EU DATA ACT: WARUM CLOUD-PROVIDER (UND IHRE KUNDEN) JETZT HANDELN MÜSSEN
Seit Januar 2024 ist der EU Data Act geltendes europäisches Recht. Das sollte vor allem auch die Anbieter von Cloud-IT-Dienstleistungen aufhorchen lassen. Denn sie wird ein Teil des Gesetzes vor enorme Herausforderungen stellen.
Bislang jedoch bemerken wir als Berater, dass der betreffende Abschnitt, der sich im sechsten von insgesamt zehn Kapiteln der Verordnung versteckt, in der öffentlichen und auch fachlichen Diskussion kaum beachtet wird. Für Cloud-Dienstleister kann das zu erheblichen finanziellen Einbußen und rechtlichen Auseinandersetzungen führen. Betroffen von den neuen Vorgaben sind dabei längst nicht nur die großen Hyperscaler sondern auch mittelständische Betreiber privater Clouds sowie Anbieter von Infrastructure- und Software-as-a-Service-Lösungen, zum Beispiel von Speicherlösungen oder Tools für Kollaboration und Zeiterfassung.
KAPITEL VI REGELT DAS „CLOUD SWITCHING“
Kapitel VI behandelt nicht wie die übrigen Regelungen des Data Act die Herausgabe von Daten für IoT-Anwendungen oder öffentliche Zwecke. Vielmehr geht es um das sogenannte „Cloud Switching“, den Wechsel von einem Cloud-Anbieter zum anderen. Es sieht vertragliche, technische und organisatorische Vorgaben vor, die den Kunden einen solchen Umzug deutlich erleichtern. Für Cloud-Anbieter bedeutet das konkret: Auf Verlangen, spätestens aber beim Exit – also zum Vertragsende – müssen sie dem Kunden seine Daten in funktionaler Äquivalenz in der Regel innerhalb von 30 Tagen zur Verfügung stellen können. Zudem sollen sie ihn mit angemessenen Maßnahmen bei der unterbrechungsfreien Nutzung der Dienste unterstützen. Für komplexe Softwareprojekte ist eine Frist von höchstens sieben Monaten festzulegen.
Ebenfalls herausfordernd für die Provider: Die Exit-Unterstützung darf nach einem Übergangszeitraum von drei Jahren nicht länger separat in Rechnung gestellt werden. Während dieser Übergangszeit ist es den Dienstleistern möglich, ermäßigte Wechselentgelte anzusetzen, die jedoch die tatsächlich anfallenden, unmittelbar mit dem Wechsel in Verbindung stehenden Kosten nicht überschreiten dürfen.
WAS CLOUD PROVIDER JETZT TUN MÜSSEN
Um die gesetzlichen Vorgaben erfüllen zu können und finanzielle Einbußen zu vermeiden, müssen Cloud-Provider bereits heute aktiv werden und an zwei wesentlichen Punkten ansetzen:
- Sicherstellen, dass sie den Kunden die Daten in der vorgeschriebenen Zeit zur Verfügung stellen können. Wichtige Fragen, die hierzu geklärt werden müssen: Sind wir in der Lage, die Daten in der vorgegebenen Zeit bereitzustellen? Was beinhaltet eine „angemessene“ Unterstützung beim „nahtlosen“ Wechsel zu einem Konkurrenzanbieter? Welche Metadaten gelten zum Beispiel nicht als Intellectual Property und müssen bereitgestellt werden, um den Wechsel zu erleichtern?
- Leistungs- und Preismodelle entsprechend anpassen. Hierzu gilt es Fragen zu klären wie: Welche Aufwände entstehen, wenn die Daten innerhalb der gesetzlich vorgegebenen Frist von 30 Tagen zur Verfügung gestellt werden müssen? Welche Kosten dürfen wir dem Kunden heute und in den kommenden Jahren in Rechnung stellen? Wie können wir unsere Leistungs- und Preismodelle modifizieren, um finanzielle Einbußen zu vermeiden?
Um rechtliche Auseinandersetzungen, aber auch Bußgelder und Sanktionen zu vermeiden, die von den EU-Mitgliedsstaaten noch festzulegen sind, sollten die Unternehmen bereits jetzt tätig werden. Für die Umsetzung des Data Act haben sie nach Inkrafttreten 20 Monate Zeit. Bis zum endgültigen Wegfall der Wechselentgelte gilt ein Übergangszeitraum von drei Jahren. Nicht eindeutig geregelt ist, ob die neue Verordnung auch für einen Exit nach Ablauf der Übergangszeit gilt, wenn der Vertrag vor Inkrafttreten bzw. vor Ablauf der Übergangsfrist geschlossen wurde.
WARUM AUCH DIE KUNDEN HANDELN MÜSSEN
Für die Kunden stellt das neue Gesetz grundsätzlich einen Vorteil dar. Sie können den Cloud-Anbieter schneller wechseln. Bislang war das für sie häufig mithohem finanziellen und praktischen Aufwand verbunden, so dass sie Kosten- oder Funktionalitätsvorteile bei anderen Anbietern nur begrenzt wahrgenommen haben. In Zukunft sollen sie deutlich flexibler agieren können und sogenannte „Lock-in“-Effekte vermieden werden.
Aber auch für die Kunden ergeben sich Vorteile im konkreten Fall nicht automatisch. Dies liegt vor allem an den Widersprüchen und Unklarheiten in den Formulierungen, die ein generalisiertes Normenwerk zwangsläufig mit sich bringt. So sind zentrale Begrifflichkeiten wie „Metadaten“ nicht eindeutig definiert. Auch darüber, was „angemessene“ Maßnahmen sind, wird es Diskussionen geben. Hinzu kommt: Rechtliche Schritte gegen den Provider sind nicht unbedingt zielführend, da in diesem Fall die Datenherausgabe möglicherweise erst Jahre später erfolgt. Die Anwender sollten daher in ihren Outsourcing-Verträgen auf Exit-Vereinbarungen achten, in denen die dehnbaren Begrifflichkeiten definiert werden. Auch bestehende Verträge sollten hinsichtlich der genannten Punkte geprüft werden.
