EU Data Act ein Jahr später: Pflichten für SaaS-Anbieter

Anzeige

EU Data Act ein Jahr später: Pflichten für SaaS-Anbieter

Seit dem 12. September 2025 gilt der EU Data Act für SaaS-, PaaS- und IaaS-Anbieter weitgehend verbindlich – wir nähern uns also dem ersten Jahrestag der Anwendbarkeit. Wer als Software-Anbieter mit Vertragsbeziehungen zu Geschäftskunden arbeitet, sollte spätestens jetzt geprüft haben, ob Kündigungsfristen, Datenexport und Vertragsklauseln den neuen Vorgaben entsprechen. Das Gesetz betrifft dabei nicht nur die großen Cloud-Hyperscaler, sondern grundsätzlich jeden Anbieter eines "Datenverarbeitungsdienstes" – ein Begriff, der deutlich weiter gefasst ist, als viele zunächst annehmen, und der ausdrücklich auch kleinere SaaS-Anbieter mit klassischer Fachsoftware einschließt.

Aktenzeichen · Verordnung (EU) 2023/2854 (Data Act)
Rechtsgrundlage
EU-Verordnung 2023/2854, veröffentlicht 11. Januar 2024, Kapitel VI zum Anbieterwechsel
Betrifft
Anbieter von Datenverarbeitungsdiensten (IaaS, PaaS, SaaS, DaaS) im B2B-Bereich innerhalb der EU
Status
Kernpflichten seit 12. September 2025 anwendbar, weitere Fristen bis 2027 gestaffelt

Die Zeitleiste im Überblick

Seit 12. September 2025
Kernpflichten zum Anbieterwechsel
Wechselhindernisse müssen abgebaut, Kündigungsfristen begrenzt und verpflichtende Vertragsklauseln nach Art. 25 in neue Verträge aufgenommen werden.
Ab 12. September 2026
Access by Design für vernetzte Produkte
Neu in Verkehr gebrachte vernetzte Produkte und zugehörige Dienste müssen von vornherein so gestaltet sein, dass Nutzer auf die erzeugten Daten zugreifen können.
Ab 12. September 2027
Altverträge und vollständiges Gebührenverbot
Auch unbefristete Altverträge oder solche mit einer Restlaufzeit von mindestens zehn Jahren müssen angepasst werden. Wechsel- und Egress-Gebühren dürfen ab diesem Zeitpunkt gar nicht mehr erhoben werden.

Was der Data Act von SaaS-Anbietern konkret verlangt

Art. 23 des Data Act verpflichtet Anbieter dazu, sämtliche Hindernisse für einen Anbieterwechsel abzubauen und keine neuen aufzustellen. Art. 25 legt fest, welche Klauseln zwingend in Verträge über Datenverarbeitungsdienste aufgenommen werden müssen – diese Klauseln sind nicht verhandelbar. Dazu gehören insbesondere eine maximale Kündigungsfrist für die Einleitung des Wechsels, eine klar definierte Übergangsphase sowie Transparenzpflichten zu Ablauf, Datenumfang und Kosten des Wechsels. Gebühren dürfen zudem nicht so gestaltet sein, dass sie einen Anbieterwechsel faktisch verhindern oder unangemessen verteuern – ein ausdrückliches Lock-in-Verbot.

Der Wechselprozess im Detail

Für den eigentlichen Anbieterwechsel gibt der Data Act einen recht konkreten zeitlichen Rahmen vor:

1 Kündigungsfrist Maximal zwei Monate ab Wechselverlangen des Kunden, um den Wechsel einzuleiten.
2 Übergangszeitraum 30 Tage, in denen der bisherige Anbieter den Dienst weiter bereitstellt und den Wechsel aktiv unterstützt.
3 Abruffrist Weitere 30 Tage zum Datenabruf, danach ist der bisherige Anbieter zur Löschung der Kundendaten verpflichtet.

Offene Rechtsfragen – ehrlich betrachtet

So konkret die Fristen klingen, so unklar sind einige praktische Detailfragen noch. Zwei Punkte werden in der Fachliteratur derzeit kontrovers diskutiert:

  • Reseller-Einordnung: Ob Wiederverkäufer von Cloud-Diensten, die lediglich Standardbedingungen eines Hyperscalers durchreichen, selbst als "Anbieter" im Sinne des Data Act gelten, ist umstritten. Ein Argument dagegen: Reseller können bestimmte technische Anforderungen wie Interoperabilität oft gar nicht selbst umsetzen.
  • Rechtsfolgen bei Verstößen: Die genaue Rechtsnatur von Art. 25 Abs. 2 – also was passiert, wenn ein Vertrag den zwingenden Klauseln widerspricht – ist noch nicht abschließend geklärt. Eine vollständige Nichtigkeit des gesamten Vertrags gilt als unwahrscheinlich, eine teilweise Unwirksamkeit einzelner Klauseln als naheliegender.

Wichtig: Bei gemischten Verträgen, die neben der eigentlichen Datenverarbeitung auch Beratungs- oder Schulungsleistungen umfassen, ist zudem umstritten, ob die strengen Wechselregeln nur auf den isolierbaren Datenverarbeitungsanteil oder auf den gesamten Vertrag anzuwenden sind. Wer eigene Verträge prüft, sollte diese Unsicherheit einkalkulieren, statt von einer eindeutigen Rechtslage auszugehen.

Was das für Fakturia und seine Kunden praktisch bedeutet

Als Anbieter einer Abrechnungsplattform mit Kundendaten, Vertrags- und Artikeldaten fällt auch Fakturia grundsätzlich in den Anwendungsbereich des Data Act. Die bereits bestehende, umfangreiche REST-API mit Zugriff auf Kunden, Verträge und Artikel deckt den Grundgedanken der Datenportabilität strukturell bereits weitgehend ab – Kundendaten liegen nicht in einem geschlossenen System, sondern sind programmatisch abrufbar. Das ersetzt keine individuelle rechtliche Prüfung der eigenen Vertragsklauseln, ist aber ein sinnvoller Ausgangspunkt für Unternehmen, die selbst als SaaS-Anbieter auftreten und ihre eigenen Kundenverträge auf Data-Act-Konformität prüfen möchten.

Checkliste für SaaS-Anbieter

  • 01Bestehende Kündigungsfristen prüfen – maximal zwei Monate für die Einleitung eines Anbieterwechsels sind zulässig.
  • 02Vertragsklauseln nach Art. 25 ergänzen – Übergangsphase, Exit-Kosten und Transparenzpflichten müssen explizit geregelt sein.
  • 03Datenexportformate dokumentieren – strukturierte, maschinenlesbare Formate statt reiner Rohdaten-Dumps.
  • 04Wechselgebühren-Zeitplan im Blick behalten – schrittweise Absenkung bis zum vollständigen Verbot ab September 2027.
  • 05Reseller-Konstellationen gesondert prüfen – die eigene Einordnung als "Anbieter" ist bei mehrstufigen Vertriebswegen nicht immer eindeutig.

Datenportabilität als strukturelles Prinzip

Der Data Act macht sichtbar, was sich als Prinzip für jede SaaS-Auswahl lohnt: eine offene, dokumentierte Programmierschnittstelle statt eines geschlossenen Datensilos. Fakturia stellt Kunden-, Vertrags- und Artikeldaten über eine REST-API sowie einen MCP-Server bereit – unabhängig davon, wie sich die Data-Act-Rechtsprechung im Detail weiterentwickelt, bleibt der Zugriff auf die eigenen Daten damit strukturell gewährleistet.

Beratungsgespräch vereinbaren

Fazit

Ein Jahr nach Inkrafttreten der Kernpflichten ist der Data Act für viele SaaS-Anbieter noch nicht vollständig im eigenen Vertragswerk angekommen – dabei rücken mit September 2026 und September 2027 bereits die nächsten Fristen näher. Wer jetzt die eigenen Kündigungsfristen, Exportprozesse und Vertragsklauseln prüft, vermeidet nicht nur rechtliche Risiken, sondern positioniert sich auch gegenüber Kunden als transparenter, wechselfreundlicher Anbieter – ein Vertrauenssignal, das angesichts der wachsenden Sensibilität für Anbieterabhängigkeit zunehmend zählt.

Häufige Fragen zum EU Data Act für SaaS-Anbieter

Seit wann gilt der EU Data Act für SaaS-Anbieter?

Die Kernpflichten zum Anbieterwechsel sind seit dem 12. September 2025 anwendbar. Weitere Fristen für vernetzte Produkte und Altverträge folgen 2026 und 2027 gestaffelt.

Wie lange darf eine Kündigungsfrist für den Anbieterwechsel maximal sein?

Der Data Act begrenzt die maximale Kündigungsfrist für die Einleitung eines Anbieterwechsels auf zwei Monate. Anschließend kommen ein 30-tägiger Übergangszeitraum und eine weitere 30-tägige Abruffrist hinzu.

Ab wann sind Wechselgebühren komplett verboten?

Ab dem 12. September 2027 dürfen Anbieter keine Wechsel- oder Egress-Gebühren mehr verlangen. Bis dahin müssen bestehende Gebühren schrittweise abgesenkt werden.

Gilt der Data Act auch für Reseller von Cloud-Diensten?

Das ist rechtlich noch nicht abschließend geklärt. In der Fachliteratur wird diskutiert, ob reine Wiederverkäufer, die Standardbedingungen eines Hyperscalers durchreichen, selbst als "Anbieter" im Sinne des Gesetzes gelten.

Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine verbindliche Einschätzung zur eigenen Vertragsgestaltung empfiehlt sich die Rücksprache mit einer auf IT- und Datenrecht spezialisierten Kanzlei.

Bewertung unserer Besucher
[Insgesamt: 1 Durchschnitt: 4]
Consent Management Platform von Real Cookie Banner