Vertragsanpassungspflichten nach Art. 25 Data Act und Rechtsfolgen bei Nichtumsetzung

Der Data Act stellt Cloud-Services vor die Herausforderung, bis September 2025 einen einfachen Wechselprozess für Kunden zu etablieren und Neu- und Bestandsverträge anzupassen. Hinter der klaren Zielsetzung des Gesetzgebers verbergen sich in der Praxis jedoch erhebliche rechtliche Hürden, die komplexe juristische Fragen aufwerfen. Dieser Beitrag beleuchtet die Anforderungen des Art. 25 Data Act, Risiken bei Anpassung von Bestandsverträgen und die weitreichenden rechtlichen Konsequenzen, die bei Nichtumsetzung der gesetzlichen Vorgaben drohen.

I.       Der Data Act

Der Data Act (VO (EU) 2023/2854) ist ein zentrales Regelwerk der digitalen Datenstrategie der Europäischen Union und soll einen fairen Binnenmarkt für Daten schaffen, Innovation fördern und Lock-In-Effekte verhindern (vgl. Erwägungsgrund (4) ff., (32) ff. und (84) Data Act).

Neben Regelungen für Hersteller vernetzter Produkte und Anbieter verbundener Dienste definiert der Data Act auch Regelungen für Datenverarbeitungsdienste. Als Datenverarbeitungsdienst werden nach Art. 2 Nr. 8 Data Act Cloud-Services eingestuft, die es Nutzern ermöglichen, Rechenkapazitäten, Speicherplatz oder Softwareanwendungen flexibel und bedarfsgerecht zu nutzen. Darunter fallen insbesondere bekannte Modelle wie IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) und SaaS (Software-as-a-Service) aber auch neue Entwicklungen wie „Storage-as-a-Service“ und „Database-as-a-Service“ (vgl. Erwägungsgrund (81) Data Act).

II.      Mindestvertragsinhalt nach Art. 25 Data Act

Für diese Cloud-Services regeln Art. 23 ff. Data Act Datenzugangs- und Interoperabilitätspflichten sowie Vorgaben für die Vertragsgestaltung. Maßgebliche Norm ist dabei Art. 25 Data Act, der Mindestinhalte für Kundenverträge festlegt.

Nach Art. 25 Data Act soll in Kundenverträgen zukünftig ein Wechselprozess etabliert werden, der Kunden einen einfachen Wechsel zu anderen Anbietern oder der eigenen Infrastruktur ermöglichen soll (vgl. Erwägungsgrund (84) ff. Data Act). Kunden sollen dabei unter einer maximalen Kündigungsfrist von 2 Monaten jederzeit einen Wechselprozess anstoßen können, der in der Regel innerhalb einer Übergangsfrist von maximal 30 Kalendertagen nach Ende der Kündigungsfrist vollzogen werden soll. Während der Wechselphase muss der Anbieter exportierbare Kundendaten übertragen, angemessene Unterstützung beim Wechsel leisten sowie die Geschäftskontinuität und eine hohe Datensicherheit sicherstellen. Nach Vertragsende müssen verbleibende Daten mindestens 30 Tage zum Datenabruf bereitstehen und anschließend vollständigen gelöscht werden.

Zudem müssen Anbieter nach Art. 25 Data Act bereits vor Vertragsschluss bestimmte Informationen, wie eine Auflistung aller übertragbaren und nicht-übertragbaren Datenkategorien sowie Übertragungsformate und -methoden, mitteilen.

III.    Geltungsbeginn des Data Act ab 12.09.2025 für Neuverträge und Bestandsverträge

Die Mindestanforderungen des Art. 25 Data Act müssen nicht nur in Zukunft in Verträgen mit Neukunden umgesetzt werden, sondern auch in laufenden Verträgen mit Bestandskunden, denn die Vorgaben gelten grundsätzlich ab dem 12. September 2025 (vgl. Art. 50 Data Act).

Dabei entstehen insbesondere dann Probleme, wenn der Anbieter dem Bestandskunden entsprechend der gesetzlichen Regelung eine Vertragsanpassung vorgeschlagen hat, der Kunde die Änderungen aber verweigert. Denn entgegen der verbreiteten Annahme können Bestandsverträge während der Laufzeit meist nicht einseitig ohne Zustimmung des Kunden angepasst werden (vgl. BGH XI ZR 26/20; BeckOK BGB/Becker, § 308 Nr. 5 Rn. 1-28; BeckOK BGB/Gehrlein, § 311 Rn. 33-36). Lehnt der Kunde die Anpassungen ab, gilt der alte ursprüngliche Vertrag ohne die Änderungen fort, bis dieser gekündigt wird.

IV.    Kein Vertragsanpassungsanspruch für Anbieter von Cloud-Services

Abhilfe schaffen würde ein Anspruch des Anbieters gegen den Kunden auf Vertragsanpassung für diese Fälle. Ein solcher ist aber aus dem Data Act selbst nicht herleitbar. Auch nach deutschem Recht kann ein Anspruch auf Vertragsanpassung nicht hergeleitet werden. Art. 308 Nr. 4 und Nr. 5 BGB erlauben es zwar, in Allgemeinen Geschäftsbedingungen das Recht auf einseitige vertragliche Anpassung vorzusehen, allerdings nur bei für den Kunden rein vorteilhaften Änderungen. Auch aus § 313 Abs. 1 BGB lässt sich kein Anspruch für Anbieter von Cloud-Services ableiten, da die Einführung des Data Acts vermutlich keine schwerwiegende Änderung der Geschäftsgrundlage darstellt, wie sie § 313 BGB fordert. Damit verbleibt eine gesetzliche Lücke, die dem Anbieter sämtliche Risiken der fehlenden vertraglichen Anpassung auferlegt, auch wenn diese auf den Kunden zurückzuführen ist.

V.     Rechtsfolgen bei fehlender Umsetzung der Mindestvorgaben des Art. 25 Data Act

Werden Verträge bis zum Stichtag im September nicht an die Vorgaben des Art. 25 Data Act angepasst oder verstoßen vertragliche Regelungen gegen die Vorgaben, drohen Rechtsfolgen.

1.      Im Data Act normierte öffentlich-rechtliche Rechtsfolgen

Der Data Act selbst regelt keine zivilrechtlichen Konsequenzen bei fehlender vertraglicher Umsetzung. Art. 40 Data Act eröffnet lediglich die Möglichkeit für nationale öffentlich-rechtliche Sanktionen, insbesondere der Festlegung von Bußgeldern. Von dieser Möglichkeit wurde in Deutschland aber bisher kein Gebrauch gemacht (vgl. BeckOK DatenschutzR/Schmidt-Wudy Data Act Art. 23 Rn. 23).

Da keine spezifischen Rechtsfolgen normiert werden, richten sich die Rechtsfolgen nach den allgemeinen Grundsätzen des deutschen Rechts (vgl. BeckOK DatenschutzR/Schmidt-Wudy Data Act Art. 23 Rn. 23). Denkbar sind neben der Unwirksamkeit einzelner Klauseln oder des gesamten Vertrags auch eine zivilrechtliche Haftung sowie eine unmittelbare Geltung der teilweise ungünstigen gesetzlichen Regelungen.

2.      Unwirksamkeit vertraglicher Klauseln bei Verstoß gegen Data Act

Grundsätzlich gelten einzelne Vertragsklauseln nach §§ 305 ff., 307, 242 BGB als unwirksam, soweit sie gegen gesetzliche Vorschriften verstoßen. Werden die Mindestanforderungen des Art. 25 Data Act nicht oder falsch umgesetzt, folgt daher eine Unwirksamkeit der entsprechenden Klauseln. Betroffen sind vor allem Klauseln zu Laufzeiten und Kündigungsfristen. Wegen der Datenzugangs- und Interoperabilitätsvorschriften des Data Acts können aber auch produktspezifische Regelungen betroffen sein.

Je nach konkreter Vertragsgestaltung kann sich die Unwirksamkeit einzelner Klauseln auch auf den Gesamtvertrags ausweiten und damit Haftungsbegrenzungen und leistungsgestaltende Regelungen abschneiden (vgl. EuGH C-349/18; BeckOK DatenschutzR/Schmidt-Wudy Data Act Art. 23 Rn. 20-22).

3.      Zivilrechtliche Haftung des Anbieters wegen Verstoß gegen den Data Act

Unabhängig von der Unwirksamkeit einzelner Klauseln oder des gesamten Vertrags trifft Anbieter von Cloud-Services bei fehlender Umsetzung des Art. 25 Data Act jedenfalls eine potenzielle zivilrechtliche Haftung.

Je nach Vertragsgestaltung kann die Nichtbeachtung von Art. 25 Data Act als Verletzung einer vertraglichen Hauptpflicht oder Nebenpflicht (z.B. Sorgfalts- und Aufklärungspflichten) gelten, da durch die fehlende Einführung des Wechselprozesses gesetzlich zwingende Vorgaben nicht umgesetzt und dem Kunden wichtige Rechte vorenthalten werden. In Einzelfällen können je nach Vertragstyp durch den Widerspruch zum Gesetz auch Sach- oder Rechtsmängel der vertraglichen Produkte und Dienste entstehen. Rechtsfolgen sind Gewährleistungsrechte der Kunden wie Minderungsrechte, Schadensersatzansprüche oder Rücktritts- oder Kündigungsrechte.

Hat ein Bestandskunde die Vertragsanpassung im Vorfeld abgelehnt, kann er sich jedoch nicht voll auf diese Rechte berufen. In diesen Fällen muss die Verantwortlichkeit im Rahmen einer Interessensabwägung oder durch ein Mitverschulden des Kunden gem. § 254 BGB berücksichtigt werden.

4.      Unmittelbare Geltung des Data Acts unabhängig von vertraglicher Umsetzung

Entstehen durch die fehlende Umsetzung des Data Acts oder der Unwirksamkeit der Regelungen vertragliche Lücken, gelten im deutschen und europäischen Recht grundsätzlich der Gesetzestext und die dort normierten Rechte und Pflichten direkt. Infolgedessen gelten die Regelungen und Vorgaben des Data Acts unmittelbar im Vertragsverhältnis mit dem Kunden, auch wenn sie nicht im Vertrag umgesetzt sind (vgl. BeckOK DatenschutzR/Schmidt-Wudy, 52. Ed. 1.5.2025, DA Art. 23 Rn. 20).

Eine andere Wertung ergibt hier auch wenig Sinn, da der Normzweck auf den Schutz der Kunden ausgelegt ist und Anbieter andernfalls, durch eine verzögerte Umsetzung der gesetzlichen Vorgaben, wichtige Kundenrechte unterlaufen könnten.

VI.    Fazit und Handlungsbedarf für Anbieter von Cloud-Services

Anbieter von Cloud-Services sind daher gut beraten, ihr Geschäftsmodell frühzeitig auf die Umsetzung der Vorgaben des Data Acts vorzubereiten und neue Verträge und Bestandsverträge anzupassen.

Diese Vertragsanpassungen sind nicht nur gesetzlich vorgeschrieben, sondern auch sinnvoll, da der gesetzlich definierte Wechsel sowie Kündigungsfristen, Übergangszeiträume und die konkrete Ausgestaltung des Wechselprozesses zu einem gewissen Grad auf interne Vorgehensweisen angepasst werden können. Auch sollte vertraglich sichergestellt werden, dass eine bereits entstandene Vergütung für eine vereinbarte Laufzeit von einer frühzeitigen Kündigung nach dem Data Act unberührt bleibt.

An den Data Act angepasste Vertragsbedingungen müssen nicht nur Neukunden, sondern auch Bestandskunden möglichst noch vor dem 12.09.2025 angeboten werden. Auch wenn das Angebot auf Vertragsanpassung vom Bestandskunden abgelehnt wird, wird der Anpassungswunsch des Anbieters dadurch dokumentiert. Der Bestandskunde kann sich dann nicht mehr so einfach auf für ihn vorteilhafte Regelungen und Rechtsfolgen des Data Acts berufen.

Unterlassen Anbieter von Cloud-Services die Vertragsanpassung bzw. entsprechende Angebote, so riskieren sie eine (teilweise) Unwirksamkeit der Verträge und eine zivilrechtliche Haftung und müssen das jederzeitige Kündigungsrechte der Kunden aus dem Data Act kompensationslos hinnehmen.