Cloud-Switching gemäß EU-Data Act: Auswirkungen für IaaS-, PaaS- und SaaS-Anbieter

Cloud-Switching gemäß EU-Data Act: Auswirkungen für IaaS-, PaaS- und SaaS-Anbieter

Der EU-Data Act (Verordnung (EU) 2023/2854) führt einen umfassenden Rechtsrahmen ein, um die Datenportabilität zu verbessern und die Anbieterabhängigkeiten in der EU-Digitalwirtschaft zu verringern. Eine wichtige Komponente ist die Regelung zum Cloud-Switching (Kapitel VI), die weitreichende Verpflichtungen zur Erleichterung des Wechsels zwischen „Datenverarbeitungsdiensten” festlegt. Für Anbieter Cloud-basierter Dienste (wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)) bringen diese Vorschriften vertragliche, technische und kommerzielle Herausforderungen mit sich. Wir haben die Kapitel II und III der Verordnung in einem früheren GT Alert erörtert.

Breiter Anwendungsbereich

Funktionaler Anwendungsbereich: Die neuen Vorschriften in Kapitel VI gelten für Anbieter von „Datenverarbeitungsdiensten“ („data processing services“). Dieser Begriff ist nicht zu verwechseln mit der aus der DSGVO bekannten „Datenverarbeitung“ („data processing“) – der Begriff „Daten“ ist in der Definition des Data Acts nicht einmal enthalten. Vielmehr wird er als jede digitale Dienstleistung definiert, die einem Kunden bereitgestellt wird und „einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Dienstanbieters rasch bereitgestellt und freigegeben werden können”.

Diese Definition ist bewusst weit gefasst und kann zu Auslegungsfragen und rechtlichen Unsicherheiten führen. Klar ist jedoch, dass die Bestimmungen zum Cloud-Switching nicht nur die traditionellen Hyperscale-Cloud-Anbieter adressieren. Das neue Cloud-Switching-Regime zielt ausdrücklich auf „eine beträchtliche Zahl von Diensten mit einem sehr großen Bandbreite an unterschiedlichen Anwendungszwecken, Funktionen und technischen Strukturen“ ab, einschließlich IaaS-, PaaS- und SaaS-Angeboten – sofern sie unter die Definition Begriff des Datenverarbeitungsdiensten fallen.

Ausgenommen von Kapitel VI sind On-Premise- und Private-Cloud-Lösungen sowie Dienste, die eine hochgradig individualisierte, arbeitsintensive Einrichtung oder Konfiguration durch den Anbieter erfordern . Über diese Ausnahmen hinaus besteht eine regulatorische Grauzone, in der Anbieter eine sorgfältige, dienstbezogene Bewertung vornehmen müssen, um festzustellen, ob ein bestimmtes Angebot als Datenverarbeitungsdienst einzuordnen ist.

(Extra-)territorialer Anwendungsbereich: Wie andere aktuelle EU-Digitalgesetze gelten auch die Bestimmungen zum Cloud-Switching unabhängig vom Sitz des Anbieters, sofern Datenverarbeitungsdienste EU-Kunden angeboten werden. In der Praxis bedeutet dies, dass auch Nicht-EU-Anbieter, die Verträge mit EU-Kunden abschließen, die Vorgaben zum Cloud-Switching einhalten müssen.

Zeitlicher Anwendungsbereich: Die Verpflichtungen aus Kapitel VI gelten ab dem 12. September 2025. Offen bleibt dabei die Frage, ob die Cloud-Switching-Regeln nur für Verträge gelten, die nach diesem Datum abgeschlossen wurden, oder auch auf bestehende Vertragsverhältnisse Anwendung finden.

Neue Verpflichtungen für Cloud-Anbieter: Wechselrecht und Vertragsbeendigung

Kapitel VI des Data Acts führt eine obligatorische Wechselregelung ein, die Cloud-Anbieter in ihre Verträge mit ihren Kunden aufnehmen müssen. Im Wesentlichen muss den Kunden ermöglicht werden, jederzeit zu einem anderen Anbieter (oder zu ihrer eigenen Infrastruktur) zu wechseln, mit der Folge, dass der bestehende Vertrag beendet wird. .

• Wechselrecht: Der Data Act verpflichtet Anbieter, alle vorvertraglichen, kommerziellen, technischen, vertraglichen und organisatorischen Hindernisse zu beseitigen, die Kunden daran hindern könnten, zu einem anderen Anbieter zu wechseln. Anbieter sind verpflichtet, ein umfassendes Wechselrecht in alle Kundenverträge aufzunehmen und sicherzustellen, dass interne Prozesse und technische Fähigkeiten eine nahtlose Migration unterstützen.
• Wechselprozess und Zeitrahmen: Kunden können während der Vertragslaufzeit jederzeit einen Wechsel verlangen. Der Anbieter ist verpflichtet, den Wechselprozess spätestens nach zwei Monaten nach Zugang des Wechselverlangens einzuleiten. Der Wechsel muss innerhalb einer Übergangsfrist von 30 Tagen abgeschlossen sein, während der der Anbieter die Geschäftskontinuität aufrechterhalten und ein hohes Sicherheitsniveau gewährleisten muss. In Fällen besonderer technischer Komplexität kann diese Frist auf bis zu sieben Monate verlängert werden.
• Vertragsbeendigung: Nach erfolgreichem Abschluss des Wechselprozesses gilt der Vertrag zwischen Anbieter und Kunde als beendet. Hier ist der Gesetzestext mehrdeutig formuliert und lässt unterschiedliche Auslegungen zu. Derzeit scheint die EU-Kommission jedoch der Ansicht zu sein, dass die Bestimmungen tatsächlich ein faktisches Kündigungsrecht vorsehen, selbst bei Verträgen mit fester Laufzeit.
• Standardvertragsklauseln: Die EU-Kommission bereitet derzeit gemäß Art. 41 des Data Acts unverbindliche Standardvertragsklauseln (STCs) vor, die den betroffenen Cloud-Dienstleistern Leitlinien für die Umsetzung der Anforderungen gemäß Kapitel VI an die Hand geben. Ähnlich wie die Mustervertragsklauseln für die Umsetzung der Kapitel II und III sind die bisherigen Entwürfe der STCs jedoch kundenfreundlich gestaltet, gehen über die gesetzlichen Anforderungen hinaus und entsprechen in vielen Teilen möglicherweise nicht der branchenüblichen Vertragsstandards. Nach ihrer offiziellen Veröffentlichung sollten sie sorgfältig geprüft und an die rechtlichen Verpflichtungen und wirtschaftlichen Ziele des Unternehmens angepasst werden.

Wie lassen sich wirtschaftliche Ungleichgewichte ausgleichen?

Das Wechselrecht kann zu wirtschaftlichen Ungleichgewichten führen, insbesondere wenn Anbieter Vergünstigungen und Rabatte gewährt oder erhebliche Vorabinvestitionen in langfristige Verträge getätigt haben. Um dem entgegenzuwirken, erlaubt der Data Act die Festlegung angemessener Sanktionen oder Entgelte für die vorzeitige Vertragsbeendigung. In der Praxis können solche Entgelte ein Mechanismus für Anbieter sein, um finanzielle Risiken im Zusammenhang mit Kundenwechseln und Vertragsbeendigungen auszugleichen. Im Gegensatz dazu sind Wechselgebühren (also Entgelte für die Ausführung des Wechselantrags) nur unter engen Voraussetzungen zulässig und werden ab dem 12. Januar 2027 vollständig verboten sein.

Überlegungen für Anbieter

Zur Vorbereitung der Compliance mit den Cloud-Switching-Regelungen  sollten Anbieter die folgenden Maßnahmen in Betracht ziehen:

• Bewertung des regulatorischen Auswirkungen: Alle angebotenen Dienste sollten anhand der Definition von „Datenverarbeitungsdiensten“ im Data Act analysiert und einzeln daraufhin geprüft werden, ob sie unter das Cloud-Switching-Regime fallen.
• Anpassung von Verträgen und Geschäftsbedingungen: Überprüfung und Überarbeitung von Kundenvereinbarungen, um Wechselmöglichkeiten und angemessene Strafen für vorzeitige Vertragsbeendigung zu implementieren.
• Überprüfung von Preismodellen: Die Preisstrukturen, einschließlich der Entgelte für vorzeitige Vertragsbeendigung, sollten an die wirtschaftlichen Auswirkungen eines Wechsels angepasst werden.
• Sicherstellung technischer Umsetzbarkeit: Es sollten robuste technische Fähigkeiten für Datenexport, Migration und Interoperabilität entwickelt werden (vgl. Kapitel VIII des Data Acts).
• Informiert bleiben über regulatorische Leitlinien und Best Practices: Es empfiehlt sich, eine Compliance-Roadmap zu etablieren, regulatorische Leitlinien und neue Standards kontinuierlich zu beobachten sowie interne Schulungs- und Kommunikationsmaßnahmen umzusetzen, um die laufende Compliance und Wettbewerbsfähigkeit zu stärken.