Doconio
ENDE
Early Access anfragen

Data Act

Anbieterwechsel und Datenexport

Verfahren, Datenkategorien, Formate und technische Rahmenbedingungen für Export und Anbieterwechsel.

Version: 0.9 — Stand: 2026-07-12

Vertragsbestandteil wird ausschließlich die im jeweiligen Angebot mit Version und Stand bezeichnete Fassung.

Dieses Dokument beschreibt die bei Doconio verfügbaren Verfahren, Datenkategorien, Formate und Rahmenbedingungen für den Export von Kundendaten sowie für den Wechsel zu einem anderen Datenverarbeitungsdienst oder zu einer kundeneigenen IKT-Infrastruktur. Es dient der Vorbereitung der Informations- und Vertragspflichten nach der Verordnung (EU) 2023/2854 (Data Act).

Die kanonische öffentliche Fundstelle der deutschen Fassung ist https://doconio.com/de/legal/switching-and-export/. Zusätzlich kann das Register im Doconio Trust Center verlinkt oder gespiegelt werden.

1. Geltungsbereich

Das Register gilt für Doconio als gehostete B2B-SaaS-Lösung. Es erfasst:

  • die während der Vertragslaufzeit verfügbaren Standardexporte,
  • den Export und die Übertragung beim Anbieterwechsel,
  • die Übertragung zu einer kundeneigenen IKT-Infrastruktur,
  • den Abruf und die Löschung nach erfolgreichem Wechsel oder Vertragsende,
  • bekannte Formate, Schnittstellen und technische Beschränkungen.

Personenbezogene Daten werden zusätzlich nach dem Auftragsverarbeitungsvertrag und den anwendbaren Datenschutzvorschriften behandelt.

1.1 Abgrenzung der KMU-Ausnahme

Die Ausnahme für Kleinst- und Kleinunternehmen in Artikel 7 der Verordnung (EU) 2023/2854 betrifft die Pflichten aus Kapitel II für Hersteller vernetzter Produkte und Anbieter damit verbundener Dienste. Sie ist keine allgemeine Befreiung kleiner SaaS-Anbieter von den Wechselpflichten für Datenverarbeitungsdienste aus Kapitel VI.

Für Kapitel VI bestehen spezielle Ausnahmen insbesondere für zeitlich begrenzte Test- und Evaluierungsfassungen sowie teilweise für Dienste, deren zentrale Funktionen kundenspezifisch entwickelt und nicht in größerem kommerziellem Maßstab über einen Dienstleistungskatalog angeboten werden. Doconio Suite Early Access wird als standardisierte, kostenpflichtige SaaS-Lösung angeboten und soll daher bis zur juristischen Bestätigung nicht auf Grundlage der KMU-Ausnahme als von den Wechselpflichten befreit behandelt werden.

2. Einleitung eines Anbieterwechsels

Der Kunde kann einen Anbieterwechsel oder die Übertragung zu einer kundeneigenen IKT-Infrastruktur in Textform über support@doconio.com einleiten und mit einer Kündigung verbinden. Der Auftrag wird durch den primären Administrator oder eine vertretungsberechtigte Person eingereicht und über den registrierten Administrator-Kontakt verifiziert. Die für den Wechsel anwendbare Einleitungs- oder Kündigungsfrist ergibt sich aus dem Angebot, überschreitet aber in keinem Fall zwei Monate.

Die Mitteilung soll enthalten:

  • die eindeutige Bezeichnung des Kunden und des betroffenen Doconio-Tenants,
  • die gewünschte Maßnahme: Wechsel zu einem anderen Anbieter, Übertragung zu einer kundeneigenen Infrastruktur oder Löschung,
  • bei einem Anbieterwechsel die erforderlichen Angaben zum Zielanbieter,
  • den gewünschten Beginn und einen fachlichen Ansprechpartner,
  • die benötigten Datenkategorien und Exportformate.

3. Zeitlicher Ablauf

Der Wechselprozess umfasst mindestens folgende Phasen:

  1. Eingang, Authentifizierung und Bestätigung des Wechselauftrags.
  2. Abstimmung von Umfang, Ziel und sicherem Übertragungsweg.
  3. Übergangszeitraum mit grundsätzlich fortgesetzter Bereitstellung des vereinbarten Dienstes.
  4. Bereitstellung bzw. sichere Übertragung der exportierbaren Daten und digitalen Vermögenswerte.
  5. Bestätigung des erfolgreichen Wechsels oder der gewünschten Löschung.
  6. Information über den maßgeblichen Beendigungszeitpunkt.
  7. Nachgelagerter Abrufzeitraum.
  8. Vollständige Löschung nach Ablauf des Abrufzeitraums, soweit keine gesetzliche Speicherpflicht entgegensteht.

Es gelten folgende Fristen und Zeiträume:

Phase Zielwert / Regel
Bestätigung des Auftrags unverzüglich nach erfolgreicher Authentifizierung
Regulärer Übergangszeitraum höchstens 30 Kalendertage nach Ablauf der vereinbarten Einleitungsfrist
Mitteilung technischer Undurchführbarkeit innerhalb von 14 Arbeitstagen nach Wechselantrag
Alternativer Übergangszeitraum nur bei begründeter technischer Undurchführbarkeit, höchstens sieben Monate
Verlängerung durch den Kunden einmalig für einen vom Kunden für angemessen gehaltenen Zeitraum
Vertragsende nach erfolgreichem Wechsel; bei unmittelbarer Löschung nach Ablauf der anwendbaren Einleitungs-/Kündigungsfrist; Information an den Kunden
Abrufzeitraum mindestens 30 Kalendertage nach Ende des Übergangszeitraums
Löschung nach erfolgreichem Wechsel und Ablauf des Abrufzeitraums, vorbehaltlich gesetzlicher Pflichten

4. Exportierbare Daten und digitale Vermögenswerte

Die Inventur vom 2026-07-12 klassifiziert alle 84 ausdrücklich persistenten Datenbereiche: 64 Bereiche sind über dokumentierte API-/Downloadwege exportierbar und 20 Bereiche aus den in Abschnitt 5 genannten Gründen ausgeschlossen. Es verbleibt kein nur teilweise klassifizierter Bereich und keine bekannte persistenzbezogene Exportlücke. Architekturtests sichern die Zuordnung gegen die versionierte OpenAPI-Baseline ab; ein Ende-zu-Ende-Test rekonstruiert die zuvor fehlenden Historien, Assets und Webhook-Payloads deterministisch.

Kategorie Enthaltene Daten und digitale Vermögenswerte Kanonische API-/Downloadwege Formate Stand
Tenant- und Hub-Konfiguration Tenant-Stammdaten, Anschrift, 2FA-Vorgabe, E-Mail-Branding, E-Mail-Versanddomain, Hub-Einstellungen, tenant-eigene E-Mail-Templates, Subscription-Projektion und tenant-weite Assets GET /v1/tenants/{tenantId}, /settings, /settings/*, /email-templates, /subscription, /assets sowie authentifizierter Asset-Download JSON; Assets im Originalformat API vorhanden
Organisation und Mitgliedschaften Organisationseinheiten, Mitgliedschaften, Rollen, primäre und zusätzliche OU-Zuordnungen sowie Einladungen GET /organization-units, /memberships, /memberships/{id}/organization-units, /invitations JSON; Organisationseinheiten zusätzlich CSV/XLSX API vorhanden
Service Accounts und API-Key-Metadaten Service Accounts, Rollen, Scopes, Status, Key-Name/-Präfix, Ablauf, Widerruf und letzte Nutzung GET /service-accounts, /service-accounts/api-keys, /service-accounts/{id}/api-keys JSON API vorhanden; Klartextschlüssel und Hashes ausgeschlossen
Lieferanten und sonstige fachliche Objekte Objekte, Kategorien, Business-Partner-Profile, benutzerdefinierte Felder/Werte, Onboardings, Onboarding-Presets, Klassifizierung und Bewertungshistorie GET /subjects, /subjects/{id}, /subjects/{id}/supplier-evaluations, /subject-categories, /subject-custom-fields, /supplier-onboardings, /supplier-onboardings/{id} JSON; Stammdaten/Definitionen/Onboardings zusätzlich CSV, teilweise XLSX API vorhanden
Kontakte und Beziehungen Kontakte, gelöschte Kontakte und Objekt-Kontakt-Verknüpfungen einschließlich Rollen GET /contacts, /contacts/deleted, /contacts/{id}, /subjects/{id}/contacts JSON; Kontakte zusätzlich CSV API vorhanden
Dokumente und Nachweise Dokumentmetadaten, gelöschte Dokumente, Dokumenttypen, Pflichtregeln und -lücken, Versionen, Originaldateien, Historie sowie sichtbare Analyseergebnisse, Vorschläge und Quellen GET /documents, /subjects/{id}/documents, /documents/{id}, /documents/{id}/versions, /versions/{id}/download, /documents/analysis/{analysisId} JSON, CSV/XLSX für Stammdaten; Originaldateien im hochgeladenen Format API vorhanden; Originaldownload wird über Hash und Größe verifiziert
Evidence Requests Anfragen, Empfänger, Status, Fristen, Items, Antworten, Item-Historie und über Dokumentversionen referenzierte Anhänge GET /evidence-requests, /evidence-requests/{id}, /items, /items/{id}, /items/{id}/history sowie Dokument-Downloads JSON; Anfragen zusätzlich CSV; Anhänge im Originalformat API vorhanden
Assessments Templates, Fragen, Template-Frage-Zuordnungen, Assessments, Antworten, Antwort-Historie, Scores, Status und Herkunftsinformationen GET /assessment-templates, /assessment-questions, /assessments, /subjects/{id}/assessments/{id}, /answers, /answers/{answerId}/history JSON; Assessment-Liste zusätzlich CSV API vorhanden
Risikomodelle und Bewertungen Modelle, Dimensionen, Regeln, Overrides, Bänder, Evaluationshistorie, Scores, Findings, Coverage und Provenienz GET /risk-models, /risk-models/{id}, /subjects/{id}/risk-evaluations JSON; Modellliste zusätzlich CSV API vorhanden
Richtlinien Richtlinien, gelöschte Richtlinien, Klauseln, Zuordnungen, Beziehungen, Hierarchie, Attestierungen und Release-Historie GET /policies, /policies/{id}, /policies/{id}/releases, /policies/clauses, /policies/{id}/clauses, /relations, /attestations, /hierarchy JSON; Listen/Klauseln/Coverage zusätzlich CSV/XLSX API vorhanden
Verträge Vertragsstammdaten, Laufzeiten, Fristen, Status, Verantwortliche, Beziehungen und gelöschte Verträge GET /contracts, /contracts/deleted, /contracts/{id} JSON, CSV, XLSX API vorhanden
Aufgaben, Erinnerungen und Fristen Aufgaben, Verantwortliche, Status, Termine, Erinnerungen und aggregierte Deadlines GET /tasks, /reminders, /deadlines JSON, CSV API vorhanden
Trust Center und Freigaben Profil, Branding-Referenzen, Subprozessoren, Shares, Share-Items, Zugriffsanfragen, Zugriffslogs und NDA-Akzeptanzen GET /trust-center/profile, /trust-center/subprocessors, /shares, /shares/{id}/items, /access-requests, /access-logs, /nda-acceptances JSON; Shares, Anfragen, Logs und Akzeptanzen zusätzlich CSV; veröffentlichte Dateien im Originalformat API vorhanden
Integrationskonfiguration Entra-Konfigurationsmetadaten, Teams-Konfiguration, Webhook-Endpunkte, Zustellmetadaten und persistierter Zustellpayload GET /settings, /integrations/teams, /webhooks, /webhooks/deliveries, /webhooks/deliveries/{deliveryId} JSON API vorhanden; Secrets und interne Secret-Referenzen ausgeschlossen
Audit, Aktivität und Datenschutzfälle Audit-Log innerhalb der Aufbewahrungsfrist, Aktivitätsprojektion und tenant-bezogene Privacy Requests GET /audit-log, /activity, /privacy-requests JSON; Audit und Privacy Requests zusätzlich CSV API vorhanden

5. Nicht exportierte interne Daten

Nicht exportiert werden die folgenden internen Daten. Die fachlichen Ausgangsdaten und für den Kunden sichtbaren Ergebnisse werden jeweils über die in Abschnitt 4 genannten Wege bereitgestellt.

Ausgeschlossene Kategorie Inhalt und Begründung
Secrets und Authentifizierungsmerkmale Klartextschlüssel, Passwörter, Client-/Webhook-Secrets, Hashes, Token und kurzlebige Auth-Exchange-Codes; eine Offenlegung wäre sicherheitswidrig. Nicht geheime Metadaten wie Name, Präfix, Scope, Ablauf und Status werden exportiert.
Provider-Referenz- und Produktdaten globale Länder-/Sprachreferenzen, Standort-Risikosignale, Subscription-Pläne sowie unveränderte Doconio-Katalogpakete/-items; dies sind anbieter- bzw. drittseitige Produktinhalte. Tenant-eigene Konfigurationen und materialisierte Fachdaten bleiben exportierbar.
Betriebs-, Queue- und Retry-Zustände Background-Job-Locks, Idempotency-/Replay-Datensätze, Billing-Provider-Events, interne E-Mail-Outbox-, Indexierungs- und Retry-Datensätze; sie dienen der internen Dienstausführung und sind im Zielsystem nicht nutzbar.
Persönliche Arbeitsbereiche Gespeicherte Filter, persönliche Benachrichtigungen und persönliche Benachrichtigungseinstellungen sind benutzergebundene UI-/Inbox-Zustände. Die zugrunde liegenden Fachdaten bleiben exportierbar; Datenschutz-Auskunft und -Portabilität werden über den getrennten Privacy-Prozess behandelt.
Interne Dokumentverarbeitungsrepräsentationen extrahierter Provider-Rohtext, Layout-Zwischenformat, Suchindex-Chunks und interne Indexoperationen; Originaldatei, Metadaten und kunden sichtbare Analyseergebnisse werden exportiert.
Interne Security- und Missbrauchserkennung providerweite Security Events, Angriffsindikatoren und Erkennungsdetails, soweit eine Offenlegung Schutzmechanismen beeinträchtigen oder Daten anderer Kunden offenlegen würde. Tenant-Auditdaten bleiben exportierbar.
Interne Katalog-Anwendungsprotokolle technische Ausführungszusammenfassung eines Katalog-Apply; die erzeugten/geänderten Tenant-Objekte und zugehörigen Audit-Ereignisse werden exportiert.
Anbieterbestandteile und Daten Dritter Software, Quellcode, interne Datenmodelle, Infrastruktur-/Deployment-Konfiguration, Anbieter-Geschäftsgeheimnisse und Daten Dritter, soweit keine unabhängigen Nutzungs-/Übertragungsrechte des Kunden bestehen.

6. Formate, Schnittstellen und technische Beschränkungen

Doconio verwendet die dokumentierte REST-API als primäre Wechselschnittstelle. Bestehende Tabellenexporte, Downloads und Originaldateien ergänzen sie. Ein zusätzlicher Gesamtpaketexport ist nur für nachgewiesene Lücken erforderlich.

Format / Schnittstelle Technische Eigenschaften und Beschränkungen
JSON / REST API application/json; Strukturen und erforderliche Metadaten ergeben sich aus der versionierten OpenAPI-Spezifikation. Listen verwenden page/pageSize mit Standard 25 und Maximum 200 sowie Seitenmetadaten. UUIDs bleiben als stabile Quellreferenzen erhalten; Zeitpunkte werden als UTC/ISO 8601 und Fachdaten als dokumentierte JSON-Typen übertragen.
CSV UTF-8 mit BOM, wählbares Komma oder Semikolon, neutralisierte Tabellenformeln; verfügbare Routen enden auf /export.csv. Standardmäßig maximal 10.000 Zeilen je Export; bei 413 export_row_limit_exceeded sind Filter oder paginierte JSON-Abrufe zu verwenden.
XLSX Office Open XML Spreadsheet (application/vnd.openxmlformats-officedocument.spreadsheetml.sheet) für die ausdrücklich angebotenen /export.xlsx-Routen. XLSX ist ein Komfortformat; für vollständige Beziehungen bleibt JSON maßgeblich.
Dateien und Anhänge Download der gespeicherten Dokumentversion im ursprünglichen Dateinamen und Content-Type über die jeweilige /download-Route. Eine PDF-Vorschau ersetzt nicht die Originaldatei. Hash, Größe und Versionsmetadaten werden über die Dokument-API zugeordnet.
OpenAPI Operationen, Parameter, Responses und JSON-Schemata sind in der geschützten OpenAPI-Spezifikation unter https://api.doconio.com/openapi/v1.json dokumentiert. Authentifizierte Kunden und ausdrücklich autorisierte Zielanbieter erhalten die erforderlichen Zugangsdaten ohne zusätzliche Gebühr. Die bei Vertragsschluss maßgebliche Fassung wird mit den Vertragsunterlagen versioniert und archiviert.

Für einen vollständigen Wechsel werden Listen mit pageSize=200 seitenweise bis zur in meta ausgewiesenen letzten Seite abgerufen. Untergeordnete Ressourcen werden über ihre stabilen IDs und Beziehungsfelder rekonstruiert. Binärdateien werden je Dokumentversion separat heruntergeladen.

Während eines aktiven Abrufzeitraums kann ein Plattformbetreiber einen tenant-gebundenen, zeitlich begrenzten und widerrufbaren API-Zugang für den Kunden oder einen ausdrücklich autorisierten Zielanbieter ausgeben. Dieser Zugang enthält ausschließlich freigegebene Lese-, Export- und Download-Scopes, erlaubt keine Mutation und endet spätestens mit dem Abrufzeitraum. Erstellung, Nutzung, Widerruf und Ablauf werden ohne Speicherung oder Protokollierung des Klartextschlüssels auditiert.

7. Unterstützung und Betriebskontinuität

Während des Wechselprozesses unterstützt der Anbieter den Kunden und von ihm autorisierte Dritte in angemessenem Umfang und unterstützt die für die vereinbarten Dienste relevante Exit-Strategie durch Bereitstellung der einschlägigen Informationen. Der Anbieter stellt die vertraglich vereinbarten Funktionen während des anwendbaren Übergangszeitraums grundsätzlich weiter bereit, informiert eindeutig über ihm bekannte, auf ihn zurückgehende Risiken für die Betriebskontinuität und gewährleistet während Übertragung und Abrufzeitraum ein hohes Maß an Sicherheit nach dem anwendbaren Recht.

API-, Export- und Downloadübertragungen erfolgen über HTTPS mit TLS 1.2 oder höher. TLS 1.2 ist als Mindestversion konfiguriert; eine höhere Protokollversion wird verwendet, wenn Azure-Dienst und Client sie aushandeln.

Zusätzliche Beratungs-, Migrations- oder Transformationsleistungen, die über die gesetzlich und vertraglich geschuldete Wechselunterstützung hinausgehen, können separat vereinbart werden.

8. Wechselentgelte

Doconio erhebt bereits vor dem 12. Januar 2027 für Standardexport, Datenabruf und die gesetzlich erforderliche angemessene Wechselunterstützung keine zusätzlichen Monats- oder Wechselentgelte. Ab dem 12. Januar 2027 werden keine Wechselentgelte im Sinne von Artikel 29 der Verordnung (EU) 2023/2854 erhoben.

Gesondert beauftragte Leistungen außerhalb des geschuldeten Wechselprozesses, beispielsweise individuelle Datenbereinigung, kundenspezifische Transformation oder Projektberatung, bleiben möglich, sofern sie den Wechsel nicht behindern und transparent vereinbart werden.

9. Löschung und Nachweis

Der Kunde wählt zwischen der Übertragung an einen anderen Anbieter, der Übertragung zu einer kundeneigenen IKT-Infrastruktur und der Löschung. Nach erfolgreichem Wechsel und Ablauf des anwendbaren Abrufzeitraums werden exportierbare Daten und digitale Vermögenswerte vollständig gelöscht, soweit der Kunde keine frühere Löschung verlangt und keine gesetzliche Pflicht zur weiteren Speicherung besteht. Backup-, Log- und Nachweisdaten werden nach den vertraglich dokumentierten Fristen gelöscht oder überschrieben. Datenschutzrechtliche Weisungen und das Wahlrecht des Verantwortlichen auf Löschung oder Rückgabe bleiben unberührt.

Zum ausgewiesenen Stand beträgt die produktive Azure-SQL-PITR-Aufbewahrung 31 Tage. Blob und Container Soft Delete sind für 31 Tage und Blob Point-in-Time-Restore für 30 Tage konfiguriert. Betroffene Backupstände werden bis zum Ablauf des jeweiligen technischen Zyklus für andere Zwecke gesperrt und anschließend durch den Plattformzyklus überschrieben oder gelöscht.

10. Veröffentlichung und Versionierung

Die jeweils aktuelle deutsche Fassung ist ohne Anmeldung sowie speicherbar bzw. druckbar unter https://doconio.com/de/legal/switching-and-export/ abrufbar. Version und Stand sind dort sichtbar. Das Doconio Trust Center kann das Register zusätzlich verlinken oder spiegeln; vertraglich maßgeblich bleibt die im Angebot bezeichnete Fassung an der kanonischen Adresse. Wesentliche Änderungen werden mit einer neuen Version und einem neuen Stand gekennzeichnet.