Aufsatz : Cloud Computing: Zwischen Datenschutz und Abhängigkeit : aus der RDV 6/2025, Seite 294 bis 301

3. Bereitstellungsmodelle

Unterschieden wird zwischen verschiedenen Bereitstellungsmodellen, die sich durch Funktionsumfang und Verantwortungsverteilung unterscheiden.^[19] Hierzu zählen Infrastructure as a Service („IaaS“), Platform as a Service („PaaS“) und Software as a Service („SaaS“).^[20] Ein Cloud-Dienst fällt regelmäßig, aber nicht zwangsläufig^[21], in eine oder mehrere dieser Kategorien.^[22]

IaaS bedeutet, dass der Anbieter dem Nutzer virtuelle Hardware wie Rechenleistung und Speicherplatz bereitstellt.^[23] Der Nutzer kann diese Ressourcen verwenden, um Programme zu speichern und Daten zu verarbeiten.^[24] Die Kontrolle und Verantwortung über Betriebssystem und Anwendungen bleibt beim Nutzer.^[25] IaaS wird typischerweise für das Hosting von Websites eingesetzt.^[26]

Geht es um PaaS-Modelle, stellt der Anbieter neben der Hardware eine anpassbare Softwareumgebung bereit.^[27] Dadurch kann der Nutzer bestimmte Anwendungen erstellen, testen und nutzen, ohne sich mit der technischen Infrastruktur auseinandersetzen zu müssen.^[28] Der Nutzer kontrolliert nur die Anwendungen, die er über die Softwareumgebung entwickelt.^[29] In der Praxis wird PaaS häufig von Softwareentwicklungsunternehmen genutzt.^[30]

SaaS ermöglicht es dem Nutzer, fertige Software (z.B. vorprogrammierte Anwendungen^[31]) direkt über das Netzwerk zu verwenden.^[32] Der Anbieter übernimmt Wartung und Updates der Anwendung.^[33] Die Kontrolle des Nutzers beschränkt sich auf die durch ihn mittels der Software verarbeiteten Daten.^[34] Ein in der Praxis verbreitetes Beispiel für einen SaaS-Dienst ist das Office 365-Paket von Microsoft, das die bekannten Dienste „Teams“ und „Outlook“ enthält.^[35]

II. Datenschutzrechtliche Herausforderungen der Zusammenarbeit mit US-amerikanischen Anbietern

1. Ausgangslage

Die Zusammenarbeit mit US-amerikanischen Anbietern bringt datenschutzrechtliche Herausforderungen mit sich.^[36] Personenbezogene Daten können auf zwei Wegen in die USA gelangen, um auf dort lokalisierten Servern gespeichert zu werden.

In der ersten Konstellation kontrahiert der Nutzer mit dem US-amerikanischen Anbieter selbst. In der Folge werden die mittels Cloud Computing verarbeiteten Daten direkt auf in den USA lokalisierten Servern gespeichert.^[37]

Im Regelfall dürften in der EU ansässige Nutzer jedoch mit den lokalen Niederlassungen US-amerikanischer Anbieter – etwa AWS EMEA SARL, Microsoft Ireland Operations Ltd. oder Google Ireland Ltd – kontrahieren.^[38] In dieser zweiten Konstellation werden die vom Nutzer verarbeiteten personenbezogenen Daten zunächst auf Servern innerhalb der EU gespeichert.^[39] Durch Zugriff der US-amerikanische Muttergesellschaft^[40], z.B. für administrative oder Support-Zwecke^[41], können die gespeicherten personenbezogenen Daten dennoch auf in den USA lokalisierte Server gelangen.

Die lokal niedergelassene Tochtergesellschaft kann von der US-amerikanischen Muttergesellschaft zudem dazu aufgefordert werden, personenbezogene Daten an sie herauszugeben.^[42] Mitunter ist die US-amerikanische Muttergesellschaft nach US-amerikanischem Recht hierzu verpflichtet, z.B. wenn sie ihrerseits auf Grundlage des US-amerikanischen CLOUD Acts^[43] von einer US-amerikanischen Behörde hierzu aufgefordert wird. US-amerikanische Anbieter können dabei unter bestimmten Umständen^[44] verpflichtet sein, Anordnungen zur Herausgabe personenbezogener Daten zu befolgen – auch, wenn diese auf Servern außerhalb der USA gespeichert sind.^[45] Damit können auch personenbezogene Daten erfasst sein, die auf Servern europäischer Tochtergesellschaften gespeichert sind.^[46]

2. Behördliche Zugriffe auf personenbezogene Daten

Sind personenbezogene Daten einmal auf US-amerikanischen Servern gespeichert, ist die aufgezeigte Ausgangslage nicht nur^[47], aber vor allem in Hinblick auf umfassende Zugriffsmöglichkeiten der US-amerikanischen Behörden auf personenbezogene Daten problematisch.^[48] In den USA existieren Gesetze, die behördliche Befugnisse zur Massenüberwachung vorsehen.^[49]

Ein zentrales Instrument hierzu liefert Section 702 Foreign Intelligence Surveillance Act^[50], das ausdrücklich die gezielte Überwachung von EU-Bürgern über US-amerikanische CloudDienste erlaubt.^[51] Ergänzend regelt u.a. die Executive Order („EO“) 12333^[52] umfassende Überwachungsbefugnisse.^[53]

Risiken für den Schutz personenbezogener Daten ergeben sich jedoch nicht allein aus der Existenz dieser Regelungen.^[54] Problematisch ist vielmehr, dass die Eingriffsbefugnisse der US-amerikanischen Behörden zur Massenüberwachung unbestimmt formuliert sind und Befugnisse in potenziell unbegrenztem Ausmaß enthalten.^[55] US-amerikanische Eingriffsbefugnisse werden hierbei nicht durch den Grundsatz der Verhältnismäßigkeit begrenzt.^[56] In den USA fehlt es zudem an einer unabhängigen und flächendeckenden Datenschutzaufsicht.^[57]

III. Antworten der DS‑GVO

Das Unionsrecht reagiert auf die grenzüberschreitende Verarbeitung mit den Vorschriften der Art. 44 ff. DS‑GVO. Gem. Art. 44 S. 1 Hs. 1 DS‑GVO ist die Übermittlung personenbezogener Daten an ein Drittland nur zulässig, wenn Verantwortlicher und Auftragsverarbeiter die Vorgaben von Kapitel V der DS‑GVO sowie die übrigen Bestimmungen der Verordnung einhalten.

1. Übermittlung

Eine Übermittlung liegt nach Maßgabe des Europäischen Datenschutzausschusses vor, wenn ein Verantwortlicher oder Auftragsverarbeiter, der der DS‑GVO unterliegt, personenbezogene Daten durch Übertragung oder auf andere Weise gegenüber einem Verantwortlichen oder Auftragsverarbeiter oder gemeinsam Verantwortlichen offenlegt, der sich in einem Drittland befindet.^[58]Verarbeitet so ein Nutzer personenbezogene Daten mittels des Cloud-Dienstes eines Anbieters, der die Daten auf einem Cloud-Server in den USA speichert oder dem Fernzugriff von einem Drittland ausgesetzt ist, liegt eine Übermittlung vor.^[59]

Das gilt jedoch nicht, wenn die Speicherung bei einer Tochtergesellschaft eines US-amerikanischen Anbieters erfolgt. Insbesondere begründet allein das Risiko, dass ein in der EU niedergelassener Anbieter von einem Herausgabeverlangen der US-amerikanischen Muttergesellschaft betroffen ist, keine Übermittlung.^[60] Eine Übermittlung erfolgt in dieser Konstellation aber durch die Tochtergesellschaft selbst, wenn diese ihrer Muttergesellschaft Zugriff auf personenbezogene Daten gewährt.^[61]

2. Rechtfertigung

Die Einhaltung der sonstigen Bestimmungen unterstellt, kommt die erforderliche Rechtfertigung der Übermittlung in die USA auf der Grundlage eines Angemessenheitsbeschlusses (Art.  45 DS‑GVO) oder auf der Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DS‑GVO) in Betracht.^[62]In Bezug auf AWS, Microsoft und Google ist primär die Übermittlung auf der Grundlage eines Angemessenheitsbeschlusses relevant.

Gem. Art.  45 Abs.  1 S. 1 DS‑GVO darf die Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden, wenn die Europäische Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein spezifischer Sektor in diesem Drittland ein angemessenes Schutzniveau bietet.

Die Übermittlung an bestimmte US-amerikanische Anbieter erfolgt derzeit auf der Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum Data Privacy Framework^[63]. Der Beschluss beruht auf einer Analyse der US-amerikanischen Rechtslage sowie auf Verhandlungen zwischen der Europäischen Kommission und der (ehemaligen) US-Regierung.^[64] In der Folge erließ die US-amerikanische Regierung die EO 14086^[65] und einen Erlass über den sogenannten Data Protection Review Court.^[66] Der Angemessenheitsbeschluss erlaubt, (a)) personenbezogene Daten an zertifizierte US-Organisationen zu übermitteln und sieht (b)) durch die EO 14086 Standards im Hinblick auf die Überwachung durch US-amerikanische Nachrichtendienste vor, die den unionsrechtlichen Datenschutzstandards angenähert sein sollen.

a) Zertifizierungsmechanismus

Nach Auffassung der Europäischen Kommission gewährleisten die USA ein angemessenes Schutzniveau für personenbezogene Daten, die an US-amerikanische Unternehmen übermittelt werden, die in der öffentlich zugänglichen und vom US-amerikanischen Handelsministerium geführten „Data Privacy Framework List“ aufgeführt sind.^[67] Hierzu wurde ein Selbstzertifizierungsmodell geschaffen, für das sich US- amerikanische Unternehmen zertifizieren können.^[68] Diese verpflichten sich durch die Zertifizierung, bestimmte Grundsätze bei der Verarbeitung personenbezogener Daten einzuhalten.^[69] AWS, Microsoft sowie Google verfügen über eine Zertifizierung.^[70] Dieser Datenschutzrahmen, das EU-US Data Privacy Framework, wird vom US-amerikanischen Handelsministerium überwacht.^[71]

b) Standards im Hinblick auf die Überwachung durch Nachrichtendienste

Auf der Grundlage der EO 14086 wurde zudem ein mehrstufiger Rechtsschutzmechanismus etabliert, wonach mögliche Verstöße durch US-amerikanische Geheimdienste gegen die EO 14086 und anderes US-amerikanisches Recht geprüft werden.^[72] Hiernach können Betroffene, auch EU-Bürger (Section 3 (f) EO 14086), Beschwerde einreichen, die von dem Datenschutzbeauftragten der US-Geheimdienstkoordinierungsstelle, („CLPO“) bearbeitet und entschieden wird (Section 3 (c) (i) EO 14086). Auf zweiter Stufe können Rechtsmittel bei dem sogenannten Data Protection Review Court eingelegt werden (Section 3 (d) (i) (A) EO 14086). Der Data Protection Review Court hat die Aufgabe, die Entscheidung des CLPO umfassend zu überprüfen (Section 3 (d) (i) (D), (E) EO 14086).

IV. Einordnung der Regeln zu den Übermittlungen an Drittländer

Die Regelungen der Art. 44 ff. DS‑GVO bringen zwei gegenläufige Interessen zum Ausdruck.^[73] Einerseits soll verhindert werden, dass personenbezogene Daten an ausländische Stellen ohne hinreichendes Datenschutzniveau weitergegeben werden.^[74] Auf der anderen Seite ist der grenzüberschreitende Datenverkehr essenziell für die Ausweitung des internationalen Handels.^[75]

1. Einordnung des Angemessenheitsbeschlusses vor dem Hintergrund der Rechtsprechung des EuGH

Der EuGH hat in der Vergangenheit in den Rechtssachen Schrems I^[76] und Schrems II^[77] bereits zwei Vorgängermodelle des aktuellen Angemessenheitsbeschluss zum Data Privacy Framework für die Übermittlung personenbezogener Daten an zertifizierte Organisationen in den USA für ungültig erklärt (den Angemessenheitsbeschluss zum Safe-Harbor-Mechanismus^[78]und zum Privacy Shield^[79]). Gleichzeitig hat der EuGH die Anforderungen an ein angemessenes Schutzniveau konturiert.

Für die Feststellung eines angemessenen Schutzniveaus ist demnach nicht erforderlich, dass das betreffende Drittland ein mit dem Unionsrecht identisches Schutzniveau gewährleistet.^[80] Es genügt ein der Sache nach gleichwertiges Niveau an Grundrechten und Rechtsschutz.^[81] Zu den zentralen Anforderungen gehören die Existenz einer wirksamen und unabhängigen Datenschutzaufsicht^[82] sowie die Gewährleistung durchsetzbarer Rechte für betroffene Personen mittels effektivem behördlichen und gerichtlichen Rechtsschutz.^[83]

Eingriffe in Grundrechte dürfen zudem nur auf einer gesetzlichen Grundlage erfolgen, müssen verhältnismäßig im Sinne des unionsrechtlichen Grundrechtsschutzes und gerichtlich kontrollierbar sein.^[84]Schließlich sind Überwachungsmaßnahmen so auszugestalten, dass betroffene Personen nicht dem Eindruck einer strukturell allgegenwärtigen Überwachung ausgesetzt sind.^[85]

Nach diesem Maßstab ist zunächst anzuerkennen, dass die US-amerikanische Regierung gezielte Maßnahmen zur Verbesserung des Datenschutzrahmens vorgesehen hat.^[86] Insbesondere ist zu begrüßen, dass in Section 5 (h) EO 14086 der Grundsatz der Verhältnismäßigkeit aufgenommen wurde.^[87] Gut ist weiter, dass der Vorrang der gezielten Überwachung vor der massenhaften Überwachung betont wurde (Section 2 (c) (ii) (A) EO 14086).^[88] Auch die Einrichtung eines zweistufigen Rechtsschutzsystems stellt einen Fortschritt gegenüber dem früheren Modell dar.^[89]

Zweifelhaft ist jedoch, ob die genannten Mechanismen den unionsrechtlichen Anforderungen tatsächlich genügen. So bleiben Vorgaben zur Massenüberwachung in Teilen vage und abstrakt (z.B. Section 2 (b) (i) (A) und (B) EO 14086). Präzise Grenzen für Massenüberwachung wurden damit entgegen der Forderung des EuGH nicht umgesetzt.^[90]

Zudem bestehen Defizite im Rechtsschutzsystem. Insbesondere erhält die betroffene Person keine inhaltliche Begründung der Entscheidung und erfährt nicht, ob die erste Instanz (CLPO) zu ihren Gunsten entschieden hat (vgl. Section 3 (c) (i) (E) (1); Section 3 (d) (i) (H) EO 14086).^[91]

Ein weiteres strukturelles Problem liegt in der Instabilität des zugrunde liegenden rechtlichen Rahmens. Die EO ist als präsidentielle Anordnung jederzeit einseitig widerrufbar.^[92] Angesichts der politischen Unsicherheiten in den USA erscheint die Nachhaltigkeit des geschaffenen Schutzmechanismus fraglich.^[93]

2. Einordnung im Hinblick auf die Bedeutung des internationalen Datenverkehrs

Das Beschriebene macht ein grundsätzliches Dilemma deutlich. Während die Zusammenarbeit von Nutzern mit US-amerikanischen Anbietern oder deren Tochterunternehmen mit europäischen Datenschutzstandards schwer vereinbar ist, sind Nutzer auf diese Anbieter angewiesen.^[94]

Allerdings liegt die Einhaltung unionsrechtlicher Datenschutzstandards auch im Interesse der europäischen Wirtschaft. Nur mit ihrer Einhaltung können faire Wettbewerbsbedingungen geschaffen werden.^[95] Eine Aufweichung wäre paradox. Europäische Anbieter wären weiterhin an die strengen Vorgaben der DS‑GVO gebunden, während US-amerikanische personenbezogene Daten ohne vergleichbare Einschränkungen verarbeiten könnten.^[96]

Die Regelungen der DS‑GVO sind zudem Ausdruck eines gemeinsamen europäischen Werteverständnisses. Jede Person hat gem. Art. 8 Abs. 1 GrCh das Recht auf Schutz der sie betreffenden personenbezogenen Daten.^[97] Dieses Grundrecht spiegelt einen Teil der fundamentalen Werte der EU wider.^[98] Können US-amerikanische Anbieter ein angemessenes Niveau für den Schutz personenbezogener Daten in der Cloud nicht gewährleisten, sollten Nutzer Übermittlungen einstellen.^[99] Im Konfliktfall müssen demokratisch gesetzte Regeln durchgesetzt werden.^[100]

Wenn aus der Industrie in diesem Zusammenhang zu hören ist, dass ein Wegfall der Zusammenarbeit mit US-amerikanischen Anbietern für Nutzer „verheerende Folgen“ hätte und zu „großem Zusatzaufwand und Rechtsunsicherheit“ führen würde^[101] verdeutlicht das nur ein größeres Problem: Nutzer sind in großem Stil von US-amerikanischen Anbietern abhängig.^[102]

V. Abhängigkeit

Der europäische Cloud-Markt wird maßgeblich von den USamerikanischen Unternehmen AWS, Microsoft und Google beherrscht.^[103] Abhängigkeiten werden in diesem Zusammenhang insbesondere dadurch gefördert, dass Nutzer wegen zu hoher Wechselkosten und großen technischen Aufwands beim Wechsel faktisch an einen bestimmten Anbieter gebunden sind.^[104] Solche Lock-In-Effekte beschreiben den Umstand, dass Nutzer aufgrund von in der Vergangenheit getroffenen Entscheidungen nicht zu einem anderen Anbieter wechseln.^[105] Dieses primär wettbewerbs- und kartellrechtliche Thema wird zum Problem für den Datenschutz, wenn Nutzer dauerhaft an einen datenschutzrechtlich unzuverlässigen (US-)Anbieter gebunden sind^.[106]

VI. Antworten durch den Data Act

Als Möglichkeit, diese datenschutzrechtliche Herausforderung zu bewältigen, sollten die Vorschriften zum sogenannten Cloud Switching in Kapitel VI Data Act Beachtung finden. Gem. Art.  23 S. 1 Data Act sind Anbieter von Datenverarbeitungsdiensten verpflichtet, Maßnahmen zu treffen, die es Nutzern ermöglichen, den Anbieter zu wechseln oder mehrere Dienste parallel zu nutzen. Datenverarbeitungsdienste meint insbesondere Cloud-Dienste wie IaaS, PaaS und SaaS (Art. 2 Nr. 8 Data Act).^[107] Wie in ErwG 78 Data Act deutlich wird, verfolgt der Verordnungsgeber damit zwei Ziele: Durch Vermeidung einseitiger Abhängigkeiten soll der Wettbewerb auf dem Markt und die Resilienz der Nutzer gestärkt werden.^[108]

Die Vorschriften sind damit primär wettbewerbs- und kartellrechtlicher Natur.^[109] Sie dienen aber auch dem Datenschutz.^[110] Denn nur ein Markt mit vielen Wettbewerbern und ohne Abhängigkeiten kann datenverarbeitenden Nutzern die Möglichkeit eröffnen, Anbieter auszuwählen, die die Anforderungen der DS‑GVO tatsächlich erfüllen.^[111]

1. Technische Interoperabilität und Funktionsäquivalenz

Im Einzelnen adressiert der Verordnungsgeber in Art. 30 Data Act zunächst technische Aspekte des Wechsels. Anbieter von IaaS-Diensten werden verpflichtet, alle ihnen zur Verfügung stehenden angemessenen Maßnahmen zu ergreifen, um dem Nutzer nach einem Anbieterwechsel eine funktionsäquivalente Weiterverarbeitung zu ermöglichen (Art.  30 Abs. 1 S. 1 Data Act).^[112] Hierzu zählen die Bereitstellung technischer Kapazitäten, angemessene Informationen, Dokumentationsmaterial, technische Unterstützung und andere Instrumente (Art. 30 Abs. 1 S. 2 Data Act).

Für PaaS-, SaaS- und vergleichbare Dienste ist dagegen die Verpflichtung für Anbieter zur Bereitstellung offener Schnittstellen vorgesehen, um den Wechsel von Nutzern zu einem übernehmenden Anbieter zu ermöglichen (Art. 30 Abs. 2 S. 1 Data Act). Diese Schnittstellen müssen dabei ausreichende Informationen über den Dienst beinhalten, damit die Software entwickelt werden kann, die für die Kommunikation mit den Diensten zu Zwecken der Datenübertragbarkeit und der Interoperabilität erforderlich ist (Art. 30 Abs. 2 S. 2 Data Act).

2. Abschaffung von Wechselentgelten

Daneben soll ein zentraler Hebel zur Erleichterung des Anbieterwechsels die schrittweise Abschaffung von Wechselentgelten gem. Art. 29 Data Act sein. So dürfen Anbieter ab dem 12.01.2027 keine Wechselentgelte mehr erheben (Art. 29 Abs. 1 Data Act). Bis zum 12.01.2027 dürfen Anbieter Wechselentgelte nur noch in ermäßigter Form erheben, und zwar nur in Höhe der unmittelbar zuordenbaren Kosten (Art. 29 Abs. 2, Abs. 3 Data Act), etwa für Personal und Lizenzen.^[113]

Solange noch ermäßigte Entgelte erhoben werden, müssen Anbieter hierüber transparent und vorvertraglich informieren (Art. 29 Abs. 4 Data Act), wobei die Informationen auf der Website oder in vergleichbarer leicht zugänglicher Form bereitzustellen sind (Art. 29 Abs. 6 Data Act).

3. Vertragliche Anforderungen

Art.  25 Data Act normiert zudem einen Mindestinhalt vertraglicher Vereinbarungen zwischen Nutzer und Anbieter.^[114] Die Verträge müssen bestimmte Angaben über Wechselmechanismen enthalten und schriftlich geschlossen werden. Daneben soll ein Nutzer jederzeit mit einer Kündigungsfrist von maximal zwei Monaten den Wechselprozess starten können (Art.  25 Abs.  2 lit.  d) Data Act).^[115]Flankiert werden die Vorschriften durch vorvertragliche Informationspflichten (Art. 26 Data Act).

VII. Einordnung der Vorschriften zum Cloud Switching

Auf den ersten Blick verfolgen die Vorschriften zum Cloud Switching einen gelungenen Ansatz, um strukturelle Hemmnisse abzubauen.^[116] Sie können damit auch als Hebel dienen, Anforderungen der DS‑GVO im Kontext von Cloud Computing effektiver durchzusetzen. Dabei überzeugt es, dass einige Sonderregeln und Bereichsausnahmen für die Fälle eingebaut wurden, in denen Cloud-Dienste auf spezifische Bedürfnisse eines Nutzers zugeschnitten wurden (Art. 31 Abs. 1 Data Act^[117]).^[118]

Andererseits fällt im Gegensatz zu anderen Vorschriften des Data Act^[119] ins Auge, dass Kleinunternehmen (Art.  2 Nr. 25 Data Act) und Kleinstunternehmen (Art. 2 Nr. 26 Data Act) nicht privilegiert werden. Das kann dazu führen, dass gerade kleinere, lokale Anbieter, die durch die Vorschriften gestärkt werden sollen, am Ende benachteiligt werden.^[120] Außerdem wird teilweise erwartet, dass die Pflichten für Anbieter an anderer Stelle auf die Nutzer abgewälzt werden.^[121] Daneben stellen die Vorschriften auf den ersten Blick erhebliche regulatorische Vorgaben dar.

Hervorzuheben ist aber, dass Selbstregulierung in diesem Bereich nicht funktioniert hat. Die Free-Flow-of-Data-Verordnung^[122] setzte noch auf Selbstregulierung zur Erleichterung des Anbieterwechsels.^[123] Die Verbreitung daraufhin entwickelter Selbstregulierungsmaßnahmen fiel jedoch zurückhaltend aus.^[124] Werden Lock-In-Effekte stufenweise abgebaut, können die Vorschriften zum Cloud Switching umgekehrt gerade für kleinere Unternehmen als Innovationstreiber fungieren^.[125]

Die Vorschriften gelten jedoch erst seit dem 12.09.2025 (Art. 50 Abs. 2 Data Act). Es wird daher abzuwarten bleiben, welchen Einfluss die Vorschriften tatsächlich in der Praxis haben werden. Für eine abschließende Bewertung ist es jedenfalls noch zu früh.^[126]

Kapitel VI des Data Act zeigt mit seiner inhärenten Zielsetzung, die Abhängigkeit von US-amerikanischen Anbietern zu mindern^[127], zwar auch aus datenschutzrechtlicher Perspektive eine begrüßenswerte Tendenz, eine nachhaltige Lösung dürfte jedoch jenseits der Regulierungsebene liegen. Notwendig ist der Ausbau einer unabhängigen, datenschutzkonformen europäischen Cloud-Infrastruktur.^[128] Ein Blick nach Schleswig-Holstein zeigt, dass dieser Weg realistisch sein kann. So wurde das E-Mail-System der Landesverwaltung inzwischen vollständig auf die OpenSource-Lösungen Open-XChange und Thunderbird umgestellt.^[129]

_{[1] Eurostat, Cloud Computing – Statistiken über die Nutzung durch Unternehmen, 08.12.2023, abrufbar unter: https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Cloud_computing_-_statistics_on_the_use_by_enterprises (letzter Abruf: 20.10.2025).}

_{[2] BfDI, 23. Tätigkeitsbericht, 2023, S. 40.}

_{[3] Synergy Research Group, Cloud Market Jumped to $330 billion in 2024 – GenAI is Now Driving Half of the Growth, 06.02.2025, abrufbar unter: https://www.srgresearch.com/articles/cloud-market-jumped-to-330-billion-in-2024-genai-is-now-driving-half-of-the-growth (letzter Abruf: 20.10.2025).}

_{[4] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 24.}

_{[5] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 4, S. 8; vgl. auch: Mell/Grance, The NIST Definition of Cloud Computing, Nationale Institute of Standards and Technology, 2011, S. 2.}

_{[6] Missling, Beck’sches Formularbuch IT-Recht, 6. Aufl., 2025, Kap. C.9 Rn. 2}

_{[7] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law 2. Aufl., 2021, Kap. 1 S. 4 f.; Missling, Beck’sches Formularbuch IT-Recht, 6. Aufl., 2025, Kap. C.9 Rn. 2; Art. 6 Nr. 30 Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14.12.2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 („NIS-2-Richtlinie“) (Abl. L 333 vom 27.12.2022, S. 80).}

_{[8] Missling, Beck’sches Formularbuch IT-Recht, 6. Aufl., 2025, Kap. C.9 Rn. 2.}

_{[9] ErwG 33 S. 9 NIS-2-Richtlinie}

_{[10] Haas, Datenrecht in der Digitalisierung, 2019, § 5.5 Rn. 7.}

_{[11] Leupold/Wiebe/Glossner/Hartung, IT-Recht, 4. Aufl., 2021, Teil 11.4.2 Rn. 20; vgl.: Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 4.}

_{[12] Haas, Datenrecht in der Digitalisierung, 2019, § 5.5 Rn. 10.}

_{[13] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law 2. Aufl., 2021, Kap. 1 S. 4.}

_{[14] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law 2. Aufl., 2021, Kap. 1 S. 4.}

_{[15] Haas, Datenrecht in der Digitalisierung, 2019, § 5.5 Rn. 10.}

_{[16] Hierzu Hilber/Weiss, Cloud Computing, 2014, Teil 1 A Rn. 6.}

_{[17] Vgl. Leupold/Wiebe/Glossner/Hartung, IT-Recht, 4. Aufl., 2021, Teil 11.4.2 Rn. 20.}

_{[18] Bei der dritten Person kann es sich z.B. um einen Kunden oder Mitarbeiter des Nutzers handeln (vgl. Hessel/Schneider, ZD 2024, 620 (621); Kühling/ Buchner/Klar, DS‑GVO/BDSG, 4. Aufl., 2024, Art. 3 Rn. 89).}

_{[19] Vgl. Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 6 f.}

_{[20] ErwG 32 S. 3 NIS-2-Richtlinie; Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 6; Mell/Grance, The NIST Definition of Cloud Computing, Nationale Institute of Standards and Technology, 2011, S. 2 f.}

_{[21] Johan Den Haan, The cloud landscape described, categorized, and compared, The Enterprise Architect, 12.10.2013, abrufbar unter: https://eavoices.com/2013/10/12/the-cloud-landscape-described-categorized-and-compared/ (letzter Abruf: 20.10.2025).}

_{[22] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 6.}

_{[23] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 6; Förster MMR 2025, 19 (19).}

_{[24] Förster MMR 2025, 19 (19).}

_{[25] Bräutigam/Thalhofer, IT-Outsourcing und Cloud-Computing, 4. Aufl., 2019, Teil 14 Rn. 12; Völker/Schnatz/Breyer, MMR 2022, 427 (428).}

_{[26] Kohm/Schreiber, Praxishandbuch Softwarerecht, 8. Aufl., 2024, Teil 3, §  9 Rn. 17.}

_{[27] Kohm/Schreiber, Praxishandbuch Softwarerecht, 8. Aufl., 2024, Teil 3, §  9 Rn. 18.}

_{[28] Bräutigam/Thalhofer, IT-Outsourcing und Cloud-Computing, 4. Aufl., 2019, Teil 14 Rn. 13; Förster, MMR 2025, 19 (19).}

_{[29] Mell/Grance, The NIST Definition of Cloud Computing, Nationale Institute of Standards and Technology, 2011, S. 3; Kohm/Schreiber, Praxishandbuch Softwarerecht, 8. Aufl., 2024, Teil 3, § 9 Rn. 18.}

_{[30] Bräutigam/Thalhofer, IT-Outsourcing und Cloud-Computing, 4. Aufl., 2019, Teil 14 Rn. 13.}

_{[31] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 6.}

_{[32] Millard/Kuan Hon/Milard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 1 S. 6; Förster MMR 2025, 19 (20).}

_{[33] Kohm/Schreiber, Praxishandbuch Softwarerecht, 8. Aufl., 2024, Teil 3, §  9 Rn. 19; Völker/Schnatz/Breyer, MMR 2022, 427 (428).}

_{[34] Bräutigam/Thalhofer, IT-Outsourcing und Cloud-Computing, 4. Aufl., 2019, Teil 14 Rn. 14.}

_{[35] Kohm/Schreiber, Praxishandbuch Softwarerecht, 8. Aufl., 2024, Teil 3, §  9 Rn. 19; Borges/Meents/Krcma, Cloud Computing, 2016, Kap. 1, § 2 Rn. 34.}

_{[36] Angerissen bereits unter I}

_{[37] Vgl. Kühling/Buchner/Klar, DS‑GVO/BDSG, 4. Aufl., 2024, Art. 3 Rn. 89 f.; Jotzo, Der Schutz personenbezogener Daten in der Cloud, 2. Aufl., 2020, Teil 5 Rn. 241}

_{[38] Vgl. Conrad/Licht/Strittmatter, Handbuch IT- und Datenschutzrecht, 3. Aufl., 2019, §  22 Rn.  17; Steidle, in: Datenschutz im Internet, 2. Aufl., 2025, Teil 5 Rn. 66 f}

_{[39] Jotzo, Der Schutz personenbezogener Daten in der Cloud, 2. Aufl., 2020, Teil 5 Rn. 271.}

_{[40] Vgl. Microsoft, Microsoft Datenschutzbestimmungen – Weitere wichtige Informationen zum Datenschutz – Wo wir personenbezogene Daten speichern und verarbeiten, abrufbar unter: https://www.microsoft.com/de-de/privacy/privacystatement#mainwherewestoreandprocessdatamodule (letzter Abruf: 20.10.2025); hierauf hinweisend zudem: Anheier/Nau, ZD 2025, 557 (561).}

_{[41] Vgl. EDSA, Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Art.s 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS‑GVO, Version 2.0, angenommen am 14.02.2023, Rn. 9; Spiecker/Bretthauer, Dokumentation zum Datenschutz, 99. EL, 2025, Teil G 2.4.136, Ziff. 1.1}

_{[42] Vgl. Klose/Momsen, Datenschutzsanktionenrecht, 2023, § 33 Rn. 52}

_{[43] Clarifying Lawful Overseas Use of Data Act or CLOUD Act, Pub. L. No. 115-141, Stat. 2383}

_{[44] Z.B. zur Verfolung schwerer Straftaten (Klose/Momsen, Datenschutzsanktionenrecht, 2023, § 33 Rn. 51).}

_{[45] Anheier/Nau, ZD 2025, 557 (560); Determann/Nebel, CR 2018, 408 (Rn. 6).}

_{[46] Schweizerisches Bundesamt für Justiz, Bericht zum US Cloud Act, 17.09.2021, S. 6 ff.; Roßnagel, MMR 2023, 64 (65).}

_{[47] Weiterhin problematisch sind u.a. das in den USA schwach ausgeprägte Recht auf informationelle Selbstbestimmung und die uneinheitlichen sowie rudimentären Mittel zum Schutz der Privatsphäre gegenüber staatlichen Eingriffen (hierzu: Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 45 Rn. 44 ff; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, S. 8; Schwartz/Peifer, Transatlantic Data Privacy Law, 106 Georgetown Law Journal, 115, 132 (2017)).}

_{[48] Hierzu im Einzelnen: Anheier/Nau, ZD 2025, 557.}

_{[49] Vgl. Wissenschaftliche Dienste des Deutschen Bundestags, US-Datenrecht – Zugriff US-amerikanischer Behörden auf Daten, 2020, S. 4 ff.}

_{[50] Foreign Intelligence Surveillance Act (FISA), 1978, Pub.L. 95–511, Section 702.}

_{[51] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 45 Rn. 64.}

_{[52] EO 12333 v. 04.12.1981, neu gefasst durch EO 13470 v. 30.07.2008.}

_{[53] Steidle, Datenschutz im Internet, 2. Aufl., 2025, Teil 5 Rn. 69.}

_{[54] Denn es gibt weltweit Gesetze, die Behörden den Zugriff auf Kommunikationsdaten erlauben. In Deutschland z.B. im Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Art. 10-Gesetz – G 10) oder im Gesetz über den Bundesnachrichtendienst (BND-Gesetz – BNDG)}

_{[55] Vgl. Roßnagel, MMR 2023, 64 (65)}

_{[56] Vgl. Taeger/Gabel/Gabel, DS‑GVO – BDSG – TTDSG, 4. Aufl., 2022, Art.  45 Rn. 10}

_{[57] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art.  45 Rn. 45; Steidle, Datenschutz im Internet, 2. Aufl., 2025, Kap. V Rn. 68.}

_{[58] EDSA, Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Art.s 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS‑GVO, Version 2.0, angenommen am 14.02.2023, Rn. 9.}

_{[59] EDSA, Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Art.s 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS‑GVO, Version 2.0, angenommen am 14.02.2023, Rn. 16; Simitis/ Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 44 Rn. 10.}

_{[60] EDSA, Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Art.s 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS‑GVO, Version 2.0, angenommen am 14.02.2023, Rn. 24; Datenschutzkonferenz, Beschluss zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten, 31.01.2023, Rn. 1; Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 44 Rn. 10.}

_{[61] Vgl. Spiecker/Bretthauer, Dokumentation zum Datenschutz, 99. EL, 2025, Teil G 2.4.136 Ziff. 1.1.}

_{[62] Glocker, RDi 2023, 465 (Rn. 1).}

_{[63] Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10.07.2023 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates über die Angemessenheit des Schutzniveaus für personenbezogene Daten nach dem Datenschutzrahmen EU-USA (Bekannt gegeben unter dem Aktenzeichen C(2023) 4745) (Abl. L 231 vom 20.09.2023, S. 118).}

_{[64] ErwG 7 und 6 S. 1 Angemessenheitsbeschluss zum Data Privacy Framework.}

_{[65] EO 14086, 87 Fed.Reg. 62283 (Oct 7, 2022)}

_{[66] ErwG 6 S. 2 Angemessenheitsbeschluss zum Data Privacy Framework}

_{[67] Art. 1, ErwG 9 ff. Angemessenheitsbeschluss zum Data Privacy Framework.}

_{[68] Glocker, RDi 2023, 465 (Rn.  4); Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 45 Rn. 47}

_{[69] ErwG 9 und Annex I, 1.2 S. 1 Angemessenheitsbeschluss zum Data Privacy Framework; Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 45 Rn. 47.}

_{[70] Siehe: Department of Commerce International Trade Administration Data Privacy Framework Program Data Privacy Framework List, abrufbar unter: https://www.dataprivacyframework.gov/s/participant-search (letzter Abruf: 20.10.2025).}

_{[71] ErwG 47 Angemessenheitsbeschluss zum Data Privacy Framework.}

_{[72] Vgl. Glocker, RDi 2023, 465 (Rn. 8).}

_{[73] V.d. Plath/Bussche/Raguse, DS‑GVO/BDSG/TTDSG, 4. Aufl., 2023, Art.  44 Rn. 2}

_{[74] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 44 Rn.  4; v.d. Plath/Bussche/Raguse, DS‑GVO/BDSG/TTDSG, 4. Aufl., 2023, Art. 44 Rn. 2; vgl. auch Art. 44 S. 2 und ErwG 101 S. 3.}

_{[75] ErwG 101 S. 1.}

_{[76] EuGH, Urt. v. 06.10.2015 – C-362/14 – ECLI:EU:C:2015:650, NJW 2015, 3151 – Schrems I.}

_{[77] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559, ZD 2020, 511 – Schrems II.}

_{[78] Entscheidung der Kommission vom 26.07.2000 gemäß der Richtlinie 95/46/ EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (bekannt gegeben unter Aktenzeichen K(2000) 2441) (Abl. L 215 vom 25.08.2000, S. 7)}

_{[79] Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12.07.2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates übe die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (bekannt gegeben unter Aktenzeichen C(2016) 4176) (Text von Bedeutung für den EWR) (Abl. L 207 vom 01.08.2016, S. 1).}

_{[80] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559, ZD 2020, 511 (Rn. 94) – Schrems II; EuGH, Urt. v. 06.10.2015 – C-362/14 – ECLI:EU:C:2015:650, NJW 2015, 3151 (Rn. 73) – Schrems I.}

_{[81] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559, ZD 2020, 511 (Rn. 94) – Schrems II; EuGH, Urt. v. 06.10.2015 – C-362/14 – ECLI:EU:C:2015:650, NJW 2015, 3151 (Rn. 73) – Schrems I.}

_{[82] ErwG 104 S. 4 DS‑GVO.}

_{[83] ErwG 104 S. 4 DS‑GVO}

_{[84] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559, ZD 2020, 511 (Rn. 183 ff.) – Schrems II.}

_{[85] EuGH, Urt. v. 16.07.2020 – C-311/18 – ECLI:EU:C:2020:559, ZD 2020, 511 (Rn. 183 ff.) – Schrems II}

_{[86] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 45 Rn. 68.}

_{[87] EDSA, Stellungnahme 5/2023 zum Entwurf eines Durchführungsbeschlusses der Europäischen Kommission über die Angemessenheit des Schutzes personenbezogener Daten im Rahmen des Datenschutzrahmens EU-USA, angenommen am 28.02.2023, Rn. 125 ff.; Hessel NJW 2023, 2969 (Rn. 7).}

_{[88] So auch Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 45 Rn. 68.}

_{[89] Spiecker/Papakonstantinou/Hornung/De Hert/Schantz, General Data Protection Regulation, 2023, Art. 45 Rn. 45.}

_{[90] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art.  45 Rn. 68.}

_{[91] Glocker, ZD 2023, 189 (192); vgl. EDSA, Stellungnahme 5/2023 zum Entwurf eines Durchführungsbeschlusses der Europäischen Kommission über die Angemessenheit des Schutzes personenbezogener Daten im Rahmen des Datenschutzrahmens EU-USA, angenommen am 28.02.2023, Rn. 240.}

_{[92] Hessel, NJW 2023, 2969 (Rn. 6).}

_{[93] So z.B.: Spiegel Online, Wichtiger Deal mit den USA auf der Kippe – deutsche Industrie sorgt sich um Datensicherheit, 31.03.2025, abrufbar unter: https://www.spiegel.de/wirtschaft/unternehmen/donald-trump-deutsche-industrie-sorgt-sich-wegen-us-praesident-um-datensicherheit-a136f70c5-0248-47a6-b8a6-11f4f0a322e3 (letzter Abruf: 20.10.2025).}

_{[94] Vgl. Sörup/Parvez, ZD 2021, 291 (292) in Bezug auf das Microsoft Office-Paket.}

_{[95] Simitis/Hornung/Spiecker/Schantz, Datenschutzrecht, 2. Aufl., 2025, Art. 44 Rn. 5.}

_{[96] Vgl. Bull, PinG 2016, 1 (2).}

_{[97] Dies hervorhebend: ErwG 1 DS‑GVO.}

_{[98] S. 2 der Präambel der GrCh.}

_{[99] Vgl. auch Schröder, Datenschutzrecht für die Praxis, 5. Aufl., 2023, S. 228.}

_{[100]  Zutreffend: Roßnagel, MMR 2023, 64 (68).}

_{[101] Neuerer, Handelsblatt, Trump bedroht wichtigen Daten-Deal – Wirtschaft schlägt Alarm, 31.03.2025, abrufbar unter: https://www.handelsblatt.com/politik/deutschland/trump-bedroht-wichtigen-daten-deal-wirtschaft-fuerchtet-verheerende-folgen/100114166.html (letzter Abruf: 20.10.2025).}

_{[102] Auf die Gefahr der Abhängigkeit von einzelnen Cloud-Anbietern hinweisend: Missling, Beck’sches Formularbuch IT-Recht, 6. Aufl., 2025, Kap. C.9 Rn.  12; Millard/Kuan Hon/Millard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 2 S. 43.}

_{[103] Hierzu unter I.}

_{[104] Vgl. Millard/Kuan Hon/Millard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 2 S. 43; Pommerening/Nickel, RDi 2024, 289 (Rn. 21).}

_{[105] Conrad/Licht, Handbuch IT-und Datenschutzrecht, 3. Aufl., 2019, § 39 Rn. 475}

_{[106] Vgl. Millard/Kuan Hon/Millard/Singh, Cloud Computing Law, 2. Aufl., 2021, Kap. 2 S. 43.}

_{[107] Vgl. auch ErwG 81 S. 2 Data Act; Schreiber/Pommerening/Schoel, Der neue Data Act, 2. Aufl., 2024, Teil 2, § 6 Rn. 25.}

_{[108] Siehe auch ErwG 88 S. 4, ErwG 89 S. 4, ErwG 90 S. 1 und ErwG 94 S. 3; zudem: Sattler CR 2024, 213 (Rn. 2); Schreiber/Pommerening/Schoel, Der neue Data Act, 2. Aufl., 2024, Teil 2, § 6 Rn. 2.}

_{[109] Bomhard, MMR 2024, 109 (109)}

_{[110] In diese Richtung wohl auch: Falkhofen, EuZW 2021, 787 (791).}

_{[111] Vgl. auch Roßnagel, MMR 2023, 64 (67).}

_{[112] Hartl, Praxishandbuch Softwarerecht, 8. Aufl., 2024, Teil 4, § 13 Rn. 284 f.}

_{[113] Schmidt-Wudy, BeckOK Datenschutzrecht, 53. Edition, 2025, Art.  29 DA Rn. 16; Pommerening/Nickel, RDi 2024, 289 (Rn. 29).}

_{[114] Pommerening/Nickel, RDi 2024, 289 (Rn. 37).}

_{[115] Bomhard, MMR 2024, 109 (111).}

_{[116] Vgl. Lagoni, CR 2024, 91 (Rn. 2).}

_{[117] Siara, MMR 2024, 935 (935).}

_{[118] Bomhard, MMR 2024, 109 (110)}

_{[119] Z.B. Art. 7 Abs. 1 Data Act in Bezug auf die Pflichten zur Datenweitergabe.}

_{[120] Vgl. Pommerening/Nickel, RDi 2024, 289 (Rn. 14)}

_{[121] Rammos/Wilken, DB 2022, 1241 (1245); Bomhard/Merkle, RDi 2022, 168 (Rn. 56).}

_{[122] Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht personenbezogener Daten in der Europäischen Union (Abl. L 303 vom 28.11.2018, S. 59); hierzu insbes. Art. 6 Abs. 1 lit. a).}

_{[123] Pommerening/Nickel, RDi 2024, 289 (Rn. 3).}

_{[124] ErwG 79 S. 2 Data Act}

_{[125] Specht/Hennemann/Linardatos, Data Act/Data Governance Act, 2. Aufl., 2025, Art. 23 Rn. 6 f.}

_{[126] Teilweise wird aber schon jetzt erwartet, dass marktstarke Anbieter wie AWS, Microsoft und Google in Anbetracht der hohen gesetzlichen Anforderungen, die gerade Klein- und Kleinstunternehmen besonders treffen können, ihre Marktmacht eher festigen können (Linardatos, Specht/Hennemann, Data Act/Data Governance Act, 2. Aufl., 2025, Art. 23 Rn. 50)}

_{[127] Ähnlich: Falkhofen, EuZW 2021, 787 (788)}

_{[128] Siglmüller/Zdanowiecki, RDi 2025, 504 (Rn. 1).}

_{[129] Der Ministerpräsident – Staatskanzlei, Schleswig-Holstein, Mailsystem der Landesverwaltung komplett auf Open Source umgestellt: ein Meilenstein für digitale Souveränität in Schleswig-Holstein, abrufbar unter: https://www.schleswig-holstein.de/DE/landesregierung/ministerienbehoerden/I/Presse/PI/2025/cds/251006_cds_ox (letzter Abruf: 20.10.2025).}