Der EU Data Act (auf deutsch: die EU Datenverordnung) ist am 11. Januar 2024 in Kraft getreten. Im öffentlichen Interesse standen bisher vor allem vernetzte Produkte.
Aber auch Anbieter von Cloud-, SaaS-, Edge- und ähnlichen Diensten sind betroffen. Ihnen widmet der Data Act ein eigenes Kapitel. Dieses Kapitel VI enthält Regelungen für so genannte Datenverarbeitungsdienste und zielt primär darauf ab, den Wechsel zwischen verschiedenen Diensten zu erleichtern, d.h. bestehende Wechselhürden abzubauen.
Insbesondere sofern Anbieter mit langen Vertragslaufzeiten arbeiten oder der Export der Kundendaten aufwändig ist, muss das Geschäftsmodell auf den Prüfstand gestellt werden – am besten sofort.
Dies hat im Wesentlichen die folgenden Gründe:
Lange Vertragslaufzeiten sind hinfällig. Der Kunde kann jederzeit mit einer Ankündigungsfrist von zwei Monaten den Wechsel zu einem anderen Anbieter einleiten. Nach weiteren 30 Tagen soll der Wechsel im Regelfall erfolgreich abgeschlossen sein. Hiernach gilt der bisherige Vertrag grundsätzlich als beendet. Die bisherige Praxis, anbieterseitige Anfangsinvestitionen über gewisse Mindestvertragslaufzeiten zu refinanzieren, wird also nicht mehr ohne weiteres funktionieren. Als Alternative kommen beispielsweise Set-up Fees in Betracht, die in den letzten Jahren im Zuge der Umstellung auf SaaS an Bedeutung verloren hatten, ggf. auch Zahlungen für den Fall einer vorzeitigen Vertragsbeendigung (z.B. sog. Termination Fees).
Exit-Support kann sehr aufwändig sein, ist aber perspektivisch grundsätzlich kostenlos zu erbringen. Konkret: Seit dem 11. Januar 2024 dürfen nur noch ermäßigte Wechselentgelte erhoben werden, ab dem 12. Januar 2027 soll der Wechsel grundsätzlich kostenlos sein. Zugleich sieht der Data Act jedoch umfassende Support-Pflichten vor, denen sich der ursprüngliche Anbieter nicht entziehen kann.
Der Anbieter ist – bis zu einem gewissen Grad – für Interoperabilität mit dem System des neuen Anbieters verantwortlich.
Diese Themen sollten sofort angegangen werden, da sie viele Anbieter zu einer Anpassung des Geschäftsmodells zwingen werden. Wenn der Data Act ab dem 12. September 2025 voll wirksam ist, müssen Anbieter von Datenverarbeitungsdiensten zudem auch die weiteren Pflichten aus dem Data Act erfüllen. Die zu ergreifenden Maßnahmen umfassen insbesondere:
Anbieter von Datenverarbeitungsdiensten müssen zudem Schutzvorkehrungen gegen staatlichen Zugriff aus Drittländern umsetzen.
Bei Verstößen gegen den Data Act drohen – neben den zivilgerichtlichen Auseinandersetzungen mit Kunden – auch Sanktionen von Aufsichtsbehörden, wobei die Höhe der drohenden Bußgelder derzeit noch nicht feststeht. Besonders pikant: Die Cloud-Vorschriften des Data Act dürften Marktverhaltensregelungen darstellen; Wettbewerber könnten etwaige Verstöße abmahnen.
Einen Überblick über die Regelungen des Data Act auch zu vernetzten Produkten gibt Ihnen dieser Blogbeitrag.
