Navigation und Service

Springe direkt zu:

Da­ten­ver­ar­bei­tungs­diens­te und An­bie­ter­wech­sel

Das Kapitel VI des Data Act enthält Vorgaben, die es Kunden von Datenverarbeitungsdiensten erleichtern, zu einem anderen Datenverarbeitungsdienst zu wechseln. Bei Datenverarbeitungsdiensten handelt es sich vor allem um Cloud-Dienste.

Viele Unternehmen und öffentliche Einrichtungen sind heute stark von einzelnen Datenverarbeitungsdiensten – oftmals Cloud-Diensten – abhängig. Ein Anbieterwechsel oder eine parallele Nutzung von Datenverarbeitungsdiensten sind oft mit hohen Kosten, technischen Hürden oder vertraglichen Einschränkungen verbunden. Kapitel VI des Data Act zielt darauf ab, die parallele Nutzung von Datenverarbeitungsdiensten sowie den Wechsel zwischen Anbietern von Datenverarbeitungsdiensten oder zur IT in eigenen Räumlichkeiten zu erleichtern und vorgenannte Hindernisse zu beseitigen. Dies soll einen fairen, transparenten und wettbewerbsfähigen Cloud-Markt schaffen. Die Vorgaben gelten für alle Anbieter von Datenverarbeitungsdiensten unabhängig von der Unternehmensgröße und auch für bestehende sowie neue Verträge.

Was sind Datenverarbeitungsdienste?

Der Begriff „Datenverarbeitungsdienst“ ist definiert in Artikel 2 Nummer 8 Data Act und umfasst eine große Zahl von digitalen Dienstleistungen mit einer sehr großen Bandbreite an unterschiedlichen Anwendungszwecken, Funktionen und technischen Strukturen. Die Definition orientiert sich an gängigen Definitionen von Cloud-Computing-Diensten und wurde so ausgestaltet, dass die verbreiteten Bereitstellungsmodelle (wie zum Beispiel Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)) abdeckt werden. Gleichzeitig besteht aber auch Offenheit für künftige technologische Innovationen im Bereich der Bereitstellung von Datenverarbeitungsdiensten.

Nicht alle Dienste fallen unter die vollständigen Wechsel- und Interoperabilitätsregeln. Artikel 31 Data Act regelt Ausnahmen von Pflichten. Ausnahmen gelten für:

  • individuell zugeschnittene oder entwickelte Datenverarbeitungsdienste, die nicht in großem Maßstab kommerziell angeboten werden sowie
  • Datenverarbeitungsdienste als Test- oder Beta-Version.

Das bedeutet jedoch nicht, dass maßgeschneiderte Dienste vollständig vom Anwendungsbereich von Kapitel VI ausgenommen sind. So müssen Anbieter solcher Dienste beispielsweise offene Schnittstellen bereitstellen und sicherstellen, dass Daten in einem strukturierten, gängigen und maschinenlesbaren Format exportiert werden (Artikel 31 Absatz 1 Data Act).

Anbieter, die sich auf solche Ausnahmen berufen, sind verpflichtet, Kunden vor Vertragsabschluss ordnungsgemäß darüber zu informieren, welche Pflichten aus Kapitel VI des Data Act nicht gelten.

Welche besonderen Vorgaben gelten für die Bereitstellungsmodelle IaaS, PaaS, SaaS?

Der Data Act verpflichtet Anbieter von Datenverarbeitungsdiensten zur Beseitigung aller bestehenden Hindernisse, die die parallele Nutzung von Datenverarbeitungsdiensten, einen Wechsel zu einem anderen Anbieter, der die gleiche Dienstart anbietet, oder einen Wechsel in eine eigene IT-Infrastruktur, behindern. Diese Vorgaben gelten übergreifend für alle typischen Cloud-Service-Bereitstellungsmodelle wie IaaS, PaaS und SaaS.

Für IaaS gilt zudem:

Anbieter von IaaS sind verpflichtet, alle ihnen vernünftigerweise zur Verfügung stehenden Maßnahmen zu ergreifen, um zu ermöglichen, dass nach dem Wechsel des Kunden zu einem neuen Diensteanbieter der gleichen Dienstart bei der Nutzung durch den Kunden Funktionsäquivalenz erreicht wird. Nach Artikel 30 Absatz 1 Data Act bedeutet dies konkret, dass der ursprüngliche Anbieter angemessene Informationen, die technische Dokumentation, aber auch technische Unterstützung sowie Kapazitäten und gegebenenfalls die erforderlichen Instrumente zur Verfügung stellen muss.

Für PaaS und SaaS gilt:

Abgebende Anbieter von PaaS oder SaaS müssen sowohl ihren Kunden als auch den neuen Anbietern, zu denen ein Kunde wechseln möchte, unentgeltlich eine offene Schnittstelle für die betriebenen Dienste zur Verfügung stellen. Um dem Kunden und dem neuen Anbieter die Nutzung der Schnittstelle zu ermöglichen, muss der abgebende PaaS- oder SaaS-Anbieter zudem die hierfür notwendige Dokumentation bereitstellen.

Abgebende Anbieter von PaaS oder SaaS müssen weiterhin die Interoperabilität für die Übertragbarkeit von Daten gewährleisten und zwar auf Basis standardisierter Spezifikationen/Normen. Diese werden in der zentralen Datenbank der Europäischen Union für Normen für Datenverarbeitungsdienste veröffentlicht. Spätestens zwölf Monate nachdem diese Spezifikationen oder Normen veröffentlicht wurden, müssen die Anbieter von PaaS oder SaaS diese im Rahmen der Wechselprozesse verwenden.

Was bedeutet gleiche Dienstart?

Die Vorschriften über den Wechsel zwischen Datenverarbeitungsdiensten finden nur dann Anwendung, wenn die „gleiche Dienstart“ bei abgebendem und übernehmendem Anbieter vorliegt (Artikel 23 Data Act). Dies bedeutet gemäß der Definition in Artikel 2 Nummer 9 Data Act, dass der Datenverarbeitungsdienst kumulativ „dasselbe Hauptziel“, „dieselben Hauptfunktionen“ sowie dasselbe Dienstmodell für die Datenverarbeitung aufweisen muss.

Wechselablauf und Fristen

Anbieter sind verpflichtet, in ihren Verträgen klar und verständlich zu regeln, wie ein Anbieterwechsel abläuft. Kunden müssen schon vor Vertragsschluss nachvollziehen können, welche Rechte sie beim Datenexport, bei der Kündigung und bei der Unterstützung durch den Anbieter haben. Diese Informationen müssen etwa in Allgemeinen Geschäftsbedingungen, Angebotsunterlagen oder auf der Website des Anbieters verfügbar sein.

Alle Beteiligten, einschließlich der übernehmenden Anbieter von Datenverarbeitungs-diensten, arbeiten konstruktiv zusammen, damit der Wechsel effektiv vollzogen wird, Daten rechtzeitig übertragen werden können und die Kontinuität des Datenverarbeitungsdienstes aufrechterhalten wird.

Da die technische Ausgangslage in der Praxis sehr unterschiedlich ist, lassen sich Wechselvorgänge sinnvoll in zwei Szenarien unterteilen. Szenario A mit geringer und Szenario B mit hoher technischer Komplexität.

Szenario A – Geringe technische Komplexität

Szenario A ist der Standardfall. Der Wechsel ist technisch ohne größere Komplexität möglich.

Wechselprozess in Szenario A Wechselprozess in Szenario A

  1. Wechselabsicht mitteilen / Kündigungsfrist
    Kunden informieren den Anbieter, dass sie kündigen oder wechseln möchten. Der Anbieter hat gemäß der im Data Act vorgeschriebenen Kündigungsfrist anschließend maximal zwei Monate Zeit, um die technischen Vorbereitungen zu treffen.

  2. Übergangsfrist
    Anschließend beginnt der technische Wechselprozess. Dieser hat eine Übergangsfrist von maximal 30 Kalendertagen.

    Wichtig hierbei: Kunden dürfen die Übergangsfrist einmalig um einen Zeitraum verlängern, den sie für ihre eigenen Zwecke für angemessener halten, zum Beispiel wenn sie mehr Zeit für Tests oder Vorbereitungen benötigen. Diese Verlängerung ist nicht an eine technische Begründung gebunden.

    Während der so vereinbarten Übergangsfrist müssen die Daten übertragen werden, die nötigen technischen Schnittstellen bereitstehen und der neue Anbieter die Anwendungen in Betrieb nehmen können. Der ursprüngliche Dienst muss währenddessen erreichbar bleiben.

  3. Abschluss des Wechsels und Nachbereitungszeit

    Auch nach Abschluss des Wechsels müssen die Daten beim bisherigen Anbieter noch mindestens 30 Kalendertage abrufbar bleiben. Das gibt die Möglichkeit, letzte Sicherungen zu machen oder fehlende Daten zu ergänzen. Danach müssen die Daten gelöscht werden, sofern kein rechtlicher Grund zur Aufbewahrung besteht.

Szenario B – Hohe technische Komplexität

In einigen Fällen kann ein Anbieterwechsel technisch nicht innerhalb von 30 Kalendertagen erfolgen, zum Beispiel bei sehr komplexen IT-Umgebungen. In diesem Fall sieht der Data Act die Möglichkeit einer Fristverlängerung vor.

Wechselprozess in Szenario B Wechselprozess in Szenario B

  1. Wechselabsicht mitteilen / Kündigungsfrist
    Auch hier gilt: Kunden informieren den Anbieter, dass sie kündigen oder wechseln möchten. Der Anbieter hat gemäß der im Data Act vorgeschriebenen Kündigungsfrist maximal zwei Monate Zeit, um die technischen Vorbereitungen zu treffen. Wenn der Anbieter feststellt, dass der Wechsel in der anschließenden Übergangsphase technisch nicht innerhalb von 30 Kalendertagen möglich ist, muss er dies innerhalb von 14 Arbeitstagen mitteilen und eine technische Undurchführbarkeit begründen.
  2. Alternative Übergangsfrist
    Ist die technische Undurchführbarkeit begründet, hat der Anbieter die Möglichkeit, die Übergangsphase auf bis zu sieben Monate zu verlängern.
    Wichtig hierbei: Auch in Szenario B gilt, Kunden können die Übergangsfrist zusätzlich freiwillig um einen für ihre eigenen Zwecke angemesseneren Zeitraum verlängern, unabhängig vom technischen Grund.
    In der dann vereinbarten Übergangsfrist müssen die Daten übertragen werden, die nötigen technischen Schnittstellen bereitstehen und der neue Anbieter die Anwendungen in Betrieb nehmen können. Der ursprüngliche Dienst muss währenddessen aufrechterhalten bleiben.
  3. Abschluss des Wechsels und Nachbereitungszeit
    Nach Abschluss des Wechsels gilt wie im Standardfall in Szenario A: mindestens 30 Kalendertage lang müssen die Daten beim bisherigen Anbieter noch abrufbar sein. Danach müssen die Daten gelöscht werden, sofern kein rechtlicher Grund zur Aufbewahrung besteht.

Wann gelten die neuen Regeln für den Anbieterwechsel?

Ab dem Geltungsbeginn des Data Act am 12. September 2025 müssen sowohl zuvor abgeschlossene als auch neu abgeschlossene Verträge den Vorgaben in Kapitel 6 entsprechen.

Abschaffung von Wechselentgelten

Der Data Act regelt den Umgang mit sogenannten „Wechselentgelten“ also Entgelten, die bei einem Anbieterwechsel für den Nutzer anfallen. Diese Entgelte werden stufenweise vollständig abgeschafft:

  • Im Übergangszeitraum vom 11. Januar 2024 bis 11. Januar 2027 dürfen Anbieter nur noch tatsächliche, direkte Kosten in Rechnung stellen.
  • Ab dem 12. Januar 2027 dürfen überhaupt keine Wechselentgelte mehr erhoben werden.

Bevor ein Vertrag abgeschlossen wird, muss der Anbieter dem Kunden gemäß Data Act klar sagen, welche Standarddienstentgelte zum Betrieb eines Dienstes anfallen können, welche möglichen verhältnismäßigen Entschädigungen es bei einer vorzeitigen Kündigung gibt und welche ermäßigten Wechselentgelte während des stufenweisen Übergangszeitraums vom 11. Januar 2024 bis 12. Januar 2027 erhoben werden.

Sind meine Daten vor Zugriffen aus Drittstaaten geschützt?

Die in der EU gespeicherten Daten sind nach dem Data Act besonders geschützt. Anbieter von Datenverarbeitungsdiensten dürfen Daten nicht an Behörden oder Stellen außerhalb der EU weitergeben, es sei denn, es besteht eine gültige rechtliche Grundlage.

Das bedeutet: Auch wenn zum Beispiel eine ausländische Behörde (etwa in den USA, China oder in einem anderen Staat außerhalb der EU) eine Datenherausgabe verlangt, muss der Anbieter zunächst prüfen, ob ein solches Ersuchen mit EU-Recht vereinbar ist. Gibt es keine rechtliche Grundlage – etwa ein bilaterales Abkommen oder eine EU-Rechtsvorschrift – muss der Anbieter die Herausgabe ablehnen.

Weitere Informationen finden Sie auch im Abschnitt „Staatlicher Datenzugang im internationalen Umfeld“.

Standardvertragsklauseln / Standard Contractual Clauses (SCCs)

Die SCCs der Europäischen Kommission bieten eine strukturierte und anpassbare Grundlage, um die neuen Anforderungen effizient in die Praxis zu überführen – bei gleichzeitigem Spielraum für individuelle und branchenspezifische Anpassungen. Die SCCs sollen Kunden und Anbietern von Datenverarbeitungsdiensten bei der vertraglichen Umsetzung ihrer Rechte und Pflichten nach dem Data Act unterstützen. Sie gelten für alle Cloud-Modelle (IaaS, PaaS, SaaS) und bieten Musterklauseln, die in die eigenen Verträge übernommen werden können. Die SSCs der Europäischen Kommission sind nicht verbindlich, ihre Anwendung erfolgt auf freiwilliger Basis.

Struktur der SCCs:

  • Die SCCs bestehen aus modularen Klauseln, die in ihrer Gesamtheit oder einzeln genutzt werden können.
  • Sie sind nicht als vollständiger Vertrag gedacht, sondern als Ergänzung zu einem umfassenden Vertrag über Datenverarbeitungsdienste. Weitere Aspekte außerhalb des Anwendungsbereichs des Data Act müssen zusätzlich geregelt werden.
  • Ein integrierter Abschnitt mit Definitionen, die auf dem Data Act basieren, soll für einheitliches Verständnis sorgen.
  • Die SCCs enthalten Querverweise auf relevante Artikel des Data Act sowie auf andere Klauseln innerhalb des Dokuments, was die rechtliche Orientierung erleichtert.

Flexibilität:

  • Die vollständige Verwendung aller modularen Klauseln wird von der Europäischen Kommission empfohlen, ist aber nicht zwingend.
  • Eine teilweise Nutzung oder Modifikationen sind möglich, erfordern jedoch eine sorgfältige rechtliche Prüfung, um keine Lücken oder Widersprüche zu erzeugen.

Kontakt

E-Mail: DataAct@BNetzA.de

Service

Glossar zum Data Act

Links

Data Act Gesetzestext

FAQs der EU Kommission

EU Kommission: Data Act erklärt

Mastodon