Einleitung: Wie der Data Act den Anbieterwechsel erleichtert
Mit dem Data Act (DA) möchte die EU den Austausch und die Nutzung von Daten stärken. Dazu sind ab September 2025 von vielen Datenverarbeitenden Organisationen neue Pflichten zu erfüllen. Die Inhalte des Data Acts beleuchtet diese Blogreihe des Gaia-X Hub Germany. Nachdem vorhergehende Beiträge die neuen Pflichten zur Datenbereitstellung für Behörden sowie für Endnutzer und Dritte erläutert haben, wird Im folgenden Beitrag auf die Regelungen zu Interoperabilität und Providerwechsel eingegangen. Ziel dieser Regelungen ist insbesondere, Kunden den Wechsel ihres Anbieters und die parallele Nutzung mehrerer Dienste zu erleichtern. Damit kann wesentlich zu einem Mehr an Kontrolle und Flexibilität für Nutzende sowie zur Stärkung von Wettbewerb und Innovationskraft der europäischen Datenwirtschaft beigetragen werden.
Was das Ziel der Regelungen ist: Abbau von Wechselhürden
In der aktuellen Datenökonomie haben sich vielerorts Abhängigkeiten von großen Plattformbetreibern ergeben. Ursache dafür sind oft hohe Wechselkosten und komplexe Migrationsprozesse die auf Wechselhürden wie beispielsweise fehlenden Standards und einschränkenden Vertragsklauseln beruhen. Im Ergebnis fehlt es Kunden oft an Handlungsoptionen („Vendor Lock-In“) so dass diese unvorteilhafte Angebote annehmen müssen. Diese können sich zum Beispiel durch überhöhte Preise und ungenügende Leistungen auszeichnen – beispielsweise Dienste, die ein eigentlich gewünschtes Maß an Datenschutz unterschreiten. Um solche Probleme zu vermeiden, sieht der Data Act neue Pflichten zum Abbau von Wechselhürden vor. Erleichtert werden soll so in erster Linie der Wechsel zu einem Anbieter der gleichen Dienstart, der Wechsel zu einer eigenen IKT-Infrastruktur und die parallele Nutzung von Diensten verschiedener Anbieter. Zu diesem Zweck sind von vielen Anbietern vorkommerzielle, gewerbliche, technische, vertragliche und organisatorischen Hindernisse zu vermeiden bzw. beseitigen. Dies gilt beispielsweise für Hürden, die Kunden daran hindern, einen Vertrag mit ihrem aktuellen Anbieter nach angemessener Frist zu kündigen oder einen neuen Vertrag mit einem anderen Anbieter abzuschließen.
Wer von den Regelungen betroffen ist: Anbieter von “Datenverarbeitungsdiensten”
Die Pflichten zum Abbau von Wechselhürden gelten für eine Vielzahl der Anbieter von Datenverarbeitungsdiensten, womit eine “beträchtliche Zahl von Diensten mit einer sehr großen Bandbreite an unterschiedlichen Anwendungszwecken” (Erwägungsgrund 81 DA) gemeint ist. Beinahe jeder Dienst, der einen Umgang mit Daten vorsieht (einschließlich „das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung“ von Daten (Art. 2 Abs. 7 DA)) lässt sich als Datenverarbeitungsdienst fassen. Eindeutige Beispiele sind etwa Dienste, die sich den Kategorien „Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service“ (PaaS) und „Software-as-a-Service“ (SaaS) zuordnen lassen (Erwägungsgrund 81 DA). Aber auch zahlreiche weitere Kategorien von Diensten sind von den neuen Regelungen betroffen. Von den neuen Regelungen weitgehend ausgenommen sind Testversionen oder – in geringerem Maße – bestimmte Spezialanfertigungen. Zudem unterscheidet sich der Umfang von Verpflichtungen je nach Art des Dienstes geringfügig.
Wie der Wechsel umzusetzen ist: Verträge und Technik
Mit dem Data Act werden viele der Anbieter von Datenverarbeitungsdiensten verpflichtet, die nachfolgenden Schritte zu unternehmen, um den Wechsel ihrer Kunden zu anderen Dienstanbietern einfach zu gestalten. So ist beispielsweise vorgesehen, dass bei einem Wechsel auf Wunsch des Kunden “alle exportierbaren Daten und digitalen Vermögenswerte” (Art. 25 Abs. 2 lit. a) DA) auf einen vom Kunden benannten Dienstanbieter oder in eine “IKT-Infrastruktur in eigenen Räumlichkeiten” (Art. 25 Abs. 2 Buchst. a DA) des Kunden zu übertragen sind. Zu solchen Daten zählen Eingabe- und Ausgabe-Daten einschließlich Metadaten, die durch den Kunden oder gemeinsam mit dem Kunden generiert werden. Ausnahmen betreffen Daten, die zum geistigen Eigentum oder zu Geschäftsgeheimnissen des Anbieters oder Dritten fallen. Exportierbare Daten sind dabei in der Regel in einem gängigen maschinenlesbaren Format bereitzustellen. Für die Bereitstellung werden in den meisten Fällen offene Schnittstellen zur Verfügung zu stellen sein (vgl. Art. 30 Abs. 2 DA). Zur Übertragung der Daten besteht in der Regel eine Frist von maximal 30 Tagen nach Ablauf einer Kündigungsfrist von maximal 2 Monaten (vgl. Art. 25 Abs. 2 lit. a) DA). Bei einem Wechsel sind zudem Anforderungen an Sorgfalt und Sicherheit zu erfüllen. Entgelte für den Wechsel dürfen bis 12. Januar 2027 die Kosten des Wechsels nicht überschreiten. Anschließend müssen sie gänzlich entfallen (vgl. Art. 29 Abs. 1 DA). Nur wenn Daten nicht für einen Wechsel, sondern für eine parallele Nutzung von Datenverarbeitungsdiensten genutzt werden, dürfen Entgelte in Höhe der eigenen Kosten erhoben werden (vgl. Art. 34 Abs. 2 DA). Zahlreiche Modalitäten des Wechsels sind von den Anbietern mit den Kunden vertraglich zu regeln. Wenn dabei bestimmte missbräuchliche Vertragsklauseln, einem Unternehmen einseitig auferlegt werden, sind diese nicht bindend (vgl. Art. 13 DA).
Um den Anbieterwechsel zu erleichtern, müssen Anbieter zudem Informations- und Transparenzpflichten erfüllen. So wird meist beispielsweise ein “Online-Register” vorzuhalten sein, dass auch Informationen “zu allen Datenstrukturen und Datenformaten” (Art. 26 lit. b) DA) enthält, die für den Wechsel notwendig sind. Des Weiteren ist unter anderem über “verfügbare Wechsel- und Übertragungsmethoden und -formate sowie über Einschränkungen und technische Beschränkungen” (Art. 26 lit. a) DA) zu informieren.
Zudem müssen Anbieter von Datenverarbeitungsdiensten in der Regel bestimmte Interoperabilitätspflichten erfüllen. Die betreffenden Spezifikationen und Normen werden von der EU in einer eigens geschaffenen zentralen Datenbank gelistet (vgl. Art. 30 Abs. 3 DA). Die Formulierung der Spezifikation kann durch europäische Normungsgremien im Auftrag der EU-Kommission erfolgen (vgl. Art. 33 Abs. 4 DA). In bestimmten Fällen kann die Formulierung auch im Rahmen entsprechender Rechtsakte durch die EU-Kommission selbst erfolgen (vgl. Art. 33 Abs. 5 DA). Für diese Rechtsakte ist auch das sogenannte European Digital Innovation Board einzubeziehen in dem neben anderen Akteuren auch acatech vertreten ist.
Fazit
Mit dem Data Act werden umfassende Pflichten zur Bereitstellung von nutzergenerierten Daten geschaffen – sowohl an Behörden als auch Nutzerinnen und Nutzer sowie Dritte. Darüber hinaus zielt der Data Act außerdem auf den Abbau von Hürden für den Wechsel von Datenverarbeitungsdiensten. Zahlreiche Unternehmen werden in Zukunft einen einfachen Wechsel durch entsprechende Schnittstellen, vertragliche Regelungen, Informationsangebote und die Interoperabilität ihrer Dienste sicherstellen müssen. Dies kann wesentlich dazu beitragen, Kunden von Datenverarbeitungsdiensten ein neues Maß an Selbstbestimmung zu geben. Abhängigkeiten, wie sie insbesondere gegenüber großen Anbietern vielerorts bestehen, können somit abgebaut und ein günstigeres Umfeld für Wettbewerb gefördert werden. Dies dürfte sich positiv auf die Innovationskraft und die Prosperität der europäischen Datenökonomie auswirken.
Verfasst von Dr. Abel Reiberg, Marco Mitrovic und Dr. Karl Wienand