Data Act
Anbieterwechsel und Datenexport
Verfahren, Datenkategorien, Formate und technische Rahmenbedingungen für Export und Anbieterwechsel.
Version: 0.9 — Stand: 2026-07-12
Vertragsbestandteil wird ausschließlich die im jeweiligen Angebot mit Version und Stand bezeichnete Fassung.
Dieses Dokument beschreibt die bei Doconio verfügbaren Verfahren, Datenkategorien, Formate und Rahmenbedingungen für den Export von Kundendaten sowie für den Wechsel zu einem anderen Datenverarbeitungsdienst oder zu einer kundeneigenen IKT-Infrastruktur. Es dient der Vorbereitung der Informations- und Vertragspflichten nach der Verordnung (EU) 2023/2854 (Data Act).
Die kanonische öffentliche Fundstelle der deutschen Fassung ist
https://doconio.com/de/legal/switching-and-export/. Zusätzlich kann das Register im Doconio Trust Center
verlinkt oder gespiegelt werden.
1. Geltungsbereich
Das Register gilt für Doconio als gehostete B2B-SaaS-Lösung. Es erfasst:
- die während der Vertragslaufzeit verfügbaren Standardexporte,
- den Export und die Übertragung beim Anbieterwechsel,
- die Übertragung zu einer kundeneigenen IKT-Infrastruktur,
- den Abruf und die Löschung nach erfolgreichem Wechsel oder Vertragsende,
- bekannte Formate, Schnittstellen und technische Beschränkungen.
Personenbezogene Daten werden zusätzlich nach dem Auftragsverarbeitungsvertrag und den anwendbaren Datenschutzvorschriften behandelt.
1.1 Abgrenzung der KMU-Ausnahme
Die Ausnahme für Kleinst- und Kleinunternehmen in Artikel 7 der Verordnung (EU) 2023/2854 betrifft die Pflichten aus Kapitel II für Hersteller vernetzter Produkte und Anbieter damit verbundener Dienste. Sie ist keine allgemeine Befreiung kleiner SaaS-Anbieter von den Wechselpflichten für Datenverarbeitungsdienste aus Kapitel VI.
Für Kapitel VI bestehen spezielle Ausnahmen insbesondere für zeitlich begrenzte Test- und Evaluierungsfassungen sowie teilweise für Dienste, deren zentrale Funktionen kundenspezifisch entwickelt und nicht in größerem kommerziellem Maßstab über einen Dienstleistungskatalog angeboten werden. Doconio Suite Early Access wird als standardisierte, kostenpflichtige SaaS-Lösung angeboten und soll daher bis zur juristischen Bestätigung nicht auf Grundlage der KMU-Ausnahme als von den Wechselpflichten befreit behandelt werden.
2. Einleitung eines Anbieterwechsels
Der Kunde kann einen Anbieterwechsel oder die Übertragung zu einer kundeneigenen IKT-Infrastruktur in
Textform über support@doconio.com einleiten und mit einer Kündigung verbinden. Der Auftrag wird durch
den primären Administrator oder eine vertretungsberechtigte Person eingereicht und über den registrierten
Administrator-Kontakt verifiziert. Die für den Wechsel anwendbare Einleitungs- oder Kündigungsfrist ergibt
sich aus dem Angebot, überschreitet aber in keinem Fall zwei Monate.
Die Mitteilung soll enthalten:
- die eindeutige Bezeichnung des Kunden und des betroffenen Doconio-Tenants,
- die gewünschte Maßnahme: Wechsel zu einem anderen Anbieter, Übertragung zu einer kundeneigenen Infrastruktur oder Löschung,
- bei einem Anbieterwechsel die erforderlichen Angaben zum Zielanbieter,
- den gewünschten Beginn und einen fachlichen Ansprechpartner,
- die benötigten Datenkategorien und Exportformate.
3. Zeitlicher Ablauf
Der Wechselprozess umfasst mindestens folgende Phasen:
- Eingang, Authentifizierung und Bestätigung des Wechselauftrags.
- Abstimmung von Umfang, Ziel und sicherem Übertragungsweg.
- Übergangszeitraum mit grundsätzlich fortgesetzter Bereitstellung des vereinbarten Dienstes.
- Bereitstellung bzw. sichere Übertragung der exportierbaren Daten und digitalen Vermögenswerte.
- Bestätigung des erfolgreichen Wechsels oder der gewünschten Löschung.
- Information über den maßgeblichen Beendigungszeitpunkt.
- Nachgelagerter Abrufzeitraum.
- Vollständige Löschung nach Ablauf des Abrufzeitraums, soweit keine gesetzliche Speicherpflicht entgegensteht.
Es gelten folgende Fristen und Zeiträume:
| Phase | Zielwert / Regel |
|---|---|
| Bestätigung des Auftrags | unverzüglich nach erfolgreicher Authentifizierung |
| Regulärer Übergangszeitraum | höchstens 30 Kalendertage nach Ablauf der vereinbarten Einleitungsfrist |
| Mitteilung technischer Undurchführbarkeit | innerhalb von 14 Arbeitstagen nach Wechselantrag |
| Alternativer Übergangszeitraum | nur bei begründeter technischer Undurchführbarkeit, höchstens sieben Monate |
| Verlängerung durch den Kunden | einmalig für einen vom Kunden für angemessen gehaltenen Zeitraum |
| Vertragsende | nach erfolgreichem Wechsel; bei unmittelbarer Löschung nach Ablauf der anwendbaren Einleitungs-/Kündigungsfrist; Information an den Kunden |
| Abrufzeitraum | mindestens 30 Kalendertage nach Ende des Übergangszeitraums |
| Löschung | nach erfolgreichem Wechsel und Ablauf des Abrufzeitraums, vorbehaltlich gesetzlicher Pflichten |
4. Exportierbare Daten und digitale Vermögenswerte
Die Inventur vom 2026-07-12 klassifiziert alle 84 ausdrücklich persistenten Datenbereiche: 64 Bereiche sind über dokumentierte API-/Downloadwege exportierbar und 20 Bereiche aus den in Abschnitt 5 genannten Gründen ausgeschlossen. Es verbleibt kein nur teilweise klassifizierter Bereich und keine bekannte persistenzbezogene Exportlücke. Architekturtests sichern die Zuordnung gegen die versionierte OpenAPI-Baseline ab; ein Ende-zu-Ende-Test rekonstruiert die zuvor fehlenden Historien, Assets und Webhook-Payloads deterministisch.
| Kategorie | Enthaltene Daten und digitale Vermögenswerte | Kanonische API-/Downloadwege | Formate | Stand |
|---|---|---|---|---|
| Tenant- und Hub-Konfiguration | Tenant-Stammdaten, Anschrift, 2FA-Vorgabe, E-Mail-Branding, E-Mail-Versanddomain, Hub-Einstellungen, tenant-eigene E-Mail-Templates, Subscription-Projektion und tenant-weite Assets | GET /v1/tenants/{tenantId}, /settings, /settings/*, /email-templates, /subscription, /assets sowie authentifizierter Asset-Download |
JSON; Assets im Originalformat | API vorhanden |
| Organisation und Mitgliedschaften | Organisationseinheiten, Mitgliedschaften, Rollen, primäre und zusätzliche OU-Zuordnungen sowie Einladungen | GET /organization-units, /memberships, /memberships/{id}/organization-units, /invitations |
JSON; Organisationseinheiten zusätzlich CSV/XLSX | API vorhanden |
| Service Accounts und API-Key-Metadaten | Service Accounts, Rollen, Scopes, Status, Key-Name/-Präfix, Ablauf, Widerruf und letzte Nutzung | GET /service-accounts, /service-accounts/api-keys, /service-accounts/{id}/api-keys |
JSON | API vorhanden; Klartextschlüssel und Hashes ausgeschlossen |
| Lieferanten und sonstige fachliche Objekte | Objekte, Kategorien, Business-Partner-Profile, benutzerdefinierte Felder/Werte, Onboardings, Onboarding-Presets, Klassifizierung und Bewertungshistorie | GET /subjects, /subjects/{id}, /subjects/{id}/supplier-evaluations, /subject-categories, /subject-custom-fields, /supplier-onboardings, /supplier-onboardings/{id} |
JSON; Stammdaten/Definitionen/Onboardings zusätzlich CSV, teilweise XLSX | API vorhanden |
| Kontakte und Beziehungen | Kontakte, gelöschte Kontakte und Objekt-Kontakt-Verknüpfungen einschließlich Rollen | GET /contacts, /contacts/deleted, /contacts/{id}, /subjects/{id}/contacts |
JSON; Kontakte zusätzlich CSV | API vorhanden |
| Dokumente und Nachweise | Dokumentmetadaten, gelöschte Dokumente, Dokumenttypen, Pflichtregeln und -lücken, Versionen, Originaldateien, Historie sowie sichtbare Analyseergebnisse, Vorschläge und Quellen | GET /documents, /subjects/{id}/documents, /documents/{id}, /documents/{id}/versions, /versions/{id}/download, /documents/analysis/{analysisId} |
JSON, CSV/XLSX für Stammdaten; Originaldateien im hochgeladenen Format | API vorhanden; Originaldownload wird über Hash und Größe verifiziert |
| Evidence Requests | Anfragen, Empfänger, Status, Fristen, Items, Antworten, Item-Historie und über Dokumentversionen referenzierte Anhänge | GET /evidence-requests, /evidence-requests/{id}, /items, /items/{id}, /items/{id}/history sowie Dokument-Downloads |
JSON; Anfragen zusätzlich CSV; Anhänge im Originalformat | API vorhanden |
| Assessments | Templates, Fragen, Template-Frage-Zuordnungen, Assessments, Antworten, Antwort-Historie, Scores, Status und Herkunftsinformationen | GET /assessment-templates, /assessment-questions, /assessments, /subjects/{id}/assessments/{id}, /answers, /answers/{answerId}/history |
JSON; Assessment-Liste zusätzlich CSV | API vorhanden |
| Risikomodelle und Bewertungen | Modelle, Dimensionen, Regeln, Overrides, Bänder, Evaluationshistorie, Scores, Findings, Coverage und Provenienz | GET /risk-models, /risk-models/{id}, /subjects/{id}/risk-evaluations |
JSON; Modellliste zusätzlich CSV | API vorhanden |
| Richtlinien | Richtlinien, gelöschte Richtlinien, Klauseln, Zuordnungen, Beziehungen, Hierarchie, Attestierungen und Release-Historie | GET /policies, /policies/{id}, /policies/{id}/releases, /policies/clauses, /policies/{id}/clauses, /relations, /attestations, /hierarchy |
JSON; Listen/Klauseln/Coverage zusätzlich CSV/XLSX | API vorhanden |
| Verträge | Vertragsstammdaten, Laufzeiten, Fristen, Status, Verantwortliche, Beziehungen und gelöschte Verträge | GET /contracts, /contracts/deleted, /contracts/{id} |
JSON, CSV, XLSX | API vorhanden |
| Aufgaben, Erinnerungen und Fristen | Aufgaben, Verantwortliche, Status, Termine, Erinnerungen und aggregierte Deadlines | GET /tasks, /reminders, /deadlines |
JSON, CSV | API vorhanden |
| Trust Center und Freigaben | Profil, Branding-Referenzen, Subprozessoren, Shares, Share-Items, Zugriffsanfragen, Zugriffslogs und NDA-Akzeptanzen | GET /trust-center/profile, /trust-center/subprocessors, /shares, /shares/{id}/items, /access-requests, /access-logs, /nda-acceptances |
JSON; Shares, Anfragen, Logs und Akzeptanzen zusätzlich CSV; veröffentlichte Dateien im Originalformat | API vorhanden |
| Integrationskonfiguration | Entra-Konfigurationsmetadaten, Teams-Konfiguration, Webhook-Endpunkte, Zustellmetadaten und persistierter Zustellpayload | GET /settings, /integrations/teams, /webhooks, /webhooks/deliveries, /webhooks/deliveries/{deliveryId} |
JSON | API vorhanden; Secrets und interne Secret-Referenzen ausgeschlossen |
| Audit, Aktivität und Datenschutzfälle | Audit-Log innerhalb der Aufbewahrungsfrist, Aktivitätsprojektion und tenant-bezogene Privacy Requests | GET /audit-log, /activity, /privacy-requests |
JSON; Audit und Privacy Requests zusätzlich CSV | API vorhanden |
5. Nicht exportierte interne Daten
Nicht exportiert werden die folgenden internen Daten. Die fachlichen Ausgangsdaten und für den Kunden sichtbaren Ergebnisse werden jeweils über die in Abschnitt 4 genannten Wege bereitgestellt.
| Ausgeschlossene Kategorie | Inhalt und Begründung |
|---|---|
| Secrets und Authentifizierungsmerkmale | Klartextschlüssel, Passwörter, Client-/Webhook-Secrets, Hashes, Token und kurzlebige Auth-Exchange-Codes; eine Offenlegung wäre sicherheitswidrig. Nicht geheime Metadaten wie Name, Präfix, Scope, Ablauf und Status werden exportiert. |
| Provider-Referenz- und Produktdaten | globale Länder-/Sprachreferenzen, Standort-Risikosignale, Subscription-Pläne sowie unveränderte Doconio-Katalogpakete/-items; dies sind anbieter- bzw. drittseitige Produktinhalte. Tenant-eigene Konfigurationen und materialisierte Fachdaten bleiben exportierbar. |
| Betriebs-, Queue- und Retry-Zustände | Background-Job-Locks, Idempotency-/Replay-Datensätze, Billing-Provider-Events, interne E-Mail-Outbox-, Indexierungs- und Retry-Datensätze; sie dienen der internen Dienstausführung und sind im Zielsystem nicht nutzbar. |
| Persönliche Arbeitsbereiche | Gespeicherte Filter, persönliche Benachrichtigungen und persönliche Benachrichtigungseinstellungen sind benutzergebundene UI-/Inbox-Zustände. Die zugrunde liegenden Fachdaten bleiben exportierbar; Datenschutz-Auskunft und -Portabilität werden über den getrennten Privacy-Prozess behandelt. |
| Interne Dokumentverarbeitungsrepräsentationen | extrahierter Provider-Rohtext, Layout-Zwischenformat, Suchindex-Chunks und interne Indexoperationen; Originaldatei, Metadaten und kunden sichtbare Analyseergebnisse werden exportiert. |
| Interne Security- und Missbrauchserkennung | providerweite Security Events, Angriffsindikatoren und Erkennungsdetails, soweit eine Offenlegung Schutzmechanismen beeinträchtigen oder Daten anderer Kunden offenlegen würde. Tenant-Auditdaten bleiben exportierbar. |
| Interne Katalog-Anwendungsprotokolle | technische Ausführungszusammenfassung eines Katalog-Apply; die erzeugten/geänderten Tenant-Objekte und zugehörigen Audit-Ereignisse werden exportiert. |
| Anbieterbestandteile und Daten Dritter | Software, Quellcode, interne Datenmodelle, Infrastruktur-/Deployment-Konfiguration, Anbieter-Geschäftsgeheimnisse und Daten Dritter, soweit keine unabhängigen Nutzungs-/Übertragungsrechte des Kunden bestehen. |
6. Formate, Schnittstellen und technische Beschränkungen
Doconio verwendet die dokumentierte REST-API als primäre Wechselschnittstelle. Bestehende Tabellenexporte, Downloads und Originaldateien ergänzen sie. Ein zusätzlicher Gesamtpaketexport ist nur für nachgewiesene Lücken erforderlich.
| Format / Schnittstelle | Technische Eigenschaften und Beschränkungen |
|---|---|
| JSON / REST API | application/json; Strukturen und erforderliche Metadaten ergeben sich aus der versionierten OpenAPI-Spezifikation. Listen verwenden page/pageSize mit Standard 25 und Maximum 200 sowie Seitenmetadaten. UUIDs bleiben als stabile Quellreferenzen erhalten; Zeitpunkte werden als UTC/ISO 8601 und Fachdaten als dokumentierte JSON-Typen übertragen. |
| CSV | UTF-8 mit BOM, wählbares Komma oder Semikolon, neutralisierte Tabellenformeln; verfügbare Routen enden auf /export.csv. Standardmäßig maximal 10.000 Zeilen je Export; bei 413 export_row_limit_exceeded sind Filter oder paginierte JSON-Abrufe zu verwenden. |
| XLSX | Office Open XML Spreadsheet (application/vnd.openxmlformats-officedocument.spreadsheetml.sheet) für die ausdrücklich angebotenen /export.xlsx-Routen. XLSX ist ein Komfortformat; für vollständige Beziehungen bleibt JSON maßgeblich. |
| Dateien und Anhänge | Download der gespeicherten Dokumentversion im ursprünglichen Dateinamen und Content-Type über die jeweilige /download-Route. Eine PDF-Vorschau ersetzt nicht die Originaldatei. Hash, Größe und Versionsmetadaten werden über die Dokument-API zugeordnet. |
| OpenAPI | Operationen, Parameter, Responses und JSON-Schemata sind in der geschützten OpenAPI-Spezifikation unter https://api.doconio.com/openapi/v1.json dokumentiert. Authentifizierte Kunden und ausdrücklich autorisierte Zielanbieter erhalten die erforderlichen Zugangsdaten ohne zusätzliche Gebühr. Die bei Vertragsschluss maßgebliche Fassung wird mit den Vertragsunterlagen versioniert und archiviert. |
Für einen vollständigen Wechsel werden Listen mit pageSize=200 seitenweise bis zur in meta
ausgewiesenen letzten Seite abgerufen. Untergeordnete Ressourcen werden über ihre stabilen IDs und
Beziehungsfelder rekonstruiert. Binärdateien werden je Dokumentversion separat heruntergeladen.
Während eines aktiven Abrufzeitraums kann ein Plattformbetreiber einen tenant-gebundenen, zeitlich begrenzten und widerrufbaren API-Zugang für den Kunden oder einen ausdrücklich autorisierten Zielanbieter ausgeben. Dieser Zugang enthält ausschließlich freigegebene Lese-, Export- und Download-Scopes, erlaubt keine Mutation und endet spätestens mit dem Abrufzeitraum. Erstellung, Nutzung, Widerruf und Ablauf werden ohne Speicherung oder Protokollierung des Klartextschlüssels auditiert.
7. Unterstützung und Betriebskontinuität
Während des Wechselprozesses unterstützt der Anbieter den Kunden und von ihm autorisierte Dritte in angemessenem Umfang und unterstützt die für die vereinbarten Dienste relevante Exit-Strategie durch Bereitstellung der einschlägigen Informationen. Der Anbieter stellt die vertraglich vereinbarten Funktionen während des anwendbaren Übergangszeitraums grundsätzlich weiter bereit, informiert eindeutig über ihm bekannte, auf ihn zurückgehende Risiken für die Betriebskontinuität und gewährleistet während Übertragung und Abrufzeitraum ein hohes Maß an Sicherheit nach dem anwendbaren Recht.
API-, Export- und Downloadübertragungen erfolgen über HTTPS mit TLS 1.2 oder höher. TLS 1.2 ist als Mindestversion konfiguriert; eine höhere Protokollversion wird verwendet, wenn Azure-Dienst und Client sie aushandeln.
Zusätzliche Beratungs-, Migrations- oder Transformationsleistungen, die über die gesetzlich und vertraglich geschuldete Wechselunterstützung hinausgehen, können separat vereinbart werden.
8. Wechselentgelte
Doconio erhebt bereits vor dem 12. Januar 2027 für Standardexport, Datenabruf und die gesetzlich erforderliche angemessene Wechselunterstützung keine zusätzlichen Monats- oder Wechselentgelte. Ab dem 12. Januar 2027 werden keine Wechselentgelte im Sinne von Artikel 29 der Verordnung (EU) 2023/2854 erhoben.
Gesondert beauftragte Leistungen außerhalb des geschuldeten Wechselprozesses, beispielsweise individuelle Datenbereinigung, kundenspezifische Transformation oder Projektberatung, bleiben möglich, sofern sie den Wechsel nicht behindern und transparent vereinbart werden.
9. Löschung und Nachweis
Der Kunde wählt zwischen der Übertragung an einen anderen Anbieter, der Übertragung zu einer kundeneigenen IKT-Infrastruktur und der Löschung. Nach erfolgreichem Wechsel und Ablauf des anwendbaren Abrufzeitraums werden exportierbare Daten und digitale Vermögenswerte vollständig gelöscht, soweit der Kunde keine frühere Löschung verlangt und keine gesetzliche Pflicht zur weiteren Speicherung besteht. Backup-, Log- und Nachweisdaten werden nach den vertraglich dokumentierten Fristen gelöscht oder überschrieben. Datenschutzrechtliche Weisungen und das Wahlrecht des Verantwortlichen auf Löschung oder Rückgabe bleiben unberührt.
Zum ausgewiesenen Stand beträgt die produktive Azure-SQL-PITR-Aufbewahrung 31 Tage. Blob und Container Soft Delete sind für 31 Tage und Blob Point-in-Time-Restore für 30 Tage konfiguriert. Betroffene Backupstände werden bis zum Ablauf des jeweiligen technischen Zyklus für andere Zwecke gesperrt und anschließend durch den Plattformzyklus überschrieben oder gelöscht.
10. Veröffentlichung und Versionierung
Die jeweils aktuelle deutsche Fassung ist ohne Anmeldung sowie speicherbar bzw. druckbar unter
https://doconio.com/de/legal/switching-and-export/ abrufbar. Version und Stand sind dort sichtbar.
Das Doconio Trust Center kann das Register zusätzlich verlinken oder spiegeln; vertraglich maßgeblich
bleibt die im Angebot bezeichnete Fassung an der kanonischen Adresse. Wesentliche Änderungen werden mit
einer neuen Version und einem neuen Stand gekennzeichnet.