Die aktuellen Leitlinien und Richtlinien für die Cloud beinhalten Anforderungen für die Erstellung eines Cloud-Austrittsplans. Diese Leitlinien und Richtlinien sind jedoch nicht allgemein Rechtlicher Natur. Es gibt keine Sanktionen, wenn diese Anbieterrichtlinien nicht angewendet werden, und Cloud-Benutzer haben derzeit keine Tools, um auf angemessene Bestimmungen in Cloud-Verträge zu bestehen, die es ihnen beispielsweise ermöglichen, Daten an einen anderen Anbieter zu übertragen.

Wird das vorgeschlagene Datengesetz die Situation der Auftraggeber und Auftragnehmer verändern?

Das Datengesetz schlägt Bestimmungen vor, um den Übergang zu anderen Datenverarbeitungsdiensten zu gewährleisten. Wenn die vorgeschlagene Anordnung angenommen wird, wird sie naturgemäß – d. h. in Form einer Verordnung – direkt anwendbar sein, wie es derzeit bei RODO der Fall ist, ohne dass sie in die nationalen Rechtssysteme umgesetzt werden muss.

Nach dem Datengesetz sind die Datenverarbeitungsdienstleister verpflichtet, die im Verordnungsentwurf vorgesehenen Maßnahmen umzusetzen, um sicherzustellen, dass die Kunden, die ihre Dienste nutzen, zu einem anderen Datenverarbeitungsdienst wechseln können, der die gleiche Art von Dienstleistung eines anderen Dienstleisters abdeckt.

Das Datengesetz legt fest, dass die Rechte des Kunden und die Pflichten des Datenverarbeitungsdienstleisters in Bezug auf den Wechsel des Anbieters solcher Dienste in einer schriftlichen Vereinbarung klar und deutlich zu verstehen sind. Der Vertrag sollte daher mindestens Folgendes umfassen:

  1. Klauseln, die den Übergang zu einem von einem anderen Datenverarbeitungsdienstleister angebotenen Datenverarbeitungsdienst oder die Übertragung aller direkt oder indirekt vom Kunden generierten Daten, Anwendungen und digitalen Assets auf das lokale System ermöglichen;
  2. eine umfassende Spezifikation aller Datenkategorien und Anwendungen, die während des Übertragungsprozesses exportiert werden können;
  3. ein Mindestzeitraum von 30 Kalendertagen für die Wiederherstellung von Daten.

Die Vorschläge des Datengesetzes enthalten auch Verpflichtungen für Anbieter in Bezug auf die technischen Aspekte des Lieferantenwechsels sowie die Anforderungen, die von den Datenraumanbietern erfüllt werden müssen, um die Interoperabilität von Mechanismen und Diensten für den Datenaustausch zu erleichtern.

Die vorgeschlagene Verordnung ist ein Schritt hin zu einer „festen“ Regelung der Bestellposition im Rahmen des Übergangs zu anderen Versorgungsleistungen. Die Art der Anordnung in Form einer Verordnung bedeutet, dass die Lieferanten unabhängig von ihren Wünschen die Anforderungen erfüllen müssen, die im Data Act Projekt festgelegt sind. Wenn die Verordnung in der vorgeschlagenen Form angenommen wird, sollten die Lieferanten eine ‘Prüfung’ der von ihnen verwendeten Musterverträge durchführen, um sie an ihre Verpflichtungen aus dem Data Act anzupassen. Dies wird wiederum eine Gelegenheit für die Anforderer sein, eine Anbieterbindung aufgrund der Verpflichtung zu vermeiden, die Umstellung auf andere Datenverarbeitungsdienste eines anderen Anbieters sicherzustellen.

Das Dokument steht am Anfang des ordentlichen Gesetzgebungsverfahrens – es wurde noch nicht in erster Lesung übermittelt[1]. Die Vacatio legis wurde 12 Monate nach dem Inkrafttreten des Datengesetzes festgelegt, sodass die Auftragnehmer genügend Zeit haben, sich auf das Inkrafttreten dieser Verordnung vorzubereiten. Daher wird erwartet, dass die Verordnung nicht früher als in 2-3 Jahren gelten wird.

[1] Das Gesetzgebungsverfahren kann hier verfolgt werden: https://eur-lex.europa.eu/legal-content/EN/HIS/?uri=CELEX%3A52022PC0068