Der Data Act bringt Handlungsbedarf für Cloud Service Provider. Teil 1 unseres Beitrags gibt einen Überblick zu Vertragsgestaltung und Informationspflichten.
Mit dem neuen Datenrecht möchte die Europäische Union (EU) einen europäischen Binnenmarkt für Daten schaffen, den Wettbewerb rund um datengetriebene Geschäftsmodelle öffnen und in dem Zuge Anbieterwechsel für Kunden* erleichtern, nachdem Versuche der Selbstregulierung durch die Industrie nicht zum gewünschten Erfolg geführt haben. Zu der Digitalisierungs- und der Datenstrategie der EU gehören daher auch die Erleichterung des Wechsels eines Cloud-Service-Providers (CSP), die Verbesserung der Markteintrittschancen für neue Anbieter sowie die schrittweise Abschaffung von Datenübertragungskosten. Am 11. Januar 2024 ist als wichtige Säule der Digitalisierungs- und der Datenstrategie der Data Act (Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, DA) in Kraft getreten. Der DA wird nach einer Übergangsfrist von 20 Monaten ab dem 12. September 2025 unionsweit anwendbar sein.
Neben neuen Datenzugangsansprüchen und einem eigenständigen Vertragsrecht stellt der DA neue Anforderungen an CSP u.a. hinsichtlich Informationspflichten und Vertragsgestaltung, die wir in diesem Beitrag unserer CMS Blog-Serie „#CMSdatalaw“ beleuchten wollen.
Kapitel VI des DA: Erleichterung des CSP-Wechsels und der Parallelnutzung
Der DA soll mit seinen Regelungen insb. in Kapitel VI („Wechsel zwischen Datenverarbeitungsdiensten“, Art. 23 bis 31 DA) zum Abbau von Hindernissen beitragen, denen sich Kunden, die den Anbieter wechseln möchten, ausgesetzt sehen, und einen Übergang von einem Datenverarbeitungsdienst auf den anderen erleichtern (vgl. EG 79 des DA). Solche Hindernisse können z.B. aufgrund fehlender offener Schnittstellen, unzureichender Interoperabilität und fehlender technischer Standards bestehen. Mit dem Wechsel gehen oftmals hohe Kosten für Datenmigration, Formatanpassungen oder Neuentwicklungen einher, insb. wenn bereits im Vorfeld Abhängigkeiten geschaffen wurden, die den Wechsel erschweren. Aufgrund der hohen Hürden kann ein Wechsel unterbleiben oder verzögert werden, obwohl dieser sinnvoll wäre.
Dem soll u.a. mit Art. 23 DA entgegengewirkt werden, der festlegt: Die Regelungen des Kapitels VI sollen Kunden den Wechsel zwischen CSP ermöglichen und diese zur gleichzeitigen Nutzung mehrerer CSP befähigen. Hierfür sind Art. 23 DA zufolge „vorkommerzielle, gewerbliche, technische, vertragliche und organisatorische“ Hindernisse für einen Wechsel und die damit zusammenhängenden Handlungen zu beseitigen und das Erreichen der sog. „Funktionsäquivalenz“ nicht zu verhindern. Außerdem sollten Infastructure-as-a-Service (IaaS) Anbieter gemäß Art. 23 lit. e) DA im Rahmen des technisch Möglichen für eine Entkoppelung der von ihnen auf Basis der IaaS Dienste erbrachten weiteren Services sorgen.
Detaillierte Vorgaben für die Vertragsgestaltung enthält Art. 25 DA, der CSP dazu verpflichtet, ihre Kundenverträge anzupassen, während die Art. 26 und Art. 28 DA neue Informationspflichten schaffen, welche CSP gegenüber Kunden zukünftig einhalten müssen. Eine an Treu und Glauben orientierte und übergreifende Zusammenarbeitspflicht der Beteiligten sieht der DA in Art. 27 vor, die im Falle eines Anbieterwechsels gewährleisten soll, dass die Datenübertragung in einem verbindlichen Zeitrahmen erfolgt und die Fortführung des Dienstes während eines Wechsels sichergestellt ist. Sofern Entgelte für einen CSP-Wechsel vorgesehen sind, werden diese gemäß Art. 29 DA Schritt für Schritt aufgehoben und dürfen ab dem 12. September 2027 gar nicht mehr verlangt werden.
Art. 30 DA differenziert zwischen Anbietern von IaaS, Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) und gibt für diese technische Anforderungen an die Durchführung eines Anbieterwechsels vor: IaaS Anbieter sollen gemäß Art. 30 Abs. 1 S. 2 DA „die erforderlichen Instrumente“ bereitstellen, um einen Anbieterwechsel zu ermöglichen, PaaS und SaaS Anbieter sollen gemäß Art. 30 Abs. 1 S. 2 DA „unentgeltlich offene Schnittstellen“ zur Durchführung des Umzugs bereithalten.
Doch wen treffen die neuen Pflichten?
Die neuen Regelungen des DA: Datenverarbeitungsdienste als Verpflichtete, Kunden als Berechtigte
Die Adressaten der neuen Pflichten der Art. 23 ff. DA sind Anbieter von Datenverarbeitungsdiensten, also gemäß Art. 2 Nr. 8 DA diejenigen, die Kunden eine „digitale Dienstleistung“ bereitstellen. Die umfassten Dienstleistungen zielen laut Erwägungsgrund 80 DA technologieoffen darauf ab, insb. (aber nicht ausschließlich) CSP zu umfassen, die IaaS, PaaS und SaaS Dienste anbieten. Nach der Definition müssen die Dienste „einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen“ gewährleisten, der „zentralisierter, verteilter oder hochgradig verteilter Art“ ist und mit „minimalem Verwaltungsaufwand oder minimaler Interaktion“ mit dem Anbieter „rasch bereitgestellt“ werden kann. Zwar bietet Erwägungsgrund 80 des DA einige Anhaltspunkte zur Auslegung all dieser unbestimmten Rechtsbegriffe, allerdings dürfte absehbar sein, dass es letztlich Gerichten obliegt, in streitigen Fällen zu entscheiden, ob ein Angebot als „digitale Dienstleistung“ und „Datenverarbeitungsdienst“ im Sinne des DA mit all seinen Pflichten einzustufen ist.
Demgegenüber werden die Kunden durch den DA mit einer Reihe neuer Rechte ausgestattet. Kunde ist gemäß Art. 2 Nr. 30 DA jede „natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere Datenverarbeitungsdienste in Anspruch zu nehmen“. Die Pflichten des DA für CSP gelten demnach nicht nur im B2C-, sondern auch im B2B-Bereich. Im Folgenden geben wir einen Überblick über diese neuen Pflichten.
Die Informationspflichten für CSP nach dem DA im Überblick
CSP haben zukünftig eine Reihe neuer Informationspflichten gegenüber Kunden oder gegenüber der Allgemeinheit bzw. Öffentlichkeit zu erfüllen, dazu zählen Informationen zum Anbieterwechsel, zu internationalen Datentransfers, zu Entgelten sowie zu Ausnahmen von gesetzlichen Pflichten.
Welche Inhalte sollen auf einen neuen Dienst übertragen werden? Welche Datenformate unterstützt der Anbieter? Auf welche Weise soll die Datenübermittlung erfolgen? Damit Kunden hierzu eine fundierte Entscheidung treffen und ihren Anbieterwechsel planen können, sieht der DA diverse Informationspflichten des Anbieters gegenüber den Kunden vor (Art. 26 DA, Erwägungsgrund 95 des DA).
Der CSP ist entsprechend Art. 26 DA zunächst dazu verpflichtet, detaillierte Informationen über die verfügbaren Wechselverfahren und die Übertragung von Inhalten für den Kunden bereitzustellen. Hiervon umfasst sind sowohl Angaben zu den verfügbaren Methoden und Formaten des Wechselvorgangs und der Datenübermittlung als auch Angaben zu den dem Anbieter bekannten (technischen) Einschränkungen (vgl. Art. 26 lit. a) DA). Außerdem muss der Anbieter den Kunden gemäß Art. 26 lit. a) und lit. b) DA auf ein aktuelles „Online-Register“ hinweisen, in dem Einzelheiten zu sämtlichen Datenstrukturen und -formaten sowie zu den einschlägigen Normen und offenen Interoperabilitätsspezifikationen beschrieben sind, in denen die exportierbaren Daten gemäß Art. 25 Abs. 2 lit. e) DA verfügbar sind. Dieses Register muss nicht für die Allgemeinheit zugänglich im Internet verfügbar sein; ausreichend kann auch ein ausschließlich für Kunden zugängliches Portal sein. Nicht ausdrücklich bestimmt der DA, ab welchem Zeitpunkt diese Informationspflichten greifen sollen.
Gegenüber der Öffentlichkeit besteht außerdem eine Informationspflicht aus Art. 28 DA, die CSP auferlegt, auf ihren Websites stets aktualisierte Informationen bereitzustellen hinsichtlich der Gerichtsbarkeit, der die für die Bereitstellung der Dienste genutzte IKT-Infrastruktur unterliegt (Art. 28 Abs. 1 lit. a) DA), inkl. einer Beschreibung der technischen, organisatorischen und vertraglichen Vorkehrungen, welche der Anbieter zur Verhinderung möglicher internationaler staatlicher Zugriffe oder staatlicher Weitergaben von in der EU gespeicherten nicht-personenbezogenen Daten ergriffen hat (Art. 28 Abs. 1 lit. b) DA). Mit diesen Informationspflichten einher geht die Verpflichtung des Anbieters aus Art. 32 Abs. 1 DA, angemessene technische und organisatorische Maßnahmen zu ergreifen, um den Zugriff von staatlichen Stellen aus Drittländern zu verhindern, soweit die Zugriffsbefugnis im Widerspruch zum Unionsrecht oder dem Recht eines EU-Mitgliedsstaates steht.
Art. 29 Abs. 4 und Abs. 5 DA enthalten darüber hinaus vorvertragliche Informationspflichten des Anbieters, wonach dieser etwaige Kunden vor Vertragsschluss in leicht abrufbarer Form und öffentlich verfügbar hinsichtlich der erhobenen Entgelte für den Dienst, der bei vorzeitiger Vertragsbeendigung berechneten Gebühren sowie mögliche Wechselentgelte (Abs. 4) und – soweit ein Wechsel des Dienstes zu einem anderen Provider hochgradig komplex oder kostspielig ist – über diesen Umstand (Abs. 5) unterrichten muss.
Soweit der Anbieter partiell von den gesetzlichen Pflichten nach dem DA befreit ist, hat dieser gemäß Art. 31 Abs. 3 DA potentielle Kunden auch hierüber vor Vertragsschluss zu unterrichten.
Der DA enthält außerdem Vorgaben für die Vertragsgestaltung
Art. 25 DA legt für den Vertrag zwischen Anbieter und Kunden die Pflicht zum Abschluss eines „schriftlichen Vertrages“ fest. Außerdem muss der Vertrag dem Kunden vor der Unterzeichnung so bereitgestellt werden, dass dieser ihn dauerhaft speichern kann. Weiterhin hält Art. 25 DA CSP dazu an, Verträge unter Berücksichtigung der teilweise sehr detailreichen gesetzlichen Anforderungen des DA zu überarbeiten. Hierdurch kann die Überarbeitung bestehender Cloud-AGB von Anbietern notwendig werden.
Zwingend in dem Vertrag geregelt bzw. vorgesehen werden müssen gemäß Art. 25 Abs. 2, Abs. 3 und Abs. 5 DA u.a. das Recht des Kunden zum Anbieterwechsel oder zur Übertragung aller Daten in eine kundeneigene Umgebung (Art. 25 Abs. 2 lit. a) DA), die Pflicht des Anbieters, bei einem Wechsel „für ein hohes Maß an Sicherheit“ insb. während der Datenübertragung zu sorgen (Art. 25 Abs. 2 lit. a) iv) DA), eine „maximale Kündigungsfrist für die Einleitung des Wechsels, die zwei Monate nicht überschreiten darf“ (Art. 25 Abs. 2 lit. d) DA), eine konkrete und abschließende Liste aller Datenkategorien, die während eines Anbieterwechsels übertragen werden, konkrete und abschließende Angaben, welche Daten „für die interne Funktionsweise des Datenverarbeitungsdienstes spezifisch sind“ und bei der „Gefahr einer Verletzung von Geschäftsgeheimnissen“ nicht übertragen werden (Art. 25 Abs. 2 lit. e) und f) DA), zum Recht des Kunden, von dem Anbieter („nach Ablauf der maximalen Kündigungsfrist“ von zwei Monaten) den Wechsel zu einem anderen Anbieter, den Umzug in eigene Räumlichkeiten oder die Löschung seiner Daten zu verlangen (Art. 25 Abs. 3 DA), sowie zum Recht des Kunden zur einmaligen angemessenen Verlängerung des Übergangszeitraums (Art. 25 Abs. 5 DA).
Bei Verstoß gegen die neuen Regelungen durch einen Anbieter können Bußgelder und zivilrechtliche Folgen drohen. Neben der Nichtigkeit von Regelungen sind zudem Ansprüche betroffener Kunden oder wettbewerbsrechtliche Ansprüche von Mitbewerbern des Anbieters denkbar.
In unserem nächsten Beitrag beschäftigten wir uns mit den neuen Pflichten für CSP im Rahmen eines Wechselprozesses nach dem Data Act. Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.
Die Gesetzestexte und Erwägungsgründe zum Digital Services Act (DSA) und dem Data Governance Act (DGA) finden Sie für die Praxis kompakt aufbereitet bei CMS DigitalLaws.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.