Der Data Act – neue Pflichten für alle Cloud- und Edge-Dienste

Einführung

Der Data Act trat am 11. Januar 2024 in Kraft und ergänzt das Data-Governance-Gesetz. Bisher lag der Diskussionsschwerpunkt auf dem neuen Zugangsrecht für Daten, die von verbundenen Produkten (oft als IoT-Geräte bezeichnet) erzeugt werden. Ein weiterer Schwerpunkt liegt jedoch auf den sog. Datenverarbeitungsdiensten, die insbesondere viele Cloud- und Edge-Dienste umfassen. Kunden haben neuerdings das Recht, problemlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und können in diesem Zusammenhang unter vereinfachten Bedingungen ihre Verträge kündigen. Um dieses Recht durchzusetzen, müssen Cloud- und Edge-Anbieter in Zukunft zahlreiche neue Vertragsbedingungen vereinbaren, Informationspflichten erfüllen, Kunden beim Wechsel unterstützen sowie harmonisierte Interoperabilitätsstandards umsetzen.

Wen adressiert der Data Act?

Der Data Act stellt weitreichende Anforderungen an Anbieter von Datenverarbeitungsdiensten. Darunter fallen insbesondere Anbieter von Cloud-Diensten, wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS) und neue Variationen wie bspw. Storage-as-a-Service und Database-as-a-Service.
Umgekehrt werden die Kunden dieser Dienste neue Rechte haben, z. B. die Möglichkeit, zwischen den Diensten zu wechseln und dabei ihren Vertrag problemlos zu kündigen. Für Dienste, die auf einzelne Kunden zugeschnitten sind oder Test- und Bewertungszwecken dienen, ist der Anwendungsbereich des Data Acts jedoch begrenzt.

Welche neuen Regeln gelten?

• Kunden haben das Recht, problemlos zwischen Datenverarbeitungsdiensten zu wechseln. Dafür müssen Vertragsbedingungen der Datenverarbeitungsdienste umfassend angepasst werden:

• Kunden haben das Recht, grundsätzlich kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und alle ihre exportierbaren Daten auf einen neuen Dienst zu übertragen.
• Danach gilt der Vertrag mit dem alten Anbieter als beendet. Die neue Regelung kann daher zu weitgehenden – möglicherweise entschädigungslosen – außerordentlichen Kündigungsrechten der Kunden führen.
• Der Anbieter von Datenverarbeitungsdiensten muss den Kunden bei dessen Exitstrategie (d.h. dem Wechsel oder der Löschung aller exportierbaren Daten) unterstützen. Nach einer Kündigungsfrist von max. 2 Monaten soll der Wechsel im Grundsatz abgeschlossen sein.
• Auch nach Abschluss des Wechsels kann der Kunde für mindestens 30 weitere Tage alle Daten beim Anbieter abrufen.
• Der Anbieter muss garantieren, dass nach Ablauf dieses Abrufzeitraums alle exportierbaren Daten des Kunden gelöscht werden.
• Ab dem 11. Januar 2024 dürfen nur noch ermäßigte Wechselentgelte für die Exitunterstützung des Kunden erhoben werden, ab dem 12. Januar 2027 soll der Wechsel grundsätzlich kostenlos sein.
• Um den Wechsel zu erleichtern müssen Anbieter von Datenverarbeitungsdiensten alle Kategorien von Daten und digitalen Vermögenswerten angeben, die im Rahmen eines Wechsels zu einem neuen Anbieter übertragen werden können.
• Um den Anbieter zu unterstützen, wird die EU-Kommission – wie schon bei der DSGVO – Standardvertragsklauseln entwickeln.

• Anbieter von Datenverarbeitungsdiensten müssen alle Hindernisse beseitigen, die Kunden davon abhalten

• ihre Verträge zu kündigen,
• neue Verträge mit anderen Anbietern abzuschließen oder
• ihre exportierbaren Daten zu übertragen.

• Darüber hinaus bestehen Informationspflichten hinsichtlich

• Wechsel- und Übertragungsmethoden, -formaten und technischen Beschränkungen,
• eines Online-Registers mit Angaben zu den exportierbaren Daten sowie
• Standarddienstleistungsgebühren und etwaigen Sanktionen bei vorzeitiger Kündigung.

• Anbieter von Datenverarbeitungsdiensten müssen in Zukunft harmonisierte Interoperabilitätsnormen umsetzen, um Kompatibilität zwischen verschiedenen Diensten zu gewährleisten.

• In diesem Zusammenhang wird die Norm ISO/IEC 19941:2017  bereits im Data Act genannt.
• Neue Normen werden zukünftig von der EU-Kommission in einer zentralen Datenbank veröffentlicht.

• Anbieter von Datenverarbeitungsdiensten müssen für den Wechsel sowie um unrechtmäßigen staatlichen Zugang von Drittländern zu verhindern, Schutzvorkehrungen umsetzen. Dies erfordert bspw. die Verschlüsselung von Daten sowie die regelmäßige Durchführung von Audits.

Ab wann gelten diese Maßnahmen?

Allgemein gilt der Data Act ab dem 12. September 2025. Schon seit dem 11. Januar 2024 dürfen aber grundsätzlich nur noch ermäßigte Wechselentgelte erhoben werden.

Durchsetzung der Verpflichtungen aus dem Data Act

Die Pflichten aus dem Data Act können von den Kunden vertraglich und von den Mitgliedstaaten mit Sanktionen durchgesetzt werden. Es wird Bußgelder geben, die auf der Grundlage von Methoden berechnet werden, die bereits aus der DS-GVO bekannt sind – u.a. dem Jahresumsatz.

Weiterführend: Der Data Act bringt Chancen und Risiken im Zusammenhang mit der Datennutzung in der EU, aber auch Unsicherheiten für die gesamte Datenindustrie mit sich. Wir bieten Hilfestellung zu allen relevanten Themen, von allgemeinen Übersichten bis hin zu Spezialthemen wie Datenzugangsrechten, Smart Contracts, Finanzdaten und den Schnittstellen zur künstlichen Intelligenz.