Einsam im Takt der Digitalisierung

Meine Mitarbeiter kamen mit einem lachenden und einem weinenden Auge vom DSAG-Jahreskongress aus Leipzig zurück: Eine SAP-Cloud-Exit-Strategie scheint zum Greifen nahe – natürlich nicht freiwillig und nicht auf Initiative von SAP, aber auf Initiative der EU. Im Data Act findet sich ein Passus, der einen möglichen Cloud-Provider-Wechsel regeln soll. Noch gibt es dazu keine Vertragsmuster, die sollen erst im September 2025 kommen. Ob SAP nun abwartet und eine Adaption der EU-Musterverträge in die Cloud-AGBs übernimmt oder bis Herbst kommenden Jahres eine eigene Version anbietet, wollte oder konnte SAP in Leipzig gegenüber meinen Mitarbeitern nicht sagen. Aber offensichtlich wurde der Wunsch der SAP-Community nach einer konsistenten Cloud-­Exit-Strategie in Brüssel bei der EU erhört.

Ich habe über den EU Data Act auch mit unserem Justiziar gesprochen und er verwies auf einen Zwischenschritt und eine Überbrückungshilfe: Wer nicht bis September 2025 warten will oder kann, der sollte sich in Deutschland die ergänzenden Vertragsbedingungen für Cloudleistungen (EVB-IT Cloud AG) des Digitalverbands Bitkom ansehen.

Interessant ist im EVB-IT-Cloud-Mustervertrag der Bitkom auch folgende hilfreiche Definition: „Bei Public Cloud werden die Ressourcen für eine Vielzahl nicht näher bestimmter Kunden bereitgestellt, während bei einer Private Cloud eine Cloudlösung speziell für einen Kunden angeboten wird. Es existieren aber auch verschiedene andere Modelle wie beispielsweise die Hybrid-Cloud. Die EVB-IT erfassen im Standard die Public Cloud. Nr. 1 des Kriterienkatalogs sieht für alle weiteren Cloudmodelle den Verweis auf eine Anlage vor, um näher zu bestimmen, welcher Typus von Cloud Gegenstand des Vertrages ist.“

Juristisch wird in den kommenden Monaten noch viel Arbeit auf unsere DSAG, die SAP-Community und SAP selbst zukommen. Aus der Blackbox R/3 ist ein ERP-Universum erwachsen, das weit mehr Vorschriften, AGBs und Regelungen verlangt als jemals zuvor. Einiges wird sich mit dem EU Data Act lösen lassen, einiges wird jetzt schon in den SAP-Rise-Verträgen erwähnt, bleibt aber weitgehend unklar: Das Compliance-Thema DPA (Data Processing Agreement) in Rise und Grow with SAP ist mir immer noch ein Rätsel inklusive vieler Querverweise.

Unser Konzernjustiziar hat mich im Rahmen des KI-Diskurses auf das Recht oder Unrecht von Trainingsdaten und Prompts für generative KI hingewiesen. In der SAP-Community beschäftigen wir uns schon seit einigen Jahren mit dem Thema Anonymisierung von Daten für Testanwendungen. Auch Professor Hasso Plattner hat am HPI hierzu geforscht und seine Studenten präsentierten eine Lösung. Für automatisiertes Testen wird die Bereitstellung von anonymisierten Daten besonders wichtig. Trainingsdaten für Large-Language-Modelle sind ebenso begehrt wie Testdaten, aber noch komplexer bezüglich einer sauberen Compliance.

Letztendlich sollte sich jeder SAP-Bestandskunde bewusst sein, dass die Unterzeichnung eines Rise- Vertrags eine einsame Reise wird, weil es nicht einen Vertrag für die S/4-Cloud-Conversion gibt, sondern letztendlich viele Verträge zu orchestrieren sind, die immer abhängig sind von der individuellen Ausgangslage bleiben. Bereits der Vertrag zur Stilllegung der Altsysteme kann zum Stolperstein werden, wenn das Ziel des Rise-Vertrags nicht rechtzeitig erreicht wird. Den Takt der Rise-Digitalisierung muss somit der Bestandskunde individuell vorgeben. SAP bleibt hier Dienstleister, der versucht, einen möglichst hohen Deckungsbeitrag zu realisieren.