Der EU Data Act stellt in Verbindung mit den Anforderungen von DORA detaillierte technische Anforderungen an Cloud-Exit-Strategien, um Anbieterabhängigkeiten (Lock-in-Effekte) zu beseitigen und die digitale Resilienz zu stärken. Gemäß den Quellen von Prof. Stefan Loubichi umfassen diese Anforderungen folgende Kernpunkte:
1. Bereitstellung und Export von Daten
Anbieter von Cloud-Diensten sind verpflichtet, den Export von Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON, XML, CSV oder Parquet) zu ermöglichen. Dabei müssen folgende Aspekte technisch umgesetzt sein:
- Vollständiger Datenexport: Kunden müssen in der Lage sein, alle ihre Daten und digitalen Assets jederzeit zu migrieren.
- Metadaten-Standards: Es müssen maschinenlesbare Beschreibungen der Daten bereitgestellt werden, einschließlich Feldtypen, Abhängigkeiten und Verschlüsselungsschemata. Dies soll es der Zielumgebung ermöglichen, die Datenstrukturen korrekt zu rekonstruieren und zu interpretieren.
- Vermeidung proprietärer Formate: Der Einsatz von proprietären Formaten, die eine Wiederverwendung oder Migration behindern würden, ist ausdrücklich zu vermeiden.
2. Schnittstellen und Interoperabilität (APIs)
Ein zentrales technisches Instrument sind dokumentierte und sichere Anwendungsprogrammierschnittstellen (APIs).
- Programmatischer Zugriff: Die Schnittstellen müssen so gestaltet sein, dass Kunden oder autorisierte Dritte Daten kontrolliert und programmatisch abrufen und übertragen können.
- Offene Standards: Der Data Act verpflichtet Anbieter zur Unterstützung offener Spezifikationen, um technische Reibungsverluste bei einem Wechsel zu minimieren.
- API-Stabilität: Änderungen an APIs dürfen nicht ohne Vorankündigung erfolgen, um die Lauffähigkeit von Migrationsprozessen nicht zu gefährden.
3. Dokumentation und Testbarkeit
Exit-Strategien müssen nicht nur theoretisch existieren, sondern praktisch testbar sein.
- Technische Dokumentation: Anbieter müssen öffentlich zugängliche, detaillierte Dokumentationen der Exportformate und Migrationsprozesse bereitstellen.
- Simulierte Testläufe (Dry-Runs): Es wird erwartet, dass Migrationsszenarien mindestens jährlich unter Verwendung von Testdaten simuliert werden, um die Wirksamkeit der Exit-Pläne zu belegen.
- Datenvalidierung: Nach einer Migration müssen Mechanismen zur Überprüfung der Datenintegrität eingesetzt werden, wie etwa Prüfsummen (Checksums) und Vergleiche der Datensatzzahlen.
4. Zeitliche und operative Vorgaben
- Migrationszeitraum: Technisch und organisatorisch muss die Migration innerhalb eines angemessenen Zeitrahmens realisierbar sein. In der Praxis werden für typische Finanz-Workloads Zeiträume von 30 bis 45 Tagen (bei komplexen Systemen bis zu 90 Tagen) angesetzt.
- Migrationstools: Anbieter sollten Skripte oder Werkzeuge bereitstellen, die Kunden einen halbautomatisierten Export ihrer Daten ermöglichen.
- Unterstützung von Multi-Cloud-Architekturen: Die technische Architektur sollte die Replikation von Diensten über mehrere Anbieter hinweg sowie den Einsatz von Container-Technologien (wie Docker oder Kubernetes) unterstützen, um die Portabilität von Workloads zu erhöhen.
Zusammenfassend fordert der Data Act eine Architektur, die „Exit-ready“ ist, indem sie auf offene Standards, umfassende Metadaten und automatisierbare Schnittstellen setzt.
