Fachnews
Ist jeder SaaS-Anbieter ein Datenverarbeitungsdienst im Sinne der EU-Datenverordnung?

Seit dem 12. September 2025 gilt die EU-Datenverordnung (Data Act) verbindlich. Sie richtet sich unter anderem an „Anbieter von Datenverarbeitungsdiensten" – also insbesondere an bestimmte Cloud-Dienstleister – und verpflichtet diese zu einer Reihe von Maßnahmen rund um Anbieterwechsel, Datenlöschung bei Vertragsende sowie den Abschluss zusätzlicher Vertragsklauseln gemäß Art. 25 Data Act.

21.04.2026
IT-Recht / Datenschutzrecht Sanierung und Restrukturierung
Noch kaum juristische Auseinandersetzung mit dem Begriff „Datenverarbeitungsdienst“

Die überwiegende Auffassung in der juristischen Literatur stellt weitgehend pauschal auf die Erwähnung von Software-as-a-Service in den Erwägungsgründen ab. Auch von der Bundesnetzagentur als zuständiger zentraler Aufsichtsbehörde für die EU-Datenverordnung kommt im Moment zur Auslegung des Begriffs noch keine echte Hilfe. So heißt es auf der Website der Bundesnetzagentur zum „Datenverarbeitungsdienst“: „Die Definition orientiert sich an gängigen Definitionen von Cloud-Computing-Diensten und wurde so ausgestaltet, dass die verbreiteten Bereitstellungsmodelle (wie zum Beispiel Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)) abdeckt [sic] werden.“

Frau Andrea Sanders-Winter, Leiterin der Digitalabteilung der Bundesnetzagentur, hatte jüngst angekündigt, Auslegungshilfen zu unbestimmten Rechtsbegriffen auf der Website der Bundesnetzagentur bereitzustellen.

Nicht jeder Cloud-Dienst fällt automatisch darunter

Nach überzeugender und deutlich differenzierter Auffassung in der juristischen Literatur (vgl. Siglmüller/Zdanowiecki, RDi 2025, 504) genügt es nicht, dass ein Dienst lediglich technisch auf Cloud-Infrastruktur betrieben wird. Richtig ist vielmehr ein vertraglich-funktionales Verständnis des Begriffs, weshalb eine sorgfältige Einzelfallprüfung unerlässlich ist.

Handlungsbedarf bei betroffenen Diensten

Fällt ein Dienst tatsächlich unter den Data Act, besteht konkreter Handlungsbedarf: Zusätzliche Vertragsklauseln müssen als Zusatzvereinbarung oder Vertragsanlage zum jeweiligen Einzelvertrag abgeschlossen werden. Darüber hinaus sind umfangreiche Informationspflichten (u. a. Art. 26, 28 und 31 Abs. 3 Data Act) sowie technische Anforderungen an den Anbieterwechsel (Art. 30 Data Act) zu beachten. Anbieter von Cloud- bzw. SaaS-Lösungen sollten dringend prüfen lassen, ob ihre Produkte als Datenverarbeitungsdienste einzustufen sind, und gegebenenfalls passende Vertragsunterlagen sowie Compliance-Maßnahmen vorbereiten.

Beitrag teilen
Facebook share E-mail share Xing share Linked IN Whatsapp share SMS share
Weitere Fachnews
zum Thema IT-Recht / Datenschutzrecht Weitere Fachnews
zum Thema Sanierung und Restrukturierung

Wir beraten persönlich.

Ihre Ansprechpartner
Stefan Ansgar Strewe
Stefan Ansgar Strewe

Rechtsanwalt, Fachanwalt für IT-Recht, Verfassungsrichter

esb Rechtsanwälte Strewe, Hänsel & Partner mbB

Anne Schramm, LLM. (VUW)
Anne Schramm, LLM. (VUW)

Angestellte Rechtsanwältin, Fachanwältin für IT-Recht, Fachanwältin für Internationales Wirtschaftsrecht

esb Rechtsanwälte Strewe, Hänsel & Partner mbB

Anne Graurock
Anne Graurock

Rechtsanwältin

esb Rechtsanwälte Strewe, Hänsel & Partner mbB

    Zur Beantwortung meiner Anfrage aus dem Kontaktformular werden meine Daten erfasst und gespeichert.

    eureos Infoservice

    Wir behalten den Überblick für Sie: Mit unserem multidisziplinären Newsletter informieren wir Sie einmal monatlich über aktuelle Fachthemen und senden Ihnen Einladungen zu unseren Fach- und Netzwerkveranstaltungen.

    Jetzt anmelden

    Kontakt | Impressum | Datenschutz