Cloud- und SaaS-Dienste sind für viele Websites unsichtbare Infrastruktur: Hosting, Formulare, Newsletter, CRM, Analytics, Consent, Zahlungsabwicklung, Support, Automatisierungen und Datenablagen. Solange alles funktioniert, wirkt ein Anbieterwechsel wie ein Randthema. Der Data Act macht genau diesen Exit aber zu einer operativen Aufgabe. Die RTR beschreibt für Datenverarbeitungsdienste, dass Kundinnen und Kunden frei, schnell und nahtlos zwischen Cloud- und Edge-Diensten wechseln oder mehrere Dienste parallel nutzen können sollen. Für österreichische KMU ist das kein reiner EU-Juristenstoff, sondern ein guter Anlass für einen nüchternen SaaS-Vertragscheck.

Neu ist nicht die Idee, dass Daten exportierbar sein sollten. Neu ist die Dichte der Anforderungen an Verträge, technische Schnittstellen, Übergangsfristen, Datenabruf und Wechselentgelte. Die WKO weist darauf hin, dass der Data Act grundsätzlich seit 12. September 2025 gilt. Gleichzeitig laufen wichtige Cloud-Switching-Themen schrittweise weiter: Besonders relevant ist der 12. Jänner 2027, ab dem Anbieter laut RTR für den Vollzug des Anbieterwechsels keine Wechselentgelte mehr verlangen dürfen. Wer erst beim Kündigen prüft, welche Daten wo liegen, ist dann trotzdem zu spät.

Was Cloud-Wechsel im Data Act praktisch bedeutet

Der Data Act spricht von Datenverarbeitungsdiensten. Darunter fallen laut RTR typischerweise Infrastructure-as-a-Service, Platform-as-a-Service und Software-as-a-Service. Für Website-Teams ist vor allem der SaaS-Blick wichtig: Viele Tools speichern Eingaben, Konfigurationen, Nutzerkonten, Metadaten, Protokolle, Workflows oder Exportdateien. Beim Wechsel geht es nicht nur darum, eine Rechnung zu kündigen. Es geht darum, exportierbare Daten und digitale Vermögenswerte so zu erhalten, dass der Betrieb sinnvoll weitergeführt werden kann.

RTR fasst den Grundgedanken klar zusammen: Hindernisse für den Wechsel sollen beseitigt werden. Dazu zählen technische, vertragliche, organisatorische und gewerbliche Hürden. Für SaaS- und PaaS-Dienste nennt die RTR offene Schnittstellen, notwendige Dokumentation und strukturierte, gängige, maschinenlesbare Formate, wenn keine passenden Standardspezifikationen vorliegen. In der Praxis sollten Unternehmen deshalb nicht nur fragen, ob ein Exportknopf existiert, sondern was genau exportiert wird, in welchem Format, mit welchen Metadaten und mit welchem Aufwand.

Der Unterschied zum allgemeinen Data-Act-Überblick

AdSimple hat den Data Act bereits im Beitrag Data Act in Österreich: Cloud-Wechsel für KMU eingeordnet. Der heutige Fokus ist enger: Welche konkreten Unterlagen braucht ein Website- oder SaaS-Team, damit ein Cloud-Wechsel nicht erst im Krisenfall geplant wird? Diese Unterscheidung ist wichtig. Der ältere Überblick erklärt die Richtung. Der aktuelle Anlass durch die RTR-Informationen zum Wechsel zwischen Datenverarbeitungsdiensten macht daraus eine Arbeitsliste für Tool-Inventar, Vertragsprüfung und Exit-Plan.

Ein Beispiel: Ein Unternehmen nutzt ein Formular-Tool, ein Newsletter-System, ein CRM, ein Consent-Tool, einen Analytics-Dienst und einen Cloud-Speicher. Jedes dieser Systeme kann personenbezogene Daten, technische Konfigurationen oder geschäftskritische Abläufe enthalten. Wer den Dienst wechseln möchte, braucht nicht nur die Zugangsdaten. Er braucht Exportformate, Fristen, Verantwortliche, Löschzusagen, Übergangsplanung und eine realistische Einschätzung, ob der neue Dienst dieselbe Funktion überhaupt ersetzen kann.

Welche Vertragsdetails jetzt in den Blick gehören

RTR nennt für Verträge unter anderem eine maximale Kündigungsfrist zur Einleitung des Wechsels, eine Übergangsfrist, Anforderungen an Kontinuität und Sicherheit, einen Datenabrufzeitraum und eine Klausel zur Löschung exportierbarer Daten und digitaler Vermögenswerte nach erfolgreichem Wechsel. Für KMU klingt das schnell nach Vertragsrecht im Detail. Praktisch reicht für den ersten Check eine Tabelle: Anbieter, Diensttyp, Vertragslaufzeit, Kündigungsfrist, Exportmöglichkeit, Datenabrufzeitraum, Löschregel, Supportkontakt und Kritikalität.

Diese Tabelle sollte nicht nur in der Geschäftsführung liegen. Website-Betreuung, Datenschutz, IT, Marketing und externe Agenturen brauchen denselben Blick auf die wichtigsten Tools. Wenn etwa ein Tracking- oder Consent-Dienst gewechselt wird, betrifft das die Website technisch, die Datenschutzerklärung inhaltlich und die Einwilligungslogik operativ. Der AdSimple Consent Manager hilft bei Einwilligungen und Tracking-Setups; er ersetzt aber nicht die Vertrags- und Exportprüfung der übrigen SaaS-Landschaft.

Tool-Inventar vor Vertragsprüfung

Der häufigste Fehler ist, mit juristischen Klauseln zu beginnen, bevor überhaupt klar ist, welche Dienste im Einsatz sind. Besser ist ein Tool-Inventar. Welche Systeme sammeln Daten über Website-Besucher, Kundinnen, Newsletter-Abonnenten, Leads, Bewerbungen, Bestellungen, Tickets oder interne Workflows? Welche Systeme enthalten nur Konfigurationen, welche personenbezogene Daten, welche geschäftskritische Dateien und welche automatisieren Veröffentlichungen oder Marketingprozesse?

Das Inventar sollte auch den Unterschied zwischen Daten und Funktion erfassen. Ein CSV-Export aller Kontakte ist hilfreich, ersetzt aber noch keine Automatisierungsregeln, Segmentlogik, Consent-Historie, Formularfelder, API-Verknüpfungen oder Medienbibliothek. Gerade diese stillen Abhängigkeiten machen Cloud-Lock-in teuer. Der Data Act schiebt den Markt in Richtung Wechselbarkeit, aber Unternehmen müssen trotzdem wissen, was sie tatsächlich wechseln wollen.

Für die Datenschutzseite ist dieser Überblick doppelt nützlich. Wenn Dienste personenbezogene Daten verarbeiten, müssen sie sauber in Datenschutzerklärung, Auftragsverarbeitung, internen Verzeichnissen und Löschkonzepten auftauchen. Der AdSimple Datenschutz Generator kann bei der verständlichen Dokumentation eingesetzter Dienste unterstützen. Der Cloud-Exit-Plan liefert dazu die operative Ergänzung: Wo liegen Daten, wie kommen sie wieder heraus und was passiert nach dem Wechsel?

Datenexport ist mehr als ein Download

Ein Export ist erst brauchbar, wenn er nachvollziehbar und wiederverwendbar ist. Unternehmen sollten daher pro wichtigem Dienst mindestens fünf Fragen beantworten: Welche Daten kann ich exportieren? Welche Metadaten und Einstellungen fehlen? Ist das Format strukturiert und gängig? Kann ich den Export regelmäßig testen? Und wie lange kann ich nach dem Wechsel noch auf die Daten zugreifen?

Bei Website- und Webshop-Projekten kommen weitere Details dazu. Produktdaten, Bestelldaten, Rechnungsdaten, Kundengruppen, Consent-Protokolle, Medien, Weiterleitungen, SEO-Metadaten und Tracking-Konfigurationen liegen oft in mehreren Systemen. Der Beitrag zum digitalen Produktpass zeigt, wie schnell Produktdaten zur Website-Aufgabe werden. Beim Cloud-Wechsel gilt dasselbe Prinzip: Nur Daten, die bekannt, strukturiert und gepflegt sind, lassen sich sinnvoll migrieren.

Warum der Data Act auch für Agenturen wichtig ist

Agenturen und Freelancer kaufen für Kundinnen und Kunden häufig Tools ein, richten Accounts ein oder betreiben Systeme im eigenen Namen. Genau dort entstehen Grauzonen. Wer ist Vertragspartner? Wer hat Adminrechte? Wer bekommt Exportdateien? Wer darf kündigen? Wer ist Ansprechpartner, wenn der Dienst gewechselt werden soll? Der Data Act nimmt diese Fragen nicht vollständig aus der Vertragsarbeit heraus, aber er erhöht den Druck, Wechselbarkeit nicht als Ausnahmefall zu behandeln.

Für AdSimple-Zielgruppen ist der pragmatische Weg ein standardisierter SaaS-Übergabe- und Exit-Check. Bei jedem neuen Tool sollten Zweck, Datenarten, Exportweg, Adminrolle, Datenschutzdokumentation und Kündigungsweg erfasst werden. Beim Offboarding einer Agentur sollte klar sein, welche Accounts beim Kunden liegen und welche nur über die Agentur erreichbar sind. Das vermeidet nicht nur Data-Act-Probleme, sondern auch klassische Projektkonflikte.

Cloud-Wechsel und Sicherheit zusammendenken

Ein Anbieterwechsel kann Sicherheitsrisiken erhöhen, wenn er schlecht geplant ist. Zugangsdaten, API-Tokens, Webhooks, Backups, Protokolle und Nutzerrechte müssen geordnet übertragen oder beendet werden. Die RTR betont beim Wechsel auch Kontinuität und ein hohes Maß an Sicherheit. Wer den Beitrag zum NISG 2026 und Website-Stack kennt, sieht die Verbindung: Cloud-Exit, Sicherheitszuständigkeiten und saubere Dokumentation gehören zusammen.

Das AdSimple Business Paket passt hier als Rahmen für Unternehmen, die Website-Compliance nicht in Einzelthemen zerlegen wollen. Datenschutztexte, Consent-Setup, Dienstedokumentation, Website-Stack und Vertragsprüfung hängen im Alltag zusammen. Der Data Act ergänzt diese Arbeit um die Frage, ob ein Unternehmen seine digitalen Dienste auch wieder verlassen kann.

Ein schneller Praxischeck für österreichische KMU

Ein sinnvoller Start dauert keinen Monat. Erstens: Die zehn wichtigsten Cloud- und SaaS-Dienste der Website und des Marketings notieren. Zweitens: pro Dienst prüfen, welche Daten dort liegen und ob es einen getesteten Export gibt. Drittens: Vertrag, Kündigungsfrist, Datenabrufzeitraum und Löschregel dokumentieren. Viertens: für kritische Dienste einen Wechselverantwortlichen festlegen. Fünftens: einmal im Jahr einen Probeexport oder zumindest eine dokumentierte Exportprüfung durchführen.

Bei neuen Tools sollte der Exit künftig Teil der Kaufentscheidung sein. Ein günstiges Tool ohne sauberen Export ist nicht automatisch günstig. Ein Tool mit klarer Dokumentation, API, strukturiertem Datenexport und sauberem Rollenmodell spart spätestens beim Wechsel Zeit. Der Data Act schafft dafür den rechtlichen Rückenwind. Die operative Arbeit bleibt aber beim Unternehmen.

Fazit: Exit-Fähigkeit wird Teil guter Website-Governance

Der Data Act macht Cloud-Lock-in nicht von heute auf morgen unsichtbar. Aber er verschiebt die Erwartung: Datenverarbeitungsdienste sollen wechselbarer werden, Verträge transparenter und Exporte besser planbar. Für Website-Betreiber, Agenturen und SaaS-Teams in Österreich ist jetzt ein guter Zeitpunkt, Tool-Inventare und Vertragsdetails aus dem Nebel zu holen.

Das Ziel ist nicht, jeden Dienst sofort zu ersetzen. Das Ziel ist Entscheidungsfähigkeit. Wer weiß, welche Daten wo liegen, wie sie exportiert werden können und wer den Wechsel verantwortet, verhandelt besser, migriert ruhiger und dokumentiert sauberer. Genau dort beginnt praktische Data-Act-Compliance: nicht mit Panik vor einer EU-Verordnung, sondern mit einem Exit-Plan, der zur eigenen Website- und Tool-Landschaft passt.

Quellen