Es trifft den IT-Leiter mittelständischer Unternehmen mit voller Wucht in dem Moment, in dem er aussteigen will: Die Daten liegen bei einem US-Hyperscaler, die Schnittstellen sind proprietär, das Datenformat ist anbieterspezifisch, und ein Wechsel würde Monate dauern und Unsummen kosten. Wer einmal drin ist, kommt kaum wieder heraus. Genau diese Erfahrung – über Jahre als unvermeidlicher Preis der Cloud hingenommen – steht seit September 2025 unter einem neuen rechtlichen Vorzeichen. Die Europäische Union hat das Lock-in zum Regelungsgegenstand erklärt, und damit verschiebt sich die Cloud-Compliance vom freiwilligen Risikomanagement hin zu einer Pflichtenlage, die jeden Anbieter und mittelbar jeden Nutzer betrifft.

Der europäische Aufhänger: Souveränität als Marktermöglichung

Die aktuelle Dynamik lässt sich nur verstehen, wenn man den Rahmen mitdenkt, in dem Brüssel agiert. Über 65 Prozent des europäischen Cloud-Markts liegen in der Hand der US-Anbieter Amazon, Microsoft und Google; die europäischen Wettbewerber fassen trotz Initiativen wie SAP oder der Schwarz-Gruppe kaum Fuß. Hinter dieser Zahl steht eine politische Sorge, die spätestens seit den Überwachungsaffären der vergangenen Jahre und der verschärften geopolitischen Lage zur Staatsaufgabe geworden ist: die Abhängigkeit von außereuropäischen Infrastrukturen, von Kill-Switches im Konfliktfall bis zum Herausgabezwang fremder Rechtsordnungen.

Bemerkenswert ist, wie die EU darauf antwortet. Der Begriff „Souveränität“ taucht in den einschlägigen Rechtsakten – Data Act, Data Governance Act, KI-Verordnung – gar nicht explizit auf. Statt staatlicher Lenkung setzt der europäische Gesetzgeber auf eine Kontraktualisierung des Datenrechts: Nicht der Staat allokiert die Daten, sondern die Marktteilnehmer handeln deren Verteilung selbst aus, abgesichert durch starke materielle Vorgaben und unverbindliche Mustervertragsklauseln. Souveränität wird so präziser zur Datenautonomie – der Einzelne soll die Macht haben, seinen Anbieter zu wählen und zu wechseln, und kann dabei auch strategische Erwägungen einfließen lassen, etwa essenzielle Daten nicht außereuropäisch verarbeiten zu lassen. Das Binnenmarktparadigma bleibt tragend: Der Markt wird von Hindernissen befreit, damit europäische Angebote überhaupt eine Chance bekommen.

Das Cloud-Switching-Regime des Data Act

Das Herzstück dieser Strategie sind die seit dem 12. September 2025 wirksamen Wechselvorschriften der Artikel 23 ff. Data Act. Sie gelten für Datenverarbeitungsdienste – nach den Erwägungsgründen also für IaaS, PaaS und SaaS gleichermaßen. Die Grundnorm des Artikel 23 verpflichtet Anbieter, sämtliche vorkommerziellen, kommerziellen, technischen, vertraglichen und organisatorischen Hindernisse zu beseitigen, die Kunden am Wechsel zu einem anderen Dienst, zur eigenen IT-Infrastruktur oder zur parallelen Nutzung mehrerer Anbieter hindern.

Konkret entsteht damit ein eigener Vertragstypus, der Wechselvertrag des Artikel 25. Der vollständige Wechsel darf insgesamt nicht länger als drei Monate dauern, die Kündigungsfrist zur Einleitung höchstens zwei Monate betragen. Den abgebenden Anbieter treffen Unterstützungs-, Sorgfalts- und nach Abschluss Löschpflichten; der Vertrag muss das Wechselverfahren, die Ausstiegsstrategie und die exportierbaren Datenkategorien erschöpfend benennen. Besonders scharf wirkt das Entgeltverbot des Artikel 29: Nach einer Schonfrist von zwei Jahren dürfen Wechselentgelte überhaupt nicht mehr erhoben werden – die ökonomische Seite des Lock-in soll vollständig fallen. Hinzu treten Interoperabilitätspflichten, die proprietäre Formate und Schnittstellen verdrängen sollen, sei es durch markteigene Standards oder durch harmonisierte Normen, für die CEN/CENELEC mandatiert ist.

Informationspflichten und die offenen Flanken der Praxis

Was den Beitrag für die Praxis brisant macht, sind weniger die großen Linien als die ungeklärten Details. Anbieter müssen über verfügbare Wechselverfahren, Übertragungsformate und exportierbare Daten informieren, über die Gerichtsbarkeit ihrer Infrastruktur und über Schutzmaßnahmen gegen internationalen Datenzugriff. Ob diese Informationen schon vorvertraglich geschuldet sind, sagt der Data Act nicht ausdrücklich – die besseren Argumente sprechen dafür, denn eine informierte Wechselentscheidung lässt sich nur vor Vertragsschluss treffen, und der Begriff des „Kunden“ umfasst auch die Anbahnungsphase.

Ähnlich unscharf bleibt, ob im Vertrag konkrete Wechselentgelte oder nur deren Berechnungsweise zu nennen sind. Da die zulässige Obergrenze von den Umständen des konkreten Wechsels abhängt – Datenmenge, Kompatibilität des Zieldienstes –, lässt sich der genaue Betrag vorab gar nicht bestimmen; der sicherste Weg liegt in einer klaren Wiedergabe der gesetzlichen Vorgaben nebst Nennung der kostenrelevanten Faktoren. Und schließlich trifft die Pflicht nicht nur Neukunden: Wortlaut und Zweck des Artikel 25 sprechen dafür, dass auch Bestandsverträge anzupassen sind, ohne dass darin eine unzulässige Rückwirkung läge – die fortbestehenden Verträge sind kein abgeschlossener Sachverhalt.

Compliance im Geflecht: Data Act trifft DSGVO, DMA und IT-Sicherheitsrecht

Das Cloud-Switching ist nur ein Baustein eines dichten Compliance-Geflechts, in dem sich Cloud-Nutzer heute bewegen. Der Data Act flankiert mit Artikel 32 eine Abwehrklausel gegen den US CLOUD Act, der amerikanische Unternehmen zur Datenherausgabe auch bei ausländischer Speicherung verpflichtet – ein direkter Reflex auf die Souveränitätsdebatte. Der Digital Markets Act enthält in seinen Artikeln 6 und 8 zwar bereits Datenzugangs- und Wechselrechte, greift aber erst, wenn ein konkreter Cloud-Dienst als Torwächter benannt wird, was geopolitisch derzeit unter schwierigen Vorzeichen steht. Parallel verlangt die DSGVO ihre eigenen Garantien für internationale Datentransfers, und das europäische IT-Sicherheitsrecht – NIS-2, der Cyber Resilience Act, für Finanzunternehmen die DORA – legt sich mit teils überlappenden, teils widersprüchlichen Pflichten über dieselben Sachverhalte.

Diese Kaskade von über 130 digitalbezogenen Rechtsakten überfordert kleinere wie große Unternehmen gleichermaßen. Für die Vertragsgestaltung bedeutet sie, dass Exit- und Migrationsklauseln, Datensicherheit und Rechtswahl nicht mehr isoliert, sondern als zusammenhängendes Regime gedacht werden müssen. Wer Cloud-Verträge gestaltet oder prüft, sollte die Wechselvorschriften, die Informationspflichten und die sicherheitsrechtlichen Anforderungen in einem Zug bewerten, statt sie nachträglich zu addieren.

Ausblick

Die EU versucht, digitale Eigenständigkeit nicht durch Verbote, sondern durch die Wiederherstellung von Marktsymmetrie zu erreichen: Sie nimmt den Anbietern die Möglichkeit, den Wechsel technisch und ökonomisch zu verhindern, und stärkt so die Verhandlungsposition der Nutzer. Ob das genügt, ist offen – ein europäischer Hyperscaler entsteht aus Wechselrechten allein nicht, und vieles spricht dafür, dass es zusätzlich gezielter Förderung eigener Technologieprojekte bedarf. Für die Praxis aber ist die Botschaft eindeutig: Der Anbieterwechsel ist von einer faktischen Hürde zu einer rechtlich abgesicherten Erwartung geworden, und die Cloud-Compliance verlagert sich von der Frage „Darf ich wechseln?“ zu der Frage „Habe ich die Pflichten erfüllt, die den Wechsel ermöglichen?“.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• KI unter Verschluss: US-Exportkontrolle stoppt Anthropics Fable 5 und Mythos 5 – 13. Juni 2026
• Deutschland bekommt ein KI-Gesetz: Bündelung der nationalen KI-Aufsicht bei der Bundesnetzagentur – 13. Juni 2026
• Recherche ohne Beweislast: Warum Presse auch unbegründete Werturteile fällen darf – 12. Juni 2026