Der Data Act bringt Handlungsbedarf für Cloud Service Provider. Teil 2 unseres Beitrags gibt einen Überblick zum Anbieterwechsel.
Im Zuge ihrer Digitalisierungs- und Datenstrategie möchte die Europäische Union (EU) einen Daten-Binnenmarkt schaffen und u.a. für Kunden* den Wechsel eines Cloud-Service-Providers (CSP) erleichtern. Der am 11. Januar 2024 in Kraft getretene Data Act (Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, DA), der ab dem 12. September 2025 unionsweit anwendbar ist, stellt hierfür in seinem Kapitel VI eine Vielzahl neuer Informationspflichten und Anforderungen hinsichtlich der Vertragsgestaltung an CSP auf (wir berichteten im Rahmen unserer CMS Blog-Serie „#CMSdatalaw“ in unserem Blog). In diesem Beitrag geben wir einen Überblick über die neuen Vorschriften des DA zum Wechselprozess.
Die drei Phasen des Wechselprozesses nach dem DA
Art. 25 DA gliedert den Wechselprozess in drei Phasen. Die dazugehörigen Vorschriften sind von besonderer Praxisrelevanz und bedürfen jeweils einer Abbildung in den Cloud-Verträgen des Anbieters. Zuerst muss der Anbieter dem Kunden das Recht einräumen, den abgeschlossenen Vertrag jederzeit mit einer „Kündigungsfrist“ (englische Fassung: „notice period“, also „Mitteilungsfrist“), die maximal zwei Monate betragen darf, einen Beendigungs- und Wechselprozess anzustoßen, was zwar nicht zu einer sofortigen Beendigung des Vertrages führt, sondern wodurch mit Fristablauf eine sog. „verbindliche Übergangsfrist“ von maximal 30 Tagen beginnt; während dieser Frist ist der CSP verpflichtet, dem Kunden den Wechsel zu einem anderen Anbieter oder in die kundeneigene Infrastruktur zu ermöglichen (Art. 25 Abs. 2 lit. a) und lit. d) DA).
Zudem muss dem Kunden durch den CSP nach Ablauf der „maximalen Kündigungsfrist“ (demnach nach Ablauf der Frist von maximal zwei Monaten) ein Wahlrecht bzgl. der Art des Wechsels eingeräumt werden (Art. 25 Abs. 3 DA). Dies ermöglicht dem Kunden, zu entscheiden, ob Daten in fremde oder eine eigene Infrastruktur überführt werden sollen oder ob der CSP die Kundendaten zu löschen hat. Der DA lässt offen, ob der CSP Klauseln einsetzen darf, welche die Ausübung des Wahlrechts beschränken.
Verlängerungen des Übergangszeitraums möglich
Sofern das Wahlrecht durch den Kunden allerdings mit dem Wunsch des Anbieterwechsels statt der Löschung der Daten ausgeübt wird, räumt der DA dem Anbieter in Art. 25 Abs. 4 ein einseitiges Recht zur Verlängerung des „Übergangszeitraums“ ein, innerhalb dessen der Wechsel durchzuführen ist. Liegen die formalen Voraussetzungen für ein einseitiges Verlängerungsrecht des Anbieters vor und kann dieser begründet darlegen, dass der Wechsel aus technischen Gründen nicht innerhalb der „verbindlichen Übergangsfrist“ von 30 Tagen durchführbar ist, kann sich die Übergangsfrist auf maximal sieben Monate verlängern. Auch dem Kunden räumt der DA das Recht ein, den „Übergangszeitraum“ einseitig zu verlängern (vgl. Art. 25 Abs. 5 DA), knüpft dieses Recht aber an keine weiteren Voraussetzungen außer der, dass der Verlängerungszeitraum unter Berücksichtigung der vom Kunden verfolgten Zwecke angemessen ist.
Unabhängig davon, ob der Übergangszeitraum verlängert wird oder nicht, ist der Anbieter verpflichtet, dem Kunden die Dienste weiter zur Verfügung zu stellen und diesen bei der Übertragung der Dienste zu unterstützen.
Neben diesen rechtlichen Vorgaben enthält der DA auch Vorgaben hinsichtlich des technischen Vollzugs eines Anbieterwechsel.
Technische Vorgaben für den Anbieterwechsel nach dem DA
Art. 30 DA stellt Vorgaben für den technischen Vollzug des Wechsels (und die Herstellung von Interoperabilität) auf und unterscheidet zwischen zwei Kategorien von Datenverarbeitungsdiensten: Datenverarbeitungsdienste, die auf „skalierbare und elastische Rechenressourcen“ auf Infrastrukturebene beschränkt sind, wie z.B. Server, Netze und
die für den Betrieb der Infrastruktur erforderlichen virtuellen Ressourcen,
die
keinen Zugang zu den Betriebsdiensten, zur Software und zu den Anwendungen ermöglichen, die auf diesen Infrastrukturelementen gespeichert sind, anderweitig verarbeitet oder eingesetzt werden,
wie z.B. im Infastructure-as-a-Service (IaaS) Modell angebotene Dienste (Art. 30 Abs. 1 S. 1 DA), und „andere“ Datenverarbeitungsdienste ohne Vorliegen eines IaaS Dienstes, für die Art. 30 Abs. 2, Abs. 3 und Abs. 4 DA gelten. Dies können z.B. Cloud-Angebote sein, die im Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) Modell angeboten werden.
Der Wechselprozess bei Infastructure-as-a-Service Modellen
Wird dem Kunden lediglich die zur Umsetzung bestimmter Anwendungen notwendige Hardware/Infrastruktur zur Verfügung gestellt wird, die sich in vom CSP betreuten Rechenzentren befindet, handelt es sich um einen sog. IaaS Dienst. Der DA verpflichtet Anbieter von IaaS Diensten dazu, „alle ihnen zur Verfügung stehenden angemessenen Maßnahmen“ zu ergreifen und den Kunden in die Lage zu versetzen, dass dieser nach einem Wechsel zu einem Dienst gleicher Art eine äquivalente Funktionalität bei dem Einsatz des neuen Datenverarbeitungsdienstes erzielen kann (Art. 30 Abs. 1 S. 1 DA). Gemäß Art. 2 Nr. 37 DA liegt eine solche „Funktionsäquivalenz“ vor, wenn nach dem Wechsel zu dem neuen Anbieter „als Reaktion auf dieselbe Eingabe“ durch den neuen Dienst im Verhältnis zu dem vorherigen Dienst „ein materiell vergleichbares Ergebnis“ (d.h. wohl im Wesentlichen vergleichbar) bereitgestellt wird. Offen lässt der DA die Kriterien, anhand derer bestimmt werden kann, in welchen Fällen ein Ergebnis vergleichbar ist.
Der Wechselprozess bei Platform-as-a-Service und Software-as-a-Service Modellen
Bei PaaS Angeboten wird Softwareentwicklern in der Regel eine Infrastruktur nebst Plattform zur Entwicklung eigener Systeme bereitgestellt, während SaaS Modelle die Bereitstellung von Software-Anwendungen an Endanwender beinhalten. Für beide Dienste und für alle anderen Dienste, die keine IaaS Dienste sind, enthält Art. 30 Abs. 2, Abs. 3 und Abs. 4 DA technische Verpflichtungen des Anbieters bei einem Wechsel. Möchte ein Kunde zu einem anderen Anbieter wechseln, sind diese Anbieter zukünftig verpflichtet, sowohl ihren Kunden als auch den neuen Anbietern, zu denen der Kunde wechseln möchte, unentgeltlich eine offene Schnittstelle auf die betriebenen Dienste (Art. 30 Abs. 2 S. 1 DA) und notwendige Dokumentationen zur Verfügung zu stellen (so wohl Art. 30 Abs. 2 S. 2 DA). Der Anbieter ist aber nicht verpflichtet, Handlungen in der fremden Infrastruktur des neuen Anbieters vorzunehmen. Zusätzlich zur Bereitstellung der Schnittstelle muss der Anbieter die Kompatibilität mit offenen Interoperabilitätsspezifikationen gewährleisten.
Der DA sieht Ausnahmen von den Verpflichtungen des Anbieters im Wechselprozess vor
Art. 31 Abs. 1 DA nimmt Individualangebote von CSP, bei denen
die meisten zentralen Funktionen auf die spezifischen Bedürfnisse eines einzelnen Kunden zugeschnitten wurden
und diese
nicht in größeren kommerziellen Maßstab
angeboten werden, von den Verpflichtungen aus, Funktionsäquivalenz herbeizuführen, Wechselentgelte abzuschaffen und Kompatibilität mit offen Interoperabilitätsspezifikationen zu gewährleisten.
Weitere Verpflichtungen für CSP gelten aber auch für diese Anbieter. Ausgenommen von sämtlichen Pflichten des Kapitels VI sind Dienste, die
nicht als Vollversion, sondern zu Test- und Bewertungszwecken und für einen begrenzten Zeitraum
bereitgestellt werden (vgl. Art. 31 Abs. 2 DA).
Pflichten des DA einhalten und Chancen nutzen
Wechselvorhaben werden für Kunden und Cloud-Nutzer zukünftig durch die Neuerungen, die der DA mit sich bringt, aufgrund der zugesicherten Unterstützung und Kooperationspflicht sowie aufgrund der technischen Vorgaben kostengünstiger und effektiver. Zugleich werden die CSP bei der Umsetzung der Vorgaben des DA vor rechtliche und technische Herausforderungen gestellt, die sowohl Anpassungen in Verträgen als auch in Organisationsprozessen fordern, sodass sich betroffene Unternehmen bereits jetzt während der laufenden Umsetzungsfrist mit den neuen Pflichten aus dem DA auseinandersetzen sollten. Unternehmen sollten jedoch nicht nur die Pflichten des DA ernst nehmen, sondern auch die Chancen sehen: Der Markteintritt kann durch den DA insb. für neue Anbieter erleichtert werden, was sich innovationsfördernd auswirken soll.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.
Die Gesetzestexte und Erwägungsgründe zum Digital Services Act (DSA) und dem Data Governance Act (DGA) finden Sie für die Praxis kompakt aufbereitet bei CMS DigitalLaws.
This article is also available in English.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.