Die Datenverordnung (auch bekannt als „Data Act“) regelt künftig in der gesamten EU, wie Unternehmen Daten verwerten dürfen. 

Dieser Beitrag stellt Ihnen die Auswirkungen der Datenverordnung auf Anbieter von Cloud-Services vor, namentlich den in Kapitel 6 geregelten Anbieterwechsel von Cloud Service Providern (das sog. „Cloud Switching“). 

Die bisherigen Newsletter und Blogbeiträge aus unserer Reihe „Data Act“ finden Sie hier:

• Newsletter mit Überblick über Neuregelungen; 
• Blogbeitrag zum Geltungsbereich und betroffenen Unternehmen;
• Blogbeitrag zur Nutzung von Produktdaten durch Hersteller von IoT-Produkten; 

Für welche Leistungen bringt die Datenverordnung Neuregelungen?

Kapitel VI der Datenverordnung regelt die Möglichkeiten für einen Wechsel zwischen Datenverarbeitungsdiensten. Datenverarbeitungsdienste sind in Art. 2 Nr. 8 der Datenverordnung genauer definiert. Danach ist ein Datenverarbeitungsdienst „eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.“ Die Definition ist sehr weit gefasst und betrifft nahezu alle Cloud-Services und auch Edge-Services.

Typische Beispiele hierfür sind: Ein über eine Cloudplattform angebotenes Customer Relationship Management (CRM) System oder ein Enterprise Resource Planning (ERP) System, auf das die Beschäftigten eines Unternehmens online zugreifen können.

Abschaffung von Hindernissen beim Wechsel von Datenverarbeitungsdiensten

Ein Ziel der Datenverordnung ist es, künftig einen einfachen Wechsel zwischen Datenverarbeitungsdiensten zu ermöglichen. Um dieses Ziel zu erreichen, legt die Datenverordnung den Anbietern von Datenverarbeitungsdiensten Pflichten auf, die einerseits die Vertragsgestaltung und andererseits die technische Ausgestaltung der Datenverarbeitungsdienste betreffen.

Verträge zu Datenverarbeitungsdiensten

Die Datenverordnung greift zur Sicherstellung eines einfachen Anbieterwechsels stark in die Vertragsfreiheit der Anbieter von Datenverarbeitungsdiensten ein. Diese werden verpflichtet, in den Verträgen mit ihren Kunden klare Regelungen zum Wechsel zwischen Anbietern aufzunehmen. Das umfasst u.a. die folgenden Regelungen:

• Maximale Kündigungsfrist von zwei Monaten, Art. 25 Abs. 2 lit. d) Datenverordnung
• Übertragung aller exportierbarer Daten unverzüglich, spätestens 30 Kalendertage nach Vertragsende inklusive Unterstützungspflicht und Sicherstellung der Sicherheit der Daten beim Wechsel, Art. 25 Abs. 2 lit. a) Datenverordnung
• Klare Auflistung aller Datenkategorien, die exportierbar sind, Art. 25 Abs. 2 lit. e) Datenverordnung, sowie aller Datenkategorien, die für den Dienst spezifisch sind und die nicht exportiert werden können, Art. 25 Abs. 2 lit. f) Datenverordnung
• Eine Regelung zu Wechselentgelten während einer Übergangszeit, Art. 25 Abs. 2 lit. i) Datenverordnung (Bis zum 12. Januar 2027 dürfen noch ermäßigte Wechselentgelte erhoben werden, welche die beim Anbieter anfallenden Kosten nicht übersteigen dürfen. Ab dem 12. Januar 2027 müssen Wechsel mehrkostenfrei durchgeführt werden.)

Technische Vorgaben

Die technischen Aspekte eines Wechsels sind in Art. 30 Datenverordnung geregelt. Danach müssen die Anbieter von Datenverarbeitungsdiensten ihren Kunden den Wechsel durch die Bereitstellung angemessener Informationen und Dokumentationen, technischer Unterstützung und gegebenenfalls erforderlicher Instrumente ermöglichen. Konkret müssen sie eine Schnittstelle bereitstellen, die auch ausreichende Informationen über den Dienst beinhaltet, damit eine Software zur Datenübertragung mit dem Dienst kommunizieren kann. Die Einzelheiten hängen dabei auch von der Art des angebotenen Dienstes ab (Infrastructure-as-a-Service „IaaS“, Platform-as-a-Service „PaaS“ oder Software-as-a-Service „SaaS“). Zusätzlich müssen Datenverarbeitungsdienste gemäß Art. 35 Datenverordnung Anforderungen an eine Interoperabilität erfüllen. Diese Anforderungen werden von der EU noch spezifiziert und in einer öffentlichen Datenbank veröffentlicht.

Informationspflichten

Des Weiteren müssen Anbieter künftig den Kunden Informationen über verfügbare Verfahren für einen Wechsel und die Übertragung verarbeiteter Daten zur Verfügung stellen (Art. 26 Datenverordnung). Das umfasst insbesondere auch Informationen über mögliche Einschränkungen und technische Beschränkungen. Internationale Anbieter müssen zudem auf ihrer Website eine Information über die zuständige Gerichtsbarkeit bereithalten sowie eine Darstellung, durch welche Maßnahmen sie einen staatlichen Zugriff auf die Daten verhindern.

Ausblick und Praxishinweise

Die Datenverordnung stellt künftig Nutzer von Cloud-Diensten deutlich besser. Insbesondere verhindert sie, dass Nutzer langfristig an einzelne Anbieter gebunden werden können. Regelungen zu Mindestlaufzeiten oder Vorfälligkeitsentschädigungen können Anbieter künftig nicht mehr vertraglich durchsetzen. Anbieter von Cloud-Services können sich bei der Vertragsgestaltung künftig an den noch zu veröffentlichenden Standardvertragsklauseln gem. Art. 41 Datenverordnung orientieren. Wir empfehlen jedoch, bereits jetzt v.a. langfristige Verträge anzupassen und die Schritte zur Umsetzung der technischen Vorgaben vorzubereiten.

Soweit Sie Fragen zur Datenverordnung haben oder Unterstützung wünschen, wenden Sie sich sehr gerne an unsere Expert:innen aus dem Bereich Geistiges Eigentum, Medien und Informationstechnologie. Wir helfen Ihnen bei der Prüfung, ob und in welchem Umfang die Datenverordnung für Ihr Unternehmen gilt und wie Sie als Unternehmen darauf am besten reagieren. Zu Beginn der Umsetzung bietet sich z.B. ein kurzer Workshop an, in dem wir gemeinsam mit Ihnen die konkreten Anforderungen an Ihr Unternehmen erfassen und die erforderlichen Schritte abstimmen.