unterstützungs- und Löschklausel
- Änderungsmechanismus für gesetzgeberische Updates
Technisch notwendig sind:
- Exportformate
- API Dokumentation
- Exit- und Löschprozesse
4. Ihre Chancen durch Compliance
Wer frühzeitig die notwendigen Anpassungen vornimmt, stärkt nicht nur die Rechtssicherheit. Er kann sich als vertrauenswürdiger Anbieter positionieren, der Datenportabilität und Offenheit lebt.
Fazit
Der EU Data Act erzeugt weitreichende Effekte für SaaS-Dienste. Aber die Anforderungen sind klar strukturiert und für Anbieter mit digital-affiner Ausrichtung gut beherrschbar: Klar definierte AGB, ein Minimum an technischer Vorbereitung, und Transparenz schaffen Sicherheit und Vertrauen. Gern unterstützen wir Sie dabei, Ihre SaaS-Angebote zielsicher weiterzuentwickeln.
Prüfen Sie jetzt, ob Ihr Unternehmen tatsächlich als Datenverarbeitungsdienst im Sinne des Data Act gilt. Falls ja, sollten bestehende AGB und Vertragswerke zeitnah überprüft und an die neuen Vorgaben angepasst werden. Dazu gehören insbesondere Änderungen bei Kündigungsfristen, Portabilitäts- und Interoperabilitätsregelungen sowie bei Transparenz- und Löschpflichten. Parallel sind technische Prozesse wie Datenexportformate, Schnittstellen und Exit-Prozesse aufzubauen oder zu dokumentieren. Wir begleiten Sie von der rechtlichen Einordnung über die AGB-Anpassung bis hin zur praktischen Umsetzung der Compliance-Pflichten, damit Sie zum Stichtag am 12. September 2025 rechtssicher aufgestellt sind.