Direkt zum Inhalt wechseln
Beitrag

Lock-in war gestern – Cloud-Switching nach dem Data Act

IT-Recht Data-Compliance IT-Projekte

Keine eigene Serverfarm im Keller? Kein Problem! Mit Cloud-SaaS Diensten gehört die Notwendigkeit eigener Infrastruktur der Vergangenheit an. Doch mit der Verwendung von Cloud-Diensten gibt der Nutzer auch den Großteil seiner Hoheit über die Daten ab, die in diesen Cloud-SaaS Diensten gespeichert werden.

Besonders präsent und schmerzhaft ist diese Realisation, wenn man überlegt den Dienst zu wechseln: Kann man die Daten mitnehmen? Wie viel Geld wird es kosten? Geht ein Wechsel nur über Umwege? Braucht man einen Dienstleister, der den Wechsel übernimmt oder opfert man lieber Tage und Wochen seiner eigenen Zeit, um die Daten Stück für Stück per Hand zu übertragen?

Im schlimmsten Fall sehen sich Nutzer von dem Aufwand des Wechsels derart abgeschreckt, dass sie diesen nicht vollziehen und Preissteigerungen des Anbieters mürrisch in Kauf nehmen.

Diese Überlegungen gehören ab September 2025 in großen Teilen der Vergangenheit an. Ab dem 12. September 2025 findet der Data Act Anwendung. Eine zentrale Neuerung ist die Verpflichtung der Anbieter von Datenverarbeitungsdiensten, den Wechsel zwischen diesen Diensten (sogenanntes „Cloud-Switching“), zu erleichtern. Diese Maßnahme soll Wettbewerb und Innovation fördern und Anwender vor einem „Lock-in“-Effekt schützen.

Rechtsgrundlagen des Cloud-Switching

Der Data Act widmet sich dem Thema Cloud-Switching in Kapitel VI des Data Act („Wechsel zwischen Datenverarbeitungsdiensten“). Anbieter von Datenverarbeitungsdiensten werden dazu verpflichtet, spezifische technische und vertragliche Anforderungen umzusetzen, um die Portabilität von Daten und den Wechsel zwischen Datenverarbeitungsdiensten zu gewährleisten.

Nutzer von Datenverarbeitungsdiensten erhalten künftig das Recht, ihre Daten einfach und sicher zu einem anderen Anbieter zu übertragen. Abgesichert wird dieses Recht durch die Verpflichtung der Anbieter, in ihren Verträgen Klauseln aufzunehmen, die den Wechselprozess klar regeln und keine ungerechtfertigten technischen oder finanziellen Hindernisse enthalten dürfen.

Was ist ein Datenverarbeitungsdienst?

Verpflichtet werden alle Anbieter eines Datenverarbeitungsdienstes. Aber was bedeutet das eigentlich? Der Begriff des Datenverarbeitungsdienstes wird in den Erwägungsgründen und im Verordnungstext des Data Act weit gefasst. Darunter fallen nach Erwägungsgrund 80 ff. DA unter anderem Dienstleistungen, die netzwerkbasierten Zugang zu skalierbaren und flexiblen IT-Ressourcen wie Speicher-, Software- oder Plattformdiensten bieten. Typischerweise handelt es sich um Dienste wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) oder Software-as-a-Service (SaaS).

Das Ziel dieser Definition ist es, eine breite Anwendung der Verordnung zu gewährleisten. Auch Anbieter von kleineren Cloud-Lösungen in den Anwendungsbereich des Data Act fallen können. Eine Ausnahme für KMU, wie bei Herstellern vernetzter Produkten und Anbieter verbundener Dienste, ist nämlich nicht vorgesehen. Lediglich bei hochpersonalisierten Diensten können Ausnahmen nach Art. 31 DA in Betracht kommen.

Rechte des Nutzers

Nutzer von Datenverarbeitungsdiensten erhalten durch den Data Act weitreichende Rechte:

  1. Beseitigung von Wechselhindernissen: Alle vorkommerziellen, kommerziellen, technischen, vertraglichen und organisatorischen Hindernisse müssen beseitigt werden. Nutzer sollen ihren Vertrag jederzeit nach Ablauf der Kündigungsfrist beenden, neue Verträge mit anderen Anbietern abschließen und ihre Daten sowie digitalen Vermögenswerte problemlos übertragen können (Artikel 23 DA).
  2. Datenportabilität: Nutzer haben das Recht, ihre exportierbaren Daten und digitalen Vermögenswerte in einem strukturierten, gängigen und maschinenlesbaren Format zu einem anderen Anbieter oder in eine lokale ICT-Infrastruktur zu übertragen (Artikel 23 Absatz 3 DA).
  3. Informationsrechte: Anbieter müssen Nutzer umfassend über Wechselverfahren, verfügbare Portierungsmethoden, technische Einschränkungen, Datenformate, relevante Standards und internationale Datenzugänge informieren (Artikel 26 ff. DA).
  4. Sicherstellung der Kontinuität der Nutzung: Nach dem Wechsel zu einem neuen Anbieter sollen Nutzer ihre Daten und digitalen Vermögenswerte ohne größere Funktionseinschränkungen weiterverwenden können. Anbieter müssen daher gewährleisten, dass der Wechselprozess so gestaltet wird, dass eine möglichst hohe Funktionsäquivalenz sichergestellt wird (Artikel 23 DA).

Exportierbare Daten

Exportierbare Daten umfassen Eingabe- und Ausgabedaten, einschließlich Metadaten, die direkt oder indirekt durch die Nutzung des Datenverarbeitungsdienstes durch den Kunden generiert wurden. Nicht erfasst sind Daten oder digitale Vermögenswerte, die dem Anbieter oder Dritten gehören.

Digitale Vermögenswerte

Hierzu gehören Elemente in digitaler Form, für die der Kunde ein Nutzungsrecht hat, darunter:

  • Anwendungen,
  • Metadaten zu Konfigurationen, Sicherheit sowie Zugriffs- und Kontrollmanagement,
  • sonstige digitale Elemente wie Virtualisierungsinstanzen, virtuelle Maschinen oder Container.

Pflichten der Anbieter

Die Anbieter von Datenverarbeitungsdiensten sind verpflichtet, den Wechsel ihrer Kunden aktiv zu unterstützen. Zu den wichtigsten Anforderungen gehören:

  1. Beseitigung von Wechselhindernissen: Anbieter müssen jegliche Hindernisse für einen effektiven Wechsel beseitigen, insbesondere organisatorische, technische, kommerzielle und vertragliche Einschränkungen, die einen reibungslosen Wechsel verhindern könnten (Artikel 23 DA).
  2. Informationspflichten: Anbieter müssen umfassende Informationen über Wechselmöglichkeiten, technische Details und Beschränkungen bereitstellen. Dazu gehört auch ein Online-Register, das Details zu exportierbaren Datenformaten und Interoperabilitätsstandards enthält (Artikel 26 ff. DA).
  3. Technische Interoperabilität: Anbieter müssen offene Schnittstellen bereitstellen, die allen Kunden kostenlos zur Verfügung stehen. Sie müssen sicherstellen, dass ihre Dienste mit gemeinsamen Spezifikationen oder harmonisierten Standards kompatibel sind. Falls keine gemeinsamen Standards existieren, müssen Daten in einem gängigen maschinenlesbaren Format exportiert werden (Artikel 30 DA).
  4. Vertragliche Verpflichtungen: Anbieter müssen ihre Geschäftsbedingungen aktualisieren, um die Anforderungen des Data Act zu erfüllen. Dazu gehören unter anderem verpflichtende Klauseln über die maximale Kündigungsfrist von zwei Monaten, eine Auflistung übertragbarer Daten sowie eine klare Festlegung der Wechselprozesse und -rechte der Nutzer. Eine Auflistung der Pflichtklauseln findet sich in Artikel 25 DA.
  5. Verbot von Wechselgebühren: Wechselgebühren müssen schrittweise reduziert werden. Ab dem 12. September 2027 dürfen keinerlei Gebühren mehr erhoben werden (Artikel 29 DA).
  6. Treu und Glauben: Anbieter müssen den Wechselprozess fair und transparent gestalten und dürfen keine versteckten Hindernisse schaffen, die Nutzer am Wechsel hindern (Artikel 27 DA).

Allgegenwärtigkeit der Wechselpflicht

Die weit gefasste Definition von Datenverarbeitungsdiensten im Data Act und die umfassenden Pflichten der Anbieter zeigen, dass die Wechselpflicht nahezu allgegenwärtig ist. Selbst Unternehmen, die keine klassischen Cloud-Services anbieten, könnten unter den Data Act fallen, wenn sie skalierbare IT-Ressourcen bereitstellen.

Dies birgt Herausforderungen, insbesondere für kleinere Anbieter, die möglicherweise nicht über die technischen und finanziellen Mittel verfügen, die geforderten Standards umzusetzen. Gleichzeitig eröffnet die Regelung jedoch auch Chancen, da sie die Markteintrittsbarrieren für neue Anbieter reduziert und Innovation fördert.

Unternehmen sollten ihre vertraglichen Regelungen und technischen Systeme frühzeitig auf die Anforderungen des Data Act anpassen, um mögliche Compliance-Risiken zu vermeiden und den Nutzen aus den neuen Regeln zu maximieren.