Ist jeder SaaS-Anbieter ein Datenverarbeitungsdienst im Sinne der EU-Datenverordnung?

Seit dem 12. September 2025 gilt die EU-Datenverordnung (Data Act) verbindlich. Sie richtet sich unter anderem an „Anbieter von Datenverarbeitungsdiensten” – also insbesondere an bestimmte Cloud-Dienstleister – und verpflichtet diese zu einer Reihe von Maßnahmen rund um Anbieterwechsel, Datenlöschung bei Vertragsende sowie den Abschluss zusätzlicher Vertragsklauseln gemäß Art. 25 Data Act.

Noch kaum juristische Auseinandersetzung mit dem Begriff „Datenverarbeitungsdienst“

Die überwiegende Auffassung in der juristischen Literatur stellt weitgehend pauschal auf die Erwähnung von Software-as-a-Service in den Erwägungsgründen ab. Auch von der Bundesnetzagentur als zuständiger zentraler Aufsichtsbehörde für die EU-Datenverordnung kommt im Moment zur Auslegung des Begriffs noch keine echte Hilfe. So heißt es auf der Website der Bundesnetzagentur zum „Datenverarbeitungsdienst“: „Die Definition orientiert sich an gängigen Definitionen von Cloud-Computing-Diensten und wurde so ausgestaltet, dass die verbreiteten Bereitstellungsmodelle (wie zum Beispiel Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)) abdeckt [sic] werden.“  Frau Andrea Sanders-Winter, Leiterin der Digitalabteilung der Bundesnetzagentur, hatte jüngst angekündigt, Auslegungshilfen zu unbestimmten Rechtsbegriffen auf der Website der Bundesnetzagentur bereitzustellen.

Nicht jeder Cloud-Dienst fällt automatisch darunter

Nach überzeugender und deutlich differenzierter Auffassung in der juristischen Literatur (vgl. Siglmüller/Zdanowiecki, RDi 2025, 504) genügt es nicht, dass ein Dienst lediglich technisch auf Cloud-Infrastruktur betrieben wird. Richtig ist vielmehr ein vertraglich-funktionales Verständnis des Begriffs, weshalb eine sorgfältige Einzelfallprüfung unerlässlich ist.

Handlungsbedarf bei betroffenen Diensten

Fällt ein Dienst tatsächlich unter den Data Act, besteht konkreter Handlungsbedarf: Zusätzliche Vertragsklauseln müssen als Zusatzvereinbarung oder Vertragsanlage zum jeweiligen Einzelvertrag abgeschlossen werden. Darüber hinaus sind umfangreiche Informationspflichten (u. a. Art. 26, 28 und 31 Abs. 3 Data Act) sowie technische Anforderungen an den Anbieterwechsel (Art. 30 Data Act) zu beachten. Anbieter von Cloud- bzw. SaaS-Lösungen sollten dringend prüfen lassen, ob ihre Produkte als Datenverarbeitungsdienste einzustufen sind, und gegebenenfalls passende Vertragsunterlagen sowie Compliance-Maßnahmen vorbereiten.

Gerne unterstützen wir Sie sowohl bei der Betroffenheitsprüfung als auch beratend zu den einzelnen umzusetzenden Maßnahmen.

Ihre Ansprechpartner in unserem Büro Dresden sind:

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwältin und Fachanwältin für IT-Recht sowie für Internationales Wirtschaftsrecht Anne Schramm

Rechtsanwältin Anne Graurock