Was passiert mit Cloud-Daten, wenn ein Unternehmen insolvent wird? Zwischen § 103 InsO, DSGVO und dem EU Data Act ergeben sich komplexe Fragen zur Datensicherung, zum Vendor Lock-in und zu vertraglichen Exit-Strategien.
Wenn die Cloud zum Problem wird
Digitalisierung ist kein Selbstzweck – aber sie schafft Abhängigkeiten, die in der Krise existenzbedrohend werden können. Immer mehr Unternehmen lagern ihre geschäftskritischen Daten und Prozesse in die Cloud aus: ERP-Systeme, Buchhaltung, Kundendatenbanken, Kommunikation. Solange alles läuft, ist das effizient und kostenoptimal. Doch was passiert, wenn eines der beiden Vertragspartner – das nutzende Unternehmen oder der Cloud-Anbieter – in die Insolvenz gerät?
Die Praxis zeigt: Cloud-Verträge werden in der Insolvenz häufig zum Brennpunkt. Daten sind nicht greifbar, vertragliche Regelungen oft lückenhaft, und die insolvenzrechtlichen Instrumente passen nicht nahtlos auf digitale Geschäftsmodelle. Dieser Beitrag beleuchtet die wichtigsten Rechtsfragen und gibt praktische Hinweise für eine vorausschauende Vertragsgestaltung.
Das Wahlrecht des Insolvenzverwalters: § 103 InsO
Die zentrale Norm für gegenseitige Verträge in der Insolvenz ist § 103 InsO. Danach kann der Insolvenzverwalter bei Verträgen, die zum Zeitpunkt der Verfahrenseröffnung von keiner Seite vollständig erfüllt sind, wählen: Erfüllung verlangen oder die Erfüllung ablehnen.
Für Cloud-Verträge bedeutet das konkret:
- Insolvenz des Cloud-Nutzers: Der Insolvenzverwalter des nutzenden Unternehmens kann entscheiden, ob der Cloud-Vertrag weitergeführt oder beendet wird. Wählt er die Nichterfüllung, hat der Cloud-Anbieter nur einen Schadensersatzanspruch als Insolvenzgläubiger – in der Praxis also eine Quote, die häufig im einstelligen Prozentbereich liegt.
- Insolvenz des Cloud-Anbieters: Hier wird es besonders heikel. Lehnt der Insolvenzverwalter des Anbieters die Erfüllung ab, verliert das nutzende Unternehmen den Zugang zu seinen Daten und Anwendungen.
Ist ein Cloud-Vertrag ein Miet- oder Dienstvertrag?
Die rechtliche Einordnung ist entscheidend, denn § 108 InsO ordnet an, dass bestimmte Dauerschuldverhältnisse – insbesondere Miet- und Pachtverträge – mit Wirkung für die Insolvenzmasse fortbestehen. Die herrschende Meinung tendiert bei SaaS-Verträgen zur Einordnung als mietähnliches Dauerschuldverhältnis, was für den Cloud-Nutzer günstig wäre: Der Vertrag bestünde zunächst fort.
Allerdings ist die Rechtslage nicht abschließend geklärt. Bei Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) können andere Bewertungen gelten. Eine pauschale Antwort verbietet sich.
Datenzugang und Herausgabeansprüche
Das Aussonderungsrecht nach § 47 InsO
Wer ein dingliches oder persönliches Recht an einem Gegenstand geltend machen kann, der nicht zur Insolvenzmasse gehört, ist nach § 47 InsO zur Aussonderung berechtigt. Doch: Sind Daten „Gegenstände" im Sinne dieser Norm?
Die Antwort ist juristisch umstritten. Das deutsche Sachenrecht kennt kein „Eigentum an Daten" im klassischen Sinne. Gleichwohl wird zunehmend anerkannt, dass der Cloud-Nutzer zumindest einen vertraglichen Herausgabeanspruch für seine Daten hat. Dieser muss jedoch vertraglich klar geregelt sein – andernfalls droht ein zähes Ringen mit dem Insolvenzverwalter.
Die Haufe-Fachliteratur weist zutreffend darauf hin, dass die Insolvenz des Cloud-Anbieters zu den gravierendsten Risiken im Cloud Computing gehört, da der Insolvenzverwalter nicht ohne Weiteres zur Datenherausgabe verpflichtet ist.
Praktische Herausforderungen
Selbst wenn ein Herausgabeanspruch besteht, stellen sich praktische Fragen:
- In welchem Format werden die Daten herausgegeben?
- Wer trägt die Kosten der Datenmigration?
- Wie lange bleiben die Daten nach Vertragsende verfügbar?
- Sind die Daten vollständig und konsistent exportierbar?
Diese Fragen werden in der Krise selten einvernehmlich gelöst, wenn sie nicht vorab vertraglich geregelt wurden.
Vendor Lock-in: Die unterschätzte Gefahr
Vendor Lock-in bezeichnet die technische und wirtschaftliche Abhängigkeit von einem bestimmten Cloud-Anbieter. Proprietäre Datenformate, anbietersspezifische APIs und fehlende Exportmöglichkeiten machen einen Anbieterwechsel aufwendig bis unmöglich.
In der Krise wird Vendor Lock-in zur existenziellen Bedrohung: Wenn der Insolvenzverwalter den Vertrag nicht fortführt und ein schneller Anbieterwechsel technisch nicht möglich ist, steht das Unternehmen ohne funktionierende IT-Infrastruktur da.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Kriterienkatalog C5 Anforderungen formuliert, die auch die Portabilität und Interoperabilität von Cloud-Diensten adressieren. Ab Juli 2025 wird die C5-Testierung für viele Cloud-Dienste zur Pflicht.
Der EU Data Act: Neue Regeln für Cloud-Portabilität
Mit der Verordnung (EU) 2023/2854 – dem sogenannten Data Act – hat die Europäische Union erstmals verbindliche Regeln für den Wechsel von Cloud-Anbietern geschaffen. Seit dem 12. September 2025 gelten unter anderem folgende Vorgaben:
- Kündigungsfrist: Cloud-Kunden können mit einer Frist von zwei Monaten kündigen und einen Wechsel einleiten.
- Übergangszeitraum: Der Cloud-Anbieter muss den Wechsel innerhalb von 30 Tagen ermöglichen. Nur bei technischer Unmöglichkeit kann die Frist auf maximal sieben Monate verlängert werden.
- Gebührenfreiheit: Ab Januar 2027 dürfen für den Wechsel grundsätzlich keine Gebühren mehr erhoben werden.
Diese Regelungen stärken die Position des Cloud-Nutzers erheblich – auch und gerade in der Krise. Allerdings gelten sie primär für den regulären Anbieterwechsel. Ob und wie sie im Insolvenzfall des Anbieters durchsetzbar sind, ist noch nicht abschließend geklärt.
DSGVO-Implikationen: Art. 28 und die Auftragsverarbeitung
Cloud Computing ist regelmäßig Auftragsverarbeitung im Sinne des Art. 28 DSGVO. Der Cloud-Anbieter verarbeitet personenbezogene Daten im Auftrag des nutzenden Unternehmens. Daraus ergeben sich spezifische Pflichten:
- Auftragsverarbeitungsvertrag (AVV): Es muss ein schriftlicher Vertrag vorliegen, der die Datenverarbeitung regelt.
- Weisungsgebundenheit: Der Cloud-Anbieter darf Daten nur nach Weisung des Auftraggebers verarbeiten.
- Löschpflicht: Nach Vertragsende müssen personenbezogene Daten gelöscht oder zurückgegeben werden.
In der Insolvenz des Cloud-Anbieters geraten diese Pflichten in Konflikt mit den Befugnissen des Insolvenzverwalters. Der Insolvenzverwalter ist grundsätzlich nicht an die Weisungen des Auftraggebers gebunden, sondern handelt im Interesse der Gläubigergesamtheit. Ein datenschutzrechtliches Chaos droht, wenn diese Konstellation nicht vorab bedacht wurde.
Escrow und Exit-Strategien: Vorsorge ist Pflicht
Die beste Krisenprävention ist eine durchdachte Exit-Strategie im Cloud-Vertrag. Folgende Elemente sollten zwingend enthalten sein:
1. Daten-Escrow
Ähnlich wie beim Software-Escrow können Daten regelmäßig bei einem unabhängigen Treuhänder hinterlegt werden. Im Insolvenzfall hat der Cloud-Nutzer dann direkten Zugriff auf eine aktuelle Datensicherung.
2. Vertragsklauseln zur Datenherausgabe
- Herausgabefristen: Konkrete Fristen für die Datenherausgabe nach Vertragsende (z. B. 30 Tage)
- Standardformate: Festlegung offener, gängiger Datenformate (CSV, JSON, XML, SQL-Dumps)
- Vollständigkeitsgarantie: Zusicherung, dass alle Daten einschließlich Metadaten exportierbar sind
3. Insolvenzfeste Gestaltung
- Sonderkündigungsrecht bei Insolvenzantrag des Cloud-Anbieters
- Fortführungsvereinbarung: Verpflichtung des Cloud-Anbieters, den Betrieb für eine Übergangszeit aufrechtzuerhalten
- Step-in-Rechte: Möglichkeit, den Betrieb durch einen Dritten fortführen zu lassen
4. Regelmäßige Datensicherung
Unabhängig von vertraglichen Regelungen sollte jedes Unternehmen regelmäßig lokale Backups seiner Cloud-Daten erstellen. Das klingt banal, wird aber erschreckend oft vernachlässigt.
Checkliste: Cloud-Verträge krisenfest gestalten
Für Geschäftsführer und IT-Verantwortliche empfiehlt sich folgende Prüfung bestehender Cloud-Verträge:
- Rechtliche Einordnung: Ist der Vertrag als Miet-, Dienst- oder Werkvertrag einzuordnen?
- Datenherausgabe: Sind klare Regelungen zur Datenrückgabe enthalten?
- Formate: Sind offene, portable Datenformate vereinbart?
- Escrow: Ist eine treuhänderische Datensicherung vereinbart?
- Insolvenzklauseln: Gibt es Regelungen für den Insolvenzfall des Anbieters?
- DSGVO-Konformität: Ist ein ordnungsgemäßer AVV vorhanden?
- Backup-Strategie: Werden regelmäßig eigene Datensicherungen erstellt?
- Multi-Cloud: Ist die IT-Architektur auf einen einzigen Anbieter angewiesen?
Fazit: Digitale Abhängigkeit erfordert rechtliche Absicherung
Die Cloud ist aus dem modernen Geschäftsleben nicht mehr wegzudenken. Doch die digitale Transformation darf nicht dazu führen, dass Unternehmen ihre geschäftskritischen Daten ohne rechtliche Absicherung aus der Hand geben. Die Insolvenz eines Cloud-Anbieters oder des eigenen Unternehmens kann jederzeit eintreten – und dann müssen die vertraglichen Grundlagen stimmen.
Das Zusammenspiel von Insolvenzrecht (§§ 103, 108 InsO), Datenschutzrecht (Art. 28 DSGVO) und den neuen Regelungen des EU Data Act schafft ein komplexes Regelungsgeflecht, das bei der Vertragsgestaltung von Anfang an berücksichtigt werden muss.
Bei compleneo unterstützen wir Sie bei der insolvenzfesten Gestaltung von Cloud-Verträgen und der Entwicklung von Exit-Strategien für Ihre IT-Infrastruktur. Sprechen Sie uns an.
