Standard Contractual Clauses (SCCs) für den Data Act

Was steht in den Standardvertragsklauseln?

Nachdem der Data Act im Wesentlichen vorgibt, „was“ erreicht werden soll, konkretisieren die neuen SCCs nun, „wie“ diese Vorgaben praktisch umgesetzt werden können. Mit ihrer Veröffentlichung erfüllt die Europäische Kommission den Auftrag aus Art. 41 Data Act, Standardvertragsklauseln unter anderem für Cloud Computing Verträge bereitzustellen.

Zugleich verfolgt die Kommission mit den SCCs das Ziel, die im Data Act verankerten Grundprinzipien – Datenzugänglichkeit, Fairness und Interoperabilität – auch vertraglich greifbar und anwendbar zu machen. Dadurch sollen der Wettbewerb im Cloud-Sektor gefördert und technologische Abhängigkeiten von einzelnen Anbietern verringern werden.

Indem sie klare, ausgewogene und wiederverwendbare Vertragsrahmen schaffen, stärken die SCCs zudem das Vertrauen in europäische Cloud-Dienste und leisten einen wichtigen Beitrag zur Entwicklung eines offenen, sicheren und wettbewerbsfähigen Datenraums in der EU.

Die Klauseln sind freiwillig und so formuliert, dass sie die Anforderungen des Data Act abbilden und zugleich fair und ausgewogen sein sollen. Sie sind modular aufgebaut, ergänzen sich gegenseitig, können aber auch einzeln verwendet und an konkrete Verträge angepasst werden. Die SCCs gelten für alle Data Processing Services, insbesondere für IaaS, PaaS und SaaS.

Fertige Klauselmodule gibt es zu:

• Switching & Exit – Wechsel und Ausstieg (Annex VI),
• Termination – Kündigung des Vertrages (Annex VI),
• Security & Business Continuity – Sicherheit und Geschäftskontinuität (Annex VIII),
• Non-Dispersion (zentrale Dokumentation) – Vermeidung verstreuter Vertragsdokumentation (Annex IX),
• Liability – Haftung (Annex X),
• Non-Amendment – Verbot einseitiger Vertragsänderungen (Annex XI).

Die SCCs greifen einige Detailfragen auf, die der Data Act offen lässt, etwa:

• konkrete Ablaufpläne für Switching und Exit (Annex VI),
• ein Phasenmodell mit definierten Zeitachsen (Kündigungs- und Übergangszeitraum) (Annex VI),
• eine praktische Rollen- und Aufgabenverteilung zwischen Kunden, ursprünglichem Anbieter und künftigem Anbieter (Annex VI),
• Muster für Haftungsobergrenzen und Risikobewertung (Annex X).

Anbieter, die sich an den SCCs orientieren, können das Risiko für Verstöße gegen zentrale Data-Act-Pflichten reduzieren. Zu beachten ist, dass die Pflichten, die aus der DSGVO erwachsen, separat vertraglich geregelt werden müssen. Sie sind nicht in den Standardvertragsklauseln für den Data Act implementiert.

Zudem kann es zusätzliche sektorale Regulierung für Datenverarbeitungsdienste geben (z.B. für den Finanz-, Gesundheits-, Energie- oder öffentlicher Sektor).

Cloud-Switching nach dem Data Act

Die Regelungen des Data Act zum Cloud Switching betreffen sog. Datenverarbeitungsdienste. Nach Art. 2 Nr. 8 DA handelt es sich dabei – verkürzt gesagt – um eine digitale Dienstleistung, die es einem Kunden ermöglicht, über ein Netzwerk auf einen gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zuzugreifen.

Erfasst sind damit üblicherweise typische Cloud-Leistungen wie IaaS-, PaaS-, SaaS-Dienste, aber auch neue Variationen wie Storage-aaS und Database-aaS. Zentrales Anliegen der Regelungen zum Cloud-Switching ist, den Wechsel zwischen verschiedenen Datenverarbeitungsdiensten zu erleichtern, um einen sog. „Lock-In-Effekt“ zu verhindern. Dazu sieht der Data Act eine Reihe von Pflichten des Anbieters gegenüber seinen Kunden vor, um Hindernisse eines Cloud-Wechsels zu beseitigen. Diese sind insbesondere:

Beseitigung von Wechselhindernissen (Art. 23 Data Act)

1. Informationspflichten, z.B. zum Wechselverfahren (Art. 26, 28 DA)
2. Abschaffung von Wechselentgelten (Art. 29 DA)
3. Technische Unterstützung (Art. 30 DA)
4. Rücksichtnahme und Zusammenarbeit (Art. 27 DA)

Für Cloud-Nutzer ist damit vor allem relevant, dass künftig keine Gebühren, Kündigungsschranken oder Formatbeschränkungen den Anbieterwechsel behindern dürfen. Anbieter wiederum müssen nicht nur vertragliche, sondern auch technische und organisatorische Prozesse schaffen, um die reibungslose Migration von Daten, Workloads und Metadaten sicherzustellen.

Fazit

Trotz der neuen Standardvertragsklauseln bleibt eine qualifizierte Rechtsberatung unverzichtbar. Die SCCs bieten zwar eine wertvolle Orientierung und erleichtern die Umsetzung des Data Act, sie können aber nicht alle individuellen oder branchenspezifischen Besonderheiten abdecken.

Weitere komplexe Fragestellungen, die die SCCs nicht vollständig lösen – etwa zu Schnittstellen mit der DSGVO, Haftungsverteilung oder internationalen Datenflüssen –, erfordern eine rechtliche Bewertung im Einzelfall. Hierbei kann auch die DSGVO relevant werden. Nur durch gezielte Beratung lässt sich sicherstellen, dass Cloud-Verträge nicht nur gesetzeskonform, sondern auch wirtschaftlich und operativ optimal gestaltet sind.

Jetzt ist ein sinnvoller Zeitpunkt, bestehende Cloud-Verträge und Anbieterstrategien eingehend zu überprüfen. Interdisziplinäre Teams aus Recht, IT und Compliance sollten gemeinsam analysieren, wie die neuen SCC-Module praktikabel in bestehende Strukturen eingebunden werden können. Unternehmen, die dabei auf fundierte juristische Beratung setzen, reduzieren nicht nur rechtliche Risiken, sondern stärken zugleich ihre strategische Position im digitalen Binnenmarkt.