Danske virksomheder skal tilpasse sig nye regler for cloud-tjenester, når den kommende Data Act træder i kraft fra september 2025. Som led i bestræbelserne på at fremme en innovativ dataøkonomi i Europa, introducerer Data Act nye regler, herunder kortere opsigelsesvarsler og lettere skift mellem cloud-tjenester. I denne artikel giver vi et overblik over de kommende ændringer og indspark til hvilke strategiske overvejelser din virksomhed bør foretage for at tilpasse sig de nye krav.
Forretningsmodellen i dag
Cloud-løsninger leveres i dag typisk på en forretningsmodel, der indebærer (a) en bindingsperiode og (b) forudbetaling. F.eks. kan den samme ydelse købes til en pris uden binding og en anden pris ved et eller tre års binding, der forudbetales årligt.
Forretningsmodellen giver typisk god mening. Der kan være gode rabatter at opnå ved længere bindinger. Derudover giver forudbetalingen likviditet og gør det muligt at indregne salget i leverandørens regnskaber.
Med Data Act på vej er det en god idé at gennemgå modellen for at sikre, at den er tilpasset de nye krav.
Hvad er Data Act?
Data Act indeholder egentlig primært en række regler, der skal gøre dataudveksling nemmere, f.eks. adgang til data opsamlet af IoT-enheder. Men lidt diskret mod slutningen af forordningen, gemmer sig nogle anonyme – men ret betydningsfulde – regler om cloud-tjenester. Reglerne skal gøre det nemmere at skifte mellem cloud-tjenester. Dette sker gennem krav om bl.a. oplysninger, adgang til data osv., men også indgribende regler om ret til hurtig opsigelse og begrænsninger i muligheden for at kræve betaling ved et skifte
Essensen af reglerne om opsigelse og betaling
Data Act begrænser aftalefriheden ift. opsigelse og betaling, så der nu kun findes to muligheder:
- Opsigelsesvarsel på højest to måneder
- Ingen betaling af skiftegebyr
Formålet er, at kunden hurtigt skal kunne flytte til en ny leverandør eller fortsætte i egen løsning – og tage al data med sig. Uden yderligere betaling. Det betyder i praksis, at cloud-løsningerne skal indrettes til at understøtte et hurtigt skifte.
Hvad er det egentlig, der ikke længere må tages betaling for?
Begrænsningen i betaling retter sig mod ”skiftegebyr”. Grænsen mellem skiftegebyr og de øvrige betalinger er dog ikke entydig i Data Act. Desuden bør man holde sig formålet med Data Act for øje; reglerne skal fjerne barrierer.
Det vil med sikkerhed ikke længere være tilladt at tage betaling for at hjælpe kunden med at eksportere data. Men definitionen går faktisk længere end det. Det er formentlig enhver betaling, der opkræves for at skifte til en anden leverandør eller hjemtage servicen.
Omvendt er der ikke et forbud mod ”sanktioner ved førtidig opsigelse” eller ”standardtjenestegebyrer”. Det er ikke entydigt defineret i Data Act. Det formodes dog at betyde, at man fortsat godt må kræve ”termination fee” eller betaling af allerede aftalte betalinger for cloud-tjenesten.
Selvom der således ikke længere kan aftales en bindingsperiode over to måneder, kan aftaler om længere betaling derfor godt fastholdes. Ligeledes kan en aftale om manglende tilbagebetaling af forudbetalinger formentlig også opretholdes.
Men hvor langt holder dette, før det vil blive anset for en omgåelse? Vil det f.eks. være lovligt at kræve betaling svarende til 10 års licens ved opsigelse? Eller fastholde en aftale om 10 års licensbetaling, hvis der opsiges efter to måneder?
Der er næppe tvivl om, at det vil være en barriere for et skifte mellem to cloud-tjenester. Men vil det være en lovlig barriere?
Behov for opdaterede aftaler
Data Act indeholder en række andre regler for cloud-leverandører, f.eks. om krav til oplysninger af forskellig art, indholdet af aftalen mellem kunde og leverandør, frister og undtagelser hertil osv.
Ligeledes indeholder Data Act en række uklarheder, f.eks. hvad en cloud-leverandør – eller ”databehandlingstjeneste”, som det defineres i Data Act – egentlig er.
Det er dog med sikkerhed regelsæt, enhver leverandør af cloud-ydelser bør undersøge nærmere.
Det er således ikke længere muligt at aftale et års uopsigelighed. Men betalingen for det fulde år kan godt fastholdes. Så længe der ikke opkræves betaling forbundet med skiftet, f.eks. for dataeksport. Ligeledes skal alle omkostninger oplyses.
Aftalerne skal derfor genbesøges og tilrettes. Det er formentlig muligt at opnå en del af samme formål, ift. forretningsmodellen, ved længere binding – men det forudsætter en ændring af aftaleteksten.
Hvad gør jeg i praksis?
Leverer man standardiserede ydelser online, f.eks. SaaS, PaaS eller IaaS, bør man starte med at undersøge, om løsningen er omfattet af Data Act eller ej. Det kan godt være kompliceret – og undtagelserne skal vurderes nøje, før forretningsmodellen indrettes efter ikke at være omfattet.
Er løsningen omfattet, skal kundeaftalen tilpasses. En række bestemmelser skal indsættes og nogle eksisterende skal rettes.
Derudover vil der være behov for at overveje den kommercielle og tekniske model. Hvis der f.eks. ikke er nem adgang til dataeksport, bør dette bygges hurtigst muligt.
I det hele taget er der en del arbejde forbundet med Data Act, så det er vigtigt at undersøge nøje, om din virksomhed er omfattet.
Reglerne i Data Act har virkning fra den 12. september 2025 og indfases derefter frem mod den 12. september 2027. Noget af det første, der får virkning, er dog begrænsningerne i betaling for skifte.
Det er derfor vigtigt at begynde forberedelserne nu for at sikre, at din virksomhed er klar til de kommende ændringer.
Vil du vide mere?
Har du spørgsmål til Data Act, eller tech og regulering generelt, er du altid velkommen til at kontakte vores samarbejdspartner DAHL Advokatpartnerselskab og deres juridiske specialister. Ring på 88 91 91 00 eller skriv til shield@dahllaw.dk.