Ab dem 12. September wird der EU Data Act - auch als EU Datenverordnung oder EU Datengesetz bekannt - in weiten Teilen voll wirksam. Für Verträge über SaaS, IaaS, Cloud und ähnliche Leistungen ergeben sich zahlreiche Änderungen.
In Kürze:
Im Einzelnen:
Anbietern von Cloud-, SaaS-, Edge- und ähnlichen Diensten widmet der Data Act ein eigenes Kapitel. Dieses Kapitel VI enthält Regelungen für so genannte Datenverarbeitungsdienste und zielt primär darauf ab, den Wechsel zwischen verschiedenen Diensten zu erleichtern, d.h. bestehende Wechselhürden abzubauen.
Insbesondere sofern Anbieter mit langen Vertragslaufzeiten arbeiten oder der Export der Kundendaten aufwändig ist, muss das Geschäftsmodell auf den Prüfstand gestellt werden.
Dies hat im Wesentlichen die folgenden Gründe:
Lange Vertragslaufzeiten sind hinfällig. Der Kunde kann jederzeit mit einer Ankündigungsfrist von zwei Monaten den Wechsel zu einem anderen Anbieter einleiten. Nach weiteren 30 Tagen soll der Wechsel im Regelfall erfolgreich abgeschlossen sein. Hiernach gilt der bisherige Vertrag grundsätzlich als beendet. Die bisher verbreitete Praxis, anbieterseitige Anfangsinvestitionen über gewisse Mindestvertragslaufzeiten zu refinanzieren, wird also nicht mehr ohne weiteres funktionieren. Als Alternative kommen beispielsweise Set-up Fees in Betracht, die in den letzten Jahren im Zuge der Umstellung auf SaaS an Bedeutung verloren hatten, ggf. auch Zahlungen für den Fall einer vorzeitigen Vertragsbeendigung (z.B. sog. Termination Fees).
Besondere Abgrenzungsschwierigkeiten entstehen in der Praxis bei solchen Verträgen, unter denen Datenverarbeitungsdienste ebenso wie andere Leistungen angeboten werden.
Exit-Support kann sehr aufwändig sein, ist aber perspektivisch grundsätzlich kostenlos zu erbringen. Konkret: Seit dem 11. Januar 2024 dürfen nur noch ermäßigte Wechselentgelte erhoben werden, ab dem 12. Januar 2027 soll der Wechsel grundsätzlich kostenlos sein. Zugleich sieht der Data Act jedoch umfassende Support-Pflichten vor, denen sich der ursprüngliche Anbieter nicht entziehen kann.
Der Anbieter ist – bis zu einem gewissen Grad – für Interoperabilität mit dem System des neuen Anbieters verantwortlich.
Wenn der Data Act ab dem 12. September 2025 voll wirksam ist, müssen Anbieter von Datenverarbeitungsdiensten zudem auch die weiteren Pflichten aus dem Data Act erfüllen. Die zu ergreifenden Maßnahmen umfassen insbesondere:
Anbieter von Datenverarbeitungsdiensten müssen zudem Schutzvorkehrungen gegen staatlichen Zugriff aus Drittländern umsetzen.
Bei Verstößen gegen den Data Act drohen Sanktionen von Aufsichtsbehörden, wobei die Höhe der drohenden Bußgelder derzeit noch nicht feststeht.
Besonders relevant werden die Vorschriften aber in direkten Diskussionen oder Auseinandersetzungen zwischen den Vertragsparteien sein, wenn es um den Kündigungswunsch eines Kunden geht – der Anbieter des Dienstes wird sich nicht auf längere Vertragslaufzeiten berufen können. Dieses Thema kann auch relevant für Bilanz und Unternehmensbewertung sein.
Hinzu kommt: Die Cloud-Vorschriften des Data Act dürften Marktverhaltensregelungen darstellen; Wettbewerber könnten etwaige Verstöße abmahnen.
Dr. Andreas Lober
Lennart Kriebel
