Der Data Act reguliert das Cloud Switching – und beeinflusst das Verhältnis von Kunden und Cloud-Anbietern
Veröffentlicht am 4th Jul 2024
Am 11. Januar ist der Data Act in Kraft getreten. Neben Regelungen zu Zugang und Nutzung von Daten enthält der Data Act – etwas versteckt – auch komplexe Regelungen zum Wechsel von Cloud-Providern, die ebenso massive Auswirkungen für Provider wie für Kunden von Cloud-Diensten haben können.
Als Teil der europäischen Datenstrategie zielt der Data Act auf das Aufbrechen sog. Datensilos, die Verbesserung der Interoperabilität von Software und allgemein der Datennutzung. Die neuen Regeln sollen es ermöglichen, das Potential datengesteuerter Geschäftsmodelle voll auszuschöpfen, um so Innovation innerhalb der EU zu fördern. Ab dem 12. September 2025 findet der Data Act unmittelbare Anwendung innerhalb der EU.
Kapitel VI des Data Acts (Art. 23 bis 31) sieht Regelungen für Vertragsverhältnisse zwischen sog. Datenverarbeitungsdiensten (also vor allem Anbieter von Cloud-Diensten) und deren Kunden vor. Hierdurch soll u.a. der Wechsel zwischen Datenverarbeitungsdiensten erleichtert werden wodurch so ein sog. „Vendor Lock-In“ von Kunden verhindert werden soll. Aber welchen Anpassungsbedarf beinhalten diese Regelungen nun konkret für Cloud-Anbieter und wie ist nach Ansicht des Gesetzgebers den Kunden von Cloud-Diensten dadurch geholfen?
Worum geht es beim Cloud Switching?
Der Data Act verpflichtet Anbieter von Cloud-Diensten dazu, diese so anzubieten, dass ein Wechsel der Kunden zu einem anderen Cloud-Anbieter oder ein Wechsel zu einer sog. „On-Premise“-Lösung jederzeit und unproblematisch möglich ist. Dies soll durch zahlreiche Regelungen, die die vertragliche Ausgestaltung von Cloud-Verträgen betreffen, erreicht werden. So sollen z.B. Kündigungs- und Wechselfristen, Vergütungsregelungen sowie Beendigungs-Unterstützungspflichten ab dem 12. September 2025 kundenfreundlicher ausgestaltet sein.
Zentrale Pflichten
Art. 23 Data Act ist die zentrale Norm und Ausgangspunkt für die Verpflichtungen von Anbietern von sog. Datenverarbeitungsdiensten. Diese müssen umfangreiche Maßnahmen ergreifen, um Hindernisse bei einem Wechsel des Kunden zu einem anderen Anbieter oder auch in eine unternehmensinterne IT-Infrastruktur („On-Premise“) zu beseitigen. Gleichzeitig soll auch die Nutzung mehrerer Datenverarbeitungsdienste im Parallelbetrieb über eine einheitliche Nutzeroberfläche gewährleistet werden (die sogenannte Interoperabilität von Datenverarbeitungsdiensten, siehe Art. 23 i. V. m. Art. 31 Data Act).
Diese Vorschriften schaffen Mindestverpflichtungen für Cloud-Anbieter, um kommerzielle, gewerbliche, technische, vertragliche und organisatorische Hindernisse auszuräumen, die den Vollzug des Wechsels zwischen Cloud-Anbietern verhindern. Hier hatte der Gesetzgeber die vereinzelt hohen Wechselkosten und technisch-faktischen Wechselhindernisse auf Anbieterseite im Blick, die Nutzer von Cloud-Diensten daran hindern könnten, einen (kommerziell grundsätzlich sinnvollen) Wechsel tatsächlich vorzunehmen.
Datenverarbeitungsdienste als Adressaten
Der Data Act verpflichtet sog. „Datenverarbeitungsdienste“. Dabei handelt es sich laut der Definition aus Art. 2 Nr. 8 Data Act um Anbieter
„einer digitalen Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können“.
Erwägungsgrund 81 Data Act fasst darunter insbesondere Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), aber auch „Storage-as-a-Service“ und „Database-as-a-Service“. Datenverarbeitungsdienste im Sinne des Data Acts sind sowohl der ursprüngliche Anbieter, mit dem ein Kunde ein bestehendes Vertragsverhältnis hat, als auch der übernehmende Anbieter, zu dem ein Kunde wechseln möchte.
Bereichsausnahmen für Individuallösungen
Art. 31 Data Act macht Bereichsausnahmen von den hier genannten Pflichten. So sind etwa Verarbeitungsdienste, bei denen die meisten zentralen Funktionen kundenspezifisch zugeschnitten wurden (Art. 31 Abs. 1 Var. 1 Data Act), Individualsoftware (Art. 31 Abs. 1 Var. 2 Data Act) sowie für zeitweise für Test- oder Bewertungszwecke überlassene Software (Art. 31 Abs. 2 Data Act) vom Anwendungsbereich ausgeschlossen. Die Vorschriften der Art. 23 ff. Data Act finden aufgrund der Bereichsausnahmen grundsätzlich nur Anwendung auf sog. „One-To-Many“-Lösungen, deren genaue Definition und Abgrenzung jedoch im Einzelnen schwierig sein kann.
Denkbar ist etwa der Fall, dass eine SaaS-Lösung gegebenenfalls durch eine kundenspezifische Implementierung der zur Verfügung gestellten Software aus dem Anwendungsbereich fallen könnte. In der Praxis könnte sich hieraus die folgende Schwierigkeit ergeben: Der Anbieter muss den Nutzer nämlich bereits vor Vertragsschluss über eine derartige bestehende Bereichsausnahme informieren (siehe Art. 31 Abs. 3 Data Act). Wenn der Scope der vorzunehmenden Implementierung aber – wie dies typischerweise der Fall ist – vor Vertragsschluss noch gar nicht feststeht, ist eine rechtssichere Aussage hierzu kaum möglich sein.
Die Wechselvorschriften des Art. 23 Data Act finden zudem nur dann Anwendung, wenn die „gleiche Dienstart“ bei Erst- und Ziel – bzw. Wechselanbieter vorliegt. Dies bedeutet gemäß der Definition in Art. 2 Nr. 9 Data Act, dass der Datenverarbeitungsdienst „dasselbe Hauptziel“, „dieselben Hauptfunktionen“ sowie dasselbe Dienstmodell für die Datenverarbeitung kumulativ aufweisen muss.
Weitere Pflichten nach Art. 23 Data Act
Die in Art. 23 Data Act genannten Pflichten gelten auch, wenn der Nutzer nur einen bestimmten Dienst aus einem größeren Vertrag herauslöst und zu einem anderen Anbieter verlegen möchte.
Anbieter von IaaS-Datenverarbeitungsdiensten (gemeint ist der ursprüngliche Anbieter) sind zudem verpflichtet, „alle ihm zumutbaren zur Verfügung stehenden Maßnahmen“ zu ergreifen, um zu ermöglichen, dass nach dem Wechsel des Kunden zu einem neuen Diensteanbieter der gleichen Dienstart bei der Nutzung durch den Kunden Funktionsäquivalenz erreicht wird. Nach Art. 30 Abs. 1 Data Act bedeutet dies konkret, dass der ursprüngliche Anbieter angemessene Informationen, die technische Dokumentation, aber auch technische Unterstützung sowie Kapazitäten und gegebenenfalls die erforderlichen Instrumente zur Verfügung stellen muss.
Sonstige Anbieter von PaaS oder SaaS müssen zukünftig sowohl ihren Kunden als auch den neuen Anbietern, zu denen ein Kunde wechseln möchte, unentgeltlich eine offene Schnittstelle auf die betriebenen Dienste zur Verfügung stellen. Diese Schnittstelle wird gefordert, „um den Wechsel zu ermöglichen”. Um dem Kunden und dem neuen Anbieter die Implementierung der Schnittstelle zu ermöglichen, muss der bisherige PaaS-/SaaS-Anbieter zudem die hierfür notwendige Dokumentation bereitstellen.
Für sämtliche erfasste Dienstanbieter wird sich noch zeigen müssen, ob in Ausnahmefällen auch ein Tätigwerden auch noch nach dem vollzogenen Anbieterwechsel geschuldet ist. Der Gesetzestext schließt dies zumindest nicht aus, stellt jedoch auch keine Pflicht auf, den Erfolg der Funktionsäquivalenz herbeizuführen, sondern sieht lediglich die „Ermöglichung“ geschuldet. Jedenfalls wäre ein solches Tätigwerden nach vollzogenem Wechsel nicht mehr von den schrittweise auf null zu reduzierenden Wechselentgelten erfasst, sodass hierfür wohl auch in Zukunft Gebühren erhoben werden dürften.
Diese Pflichten haben jedoch auch Grenzen: Anbieter von Datenverarbeitungsdiensten sind nicht verpflichtet, ihr geistiges Eigentum oder Geschäftsgeheimnisse gegenüber einem Kunden oder einem anderen Anbieter offenzulegen oder gar neue Technologien oder Dienste zu entwickeln.
Art. 25 Data Act: konkrete vertragliche Regelungen sind nun verpflichtend aufzunehmen
Art. 25 Data Act regelt, welche konkreten Regelungen ein Vertrag als Mindestinhalt enthalten muss und konkretisiert damit die in Art. 23 Data Act genannten Pflichten (s.o.). Zunächst müssen die Rechte und Pflichten des Kunden sowie die Pflichten des Anbieters in Bezug auf den Anbieterwechsel in einem schriftlichen Vertrag festgehalten werden (Art. 25 Abs. 1 Satz 1 Data Act).
Wechselrecht und Kontinuität des Geschäftsbetriebs
Der Vertrag muss Klauseln enthalten, nach denen der Kunde die Möglichkeit hat, zu einem anderen Datenverarbeitungsdienst zu wechseln (Art. 25 Abs. 2 lit. a Data Act). Neben der Möglichkeit des Wechsels hat der Datenverarbeitungsanbieter dafür Sorge zu tragen, dass der Geschäftsbetriebs bei einem Wechsel aufrechtgehalten wird (Art. 25 Abs. 2 lit. a (ii) Data Act), d. h. dass Wechsel- und Datenextraktionsbegehren des Kunden muss erfüllt werden und darf nicht zu Unterbrechungen führen. Sollte es doch zu Unterbrechungen kommen, bestehen insoweit Unterrichtungspflichten (Art. 25 Abs. 2 lit. a (iii) Data Act).
Kündigungsfrist
Ausdrücklich legt Art. 25 Abs. 2 lit. d Data Act auch eine Kündigungsfrist des Nutzers von maximal zwei (2) Monaten für einen solchen Anbieterwechsel fest. Diese Kündigungsfrist bzw. Vorlauffrist beginnt, indem der Nutzer den Anbieter über sein Wechselbegehren informiert. Während bei Clouddiensten die ordentliche Kündigungsfrist in vielen Fällen ausgeschlossen ist, ist dies eine erhebliche Stärkung der Rechte von Kunden.
Gebühren und Übergangsfrist
Zu beachten ist jedoch, dass weiter die Möglichkeit besteht, Stornierungsgebühren bei einer vorzeitigen Kündigung des Vertrages zu vereinbaren, Art. 29 Abs. 4 Data Act, Erwägungsgrund 89 Data Act. In dem jeweiligen Vertrag muss darüber hinaus auch eine verbindliche Übergangsfrist von maximal dreißig (30) Tagen vorgesehen sein, Art. 25 Abs. 2 lit. a Data Act. Ist die Einhaltung der Übergangsfrist dem Anbieter aus technischen Gründen nicht möglich, ist im Einzelfall eine Verlängerung des Übergangszeitraums auf maximal sieben (7) Monate bei Vorliegen der Voraussetzungen in Art. 25 Abs. 4 Data Act möglich.
Verlängerung und Übergangszeitraum
Dem Kunden muss zudem die Möglichkeit gegeben werden, den Übergangszeitraum einmal für die Dauer zu verlängern, die er für seine Zwecke angemessen hält, Art. 25, Abs. 5 Data Act. Der Vertrag gilt gemäß Art. 25 Abs. 2 lit. c Data Act nach einem erfolgreichen Vollzug des Wechsels als beendet. Die Daten müssen nach Art. 25 Abs. 2 lit. g Data Act für mindestens dreißig (30) Tage – gerechnet ab Beendigung des Übergangszeitraums – weiter abrufbar sein. Darüber hinaus muss der Anbieter eine Garantie dafür übernehmen, dass er nach dem erfolgreich vollzogenen Wechsel die exportierbaren Daten und digitalen Vermögenswerte des Kunden löscht (Art. 25 Abs. 2 lit. h Data Act).
Weiter sind nach Art. 27 Data Act alle Beteiligten verpflichtet, nach den Grundsätzen von Treu und Glauben zu handeln. Darunter fällt z. B., dass die Beteiligten die Daten sicher und fristgemäß übertragen und ein gängiges maschinenlesbares Format verwenden, vgl. Erwägungsgrund 97 Data Act.
Art. 26 Data Act sieht weitere Informationspflichten für Anbieter von Datenverarbeitungsdiensten hinsichtlich der Umsetzung des Wechsels vor und Art. 30 Data Act enthält Pflichten für die technische Umsetzung des Wechsels.
Schließlich sollen Wechselentgelte, d. h. Entgelte, die Anbieter für die Durchführung eines Wechsels erheben, schrittweise bis 2027 abgeschafft werden. Somit tragen in Zukunft die Anbieter von Cloud-Diensten das finanzielle Risiko aufwendiger und technisch komplexer Wechselvorhaben. Diese sollten daher bereits bei der Entwicklung von Cloud-Produkten (noch mehr als bereits Praxis) beachtet werden.
Folgen eines Verstoßes gegen Art. 25 Data Act
Neben einer öffentlich-rechtlichen Durchsetzung durch die Behörden ist auch eine zivilrechtliche Durchsetzung durch die Kunden oder Mitbewerber etwa über das Wettbewerbsrecht oder über die Wirksamkeitskontrolle des AGB-Rechts zu erwarten. Der Verweis auf das Bußgeldregime der DSGVO erfasst explizit nicht die Regeln des Kapitels VI, die dieser Beitrag behandelt. Es bleibt daher abzuwarten, wie die nationalen Gesetzgeber und Aufsichtsbehörden hier vorgehen.
Bei Unwirksamkeit einzelner Klauseln, weil sie gegen den Data Act verstoßen, ist auf das geltende (AGB)-Recht zurückzugreifen. Bei Cloud-Verträgen mit Verbrauchern ist insbesondere zu beachten, dass sich die Pflichten aus dem Data Act mit den Pflichten für Cloud-Anbieter aus der Digitalvertragsrichtlinie (2019/770) sowie der Warenkaufrichtline (2019/771), beide im BGB umgesetzt, überschneiden können.
Aktuelle Handhabung der großen Anbieter
Viele Anforderungen des Data Act gehen weit über die gängige Praxis hinaus. Kunden könnten hier gegebenenfalls prüfen, inwiefern sie in Zukunft flexibler sind. Auch erwarten wir eine Veränderung der Verhandlungspositionen in Beschaffungsverfahren und den damit einhergehenden Vertragsverhandlungen. Cloud-Anbieter sollten ihre AGB bis zum Geltungsbeginn des Data Acts unbedingt überarbeitet haben und sorgfältig prüfen, wo sie tatsächlich in den Anwendungsbereich fallen und wie sie mit den Stellen umgehen, an denen der Data Act unklar formuliert ist und Spielraum bietet.
Daneben birgt für die Cloud-Anbieter auch die technische Umsetzung der Vorgaben aus Art. 25 Abs. 2 Data Act bis zum Geltungsbeginn im September 2025 noch Herausforderungen. Beispielsweise bleibt unklar wie die geforderte „angemessene Unterstützung“ für den Wechsel seitens der Datenverarbeitungsdienste nach Art. 25 Abs. 2 lit. a (i) Data Act technisch umzusetzen ist: Was ist „angemessen“? Welche technischen Leistungen müssen mindestens erbracht werden, damit der Wechsel „angemessen“ unterstützt wird?
Ausblick
Auch wenn aktuell sicherlich noch einige Fragezeichen hinsichtlich der in Art. 23 ff. Data Act festgelegten Pflichten bestehen, sind die Änderungen für die Nutzer und Anbieter von Cloud-Diensten erheblich. Die nun zwingend vorgeschriebene Interoperabilität und die gesetzlich verpflichtende Möglichkeit, einen Datenverarbeitungsdienst zu wechseln, wird die Verhandlungsmacht von Nutzerunternehmen gegenüber den großen Cloud-Anbietern steigern.
Anbieter von Cloud-Diensten werden durch die Umsetzung des Data Acts vor erhebliche Herausforderungen gestellt. Neben den organisatorischen und vertraglichen Anpassungen sind auch weitreichende technische Veränderungen der angebotenen Produkte vorzunehmen. Im Hinblick auf die kurze Umsetzungsfrist, die am 12. September 2025 abläuft, sollten kurzfristig Kapazitäten und Ressourcen für die Umsetzungsprojekte bereitzustellen sein.
Konkrete Timeline:
- Der Data Act wurde am 13. Dezember 2023 verabschiedet und trat am 11. Januar 2024 in Kraft.
- Die in diesem Beitrag behandelten Pflichten gelten für alle Verträge ab dem 12. September 2025 (Art. 50 S. 2 Data Act). Sämtliche Verträge über Datenverarbeitungsdienste, die vorher geschlossen wurden, fallen unter den Data Act und sollten daher bis zum 12. September angepasst werden. Die Kommission arbeitet derzeit an Standardvertragsklauseln mit denen die verpflichtenden Regelungen des Art. 25 Data Act in Verträge integriert werden können.
- Es findet eine stufenweise Abschaffung von Wechselentgelten für den Vollzug von Anbieterwechseln bis zum 12. Januar 2027 (Art. 29 Abs. 1, 2 Data Act) statt.