Anbieter von Datenverarbeitungsdiensten, also insbesondere Cloud- und Edge- Dienstleister, haben nach dem Data Act-Entwurf sicherzustellen, dass ihre Kunden schnell und unkompliziert zu einem Konkurrenzdienst wechseln können (Datenportabilität). Der Data Act sieht in Kapitel VI weitgehende vertragliche, technische und organisatorische Vorgaben vor, die von den Datenverarbeitungsdiensten künftig eingehalten werden müssen, um eine weitreichende Datenportabilität zu ermöglichen. Wird der Data Act so umgesetzt, wie er jetzt im Entwurf vorliegt, hat das ganz erhebliche Folgen für die aktuellen Geschäftsmodelle und Vertragsstrukturen der Cloud-Anbieter.
Einen allgemeinen Überblick über alle Kapitel des Data Act finden Sie hier:
Der Überblick: Ziel und Anwendungsbereich
Kapitel VI des Data Acts enthält in seinen Artikeln 23 bis 26 grundlegende Regelungen, die Kunden den Wechsel zwischen Datenverarbeitungsdiensten ermöglichen bzw. jedenfalls erleichtern sollen. Die Kommission verspricht sich hiervon einen wettbewerbsfähigeren Markt mit leichteren Zugangsmöglichkeiten für neue Dienstanbieter auf dem Markt der Cloud- und Edge-Anbieter (Erwägungsgrund 69). Eine damit einhergehende Einschränkung der Rechtspositionen von Datenverarbeitungsdiensten wird mit der Bekämpfung der Lock-in-Effekte auf dem Cloud- und Edge-Markt gerechtfertigt: Kunden sollen nicht an einen bestehenden Datenverarbeitungsdienstanbieter gebunden sein (müssen), nur weil ein Wechsel mit finanziellem oder praktischem Aufwand verbunden ist.
Die dazu von der Kommission vorgeschlagenen Regelungen sind erheblich und reichen von Vorgaben zu (kurzfristigen) Kündigungsrechten über Migrationsvorgaben bis hin zum Verbot von Wechselentgelten. Begünstigt werden jegliche „digitalen Bestände“, also alle Elemente in digitalem Format von Daten über Anwendungen, virtuelle Maschinen und andere Erscheinungsformen von Virtualisierungstechnologien (Erwägungsgrund 72).
Die Adressaten
Die Regelungen von Kapitel VI Data Act verpflichten Anbieter von Datenverarbeitungsdiensten („data processing services“). Mit Datenverarbeitungsdiensten sind digitale Dienste gemeint, die ihren Kunden einen „On-Demand“-Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen bieten (Art. 2 Nr. 12). Zu diesen Rechenressourcen gehören beispielsweise Netzwerke, Server oder andere virtuelle oder physische Infrastrukturen, aber auch Betriebssysteme, Software, Speicher, Programme und Dienstleistungen (Erwägungsgrund 71).
Mit dieser etwas sperrigen Definition dürfte die Kommission in erster Linie marktbeherrschende Cloud-Dienste von z.B. Amazon, Google, Microsoft oder SAP im Sinn gehabt haben, die Grundlage für unzählige Digitale Angebote sind.
Adressiert und verpflichtet sind aber nicht nur große Anbieter. Verpflichtet ist jeder Anbieter von Datenverarbeitungsdiensten, auch kleine Unternehmen.
Von den Neuregelungen nicht erfasst sind Online-Inhaltedienste. Dies sind online erbrachte audiovisuelle Mediendienste mit redaktioneller Verantwortung und lineare Rundfunkangebote.
Begünstigt werden „Kunden“, also die jeweiligen Vertragspartner der Anbieter von Datenverarbeitungsdiensten, unabhängig davon, ob es sich dabei um eine natürliche oder juristische Person handelt und unabhängig davon, ob diese als Verbraucher oder Unternehmer agieren.
Der Inhalt: Was ist zu tun?
Nach Ansicht der Kommission reichen die bestehenden Selbstregulierungsmaßnahmen nicht aus, um Hindernisse bei dem Wechsel zwischen Datenverarbeitungsdiensten aus dem Weg zu räumen. Daher sei es erforderlich, eine Reihe von Mindestverpflichtungen für die Anbieter von Datenverarbeitungsdiensten vorzusehen, die vertragliche, wirtschaftliche und technische Hindernisse für eine effektive Datenportabilität aus dem Weg räumen (Erwägungsgrund 70):
- Beseitigung von Hindernissen für die Datenportabilität (Art. 23)
Anbieter eines Datenverarbeitungsdienstes müssen den Wechsel ihrer Kunden zu einem anderen Anbieter, der dieselbe Art von Dienst umfasst, ermöglichen. Hierzu müssen kommerzielle, technische, vertragliche und organisatorische Hindernisse beseitigt werden. Dazu ist insbesondere vorzusehen:
- Verträge müssen mit einer Kündigungsfrist von max. 30 Tagen kündbar sein.
- Daten, Anwendungen und andere digitale Bestände müssen zu einem anderen Datenverarbeitungsdienst ohne Hindernisse zu migrieren sein.
- Die Daten, Anwendungen und anderen digitalen Bestände müssen bei einem anderen Datenverarbeitungsdienstanbieter funktional und technisch gleichwertig ohne Hindernisse aufrechterhalten bleiben.
- Es dürfen keine Hindernisse für einen Neuabschluss mit Anbietern anderer, vergleichbarer Datenverarbeitungsdienste bestehen.
- Vertragsbedingungen für den Anbieterwechsel (Art. 24)
Der Vertrag zwischen Datenverarbeitungsdienstanbieter und Kunden soll bestimmte Mindestbedingungen enthalten, die die Rechte des Kunden und die Pflichten des Anbieters eindeutig festlegen. Dies sind insbesondere:
- Wechselmöglichkeit zu einem anderen Datenverarbeitungsdienstleister binnen 30 Kalendertagen oder
- Übertragungsmöglichkeit aller von dem Kunden direkt oder indirekt genierten Daten, Anwendungen und digitalen Bestände auf ein lokales System
- Der Anbieter muss sich vertraglich verpflichten, den Umstellungsprozess zu unterstützen und, soweit technisch machbar, abzuschließen und währenddessen die vollständige Funktionalität des Dienstes aufrechtzuerhalten.
- Der Vertrag soll eine umfassende Darstellung aller exportierbaren Daten enthalten (mindestens alle Daten, die der Kunde zu Beginn des Dienstleistungsvertrages importiert bzw. während des Nutzungszeitraums erzeugt hat, etwa auch Konfigurationsparameter, Sicherheitseinstellungen, Zugriffsrechte und Zugriffsprotokolle).
- Datenwiederherstellungspflicht innerhalb von mindestens 30 Kalendertagen nach Ablauf, also eine Datensicherungspflicht.
Sollten diese vertraglich zu garantierenden Fristen technisch nicht einzuhalten sein, sieht der Data Act ferner vor, dass der Datenverarbeitungsdienstanbieter den Kunden innerhalb von 7 Werktagen nach einer Wechselanfrage umfassend über die technische Undurchführbarkeit zu informieren hat.
- Schrittweise Abschaffung der Wechselgebühren (Art. 25)
Die Entgelte für einen Wechsel werden stufenweise abgeschmolzen. Drei Jahre nach Inkrafttreten des Data Acts dürfen keine Wechselentgelte mehr verlangt werden.
- Technische Aspekte der Datenmigration (Art. 26)
Die effiziente Datenportabilität soll auch durch entsprechende technische Vorgaben gewährleistet sein. Die Datenverarbeitungsdienstanbieter haben sicherzustellen, dass alle technischen Funktionen nach einer Datenmigration zu einem vergleichbaren Anbieter bestehen bleiben. Dies bezieht sich insbesondere auf die Datenverarbeitung auf bestimmten Infrastrukturelementen wie z.B. Servern oder Netzwerken, deren Anbieter aber selbst keinen Zugang auf die hierauf enthaltenden Betriebssysteme, Software oder andere Anwendungen vermitteln. Diese müssen sicherstellen, dass nach einer Migration zu einem anderen infrastrukturellen Datenverarbeitungsdienst eine funktionale Gleichwertigkeit der verarbeiteten Daten bestehen bleibt. Die Kommission will damit ausschließen, dass für eine erfolgreiche und effektive Datenmigration die IT-Infrastruktur eines anderen (bestehenden) Datenverarbeitungsdienstes übernommen werden muss (Erwägungsgrund 74). Technisch bedingte „Lock-In-Effekte“ sollen so überwunden werden.
Dazu gehört auch, dass zur Aufrechterhaltung der technischen Funktionen eine öffentliche Standard-Schnittstelle für die Datenmigration kostenlos zur Verfügung gestellt werden muss und dass die Anforderungen an die Interoperabilitätsvorgaben des Data Act einzuhalten sind. Zu den Interoperabilitätsanforderungen aus Kapitel VIII Data Act berichten wir in den nächsten Wochen!
Ausblick: Bedeutung für die Praxis
Die vorgestellten Neuregelungen sind von enormer praktischer Bedeutung für Datenverarbeitungsdienste. Alleine schon die Vorgaben zur kurzfristigen Kündigungs- und Wechseloption mit 30 Kalendertagen Vorlauf wird eine Änderung der meisten Standardverträge über Cloud- und Edge-Lösungen erforderlich machen und damit auch die dahinterstehenden kommerziellen Planungen.
Die weitreichenden Vorgaben zur Datenportabilität werden – auch unter Berücksichtigung der Anforderungen an die Interoperabilität nach Kapitel VIII – Entwickler fordern, gerade in komplexeren Anwendungsfeldern standardisierte Migrationen zu ermöglichen.
Bei den großen Anbietern sind dafür Ressourcen vorhanden, kleinere Anbieter sehen sich deutlich größeren Herausforderungen gegenüber. So begrüßenswert die Öffnung und Vermeidung von Lock-In-Effekten ist, so sollte in den anstehenden Diskussionen doch die Bandbreite der verschiedenen Anbieter im Blick behalten werden und eine genaue Prüfung erfolgen, ob die Datenportabilität in der aktuellen Ausgestaltung für alle Anbieter verpflichtend sein muss und – unter Verhältnismäßigkeitsgesichtspunkten – sein kann.
Die neuen Regelungen bringen zugleich ganz erhebliche Vorteile auf Kundenseite. Dies sind auch Unternehmen, die ihre digitalen Anwendungen von der App bis zur Plattform auf dem Backbone der Datenverarbeitungsdienste aufbauen. Auch diesen wird der Umzug ihrer App oder Plattform durch die Neuregelungen erleichtert, so dass Abhängigkeiten vermieden werden. Dieser Aspekt hat das Potential, zum echten Innovationstreiber zu werden.