Was das Gesetz für Cloud-Anbieter und Kunden bedeutet

Seit Januar 2024 ist der EU Data Act geltendes europäisches Recht und stellt insbesondere die Anbieter von Cloud-Services wie Datenspeicher- oder Softwarelösungen vor beträchtliche Herausforderungen: Künftig müssen sie ihren Kunden den Wechsel zu einem anderen Anbieter deutlich erleichtern, unter anderem indem sie die bei ihnen gespeicherten Daten zügig und passend aufbereitet zu Verfügung stellen.

Zudem schreibt die Verordnung vor, die Wechselentgelte schrittweise zu reduzieren, beziehungsweise solche Gebühren letztendlich sogar ganz abzuschaffen. Grundsätzlich geht es darum, sogenannte "Lock-in"-Effekte abzubauen, bei denen Kunden in eine Abhängigkeit von den Anbietern von Cloud-Services geraten. Das neue Regelwerk soll es Anwenderunternehmen erleichtern, Kosten- und Funktionsvorteile bei anderen Anbietern flexibler wahrnehmen zu können. Außerdem soll das vereinfachte "Cloud Switching" den Wettbewerb und auch die Entstehung neuer Service-Angebote fördern.

Für die Anbieter kann die neue Verordnung jedoch zu erheblichen finanziellen Einbußen führen. Darüber hinaus besteht für sie die Gefahr rechtlicher Auseinandersetzungen. Dennoch wird das betreffende Kapitel VI des Data Act in der öffentlichen und fachlichen Diskussion auch ein halbes Jahr nach seiner Veröffentlichung kaum beachtet, was erhebliche Risiken mit sich bringt und sich dringend ändern sollte.

Viel Kritik am EU-Datengesetz: Data Act – Datenkatalysator oder Bürokratiemonster?

Grundsätzlich regelt Kapitel VI nicht wie die anderen Abschnitte des Data Act die Herausgabe von Daten für IoT-Anwendungen oder öffentliche Zwecke. Es sieht vielmehr vertragliche, technische und organisatorische Vorgaben zum Wechsel des Cloud-Anbieters vor. Die Bedeutung des Kapitels ist enorm: Nahezu alle Unternehmen nutzen bereits Cloud-Services und werden dies in Zukunft noch intensiver tun. Zu den von der Verordnung betroffenen Anbietern gehören längst nicht nur Hyperscaler wie Microsoft Azure oder Amazon AWS. Auch für mittelständische Betreiber privater Clouds sowie Anbieter von Infrastructure- und Software-as-a-Service-Lösungen ist das neue Gesetz relevant.

Cloud-Switching ohne Ausfallzeiten und unangemessene Kosten

Laut dem Data Act dürfen aufgrund eines Provider-Wechsels künftig möglichst keine Ausfallzeiten entstehen und keine unangemessenen Erschwernisse oder Kosten für die Datenmigration anfallen. Die abgebenden Provider werden dazu verpflichtet, keine Hindernisse für den Wechsel aufzustellen beziehungsweise bestehende zu beseitigen. Im Rahmen ihrer Möglichkeiten und im Verhältnis zu ihren jeweiligen Verpflichtungen müssen sie angemessene Unterstützung anbieten, die erforderlich ist, um einen Wechsel erfolgreich, sicher und effektiv zu gestalten.

Bleiben Sie immer gut informiert über alle Ereignisse in der weltweiten IT-Szene - mit den Newslettern der COMPUTERWOCHE.

Konkret schreibt die Verordnung vor: Auf Verlangen, spätestens aber beim Exit, müssen die Anbieter dem Kunden seine Daten in "funktionaler Äquivalenz" in der Regel innerhalb von 30 Tagen zur Verfügung stellen. Zudem sollen sie angemessene Unterstützung beim Wechsel leisten und die Kontinuität des Geschäftsbetriebes und der Nutzung der Dienste ermöglichen. Für komplexe Softwareprojekte ist eine Frist von höchstens sieben Monaten vorgesehen.

Die Exit-Unterstützung darf nach einem Übergangszeitraum von drei Jahren nicht länger separat in Rechnung gestellt werden. Während dieser Übergangszeit ist es den Dienstleistern möglich, ermäßigte Wechselentgelte anzusetzen. Diese dürfen jedoch die tatsächlich anfallenden, unmittelbar mit dem Wechsel in Verbindung stehenden Kosten nicht überschreiten. Darüber hinaus werden die Anbieter von Cloud Services verpflichtet, die vorgenannten und einige weitere Punkte in den Kundenverträgen transparent zu regeln.

Rechtliche Auseinandersetzungen und Bußgelder vermeiden

Die neuen Regeln betreffen laut dem EU Data Act "Datenverarbeitungsdienste". Darunter zu verstehen sind digitale Dienstleistungen, die einem Kunden bereitgestellt werden und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglichen. Weiteres Kennzeichen: Diese Services lassen sich mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitstellen und freigeben, und können. Sie werden nach Bedarf lastabhängig schnell erhöht oder verringert werden.

Laut dem Data Act fallen nach allgemeinem Verständnis von Anbietern und Nutzern und im Einklang mit dem konkreten Gesetzestext unter diese Definition mindestens die gängigen XaaS-Modelle. Allerdings gibt es an dieser Stelle auch sicherlich Grenzfälle, die gesondert zu beachten sind.

Geschäftsgeheimnisse in Gefahr SAP und Siemens fordern Änderungen beim Data Act

Um rechtliche Auseinandersetzungen, aber auch Bußgelder und Sanktionen zu vermeiden, die von den EU-Mitgliedsstaaten noch festzulegen sind, sollten die Anbieter der genannten Dienste bereits jetzt tätig werden. So hat zeitgleich mit dem Inkrafttreten der dreijährige Übergangszeitraum bis zum endgültigen Ende der Wechselentgelte Anfang 2027 begonnen. Die Umsetzung der weiteren Anforderungen des Data Act muss bis September 2025 erfolgen. Nicht eindeutig geregelt ist, ob die neue Verordnung auch für einen Exit nach Ablauf der Übergangszeit gilt, wenn der Vertrag vor Inkrafttreten beziehungsweise vor Ablauf der Übergangsfrist geschlossen wurde. Auch hier lauert Konfliktpotenzial.

Was Cloud-Provider jetzt tun müssen

Um die gesetzlichen Vorgaben rechtzeitig erfüllen zu können und finanzielle Einbußen zu vermeiden, müssen Cloud-Provider bereits heute aktiv werden und an den folgenden Punkten ansetzen:

• Verträge prüfen: Der Data Act erfordert neue Vertragsklauseln beziehungsweise lässt möglicherweise bestehende Klauseln ungültig werden. Es ist daher wichtig zu prüfen, ob die Verträge den neuen Anforderungen entsprechen. Anderenfalls könnten Kunden die Klauseln anfechten. Auch Klagen von Seiten der Aufsichtsbehörden drohen.

• Sicherstellen, dass ab September 2025 die Daten in der vorgeschriebenen Zeit und Qualität zur Verfügung gestellt werden können. Wichtige Fragen, die hierzu beantwortet werden müssen: Sind wir in der Lage, die Daten in der vorgegebenen Zeit bereitzustellen? Was beinhaltet eine "angemessene" Unterstützung beim "nahtlosen" Wechsel zu einem Konkurrenzanbieter? Welche Metadaten gelten zum Beispiel nicht als Intellectual Property und müssen bereitgestellt werden, um den Wechsel zu erleichtern?

• Leistungs- und Preismodelle anpassen. Auch an dieser Stelle gilt es, verschiedene Aspekte zu klären: Welche Aufwände entstehen, wenn die Daten innerhalb der gesetzlich vorgegebenen Frist von 30 Tagen zur Verfügung gestellt werden müssen? Welche Kosten dürfen wir dem Kunden heute und in den kommenden Jahren in Rechnung stellen? Wie können wir unsere Leistungs- und Preismodelle modifizieren, um finanzielle Einbußen zu vermeiden?

• Standards zur Datenportabilität erarbeiten. Zur Sicherstellung einer einfachen Übertragbarkeit und Interoperabilität entstehen Pflichten und Gebote für abgebende und aufnehmende Provider. Zudem sieht die Verordnung vor, dass sich die Anbieter von Cloud-Services zusammentun und einheitliche Standards und Schnittstellen zur Datenportabilität erarbeiten. Zu empfehlen wäre an dieser Stelle ein entsprechender Zusammenschluss der Provider, um die Vorgaben des Data Act künftig erfüllen zu können.

Was die Kunden der Cloud-Provider jetzt tun müssen

Für die Kunden stellt das neue Gesetz grundsätzlich einen Vorteil dar. Sie können den Cloud-Anbieter schneller wechseln und Kosten- und Funktionsvorteile flexibler nutzen. Aber auch für sie besteht Handlungsbedarf, wenn sie von der neuen Verordnung profitieren möchten. Dies liegt vor allem an den Widersprüchen und Unklarheiten in den Formulierungen, die ein generalisiertes Normenwerk zwangsläufig mit sich bringt.

So sind zentrale Begrifflichkeiten wie "Metadaten" nicht eindeutig definiert. Dasselbe gilt für das eigene "Intellectual Property", das der herausgebende Provider schützen darf. Auch darüber, was eine "angemessene" Unterstützung ist, wie sie im Data Act gefordert ist, wird es Diskussionen geben. Im Zweifel müssen Kunden auch nachweisen, dass die bezogenen Cloud-Services tatsächlich unter die entsprechenden Regelungen des Data Act fallen.

Die Kunden sollten daher in ihren Outsourcing-Verträgen weiterhin auf Exit-Vereinbarungen achten, in denen die dehnbaren Begrifflichkeiten klarer und individuell für den speziellen Vertragsgegenstand definiert werden. Diese Klarheit im Vorfeld ist umso wichtiger, als im Rahmen eines Exits rechtliche Schritte gegen den Provider nicht unbedingt zielführend sind. Denn werden diese eingelegt, erfolgt die Datenherausgabe womöglich erst Jahre später. (ba)