datenrecht.ch

Data Act

aus­klap­pen | ein­klap­pen

Erwä­gungs­grün­de

(1) In den letz­ten Jah­ren haben daten­ge­trie­be­ne Tech­no­lo­gien trans­for­ma­ti­ve Wir­kung auf alle Wirt­schafts­sek­to­ren gehabt. Ins­be­son­de­re die rasche Ver­brei­tung von Pro­duk­ten, die mit dem Inter­net ver­netzt sind, hat den Umfang und den poten­zi­el­len Wert von Daten für Ver­brau­cher, Unter­neh­men und Gesell­schaft erhöht. Hoch­wer­ti­ge und inter­ope­ra­ble Daten aus ver­schie­de­nen Berei­chen stei­gern die Wett­be­werbs­fä­hig­keit und Inno­va­ti­on und sor­gen für ein nach­hal­ti­ges Wirt­schafts­wachs­tum. Die­sel­ben Daten kön­nen unbe­grenzt für ver­schie­de­ne Zwecke ver­wen­det und wei­ter­ver­wen­det wer­den, ohne dass dadurch Qua­li­tät oder Quan­ti­tät beein­träch­tigt wird. (2) Hin­der­nis­se bei der Daten­wei­ter­ga­be ver­hin­dern jedoch eine opti­ma­le Ver­tei­lung der Daten zum Nut­zen der Gesell­schaft. Zu die­sen Hin­der­nis­sen gehö­ren der Man­gel an Anrei­zen für Daten­in­ha­ber, frei­wil­lig Ver­ein­ba­run­gen über die Daten­wei­ter­ga­be ein­zu­ge­hen, Unsi­cher­hei­ten in Bezug auf Rech­te und Pflich­ten in Ver­bin­dung mit Daten, die Kosten der Auf­trags­ver­ga­be in Bezug auf tech­ni­sche Schnitt­stel­len und für deren Ein­rich­tung, die star­ke Frag­men­tie­rung von Infor­ma­tio­nen in Daten­si­los, die schlech­te Ver­wal­tung von Meta­da­ten, feh­len­de Nor­men für die seman­ti­sche und tech­ni­sche Inter­ope­ra­bi­li­tät, Eng­päs­se beim Daten­zu­gang, das Feh­len ein­heit­li­cher Ver­fah­ren für die Daten­wei­ter­ga­be und der Miss­brauch ver­trag­li­cher Ungleich­ge­wich­te hin­sicht­lich Daten­zu­gang und Daten­nut­zung. (3) In Sek­to­ren mit zahl­rei­chen Kleinst­un­ter­neh­men sowie Klein­un­ter­neh­men und mitt­le­ren Unter­neh­men im Sin­ne von Arti­kel 2 des Anhangs der Emp­feh­lung 2003/361/EG der Kom­mis­si­on (KMU) man­gelt es häu­fig an digi­ta­len Kapa­zi­tä­ten und Kom­pe­ten­zen für die Erhe­bung, Ana­ly­se und Nut­zung von Daten; zudem ist der Zugang oft­mals ein­ge­schränkt, weil ein ein­zi­ger Akteur im System die Daten hält oder weil Daten oder Daten­dien­ste an sich bzw. über Gren­zen hin­weg nicht inter­ope­ra­bel sind. (4) Um den Bedürf­nis­sen der digi­ta­len Wirt­schaft gerecht zu wer­den und die Hin­der­nis­se für einen rei­bungs­los funk­tio­nie­ren­den Bin­nen­markt für Daten zu besei­ti­gen, muss ein har­mo­ni­sier­ter Rah­men geschaf­fen wer­den, in dem fest­ge­legt wird, wer unter wel­chen Bedin­gun­gen und auf wel­cher Grund­la­ge berech­tigt ist, Pro­dukt­da­ten oder ver­bun­de­ne Dienst­da­ten zu nut­zen. Daher soll­ten die Mit­glied­staa­ten in den Ange­le­gen­hei­ten, die in den Anwen­dungs­be­reich der vor­lie­gen­den Ver­ord­nung fal­len, kei­ne zusätz­li­chen natio­na­len Anfor­de­run­gen anneh­men oder auf­recht­erhal­ten, sofern das in der vor­lie­gen­den Ver­ord­nung nicht aus­drück­lich vor­ge­se­hen ist, da dies ihre direk­te und ein­heit­li­che Anwen­dung beein­träch­ti­gen wür­de. Fer­ner soll­ten auf Uni­ons­ebe­ne ergrif­fe­ne Maß­nah­men die Ver­pflich­tun­gen und Zusa­gen, die sich aus den von der Uni­on geschlos­se­nen inter­na­tio­na­len Han­dels­ab­kom­men erge­ben, unbe­rührt las­sen. (5) Mit die­ser Ver­ord­nung wird sicher­ge­stellt, dass die Nut­zer eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes in der Uni­on zeit­nah auf die Daten zugrei­fen kön­nen, die bei der Nut­zung die­ses ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes gene­riert wer­den, und dass die­se Nut­zer die Daten ver­wen­den und auch an Drit­te ihrer Wahl wei­ter­ge­ben kön­nen. Sie ver­pflich­tet Daten­in­ha­ber, die Daten unter bestimm­ten Umstän­den den Nut­zern und Drit­ten ihrer Wahl bereit­zu­stel­len. Fer­ner wird sicher­ge­stellt, dass Daten­in­ha­ber den Daten­emp­fän­gern in der Uni­on Daten zu fai­ren, ange­mes­se­nen und nicht­dis­kri­mi­nie­ren­den Bedin­gun­gen und auf trans­pa­ren­te Wei­se bereit­stel­len. Pri­vat­recht­li­che Vor­schrif­ten sind im Gesamt­rah­men für die Daten­wei­ter­ga­be von ent­schei­den­der Bedeu­tung. Daher wer­den mit die­ser Ver­ord­nung die ver­trags­recht­li­chen Vor­schrif­ten ange­passt und die Aus­nut­zung ver­trag­li­cher Ungleich­ge­wich­te ver­hin­dert, die einen fai­ren Daten­zu­gang und eine fai­re Daten­nut­zung erschwe­ren. Mit die­ser Ver­ord­nung wird auch sicher­ge­stellt, dass die Daten­in­ha­ber den öffent­li­chen Stel­len und der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder Ein­rich­tun­gen der Uni­on die Daten bereit­stel­len, die im Fal­le außer­ge­wöhn­li­cher Not­wen­dig­keit zur Wahr­neh­mung einer spe­zi­fi­schen Auf­ga­be im öffent­li­chen Inter­es­se erfor­der­lich sind. Dar­über hin­aus soll mit die­ser Ver­ord­nung der Wech­sel zwi­schen Daten­ver­ar­bei­tungs­dien­sten erleich­tert und die Inter­ope­ra­bi­li­tät von Daten sowie von Mecha­nis­men und Dien­sten für die Daten­wei­ter­ga­be in der Uni­on ver­bes­sert wer­den. Die­se Ver­ord­nung soll­te nicht so aus­ge­legt wer­den, dass sie Daten­in­ha­bern ein neu­es Recht auf die Nut­zung von Daten ver­leiht, die bei der Nut­zung eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes gene­riert wer­den. (6) Die Daten­ge­ne­rie­rung ist das Ergeb­nis der Hand­lun­gen min­de­stens zwei­er Akteu­re, ins­be­son­de­re des Ent­wick­lers oder Her­stel­lers eines ver­netz­ten Pro­dukts, bei dem es sich in vie­len Fäl­len auch um einen Erbrin­ger ver­bun­de­ner Dien­ste han­deln kann, und des Nut­zers des ver­netz­ten Pro­dukts oder des ver­bun­de­nen Dien­stes. Es stel­len sich Fra­gen der Fair­ness in der digi­ta­len Wirt­schaft, da die von sol­chen ver­netz­ten Pro­duk­ten oder ver­bun­de­nen Dien­sten erfass­ten Daten ein wich­ti­ges Gut für Fol­ge­markt-Dien­ste, Neben­dien­ste und son­sti­ge Dien­ste sind. Um die wich­ti­gen wirt­schaft­li­chen Vor­tei­le von Daten zu nut­zen sowie um Unter­neh­men in der Uni­on für die Wei­ter­ga­be von Daten auf der Grund­la­ge frei­wil­li­ger Ver­ein­ba­run­gen und für die Ent­wick­lung einer daten­ge­trie­be­nen Wert­schöp­fung zu gewin­nen, ist ein all­ge­mei­ner Ansatz für die Zuwei­sung von Rech­ten für den Daten­zu­gang und die Daten­nut­zung der Gewäh­rung aus­schließ­li­cher Zugangs- und Nut­zungs­rech­te vor­zu­zie­hen. In die­ser Ver­ord­nung sind hori­zon­ta­le Rege­lun­gen vor­ge­se­hen, denen das Uni­ons­recht oder das natio­na­le Recht fol­gen könn­ten, das die beson­de­ren Gege­ben­hei­ten der betref­fen­den Sek­to­ren Rech­nung zu angeht. (7) Das Grund­recht auf den Schutz per­so­nen­be­zo­ge­ner Daten wird ins­be­son­de­re durch die Ver­ord­nun­gen (EU) 2016/679 und (EU) 2018/1725 des Euro­päi­schen Par­la­ments und des Rates gewahrt. Die Richt­li­nie 2002/58/EG des Euro­päi­schen Par­la­ments und des Rates schützt dar­über hin­aus die Pri­vat­sphä­re und die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on, unter ande­rem mit­tels Bedin­gun­gen für die Spei­che­rung per­so­nen­be­zo­ge­ner und nicht-per­so­nen­be­zo­ge­ner Daten auf End­ge­rä­ten und den Zugang dazu. Die­se Gesetz­ge­bungs­ak­te der Uni­on bil­den die Grund­la­ge für eine nach­hal­ti­ge und ver­ant­wor­tungs­vol­le Daten­ver­ar­bei­tung, auch wenn Daten­sät­ze eine Mischung aus per­so­nen­be­zo­ge­nen und nicht-per­so­nen­be­zo­ge­nen Daten ent­hal­ten. Die vor­lie­gen­de Ver­ord­nung ergänzt das Uni­ons­recht zum Schutz per­so­nen­be­zo­ge­ner Daten und zum Schutz der Pri­vat­sphä­re, ins­be­son­de­re die Ver­ord­nun­gen (EU) 2016/679 und (EU) 2017/1725 und die Richt­li­nie 2002/58/EG, und lässt es unbe­rührt. Kei­ne Bestim­mung die­ser Ver­ord­nung soll­te dahin­ge­hend ange­wandt oder aus­ge­legt wer­den, dass das Recht auf den Schutz per­so­nen­be­zo­ge­ner Daten oder das Recht auf Pri­vat­sphä­re und Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on abge­schwächt oder ein­ge­schränkt wird. Jeg­li­che Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nach­die­ser Ver­ord­nung soll­te dem Daten­schutz­recht der Uni­on ent­spre­chen, ein­schließ­lich dem Erfor­der­nis einer gül­ti­gen Rechts­grund­la­ge für die Ver­ar­bei­tung gemäß Arti­kel 6 der Ver­ord­nung (EU) 2016/679 und gege­be­nen­falls den Bedin­gun­gen des Arti­kels 9 der genann­ten Ver­ord­nung und des Arti­kels 5 Absatz 3 der Richt­li­nie 2002/58/EG. Die vor­lie­gen­de Ver­ord­nung stellt kei­ne Rechts­grund­la­ge für die Erhe­bung oder Gene­rie­rung per­so­nen­be­zo­ge­ner Daten durch den Daten­in­ha­ber dar. Die vor­lie­gen­de Ver­ord­nung ver­pflich­tet die Daten­in­ha­ber, Nut­zern Drit­ten sei­ner Wahl oder auf Anfra­ge eines Nut­zers per­so­nen­be­zo­ge­ne Daten bereit­zu­stel­len. Ein sol­cher Zugang soll­te im Fal­le per­so­nen­be­zo­ge­ner Daten gewährt wer­den, die vom Daten­in­ha­ber auf der Grund­la­ge einer der in Arti­kel 6 der Ver­ord­nung (EU) 2016/679 genann­ten Rechts­grund­la­gen ver­ar­bei­tet wer­den. Han­delt es sich bei dem Nut­zer nicht um die betrof­fe­ne Per­son, so bie­tet die vor­lie­gen­de Ver­ord­nung kei­ne Rechts­grund­la­ge für die Gewäh­rung des Zugangs zu per­so­nen­be­zo­ge­nen Daten oder für deren Bereit­stel­lung an Drit­te und soll­te nicht so ver­stan­den wer­den, dass sie dem Daten­in­ha­ber ein neu­es Recht auf die Nut­zung per­so­nen­be­zo­ge­ner Daten, die bei der Nut­zung eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes gene­riert wur­den, ver­leiht. In die­sen Fäl­len könn­te es im Inter­es­se des Nut­zers lie­gen, die Erfül­lung der Anfor­de­run­gen des Arti­kels 6 der Ver­ord­nung (EU) 2016/679 zu ermög­li­chen. Da die vor­lie­gen­de Ver­ord­nung die Daten­schutz­rech­te der betrof­fe­nen Per­so­nen nicht beein­träch­ti­gen soll­te, kann der Daten­in­ha­ber Daten­zu­gangs­ver­lan­gen in die­sen Fäl­len unter ande­rem nach­kom­men, indem er per­so­nen­be­zo­ge­ne Daten anony­mi­siert oder, wenn ohne Wei­te­res ver­füg­ba­re Daten per­so­nen­be­zo­ge­ne Daten meh­re­rer betrof­fe­ner Per­so­nen ent­hal­ten, nur per­so­nen­be­zo­ge­ne Daten des Nut­zers über­mit­telt. (8) Die Grund­sät­ze der Daten­mi­ni­mie­rung und des Daten­schut­zes durch Tech­nik­ge­stal­tung und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen sind von wesent­li­cher Bedeu­tung, wenn die Ver­ar­bei­tung erheb­li­che Risi­ken für die Grund­rech­te des Ein­zel­nen mit sich bringt. Unter Berück­sich­ti­gung des Stands der Tech­nik soll­ten alle Par­tei­en, die an der Daten­wei­ter­ga­be – ein­schließ­lich der Daten­wei­ter­ga­be im Anwen­dungs­be­reich die­ser Ver­ord­nung – betei­ligt sind, tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zum Schutz die­ser Rech­te ergrei­fen. Zu die­sen Maß­nah­men gehö­ren nicht nur Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung, son­dern auch der Ein­satz zuneh­mend ver­füg­ba­rer Tech­nik, die es ermög­licht, Algo­rith­men direkt am Ort der Daten­ge­ne­rie­rung ein­zu­set­zen und wert­vol­le Erkennt­nis­se zu gewin­nen, ohne dass die Daten zwi­schen den Par­tei­en über­tra­gen bzw. die Roh­da­ten oder struk­tu­rier­ten Daten selbst unnö­tig kopiert wer­den. (9) Sofern in der vor­lie­gen­den Ver­ord­nung nicht anders vor­ge­se­hen, lässt sie das natio­na­le Ver­trags­recht, ein­schließ­lich der Vor­schrif­ten über das Zustan­de­kom­men von Ver­trä­gen, ihre Gül­tig­keit oder ihre Rechts­fol­gen oder über die Aus­wir­kun­gen der Been­di­gung eines Ver­trags, unbe­rührt. Die vor­lie­gen­de Ver­ord­nung ergänzt das Uni­ons­recht zur För­de­rung der Inter­es­sen der Ver­brau­cher und zur Gewähr­lei­stung eines hohen Ver­brau­cher­schutz­ni­veaus sowie zum Schutz ihrer Gesund­heit, Sicher­heit und wirt­schaft­li­chen Inter­es­sen, ins­be­son­de­re die Richt­li­nie 93/13/EWG des Rates und der Richt­li­ni­en 2005/29/EU und 2011/83/EU des Euro­päi­schen Par­la­ments und des Rates, und lässt es unbe­rührt. (10) Die­se Ver­ord­nung berührt nicht Rechts­vor­schrif­ten der Uni­on natio­na­le Rechts­vor­schrif­ten über die Daten­wei­ter­ga­be, den Daten­zu­gang und die Daten­nut­zung zum Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder zur Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung oder für Zoll- und Steu­er­zwecke, unab­hän­gig davon, auf wel­cher Rechts­grund­la­ge nach dem Ver­trag über die Arbeits­wei­se der Euro­päi­schen Uni­on (AEUV) die­se Rechts­vor­schrif­ten der Uni­on erlas­sen wur­den, oder Rechts­vor­schrif­ten über die inter­na­tio­na­le Zusam­men­ar­beit in die­sem Bereich, ins­be­son­de­re auf der Grund­la­ge des Über­ein­kom­mens des Euro­pa­rats über Com­pu­ter­kri­mi­na­li­tät (ETS Nr. 185), das am 23. Novem­ber 2001 in Buda­pest unter­zeich­net wur­de. Zu die­sen Rechts­vor­schrif­ten gehö­ren die Ver­ord­nun­gen (EU) 2021/784, (EU) 2022/2065 und (EU) 2023/1543 des Euro­päi­schen Par­la­ments und des Rates und die Richt­li­nie (EU) 2023/1544 des Euro­päi­schen Par­la­ments und des Rates. Die vor­lie­gen­de Ver­ord­nung gilt nicht für die Erhe­bung oder das Tei­len von oder den Zugang zu oder die Nut­zung von Daten gemäß der Ver­ord­nung (EU) 2015/847 des Euro­päi­schen Par­la­ments und des Rates sowie der Richt­li­nie (EU) 2015/849 des Euro­päi­schen Par­la­ments und des Rates. Die vor­lie­gen­de Ver­ord­nung gilt nicht für nicht unter das Uni­ons­recht fal­len­de Berei­che und berührt nicht die Zustän­dig­kei­ten der Mit­glied­staa­ten in Bezug auf die öffent­li­che Sicher­heit, die Ver­tei­di­gung oder die natio­na­le Sicher­heit, die Zoll- und Steu­er­ver­wal­tung oder die Gesund­heit und Sicher­heit der Bür­ge­rin­nen und Bür­ger, unab­hän­gig von der Art des Rechts­trä­gers, der von den Mit­glied­staa­ten mit der Wahr­neh­mung von Auf­ga­ben im Zusam­men­hang mit die­sen Zustän­dig­kei­ten betraut wur­de. (11) Sofern nicht aus­drück­lich in der vor­lie­gen­den Ver­ord­nung vor­ge­se­hen, soll­ten Rechts­vor­schrif­ten der Uni­on, in denen Anfor­de­run­gen an die phy­si­sche Kon­zep­ti­on und die Daten für Pro­duk­te, die in der Uni­on in Ver­kehr gebracht wer­den sol­len, fest­ge­legt wer­den, von die­ser Ver­ord­nung unbe­rührt blei­ben. (12) Die­se Ver­ord­nung ergänzt das Uni­ons­recht zur Fest­le­gung von Bar­rie­re­frei­heits­an­for­de­run­gen für bestimm­te Pro­duk­te und Dienst­lei­stun­gen, ins­be­son­de­re die Richt­li­nie (EU) 2019/882 des Euro­päi­schen Par­la­ments und des Rates, und lässt es unbe­rührt. (13) Die­se Ver­ord­nung berührt nicht die Rechts­ak­te der Uni­on und der Mit­glied­staa­ten zum Schutz der Rech­te des gei­sti­gen Eigen­tums, dar­un­ter die Richt­li­ni­en 2001/29/EG, 2004/48/EG und (EU) 2019/790 des Euro­päi­schen Par­la­ments und des Rates. (14) Ver­netz­te Pro­duk­te, die mit­tels ihrer Kom­po­nen­ten oder Betriebs­sy­ste­me Daten über ihre Lei­stung, Nut­zung oder Umge­bung erlan­gen, gene­rie­ren oder erhe­ben und die die­se Daten über einen elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dienst, eine phy­si­sche Ver­bin­dung oder einen gerä­te­in­ter­nen Zugang über­mit­teln kön­nen – häu­fig als Inter­net der Din­ge bezeich­net –, soll­ten in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, mit Aus­nah­me von Pro­to­ty­pen. Bei­spie­le für sol­che elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dien­ste umfas­sen ins­be­son­de­re ter­re­stri­sche Tele­fon­net­ze, Fern­seh­ka­bel­net­ze, Satel­li­ten­net­ze und Nah­feld­kom­mu­ni­ka­ti­ons­net­ze. Ver­netz­te Pro­duk­te kom­men in allen Berei­chen der Wirt­schaft und Gesell­schaft vor, ein­schließ­lich in pri­va­ten, zivi­len oder gewerb­li­chen Infra­struk­tu­ren, Fahr­zeu­gen, medi­zi­ni­scher Aus­rü­stung, Life­style-Aus­rü­stung, Schif­fen, Luft­fahr­zeu­gen, Haus­halts­ge­rä­ten und Kon­sum­gü­tern, Medi­zin- und Gesund­heits­pro­duk­ten oder land­wirt­schaft­li­chen und indu­stri­el­len Maschi­nen und Anla­gen. Durch die Ent­schei­dun­gen der Her­stel­ler bei der Kon­zep­ti­on und gege­be­nen­falls durch das Uni­ons­recht oder das natio­na­le Recht, mit dem sek­tor­spe­zi­fi­scher Bedürf­nis­se und Zie­le ange­gan­gen wer­den, oder durch die ein­schlä­gi­gen Ent­schei­dun­gen der Wett­be­werbs­be­hör­den soll­te vor­ge­ge­ben wer­den, wel­che Daten von einem ver­netz­ten Pro­dukt bereit­ge­stellt wer­den kön­nen. (15) Die Daten stel­len digi­ta­li­sier­te Nut­zer­hand­lun­gen und ‑vor­gän­ge dar und soll­ten dem­entspre­chend für den Nut­zer zugäng­lich sein. Die Vor­schrif­ten für den Zugang zu und die Nut­zung von Daten von ver­netz­ten Pro­duk­ten und ver­bun­de­nen Dien­sten im Rah­men die­ser Ver­ord­nung betref­fen sowohl Pro­dukt­da­ten als auch ver­bun­de­ne Dienst­da­ten. Pro­dukt­da­ten bezeich­net Daten, die durch die Nut­zung eines ver­netz­ten Pro­dukts gene­riert wer­den und die der Her­stel­ler so kon­zi­piert hat, dass sie von einem Nut­zer, Daten­in­ha­ber oder Drit­ten – gege­be­nen­falls ein­schließ­lich des Her­stel­lers – aus dem ver­netz­ten Pro­dukt abge­ru­fen wer­den kön­nen. Ver­bun­de­ne Dienst­da­ten bezeich­net Daten, die eben­falls die Digi­ta­li­sie­rung von Nut­zer­hand­lun­gen oder ‑vor­gän­gen im Zusam­men­hang mit dem ver­netz­ten Pro­dukt dar­stel­len und wäh­rend der Erbrin­gung eines ver­bun­de­nen Dien­stes durch den Anbie­ter gene­riert wer­den. Unter Daten, die bei der Nut­zung eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes gene­riert wer­den, soll­ten absicht­lich auf­ge­zeich­ne­te Daten oder Daten ver­stan­den wer­den, die indi­rekt durch Nut­zer­hand­lun­gen gene­riert wer­den, wie z. B. Daten über die Umge­bung oder Inter­ak­tio­nen des ver­netz­ten Pro­dukts. Dies soll­te Daten über die Nut­zung eines ver­netz­ten Pro­dukts ein­schlie­ßen, die von einer Benut­zer­schnitt­stel­le oder über einen ver­bun­de­nen Dienst gene­riert wer­den, und soll­te sich nicht auf die Infor­ma­ti­on beschrän­ken, dass ein Pro­dukt oder Dienst genutzt wur­de, son­dern alle Daten umfas­sen, die das ver­netz­te Pro­dukt infol­ge einer sol­chen Nut­zung gene­riert, wie z. B. auto­ma­tisch von Sen­so­ren gene­rier­te Daten und Daten, die von ein­ge­bet­te­ten Anwen­dun­gen auf­ge­zeich­net wer­den, ein­schließ­lich Anwen­dun­gen, die den Hard­ware­sta­tus und Funk­ti­ons­stö­run­gen ange­ben. Außer­dem soll­ten dazu Daten gehö­ren, die von dem ver­netz­ten Pro­dukt oder ver­bun­de­nen Dienst gene­riert wer­den, wäh­rend der Nut­zer inak­tiv ist, etwa wenn er beschließt, ein ver­netz­tes Pro­dukt für einen bestimm­ten Zeit­raum nicht zu ver­wen­den, son­dern es im Bereit­schafts­zu­stand zu belas­sen oder sogar aus­zu­schal­ten, da sich der Sta­tus eines ver­netz­ten Pro­dukts oder sei­ner Kom­po­nen­ten, bei­spiels­wei­se sei­ner Bat­te­rien, ändern kann, wenn sich das ver­netz­te Pro­dukt im Bereit­schafts­zu­stand befin­det oder aus­ge­schal­tet ist. Daten, die nicht wesent­lich ver­än­dert wer­den, d. h. Daten in Roh­form, auch als Quell- oder Pri­mär­da­ten bezeich­net, die sich auf Daten­punk­te bezie­hen, die ohne jeg­li­che wei­te­re Form der Ver­ar­bei­tung auto­ma­tisch gene­riert wer­den, sowie Daten, die vor der Wei­ter­ver­ar­bei­tung und Aus­wer­tung auf­be­rei­tet wur­den, um sie ver­ständ­lich und nutz­bar zu machen, fal­len in den Anwen­dungs­be­reich die­ser Ver­ord­nung. Dazu gehö­ren Daten, die von einem ein­zel­nen Sen­sor oder einer Grup­pe mit­ein­an­der ver­bun­de­ner Sen­so­ren erho­ben wur­den, um die erfass­ten Daten für viel­fäl­ti­ge­re Anwen­dungs­fäl­le ver­ständ­lich zu machen, indem eine phy­si­ka­li­sche Grö­ße oder Eigen­schaft oder die Ver­än­de­rung einer phy­si­ka­li­schen Grö­ße, wie Tem­pe­ra­tur, Druck, Durch­fluss­men­ge, Ton, pH-Wert, Flüs­sig­keits­stand, Posi­ti­on, Beschleu­ni­gung oder Geschwin­dig­keit, bestimmt wird. Der Begriff „auf­be­rei­te­te Daten“ soll­te nicht so aus­ge­legt wer­den, dass der Daten­in­ha­ber dazu ver­pflich­tet ist, wesent­li­che Inve­sti­tio­nen in die Berei­ni­gung und Trans­for­ma­ti­on der Daten vor­zu­neh­men. Die Daten, die bereit­zu­stel­len sind, soll­ten die ein­schlä­gi­gen Meta­da­ten, ein­schließ­lich ihres grund­le­gen­den Kon­texts und Zeit­stem­pels, umfas­sen, um die Daten in Kom­bi­na­ti­on mit ande­ren Daten, z. B. Daten, die sor­tiert und mit ande­ren, mit ihnen ver­bun­de­nen Daten­punk­ten klas­si­fi­ziert wur­den oder die in ein gän­gi­ges For­mat umfor­ma­tiert wur­den, nutz­bar zu machen. Der­ar­ti­ge Daten sind poten­zi­ell wert­voll für den Nut­zer und unter­stüt­zen Inno­va­tio­nen und die Ent­wick­lung digi­ta­ler und ande­rer Dien­ste zum Schutz der Umwelt, der Gesund­heit und der Kreis­lauf­wirt­schaft, unter ande­rem indem sie die War­tung und Repa­ra­tur der betref­fen­den ver­netz­ten Pro­duk­te erleich­tern. Dage­gen soll­ten aus sol­chen Daten gefol­ger­te oder abge­lei­te­te Infor­ma­tio­nen, die das Ergeb­nis zusätz­li­cher Inve­sti­tio­nen in die Zuwei­sung von Wer­ten oder Erkennt­nis­sen aus den Daten sind (ins­be­son­de­re mit­tels kom­ple­xer pro­prie­tä­rer Algo­rith­men, ein­schließ­lich sol­cher, die Teil pro­prie­tä­rer Soft­ware sind), nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, und somit soll­ten Daten­in­ha­ber bei die­sen Daten auch nicht dazu ver­pflich­tet sein, sie einem Nut­zer oder Daten­emp­fän­ger bereit­zu­stel­len, es sei denn, der Nut­zer und der Daten­in­ha­ber haben etwas ande­res ver­ein­bart. Zu die­sen Daten könn­ten ins­be­son­de­re Infor­ma­tio­nen gehö­ren, die durch Sen­sor­fu­si­on gewon­nen wer­den, bei der Daten von meh­re­ren Sen­so­ren abge­lei­tet oder gefol­gert wer­den, die in dem ver­netz­ten Pro­dukt unter Ver­wen­dung kom­ple­xer pro­prie­tä­rer Algo­rith­men erho­ben wer­den und mög­li­cher­wei­se Rech­ten des gei­sti­gen Eigen­tums unter­lie­gen. (16) Die­se Ver­ord­nung ermög­licht es Nut­zern ver­netz­ter Pro­duk­te, Fol­ge­markt-Dien­ste, Neben­dien­ste und son­sti­ge Dien­ste zu nut­zen, die auf Daten basie­ren, die von in die­se Pro­duk­te ein­ge­bet­te­ten Sen­so­ren erho­ben wer­den, wobei die Erhe­bung die­ser Daten von poten­zi­el­lem Nut­zen für die Ver­bes­se­rung der Lei­stung der ver­netz­ten Pro­duk­te ist. Es ist wich­tig, die Märk­te für die Bereit­stel­lung sol­cher mit Sen­so­ren aus­ge­stat­te­ter ver­netz­ter Pro­duk­te und damit ver­bun­de­ner Dien­ste einer­seits und die Märk­te für nicht ver­wand­te Soft­ware und Inhal­te wie Text‑, Audio- oder audio­vi­su­el­le Inhal­te, die häu­fig Rech­ten des gei­sti­gen Eigen­tums unter­lie­gen, ande­rer­seits von­ein­an­der abzu­gren­zen. Daher soll­ten Daten, die von sol­chen mit Sen­so­ren aus­ge­stat­te­ten ver­netz­ten Pro­duk­ten gene­riert wer­den, wenn ihre Nut­zer Inhal­te – unter ande­rem zur Nut­zung durch einen Online-Dienst – auf­zeich­nen, über­mit­teln, anzei­gen las­sen oder abspie­len, sowie die Inhal­te selbst, die häu­fig Rech­ten des gei­sti­gen Eigen­tums unter­lie­gen, nicht unter die­se Ver­ord­nung fal­len. Die­se Ver­ord­nung soll­te auch nicht für Daten gel­ten, die von dem ver­netz­ten Pro­dukt für die Zwecke der Spei­che­rung oder Ver­ar­bei­tung im Namen ande­rer Par­tei­en, die kei­ne Nut­zer sind, erlangt oder gene­riert wur­den oder auf die über das ver­netz­te Pro­dukt zuge­grif­fen wur­de oder die an es über­mit­telt wur­den, wie es etwa bei Ser­vern oder Cloud-Infra­struk­tu­ren, die von ihren Eigen­tü­mern aus­schließ­lich im Auf­trag Drit­ter betrie­ben wer­den, unter ande­rem zur Nut­zung durch einen Online-Dienst, der Fall sein kann. (17) Für Pro­duk­te, die zum Zeit­punkt des Erwerbs, der Anmie­tung oder des Lea­sings so mit einem ver­bun­de­nen Dienst ver­netzt sind, dass das ver­netz­te Pro­dukt ohne die­sen Dienst eine oder meh­re­re sei­ner Funk­tio­nen nicht aus­füh­ren könn­te, oder der anschlie­ßend vom Her­stel­ler oder von einem Drit­ten mit dem Pro­dukt ver­netzt wird, um die Funk­tio­nen des ver­netz­ten Pro­dukts zu ergän­zen oder anzu­pas­sen, müs­sen Vor­schrif­ten fest­ge­legt wer­den. Im Rah­men sol­cher ver­bun­de­nen Dien­ste wer­den Daten zwi­schen dem ver­netz­ten Pro­dukt und dem Dien­ste­an­bie­ter aus­ge­tauscht, das heißt, sie soll­ten als Dien­ste ver­stan­den wer­den, die aus­drück­lich mit dem Betrieb der Funk­tio­nen des ver­netz­ten Pro­dukts ver­knüpft sind, wie im Fall von Dien­sten, die gege­be­nen­falls Befeh­le an das ver­netz­te Pro­dukt über­mit­teln, die sich wie­der­um auf des­sen Akti­vi­tät oder Ver­hal­ten aus­wir­ken kön­nen. Dien­ste, die sich nicht auf den Betrieb des ver­netz­ten Pro­dukts aus­wir­ken und durch die kei­ne Daten oder Befeh­le des Dien­ste­an­bie­ters an das ver­netz­te Pro­dukt über­mit­telt wer­den, soll­ten nicht als ver­bun­de­ne Dien­ste gel­ten. Zu sol­chen Dien­sten könn­ten z. B. zusätz­li­che Beratungs‑, Ana­ly­se- oder Finanz­dienst­lei­stun­gen oder regel­mä­ßi­ge Repa­ra­tur- und War­tungs­dien­ste gehö­ren. Ver­bun­de­ne Dien­ste kön­nen als Teil eines Kauf‑, Miet- oder Lea­sing­ver­trags ange­bo­ten wer­den. Ver­bun­de­ne Dien­ste könn­ten auch für Pro­duk­te der­sel­ben Art erbracht wer­den, und Nut­zer soll­ten ihre Erbrin­gung – unter Berück­sich­ti­gung der Beschaf­fen­heit des ver­netz­ten Pro­dukts und öffent­li­cher Erklä­run­gen, die im Vor­feld des Ver­trags­schlus­ses von dem Ver­käu­fer oder im Auf­trag des Ver­käu­fers, Ver­mie­ters, Lea­sing­ge­bers oder ande­rer Per­so­nen in vor­ge­la­ger­ten Glie­dern der Ver­trags­ket­te, ein­schließ­lich des Her­stel­lers, abge­ge­ben wur­den – ver­nünf­ti­ger­wei­se erwar­ten kön­nen. Die­se ver­bun­de­nen Dien­ste kön­nen, unab­hän­gig von den Daten­er­he­bungs­mög­lich­kei­ten des ver­netz­ten Pro­dukts, mit dem sie ver­bun­den sind, selbst Daten gene­rie­ren, die für den Nut­zer von Wert sind. Die­se Ver­ord­nung soll­te auch für ver­bun­de­ne Dien­ste gel­ten, die nicht vom Ver­käu­fer, Ver­mie­ter oder Lea­sing­ge­ber selbst, son­dern von einem Drit­ten erbracht wer­den. Bei Zwei­feln, ob die Erbrin­gung des Dien­stes Teil des Kauf‑, Miet- oder Lea­sing­ver­trags ist, soll­te die­se Ver­ord­nung Anwen­dung fin­den. Weder die Strom­ver­sor­gung noch die Bereit­stel­lung der Kon­nek­ti­vi­tät sind nach die­ser Ver­ord­nung als ver­bun­de­ne Dien­ste aus­zu­le­gen. (18) Unter dem Nut­zer eines ver­netz­ten Pro­dukts soll­te eine natür­li­che oder juri­sti­sche Per­son, z. B. ein Unter­neh­men, ein Ver­brau­cher oder eine öffent­li­che Stel­le, ver­stan­den wer­den, die Eigen­tü­mer eines ver­netz­ten Pro­dukts oder – bei­spiels­wei­se durch einen Miet- oder Lea­sing­ver­trag – Inha­ber bestimm­ter befri­ste­ter Rech­te auf Zugang zu Daten aus dem ver­netz­ten Pro­dukt oder auf deren Nut­zung ist oder ver­bun­de­ne Dien­ste für das ver­netz­te Pro­dukt in Anspruch nimmt. Die­se Zugangs­rech­te soll­ten in kei­ner Wei­se eine Ände­rung der oder einen Ein­griff in die Rech­te betrof­fe­ner Per­so­nen, die mög­li­cher­wei­se mit einem ver­netz­ten Pro­dukt oder einem ver­bun­de­nen Dienst inter­agie­ren, in Bezug auf die von dem ver­netz­ten Pro­dukt oder wäh­rend der Erbrin­gung ver­bun­de­ner Dien­ste gene­rier­ten per­so­nen­be­zo­ge­nen Daten bewir­ken. Der Nut­zer trägt die Risi­ken und genießt die Vor­tei­le der Nut­zung des ver­netz­ten Pro­dukts und soll­te auch Zugang zu den von ihm gene­rier­ten Daten haben. Er soll­te daher berech­tigt sein, aus den von die­sem ver­netz­ten Pro­dukt und allen ver­bun­de­nen Dien­sten gene­rier­ten Daten Nut­zen zu zie­hen. Ein Eigen­tü­mer, Mie­ter oder Lea­sing­neh­mer soll­te eben­falls als Nut­zer gel­ten, auch in Fäl­len, in denen meh­re­re Rechts­trä­ger als Nut­zer gel­ten kön­nen. Im Fal­le meh­re­rer Nut­zer kann jeder ein­zel­ne Nut­zer auf unter­schied­li­che Wei­se zur Daten­ge­ne­rie­rung bei­tra­gen und ein Inter­es­se an ver­schie­de­nen For­men der Nut­zung haben; Bei­spie­le sind das Flot­ten­ma­nage­ment für ein Lea­sing­un­ter­neh­men oder Mobi­li­täts­lö­sun­gen für Ein­zel­per­so­nen, die einen Car-Sha­ring-Dienst nut­zen. (19) Der Begriff „Daten­kom­pe­tenz“ bezeich­net die Fähig­kei­ten, das Wis­sen und das Ver­ständ­nis, die/das es Nut­zern, Ver­brau­chern und Unter­neh­men, ins­be­son­de­re KMU, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, ermög­li­chen, sich des poten­zi­el­len Werts der von ihnen gene­rier­ten, pro­du­zier­ten und wei­ter­ge­ge­be­nen Daten bewusst zu wer­den, und sie dazu moti­vie­ren, im Ein­klang mit den ein­schlä­gi­gen Rechts­vor­schrif­ten Zugang zu ihren Daten anzu­bie­ten und zu gewäh­ren. Daten­kom­pe­tenz soll­te über den Erwerb von Wis­sen über Instru­men­te und Tech­no­lo­gien hin­aus­ge­hen und dar­auf abzie­len, Bür­ge­rin­nen und Bür­ger und Unter­neh­men in die Lage zu ver­set­zen und zu befä­hi­gen, aus einem inklu­si­ven und fai­ren Daten­markt Nut­zen zu zie­hen. Die Ver­brei­tung von Maß­nah­men zur Daten­kom­pe­tenz und die Ein­füh­rung ange­mes­se­ner Fol­ge­maß­nah­men könn­ten dazu bei­tra­gen, die Arbeits­be­din­gun­gen zu ver­bes­sern, und letzt­lich die Kon­so­li­die­rung und den Inno­va­ti­ons­pfad der Daten­wirt­schaft in der Uni­on unter­stüt­zen. Die zustän­di­gen Behör­den soll­ten Instru­men­te för­dern und Maß­nah­men ergrei­fen, um die Daten­kom­pe­tenz von Nut­zern und Rechts­trä­gern, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, zu ver­bes­sern und sie für ihre Rech­te und Pflich­ten aus die­ser Ver­ord­nung zu sen­si­bi­li­sie­ren. (20) In der Pra­xis sind nicht alle Daten, die durch ver­netz­te Pro­duk­te oder ver­bun­de­ne Dien­ste gene­riert wer­den, für ihre Nut­zer leicht zugäng­lich, und es gibt häu­fig nur begrenz­te Mög­lich­kei­ten in Bezug auf die Über­trag­bar­keit von Daten, die durch mit dem Inter­net ver­netz­te Pro­duk­te gene­riert wer­den. Die Nut­zer sind daher nicht in der Lage, die Daten zu erlan­gen, die erfor­der­lich sind, um Repa­ra­tur- und ande­re Dien­ste in Anspruch zu neh­men, und Unter­neh­men sind nicht in der Lage, inno­va­ti­ve, beque­me und effi­zi­en­te­re Dien­ste anzu­bie­ten. In vie­len Sek­to­ren kön­nen die Her­stel­ler , da sie die Kon­trol­le über die tech­ni­sche Kon­zep­ti­on der ver­netz­ten Pro­duk­te oder ver­bun­de­ner Dien­ste haben, bestim­men, wel­che Daten gene­riert wer­den und wie dar­auf zuge­grif­fen wer­den kann, obwohl sie kei­nen Rechts­an­spruch auf die­se Daten haben. Daher muss sicher­ge­stellt wer­den, dass ver­netz­te Pro­duk­te so kon­zi­piert und her­ge­stellt sowie damit ver­bun­de­ne Dien­ste so kon­zi­piert und erbracht wer­den, dass die Pro­dukt­da­ten und die ver­bun­de­nen Dienst­da­ten, ein­schließ­lich der ent­spre­chen­den Meta­da­ten, die zur Aus­le­gung und Nut­zung die­ser Daten erfor­der­lich sind, und zwar auch, um die Daten abru­fen, nut­zen oder wei­ter­ge­ben zu kön­nen, für einen Nut­zer stets leicht und sicher zugäng­lich sind, und dies kosten­los, in einem umfas­sen­den, struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat. Pro­dukt­da­ten und ver­bun­de­ne Dienst­da­ten, die ein Daten­in­ha­ber recht­mä­ßig von dem ver­netz­ten Pro­dukt oder ver­bun­de­nen Dienst erhält oder erhal­ten kann, etwa auf­grund der Kon­zep­ti­on des ver­netz­ten Pro­dukts, des Ver­trags des Daten­in­ha­bers mit dem Nut­zer über die Erbrin­gung ver­bun­de­ner Dien­ste und sei­ner tech­ni­schen Mit­tel für den Daten­zu­gang ohne unver­hält­nis­mä­ßig hohen Auf­wand, wer­den als „ohne Wei­te­res ver­füg­ba­re Daten“ bezeich­net. Von ohne Wei­te­res ver­füg­ba­ren Daten aus­ge­nom­men sind Daten, die bei der Pro­dukt­nut­zung gene­riert wer­den, sofern das ver­netz­te Pro­dukt nicht dafür aus­ge­legt ist, dass sol­che Daten außer­halb der Kom­po­nen­te, in der sie gene­riert wer­den, oder des ver­netz­ten Pro­dukts als Gan­zem gespei­chert oder über­mit­telt wer­den. Die­se Ver­ord­nung soll­te daher nicht dahin­ge­hend aus­ge­legt wer­den, dass die Ver­pflich­tung zur Spei­che­rung von Daten auf der zen­tra­len Rech­ner­ein­heit eines ver­netz­ten Pro­dukts besteht. Das Feh­len einer sol­chen Ver­pflich­tung soll­te den Her­stel­ler oder Daten­in­ha­ber nicht dar­an hin­dern, sol­che Anpas­sun­gen auf frei­wil­li­ger Basis mit dem Nut­zer zu ver­ein­ba­ren. Die Kon­zep­ti­ons­pflich­ten nach Maß­ga­be die­ser Ver­ord­nung las­sen auch den Grund­satz der Daten­mi­ni­mie­rung nach Arti­kel 5 Absatz 1 Buch­sta­be c der Ver­ord­nung (EU) 2016/679 unbe­rührt und soll­ten nicht so ver­stan­den wer­den, dass ver­netz­te Pro­duk­te und ver­bun­de­ne Dien­ste der­art kon­zi­piert wer­den müs­sen, dass damit auch ande­re als die für die Zwecke ihrer Ver­ar­bei­tung erfor­der­li­chen per­so­nen­be­zo­ge­nen Daten gespei­chert oder ander­wei­tig ver­ar­bei­tet wer­den. Es könn­te Uni­ons­recht oder natio­na­les Recht ein­ge­führt wer­den, um wei­te­re Beson­der­hei­ten fest­zu­le­gen, wie etwa die Pro­dukt­da­ten, die über ver­netz­te Pro­duk­te oder ver­bun­de­ne Dien­ste zugäng­lich sein soll­ten, da die­se Daten für den effi­zi­en­ten Betrieb, die Repa­ra­tur oder die War­tung die­ser ver­netz­ten Pro­duk­te oder ver­bun­de­nen Dien­ste von wesent­li­cher Bedeu­tung sein kön­nen. Füh­ren spä­te­re Aktua­li­sie­run­gen oder Ände­run­gen eines ver­netz­ten Pro­dukts oder eines ver­bun­de­nen Dien­stes durch den Her­stel­ler oder eine ande­re Par­tei zu zusätz­li­chen zugäng­li­chen Daten oder zu einer Ein­schrän­kung ursprüng­lich zugäng­li­cher Daten, so soll­ten die­se Ände­run­gen dem Nut­zer im Rah­men der Aktua­li­sie­rung oder Ände­rung mit­ge­teilt wer­den. (21) Gel­ten meh­re­re Per­so­nen oder Rechts­trä­ger als Nut­zer, bei­spiels­wei­se im Fal­le gemein­schaft­li­chen Eigen­tums oder wenn ein Eigen­tü­mer, Mie­ter oder Lea­sing­neh­mer gemein­sa­me Rech­te am Daten­zu­gang oder an der Daten­nut­zung besitzt, so soll­te die Kon­zep­ti­on des ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes oder der ent­spre­chen­den Schnitt­stel­le jedem Nut­zer den Zugang zu den von die­sen gene­rier­ten Daten ermög­li­chen. Die Nut­zung von ver­netz­ten Pro­duk­ten, die Daten gene­rie­ren, erfor­dert in der Regel, dass ein Nut­zer­kon­to ein­ge­rich­tet wird. Ein sol­ches Kon­to ermög­licht es dem Nut­zer, durch den Daten­in­ha­ber, bei dem es sich um den Her­stel­ler han­deln kann, iden­ti­fi­ziert zu wer­den. Es kann auch als Kom­mu­ni­ka­ti­ons­mit­tel und zur Ein­rei­chung und Bear­bei­tung von Daten­zu­gangs­ver­lan­gen ver­wen­det wer­den. Haben meh­re­re Her­stel­ler oder Erbrin­ger ver­bun­de­ner Dien­ste gemein­sam ver­netz­te Pro­duk­te an den­sel­ben Nut­zer ver­kauft, ver­mie­tet oder ver­least bzw. inte­grier­te Dien­ste für die­sen erbracht, so soll­te sich der Nut­zer an jede der Par­tei­en wen­den, mit der er einen Ver­trag geschlos­sen hat. Her­stel­ler oder Ent­wick­ler eines ver­netz­ten Pro­dukts, das in der Regel von meh­re­ren Per­so­nen ver­wen­det wird, soll­ten die erfor­der­li­chen Mecha­nis­men ein­rich­ten, die gege­be­nen­falls die Ein­rich­tung getrenn­ter Nut­zer­kon­ten für ein­zel­ne Per­so­nen oder die Nut­zung des­sel­ben Nut­zer­kon­tos durch meh­re­re Per­so­nen ermög­li­chen. Kon­to­be­zo­ge­ne Lösun­gen soll­ten es den Nut­zern ermög­li­chen, ihre Kon­ten und die damit ver­bun­de­nen Daten zu löschen, und könn­ten für Nut­zer ins­be­son­de­re in Fäl­len, in denen das Eigen­tum an dem Pro­dukt auf ande­re Per­so­nen über­geht oder ande­re Per­so­nen das ver­netz­te Pro­dukt nut­zen, die Mög­lich­keit vor­se­hen, den Daten­zu­gang, die Daten­nut­zung oder die Daten­wei­ter­ga­be zu been­den oder deren Ein­stel­lung zu bean­tra­gen. Der Zugang soll­te dem Nut­zer auf der Grund­la­ge ein­fa­cher Antrags­ver­fah­ren gewährt wer­den, die eine auto­ma­ti­sche Aus­füh­rung ermög­li­chen und kei­ne Prü­fung oder Frei­ga­be durch den Her­stel­ler oder Daten­in­ha­ber erfor­dern. Dies bedeu­tet, dass die Daten nur bereit­ge­stellt wer­den soll­ten, wenn der Nut­zer tat­säch­lich Zugang wünscht. Ist die auto­ma­ti­sche Aus­füh­rung des Daten­zu­gangs­ver­lan­gens, bei­spiels­wei­se über ein Nut­zer­kon­to oder die mit dem ver­netz­ten Pro­dukt oder dem ver­bun­de­nen Dienst bereit­ge­stell­te mobi­le Anwen­dung, nicht mög­lich, so soll­te der Her­stel­ler dem Nut­zer mit­tei­len, wie auf die Daten zuge­grif­fen wer­den kann. (22) Die ver­netz­ten Pro­duk­te kön­nen so kon­zi­piert sein, dass bestimm­te Daten direkt von einem Daten­spei­cher auf dem Gerät oder von einem ent­fern­ten Ser­ver, an den die Daten über­mit­telt wer­den, zugäng­lich gemacht wer­den. Der Zugang zu Daten­spei­chern auf dem Gerät kann über kabel­ge­bun­de­ne oder draht­lo­se loka­le Funk­net­ze ermög­licht wer­den, die mit einem öffent­lich ver­füg­ba­ren elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dienst oder Mobil­funk­netz ver­bun­den sind. Bei dem Ser­ver kann es sich um die eige­nen loka­len Ser­ver­ka­pa­zi­tä­ten des Her­stel­lers oder um die eines Drit­ten oder eines Cloud-Dien­ste­an­bie­ters han­deln. Auf­trags­ver­ar­bei­ter im Sin­ne von Arti­kel 4 Num­mer 8 der Ver­ord­nung (EU) 2016/679 gel­ten nicht als Daten­in­ha­ber. Sie kön­nen jedoch aus­drück­lich vom Ver­ant­wort­li­chen im Sin­ne von Arti­kel 4 Num­mer 7 der Ver­ord­nung (EU) 2016/679 beauf­tragt wer­den, Daten bereit­zu­stel­len. Ver­netz­te Pro­duk­te kön­nen so kon­zi­piert sein, dass der Nut­zer oder ein Drit­ter die Daten auf dem ver­netz­ten Pro­dukt, auf einer Rech­ner­instanz des Her­stel­lers oder in einer von dem Nut­zer oder Drit­ten aus­ge­wähl­ten Infor­ma­ti­ons- und Kommunikationstechnologie-(IKT)-Umgebung ver­ar­bei ten kann. (23) Vir­tu­el­le Assi­sten­ten spie­len eine immer wich­ti­ge­re Rol­le bei der Digi­ta­li­sie­rung des Ver­brau­cher­um­felds und des beruf­li­chen Umfelds und die­nen als benut­zer­freund­li­che Schnitt­stel­le für die Wie­der­ga­be von Inhal­ten, das Erlan­gen von Infor­ma­tio­nen oder die Akti­vie­rung von Pro­duk­ten, die mit dem Inter­net ver­bun­den sind. Vir­tu­el­le Assi­sten­ten kön­nen bei­spiels­wei­se in einer Smart-Home-Umge­bung als zen­tra­les Zugangs­tor die­nen und erheb­li­che Men­gen rele­van­ter Daten dar­über erfas­sen, wie Nut­zer mit Pro­duk­ten inter­agie­ren, die mit dem Inter­net ver­bun­den sind, ein­schließ­lich sol­cher, die von Drit­ten her­ge­stellt wer­den, und kön­nen die Nut­zung der vom Her­stel­ler bereit­ge­stell­ten Schnitt­stel­len, wie Touch­screens oder Smart­phone-Apps, erset­zen. Unter Umstän­den möch­te der Nut­zer die­se Daten Dritt­her­stel­lern bereit­stel­len, um neu­ar­ti­ge intel­li­gen­te Dien­ste zu akti­vie­ren. Vir­tu­el­le Assi­sten­ten soll­ten unter das in die­ser Ver­ord­nung vor­ge­se­he­ne Daten­zu­gangs­recht fal­len. Unter das in die­ser Ver­ord­nung vor­ge­se­he­ne Daten­zu­gangs­recht soll­ten auch Daten fal­len, die gene­riert wer­den, wenn ein Nut­zer über einen vir­tu­el­len Assi­sten­ten, der von einem ande­ren Rechts­trä­ger als dem Her­stel­ler des ver­netz­ten Pro­dukts bereit­ge­stellt wird, mit einem ver­netz­ten Pro­dukt inter­agiert. Aller­dings soll­ten nur die aus der Inter­ak­ti­on zwi­schen dem Nut­zer und einem ver­netz­ten Pro­dukt oder ver­bun­de­nen Dienst über den vir­tu­el­len Assi­sten­ten anfal­len­den Daten von die­ser Ver­ord­nung gedeckt sein. Vom vir­tu­el­len Assi­sten­ten erstell­te Daten, die nicht mit der Ver­wen­dung eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes zusam­men­hän­gen, sind nicht von die­ser Ver­ord­nung gedeckt. (24) Vor Abschluss eines Kauf‑, Miet- oder Lea­sing­ver­trags für ein ver­netz­tes Pro­dukt soll­te der Ver­käu­fer, Ver­mie­ter oder Lea­sing­ge­ber – bei dem es sich auch um den Her­stel­ler han­deln kann – dem Nut­zer Infor­ma­tio­nen zu den Pro­dukt­da­ten die das ver­netz­te Pro­dukt gene­rie­ren kann, ein­schließ­lich der Art, des For­mats und der geschätz­ten Daten­men­ge, auf kla­re und ver­ständ­li­che Wei­se bereit­stel­len. Dies könn­te, soweit ver­füg­bar, Infor­ma­tio­nen über Daten­struk­tu­ren, Daten­for­ma­te, Voka­bu­la­re, Klas­si­fi­zie­rungs­sy­ste­me, Taxo­no­mien und Code­li­sten sowie kla­re und aus­rei­chen­de Infor­ma­tio­nen ein­schlie­ßen, die für die Aus­übung der Nut­zer­rech­te rele­vant sind, und dar­über, wie die Daten gespei­chert oder abge­ru­fen wer­den kön­nen oder wie auf sie zuge­grif­fen wer­den kann, ein­schließ­lich der Nut­zungs­be­din­gun­gen und der Dienst­qua­li­tät von Anwen­dungs­pro­gram­mier­schnitt­stel­len oder gege­be­nen­falls der Bereit­stel­lung von Soft­ware Deve­lo­p­ment Kits. Die­se Pflicht sorgt für Trans­pa­renz in Bezug auf die gene­rier­ten Pro­dukt­da­ten und ver­ein­facht den Zugang für den Nut­zer. Der Infor­ma­ti­ons­pflicht könn­te bei­spiels­wei­se dadurch nach­ge­kom­men wer­den, dass eine sta­bi­le URL-Adres­se im Inter­net unter­hal­ten wird, die als Web­link oder QR-Code ver­brei­tet wer­den kann und zu den ein­schlä­gi­gen Infor­ma­tio­nen führt, die der Ver­käu­fer, der Ver­mie­ter oder der Lea­sing­ge­ber – bei dem es sich auch um den Her­stel­ler han­deln kann – dem Nut­zer vor Abschluss eines Kauf‑, Miet- oder Lea­sing­ver­trags für ein ver­netz­tes Pro­dukt bereit­stel­len könn­te. Der Nut­zer muss die Infor­ma­tio­nen in jedem Fall so spei­chern kön­nen, dass sie in der Fol­ge ein­ge­se­hen wer­den kön­nen und die unver­än­der­te Wie­der­ga­be der gespei­cher­ten Infor­ma­tio­nen mög­lich ist. Zwar kann vom Daten­in­ha­ber nicht erwar­tet wer­den, dass er die Daten mit Blick auf die Bedürf­nis­se des Nut­zers des ver­netz­ten Pro­dukts unbe­grenzt spei­chert, jedoch soll­te er eine ange­mes­se­ne Rege­lung in Bezug auf die Dau­er der Daten­spei­che­rung anwen­den, gege­be­nen­falls im Ein­klang mit dem Grund­satz der Spei­cher­be­gren­zung nach Arti­kel 5 Absatz 1 Buch­sta­be e der Ver­ord­nung (EU) 2016/679, die die wirk­sa­me Anwen­dung der Daten­zu­gangs­rech­te gemäß die­ser Ver­ord­nung ermög­licht. Die Infor­ma­ti­ons­pflicht berührt nicht die Pflicht des Ver­ant­wort­li­chen, der betrof­fe­nen Per­son Infor­ma­tio­nen gemäß den Arti­keln 12, 13 und 14 der Ver­ord­nung (EU) 2016/679 zu über­mit­teln. Die Pflicht, vor Abschluss eines Ver­trags über die Erbrin­gung eines ver­bun­de­nen Dien­stes die ent­spre­chen­den Infor­ma­tio­nen bereit­zu­stel­len, soll­te beim poten­zi­el­len Daten­in­ha­ber lie­gen, unab­hän­gig davon, ob der Daten­in­ha­ber einen Kauf‑, Miet- oder Lea­sing­ver­trag für ein ver­netz­tes Pro­dukt abschließt. Ändern sich die Infor­ma­tio­nen wäh­rend der Lebens­dau­er des ver­netz­ten Pro­dukts oder der Ver­trags­lauf­zeit für den ver­bun­de­nen Dienst, ein­schließ­lich wenn sich der Zweck, zu dem die­se Daten ver­wen­det wer­den sol­len, gegen­über dem ursprüng­lich vor­ge­se­he­nen Zweck ändert, so soll­ten dies­be­züg­li­che Infor­ma­tio­nen auch dem Nut­zer bereit­ge­stellt wer­den. (25) Die­se Ver­ord­nung soll­te nicht so ver­stan­den wer­den, dass sie Daten­in­ha­bern ein neu­es Recht auf die Nut­zung von Pro­dukt­da­ten oder ver­bun­de­ner Dienst­da­ten ver­leiht. Ist der Her­stel­ler eines ver­netz­ten Pro­dukts der Daten­in­ha­ber, so soll­te ein Ver­trag zwi­schen dem Her­stel­ler und dem Nut­zer die Grund­la­ge für die Nut­zung nicht-per­so­nen­be­zo­ge­ner Daten durch den Her­stel­ler bil­den. Ein sol­cher Ver­trag könn­te Teil einer Ver­ein­ba­rung über die Erbrin­gung des ver­bun­de­nen Dien­stes sein, die zusam­men mit dem Kauf‑, Miet- oder Lea­sing­ver­trag für das ver­netz­te Pro­dukt getrof­fen wer­den kann. Jede Ver­trags­klau­sel, nach der der Daten­in­ha­ber die Pro­dukt­da­ten oder ver­bun­de­nen Dienst­da­ten nut­zen darf, soll­te für den Nut­zer trans­pa­rent sein, auch in Bezug auf die Zwecke, zu denen der Daten­in­ha­ber die Daten zu ver­wen­den beab­sich­tigt. Zu die­sen Ver­wen­dungs­zwecken könn­ten die Ver­bes­se­rung der Funk­ti­ons­wei­se des ver­netz­ten Pro­dukts oder ver­bun­de­ner Dien­ste, die Ent­wick­lung neu­er Pro­duk­te oder Dien­ste oder die Aggre­ga­ti­on von Daten mit dem Ziel, die sich dar­aus erge­ben­den abge­lei­te­ten Daten Drit­ten bereit­zu­stel­len, gehö­ren, sofern die­se abge­lei­te­ten Daten es weder ermög­li­chen, ein­zel­ne Daten zu ermit­teln, die von dem ver­netz­ten Pro­dukt an den Daten­in­ha­ber über­mit­telt wur­den, noch Drit­ten ermög­li­chen, die­se Daten aus dem Daten­satz abzu­ru­fen. Jede Ver­trags­än­de­rung soll­te der fun­dier­ten Zustim­mung des Nut­zers bedür­fen. Die­se Ver­ord­nung hin­dert die Par­tei­en nicht dar­an, Ver­trags­klau­seln zu ver­ein­ba­ren, die bewir­ken, dass die Nut­zung von nicht-per­so­nen­be­zo­ge­nen Daten oder bestimm­ten Kate­go­rien nicht-per­so­nen­be­zo­ge­nen Daten durch einen Daten­in­ha­ber aus­ge­schlos­sen oder ein­ge­schränkt wird. Sie hin­dert die Par­tei­en auch nicht dar­an, zu ver­ein­ba­ren, dass Pro­dukt­da­ten oder ver­bun­de­ne Dienst­da­ten Drit­ten direkt oder indi­rekt, ein­schließ­lich sofern ein­schlä­gig über einen ande­ren Daten­in­ha­ber, bereit­ge­stellt wer­den kön­nen. Dar­über hin­aus steht die­se Ver­ord­nung auch sek­tor­spe­zi­fi­schen Regu­lie­rungs­an­for­de­run­gen nach Uni­ons­recht oder nach mit dem Uni­ons­recht im Ein­klang ste­hen­dem natio­na­len Recht nicht ent­ge­gen, die die Nut­zung bestimm­ter Daten durch den Daten­in­ha­ber aus genau fest­ge­leg­ten Grün­den der öffent­li­chen Ord­nung aus­schlie­ßen oder ein­schrän­ken wür­den. Fer­ner steht die­se Ver­ord­nung dem nicht ent­ge­gen, dass Nut­zer im Fal­le von Geschäfts­be­zie­hun­gen zwi­schen Unter­neh­men Drit­ten oder Daten­in­ha­bern unter jeg­li­chen recht­mä­ßi­gen Ver­trags­klau­seln Daten bereit­stel­len, unter ande­rem indem sie ver­ein­ba­ren, eine erneu­te Wei­ter­ga­be die­ser Daten zu begren­zen oder ein­zu­schrän­ken, oder dass Nut­zer bei­spiels­wei­se für den Ver­zicht auf ihr Recht, die­se Daten zu ver­wen­den oder wei­ter­zu­ge­ben, eine ange­mes­se­ne Gegen­lei­stung erhal­ten. Obwohl der Begriff „Daten­in­ha­ber“ öffent­li­che Stel­len im All­ge­mei­nen nicht ein­schließt, kann er jedoch öffent­li­che Unter­neh­men ein­schlie­ßen. (26) Um das Ent­ste­hen liqui­der, fai­rer und effi­zi­en­ter Märk­te für nicht-per­so­nen­be­zo­ge­ne Daten zu för­dern, soll­ten die Nut­zer ver­netz­ter Pro­duk­te Daten mit mini­ma­lem recht­li­chem und tech­ni­schem Auf­wand, auch für kom­mer­zi­el­le Zwecke, an ande­re wei­ter­ge­ben kön­nen. Für Unter­neh­men ist es der­zeit oft schwie­rig, die Per­so­nal- oder EDV-Kosten zu recht­fer­ti­gen, die anfal­len, um nicht-per­so­nen­be­zo­ge­ne Daten­sät­ze oder Daten­pro­duk­te auf­zu­be­rei­ten und sie poten­zi­el­len Gegen­par­tei­en über Daten­ver­mitt­lungs­dien­ste, ein­schließ­lich Daten­markt­plät­ze, anzu­bie­ten. Ein wesent­li­ches Hin­der­nis für die Wei­ter­ga­be nicht-per­so­nen­be­zo­ge­ner Daten durch Unter­neh­men ergibt sich daher aus der feh­len­den Vor­her­seh­bar­keit des wirt­schaft­li­chen Ertrags von Inve­sti­tio­nen in die Auf­be­rei­tung und Bereit­stel­lung von Daten­sät­zen oder Daten­pro­duk­ten. Damit in der Uni­on liqui­de, fai­re und effi­zi­en­te Märk­te für nicht-per­so­nen­be­zo­ge­ne Daten ent­ste­hen kön­nen, muss geklärt wer­den, wel­che Par­tei das Recht hat, sol­che Daten auf einem Markt anzu­bie­ten. Nut­zer soll­ten daher das Recht haben, nicht-per­so­nen­be­zo­ge­ne Daten zu kom­mer­zi­el­len und nicht­kom­mer­zi­el­len Zwecken an Daten­emp­fän­ger wei­ter­zu­ge­ben. Eine sol­che Daten­wei­ter­ga­be könn­te direkt durch den Nut­zer, auf Ver­lan­gen des Nut­zers über einen Daten­in­ha­ber oder durch Daten­ver­mitt­lungs­dien­ste erfol­gen. Daten­ver­mitt­lungs­dien­ste im Sin­ne der Ver­ord­nung (EU) 2022/868 des Euro­päi­schen Par­la­ments und des Rates könn­ten der Daten­wirt­schaft die­nen, indem sie Geschäfts­be­zie­hun­gen zwi­schen Nut­zern, Daten­emp­fän­gern und Drit­ten her­stel­len und die Nut­zer bei der Aus­übung ihres Daten­nut­zungs­rechts unter­stüt­zen, etwa indem sie die Anony­mi­sie­rung der per­so­nen­be­zo­ge­nen Daten oder die Aggre­ga­ti­on des Zugangs zu Daten von einer Viel­zahl ein­zel­ner Nut­zer sicher­stel­len. Sind Daten von der Ver­pflich­tung eines Daten­in­ha­bers, sie Nut­zern oder Drit­ten bereit­zu­stel­len, aus­ge­nom­men, so könn­te der Umfang die­ser Daten in dem zwi­schen dem Nut­zer und dem Daten­in­ha­ber geschlos­se­nen Ver­trag über die Erbrin­gung eines ver­bun­de­nen Dien­stes fest­ge­legt wer­den, sodass die Nut­zer leicht fest­stel­len kön­nen, wel­che Daten ihnen für die Wei­ter­ga­be an Daten­emp­fän­ger oder Drit­te bereit­ste­hen. Daten­in­ha­ber soll­ten Drit­ten nicht-per­so­nen­be­zo­ge­ne Pro­dukt­da­ten weder zu kom­mer­zi­el­len noch zu nicht­kom­mer­zi­el­len Zwecken bereit­stel­len, außer es geht um die Erfül­lung ihres Ver­trags mit dem Nut­zer; dies soll­te die recht­li­chen Anfor­de­run­gen nach dem Uni­ons­recht oder dem natio­na­len Recht an einen Daten­in­ha­ber für die Bereit­stel­lung von Daten unbe­rührt las­sen. Gege­be­nen­falls soll­ten Daten­in­ha­ber Drit­te ver­trag­lich dazu ver­pflich­ten, die von ihnen erhal­te­nen Daten nicht erneut wei­ter­zu­ge­ben. (27) In kon­zen­trier­ten Sek­to­ren, in denen die End­nut­zer durch eine klei­ne Zahl von Her­stel­lern mit ver­netz­ten Pro­duk­ten ver­sorgt wer­den, ste­hen den Nut­zern unter Umstän­den nur begrenz­te Mög­lich­kei­ten für den Daten­zu­gang, die Daten­nut­zung und die Wei­ter­ga­be von Daten zur Ver­fü­gung. Unter die­sen Umstän­den rei­chen ver­trag­li­che Ver­ein­ba­run­gen mög­li­cher­wei­se nicht aus, um das Ziel der Stär­kung der Hand­lungs­fä­hig­keit der Nut­zer zu errei­chen , was es den Nut­zern erschwert, aus den Daten, die mit den von ihnen gekauf­ten, gemie­te­ten oder gelea­sten ver­net­zen Pro­duk­ten gene­riert wer­den, Wert zu schöp­fen. Folg­lich ist das Poten­zi­al für inno­va­ti­ve klei­ne­re Unter­neh­men, daten­ge­stütz­te Lösun­gen auf wett­be­werbs­fä­hi­ge Wei­se anzu­bie­ten, und für eine viel­fäl­ti­ge Daten­wirt­schaft in der Uni­on begrenzt. Die­se Ver­ord­nung soll­te daher auf den jüng­sten Ent­wick­lun­gen in bestimm­ten Sek­to­ren auf­bau­en, wie dem Ver­hal­tens­ko­dex für die Wei­ter­ga­be von Agrar­da­ten im Wege eines Ver­trags. Uni­ons­recht oder natio­na­les Recht kann erlas­sen wer­den, um sek­tor­spe­zi­fi­schen Bedürf­nis­sen und Zie­len Rech­nung zu tra­gen. Dar­über hin­aus soll­ten Daten­in­ha­ber ohne Wei­te­res ver­füg­ba­re Daten, bei denen es sich um nicht-per­so­nen­be­zo­ge­ne Daten han­delt, nicht ver­wen­den, um Ein­blicke in die wirt­schaft­li­che Lage, die Ver­mö­gens­wer­te oder die Pro­duk­ti­ons­me­tho­den des Nut­zers oder in die Nut­zung durch den Nut­zer auf jeg­li­che ande­re Art zu erlan­gen, die die gewerb­li­che Posi­ti­on die­ses Nut­zers auf den Märk­ten, auf denen die­ser tätig ist, unter­gra­ben könn­te. Dazu könn­te gehö­ren, dass Wis­sen über die Gesamt­lei­stung eines Unter­neh­mens oder eines land­wirt­schaft­li­chen Betriebs in Ver­trags­ver­hand­lun­gen mit dem Nut­zer über den poten­zi­el­len Erwerb des Pro­dukts oder land­wirt­schaft­li­cher Erzeug­nis­se des Nut­zers zu sei­nem Nach­teil ein­ge­setzt wür­de oder dass sol­che Infor­ma­tio­nen in grö­ße­re agg­re­gier­te Daten­ban­ken über bestimm­te Märk­te – z. B. Daten­ban­ken über Ern­te­er­trä­ge für die kom­men­de Ern­te­sai­son – ein­ge­ge­ben wür­den, da sich eine sol­che Ver­wen­dung indi­rekt nega­tiv auf den Nut­zer aus­wir­ken könn­te. Dem Nut­zer soll­te die für die Ver­wal­tung der Berech­ti­gun­gen erfor­der­li­che tech­ni­sche Schnitt­stel­le bereit­ge­stellt wer­den, vor­zugs­wei­se mit fein abge­stuf­ten Berech­ti­gungs­op­tio­nen (z. B. „Zugriff ein­ma­lig zulas­sen“ oder „Zugriff nur wäh­rend der Nut­zung der App oder des Dien­stes zulas­sen“), ein­schließ­lich der Mög­lich­keit, sol­che Berech­ti­gun­gen zu wider­ru­fen. (28) Bei Ver­trä­gen zwi­schen einem Daten­in­ha­ber und einem Ver­brau­cher als Nut­zer eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes, das bzw. der Daten gene­riert, gilt das Ver­brau­cher­recht der Uni­on, ins­be­son­de­re die Richt­li­ni­en 93/13/EWG und 2005/29/EG, damit ein Ver­brau­cher kei­nen miss­bräuch­li­chen Ver­trags­klau­seln unter­liegt. Für die Zwecke die­ser Ver­ord­nung soll­ten miss­bräuch­li­che Ver­trags­klau­seln, die einem Unter­neh­men ein­sei­tig auf­er­legt wer­den, für das betref­fen­de Unter­neh­men nicht ver­bind­lich sein. (29) Daten­in­ha­ber kön­nen eine geeig­ne­te Nut­zer­iden­ti­fi­zie­rung ver­lan­gen, um die Berech­ti­gung eines Nut­zers auf Zugang zu den Daten zu über­prü­fen. Im Fal­le per­so­nen­be­zo­ge­ner Daten, die von einem Auf­trags­ver­ar­bei­ter im Auf­trag des Ver­ant­wort­li­chen ver­ar­bei­tet wer­den, soll­ten die Daten­in­ha­ber sicher­stel­len, dass das Zugangs­ver­lan­gen vom Auf­trags­ver­ar­bei­ter ent­ge­gen­ge­nom­men und bear­bei­tet wird. (30) Dem Nut­zer soll­te es frei­ste­hen, die Daten zu jedem recht­mä­ßi­gen Zweck zu ver­wen­den. Dazu gehö­ren die Bereit­stel­lung der Daten, die der Nut­zer im Rah­men der Aus­übung sei­ner Rech­te nach die­ser Ver­ord­nung erhal­ten hat, für einen Drit­ten, der einen Fol­ge­markt-Dienst anbie­tet, der mög­li­cher­wei­se mit einem von einem Daten­in­ha­ber bereit­ge­stell­ten Dienst im Wett­be­werb steht, oder die Anwei­sung hier­zu an den Daten­in­ha­ber. Das Zugangs­ver­lan­gen soll­te vom Nut­zer oder von einem bevoll­mäch­tig­ten Drit­ten gestellt wer­den, der im Namen eines Nut­zers han­delt, ein­schließ­lich von einem Erbrin­ger eines Daten­ver­mitt­lungs­dien­stes. Daten­in­ha­ber soll­ten sicher­stel­len, dass die einem Drit­ten bereit­ge­stell­ten Daten so genau, voll­stän­dig, zuver­läs­sig, rele­vant und aktu­ell sind wie die bei der Nut­zung des ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes gene­rier­ten Daten, auf die der Daten­in­ha­ber selbst zugrei­fen kann oder darf. Rech­te des gei­sti­gen Eigen­tums soll­ten bei der Ver­ar­bei­tung der Daten gewahrt wer­den. Es ist wich­tig, dass wei­ter Anrei­ze für Inve­sti­tio­nen in Pro­duk­te bestehen, deren Funk­tio­nen auf der Nut­zung der Daten von in die­se Pro­duk­te ein­ge­bau­ten Sen­so­ren basie­ren. (31) Nach der Richt­li­nie (EU) 2016/943 des Euro­päi­schen Par­la­ments und des Rates gilt der Erwerb, die Nut­zung oder die Offen­le­gung eines Geschäfts­ge­heim­nis­ses unter ande­rem dann als recht­mä­ßig, wenn der betref­fen­de Erwerb oder die betref­fen­de Nut­zung oder Offen­le­gung nach Uni­ons­recht oder natio­na­lem Recht vor­ge­schrie­ben oder zuläs­sig ist. Nach die­ser Ver­ord­nung sind Daten­in­ha­ber zwar dazu ver­pflich­tet, bestimm­te Daten gegen­über Nut­zern oder vom Nut­zer aus­ge­wähl­ten Drit­ten offen­zu­le­gen, selbst wenn die­se Daten unter den Schutz des Geschäfts­ge­heim­nis­ses fal­len, doch soll­te dies so aus­ge­legt wer­den, dass der Schutz von Geschäfts­ge­heim­nis­sen nach Maß­ga­be der Richt­li­nie (EU) 2016/943 gewahrt wird. In die­sem Zusam­men­hang soll­ten Daten­in­ha­ber dem Nut­zer oder vom Nut­zer aus­ge­wähl­ten Drit­ten die Wah­rung der Ver­trau­lich­keit von Daten, die als Geschäfts­ge­heim­nis­se gel­ten, vor­schrei­ben kön­nen. Daher soll­ten Daten­in­ha­ber die Geschäfts­ge­heim­nis­se vor deren Offen­le­gung ermit­teln und die Mög­lich­keit haben, mit Nut­zern oder vom Nut­zer aus­ge­wähl­ten Drit­ten not­wen­di­ge Maß­nah­men zur Wah­rung ihrer Ver­trau­lich­keit zu ver­ein­ba­ren, unter ande­rem durch die Ver­wen­dung von Muster­ver­trags­klau­seln, Ver­trau­lich­keits­ver­ein­ba­run­gen, stren­gen Zugangs­pro­to­kol­len, tech­ni­schen Stan­dards und die Anwen­dung von Ver­hal­tens­ko­di­zes. Neben der Ver­wen­dung der von der Kom­mis­si­on zu ent­wickeln­den und zu emp­feh­len­den Muster­ver­trags­klau­seln könn­te auch die Fest­le­gung von Ver­hal­tens­ko­di­zes und tech­ni­schen Stan­dards in Bezug auf den Schutz von Geschäfts­ge­heim­nis­sen bei der Ver­ar­bei­tung der Daten dazu bei­tra­gen, das Ziel die­ser Vero rdnung zu errei­chen, und soll­te daher vor­an­ge­trie­ben wer­den. Besteht kei­ne Ver­ein­ba­rung über die not­wen­di­gen Maß­nah­men oder setzt ein Nut­zer oder ein vom Nut­zer aus­ge­wähl­ter Drit­ter die­se ver­ein­bar­ten Maß­nah­men nicht um oder ver­stößt gegen die Ver­trau­lich­keit von Geschäfts­ge­heim­nis­sen, so soll­te es dem Daten­in­ha­ber mög­lich sein, die Wei­ter­ga­be der als Geschäfts­ge­heim­nis­se ein­ge­stuf­ten Daten zu ver­wei­gern oder aus­zu­set­zen. In sol­chen Fäl­len soll­te der Daten­in­ha­ber dem Nut­zer oder dem Drit­ten sei­ne Ent­schei­dung unver­züg­lich schrift­lich mit­tei­len und die natio­na­le zustän­di­ge Behör­de des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, davon unter­rich­ten, dass er die Wei­ter­ga­be von Daten ver­wei­gert oder aus­ge­setzt hat, und ange­ben, wel­che Maß­nah­men nicht ver­ein­bart oder umge­setzt wur­den und – sofern rele­vant – bei wel­chen Geschäfts­ge­heim­nis­sen die Ver­trau­lich­keit ver­letzt wur­de. Grund­sätz­lich kön­nen Daten­in­ha­ber ein Daten­zu­gangs­ver­lan­gen gemäß die­ser Ver­ord­nung nicht allein auf­grund des­sen ableh­nen, dass bestimm­te Daten als Geschäfts­ge­heim­nis­se gel­ten, da dies die beab­sich­tig­te Wir­kung die­ser Ver­ord­nung unter­gra­ben wür­de. In Aus­nah­me­fäl­len soll­te es einem Daten­in­ha­ber, der Inha­ber eines Geschäfts­ge­heim­nis­ses ist, jedoch mög­lich sein, im Ein­zel­fall ein Daten­zu­gangs­ver­lan­gen für die betref­fen­den spe­zi­fi­schen Daten abzu­leh­nen, wenn er gegen­über dem Nut­zer oder dem Drit­ten nach­wei­sen kann, dass durch die Offen­le­gung die­ses Geschäfts­ge­heim­nis­ses trotz von dem Nut­zer oder dem Drit­ten vor­ge­nom­me­ner tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men mit hoher Wahr­schein­lich­keit ein schwe­rer wirt­schaft­li­cher Scha­den ent­steht. Ein schwe­rer wirt­schaft­li­cher Scha­den geht mit schwe­ren irrepa­ra­blen wirt­schaft­li­chen Ver­lu­sten ein­her. Der Daten­in­ha­ber soll­te sei­ne Wei­ge­rung gegen­über dem Nut­zer oder dem Drit­ten unver­züg­lich in schrift­li­cher Form ord­nungs­ge­mäß begrün­den und die zustän­di­ge Behör­de hier­von in Kennt­nis set­zen. Eine sol­che Begrün­dung soll­te sich auf objek­ti­ve Fak­ten stüt­zen, aus denen her­vor­geht, dass durch die Offen­le­gung bestimm­ter Daten die kon­kre­te Gefahr eines schwe­ren wirt­schaft­li­chen Scha­dens zu erwar­ten ist, und wes­halb die zum Schutz der ver­lang­ten Daten ergrif­fe­nen Maß­nah­men als nicht aus­rei­chend erach­tet wer­den. In die­sem Zusam­men­hang kann etwa­igen nega­ti­ven Aus­wir­kun­gen auf die Cyber­si­cher­heit Rech­nung getra­gen wer­den. Unbe­scha­det des Rechts, vor einem Gericht eines Mit­glied­staats Rechts­mit­tel ein­zu­le­gen, kann der Nut­zer oder der Drit­te, der die Ent­schei­dung des Daten­in­ha­bers, die Wei­ter­ga­be von Daten abzu­wei­sen oder zu ver­wei­gern oder aus­zu­set­zen, anfech­ten möch­te, bei der zustän­di­gen Behör­de Beschwer­de ein­le­gen, die sodann unver­züg­lich ent­schei­den soll­te, ob und unter wel­chen Bedin­gun­gen die Wei­ter­ga­be der Daten begin­nen oder wie­der auf­ge­nom­men wer­den soll­te, oder der Nut­zer oder der Drit­te kann mit dem Daten­in­ha­ber ver­ein­ba­ren, eine Streit­bei­le­gungs­stel­le mit der Ange­le­gen­heit zu befas­sen. Die in die­ser Ver­ord­nung vor­ge­se­he­nen Aus­nah­men von den Daten­zu­gangs­rech­ten soll­ten in kei­ner Wei­se die Rech­te der betrof­fe­nen Per­so­nen auf Zugang und Daten­über­trag­bar­keit gemäß der Ver­ord­nung (EU) 2016/679 beschrän­ken. (32) Das Ziel die­ser Ver­ord­nung besteht nicht nur dar­in, die Ent­wick­lung neu­er, inno­va­ti­ver ver­netz­ter Pro­duk­te oder ver­bun­de­ner Dien­ste zu för­dern und Inno­va­tio­nen auf den Fol­ge­märk­ten vor­an­zu­trei­ben, son­dern auch dar­in, die Ent­wick­lung völ­lig neu­ar­ti­ger Dien­ste unter Nut­zung der betref­fen­den Daten anzu­re­gen, auch auf der Grund­la­ge von Daten aus einer Viel­zahl von ver­netz­ten Pro­duk­ten oder ver­bun­de­nen Dien­sten. Gleich­zei­tig soll mit der vor­lie­gen­den Ver­ord­nung ver­hin­dert wer­den, dass die Anrei­ze für Inve­sti­tio­nen in die Art ver­netz­ter Pro­duk­te, von denen die Daten erlangt wer­den, ver­lo­ren gehen, etwa wenn Daten zur Ent­wick­lung eines kon­kur­rie­ren­den ver­netz­ten Pro­dukts genutzt wer­den, das ins­be­son­de­re auf­grund sei­ner Merk­ma­le, sei­nes Prei­ses und sei­nes Ver­wen­dungs­zwecks von den Nut­zern als aus­tausch­bar oder ersetz­bar betrach­tet wird. Die­se Ver­ord­nung sieht kein Ver­bot der Ent­wick­lung eines ver­bun­de­nen Dien­stes unter Nut­zung der im Rah­men die­ser Ver­ord­nung erlang­ten Daten vor, da dies eine uner­wünsch­te abschrecken­de Wir­kung auf Inno­va­tio­nen hät­te. Die Inno­va­ti­ons­an­stren­gun­gen der Daten­in­ha­ber wer­den durch das Ver­bot geschützt, Daten, zu denen im Rah­men die­ser Ver­ord­nung Zugang besteht, für die Ent­wick­lung eines ver­netz­ten Kon­kur­renz­pro­dukts zu nut­zen. Ob ein ver­netz­tes Pro­dukt mit dem ver­netz­ten Pro­dukt, von dem die Daten stam­men, im Wett­be­werb steht, hängt davon ab, ob die bei­den ver­netz­ten Pro­duk­te auf dem­sel­ben Pro­dukt­markt mit­ein­an­der kon­kur­rie­ren. Dies ist auf der Grund­la­ge der bewähr­ten Grund­sät­ze des Wett­be­werbs­rechts der Uni­on zur Bestim­mung des ein­schlä­gi­gen Pro­dukt­markts zu ent­schei­den. Aller­dings könn­te ein recht­mä­ßi­ger Zweck der Nut­zung der Daten, soweit die Anfor­de­run­gen der vor­lie­gen­den Ver­ord­nung, des Uni­ons­rechts oder des natio­na­len Rechts dabei erfüllt sind, Rever­se Engi­nee­ring (Nach­kon­struk­ti­on) umfas­sen. Dabei kann es sich um Zwecke der Repa­ra­tur oder der Ver­län­ge­rung der Lebens­dau­er eines ver­netz­ten Pro­dukts oder der Erbrin­gung von Fol­ge­markt-Dien­sten für ver­netz­te Pro­duk­te han­deln. (33) Ein Drit­ter, dem Daten bereit­ge­stellt wer­den, kann eine natür­li­che oder juri­sti­sche Per­son, wie etwa ein Ver­brau­cher, ein Unter­neh­men, eine For­schungs­ein­rich­tung, eine gemein­nüt­zi­ge Orga­ni­sa­ti­on oder ein in beruf­li­cher Eigen­schaft han­deln­der Rechts­trä­ger, sein. Wenn ein Daten­in­ha­ber dem Drit­ten die Daten bereit­stellt, soll­te er sei­ne Posi­ti­on nicht miss­brau­chen, um einen Wett­be­werbs­vor­teil auf Märk­ten zu erlan­gen, auf denen der Daten­in­ha­ber und der Drit­te mög­li­cher­wei­se in direk­tem Wett­be­werb ste­hen. Der Daten­in­ha­ber soll­te ohne Wei­te­res ver­füg­ba­re Daten daher nicht dazu nut­zen, um Ein­blicke in die wirt­schaft­li­che Lage, die Ver­mö­gens­wer­te oder Pro­duk­ti­ons­me­tho­den des Drit­ten oder die Nut­zung durch den Drit­ten auf jeg­li­che ande­re Wei­se zu erlan­gen, die die gewerb­li­che Posi­ti­on des Drit­ten auf den Märk­ten, auf denen die­ser tätig ist, unter­gra­ben könn­te. Der Nut­zer soll­te in der Lage sein, nicht-per­so­nen­be­zo­ge­ne Daten zu kom­mer­zi­el­len Zwecken an Drit­te wei­ter­zu­ge­ben. Nach Zustim­mung des Nut­zers und vor­be­halt­lich der Bestim­mun­gen die­ser Ver­ord­nung soll­ten Drit­te die vom Nut­zer ein­ge­räum­ten Daten­zu­gangs­rech­te auf ande­re Drit­te über­tra­gen kön­nen, auch gegen Ent­gelt. Daten­mitt­ler zwi­schen Unter­neh­men und Per­so­nal Infor­ma­ti­on Manage­ment Syste­men (per­so­nal infor­ma­ti­on manage­ment systems, PIMS), die in der Ver­ord­nung (EU) 2022/868 als Daten­ver­mitt­lungs­dien­ste bezeich­net wer­den, kön­nen Nut­zer oder Drit­te bei der Auf­nah­me von Geschäfts­be­zie­hun­gen mit einer unbe­stimm­ten Zahl poten­zi­el­ler Gegen­par­tei­en zu jedem in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­den recht­mä­ßi­gen Zweck unter­stüt­zen. Sie könn­ten eine ent­schei­den­de Rol­le bei der Aggre­ga­ti­on des Zugangs zu Daten spie­len, sodass Big-Data-Ana­ly­sen oder maschi­nel­les Ler­nen erleich­tert wer­den kön­nen, vor­aus­ge­setzt dass die Nut­zer die vol­le Kon­trol­le dar­über behal­ten, ob sie ihre Daten zu einer sol­chen Aggre­ga­ti­on bereit­stel­len und unter wel­chen kom­mer­zi­el­len Bedin­gun­gen ihre Daten zu nut­zen sind. (34) Bei der Nut­zung eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes kön­nen, ins­be­son­de­re wenn es sich bei dem Nut­zer um eine natür­li­che Per­son han­delt, Daten gene­riert wer­den, die sich auf eine betrof­fe­ne Per­son bezie­hen. Die Ver­ar­bei­tung sol­cher Daten unter­liegt den Vor­schrif­ten der Ver­ord­nung (EU) 2016/679, auch wenn per­so­nen­be­zo­ge­ne und nicht-per­so­nen­be­zo­ge­ne Daten in einem Daten­satz untrenn­bar mit­ein­an­der ver­bun­den sind. Die betrof­fe­ne Per­son kann der Nut­zer oder eine ande­re natür­li­che Per­son sein. Zugang zu per­so­nen­be­zo­ge­nen Daten darf nur von einem Ver­ant­wort­li­chen oder einer betrof­fe­nen Per­son ver­langt wer­den. Der Nut­zer, der die betrof­fe­ne Per­son ist, ist unter bestimm­ten Umstän­den gemäß der Ver­ord­nung (EU) 2016/679 berech­tigt, auf die jenen Nut­zer betref­fen­den per­so­nen­be­zo­ge­nen Daten zuzu­grei­fen; die­se Rech­te blei­ben von der vor­lie­gen­den Ver­ord­nung unbe­rührt. Nach der vor­lie­gen­den Ver­ord­nung hat ein Nut­zer, der eine natür­li­che Per­son ist, fer­ner das Recht auf Zugang zu allen durch die Nut­zung eines ver­netz­ten Pro­dukts gene­rier­ten Daten, ob per­so­nen­be­zo­gen oder nicht-per­so­nen­be­zo­gen. Han­delt es sich beim Nut­zer nicht um die betrof­fe­ne Per­son, son­dern um ein Unter­neh­men, ein­schließ­lich eines Ein­zel­un­ter­neh­mers, und wird das Pro­dukt nicht gemein­sam in einem Haus­halt ver­wen­det, so gilt der Nut­zer als Ver­ant­wort­li­cher. Dem­entspre­chend benö­tigt ein Nut­zer, der als Ver­ant­wort­li­cher Zugang zu per­so­nen­be­zo­ge­nen Daten, die bei der Nut­zung eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes gene­riert wer­den, zu ver­lan­gen beab­sich­tigt, für die Ver­ar­bei­tung der Daten eine Rechts­grund­la­ge gemäß Arti­kel 6 Absatz 1 der Ver­ord­nung (EU) 2016/679, wie etwa die Ein­wil­li­gung der betrof­fe­nen Per­son oder die Erfül­lung eines Ver­trags, des­sen Ver­trags­par­tei die betrof­fe­ne Per­son ist. Die­ser Nut­zer soll­te sicher­stel­len, dass die betrof­fe­ne Per­son ange­mes­sen über die spe­zi­fi­schen, ein­deu­ti­gen und recht­mä­ßi­gen Zwecke der Ver­ar­bei­tung die­ser Daten und dar­über infor­miert wird, wie die betrof­fe­ne Per­son ihre Rech­te wirk­sam aus­üben kann. Han­delt es sich bei dem Daten­in­ha­ber und dem Nut­zer um gemein­sam Ver­ant­wort­li­che im Sin­ne des Arti­kels 26 der Ver­ord­nung (EU) 2016/679, so müs­sen sie in einer Ver­ein­ba­rung in trans­pa­ren­ter Form fest­le­gen, wer von ihnen die ein­schlä­gi­gen Pflich­ten zur Ein­hal­tung der genann­ten Ver­ord­nung erfüllt. Es soll­te davon aus­ge­gan­gen wer­den, dass ein sol­cher Nut­zer, sobald Daten bereit­ge­stellt wur­den, sei­ner­seits Daten­in­ha­ber wer­den kann, wenn jener Nut­zer die Kri­te­ri­en die­ser Ver­ord­nung erfüllt, und damit sei­ner­seits den Pflich­ten zur Bereit­stel­lung von Daten im Rah­men die­ser Ver­ord­nung unter­lie­gen kann. (35) Pro­dukt­da­ten oder ver­bun­de­ne Dienst­da­ten soll­ten Drit­ten nur auf Ver­lan­gen des Nut­zers bereit­ge­stellt wer­den. Dem­entspre­chend ergänzt die vor­lie­gen­de Ver­ord­nung das in Arti­kel 20 der Ver­ord­nung (EU) 2016/679 ver­an­ker­te Recht einer betrof­fe­nen Per­so­nen, die sie betref­fen­den per­so­nen­be­zo­ge­nen Daten in einem struk­tu­rier­ten, gän­gi­gen, maschi­nen­les­ba­ren und inter­ope­ra­blen For­mat zu erhal­ten und sie auch einem ande­ren Ver­ant­wort­li­chen zu über­tra­gen, wenn die­se Daten mit­hil­fe auto­ma­ti­sier­ter Ver­fah­ren auf der Grund­la­ge von Arti­kel 6 Absatz 1 Buch­sta­be a oder Arti­kel 9 Absatz 2 Buch­sta­be a oder eines Ver­trags gemäß Arti­kel 6 Absatz 1 Buch­sta­be b der genann­ten Ver­ord­nung ver­ar­bei­tet wer­den. Betrof­fe­ne Per­so­nen haben eben­falls das Recht, zu erwir­ken, dass die per­so­nen­be­zo­ge­nen Daten von einem Ver­ant­wort­li­chen direkt an einen ande­ren Ver­ant­wort­li­chen über­mit­telt wer­den, jedoch nur sofern dies tech­nisch mach­bar ist. In Arti­kel 20 der Ver­ord­nung (EU) 2016/679 wird prä­zi­siert, dass dies Daten betrifft, die die betrof­fe­ne Per­son bereit­ge­stellt hat, ohne jedoch anzu­ge­ben, ob dies ein akti­ves Ver­hal­ten der betrof­fe­nen Per­son erfor­dert oder ob dies auch in Fäl­len gilt, in denen ein ver­netz­tes Pro­dukt oder ver­bun­de­ner Dienst durch sei­ne Kon­zep­ti­on das Ver­hal­ten einer betrof­fe­nen Per­son oder ande­re Infor­ma­tio­nen in Bezug auf eine betrof­fe­ne Per­son pas­siv erfasst. Die in die­ser Ver­ord­nung ent­hal­te­nen Rech­te ergän­zen das Recht, per­so­nen­be­zo­ge­ne Daten gemäß Arti­kel 20 der Ver­ord­nung (EU) 2016/679 auf ver­schie­de­ne Wei­se zu erhal­ten und zu über­tra­gen. Die vor­lie­gen­de Ver­ord­nung gewährt Nut­zern das Recht auf Zugang und dar­auf, einem Drit­ten alle Pro­dukt­da­ten oder ver­bun­de­nen Dienst­da­ten bereit­zu­stel­len, unab­hän­gig davon, ob es sich um per­so­nen­be­zo­ge­ne Daten han­delt, sowie unab­hän­gig von der Unter­schei­dung zwi­schen aktiv bereit­ge­stell­ten oder pas­siv erfass­ten Daten und von der Rechts­grund­la­ge für die Ver­ar­bei­tung. Im Gegen­satz zu Arti­kel 20 der Ver­ord­nung (EU) 2016/679 wird mit der vor­lie­gen­den Ver­ord­nung die tech­ni­sche Mach­bar­keit des Zugangs Drit­ter zu allen Arten von Daten, die in ihren Anwen­dungs­be­reich fal­len – ob per­so­nen­be­zo­gen oder nicht-per­so­nen­be­zo­gen –, vor­ge­schrie­ben und gewähr­lei­stet, womit sicher­ge­stellt wird, dass tech­ni­sche Hin­der­nis­se den Zugang zu die­sen Daten nicht mehr behin­dern oder ver­hin­dern. Außer­dem ermög­licht sie es Daten­in­ha­bern, eine ange­mes­se­ne Gegen­lei­stung für Kosten fest­le­gen, die durch die Bereit­stel­lung des direk­ten Zugangs zu den vom ver­netz­ten Pro­dukt des Nut­zers gene­rier­ten Daten ent­ste­hen, die von Drit­ten, nicht aber vom Nut­zer zu tra­gen ist. Wenn ein Daten­in­ha­ber und ein Drit­ter nicht in der Lage sind, Bedin­gun­gen für einen sol­chen direk­ten Zugang zu ver­ein­ba­ren, soll­te die betrof­fe­ne Per­son in kei­ner Wei­se dar­an gehin­dert wer­den, die in der Ver­ord­nung (EU) 2016/679 fest­ge­leg­ten Rech­te, ein­schließ­lich des Rechts auf Daten­über­trag­bar­keit, durch Ein­le­gung von Rechts­be­hel­fen gemäß der genann­ten Ver­ord­nung aus­zu­üben. In die­sem Zusam­men­hang gilt, dass im Ein­klang mit der Ver­ord­nung (EU) 2016/679 durch einen Ver­trag nicht die Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten durch den Daten­in­ha­ber oder den Drit­ten gestat­tet wer­den kann. (36) Der Zugang zu auf End­ge­rä­ten gespei­cher­ten von über End­ge­rä­te zugäng­li­chen Daten unter­liegt der Richt­li­nie 2002/58/EG und erfor­dert die Ein­wil­li­gung des Teil­neh­mers oder Nut­zers im Sin­ne der genann­ten Richt­li­nie, es sei denn, der Daten­zu­gang ist unbe­dingt für die Bereit­stel­lung eines vom Nut­zer oder vom Teil­neh­mer aus­drück­lich ver­lang­ten Dien­stes der Infor­ma­ti­ons­ge­sell­schaft oder zum allei­ni­gen Zweck der Über­tra­gung einer Nach­richt erfor­der­lich. Die Richt­li­nie 2002/58/EG schützt die Inte­gri­tät der End­ge­rä­te eines Nut­zers im Hin­blick auf die Nut­zung von Ver­ar­bei­tungs- und Spei­cher­funk­tio­nen und die Samm­lung von Infor­ma­tio­nen. Gerä­te des Inter­nets der Din­ge gel­ten als End­ge­rä­te, wenn sie direkt oder indi­rekt mit einem öffent­li­chen Kom­mu­ni­ka­ti­ons­netz ver­bun­den sind. (37) Um zu ver­hin­dern, dass Nut­zer aus­ge­nutzt wer­den, soll­ten Drit­te, denen die Daten auf Ver­lan­gen des Nut­zers bereit­ge­stellt wur­den, die­se Daten nur zu den mit dem Nut­zer ver­ein­bar­ten Zwecken ver­ar­bei­ten und sie nur an ande­re Drit­te wei­ter­ge­ben, wenn der Nut­zer sei­ne Ein­wil­li­gung zu die­ser Daten­wei­ter­ga­be gege­ben hat. (38) Im Ein­klang mit dem Grund­satz der Daten­mi­ni­mie­rung soll­ten Drit­te nur auf sol­che Infor­ma­tio­nen zugrei­fen, die für die Erbrin­gung des vom Nut­zer ver­lang­ten Dien­stes erfor­der­lich sind. Nach­dem der Drit­te Zugang zu den Daten erhal­ten hat, soll­te er die­se zu den mit dem Nut­zer ver­ein­bar­ten Zwecken ver­ar­bei­ten, ohne dass der Daten­in­ha­ber ein­greift. Es soll­te für den Nut­zer genau­so ein­fach sein, den Zugang Drit­ter zu den Daten zu ver­wei­gern oder zu been­den, wie es für ihn ist, den Zugang zu den Daten zu gestat­ten. Weder Drit­te noch Daten­in­ha­ber soll­ten die Aus­übung der Wahl­mög­lich­kei­ten oder Rech­te der Nut­zer unan­ge­mes­sen erschwe­ren, auch nicht, indem sie ihnen Wahl­mög­lich­kei­ten auf nicht neu­tra­le Wei­se anbie­ten, oder den Nut­zer zwin­gen, täu­schen oder mani­pu­lie­ren, oder indem sie – auch mit­tels einer digi­ta­len Benut­zer­schnitt­stel­le oder eines Teils davon –, die Auto­no­mie, Ent­schei­dungs­fä­hig­keit oder freie Wahl­mög­lich­kei­ten des Nut­zers unter­gra­ben oder beein­träch­ti­gen. In die­sem Zusam­men­hang soll­ten Drit­te oder Daten­in­ha­ber bei der Gestal­tung ihrer digi­ta­len Schnitt­stel­len nicht auf soge­nann­te „Dark Pat­terns“ zurück­grei­fen. „Dark Pat­terns“ sind Gestal­tungs­tech­ni­ken, die dazu die­nen, Ver­brau­cher zu Ent­schei­dun­gen, die nega­ti­ve Fol­gen für sie haben, zu ver­lei­ten oder sie zu täu­schen. Die­se mani­pu­la­ti­ven Tech­ni­ken kön­nen ein­ge­setzt wer­den, um Nut­zer, ins­be­son­de­re schutz­be­dürf­ti­ge Ver­brau­cher, zu uner­wünsch­tem Ver­hal­ten zu bewe­gen und zu täu­schen, indem sie zu Ent­schei­dun­gen über die Daten­of­fen­le­gung ange­regt wer­den, sowie um die Ent­schei­dungs­fin­dung der Nut­zer des Dien­stes unver­hält­nis­mä­ßig in einer Wei­se zu beein­flus­sen, die ihre Auto­no­mie, Ent­schei­dungs­fä­hig­keit oder Wahl­mög­lich­kei­ten unter­gräbt oder beein­träch­tigt. Übli­che und recht­mä­ßi­ge Geschäfts­prak­ti­ken, die mit dem Uni­ons­recht im Ein­klang ste­hen, soll­ten an sich nicht als „Dark Pat­terns“ ange­se­hen wer­den. Drit­te und Daten­in­ha­ber soll­ten ihren Pflich­ten nach dem ein­schlä­gi­gen Uni­ons­recht nach­kom­men, ins­be­son­de­re den Anfor­de­run­gen der Richt­li­ni­en 98/6/EG und 2000/31/EG des Euro­päi­schen Par­la­ments und des Rates sowie der Richt­li­ni­en 2005/29/EG und 2011/83/EU. (39) Drit­te soll­ten auch davon abse­hen, Daten, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, für das Pro­fil­ing einer Per­son zu ver­wen­den, es sei denn, sol­che Ver­ar­bei­tungs­tä­tig­kei­ten sind unbe­dingt erfor­der­lich, um den vom Nut­zer ver­lang­ten Dienst zu erbrin­gen, ein­schließ­lich im Kon­text der auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung. Die Anfor­de­rung, Daten zu löschen, wenn die­se für den mit dem Nut­zer ver­ein­bar­ten Zweck nicht mehr erfor­der­lich sind, ergänzt – sofern in Bezug nicht-per­so­nen­be­zo­ge­ne Daten nichts ande­res ver­ein­bart wur­de – das Recht der betrof­fe­nen Per­son auf Löschung gemäß Arti­kel 17 der Ver­ord­nung (EU) 2016/679. Wenn ein Drit­ter ein Anbie­ter eines Daten­ver­mitt­lungs­dien­stes ist, gel­ten die in der Ver­ord­nung (EU) 2022/868 für die betrof­fe­ne Per­son vor­ge­se­he­nen Schutz­vor­keh­run­gen. Der Drit­te kann die Daten für die Ent­wick­lung eines neu­en und inno­va­ti­ven ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes, nicht aber für die Ent­wick­lung eines kon­kur­rie­ren­den ver­netz­ten Pro­dukts ver­wen­den. (40) Start-ups, klei­ne Unter­neh­men und Unter­neh­men, die nach Arti­kel 2 des Anhangs der Emp­feh­lung 2003/361/EG als mitt­le­re Unter­neh­men ein­zu­stu­fen sind, sowie Unter­neh­men aus tra­di­tio­nel­len Bran­chen mit weni­ger ent­wickel­ten digi­ta­len Fähig­kei­ten haben Schwie­rig­kei­ten, Zugang zu ein­schlä­gi­gen Daten zu erlan­gen. Ziel die­ser Ver­ord­nung ist es, die­sen Rechts­trä­gern den Zugang zu Daten zu erleich­tern und gleich­zei­tig sicher­zu­stel­len, dass die ent­spre­chen­den Pflich­ten so ver­hält­nis­mä­ßig wie mög­lich sind, um eine Über­vor­tei­lung zu ver­mei­den. Durch die Anhäu­fung und Aggre­ga­ti­on gewal­ti­ger Daten­men­gen und die tech­no­lo­gi­sche Infra­struk­tur für ihre Mone­ta­ri­sie­rung ist in der digi­ta­len Wirt­schaft gleich­zei­tig eine klei­ne Zahl sehr gro­ßer Unter­neh­men mit beträcht­li­cher wirt­schaft­li­cher Macht ent­stan­den. Zu die­sen sehr gro­ßen Unter­neh­men gehö­ren Betrei­ber zen­tra­ler Platt­form­dien­ste, die gan­ze Platt­form­öko­sy­ste­me in der digi­ta­len Wirt­schaft kon­trol­lie­ren, sodass es bestehen­den oder neu­en Markt­teil­neh­mern nicht mög­lich ist, ihnen ihre Posi­ti­on strei­tig zu machen oder mit ihnen in Wett­be­werb zu tre­ten. Die Ver­ord­nung (EU) 2022/1925 des Euro­päi­schen Par­la­ments und des Rates zielt dar­auf ab, die­se Inef­fi­zi­en­zen und Ungleich­ge­wich­te zu behe­ben, indem die Kom­mis­si­on ein Unter­neh­men als „Tor­wäch­ter“ benen­nen kann und die­sen Tor­wäch­tern eine Rei­he von Pflich­ten auf­er­legt wird, dar­un­ter das Ver­bot, bestimm­te Daten ohne Ein­wil­li­gung zusam­men­zu­füh­ren, und die Pflicht, wirk­sa­mes Rech­te auf Daten­über­trag­bar­keit gemäß Arti­kel 20 der Ver­ord­nung (EU) 2016/679 zu gewähr­lei­sten. Gemäß der Ver­ord­nung (EU) 2022/1925 und ange­sichts der ein­zig­ar­ti­gen Fähig­keit die­ser Unter­neh­men, Daten zu erwer­ben, ist es zur Errei­chung des Ziels der vor­lie­gen­den Ver­ord­nung nicht erfor­der­lich und somit in Bezug auf die den ent­spre­chen­den Pflich­ten unter­lie­gen­den Daten­in­ha­ber unver­hält­nis­mä­ßig, sol­chen Tor­wäch­tern ein Daten­zu­gangs­recht ein­zu­räu­men. Ihre Ein­be­zie­hung dürf­te auch die Vor­tei­le ein­schrän­ken, die die vor­lie­gen­de Ver­ord­nung im Zusam­men­hang mit der gerech­ten Ver­tei­lung der Daten­wert­schöp­fung unter den Markt­teil­neh­mern für KMU bewir­ken kann. Dies bedeu­tet, dass ein als Tor­wäch­ter benann­tes Unter­neh­men, das zen­tra­le Platt­form­dien­ste betreibt, auf der Grund­la­ge der vor­lie­gen­den Ver­ord­nung kei­nen Zugang zu Nut­zer­da­ten ver­lan­gen oder erhal­ten kann, die bei der Nut­zung eines ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes oder eines vir­tu­el­len Assi­sten­ten gene­riert wer­den. Dar­über hin­aus dür­fen Drit­te, denen Daten auf Ver­lan­gen des Nut­zers bereit­ge­stellt wer­den, die Daten kei­nem Tor­wäch­ter bereit­stel­len. Bei­spiels­wei­se darf der Drit­te kei­nen Tor­wäch­ter mit der Erbrin­gung des Dien­stes beauf­tra­gen. Dies hin­dert Drit­te jedoch nicht dar­an, Daten­ver­ar­bei­tungs­dien­ste in Anspruch zu neh­men, die von einem Tor­wäch­ter ange­bo­ten wer­den. Außer­dem hin­dert es die­se Unter­neh­men nicht dar­an, die­sel­ben Daten auf ande­re recht­mä­ßi­ge Wei­se zu erlan­gen und zu nut­zen. Die Zugangs­rech­te gemäß der vor­lie­gen­den Ver­ord­nung tra­gen zu einer grö­ße­ren Aus­wahl an Dienst­lei­stun­gen für die Ver­brau­cher bei. Da frei­wil­li­ge Ver­ein­ba­run­gen zwi­schen Tor­wäch­tern und Daten­in­ha­bern hier­von unbe­rührt blei­ben, wür­de eine Beschrän­kung der Zugangs­ge­wäh­rung für Tor­wäch­ter die­se nicht vom Markt aus­schlie­ßen oder dar­an hin­dern, ihre Dien­ste anzu­bie­ten. (41) Ange­sichts des der­zei­ti­gen Stands der Tech­nik wäre es zu auf­wen­dig, Kleinst­un­ter­neh­men und Klein­un­ter­neh­men wei­te­re Kon­zep­ti­ons­pflich­ten für ver­netz­te Pro­duk­te, die von ihnen her­ge­stellt oder kon­zi­piert, oder ver­bun­de­ne Dien­ste, die von ihnen erbracht wer­den, auf­zu­er­le­gen. Dies ist jedoch nicht der Fall, wenn ein Kleinst­un­ter­neh­men oder Klein­un­ter­neh­men ein Part­ner­un­ter­neh­men oder ein ver­bun­de­nes Unter­neh­men im Sin­ne von Arti­kel 3 des Anhangs der Emp­feh­lung 2003/361/EG hat, das nicht als Kleinst­un­ter­neh­men oder Klein­un­ter­neh­men gilt, und das mit der Her­stel­lung oder Kon­zep­ti­on eines ver­netz­ten Pro­dukts oder mit der Erbrin­gung eines ver­bun­de­nen Dien­stes beauf­tragt wird. In sol­chen Fäl­len ist das Unter­neh­men, das einem Kleinst­un­ter­neh­men oder Klein­un­ter­neh­men den Her­stel­lungs oder Kon­zep­ti­ons­auf­trag erteilt hat, in der Lage, dem Auf­trag­neh­mer ange­mes­se­nen zu ent­schä­di­gen. Ein Kleinst­un­ter­neh­men oder Klein­un­ter­neh­men kann jedoch als Daten­in­ha­ber den Anfor­de­run­gen die­ser Ver­ord­nung unter­lie­gen, wenn es nicht der Her­stel­ler des ver­netz­ten Pro­dukts oder ein Erbrin­ger ver­bun­de­ner Dien­ste ist. Für ein Unter­neh­men, das seit weni­ger als einem Jahr als mitt­le­res Unter­neh­men ein­ge­stuft ist, sowie für von einem mitt­le­ren Unter­neh­men vor weni­ger als einem Jahr auf den Markt gebrach­te ver­netz­te Pro­duk­te soll­te eine Über­gangs­zeit gel­ten. Die­ser Zeit­raum von einem Jahr erlaubt es einem mitt­le­ren Unter­neh­men, sich anzu­pas­sen und vor­zu­be­rei­ten, bevor es auf dem Dienst­lei­stungs­markt für die von ihm her­ge­stell­ten ver­netz­ten Pro­duk­te auf Grund­la­ge der Zugangs­rech­te gemäß die­ser Ver­ord­nung dem Wett­be­werb aus­ge­setzt ist. Die­se Über­gangs­zeit gilt nicht, wenn ein sol­ches mitt­le­res Unter­neh­men ein Part­ner­un­ter­neh­men oder ein ver­bun­de­nes Unter­neh­men hat, das nicht als Kleinst­un­ter­neh­men oder Klein­un­ter­neh­men gilt, oder wenn ein sol­ches mitt­le­res Unter­neh­men mit der Her­stel­lung oder Kon­zep­ti­on eines ver­netz­ten Pro­dukts oder der Erbrin­gung eines ver­bun­de­nen Dien­stes beauf­tragt wur­de. (42) Unter Berück­sich­ti­gung der Viel­zahl von ver­netz­ten Pro­duk­ten, mit denen hin­sicht­lich Art, Umfang und Häu­fig­keit unter­schied­li­che Daten gene­riert wer­den, die mit unter­schied­li­chen Daten- und Cyber­si­cher­heits­ri­si­ken ein­her­ge­hen und wirt­schaft­li­che Chan­cen von unter­schied­li­chem Wert bie­ten, und um die Kohä­renz der Ver­fah­ren für die Daten­wei­ter­ga­be im Bin­nen­markt, auch sek­tor­über­grei­fend, sicher­zu­stel­len und fai­re Ver­fah­ren für die Daten­wei­ter­ga­be selbst in jenen Berei­chen zu för­dern und vor­an­zu­brin­gen, in denen ein sol­ches Recht auf Daten­zu­gang nicht vor­ge­se­hen ist, ent­hält die­se Ver­ord­nung hori­zon­ta­le Vor­schrif­ten über die Aus­ge­stal­tung des Daten­zu­gangs in all jenen Fäl­len, in denen ein Daten­in­ha­ber nach dem Uni­ons­recht oder natio­na­len Rechts­vor­schrif­ten, die im Ein­klang mit Uni­ons­recht erlas­sen wur­den, ver­pflich­tet ist, einem Daten­emp­fän­ger Daten bereit­zu­stel­len. Ein sol­cher Zugang soll­te auf fai­ren, ange­mes­se­nen, nicht­dis­kri­mi­nie­ren­den und trans­pa­ren­ten Bedin­gun­gen beru­hen. Die­se all­ge­mei­nen Zugangs­vor­schrif­ten gel­ten nicht für Daten­be­reit­stel­lungs­pflich­ten gemäß der Ver­ord­nung (EU) 2016/679. Die frei­wil­li­ge Daten­wei­ter­ga­be bleibt von die­sen Vor­schrif­ten unbe­rührt. Die unver­bind­li­chen Muster­ver­trags­klau­seln für die Daten­wei­ter­ga­be zwi­schen Unter­neh­men, die die Kom­mis­si­on erar­bei­ten und emp­feh­len wird, kön­nen den Par­tei­en dabei hel­fen, Ver­trä­ge zu schlie­ßen, die fai­re, ange­mes­se­ne und nicht­dis­kri­mi­nie­ren­de Bedin­gun­gen ent­hal­ten und in trans­pa­ren­ter Wei­se umge­setzt wer­den sol­len. Der Abschluss von Ver­trä­gen, die die unver­bind­li­chen Muster­ver­trags­klau­seln beinhal­ten kön­nen, soll­te nicht bedeu­ten, dass das Recht auf Wei­ter­ga­be von Daten an Drit­te in irgend­ei­ner Wei­se an das Bestehen eines sol­chen Ver­trags geknüpft ist. Soll­ten die Par­tei­en – auch mit Unter­stüt­zung von Streit­bei­le­gungs­stel­len – nicht in der Lage sein, einen Ver­trag über die Daten­wei­ter­ga­be zu schlie­ßen, so ist das Recht, Daten an Drit­te wei­ter­zu­ge­ben, vor natio­na­len Gerich­ten ein­klag­bar. (43) Auf der Grund­la­ge des Grund­sat­zes der Ver­trags­frei­heit soll­te es den Par­tei­en frei­ste­hen, in ihren Ver­trä­gen im Rah­men der all­ge­mei­nen Zugangs­vor­schrif­ten für die Bereit­stel­lung von Daten die genau­en Bedin­gun­gen für die Bereit­stel­lung von Daten aus­zu­han­deln. Die Bedin­gun­gen sol­cher Ver­trä­ge könn­ten sich auch auf tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, auch in Bezug auf die Daten­si­cher­heit, erstrecken. (44) Um sicher­zu­stel­len, dass die Bedin­gun­gen für einen obli­ga­to­ri­schen Daten­zu­gang für bei­de Ver­trags­par­tei­en fair sind, soll­ten die all­ge­mei­nen Vor­schrif­ten über Daten­zu­gangs­rech­te auf die Vor­schrift zur Ver­mei­dung miss­bräuch­li­cher Ver­trags­klau­seln Bezug neh­men. (45) In Ver­ein­ba­run­gen über die Bereit­stel­lung von Daten, die im Rah­men der Geschäfts­be­zie­hun­gen zwi­schen Unter­neh­men abge­schlos­sen wer­den, soll­te unab­hän­gig davon, ob es sich um gro­ße Unter­neh­men oder KMU han­delt, nicht zwi­schen ver­gleich­ba­ren Kate­go­rien von Daten­emp­fän­gern unter­schie­den wer­den. Zum Aus­gleich des Man­gels an Infor­ma­tio­nen über die in ver­schie­de­nen Ver­trä­gen ent­hal­te­nen Bedin­gun­gen, der es dem Daten­emp­fän­ger erschwert, zu beur­tei­len, ob die Bedin­gun­gen für die Bereit­stel­lung der Daten nicht­dis­kri­mi­nie­rend sind, soll­te es in der Ver­ant­wor­tung der Daten­in­ha­ber lie­gen, nach­zu­wei­sen, dass eine Ver­trags­klau­sel nicht­dis­kri­mi­nie­rend ist. Es liegt kei­ne rechts­wid­ri­ge Dis­kri­mi­nie­rung vor, wenn der Daten­in­ha­ber für die Bereit­stel­lung von Daten unter­schied­li­che Ver­trags­klau­seln vor­sieht, sofern die­se Unter­schie­de aus objek­ti­ven Grün­den gerecht­fer­tigt sind. Die­se Pflich­ten gel­ten unbe­scha­det der Ver­ord­nung (EU) 2016/679. (46) Um wei­te­re Inve­sti­tio­nen in die Gene­rie­rung und Bereit­stel­lung wert­vol­ler Daten zu för­dern, ein­schließ­lich Inve­sti­tio­nen in ein­schlä­gi­ge tech­ni­sche Instru­men­te, zugleich aber unver­hält­nis­mä­ßi­ge Bela­stun­gen bei Daten­zu­gang und Daten­nut­zung zu ver­mei­den, da die Daten­wei­ter­ga­be dadurch wirt­schaft­lich nicht mehr trag­fä­hig wäre, ent­hält die­se Ver­ord­nung den Grund­satz, dass Daten­in­ha­ber eine ange­mes­se­ne Gegen­lei­stung ver­lan­gen kön­nen, wenn sie gemäß Uni­ons­recht oder natio­na­lem Recht, das im Ein­klang mit Uni­ons­recht erlas­sen wur­de, ver­pflich­tet sind, einem Daten­emp­fän­ger im Rah­men von Geschäfts­be­zie­hun­gen zwi­schen Unter­neh­men Daten bereit­zu­stel­len. Die­se Gegen­lei­stung soll­te nicht als Bezah­lung für die Daten selbst ver­stan­den wer­den. Die Kom­mis­si­on soll­te Leit­li­ni­en erlas­sen, anhand derer eine ange­mes­se­ne Gegen­lei­stung in der Daten­wirt­schaft berech­net wer­den kann. (47) Erstens kann eine ange­mes­se­ne Gegen­lei­stung für die Erfül­lung der Ver­pflich­tung gemäß Uni­ons­recht oder natio­na­len Rechts­vor­schrif­ten, die im Ein­klang mit Uni­ons­recht erlas­sen wur­den, einem Daten­zu­gangs­ver­lan­gen nach­zu­kom­men, einen Aus­gleich für die Kosten umfas­sen, die mit der Bereit­stel­lung der Daten ver­bun­den sind. Dies kön­nen tech­ni­sche Kosten sein, bei­spiels­wei­se Kosten, die für die Wie­der­ga­be, die elek­tro­ni­sche Ver­brei­tung und die Spei­che­rung von Daten erfor­der­lich sind, nicht aber die Kosten der Daten­samm­lung oder ‑pro­duk­ti­on. Die tech­ni­schen Kosten könn­ten fer­ner die Kosten für die Ver­ar­bei­tung umfas­sen, die im Vor­feld der Bereit­stel­lung der Daten erfor­der­lich ist, ein­schließ­lich der mit der For­ma­tie­rung der Daten ver­bun­de­nen Kosten. Kosten im Zusam­men­hang mit der Bereit­stel­lung der Daten kön­nen auch die Kosten für die Erleich­te­rung kon­kre­ter Daten­wei­ter­ga­be­ver­lan­gen umfas­sen. In Abhän­gig­keit von der Daten­men­ge sowie von den für die Bereit­stel­lung der Daten getrof­fe­nen Ver­ein­ba­run­gen kön­nen die­se Kosten zudem unter­schied­lich hoch aus­fal­len. Durch lang­fri­sti­ge Ver­ein­ba­run­gen zwi­schen Daten­in­ha­bern und Daten­emp­fän­gern, z. B. über ein Abon­ne­ment­mo­dell oder die Ver­wen­dung von intel­li­gen­ten Ver­trä­gen, kön­nen die Kosten im Rah­men regel­mä­ßi­ger oder wie­der­hol­ter Trans­ak­tio­nen in einer Geschäfts­be­zie­hung nied­ri­ger sein. Kosten im Zusam­men­hang mit der Bereit­stel­lung von Daten bezie­hen sich ent­we­der auf ein bestimm­tes Ver­lan­gen oder decken meh­re­re Ver­lan­gen ab. Im letz­te­ren Fall soll­ten die Kosten für die Bereit­stel­lung der Daten nicht von einem ein­zel­nen Daten­emp­fän­ger in vol­ler Höhe getra­gen wer­den. Zwei­tens kann die ange­mes­se­ne Gegen­lei­stung auch eine Mar­ge umfas­sen, außer in Bezug auf KMU und gemein­nüt­zi­ge For­schungs­ein­rich­tun­gen. Die Mar­ge kann in Abhän­gig­keit von den Fak­to­ren, die mit den Daten selbst im Zusam­men­hang ste­hen, etwa Men­ge, For­mat oder Art der Daten, unter­schied­lich bemes­sen sein. Sie kann die Kosten für die Erhe­bung der Daten berück­sich­ti­gen. Daher kann die Mar­ge gerin­ger aus­fal­len, wenn der Daten­in­ha­ber die Daten für sein eige­nes Unter­neh­men erho­ben hat, ohne wesent­li­che Inve­sti­tio­nen zu täti­gen, oder aber höher aus­fal­len, wenn in die Daten­er­he­bung für die Zwecke des Unter­neh­mens des Daten­in­ha­bers stark inve­stiert wer­den muss. In Fäl­len, in denen sich die Nut­zung der Daten durch den Daten­emp­fän­ger nicht auf die eige­nen Tätig­kei­ten des Daten­in­ha­bers aus­wirkt, kann die Mar­ge begrenzt oder sogar aus­ge­schlos­sen wer­den. Außer­dem könn­te die Gegen­lei­stung dadurch, dass die Daten von einem ver­netz­ten Pro­dukt, das Eigen­tum des Nut­zers ist oder von ihm gemie­tet oder geleast wird, mit­ge­ne­riert wer­den, ver­gleichs­wei­se nied­ri­ger aus­fal­len als in ande­ren Fäl­len, in denen die Daten, etwa bei der Erbrin­gung eines ver­bun­de­nen Dien­stes, vom Daten­in­ha­ber gene­riert wer­den. (48) Ein Ein­grei­fen ist nicht erfor­der­lich, wenn Daten zwi­schen gro­ßen Unter­neh­men wei­ter­ge­ge­ben wer­den oder wenn es sich beim Daten­in­ha­ber um ein klei­nes oder mitt­le­res Unter­neh­men und beim Daten­emp­fän­ger um ein gro­ßes Unter­neh­men han­delt. In die­sen Fäl­len wird davon aus­ge­gan­gen, dass die Unter­neh­men in der Lage sind, inner­halb ange­mes­se­ner und nicht­dis­kri­mi­nie­ren­der Gren­zen eine Gegen­lei­stung aus­zu­han­deln. (49) Um KMU vor über­mä­ßi­gen wirt­schaft­li­chen Bela­stun­gen zu schüt­zen, die ihnen die Ent­wick­lung und den Betrieb inno­va­ti­ver Geschäfts­mo­del­le über­mä­ßig erschwe­ren wür­den, soll­te die von ihnen zu tra­gen­de ange­mes­se­ne Gegen­lei­stung für die Bereit­stel­lung von Daten die mit der Bereit­stel­lung der Daten direkt ver­bun­de­nen Kosten nicht über­stei­gen . Mit der Bereit­stel­lung direkt ver­bun­de­ne Kosten sind jene Kosten, die den ein­zel­nen Daten­zu­gangs­ver­lan­gen zuzu­rech­nen sind, wobei zu berück­sich­ti­gen ist, dass der Daten­in­ha­ber die erfor­der­li­chen tech­ni­schen Schnitt­stel­len oder die erfor­der­li­che Soft­ware und Netz­an­bin­dung dau­er­haft ein­zu­rich­ten hat. Die­sel­be Rege­lung soll­te für gemein­nüt­zi­ge For­schungs­ein­rich­tun­gen gel­ten. (50) In hin­rei­chend begrün­de­ten Fäl­len, auch wenn es not­wen­dig ist, die Betei­li­gung der Ver­brau­cher und den Wett­be­werb zu gewähr­lei­sten oder Inno­va­tio­nen auf bestimm­ten Märk­ten zu för­dern, kann Uni­ons­recht oder in natio­na­lem Recht, das im Ein­klang mit Uni­ons­recht erlas­sen wur­de, eine fest­ge­leg­te Gegen­lei­stung für die Bereit­stel­lung bestimm­ter Arten von Daten vor­ge­schrie­ben wer­den. (51) Trans­pa­renz ist ein wich­ti­ger Grund­satz, um sicher­zu­stel­len, dass die von einem Daten­in­ha­ber ver­lang­te Gegen­lei­stung ange­mes­sen ist oder, falls es sich bei dem Daten­emp­fän­ger um ein KMU oder eine gemein­nüt­zi­ge For­schungs­ein­rich­tung han­delt, dass die Gegen­lei­stung nicht die Kosten über­steigt, die direkt mit der Bereit­stel­lung der Daten für den Daten­emp­fän­ger ver­bun­den und jeweils dem ein­zel­nen Ver­lan­gen zuzu­rech­nen sind. Damit Daten­emp­fän­ger beur­tei­len und über­prü­fen kön­nen, ob die Gegen­lei­stung den Anfor­de­run­gen die­ser Ver­ord­nung ent­spricht, soll­te der Daten­in­ha­ber dem Daten­emp­fän­ger aus­rei­chend detail­lier­te Infor­ma­tio­nen für die Berech­nung der Gegen­lei­stung bereit­stel­len. (52) Alter­na­ti­ve Mög­lich­kei­ten zur Bei­le­gung inner­staat­li­cher und grenz­über­schrei­ten­der Strei­tig­kei­ten im Zusam­men­hang mit der Bereit­stel­lung von Daten soll­ten Daten­in­ha­bern und Daten­emp­fän­gern glei­cher­ma­ßen zur Ver­fü­gung ste­hen, sodass das Ver­trau­en in die Daten­wei­ter­ga­be gestärkt wird. Falls sich die Par­tei­en nicht auf fai­re, ange­mes­se­ne und nicht­dis­kri­mi­nie­ren­de Bedin­gun­gen für die Bereit­stel­lung von Daten eini­gen kön­nen, soll­ten die Streit­bei­le­gungs­stel­len den Par­tei­en eine ein­fa­che, schnel­le und kosten­gün­sti­ge Lösung anbie­ten. Wäh­rend in die­ser Ver­or dnung nur die Bedin­gun­gen fest­ge­legt sind, die Streit­bei­le­gungs­stel­len erfül­len müs­sen, um zer­ti­fi­ziert zu wer­den, steht es den Mit­glied­staa­ten frei, spe­zi­fi­sche Vor­schrif­ten für das Zer­ti­fi­zie­rungs­ver­fah­ren, ein­schließ­lich des Ablaufs oder des Wider­rufs der Zer­ti­fi­zie­rung, zu erlas­sen. Die in die­ser Ver­ord­nung ent­hal­te­nen Bestim­mun­gen über die Streit­bei­le­gung soll­ten die Mit­glied­staa­ten nicht dazu ver­pflich­ten, Streit­bei­le­gungs­stel­len ein­zu­rich­ten. (53) Das Streit­bei­le­gungs­ver­fah­ren im Rah­men die­ser Ver­ord­nung ist ein frei­wil­li­ges Ver­fah­ren, das es Nut­zern, Daten­in­ha­bern und Daten­emp­fän­gern ermög­licht, zu ver­ein­ba­ren, Streit­bei­le­gungs­stel­len mit ihren Strei­tig­kei­ten zu befas­sen. Daher soll­te es den Par­tei­en frei­ste­hen, sich an eine Streit­bei­le­gungs­stel­le ihrer Wahl zu wen­den, sei es inner­halb oder außer­halb der Mit­glied­staa­ten, in denen die­se Par­tei­en nie­der­ge­las­sen sind. (54) Um zu ver­mei­den, dass – ins­be­son­de­re in einer grenz­über­schrei­ten­den Situa­ti­on – zwei oder mehr Streit­bei­le­gungs­stel­len mit der­sel­ben Strei­tig­keit befasst wer­den, soll­te ein Ersu­chen zur Streit­bei­le­gung von einer Streit­bei­le­gungs­stel­le ablehnt wer­den kön­nen, wenn es bereits bei einer ande­ren Streit­bei­le­gungs­stel­le oder einem Gericht eines Mit­glied­staats ein­ge­reicht wur­de. (55) Um die ein­heit­li­che Anwen­dung die­ser Ver­ord­nung zu gewähr­lei­sten, soll­ten die Streit­bei­le­gungs­stel­len die von der Kom­mis­si­on zu ent­wickeln­den und zu emp­feh­len­den unver­bind­li­chen Muster­ver­trags­klau­seln sowie Uni­ons­recht oder natio­na­les Recht zur Fest­le­gung der Ver­pflich­tun­gen zur Wei­ter­ga­be von Daten oder Leit­li­ni­en der ein­schlä­gi­gen Fach­be­hör­den für die Anwen­dung die­ses Rechts berück­sich­ti­gen. (56) Die Par­tei­en eines Streit­bei­le­gungs­ver­fah­rens soll­ten nicht dar­an gehin­dert wer­den, ihre Grund­rech­te auf einen wirk­sa­men Rechts­be­helf und ein fai­res Ver­fah­ren aus­zu­üben. Daher soll­te die Ent­schei­dung, eine Streit­bei­le­gungs­stel­le mit einer Strei­tig­keit zu befas­sen, die­sen Par­tei­en nicht das Recht neh­men, bei einem Gericht eines Mit­glied­staats Rechts­mit­tel ein­zu­le­gen. Die Streit­bei­le­gungs­stel­len soll­ten jähr­li­che Tätig­keits­be­rich­te öffent­lich ver­füg­bar machen. (57) Daten­in­ha­ber kön­nen geeig­ne­te tech­ni­sche Schutz­maß­nah­men anwen­den, um die unrecht­mä­ßi­ge Offen­le­gung von oder den unrecht­mä­ßi­gen Zugang zu Daten zu ver­hin­dern. Die­se Maß­nah­men soll­ten jedoch weder zwi­schen Daten­emp­fän­gern unter­schei­den noch den Zugang zu Daten und deren Nut­zung für Nut­zer oder Daten­emp­fän­ger beein­träch­ti­gen. Im Fal­le miss­bräuch­li­cher Prak­ti­ken eines Daten­emp­fän­gers, wie Irre­füh­rung des Daten­in­ha­bers durch Bereit­stel­lung fal­scher Infor­ma­tio­nen in der Absicht, die Daten für unrecht­mä­ßi­ge Zwecke zu nut­zen, ein­schließ­lich der Ent­wick­lung eines kon­kur­rie­ren­den ver­netz­ten Pro­dukts auf der Grund­la­ge der Daten, kann der Daten­in­ha­ber und gege­be­nen­falls, falls es sich nicht um die glei­che Per­son han­delt, der Inha­ber eines Geschäfts­ge­heim­nis­ses oder der Nut­zer den Drit­ten oder den Daten­emp­fän­ger auf­for­dern, unver­züg­lich Kor­rek­tur- oder Abhil­fe­maß­nah­men zu ergrei­fen. Der­ar­ti­ge Auf­for­de­run­gen, ins­be­son­de­re Auf­for­de­run­gen zur Ein­stel­lung der Her­stel­lung, des Ange­bots oder des Inver­kehr­brin­gens von Waren, abge­lei­te­ten Daten oder Dienst­lei­stun­gen sowie Auf­for­de­run­gen zur Been­di­gung der Ein­fuhr, Aus­fuhr und Lage­rung rechts­ver­let­zen­der Waren bzw. zu deren Ver­nich­tung, soll­ten im Hin­blick dar­auf bewer­tet wer­den, ob sie in Bezug auf die Inter­es­sen des Daten­in­ha­bers, des Inha­bers des Geschäfts­ge­heim­nis­ses oder des Nut­zers ver­hält­nis­mä­ßig sind. (58) Wenn sich eine Par­tei in einer stär­ke­ren Ver­hand­lungs­po­si­ti­on befin­det, besteht die Gefahr, dass sie die­se Posi­ti­on bei Ver­hand­lun­gen über den Zugang zu Daten zum Nach­teil der ande­ren Ver­trags­par­tei aus­nut­zen könn­te, mit dem Ergeb­nis, dass der Zugang zu Daten wirt­schaft­lich weni­ger trag­fä­hig und bis­wei­len untrag­bar ist. Sol­che ver­trag­li­chen Ungleich­ge­wich­te scha­den allen Unter­neh­men, die nicht wirk­lich in der Lage sind, die Bedin­gun­gen für den Zugang zu Daten aus­zu­han­deln, und die unter Umstän­den kei­ne ande­re Wahl haben, als nicht ver­han­del­ba­re Ver­trags­klau­seln zu akzep­tie­ren. Daher soll­ten miss­bräuch­li­che Ver­trags­klau­seln in Bezug auf den Daten­zu­gang und die Daten­nut­zung oder die Haf­tung und Rechts­be­hel­fe bei Ver­let­zung oder Been­di­gung daten­be­zo­ge­ner Pflich­ten für Unter­neh­men nicht bin­dend sein, wenn die­se Bedin­gun­gen die­sen Unter­neh­men ein­sei­tig auf­er­legt wur­den. (59) Bei den Vor­schrif­ten über Ver­trags­klau­seln soll­te der Grund­satz der Ver­trags­frei­heit als wesent­li­ches Kon­zept in den Geschäfts­be­zie­hun­gen zwi­schen Unter­neh­men berück­sich­tigt wer­den. Daher soll­ten nicht alle Ver­trags­klau­seln einer Miss­bräuch­lich­keits­prü­fung unter­zo­gen wer­den, son­dern nur jene Klau­seln, die ein­sei­tig auf­er­legt wer­den. Dies betrifft Situa­tio­nen ohne Ver­hand­lungs­spiel­raum, in denen eine Par­tei eine bestimm­te Ver­trags­klau­sel ein­bringt und das ande­re Unter­neh­men den Inhalt die­ser Klau­sel trotz Ver­hand­lungs­ver­suchs nicht beein­flus­sen kann. Ver­trags­klau­seln, die ledig­lich von einer Par­tei ein­ge­bracht und von dem ande­ren Unter­neh­men akzep­tiert wer­den, oder Klau­seln, die zwi­schen den Ver­trags­par­tei­en aus­ge­han­delt und anschlie­ßend in geän­der­ter Form ver­ein­bart wer­den, soll­ten nicht als ein­sei­tig auf­er­legt gel­ten. (60) Dar­über hin­aus soll­ten die Vor­schrif­ten über miss­bräuch­li­che Ver­trags­klau­seln nur für die­je­ni­gen Bestand­tei­le eines Ver­trags gel­ten, die sich auf die Bereit­stel­lung von Daten bezie­hen, d. h. Ver­trags­klau­seln über den Daten­zu­gang und die Daten­nut­zung sowie die Haf­tung oder Rechts­be­hel­fe bei Ver­let­zung und Been­di­gung daten­be­zo­ge­ner Pflich­ten. Ande­re Tei­le des­sel­ben Ver­trags, die nicht mit der Bereit­stel­lung von Daten zusam­men­hän­gen, soll­ten nicht der in die­ser Ver­ord­nung fest­ge­leg­ten Miss­bräuch­lich­keits­prü­fung unter­lie­gen. (61) Kri­te­ri­en für die Ermitt­lung miss­bräuch­li­cher Ver­trags­klau­seln soll­ten nur auf über­zo­ge­ne Ver­trags­klau­seln ange­wandt wer­den, bei denen eine stär­ke­re Ver­hand­lungs­po­si­ti­on miss­braucht wur­de. Die über­wie­gen­de Mehr­heit der Ver­trags­klau­seln, die für eine Par­tei wirt­schaft­lich gün­sti­ger sind als für die ande­re, ein­schließ­lich der­je­ni­gen, die in Ver­trä­gen zwi­schen Unter­neh­men üblich sind, sind ein nor­ma­ler Aus­druck des Grund­sat­zes der Ver­trags­frei­heit und gel­ten wei­ter­hin. Für die Zwecke die­ser Ver­ord­nung wür­de eine gro­be Abwei­chung von der guten Geschäfts­pra­xis unter ande­rem bedeu­ten, dass die Par­tei, der die Bedin­gung ein­sei­tig auf­er­legt wur­de, in ihrer Fähig­keit, ihr berech­tig­tes geschäft­li­ches Inter­es­se an den betref­fen­den Daten zu schüt­zen, objek­tiv beein­träch­tigt wird. (62) Um für Rechts­si­cher­heit zu sor­gen, wird in die­ser Ver­ord­nung eine Liste von Klau­seln fest­ge­legt, die stets als miss­bräuch­lich gel­ten und eine Liste von Klau­seln, bei denen davon aus­ge­gan­gen wird, dass sie miss­bräuch­lich sind. Im letz­te­ren Fall soll­te das Unter­neh­men, das die Ver­trags­klau­sel vor­schreibt, in der Lage sein, die Ver­mu­tung der Miss­bräuch­lich­keit zu wider­le­gen, indem es nach­weist, dass eine in die­ser Ver­ord­nung auf­ge­führ­te Ver­trags­klau­sel im kon­kre­ten Fall nicht miss­bräuch­lich ist. Ist eine Ver­trags­klau­sel nicht in der Liste der Klau­seln auf­ge­führt, die stets als miss­bräuch­lich gel­ten oder bei denen davon aus­ge­gan­gen wird, dass sie miss­bräuch­lich sind, so fin­det die all­ge­mei­ne Miss­bräuch­lich­keits­be­stim­mung Anwen­dung. In die­sem Zusam­men­hang soll­ten die in die­ser Ver­ord­nung als miss­bräuch­lich auf­ge­führ­ten Ver­trags­klau­seln als Maß­stab für die Aus­le­gung der all­ge­mei­nen Miss­bräuch­lich­keits­be­stim­mung die­nen. Schließ­lich kön­nen von der Kom­mis­si­on erstell­te und emp­foh­le­ne unver­bind­li­che Muster­ver­trags­klau­seln für Ver­trä­ge über die Daten­wei­ter­ga­be zwi­schen Unter­neh­men für Wirt­schafts­un­ter­neh­men auch bei der Aus­hand­lung von Ver­trä­gen hilf­reich sein. Wird eine Ver­trags­klau­sel für miss­bräuch­lich erklärt, so soll­te der betref­fen­de Ver­trag ohne die­se Klau­sel wei­ter­hin gel­ten, es sei denn, die miss­bräuch­li­che Klau­sel ist nicht von den übri­gen Ver­trags­klau­seln abtrenn­bar. (63) Im Fal­le außer­ge­wöhn­li­cher Not­wen­dig­keit kann es erfor­der­lich sein, dass öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on bei der Wahr­neh­mung ihrer gesetz­li­chen Pflich­ten im öffent­li­chen Inter­es­se vor­han­de­ne Daten, gege­be­nen­falls ein­schließ­lich bei­gefüg­ter Meta­da­ten, die von einem Unter­neh­men gehal­ten wer­den, nut­zen, um auf öffent­li­che Not­la­gen oder ande­re Aus­nah­me­si­tua­tio­nen zu reagie­ren. Unter einer außer­ge­wöhn­li­chen Not­wen­dig­keit sind – im Gegen­satz zu son­sti­gen Umstän­den, die mög­li­cher­wei­se geplant oder ter­mi­niert sind oder regel­mä­ßig oder häu­fig ein­tre­ten, – Umstän­de zu ver­ste­hen, die nicht vor­her­seh­bar und zeit­lich begrenzt sind. Wäh­rend der Begriff „Daten­in­ha­ber“ öffent­li­che Stel­len im All­ge­mei­nen nicht ein­schließt, kann er öffent­li­che Unter­neh­men umfas­sen. For­schungs­ein­rich­tun­gen und For­schungs­för­de­rungs­ein­rich­tun­gen könn­ten auch als öffent­li­che Stel­len oder Ein­rich­tun­gen des öffent­li­chen Rechts ein­ge­rich­tet sein. Um die Bela­stung der Unter­neh­men zu begren­zen, soll­ten Kleinst­un­ter­neh­men und Klein­un­ter­neh­men nur dann ver­pflich­tet sein, öffent­li­chen Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder Ein­rich­tun­gen der Uni­on Daten bereit­zu­stel­len, wenn sol­che Daten in Fäl­len außer­ge­wöhn­li­cher Not­wen­dig­keit erfor­der­lich sind, um auf einen öffent­li­chen Not­stand zu reagie­ren und öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tun­gen der Uni­on sol­che Daten unter gleich­wer­ti­gen Bedin­gun­gen auf ande­re Wei­se nicht recht­zei­tig und wirk­sam beschaf­fen kön­nen. (64) Bei öffent­li­chen Not­stän­den wie Not­la­gen im Bereich der öffent­li­chen Gesund­heit, Not­la­gen auf­grund von Natur­ka­ta­stro­phen, ein­schließ­lich sol­cher, die durch den Kli­ma­wan­del und die Umwelt­zer­stö­rung noch ver­schärft wer­den, sowie von Men­schen ver­ur­sach­ter schwe­rer Kata­stro­phen, wie gro­ßen Cyber­si­cher­heits­vor­fäl­len, wird das öffent­li­che Inter­es­se an der Ver­wen­dung der Daten schwe­rer wie­gen als das Inter­es­se der Daten­in­ha­ber, frei über die von ihnen gehal­te­nen Daten zu ver­fü­gen. In einem sol­chen Fall soll­ten die Daten­in­ha­ber ver­pflich­tet wer­den, die Daten öffent­li­chen Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder Ein­rich­tun­gen der Uni­on auf deren Ver­lan­gen bereit­zu­stel­len. Das Vor­lie­gen eines öffent­li­chen Not­stands soll­te in Über­ein­stim­mung mit dem Uni­ons­recht oder natio­na­len Recht und auf der Grund­la­ge der jeweils ein­schlä­gi­gen Ver­fah­ren, ein­schließ­lich der Ver­fah­ren der ein­schlä­gi­gen inter­na­tio­na­len Orga­ni­sa­tio­nen fest­ge­stellt oder erklärt wer­den. In sol­chen Fäl­len soll­te die öffent­li­che Stel­le nach­wei­sen, dass die Daten, die Gegen­stand des Ver­lan­gens sind, nicht auf ande­re Wei­se recht­zei­tig und wirk­sam und unter gleich­wer­ti­gen Bedin­gun­gen erlangt wer­den konn­ten, bei­spiels­wei­se durch die frei­wil­li­ge Bereit­stel­lung von Daten durch ein ande­res Unter­neh­men oder Abfra­gen einer öffent­li­chen Daten­bank. (65) Eine außer­ge­wöhn­li­che Not­wen­dig­keit kann sich auch aus Situa­tio­nen erge­ben, die kei­nen Not­stand dar­stel­len. In sol­chen Fäl­len soll­te es einer öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on nur gestat­tet sein, nicht-per­so­nen­be­zo­ge­ne Daten zu ver­lan­gen. Die öffent­li­che Stel­le soll­te nach­wei­sen, dass die Daten erfor­der­lich sind, um eine bestimm­te Auf­ga­be im öffent­li­chen Inter­es­se zu erfül­len, die gesetz­lich aus­drück­lich vor­ge­se­hen ist, etwa die Erstel­lung amt­li­cher Sta­ti­sti­ken oder die Ein­däm­mung oder Über­win­dung eines öffent­li­chen Not­stands. Dar­über hin­aus kann ein sol­ches Ver­lan­gen nur gestellt wer­den, wenn die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on spe­zi­fi­sche Daten ermit­telt hat, die sie auf ande­re Wei­se nicht recht­zei­tig und wirk­sam und unter gleich­wer­ti­gen Bedin­gun­gen erlan­gen könn­te, und nur, wenn sie alle ande­ren zur Ver­fü­gung ste­hen­den Mit­tel aus­ge­schöpft hat, um die­se Daten zu erlan­gen, wie etwa die Beschaf­fung der Daten über frei­wil­li­ge Ver­ein­ba­run­gen, ein­schließ­lich des Erwerbs von nicht-per­so­nen­be­zo­ge­nen Daten auf dem Markt, wobei der jewei­li­ge Markt­kurs gebo­ten wird, oder durch Rück­griff auf bestehen­de Ver­pflich­tun­gen zur Bereit­stel­lung von Daten oder den Erlass neu­er Rechts­vor­schrif­ten, die die recht­zei­ti­ge Ver­füg­bar­keit der Daten gewähr­lei­sten könn­ten. Fer­ner soll­ten die Bedin­gun­gen und Grund­sät­ze für Ver­lan­gen etwa in Bezug auf Zweck­bin­dung, Ver­hält­nis­mä­ßig­keit, Trans­pa­renz und Befri­stung gel­ten. Wer­den Daten ver­langt, die für die Erstel­lung amt­li­cher Sta­ti­sti­ken erfor­der­lich sind, so soll­te die anfra­gen­de öffent­li­che Stel­le auch nach­wei­sen, ob sie nach natio­na­lem Recht befugt ist, nicht-per­so­nen­be­zo­ge­ne Daten auf dem Markt zu erwer­ben. (66) Die­se Ver­ord­nung soll­te weder für frei­wil­li­ge Ver­ein­ba­run­gen über den Daten­aus­tausch zwi­schen pri­va­ten und öffent­li­chen Stel­len, ein­schließ­lich der Bereit­stel­lung von Daten durch KMU, gel­ten noch die­sen vor­grei­fen, und sie lässt Rechts­ak­te der Uni­on unbe­rührt, die ver­bind­li­che Aus­kunfts­er­su­chen öffent­li­cher Stel­len an pri­va­te Ein­rich­tun­gen vor­se­hen. Die den Daten­in­ha­bern auf­er­leg­ten Pflich­ten zur Bereit­stel­lung von Daten, die nicht auf einer außer­ge­wöhn­li­chen Not­wen­dig­keit beru­hen, ins­be­son­de­re wenn die Daten­grund­la­ge und die Daten­in­ha­ber bekannt sind oder die Daten regel­mä­ßig genutzt wer­den kön­nen, wie im Fal­le von Berichts­pflich­ten und sich aus dem Bin­nen­markt erge­ben­den Pflich­ten, soll­ten von die­ser Ver­ord­nung nicht berührt wer­den. Daten­zu­gangs­an­for­de­run­gen, die dazu die­nen, die Ein­hal­tung der gel­ten­den Vor­schrif­ten zu über­prü­fen, soll­ten von die­ser Ver­ord­nung eben­falls nicht berührt wer­den, auch in Fäl­len, in denen öffent­li­che Stel­len die Auf­ga­be der Über­prü­fung der Ein­hal­tung der Vor­schrif­ten ande­ren als öffent­li­chen Stel­len über­tra­gen. (67) Die­se Ver­ord­nung ergänzt das Uni­ons­recht und das natio­na­le Recht, die den Zugang zu Daten für sta­ti­sti­sche Zwecke und deren Nut­zung für sta­ti­sti­sche Zwecke regeln, ins­be­son­de­re die Ver­ord­nung (EG) Nr. 223/2009 des Euro­päi­schen Par­la­ments und des Rates und die natio­na­len Rechts­ak­te im Zusam­men­hang mit amt­li­chen Sta­ti­sti­ken, und lässt die­se unbe­rührt. (68) Bei der Wahr­neh­mung ihrer Auf­ga­ben in den Berei­chen Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder Ord­nungs­wid­rig­kei­ten oder der Voll­streckung straf­recht­li­cher und ver­wal­tungs­recht­li­cher Sank­tio­nen sowie der Erhe­bung von Daten für Steu­er- oder Zoll­zwecke soll­ten sich öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on auf ihre Befug­nis­se im Rah­men des Uni­ons­rechts oder des natio­na­len Rechts stüt­zen. Die­se Ver­ord­nung berührt daher nicht die Gesetz­ge­bungs­ak­te für die Daten­wei­ter­ga­be, den Daten­zu­gang und die Daten­nut­zung in die­sen Berei­chen. (69) Im Ein­klang mit Arti­kel 6 Absät­ze 1 und 3 der Ver­ord­nung (EU) 2016/679 ist ein ver­hält­nis­mä­ßi­ger, begrenz­ter und vor­her­seh­ba­rer Rah­men auf Uni­ons­ebe­ne erfor­der­lich, wenn es um die Wahl der Rechts­grund­la­ge für die Bereit­stel­lung von Daten durch Daten­in­ha­ber für öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank und die Ein­rich­tun­gen der Uni­on im Fall außer­ge­wöhn­li­cher Not­wen­dig­keit geht, um sowohl Rechts­si­cher­heit zu gewähr­lei­sten als auch den Ver­wal­tungs­auf­wand für Unter­neh­men so gering wie mög­lich zu hal­ten. Zu die­sem Zweck soll­ten Daten­ver­lan­gen öffent­li­cher Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder der Ein­rich­tun­gen der Uni­on an Daten­in­ha­ber hin­sicht­lich ihres Umfangs und ihrer Detail­stu­fe spe­zi­fisch, trans­pa­rent und ver­hält­nis­mä­ßig sein. Der Zweck des Ver­lan­gens und die beab­sich­tig­te Nut­zung der ver­lang­ten Daten soll­ten kon­kret und ein­deu­tig erläu­tert wer­den, wobei der anfra­gen­den Stel­le eine ange­mes­se­ne Fle­xi­bi­li­tät bei der Wahr­neh­mung ihrer Auf­ga­ben im öffent­li­chen Inter­es­se ein­zu­räu­men ist. Das Ver­lan­gen soll­te auch den berech­tig­ten Inter­es­sen der Daten­in­ha­ber, an die es gerich­tet wird, Rech­nung tra­gen. Der Auf­wand für die Daten­in­ha­ber soll­te so gering wie mög­lich gehal­ten wer­den, indem die anfra­gen­den Stel­len ver­pflich­tet wer­den, den Ein­ma­lig­keits­grund­satz ein­zu­hal­ten, der ver­hin­dert, dass die­sel­ben Daten mehr­mals oder von meh­re­ren öffent­li­chen Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder den Ein­rich­tun­gen der Uni­on ver­langt wer­den. Zur Gewähr­lei­stung der Trans­pa­renz soll­ten Daten­ver­lan­gen, die von der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder Ein­rich­tun­gen der Uni­on gestellt wer­den, unver­züg­lich vo n der die Daten ver­lan­gen­den Stel­le ver­öf­fent­licht wer­den. Die Euro­päi­sche Zen­tral­bank und die Ein­rich­tun­gen der Uni­on soll­ten die Kom­mis­si­on über ihre Ver­lan­gen unter­rich­ten. Wenn das Daten­ver­lan­gen von einer öffent­li­chen Stel­le gestellt wur­de, soll­te die­se Stel­le auch den Daten­ko­or­di­na­tor des Mit­glied­staats, in dem die öffent­li­che Stel­le nie­der­ge­las­sen ist, unter­rich­ten. Es soll­te sicher­ge­stellt wer­den, dass alle Ver­lan­gen online öffent­lich ver­füg­bar sind. Nach einer sol­chen Unter­rich­tung über ein Daten­ver­lan­gen kann die zustän­di­ge Behör­de beschlie­ßen, die Recht­mä­ßig­keit des Ver­lan­gens zu bewer­ten, und ihre Auf­ga­ben im Zusam­men­hang mit der Durch­set­zung und Anwen­dung die­ser Ver­ord­nung wahr­neh­men. Der Daten­ko­or­di­na­tor soll­te sicher­stel­len, dass alle von öffent­li­chen Stel­len gestell­ten Ver­lan­gen online öffent­lich ver­füg­bar sind. (70) Mit der Daten­be­reit­stel­lungs­pflicht soll sicher­ge­stellt wer­den, dass öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on über das erfor­der­li­che Wis­sen zur Bewäl­ti­gung oder Ver­hin­de­rung öffent­li­cher Not­stän­de oder zu deren Über­win­dung oder zur Auf­recht­erhal­tung der Kapa­zi­tä­ten zur Erfül­lung bestimm­ter, gesetz­lich aus­drück­lich vor­ge­se­he­ner Auf­ga­ben ver­fü­gen. Bei den von die­sen Stel­len erlang­ten Daten kann es sich um Geschäfts­ge­heim­nis­se han­deln. Daher soll­ten weder die Ver­ord­nung (EU) 2022/868 noch die Richt­li­nie (EU) 2019/1024 des Euro­päi­schen Par­la­ments und des Rates für Daten gel­ten, die im Rah­men der vor­lie­gen­den Ver­ord­nung bereit­ge­stellt wer­den, und die­se Daten soll­ten nicht als offe­ne Daten betrach­tet wer­den, die Drit­ten zur Wei­ter­ver­wen­dung zur Ver­fü­gung ste­hen. Dies soll­te jedoch die Anwend­bar­keit der Richt­li­nie (EU) 2019/1024 auf die Wei­ter­ver­wen­dung amt­li­cher Sta­ti­sti­ken, für deren Erstel­lung gemäß die­ser Ver­ord­nung erlang­te Daten ver­wen­det wur­den, unbe­rührt las­sen, sofern sich die Wei­ter­ver­wen­dung nicht auf die zugrun­de lie­gen­den Daten erstreckt. Dar­über hin­aus soll­te dies die Mög­lich­keit der Wei­ter­ga­be der Daten zu For­schungs­zwecken oder für die Ent­wick­lung, Erstel­lung und Ver­brei­tung amt­li­cher Sta­ti­sti­ken unbe­rührt las­sen, sofern die in der vor­lie­gen­den Ver­ord­nung fest­ge­leg­ten Bedin­gun­gen erfüllt sind. Öffent­li­che Stel­len soll­ten auch Daten, die sie gemäß der vor­lie­gen­den Ver­ord­nung erlangt haben, mit ande­ren öffent­li­chen Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder Ein­rich­tun­gen der Uni­on aus­tau­schen dür­fen, um die außer­ge­wöhn­li­che Not­wen­dig­keit aus­zu­räu­men, wegen der sie ver­langt wur­den. (71) Daten­in­ha­ber soll­ten die Mög­lich­keit haben, je nach Art der in dem Ver­lan­gen gel­tend gemach­ten außer­ge­wöhn­li­chen Not­wen­dig­keit unver­züg­lich und in jedem Fall spä­te­stens inner­halb von fünf oder 30 Arbeits­ta­gen ent­we­der eine Ände­rung des Ver­lan­gens einer öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on abzu­leh­nen oder die­ses zu bean­tra­gen. Gege­be­nen­falls soll­te der Daten­in­ha­ber die­se Gele­gen­heit haben, wenn er kei­ne Kon­trol­le über die ver­lang­ten Daten hat, d. h. wenn er kei­nen unmit­tel­ba­ren Zugang zu den Daten hat und deren Ver­füg­bar­keit nicht fest­stel­len kann. Die Nicht­be­reit­stel­lung der Daten soll­te sich begrün­den las­sen, wenn nach­ge­wie­sen wer­den kann, dass das Ver­lan­gen mit einem zuvor von einer ande­ren öffent­li­chen Stel­le oder von der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on zu dem­sel­ben Zweck ein­ge­reich­ten Ver­lan­gen ver­gleich­bar ist und der Daten­in­ha­ber nicht über die Löschung der Daten gemäß die­ser Ver­ord­nung infor­miert wur­de. Wenn ein Daten­in­ha­ber das Ver­lan­gen ablehnt oder des­sen Ände­rung bean­tragt, soll­te er die Ableh­nung gegen­über der öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder der Ein­rich­tung der Uni­on, die das Ver­lan­gen gestellt hat, begrün­den. Wenn in Bezug auf die ver­lang­ten Daten­sät­ze die Daten­bank­rech­te sui gene­ris gemäß der Richt­li­nie 96/9/EG des Euro­päi­schen Par­la­ments und des Rates Anwen­dung fin­den, soll­ten die Daten­in­ha­ber ihre Rech­te in einer Wei­se aus­üben, die die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tung der Uni­on nicht dar­an hin­dert, die Daten im Ein­klang mit die­ser Ver­ord­nung zu erlan­gen oder wei­ter­zu­ge­ben. (72) Im Fal­le einer außer­ge­wöhn­li­chen Not­wen­dig­keit im Zusam­men­hang mit öffent­li­chen Not­stands­maß­nah­men soll­ten öffent­li­che Stel­len nach Mög­lich­keit nicht-per­so­nen­be­zo­ge­ne Daten ver­wen­den. Im Fal­le von Ver­lan­gen, die auf einer außer­ge­wöhn­li­chen Not­wen­dig­keit beru­hen, die nicht im Zusam­men­hang mit einem öffent­li­chen Not­stand steht, kön­nen kei­ne per­so­nen­be­zo­ge­nen Daten ver­langt wer­den. Wenn per­so­nen­be­zo­ge­ne Daten Gegen­stand des Ver­lan­gens sind, soll­te der Daten­in­ha­ber die Daten stets anony­mi­sie­ren. Ist es unbe­dingt erfor­der­lich, mit den Daten für eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on auch per­so­nen­be­zo­ge­ne Daten bereit­zu­stel­len oder erweist sich eine Anony­mi­sie­rung als unmög­lich, so soll­te die Stel­le, die die Daten ver­langt, die strik­te Not­wen­dig­keit und die beson­de­ren und begrenz­ten Zwecke der Ver­ar­bei­tung nach­wei­sen. Die gel­ten­den Vor­schrif­ten über den Schutz per­so­nen­be­zo­ge­ner Daten soll­ten ein­ge­hal­ten wer­den. Die Bereit­stel­lung der Daten und ihre anschlie­ßen­de Nut­zung soll­ten mit Schutz­vor­keh­run­gen für die Rech­te und Inter­es­sen der von die­sen Daten betrof­fe­nen Per­so­nen ein­her­ge­hen. (73) Daten, die öffent­li­chen Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder Ein­rich­tun­gen der Uni­on wegen einer außer­ge­wöhn­li­chen Not­wen­dig­keit bereit­ge­stellt wer­den, soll­ten nur für die Zwecke des Daten­ver­lan­gens genutzt wer­den, es sei denn, der Daten­in­ha­ber, der die Daten bereit­ge­stellt hat, hat aus­drück­lich zuge­stimmt, dass die Daten für ande­re Zwecke genutzt wer­den. Sofern nichts ande­res ver­ein­bart wur­de, soll­ten die Daten gelöscht wer­den, sobald sie für den im Ver­lan­gen genann­ten Zweck nicht mehr erfor­der­lich sind, und der Daten­in­ha­ber soll­te davon in Kennt­nis gesetzt wer­den. Die­se Ver­ord­nung baut auf den bestehen­den Zugangs­re­ge­lun­gen der Uni­on und der Mit­glied­staa­ten auf und bewirkt kei­ne Ände­rung des natio­na­len Rechts für den Zugang der Öffent­lich­keit zu Doku­men­ten im Zusam­men­hang mit Trans­pa­renz­pflich­ten. Daten soll­ten gelöscht wer­den, sobald sie nicht mehr benö­tigt wer­den, um die­sen Trans­pa­renz­pflich­ten nach­zu­kom­men. (74) Bei der Wei­ter­ver­wen­dung von Daten, die von Daten­in­ha­bern bereit­ge­stellt wer­den, soll­ten öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on sowohl gel­ten­des Uni­ons­recht oder natio­na­les Recht als auch die ver­trag­li­chen Pflich­ten des Daten­in­ha­bers ein­hal­ten. Sie soll­ten sowohl davon abse­hen, ein ver­netz­tes Pro­dukt oder einen ver­bun­de­nen Dienst zu ent­wickeln oder zu ver­bes­sern, das/die mit dem ver­netz­ten Pro­dukt oder des ver­bun­de­nen Dien­stes des Daten­in­ha­bers im Wett­be­werb steht, als auch davon, die Daten zu die­sen Zwecken an Drit­te wei­ter­zu­ge­ben. Außer­dem soll­ten sie einen Daten­in­ha­ber auf des­sen Ersu­chen hin öffent­lich aner­ken­nen und für die Gewähr­lei­stung der Sicher­heit der erhal­te­nen Daten ver­ant­wort­lich sein. Ist die Offen­le­gung von Geschäfts­ge­heim­nis­sen des Daten­in­ha­bers gegen­über öffent­li­chen Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder Ein­rich­tun­gen der Uni­on unbe­dingt erfor­der­lich, um den Zweck zu erfül­len, für den die Daten ver­langt wur­den, so soll­te dem Daten­in­ha­ber die Ver­trau­lich­keit die­ser Daten vor deren Offen­le­gung zuge­si­chert wer­den. (75) Wenn es um den Schutz eines bedeu­ten­den öffent­li­chen Gutes geht, wie etwa die Bewäl­ti­gung öffent­li­cher Not­stän­de, soll­te von der öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder der betref­fen­den Ein­rich­tung der Uni­on nicht erwar­tet wer­den, dass sie den Unter­neh­men für die erlang­ten Daten eine Gegen­lei­stung gewäh­ren. Öffent­li­che Not­stän­de sind sel­te­ne Ereig­nis­se, und nicht alle der­ar­ti­gen Not­stän­de erfor­dern die Nut­zung von Daten, die von Unter­neh­men gehal­ten wer­den. Gleich­zei­tig könn­te die Ver­pflich­tung zur Bereit­stel­lung von Daten für Kleinst­un­ter­neh­men und Klein­un­ter­neh­men eine erheb­li­che Bela­stung dar­stel­len. Die­se Unter­neh­men soll­ten daher selbst im Kon­text öffent­li­cher Not­stands­maß­nah­men eine Gegen­lei­stung ver­lan­gen kön­nen. Es ist nicht wahr­schein­lich, dass die Geschäfts­tä­tig­keit der Daten­in­ha­ber durch die Inan­spruch­nah­me die­ser Ver­ord­nung durch öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on beein­träch­tigt wird. Da Fäl­le einer außer­ge­wöhn­li­chen Not­wen­dig­keit, bei denen es sich nicht um die Bewäl­ti­gung eines öffent­li­chen Not­stands han­delt, jedoch unter Umstän­den häu­fi­ger sind, soll­ten Daten­in­ha­ber in die­sen Fäl­len Anspruch auf eine ange­mes­se­ne Gegen­lei­stung haben, die die mit der Erfül­lung des Ver­lan­gens ver­bun­de­nen tech­ni­schen und orga­ni­sa­to­ri­schen Kosten nicht über­stei­gen soll­te, sowie auf die ange­mes­se­ne Mar­ge, die zur Bereit­stel­lung der Daten für die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on erfor­der­lich ist. Die Gegen­lei­stung soll­te nicht als Bezah­lung für die Daten selbst und nicht als obli­ga­to­risch ver­stan­den wer­den. Daten­in­ha­ber soll­ten kei­ne Gegen­lei­stung ver­lan­gen kön­nen, wenn die natio­na­len sta­ti­sti­schen Ämter oder ande­re für die Erstel­lung von Sta­ti­sti­ken zustän­di­ge natio­na­le Behör­den Daten­in­ha­bern auf­grund des natio­na­len Rechts kei­ne Gegen­lei­stung für die Bereit­stel­lung von Daten gewäh­ren dür­fen. Die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die betref­fen­de Ein­rich­tung der Uni­on soll­te in der Lage sein, die Höhe der vom Daten­in­ha­ber gefor­der­ten Gegen­lei­stung anzu­fech­ten, indem sie die zustän­di­ge Behör­de des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, mit der Ange­le­gen­heit befas­sen. (76) Die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on soll­te befugt sein, die Daten, die sie auf­grund des Ver­lan­gens erlangt hat, an ande­re Stel­len oder Per­so­nen wei­ter­zu­ge­ben, wenn dies zur Durch­füh­rung wis­sen­schaft­li­cher oder ana­ly­ti­scher Tätig­kei­ten erfor­der­lich ist, die sie nicht selbst durch­füh­ren kann, sofern die­se Tätig­kei­ten mit dem Zweck des Daten­ver­lan­gens ver­ein­bar sind. Sie soll­te den Daten­in­ha­ber recht­zei­tig über eine sol­che Wei­ter­ga­be unter­rich­ten. Die Daten kön­nen unter den glei­chen Umstän­den auch zur Ent­wick­lung, Erstel­lung und Ver­tei­lung amt­li­cher Sta­ti­sti­ken an die natio­na­len sta­ti­sti­schen Ämter und Euro­stat wei­ter­ge­ge­ben wer­den. Die betref­fen­den For­schungs­tä­tig­kei­ten soll­ten jedoch mit dem Zweck des Daten­ver­lan­gens ver­ein­bar sein, und der Daten­in­ha­ber soll­te über die Wei­ter­ga­be der von ihm bereit­ge­stell­ten Daten infor­miert wer­den. Ein­zel­per­so­nen, die For­schung betrei­ben, oder For­schungs­or­ga­ni­sa­tio­nen, an die die­se Daten wei­ter­ge­ge­ben wer­den kön­nen, soll­ten ent­we­der gemein­nüt­zig sein oder in staat­lich aner­kann­tem Auf­trag im öffent­li­chen Inter­es­se han­deln. Orga­ni­sa­tio­nen soll­ten für die Zwecke die­ser Ver­ord­nung nicht als For­schungs­or­ga­ni­sa­tio­nen gel­ten, wenn sie in erheb­li­chem Maße dem Ein­fluss gewerb­li­cher Unter­neh­men unter­lie­gen, die auf­grund der struk­tu­rel­len Gege­ben­hei­ten Kon­trol­le aus­üben kön­nen und dadurch einen bevor­zug­ten Zugang zu den For­schungs­er­geb­nis­sen erhal­ten könn­ten. (77) Zur Bewäl­ti­gung eines grenz­über­schrei­ten­den öffent­li­chen Not­stands oder einer ande­ren außer­ge­wöhn­li­chen Not­wen­dig­keit kön­nen Daten­ver­lan­gen an Daten­in­ha­ber in ande­ren Mit­glied­staa­ten als dem der anfra­gen­den öffent­li­chen Stel­le gerich­tet wer­den. In die­sem Fall soll­te die anfra­gen­de öffent­li­che Stel­le die zustän­di­ge Behör­de des Mit­glied­staats unter­rich­ten, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, damit die­se das Ver­lan­gen anhand der in der vor­lie­gen­den Ver­ord­nung fest­ge­leg­ten Kri­te­ri­en prü­fen kann. Dies soll­te auch für Ver­lan­gen der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on gel­ten. Falls per­so­nen­be­zo­ge­ne Daten ver­langt wer­den, soll­te die öffent­li­che Stel­le die für die Über­wa­chung der Anwen­dung der Ver­ord­nung (EU) 2016/679 zustän­di­ge Auf­sichts­be­hör­de in dem Mit­glied­staat, in dem die öffent­li­che Stel­le nie­der­ge­las­sen ist, infor­mie­ren. Die betref­fen­de zustän­di­ge Behör­de soll­te befugt sein, die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on dar­auf hin­zu­wei­sen, dass sie mit den öffent­li­chen Stel­len des Mit­glied­staats zusam­men­ar­bei­ten muss, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, um den Ver­wal­tungs­auf­wand für den Daten­in­ha­ber zu mini­mie­ren. Hat die zustän­di­ge Behör­de hin­sicht­lich der Ver­ein­bar­keit des Ver­lan­gens mit die­ser Ver­ord­nung trif­ti­ge Ein­wän­de, so soll­te sie das Ver­lan­gen der öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder der Ein­rich­tung der Uni­on ableh­nen, die die­sen Ein­wän­den ihrer­seits Rech­nung tra­gen soll­te, bevor sie wei­te­re Maß­nah­men – ein­schließ­lich der erneu­ten Ein­rei­chung des Ver­lan­gens – ergreift. (78) Die Fähig­keit der Kun­den von Daten­ver­ar­bei­tungs­dien­sten, ein­schließ­lich Cloud- und Edge-Dien­sten, von einem Daten­ver­ar­bei­tungs­dienst unter Wah­rung eines Min­dest­um­fangs von Dienst­funk­tio­nen – und ohne dass es zu Aus­fall­zei­ten kommt – zu einem ande­ren zu wech­seln oder ohne unan­ge­mes­se­ne Erschwer­nis­se und Daten­über­tra­gungs­ko­sten Dien­ste meh­re­rer Anbie­ter zu nut­zen, ist eine wesent­li­che Vor­aus­set­zung für einen stär­ker wett­be­werbs­ori­en­tier­ten Markt mit gerin­ge­ren Markt­zu­tritts­schran­ken für neue Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten sowie für die Sicher­stel­lung einer bes­se­ren Resi­li­enz der Nut­zer die­ser Dien­ste. Kun­den, die von unent­gelt­li­chen Ange­bo­ten pro­fi­tie­ren, soll­ten auch von den in die­ser Ver­ord­nung fest­ge­leg­ten Bestim­mun­gen für den Wech­sel pro­fi­tie­ren, damit die­se Ange­bo­te nicht zu einer Abhän­gig­keits­si­tua­ti­on für die Kun­den füh­ren. (79) Mit der Ver­ord­nung (EU) 2018/1807 des Euro­päi­schen Par­la­ments und des Rates wer­den Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ange­hal­ten, Ver­hal­tens­re­geln für die Selbst­re­gu­lie­rung zu ent­wickeln und wirk­sam umzu­set­zen, die bewähr­te Ver­fah­ren umfas­sen, unter ande­rem zur Erleich­te­rung des Wech­sels des Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten und der Über­tra­gung von Daten. Da die Ver­brei­tung dar­auf­hin ent­wickel­ter Selbst­re­gu­lie­rungs­rah­men zurück­hal­tend aus­fiel und es gene­rell an offe­nen Stan­dards und Schnitt­stel­len man­gelt, muss für Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten eine Rei­he regu­la­to­ri­scher Min­dest­ver­pflich­tun­gen fest­ge­legt wer­den, um jene vor­kom­mer­zi­el­len, gewerb­li­chen, tech­ni­schen, ver­trag­li­chen und orga­ni­sa­to­ri­schen Hin­der­nis­se aus­zu­räu­men, die im Fall eines Anbie­ter­wech­sels des Kun­den nicht nur zu einer gemin­der­ten Daten­über­tra­gungs­ge­schwin­dig­keit füh­ren, son­dern den effek­ti­ven Voll­zug des Wech­sels zwi­schen Daten­ver­ar­bei­tungs­dien­sten ver­hin­dern. (80) Daten­ver­ar­bei­tungs­dien­ste soll­ten Dien­ste umfas­sen, die den orts­un­ab­hän­gi­gen und bedarfs­ge­steu­er­ten Netz­zu­gang zu einem kon­fi­gu­rier­ba­ren, ska­lier­ba­ren und ela­sti­schen gemein­sam genutz­ten Pool ver­teil­ter Res­sour­cen ermög­li­chen. Zu die­sen Rechen­res­sour­cen zäh­len Res­sour­cen wie etwa Net­ze, Ser­ver oder son­sti­ge vir­tu­el­le oder phy­si­sche Infra­struk­tu­ren, Soft­ware – ein­schließ­lich Tools zur Ent­wick­lung von Soft­ware –, Spei­cher, Anwen­dun­gen und Dien­ste. Dass sich Kun­den von Daten­ver­ar­bei­tungs­dien­sten selbst, ohne Inter­ak­ti­on mit dem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten Rechen­ka­pa­zi­tä­ten wie Ser­ver­zeit oder Netz­werk­spei­cher­platz zuwei­sen kön­nen, könn­te als mini­ma­ler Ver­wal­tungs­auf­wand und mini­ma­le Inter­ak­ti­on zwi­schen Anbie­ter und Kun­de beschrie­ben wer­den. Der Begriff „orts­un­ab­hän­gig“ wird ver­wen­det, um zu beschrei­ben, dass die Bereit­stel­lung der Rechen­ka­pa­zi­tä­ten über das Netz und der Zugang zu ihnen über Mecha­nis­men erfolgt, die den Ein­satz hete­ro­ge­ner Thin- oder Thick-Cli­ent-Platt­for­men (von Web­brow­sern bis hin zu mobi­len Gerä­ten und Arbeits­platz­rech­nern) för­dern. Der Begriff „ska­lier­bar“ bezeich­net Rechen­res­sour­cen, die unab­hän­gig von ihrem geo­gra­fi­schen Stand­ort vom Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten fle­xi­bel zuge­wie­sen wer­den, um Nach­fra­ge­schwan­kun­gen aus­zu­glei­chen. Der Begriff „ela­stisch “ dient zur Beschrei­bung der Rechen­res­sour­cen, die ent­spre­chend der Nach­fra­ge bereit­ge­stellt und frei­ge­ge­ben wer­den, um je nach Arbeits­auf­kom­men zügig ver­füg­ba­re Res­sour­cen auf- bzw. abbau­en zu kön­nen. Der Begriff „gemein­sam genutz­ter Pool“ dient zur Beschrei­bung der Rechen­res­sour­cen, di e meh­re­ren Nut­zern bereit­ge­stellt wer­den, die über einen gemein­sa­men Zugang auf den Dienst zugrei­fen, wobei die Ver­ar­bei­tung jedoch für jeden Nut­zer getrennt erfolgt, obwohl der Dienst über die­sel­be elek­tro­ni­sche Aus­rü­stung erbracht wird. Der Begriff „ver­teilt“ dient zur Beschrei­bung der Rechen­res­sour­cen, die sich auf ver­schie­de­nen ver­netz­ten Com­pu­tern oder Gerä­ten befin­den und die unter­ein­an­der durch Nach­rich­ten­aus­tausch kom­mu­ni­zie­ren und sich koor­di­nie­ren. Der Begriff „hoch­gra­dig ver­teilt“ dient zur Beschrei­bung der Daten­ver­ar­bei­tungs­dien­ste, bei denen Daten näher an dem Ort ver­ar­bei­tet wer­den, an dem sie gene­riert oder erho­ben wer­den, z. B. in einem ver­netz­ten Daten­ver­ar­bei­tungs­ge­rät. Edge-Com­pu­ting, eine Form die­ser hoch­gra­dig ver­teil­ten Daten­ver­ar­bei­tung, dürf­te neue Geschäfts­mo­del­le und Cloud-Dien­ste her­vor­brin­gen, die von Anfang an offen und inter­ope­ra­bel sein soll­ten. (81) Der gene­ri­sche Begriff „Daten­ver­ar­bei­tungs­dien­ste“ umfasst eine beträcht­li­che Zahl von Dien­sten mit einer sehr gro­ßen Band­brei­te an unter­schied­li­chen Anwen­dungs­zwecken, Funk­tio­nen und tech­ni­schen Struk­tu­ren. Nach all­ge­mei­nem Ver­ständ­nis von Anbie­tern und Nut­zern und im Ein­klang mit weit ver­brei­te­ten Stan­dards fal­len Daten­ver­ar­bei­tungs­dien­ste unter eines oder meh­re­re der fol­gen­den drei Model­le für die Bereit­stel­lung von Daten­ver­ar­bei­tungs­dien­sten, näm­lich „Infras­truc­tu­re-as-a-Ser­vice“ (IaaS), „Plat­form-as-a-Ser­vice“ (PaaS) und „Soft­ware-as-a-Ser­vice“ (SaaS). Bei die­sen Model­len für die Bereit­stel­lung von Dien­sten han­delt es sich um eine spe­zi­fi­sche, vor­ge­fer­tig­te Kom­bi­na­ti­on von IKT-Res­sour­cen, die von einem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ange­bo­ten wird. Die­se drei grund­le­gen­den Bereit­stel­lungs­mo­del­le für Daten­ver­ar­bei­tungs­dien­ste wer­den wei­ter durch neue Varia­tio­nen ergänzt, die jeweils eine ganz bestimm­te Kom­bi­na­ti­on von IKT-Res­sour­cen auf­wei­sen, wie z. B. „Sto­rage-as-a-Ser­vice“ und „Data­ba­se-as-a-Ser­vice“. Daten­ver­ar­bei­tungs­dien­ste kön­nen detail­lier­ter kate­go­ri­siert und in eine nicht erschöp­fen­de Liste von Daten­ver­ar­bei­tungs­dien­sten unter­teilt wer­den, die das­sel­be Haupt­ziel und die­sel­ben Haupt­funk­tio­nen sowie die­sel­be Art von Daten­ver­ar­bei­tungs­mo­del­len haben, die nicht mit den ope­ra­ti­ven Merk­ma­len des Dien­stes (glei­che Dienstart) in Zusam­men­hang ste­hen. Dien­ste, die der glei­chen Dienstart ange­hö­ren, kön­nen zwar das­sel­be Modell für die Bereit­stel­lung von Daten­ver­ar­bei­tungs­dien­sten auf­wei­sen, doch wäh­rend zwei Daten­ban­ken dem Anschein nach das­sel­be Haupt­ziel haben kön­nen, könn­ten sie nach Berück­sich­ti­gung ihres Daten­ver­ar­bei­tungs­mo­dells, ihres Ver­triebs­mo­dells und der Anwen­dungs­fäl­le, auf die sie aus­ge­rich­tet sind, in eine detail­lier­te­re Unter­ka­te­go­rie ver­gleich­ba­rer Dien­ste fal­len. Dien­ste der glei­chen Dienstart kön­nen unter­schied­li­che und kon­kur­rie­ren­de Merk­ma­le wie Lei­stung, Sicher­heit, Robust­heit und Qua­li­tät des Dien­stes auf­wei­sen. (82) Wenn der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten die Extrak­ti­on der dem Kun­den gehö­ren­den expor­tier­ba­ren Daten behin­dert, kann das die Wie­der­her­stel­lung der Dienst­funk­tio­nen in der Infra­struk­tur des über­neh­men­den Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten behin­dern. Um die Aus­stiegs­stra­te­gie des Kun­den zu erleich­tern, unnö­ti­ge und auf­wän­di­ge Auf­ga­ben zu ver­mei­den und sicher­zu­stel­len, dass der Kun­de kei­ne sei­ner Daten durch den Voll­zug des Wech­sels ver­liert, soll­te der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten den Kun­den im Vor­aus über den Umfang der Daten unter­rich­ten, die expor­tiert wer­den kön­nen, sobald die­ser Kun­de beschließt, zu einem ande­ren Dienst, der von einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ange­bo­ten wird, oder zu einer IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten zu wech­seln. Der Begriff „expor­tier­ba­re Daten“ soll­te zumin­dest die Ein­ga­be- und Aus­ga­be­da­ten – ein­schließ­lich Meta­da­ten –, die durch die Nut­zung des Daten­ver­ar­bei­tungs­dien­stes durch den Kun­den unmit­tel­bar oder mit­tel­bar gene­riert oder gemein­sam gene­riert wer­den, umfas­sen, mit Aus­nah­me der Ver­mö­gens­wer­te oder Daten von dem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten oder von einem Drit­ten. Ver­mö­gens­wer­te oder Daten von dem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten oder von einem Drit­ten, die durch Rech­te des gei­sti­gen Eigen­tums geschützt sind oder Geschäfts­ge­heim­nis­se die­ses Anbie­ters oder Drit­ten dar­stel­len, oder Daten im Zusam­men­hang mit der Inte­gri­tät und Sicher­heit des Dien­stes, bei denen der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten im Fal­le eines Exports Cyber­si­cher­heits­ri­si­ken aus­ge­setzt ist, soll­ten von den expor­tier­ba­ren Daten aus­ge­nom­men sein. Die­se Aus­nah­men soll­ten den Voll­zug des Wech­sels weder behin­dern noch ver­zö­gern. (83) Digi­ta­le Ver­mö­gens­wer­te bezie­hen sich auf Ele­men­te in digi­ta­ler Form, für die der Kun­de das Nut­zungs­recht hat, ein­schließ­lich Anwen­dun­gen und Meta­da­ten im Zusam­men­hang mit der Kon­fi­gu­ra­ti­on von Ein­stel­lun­gen, der Sicher­heit und der Ver­wal­tung von Zugangs- und Kon­troll­rech­ten, sowie ande­re Ele­men­te wie Dar­stel­lun­gen von Vir­tua­li­sie­rungs­tech­no­lo­gien, ein­schließ­lich vir­tu­el­ler Maschi­nen und Con­tai­ner. Digi­ta­le Ver­mö­gens­wer­te kön­nen über­tra­gen wer­den, sofern der Kun­de ein Nut­zungs­recht hat, das unab­hän­gig von der ver­trag­li­chen Bezie­hung mit dem Daten­ver­ar­bei­tungs­dienst, den er wech­seln möch­te, besteht. Die vor­ste­hend genann­ten ande­ren Ele­men­te sind die Vor­aus­set­zung dafür, dass der Kun­de sei­ne Daten und Anwen­dun­gen im Umfeld des über­neh­men­den Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten effek­tiv nut­zen kann. (84) Ziel die­ser Ver­ord­nung ist es, den Wech­sel zwi­schen Daten­ver­ar­bei­tungs­dien­sten zu erleich­tern, wozu die Bedin­gun­gen und Maß­nah­men gehö­ren, die not­wen­dig sind, damit ein Kun­de in der Lage ist, einen Ver­trag für einen Daten­ver­ar­bei­tungs­dienst zu kün­di­gen, einen oder meh­re­re neue Ver­trä­ge mit ver­schie­de­nen Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten zu schlie­ßen, sei­ne expor­tier­ba­ren Daten und digi­ta­len Ver­mö­gens­wer­te zu über­tra­gen und gege­be­nen­falls von Funk­ti­ons­äqui­va­lenz zu pro­fi­tie­ren. (85) Der Wech­sel ist ein Vor­gang, der vom Kun­den aus­geht und aus meh­re­ren Schrit­ten – ein­schließ­lich Daten­ex­trak­ti­on – besteht, was das Her­un­ter­la­den der Daten aus dem Öko­sy­stem des ursprüng­li­chen Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten bezeich­net, die Umwand­lung der Daten, wenn die­se so struk­tu­riert sind, dass sie nicht in das Sche­ma des Ziel­spei­cher­orts pas­sen, sowie das Hoch­la­den der Daten in einen neu­en Ziel­spei­cher­ort. In bestimm­ten, in die­ser Ver­ord­nung beschrie­be­nen Situa­tio­nen soll­te es auch als Wech­sel gel­ten, wenn ein bestimm­ter Dienst aus dem Ver­trag her­aus­ge­löst und zu einem ande­ren Anbie­ter ver­legt wird. Der Wech­sel wird manch­mal von einem Drit­ten im Namen des Kun­den voll­zo­gen. Dem­entspre­chend soll­ten alle in die­ser Ver­ord­nung fest­ge­leg­ten Rech­te und Pflich­ten des Kun­den, ein­schließ­lich der Ver­pflich­tung, nach Treu und Glau­ben zusam­men­zu­ar­bei­ten, so ver­stan­den wer­den, dass sie unter die­sen Umstän­den auch für den betref­fen­den Drit­ten gel­ten. Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten und Kun­den tra­gen in Abhän­gig­keit vom jewei­li­gen Ver­fah­rens­schritt jeweils ein unter­schied­li­ches Maß an Ver­ant­wor­tung. So ist bei­spiels­wei­se der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten dafür ver­ant­wort­lich, die Daten in ein maschi­nen­les­ba­res For­mat zu extra­hie­ren, wäh­rend der Kun­de und der über­neh­men­de Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten die Daten in die neue Umge­bung hoch­la­den müs­sen, sofern kein spe­zi­el­ler pro­fes­sio­nel­ler Über­gangs­dienst in Anspruch genom­men wird. Ein Kun­de, der beab­sich­tigt, die in die­ser Ver­ord­nung vor­ge­se­he­nen Rech­te im Zusam­men­hang mit dem Wech­sel aus­zu­üben, soll­te den ursprüng­li­chen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten von der Ent­schei­dung, ent­we­der zu einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten oder zu einer IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten zu wech­seln oder die Ver­mö­gens­wer­te und expor­tier­ba­ren Daten des Kun­den zu löschen, in Kennt­nis set­zen. (86) Funk­ti­ons­äqui­va­lenz bedeu­tet, dass nach einem Wech­sel ein Min­dest­funk­ti­ons­um­fang auf der Grund­la­ge der expor­tier­ba­ren Daten und digi­ta­len Ver­mö­gens­wer­te des Kun­den in der Umge­bung des neu­en Daten­ver­ar­bei­tungs­dien­stes der glei­chen Dienstart wie­der­her­ge­stellt wird, wobei der über­neh­men­de Daten­ver­ar­bei­tungs­dienst bei gemein­sam genutz­ten Funk­tio­nen, die dem Kun­den im Rah­men des Ver­trags bereit­ge­stellt wer­den, ein im Wesent­li­chen ver­gleich­ba­res Ergeb­nis lie­fert. Von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten kann nur erwar­tet wer­den, dass sie die Funk­ti­ons­äqui­va­lenz in Bezug auf die Funk­tio­nen ermög­li­chen, die sowohl vom ursprüng­li­chen als auch vom über­neh­men­den Daten­ver­ar­bei­tungs­dienst unab­hän­gig von­ein­an­der ange­bo­ten wer­den. Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten sind nach der vor­lie­gen­den Ver­ord­nung nur zur Erleich­te­rung der Funk­ti­ons­äqui­va­lenz ver­pflich­tet, wenn sie Dien­ste des Bereit­stel­lungs­mo­dells IaaS anbie­ten. (87) Daten­ver­ar­bei­tungs­dien­ste wer­den in ver­schie­de­nen Berei­chen ver­wen­det und wei­sen hin­sicht­lich ihrer Kom­ple­xi­tät und der Dienstart Unter­schie­de auf. Dies ist ins­be­son­de­re mit Blick auf den Über­tra­gungs­vor­gang und den ent­spre­chen­den Zeit­rah­men zu berück­sich­ti­gen. Eine Ver­län­ge­rung des Über­gangs­zeit­raums gel­tend zu machen, wenn der Wech­sel aus tech­ni­schen Grün­den nicht in der vor­ge­se­he­nen Zeit abge­schlos­sen wer­den kann, soll­te aber des­sen unge­ach­tet nur in hin­rei­chend begrün­de­ten Fäl­len gel­tend gemacht wer­den kön­nen. Die Beweis­last soll­te in die­ser Hin­sicht voll­stän­dig beim Anbie­ter des betref­fen­den Daten­ver­ar­bei­tungs­dien­stes lie­gen. Dies gilt unbe­scha­det des aus­schließ­li­chen Rechts des Kun­den, den Über­gangs­zeit­raum ein­mal um einen Zeit­raum zu ver­län­gern, der sei­nes Erach­tens sei­nen eige­nen Zwecken bes­ser ent­spricht. Der Kun­de kann sich vor oder wäh­rend des Über­gangs­zeit­raums auf die­ses Recht auf Ver­län­ge­rung beru­fen, wobei zu berück­sich­ti­gen ist, dass der Ver­trag wäh­rend des Über­gangs­zeit­raums wei­ter­hin gilt. (88) Wech­sel­ent­gel­te sind Ent­gel­te, die Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten bei ihren Kun­den für den Voll­zug des Wech­sels erhe­ben. Übli­cher­wei­se sol­len mit die­sen Ent­gel­ten die Kosten, die dem ursprüng­li­chen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten durch den Wech­sel ent­ste­hen kön­nen, an den Kun­den, der den Wech­sel wünscht, wei­ter­ge­ge­ben wer­den. Gän­gi­ge Bei­spie­le für Wech­sel­ent­gel­te sind mit der Daten­über­tra­gung von einem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten zu einem ande­ren oder von einem Anbie­ter zu einer IKT-Infra­struk­tur in den eige­nen Räum­lich­kei­ten ver­bun­de­ne Kosten („Daten­ex­trak­ti­ons­ent­gel­te“) oder durch spe­zi­fi­sche Unter­stüt­zungs­tä­tig­kei­ten wäh­rend des Voll­zugs des Wech­sels anfal­len­de Kosten. Unan­ge­mes­sen hohe Daten­ex­trak­ti­ons­ent­gel­te und ande­re unge­recht­fer­tig­te Ent­gel­te, die in kei­nem Zusam­men­hang mit den tat­säch­li­chen Kosten des Wech­sels ste­hen, behin­dern Anbie­ter­wech­sel sei­tens des Kun­den, schrän­ken den frei­en Daten­fluss ein, kön­nen den Wett­be­werb ein­schrän­ken und zu Abhän­gig­keits­ver­hält­nis­sen des Kun­den in Bezug auf einen bestimm­ten Dienst füh­ren, da Anrei­ze, sich für einen ande­ren oder wei­te­ren Dien­ste­an­bie­ter zu ent­schei­den, ver­rin­gert wer­den. Daher soll­ten Wech­sel­ent­gel­te nach drei Jah­ren nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung abge­schafft wer­den. Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­ten bis zu die­sem Zeit­punkt ermä­ßig­te Wech­sel­ent­gel­te erhe­ben kön­nen. (89) Der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­te bestimm­te Auf­ga­ben aus­la­gern und Drit­ten für die Erfül­lung der in die­ser Ver­ord­nung fest­ge­leg­ten Ver­pflich­tun­gen eine Gegen­lei­stung erbrin­gen kön­nen. Die Kosten für die vom ursprüng­li­chen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten beschlos­se­ne Aus­la­ge­rung von Dien­sten wäh­rend des Voll­zugs des Wech­sels soll­te nicht der Kun­de tra­gen, und die­se Kosten soll­ten als unge­recht­fer­tigt gel­ten, es sei denn, sie decken Lei­stun­gen, die der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten auf Bit­te des Kun­den um zusätz­li­che Unter­stüt­zung beim Wech­sel hin erbringt, die über die in die­ser Ver­ord­nung aus­drück­lich fest­ge­leg­ten Pflich­ten des Anbie­ters beim Wech­sel hin­aus­ge­hen. Die­se Ver­ord­nung hin­dert Kun­den nicht dar­an, Drit­ten für die Unter­stüt­zung im Migra­ti­ons­pro­zess eine Gegen­lei­stung zu erbrin­gen, bzw. sie hin­dert Par­tei­en nicht dar­an, im Ein­klang mit dem Uni­ons­recht oder dem natio­na­len Recht Ver­trä­ge über Daten­ver­ar­bei­tungs­dien­ste mit fester Lauf­zeit zu ver­ein­ba­ren, ein­schließ­lich ver­hält­nis­mä­ßi­ger Sank­tio­nen für die vor­zei­ti­ge Kün­di­gung die­ser Ver­trä­ge. Zur För­de­rung des Wett­be­werbs soll­te die schritt­wei­se Abschaf­fung der mit dem Wech­sel von Daten­ver­ar­bei­tungs­dien­sten ver­bun­de­nen Ent­gel­te ins­be­son­de­re die Abschaf­fung der Daten­ex­trak­ti­ons­ent­gel­te umfas­sen, die von einem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten beim Kun­den erho­ben wer­den. Stan­dard­dienst­ent­gel­te für die Erbrin­gung der Daten­ver­ar­bei­tungs­dien­ste selbst sind kei­ne Wech­sel­ent­gel­te. Die­se Stan­dard­dienst­ent­gel­te sind nicht wider­rufs­fä­hig und gel­ten, bis der Ver­trag über die Erbrin­gung des betref­fen­den Dien­stes nicht mehr gilt. Kun­den kön­nen nach die­ser Ver­ord­nung die Erbrin­gung zusätz­li­cher Dien­ste ver­lan­gen, die über die nach die­ser Ver­ord­nung bestehen­den Pflich­ten des Anbie­ters beim Wech­sel hin­aus­ge­hen. Die­se zusätz­li­chen Dien­ste kön­nen vom Anbie­ter erbracht und in Rech­nung gestellt wer­den, wenn sie auf Ver­lan­gen des Kun­den erbracht wer­den und der Kun­de dem Preis die­ser Dien­ste im Vor­aus zustimmt. (90) Um einer Bin­dung an bestimm­te Anbie­ter zu Lasten des Wett­be­werbs und der Ent­wick­lung neu­er Dien­ste ent­ge­gen­zu­wir­ken, bedarf es eines ambi­tio­nier­ten und inno­va­ti­ons­för­dern­den regu­la­to­ri­schen Kon­zepts für Inter­ope­ra­bi­li­tät. Die Inter­ope­ra­bi­li­tät zwi­schen Daten­ver­ar­bei­tungs­dien­sten erfor­dert meh­re­re Schnitt­stel­len und Infra­struk­tur­ebe­nen sowie Soft­ware und beschränkt sich sel­ten auf die ein­fa­che Fra­ge, ob sie erreicht wer­den kann oder nicht. Der Auf­bau der nöti­gen Inter­ope­ra­bi­li­tät ist viel­mehr von einer Kosten-Nut­zen-Ana­ly­se abhän­gig, mit der ermit­telt wird, ob es sinn­voll ist, die ver­nunft­ge­mäß vor­her­seh­ba­ren Ergeb­nis­se anzu­stre­ben. Die Norm ISO/IEC 19941:2017 ist eine wich­ti­ge inter­na­tio­na­le Norm, die einen wich­ti­gen Bezugs­punkt hin­sicht­lich der Ver­wirk­li­chung der Zie­le die­ser Ver­ord­nung bil­det, da sie tech­ni­sche Erwä­gun­gen zur Klä­rung der Kom­ple­xi­tät eines sol­chen Ver­fah­rens umfasst. (91) Wenn Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ihrer­seits Kun­den von Daten­ver­ar­bei­tungs­dien­sten sind, die von einem Drit­ten erbracht wer­den, kön­nen sie selbst vom wirk­sa­me­ren Voll­zug des Wech­sels pro­fi­tie­ren, wäh­rend sie in Bezug auf eige­ne Dienst­an­ge­bo­te wei­ter an die Pflich­ten nach die­ser Ver­ord­nung gebun­den blei­ben. (92) Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­ten ver­pflich­tet sein, im Rah­men ihrer Fähig­kei­ten und in einem ange­mes­se­nen Ver­hält­nis zu ihren jewei­li­gen Ver­pflich­tun­gen jede Hil­fe und Unter­stüt­zung zu lei­sten, die erfor­der­lich ist, um den Wech­sel zum Dienst eines ande­ren Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten erfolg­reich, effek­tiv und sicher zu voll­zie­hen. Die­se Ver­ord­nung ver­pflich­tet Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten nicht dazu, neue Kate­go­rien von Daten­ver­ar­bei­tungs­dien­sten, auch nicht inner­halb der IKT-Infra­struk­tur ver­schie­de­ner Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten oder auf deren Grund­la­ge zu ent­wickeln , um die Funk­ti­ons­äqui­va­lenz in einer ande­ren als der eige­nen Umge­bung zu gewähr­lei­sten. Der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten hat weder Zugang zur noch Ein­blick in die Umge­bung des über­neh­men­den Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten. Funk­ti­ons­äqui­va­lenz soll­te also nicht dahin­ge­hend ver­stan­den wer­den, dass sie den ursprüng­li­chen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten zur Wie­der­her­stel­lung des betref­fen­den Dien­stes inner­halb der Infra­struk­tur des über­neh­men­den Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten ver­pflich­tet. Der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­te viel­mehr im Rah­men sei­ner Befug­nis­se alle ihm ver­nünf­ti­ger­wei­se zur Ver­fü­gung ste­hen­den Maß­nah­men ergrei­fen, um die Ver­wirk­li­chung der Funk­ti­ons­äqui­va­lenz zu ermög­li­chen, indem er Kapa­zi­tä­ten, ange­mes­se­ne Infor­ma­tio­nen, Doku­men­ta­ti­on, tech­ni­sche Unter­stüt­zung und gege­be­nen­falls die erfor­der­li­chen Instru­men­te bereit­stellt. (93) Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­ten zudem dazu ver­pflich­tet wer­den, bestehen­de Hin­der­nis­se aus­zu­räu­men und kei­ne neu­en Hin­der­nis­se zu schaf­fen; dies gilt auch in Bezug auf Kun­den, die zu einer IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten wech­seln möch­ten . Hin­der­nis­se kön­nen unter ande­rem vor­kom­mer­zi­el­ler, gewerb­li­cher, tech­ni­scher, ver­trag­li­cher oder orga­ni­sa­to­ri­scher Art sein. Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­ten fer­ner dazu ver­pflich­tet wer­den, Hin­der­nis­se für die Her­aus­lö­sung eines bestimm­ten ein­zel­nen Dien­stes aus ande­ren, im Rah­men eines Ver­trags erbrach­ten Daten­ver­ar­bei­tungs­dien­sten zu besei­ti­gen und einen Wech­sel für den betref­fen­den Dienst zu ermög­li­chen, wenn einer sol­chen Her­aus­lö­sung kei­ne grö­ße­ren, nach­weis­li­chen tech­ni­schen Hin­der­nis­se ent­ge­gen­ste­hen. (94) Wäh­rend des gesam­ten Voll­zugs des Wech­sels soll­te ein hohes Maß an Sicher­heit gewahrt wer­den. Das bedeu­tet, dass der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten das Sicher­heits­ni­veau, zu dem er sich in Bezug auf den Dienst ver­pflich­tet hat, auf alle tech­ni­schen Moda­li­tä­ten – wie Netz­ver­bin­dun­gen oder phy­si­sche Gerä­te – aus­deh­nen soll­te, für die er wäh­rend des Voll­zugs des Wech­sels ver­ant­wort­lich ist. Bestehen­de Rech­te im Zusam­men­hang mit der Kün­di­gung von Ver­trä­gen, ein­schließ­lich der­je­ni­gen, die mit der Ver­ord­nung (EU) 2016/679 und der Richt­li­nie (EU) 2019/770 des Euro­päi­schen Par­la­ments und des Rates ein­ge­führt wur­den, soll­ten davon unbe­rührt blei­ben. Die vor­lie­gen­de Ver­ord­nung darf nicht so ver­stan­den wer­den, dass ein Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten dar­an gehin­dert wird, Kun­den neue und ver­bes­ser­te Dien­ste, Merk­ma­le und Funk­tio­nen anzu­bie­ten oder auf die­ser Grund­la­ge mit ande­ren Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten in Wett­be­werb zu tre­ten. (95) Die Infor­ma­tio­nen, die Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten Kun­den bereit­stel­len müs­sen, könn­ten die Aus­stiegs­stra­te­gie der Kun­den unter­stüt­zen. Die Infor­ma­tio­nen soll­ten Fol­gen­des umfas­sen: Ver­fah­ren für die Ein­lei­tung des Wech­sels vom Daten­ver­ar­bei­tungs­dienst, die maschi­nen­les­ba­ren Daten­for­ma­te, in die die Nut­zer­da­ten expor­tiert wer­den kön­nen, die Instru­men­te für den Daten­ex­port – ein­schließ­lich offe­ner Schnitt­stel­len – und Infor­ma­tio­nen zur Kom­pa­ti­bi­li­tät mit har­mo­ni­sier­ten Nor­men oder gemein­sa­men Spe­zi­fi­ka­tio­nen auf der Grund­la­ge offe­ner Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen, Infor­ma­tio­nen über bekann­te tech­ni­sche Beschrän­kun­gen und Ein­schrän­kun­gen, die sich auf den Voll­zug des Wech­sels aus­wir­ken könn­ten, und die geschätz­te Zeit, die erfor­der­lich ist, um den Wech­sel zu voll­zie­hen. (96) Um die Inter­ope­ra­bi­li­tät und den Wech­sel zwi­schen Daten­ver­ar­bei­tungs­dien­sten zu erleich­tern, soll­ten Nut­zer und Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten die Ver­wen­dung von Instru­men­ten für die Umset­zung und die Ein­hal­tung der Vor­schrif­ten in Erwä­gung zie­hen, vor allem der­je­ni­gen, die von der Kom­mis­si­on in Form eines EU-Regel­werks für die Cloud sowie eines Leit­fa­dens für die Ver­ga­be öffent­li­cher Auf­trä­ge für Daten­ver­ar­bei­tungs­dien­sten ver­öf­fent­licht wur­den. Ins­be­son­de­re Stan­dard­ver­trags­klau­seln sind geeig­net, da sie das Ver­trau­en in Daten­ver­ar­bei­tungs­dien­ste stär­ken, ein aus­ge­wo­ge­ne­res Ver­hält­nis zwi­schen Nut­zern und Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten schaf­fen und die Rechts­si­cher­heit in Bezug auf die Bedin­gun­gen für den Wech­sel zu ande­ren Daten­ver­ar­bei­tungs­dien­sten erhö­hen. In die­sem Zusam­men­hang soll­ten Nut­zer und Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten die Ver­wen­dung der Stan­dard­ver­trags­klau­seln oder ande­rer Instru­men­te für die Ein­hal­tung von Vor­schrif­ten durch Selbst­re­gu­lie­rung – sofern die­se den Anfor­de­run­gen die­ser Ver­ord­nung ent­spre­chen –, in Erwä­gung zie­hen, die von ein­schlä­gi­gen Gre­mi­en oder Sach­ver­stän­di­gen­grup­pen, die nach Uni­ons­recht ein­ge­rich­tet wur­den, aus­ge­ar­bei­tet wur­den. (97) Um den Wech­sel zwi­schen Daten­ver­ar­bei­tungs­dien­sten zu erleich­tern, soll­ten alle betei­lig­ten Par­tei­en, ein­schließ­lich des ursprüng­li­chen und des über­neh­men­den Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten, nach Treu und Glau­ben zusam­men­ar­bei­ten, um den Voll­zug des Wech­sels wirk­sam zu gestal­ten, und die siche­re und frist­ge­mä­ße Über­tra­gung der erfor­der­li­chen Daten in einem gän­gi­gen, maschi­nen­les­ba­ren For­mat über eine offe­ne Schnitt­stel­le zu ermög­li­chen und dabei die Dienst­kon­ti­nui­tät zu wah­ren. (98) Daten­ver­ar­bei­tungs­dien­ste für Dien­ste, bei denen die mei­sten Haupt­merk­ma­le spe­zi­ell auf kon­kre­te Vor­ga­ben eines ein­zel­nen Kun­den zuge­schnit­ten sind oder bei denen alle Kom­po­nen­ten für die Zwecke eines ein­zel­nen Kun­den ent­wickelt wur­den, soll­ten von eini­gen der für den Wech­sel zwi­schen Daten­ver­ar­bei­tungs­dien­sten gel­ten­den Ver­pflich­tun­gen aus­ge­nom­men wer­den. Dien­ste, die der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten über sei­nen Dienst­lei­stungs­ka­ta­log im gro­ßen kom­mer­zi­el­len Maß­stab anbie­tet, soll­ten nicht dazu gehö­ren. Es gehört zu den Ver­pflich­tun­gen des Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten, poten­zi­el­le Kun­den sol­cher Dien­ste vor Abschluss eines Ver­trags ord­nungs­ge­mäß über die­je­ni­gen in die­ser Ver­ord­nung fest­ge­leg­ten Ver­pflich­tun­gen zu infor­mie­ren, die nicht für die betref­fen­den Dien­ste gel­ten. Der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ist nicht dar­an gehin­dert, sol­che Dien­ste letzt­lich in gro­ßem Maß­stab ein­zu­füh­ren; in die­sem Fall müss­te er jedoch alle in die­ser Ver­ord­nung fest­ge­leg­ten Ver­pflich­tun­gen für den Wech­sel erfül­len. (99) Im Ein­klang mit der Min­dest­an­for­de­rung, den Wech­sel von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten zu ermög­li­chen, zielt die­se Ver­ord­nung auch dar­auf ab, die Inter­ope­ra­bi­li­tät für die par­al­le­le Nut­zung meh­re­rer Daten­ver­ar­bei­tungs­dien­ste durch ergän­zen­de Funk­tio­nen zu ver­bes­sern. Dies betrifft Situa­tio­nen, in denen Kun­den einen Ver­trag im Hin­blick auf den Wech­sel zu einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten nicht kün­di­gen, son­dern meh­re­re Dien­ste ver­schie­de­ner Anbie­ter par­al­lel und inter­ope­ra­bel genutzt wer­den, um die ergän­zen­den Funk­tio­nen der ver­schie­de­nen Dien­ste in der System­kon­fi­gu­ra­ti­on des Kun­den nut­zen zu kön­nen. Im Gegen­satz zu der ein­ma­li­gen Extrak­ti­on, die beim Voll­zug eines Wech­sels erfor­der­lich ist, kann die Daten­ex­trak­ti­on von einem zu einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten mit dem Ziel, die par­al­le­le Nut­zung von Dien­sten zu erleich­tern, jedoch bekannt­lich ein fort­lau­fen­der Vor­gang sein. Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­ten daher für die Daten­ex­trak­ti­on zu Zwecken der par­al­le­len Nut­zung nach drei Jah­ren nach dem Tag des Inkraft­tre­tens der vor­lie­gen­den Ver­ord­nung wei­ter­hin Daten­ex­trak­ti­ons­ent­gel­te erhe­ben kön­nen, die die anfal­len­den Kosten nicht über­stei­gen. Dies ist unter ande­rem für die erfolg­rei­che Ein­füh­rung von Mul­ti-Cloud-Stra­te­gien wich­tig, die es Kun­den ermög­li­chen, zukunfts­si­che­re IT-Stra­te­gien umzu­set­zen, und die Abhän­gig­keit von ein­zel­nen Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten ver­rin­gern. Durch die Erleich­te­rung eines Mul­ti-Cloud-Ansat­zes für Kun­den von Daten­ver­ar­bei­tungs­dien­sten kann außer­dem – wie in der Ver­ord­nung (EU) 2022/2554 des Euro­päi­schen Par­la­ments und des Rates in Bezug auf Anbie­ter von Finanz­dienst­lei­stun­gen fest­ge­stellt – dazu bei­getra­gen wer­den, die Betriebs­sta­bi­li­tät der digi­ta­len Syste­me der Kun­den zu stär­ken. (100) Offe­ne Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen und nor­men, die gemäß Anhang II der Ver­ord­nung (EU) Nr. 1025/2012 des Euro­päi­schen Par­la­ments und des Rates im Bereich der Inter­ope­ra­bi­li­tät und Über­trag­bar­keit ent­wickelt wur­den, wer­den vor­aus­sicht­lich eine Cloud-Umge­bung mit meh­re­ren Anbie­tern ermög­li­chen, was eine wesent­li­che Vor­aus­set­zung für offe­ne Inno­va­ti­on in der euro­päi­schen Daten­wirt­schaft ist. Da die Akzep­tanz fest­ge­leg­ter Nor­men auf dem Markt im Rah­men der 2016 abge­schlos­se­nen Initia­ti­ve zur Koor­di­nie­rung der Cloud-Nor­mung (CSC) zurück­hal­tend aus­fiel, muss sich die Kom­mis­si­on auch dar­auf ver­las­sen, dass die Markt­teil­neh­mer ein­schlä­gi­ge offe­ne Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen ent­wickeln, um mit dem raschen tech­no­lo­gi­schen Fort­schritt in die­ser Bran­che Schritt zu hal­ten. Sol­che offe­nen Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen kön­nen dann von der Kom­mis­si­on in Form gemein­sa­mer Spe­zi­fi­ka­tio­nen erlas­sen wer­den. Wenn fer­ner nicht nach­ge­wie­sen wur­de, dass gemein­sa­me Spe­zi­fi­ka­tio­nen oder Nor­men, die eine wirk­sa­me Cloud-Inter­ope­ra­bi­li­tät der Ver­ar­bei­tung von Daten auf PaaS- und SaaS-Ebe­ne erleich­tern, durch markt­ge­steu­er­te Ver­fah­ren fest­ge­legt wer­den kön­nen, soll­te die Kom­mis­si­on auf der Grund­la­ge der vor­lie­gen­den Ver­ord­nung und im Ein­klang mit der Ver­ord­nung (EU) Nr. 1025/2012 in der Lage sein, euro­päi­sche Nor­mungs­gre­mi­en mit der Ent­wick­lung sol­cher Nor­men für bestimm­te Dienstar­ten zu beauf­tra­gen, für die sol­che Nor­men noch nicht exi­stie­ren. Dar­über hin­aus wird die Kom­mis­si­on die Markt­teil­neh­mer anhal­ten, ein­schlä­gi­ge offe­ne Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen zu ent­wickeln. Im Anschluss an eine Kon­sul­ta­ti­on der Inter­es­sen­trä­ger soll­te die Kom­mis­si­on im Wege von Durch­füh­rungs­rechts­ak­ten durch einen Ver­weis in einer zen­tra­len Daten­bank der Uni­on für Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten vor­schrei­ben kön­nen, dass für bestimm­te Dienstar­ten har­mo­ni­sier­te Nor­men für die Inter­ope­ra­bi­li­tät oder gemein­sa­me Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen ver­wen­det wer­den. Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten soll­ten die Kom­pa­ti­bi­li­tät mit die­sen har­mo­ni­sier­ten Nor­men und gemein­sa­men Spe­zi­fi­ka­tio­nen auf der Grund­la­ge offe­ner Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen sicher­stel­len, die die Sicher­heit oder die Inte­gri­tät der Daten nicht beein­träch­ti­gen soll­ten. Auf har­mo­ni­sier­te Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten und gemein­sa­me Spe­zi­fi­ka­tio­nen auf der Grund­la­ge offe­ner Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen wird nur ver­wie­sen, wenn sie den in die­ser Ver­ord­nung fest­ge­leg­ten Kri­te­ri­en ent­spre­chen, die den­sel­ben Stel­len­wert haben wie die Anfor­de­run­gen in Anhang II der Ver­ord­nung (EU) Nr. 1025/2012 und die in der inter­na­tio­na­len Norm ISO/IEC 19941:2017 defi­nier­ten Inter­ope­ra­bi­li­täts­aspek­te. Dar­über hin­aus soll­te bei der Nor­mung den Bedürf­nis­sen von KMU Rech­nung getra­gen wer­den. (101) Dritt­län­der kön­nen Geset­ze, Ver­ord­nun­gen und son­sti­ge Rechts­ak­te erlas­sen, die dar­auf aus­ge­rich­tet sind, dass nicht-per­so­nen­be­zo­ge­ne Daten, die – auch in der Uni­on – außer­halb der Lan­des­gren­zen gespei­chert sind, über­tra­gen wer­den kön­nen bzw. staat­li­che Stel­len direk­ten Zugang zu sol­chen Daten haben. In Dritt­län­dern ergan­ge­ne Gerichts­ur­tei­le oder Ent­schei­dun­gen ande­rer Justiz- oder Ver­wal­tungs­be­hör­den, ein­schließ­lich Straf­ver­fol­gungs­be­hör­den, mit denen eine sol­che Über­tra­gung von oder ein sol­cher Zugang zu nicht-per­so­nen­be­zo­ge­nen Daten gefor­dert wird, soll­ten voll­streck­bar sein, wenn sie sich auf eine inter­na­tio­na­le Ver­ein­ba­rung, etwa ein Rechts­hil­fe­ab­kom­men, stüt­zen, das zwi­schen dem anfra­gen­den Dritt­land und der Uni­on oder einem Mit­glied­staat besteht. Mit­un­ter kann es auch dazu kom­men, dass die sich aus dem Recht eines Dritt­lands erge­ben­de Ver­pflich­tung zur Über­tra­gung von oder Gewäh­rung des Zugangs zu nicht-per­so­nen­be­zo­ge­nen Daten einer nach Uni­ons­recht oder nach dem natio­na­len Recht des betref­fen­den Mit­glied­staats bestehen­den Ver­pflich­tung zum Schutz die­ser Daten ent­ge­gen­steht, ins­be­son­de­re, was den Schutz der Grund­rech­te des Ein­zel­nen, wie das Recht auf Sicher­heit und das Recht auf einen wirk­sa­men Rechts­be­helf, oder die grund­le­gen­den Inter­es­sen eines Mit­glied­staats im Zusam­men­hang mit der natio­na­len Sicher­heit oder Ver­tei­di­gung sowie den Schutz sen­si­bler Geschäfts­da­ten, ein­schließ­lich des Schut­zes des Geschäfts­ge­heim­nis­ses, und den Schutz von Rech­ten des gei­sti­gen Eigen­tums, dar­un­ter auch ver­trag­li­che Ver­trau­lich­keits­pflich­ten nach einem sol­chen Gesetz, betrifft. Besteht kei­ne inter­na­tio­na­le Ver­ein­ba­rung zur Rege­lung die­ser Fra­gen, so soll­te die Über­tra­gung von oder der Zugang zu nicht-per­so­nen­be­zo­ge­nen Daten nur gestat­tet sein, wenn über­prüft wur­de, dass das Rechts­sy­stem des betref­fen­den Dritt­lands die Begrün­dung und die Ver­hält­nis­mä­ßig­keit sowie die hin­rei­chen­de Bestimmt­heit der gericht­li­chen Anord­nung oder Ent­schei­dung vor­schreibt und dem Adres­sa­ten die Mög­lich­keit ein­räumt, dem zustän­di­gen Gericht des Dritt­lands, das zur gebüh­ren­den Berück­sich­ti­gung der ein­schlä­gi­gen recht­li­chen Inter­es­sen des Bereit­stel­lers der Daten befugt ist, sei­nen begrün­de­ten Ein­wand zur Über­prü­fung vor­zu­le­gen. Nach Mög­lich­keit soll­te der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten den Kun­den, des­sen Daten ver­langt wer­den, im Rah­men des Daten­zu­gangs­ver­lan­gens der Behör­de des Dritt­lands vor der Gewäh­rung des Zugangs zu die­sen Daten unter­rich­ten kön­nen, um zu über­prü­fen, ob ein sol­cher Zugang mög­li­cher­wei­se gegen Uni­ons­recht oder natio­na­les Recht ver­stößt, wie etwa Vor­schrif­ten über den Schutz sen­si­bler Geschäfts­da­ten, ein­schließ­lich des Schut­zes des Geschäfts­ge­heim­nis­ses und der Rech­te des gei­sti­gen Eigen­tums sowie ver­trag­li­cher Ver­trau­lich­keits­pflich­ten. (102) Um das Ver­trau­en in Daten wei­ter zu stär­ken, ist es wich­tig, dass Schutz­vor­keh­run­gen, die Uni­ons­bür­gern, der öffent­li­chen Hand und Unter­neh­men die Kon­trol­le über ihre Daten gewähr­lei­sten sol­len, so weit wie mög­lich umge­setzt wer­den. Dar­über hin­aus soll­ten das Recht, die Wer­te und die Stan­dards der Uni­on unter ande­rem in Bezug auf Sicher­heit, Daten­schutz und Pri­vat­sphä­re sowie Ver­brau­cher­schutz gewahrt wer­den. Um einen unrecht­mä­ßi­gen staat­li­chen Zugang der Behör­den von Dritt­län­dern zu nicht-per­so­nen­be­zo­ge­nen Daten zu ver­hin­dern, soll­ten die­ser Ver­ord­nung unter­lie­gen­de Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten wie Cloud- und Edge-Dien­sten alle zumut­ba­ren Maß­nah­men ergrei­fen, um den Zugang zu Syste­men zu ver­hin­dern, in denen nicht-per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den, gege­be­nen­falls auch durch die Ver­schlüs­se­lung von Daten, häu­fi­ge Audits, die Über­prü­fung der Ein­hal­tung der ein­schlä­gi­gen Syste­me für die Sicher­heits­zer­ti­fi­zie­rung und die Ände­rung der Unter­neh­mens­po­li­tik. (103) Nor­mung und seman­ti­sche Inter­ope­ra­bi­li­tät soll­ten eine wich­ti­ge Rol­le bei der Bereit­stel­lung tech­ni­scher Lösun­gen zur Gewähr­lei­stung der Inter­ope­ra­bi­li­tät inner­halb von und zwi­schen gemein­sa­men euro­päi­schen Daten­räu­men spie­len, bei denen es sich um zweck- oder sek­tor­spe­zi­fi­sche oder sek­tor­über­grei­fen­de inter­ope­ra­ble Rah­men für gemein­sa­me Nor­men und Ver­fah­ren für die Wei­ter­ga­be oder die gemein­sa­me Ver­ar­bei­tung von Daten, unter ande­rem für die Ent­wick­lung neu­er Pro­duk­te und Dien­ste, wis­sen­schaft­li­che For­schung oder zivil­ge­sell­schaft­li­che Initia­ti­ven, han­delt. In die­ser Ver­ord­nung soll­ten bestimm­te wesent­li­che Inter­ope­ra­bi­li­täts­an­for­de­run­gen fest­ge­legt wer­den. Teil­neh­mer an Daten­räu­men, die ande­ren Teil­neh­mern Daten oder Daten­dien­ste anbie­ten und bei denen es sich um Stel­len han­delt, die die Wei­ter­ga­be von Daten inner­halb gemein­sa­mer euro­päi­scher Daten­räu­me erleich­tern oder dar­an betei­ligt sind, ein­schließ­lich Daten­in­ha­ber, soll­ten die­se Anfor­de­run­gen erfül­len, soweit sie Ele­men­te betref­fen, die ihrer Kon­trol­le unter­lie­gen. Die Ein­hal­tung die­ser Vor­schrif­ten kann durch die Ein­hal­tung der in die­ser Ver­ord­nung fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen gewähr­lei­stet oder auf­grund der Ein­hal­tung von har­mo­ni­sier­ten Nor­men oder gemein­sa­men Spe­zi­fi­ka­tio­nen im Rah­men einer Kon­for­mi­täts­ver­mu­tung ver­mu­tet wer­den. Um die Kon­for­mi­tät mit den Inter­ope­ra­bi­li­täts­an­for­de­run­gen zu erleich­tern, muss eine Kon­for­mi­täts­ver­mu­tung für die Inter­ope­ra­bi­li­täts­lö­sun­gen vor­ge­se­hen wer­den, die ganz oder teil­wei­se den har­mo­ni­sier­ten Nor­men gemäß der Ver­ord­nung (EU) Nr. 1025/2012 ent­spre­chen, wel­che den Stan­dard­rah­men für die Erar­bei­tung der Nor­men, nach denen sol­che Kon­for­mi­täts­ver­mu­tun­gen vor­ge­se­hen wer­den, bil­det. Die Kom­mis­si­on soll­te die Hin­der­nis­se für die Inter­ope­ra­bi­li­tät bewer­ten und den Nor­mungs­be­darf prio­ri­sie­ren, sodass sie auf die­ser Grund­la­ge gemäß der Ver­ord­nung (EU) Nr. 1025/2012 eine oder meh­re­re euro­päi­sche Nor­mungs­or­ga­ni­sa­tio­nen damit beauf­tra­gen kann, Ent­wür­fe für har­mo­ni­sier­te Nor­men zu erar­bei­ten, die die in der vor­lie­gen­den Ver­ord­nung fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen erfül­len. Füh­ren sol­che Auf­trä­ge nicht zu har­mo­ni­sier­ten Nor­men oder rei­chen sol­che har­mo­ni­sier­ten Nor­men nicht aus, um die Kon­for­mi­tät mit den wesent­li­chen Anfor­de­run­gen der vor­lie­gen­den Ver­ord­nung zu gewähr­lei­sten, so soll­te die Kom­mis­si­on, sofern sie dabei die Rol­le und die Funk­tio­nen der Nor­mungs­or­ga­ni­sa­tio­nen gebüh­rend ach­tet, in der Lage sein, gemein­sa­me Spe­zi­fi­ka­tio­nen in den genann­ten Berei­chen zu erlas­sen. Gemein­sa­me Spe­zi­fi­ka­tio­nen soll­ten nur als außer­ge­wöhn­li­che Aus­weich­lö­sung erlas­sen wer­den, um die Ein­hal­tung der wesent­li­chen Anfor­de­run­gen die­ser Ver­ord­nung zu erleich­tern, oder wenn der Nor­mungs­pro­zess blockiert ist, oder bei Ver­zö­ge­run­gen bei der Fest­le­gung geeig­ne­ter har­mo­ni­sier­ter Nor­men. Ist eine Ver­zö gerung auf die tech­ni­sche Kom­ple­xi­tät der betref­fen­den Norm zurück­zu­füh­ren, so soll­te die Kom­mis­si­on dies berück­sich­ti­gen, bevor sie die Fest­le­gung gemein­sa­mer Spe­zi­fi­ka­tio­nen in Erwä­gung zieht. Gemein­sa­me Spe­zi­fi­ka­tio­nen soll­ten offen und inklu­siv erar­bei­tet wer­den und gege­be­nen­falls dem Rat des gemäß der Ver­ord­nung (EU) 2022/868 ein­ge­rich­te­ten Euro­päi­schen Daten­in­no­va­ti­ons­ra­tes (EDIB) Rech­nung tra­gen. Dar­über hin­aus könn­ten in den ver­schie­de­nen Sek­to­ren – auf der Grund­la­ge ihrer jewei­li­gen beson­de­ren Bedürf­nis­se – auch gemein­sa­me Spe­zi­fi­ka­tio­nen im Ein­klang mit Uni­ons­recht oder natio­na­lem Recht erlas­sen wer­den. Dar­über hin­aus soll­te die Kom­mis­si­on in die Lage ver­setzt wer­den, die Erar­bei­tung har­mo­ni­sier­ter Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten in Auf­trag zu geben. (104) Um die Inter­ope­ra­bi­li­tät von Instru­men­ten für die auto­ma­ti­sier­te Durch­füh­rung von Ver­ein­ba­run­gen über die Daten­wei­ter­ga­be zu för­dern, müs­sen wesent­li­che Anfor­de­run­gen an intel­li­gen­te Ver­trä­ge fest­ge­legt wer­den, die Fach­kräf­te für ande­re erstel­len oder in Anwen­dun­gen inte­grie­ren, die die Umset­zung von Ver­ein­ba­run­gen über die Daten­wei­ter­ga­be unter­stüt­zen. Um die Kon­for­mi­tät sol­cher intel­li­gen­ten Ver­trä­ge mit die­sen wesent­li­chen Anfor­de­run­gen zu erleich­tern, muss eine Kon­for­mi­täts­ver­mu­tung für die intel­li­gen­ten Ver­trä­ge vor­ge­se­hen wer­den, die ganz oder teil­wei­se den har­mo­ni­sier­ten Nor­men gemäß der Ver­ord­nung (EU) Nr. 1025/2012 ent­spre­chen. Der Begriff „intel­li­gen­ter Ver­trag“ in der vor­lie­gen­den Ver­ord­nung ist tech­no­lo­gie­neu­tral. Intel­li­gen­te Ver­trä­ge kön­nen bei­spiels­wei­se mit einem elek­tro­ni­schen Vor­gangs­re­gi­ster ver­bun­den wer­den. Die wesent­li­chen Anfor­de­run­gen soll­ten nur für Anbie­ter intel­li­gen­ter Ver­trä­ge gel­ten, nicht aber dann, wenn sie intern intel­li­gen­te Ver­trä­ge, die aus­schließ­lich für den inter­nen Gebrauch bestimmt sind, aus­ar­bei­ten. Die wesent­li­che Anfor­de­rung, sicher­zu­stel­len, dass intel­li­gen­te Ver­trä­ge aus­ge­setzt und been­det wer­den kön­nen, setzt die gegen­sei­ti­ge Zustim­mung der Par­tei­en zu der Ver­ein­ba­rung über die Daten­wei­ter­ga­be vor­aus. Die Anwend­bar­keit der ein­schlä­gi­gen Vor­schrif­ten des Zivil‑, Ver­trags- und Ver­brau­cher­schutz­rechts auf Ver­ein­ba­run­gen über die Daten­wei­ter­ga­be bleibt von der Nut­zung intel­li­gen­ter Ver­trä­ge für die auto­ma­ti­sier­te Aus­füh­rung sol­cher Ver­ein­ba­run­gen unbe­rührt oder soll­te davon unbe­rührt blei­ben. (105) Zum Nach­weis, dass die wesent­li­chen Anfor­de­run­gen die­ser Ver­ord­nung erfüllt sind, soll­te der Anbie­ter eines intel­li­gen­ten Ver­trags – oder in des­sen Erman­ge­lung die Per­son, deren gewerb­li­che, geschäft­li­che oder beruf­li­che Tätig­keit die Ein­füh­rung intel­li­gen­ter Ver­trä­ge für Ande­re im Zusam­men­hang mit der Durch­füh­rung einer Ver­ein­ba­rung oder Tei­len davon über die Bereit­stel­lung von Daten im Kon­text der vor­lie­gen­den Ver­ord­nung beinhal­tet, – eine Kon­for­mi­täts­be­wer­tung durch­füh­ren und eine EU-Kon­for­mi­täts­er­klä­rung aus­stel­len. Die­se Kon­for­mi­täts­be­wer­tung soll­te den all­ge­mei­nen Grund­sät­zen nach der Ver­ord­nung (EG) Nr. 765/2008 des Euro­päi­schen Par­la­ments und des Rates und dem Beschluss (EG) Nr. 768/2008 des Euro­päi­schen Par­la­ments und des Rates unter­lie­gen. (106) Abge­se­hen davon, dass pro­fes­sio­nel­le Ent­wick­ler intel­li­gen­ter Ver­trä­ge zur Erfül­lung wesent­li­cher Anfor­de­run­gen ver­pflich­tet wer­den müs­sen, ist es auch wich­tig, die­je­ni­gen Teil­neh­mer in Daten­räu­men, die ande­ren Teil­neh­mern inner­halb von gemein­sa­men euro­päi­schen Daten­räu­men und über die­se Daten­räu­me Daten oder daten­ba­sier­te Dien­ste anbie­ten, dazu anzu­hal­ten, die Inter­ope­ra­bi­li­tät von Instru­men­ten für die Daten­wei­ter­ga­be – ein­schließ­lich intel­li­gen­ter Ver­trä­ge – zu unter­stüt­zen. (107) Um die Anwen­dung und Durch­set­zung die­ser Ver­ord­nung zu gewähr­lei­sten, soll­ten die Mit­glied­staa­ten eine oder meh­re­re zustän­di­ge Behör­den benen­nen. Benennt ein Mit­glied­staat mehr als eine zustän­di­ge Behör­de, so soll­te er unter ihnen auch einen Daten­ko­or­di­na­tor benen­nen. Die zustän­di­gen Behör­den soll­ten mit­ein­an­der zusam­men­ar­bei­ten. Durch die Aus­übung ihrer Ermitt­lungs­be­fug­nis­se im Ein­klang mit den gel­ten­den natio­na­len Ver­fah­ren soll­ten die zustän­di­gen Behör­den in der Lage sein, Infor­ma­tio­nen zu suchen und zu erhal­ten, ins­be­son­de­re in Bezug auf die Tätig­kei­ten von Stel­len in ihrem Zustän­dig­keits­be­reich und – auch im Rah­men gemein­sa­mer Unter­su­chun­gen – unter gebüh­ren­der Berück­sich­ti­gung des Umstands, dass Auf­sichts- und Durch­set­zungs­maß­nah­men in Bezug auf in die Zustän­dig­keit eines ande­ren Mit­glied­staats fal­len­de Rechts­trä­ger von der zustän­di­gen Behör­de die­ses ande­ren Mit­glied­staats, gege­be­nen­falls im Ein­klang mit den Ver­fah­ren für die grenz­über­schrei­ten­de Zusam­men­ar­beit, erlas­sen wer­den soll­ten. Die zustän­di­gen Behör­den soll­ten ein­an­der recht­zei­tig unter­stüt­zen, ins­be­son­de­re wenn eine zustän­di­ge Behör­de in einem Mit­glied­staat über rele­van­te Infor­ma­tio­nen für eine von den zustän­di­gen Behör­den in ande­ren Mit­glied­staa­ten durch­ge­führ­te Unter­su­chung ver­fügt oder sol­che Infor­ma­tio­nen sam­meln kann, zu denen die zustän­di­gen Behör­den in dem Mit­glied­staat, in dem die Ein­rich­tung nie­der­ge­las­sen ist, kei­nen Zugang haben. Die zustän­di­gen Behör­den und die Daten­ko­or­di­na­to­ren soll­ten in einem von der Kom­mis­si­on geführ­ten öffent­li­chen Regi­ster auf­ge­führt wer­den. Der Daten­ko­or­di­na­tor könn­te im Hin­blick auf die Erleich­te­rung der Zusam­men­ar­beit in grenz­über­schrei­ten­den Situa­tio­nen zusätz­li­che Hil­fe bie­ten, wenn etwa einer zustän­di­gen Behör­de eines bestimm­ten Mit­glied­staats nicht bekannt ist, an wel­che Behör­de sie sich im Mit­glied­staat des Daten­ko­or­di­na­tors wen­den soll­te, wenn bei­spiels­wei­se der Fall mehr als eine zustän­di­ge Behör­de oder mehr als einen Sek­tor betrifft. Der Daten­ko­or­di­na­tor soll­te als zen­tra­le Anlauf­stel­le für alle Fra­gen im Zusam­men­hang mit der Anwen­dung die­ser Ver­ord­nung han­deln. Wur­de kein Daten­ko­or­di­na­tor benannt, so soll­te die zustän­di­ge Behör­de die dem Daten­ko­or­di­na­tor gemäß die­ser Ver­ord­nung über­tra­ge­nen Auf­ga­ben über­neh­men. Die für die Über­wa­chung der Ein­hal­tung des Daten­schutz­rechts zustän­di­gen Behör­den und die nach Uni­ons­recht oder natio­na­lem Recht benann­ten zustän­di­gen Behör­den soll­ten in ihren Zustän­dig­keits­be­rei­chen für die Anwen­dung die­ser Ver­ord­nung ver­ant­wort­lich sein. Um Inter­es­sen­kon­flik­te zu ver­mei­den, soll­ten die Behör­den, die im Bereich der Bereit­stel­lung von Daten im Anschluss an ein Ver­lan­gen auf­grund einer außer­ge­wöhn­li­chen Not­wen­dig­keit für die Anwen­dung und Durch­set­zung die­ser Ver­ord­nung zustän­dig sind, nicht das Recht haben, ein sol­ches Ver­lan­gen zu stel­len. (108) Zur Durch­set­zung ihrer Rech­te gemäß die­ser Ver­ord­nung soll­ten natür­li­che und juri­sti­sche Per­so­nen das Recht haben, bei Ver­let­zung ihrer Rech­te aus die­ser Ver­ord­nung durch Beschwer­de­ein­le­gung Rechts­mit­tel ein­zu­le­gen. Der Daten­ko­or­di­na­tor soll­te natür­li­chen und juri­sti­schen Per­so­nen auf Anfra­ge alle erfor­der­li­chen Infor­ma­tio­nen bereit­stel­len, damit sie bei der betref­fen­den zustän­di­gen Behör­de Beschwer­de ein­le­gen kön­nen. Die­se Behör­den soll­ten zur Zusam­men­ar­beit ver­pflich­tet sein, damit die Beschwer­de ange­mes­sen bear­bei­tet und wirk­sam und zügig beschie­den wer­den kann. Um den Mecha­nis­mus des Netz­werks für die Zusam­men­ar­beit im Ver­brau­cher­schutz zu nut­zen und Ver­bands­kla­gen zu ermög­li­chen, wer­den mit die­ser Ver­ord­nung die Anhän­ge der Ver­ord­nung (EU) 2017/2394 des Euro­päi­schen Par­la­ments und des Rates und der Richt­li­nie (EU) 2020/1828 des Euro­päi­schen Par­la­ments und des Rates geän­dert. (109) Die zustän­di­gen Behör­den soll­ten sicher­stel­len, dass für Ver­stö­ße gegen die in die­ser Ver­ord­nung fest­ge­leg­ten Pflich­ten Sank­tio­nen gel­ten. Sol­che Sank­tio­nen könn­ten finan­zi­el­le Sank­tio­nen, Ver­war­nun­gen, Ver­wei­se oder Anord­nun­gen, die Geschäfts­pra­xis mit den in die­ser Ver­ord­nung fest­ge­leg­ten Ver­pflich­tun­gen in Ein­klang zu brin­gen, ein­schlie­ßen. Die von den Mit­glied­staa­ten fest­ge­leg­ten Sank­tio­nen soll­ten wirk­sam, ver­hält­nis­mä­ßig und abschreckend sein und den Emp­feh­lun­gen des EDIB Rech­nung tra­gen und somit dazu bei­tra­gen, dass bei der Fest­le­gung und Anwen­dung von Sank­tio­nen ein Höchst­maß an Kohä­renz erreicht wird. Die zustän­di­gen Behör­den soll­ten gege­be­nen­falls einst­wei­li­ge Maß­nah­men ergrei­fen, um die Aus­wir­kun­gen eines mut­maß­li­chen Ver­sto­ßes zu begren­zen, solan­ge die Unter­su­chung die­ses Ver­sto­ßes noch nicht abge­schlos­sen ist. Dabei soll­ten sie unter ande­rem Art, Schwe­re, Aus­maß und Dau­er der Pflicht­ver­let­zung im Hin­blick auf das betref­fen­de öffent­li­che Inter­es­se, den Umfang und die Art der aus­ge­üb­ten Tätig­kei­ten und die wirt­schaft­li­che Lei­stungs­fä­hig­keit de ver­sto­ßen­den Par­tei berück­sich­ti­gen. Sie soll­ten auch berück­sich­ti­gen, ob der Rechts­ver­let­zer sei­nen Pflich­ten aus die­ser Ver­ord­nung syste­ma­tisch oder wie­der­holt nicht nach­kommt. Um die Ein­hal­tung des Grund­sat­zes ne bis in idem zu gewähr­lei­sten und ins­be­son­de­re zu ver­mei­den, dass ein und der­sel­be Ver­stoß gegen die Pflich­ten aus die­ser Ver­ord­nung mehr als ein­mal geahn­det wird, soll­te ein Mit­glied­staat, der beab­sich­tigt, sei­ne Zustän­dig­keit in Bezug auf eine ver­sto­ßen­de Par­tei aus­zu­üben, die nicht in der Uni­on nie­der­ge­las­sen ist und kei­nen Ver­tre­ter in der Uni­on benannt hat, unver­züg­lich alle Daten­ko­or­di­na­to­ren und die Kom­mis­si­on unter­rich­ten. (110) Der EDIB soll­te die Kom­mis­si­on bei der Koor­di­nie­rung der natio­na­len Ver­fah­ren und Stra­te­gien zu den unter die­se Ver­ord­nung fal­len­den The­men sowie bei der Ver­wirk­li­chung ihrer Zie­le in Bezug auf die tech­ni­sche Nor­mung zur Ver­bes­se­rung der Inter­ope­ra­bi­li­tät bera­ten und unter­stüt­zen. Er soll­te auch eine Schlüs­sel­rol­le über­neh­men, wenn es dar­um geht, zwi­schen den zustän­di­gen Behör­den umfas­sen­de Gesprä­che über die Anwen­dung und Durch­set­zung der vor­lie­gen­den Ver­ord­nung auf den Weg zu brin­gen. Der betref­fen­de Infor­ma­ti­ons­aus­tausch soll den wirk­sa­men Zugang zur Justiz sowie die Durch­set­zung und justi­zi­el­le Zusam­men­ar­beit in der gesam­ten Uni­on ver­bes­sern. Neben ande­ren Auf­ga­ben soll­ten die zustän­di­gen Behör­den den EDIB als Platt­form für die Bewer­tung, Koor­di­nie­rung und Annah­me von Emp­feh­lun­gen zur Fest­le­gung von Sank­tio­nen für Ver­stö­ße gegen die­se Ver­ord­nung nut­zen. Er soll­te es den zustän­di­gen Behör­den ermög­li­chen, mit Unter­stüt­zung der Kom­mis­si­on einen opti­ma­len Ansatz für die Fest­le­gung und Ver­hän­gung sol­cher Sank­tio­nen abzu­stim­men. Die­ser Ansatz ver­hin­dert eine Frag­men­tie­rung und räumt den Mit­glied­staa­ten gleich­zei­tig Fle­xi­bi­li­tät ein, und er soll­te zu wirk­sa­men Emp­feh­lun­gen füh­ren, die die ein­heit­li­che Anwen­dung die­ser Ver­ord­nung unter­stüt­zen. Außer­dem soll­te dem EDIB bei den Nor­mungs­ver­fah­ren und der Annah­me gemein­sa­mer Spe­zi­fi­ka­tio­nen im Wege von Durch­füh­rungs­rechts­ak­ten und bei der Annah­me dele­gier­ter Rechts­ak­te zur Ein­füh­rung eines Über­wa­chungs­me­cha­nis­mus für die von den Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten erho­be­nen Wech­sel­ent­gel­te und zur wei­te­ren Prä­zi­sie­rung der wesent­li­chen Anfor­de­run­gen an die Inter­ope­ra­bi­li­tät von Daten, von Mecha­nis­men und Dien­sten für die Daten­wei­ter­ga­be sowie an die gemein­sa­men euro­päi­schen Daten­räu­me eine bera­ten­de Rol­le zukom­men. Fer­ner soll­te er die Kom­mis­si­on bei der Annah­me der Leit­li­ni­en zur Fest­le­gung von Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen für das Funk­tio­nie­ren der gemein­sa­men euro­päi­schen Daten­räu­me bera­ten und unter­stüt­zen. (111) Um Unter­neh­men bei der Aus­ar­bei­tung und Aus­hand­lung von Ver­trä­gen zu unter­stüt­zen, soll­te die Kom­mis­si­on unver­bind­li­che Muster­ver­trags­klau­seln für Ver­trä­ge über die Daten­wei­ter­ga­be zwi­schen Unter­neh­men erstel­len und emp­feh­len, erfor­der­li­chen­falls unter Berück­sich­ti­gung der Bedin­gun­gen in bestimm­ten Sek­to­ren und bestehen­der Ver­fah­ren mit frei­wil­li­gen Daten­wei­ter­ga­be­me­cha­nis­men. Die­se Muster­ver­trags­klau­seln soll­ten in erster Linie eine prak­ti­sche Hand­ha­be bie­ten, um ins­be­son­de­re KMU den Abschluss eines Ver­trags zu erleich­tern. Wer­den die Muster­ver­trags­be­stim­mun­gen umfas­send und durch­ge­hend ver­wen­det, so dürf­ten sie sich auch posi­tiv auf die Gestal­tung von Ver­trä­gen über den Daten­zu­gang und die Daten­nut­zung aus­wir­ken und somit ins­ge­samt zu fai­re­ren Ver­trags­be­zie­hun­gen beim Daten­zu­gang und bei der Daten­wei­ter­ga­be füh­ren. (112) Damit nicht das Risi­ko besteht, dass die Inha­ber von Daten, die durch phy­si­sche Kom­po­nen­ten wie Sen­so­ren eines ver­netz­ten Pro­dukts und eines ver­bun­de­nen Dien­stes erlangt oder gene­riert wur­den, oder ande­ren maschi­nen­ge­ne­rier­ten Daten in Daten­ban­ken das Schutz­recht sui gene­ris gemäß Arti­kel 7 der Richt­li­nie 96/9/EG gel­tend machen und dadurch ins­be­son­de­re die wirk­sa­me Aus­übung des Rechts der Nut­zer auf Daten­zu­gang und Daten­nut­zung sowie des Rechts auf die Wei­ter­ga­be von Daten an Drit­te gemäß die­ser Ver­ord­nung behin­dern, soll­te klar­ge­stellt wer­den, dass das Schutz­recht sui gene­ris für sol­che Daten­ban­ken nicht gilt. Dies berührt nicht die mög­li­che Anwen­dung des Schutz­rechts sui gene­ris gemäß Arti­kel 7 der Richt­li­nie 96/9/EG auf Daten­ban­ken, die Daten ent­hal­ten, die nicht in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, sofern die Schutz­an­for­de­run­gen gemäß Absatz 1 jenes Arti­kels erfüllt sind. (113) Damit den tech­ni­schen Aspek­ten von Daten­ver­ar­bei­tungs­dien­sten Rech­nung getra­gen wird, soll­te der Kom­mis­si­on die Befug­nis über­tra­gen wer­den, gemäß Arti­kel 290 AEUV Rechts­ak­te zur Ergän­zung die­ser Ver­ord­nung zu erlas­sen, um einen Über­wa­chungs­me­cha­nis­mus der von den Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten auf dem Markt ver­lang­ten Wech­sel­ent­gel­te ein­zu­füh­ren, und um die wesent­li­chen Anfor­de­run­gen im Hin­blick auf die Inter­ope­ra­bi­li­tät für Teil­neh­mer von Daten­räu­men, die ande­ren Teil­neh­mern an Daten­räu­men Daten oder Daten­dien­ste anbie­ten, wei­ter zu prä­zi­sie­ren. Es ist von beson­de­rer Bedeu­tung, dass die Kom­mis­si­on im Zuge ihrer Vor­be­rei­tungs­ar­beit ange­mes­se­ne Kon­sul­ta­tio­nen, auch auf der Ebe­ne von Sach­ver­stän­di­gen, durch­führt, die mit den Grund­sät­zen in Ein­klang ste­hen, die in der Inter­in­sti­tu­tio­nel­len Ver­ein­ba­rung vom 13. April 2016 über bes­se­re Recht­set­zung nie­der­ge­legt wur­den. Um ins­be­son­de­re für eine gleich­be­rech­tig­te Betei­li­gung an der Vor­be­rei­tung dele­gier­ter Rechts­ak­te zu sor­gen, erhal­ten das Euro­päi­sche Par­la­ment und der Rat alle Doku­men­te zur glei­chen Zeit wie die Sach­ver­stän­di­gen der Mit­glied­staa­ten, und ihre Sach­ver­stän­di­gen haben syste­ma­tisch Zugang zu den Sit­zun­gen der Sach­ver­stän­di­gen­grup­pen der Kom­mis­si­on, die mit der Vor­be­rei­tung der dele­gier­ten Rechts­ak­te befasst sind. (114) Zur Gewähr­lei­stung ein­heit­li­cher Bedin­gun­gen für die Durch­füh­rung die­ser Ver­ord­nung soll­ten der Kom­mis­si­on Durch­füh­rungs­be­fug­nis­se ein­ge­räumt wer­den bezüg­lich der Annah­me gemein­sa­mer Spe­zi­fi­ka­tio­nen zur Sicher­stel­lung der Inter­ope­ra­bi­li­tät der Daten, der Mecha­nis­men und Dien­sten für die Daten­wei­ter­ga­be und der gemein­sa­men euro­päi­schen Daten­räu­me, bezüg­lich gemein­sa­mer Spe­zi­fi­ka­tio­nen für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten und bezüg­lich gemein­sa­mer Spe­zi­fi­ka­tio­nen für die Inter­ope­ra­bi­li­tät intel­li­gen­ter Ver­trä­ge. Auch soll­ten der Kom­mis­si­on Durch­füh­rungs­be­fug­nis­se ein­ge­räumt wer­den bezüg­lich der Ver­öf­fent­li­chung der Bezug­nah­men auf har­mo­ni­sier­ten Nor­men und gemein­sa­men Spe­zi­fi­ka­tio­nen für die Inter­ope­ra­bi­li­tät von in der zen­tra­len Daten­bank der Uni­on für Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten. Die­se Befug­nis­se soll­ten im Ein­klang mit der Ver­ord­nung (EU) Nr. 182/2011 des Euro­päi­schen Par­la­ments und des Rates aus­ge­übt wer­den. (115) Die­se Ver­ord­nung soll­te Vor­schrif­ten unbe­rührt las­sen, die beson­de­ren Bedürf­nis­sen ein­zel­ner Sek­to­ren oder Berei­chen von öffent­li­chem Inter­es­se Rech­nung tra­gen. Sol­che Vor­schrif­ten kön­nen zusätz­li­che Anfor­de­run­gen an die tech­ni­schen Aspek­te des Daten­zu­gangs, wie Schnitt­stel­len für den Daten­zu­gang, oder an die Art und Wei­se umfas­sen, wie der Daten­zu­gang gewährt wer­den könn­te, z. B. direkt über das Pro­dukt oder über Daten­ver­mitt­lungs­dien­ste. Eben­so kön­nen sol­che Vor­schrif­ten Beschrän­kun­gen der Rech­te der Daten­in­ha­ber auf Zugang zu oder Nut­zung von Nut­zer­da­ten oder ande­re Aspek­te betref­fen, die über den Daten­zu­gang und die Daten­nut­zung hin­aus­ge­hen, wie z. B. Gover­nan­ce-Aspek­te oder Sicher­heits­an­for­de­run­gen, ein­schließ­lich Anfor­de­run­gen an die Cyber­si­cher­heit. Die­se Ver­ord­nung soll­te auch spe­zi­fi­sche­re Vor­schrif­ten im Zusam­men­hang mit der Ent­wick­lung gemein­sa­mer euro­päi­scher Daten­räu­me oder – vor­be­halt­lich der in die­ser Ver­ord­nung fest­ge­leg­ten Aus­nah­men – Uni­ons­recht oder natio­na­les Recht zur Zugäng­lich­ma­chung von Daten und zur Geneh­mi­gung ihrer Nut­zung für die Zwecke der wis­sen­schaft­li­chen For­schung unbe­rührt las­sen. (116) Die­se Ver­ord­nung soll­te die Anwen­dung der Wett­be­werbs­vor­schrif­ten, ins­be­son­de­re der Arti­kel 101 und 102 AEUV unbe­rührt las­sen. Die in die­ser Ver­ord­nung vor­ge­se­he­nen Vor­schrif­ten dür­fen nicht dazu ver­wen­det wer­den, den Wett­be­werb ent­ge­gen den Vor­schrif­ten des AEUV ein­zu­schrän­ken. (117) Damit sich die Teil­neh­mer, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, an die neu­en Vor­schrif­ten die­ser Ver­ord­nung anpas­sen und die not­wen­di­gen tech­ni­schen Vor­keh­run­gen tref­fen kön­nen, soll­ten die­se Vor­schrif­ten erst ab dem … [20 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] anwend­bar wer­den. (118) Der Euro­päi­sche Daten­schutz­be­auf­trag­te und der Euro­päi­sche Daten­schutz­aus­schuss wur­den gemäß Arti­kel 42 Absät­ze 1 und 2 der Ver­ord­nung (EU) 2018/1725 ange­hört und haben am 4. Mai 2022 ihre Stel­lung­nah­men abge­ge­ben. (119) Da die Zie­le die­ser Ver­ord­nung, näm­lich die Gewähr­lei­stung einer fai­ren Auf­tei­lung des Wer­tes von Daten auf die Akteu­re der Daten­wirt­schaft und För­de­rung eines fai­ren Zugangs zu Daten und ihrer Nut­zung, um zur Schaf­fung eines ech­ten Bin­nen­mark­tes für Daten bei­zu­tra­gen, von den Mit­glied­staa­ten nicht aus­rei­chend ver­wirk­licht wer­den kön­nen, son­dern viel­mehr wegen des Umfangs und der Wir­kun­gen der Maß­nah­me und der grenz­über­schrei­ten­den Nut­zung der Daten auf Uni­ons­ebe­ne bes­ser zu ver­wirk­li­chen sind, kann die Uni­on im Ein­klang mit dem in Arti­kel 5 des Ver­trags über die Euro­päi­sche Uni­on ver­an­ker­ten Sub­si­dia­ri­täts­prin­zip tätig wer­den. Ent­spre­chend dem in dem­sel­ben Arti­kel genann­ten Grund­satz der Ver­hält­nis­mä­ßig­keit geht die­se Ver­ord­nung nicht über das für die Ver­wirk­li­chung die­ser Zie­le erfor­der­li­che Maß hinaus – 

KAPITEL I ALLGEMEINE BESTIMMUNGEN

Arti­kel 1 Gegen­stand und Anwendungsbereich

(1) Die­se Ver­ord­nung ent­hält har­mo­ni­sier­te Vor­schrif­ten unter ande­rem über a) die Bereit­stel­lung von Pro­dukt­da­ten und ver­bun­de­nen Dienst­da­ten für den Nut­zer des ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes, b) die Bereit­stel­lung von Daten durch Daten­in­ha­ber für Daten­emp­fän­ger, c) die Bereit­stel­lung von Daten durch Daten­in­ha­ber für öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank und Ein­rich­tun­gen der Uni­on, soweit eine außer­ge­wöhn­li­che Not­wen­dig­keit der Nut­zung die­ser Daten zur Wahr­neh­mung einer spe­zi­fi­schen Auf­ga­be von öffent­li­chem Inter­es­se besteht, d) die Erleich­te­rung des Wech­sels zwi­schen Daten­ver­ar­bei­tungs­dien­sten, e) die Ein­füh­rung von Schutz­maß­nah­men gegen den unrecht­mä­ßi­gen Zugang Drit­ter zu nicht-per­so­nen­be­zo­ge­nen Daten und f) die Ent­wick­lung von Inter­ope­ra­bi­li­täts­nor­men für Daten, die abge­ru­fen, über­tra­gen und genutzt wer­den sol­len. (2) Die vor­lie­gen­de Ver­ord­nung erstreckt sich auf per­so­nen­be­zo­ge­ne und nicht-per­so­nen­be­zo­ge­ne Daten, ein­schließ­lich der fol­gen­den Arten von Daten, in den fol­gen­den Zusam­men­hän­gen: a) Kapi­tel II gilt für Daten, mit Aus­nah­me von Inhal­ten, die die Lei­stung, Nut­zung und Umge­bung von ver­netz­ten Pro­duk­ten und ver­bun­de­nen Dien­sten betref­fen; b) Kapi­tel III gilt für alle Daten des Pri­vat­sek­tors, die recht­li­chen Ver­pflich­tun­gen mit Blick auf die Daten­wei­ter­ga­be unter­lie­gen; c) Kapi­tel IV gilt für alle Daten des Pri­vat­sek­tors, die auf der Grund­la­ge von Ver­trä­gen zwi­schen Unter­neh­men abge­ru­fen und genutzt wer­den; d) Kapi­tel V gilt für alle Daten des Pri­vat­sek­tors mit Schwer­punkt auf nicht-per­so­nen­be­zo­ge­nen Daten; e) Kapi­tel VI gilt für alle von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten ver­ar­bei­te­ten Daten und Dien­ste; f) Kapi­tel VII gilt für alle nicht-per­so­nen­be­zo­ge­nen Daten, die in der Uni­on von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten gehal­ten wer­den. (3) Die­se Ver­ord­nung gilt für a) Her­stel­ler ver­netz­ter Pro­duk­te, die in der Uni­on in Ver­kehr gebracht wer­den, und Anbie­ter ver­bun­de­ner Dien­ste, unab­hän­gig vom Ort der Nie­der­las­sung die­ser Her­stel­ler oder Anbie­ter; b) die Nut­zer der unter Buch­sta­be a genann­ten ver­netz­ten Pro­duk­te oder ver­bun­de­nen Dien­ste in der Uni­on; c) Daten­in­ha­ber, unab­hän­gig vom Ort ihrer Nie­der­las­sung, die Daten­emp­fän­gern in der Uni­on Daten bereit­stel­len; d) Daten­emp­fän­ger in der Uni­on, denen Daten bereit­ge­stellt wer­den; e) öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank und Ein­rich­tun­gen der Uni­on, die von Daten­in­ha­bern ver­lan­gen, Daten bereit­zu­stel­len, soweit eine außer­ge­wöhn­li­che Not­wen­dig­keit der Nut­zung die­ser Daten zur Wahr­neh­mung einer spe­zi­el­len Auf­ga­be im öffent­li­chen Inter­es­se besteht, sowie die Daten­in­ha­ber, die sol­che Daten auf ein sol­ches Ver­lan­gen hin bereit­stel­len; f) Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten, unab­hän­gig vom Ort ihrer Nie­der­las­sung, die Kun­den in der Uni­on sol­che Dien­ste anbie­ten; g) Teil­neh­mer an Daten­räu­men und Anbie­ter von Anwen­dun­gen, die intel­li­gen­te Ver­trä­ge ver­wen­den, und Per­so­nen, deren gewerb­li­che, geschäft­li­che oder beruf­li­che Tätig­keit die Ein­füh­rung intel­li­gen­ter Ver­trä­ge für ande­re im Zusam­men­hang mit der Durch­füh­rung einer Ver­ein­ba­rung umfasst. (4) Wird in die­ser Ver­ord­nung auf ver­netz­te Pro­duk­te oder ver­bun­de­ne Dien­ste Bezug genom­men, so gilt, dass die­se Bezug­nah­men auch vir­tu­el­le Assi­sten­ten ein­schlie­ßen, soweit die­se mit einem ver­netz­ten Pro­dukt oder ver­bun­de­nen Dienst inter­agie­ren. (5) Die­se Ver­ord­nung gilt unbe­scha­det des Uni­ons­rechts und des natio­na­len Rechts über den Schutz per­so­nen­be­zo­ge­ner Daten, die Pri­vat­sphä­re, die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on und die Inte­gri­tät von End­ge­rä­ten, die für per­so­nen­be­zo­ge­ne Daten gel­ten, die im Zusam­men­hang mit den in der vor­lie­gen­den Ver­ord­nung fest­ge­leg­ten Rech­ten und Pflich­ten ver­ar­bei­tet wer­den, ins­be­son­de­re der Ver­ord­nun­gen (EU) 2016/679 und (EU) 2018/1725 und der Richt­li­nie 2002/58/EG, ein­schließ­lich der Befug­nis­se und Zustän­dig­kei­ten der Auf­sichts­be­hör­den und der Rech­te der betrof­fe­nen Per­so­nen. Soweit Nut­zer betrof­fe­ne Per­so­nen sind, ergän­zen die in Kapi­tel II die­ser Ver­ord­nung fest­ge­leg­ten Rech­te das Aus­kunfts­recht von betrof­fe­nen Per­so­nen und das Recht auf Daten­über­trag­bar­keit gemäß Arti­kel 15 bzw. Arti­kel 20 der Ver­ord­nung (EU) 2016/679. Im Fal­le eines Wider­spruchs zwi­schen der vor­lie­gen­den Ver­ord­nung und dem Uni­ons­recht in Bezug auf den Schutz per­so­nen­be­zo­ge­ner Daten bzw. der Pri­vat­sphä­re oder den im Ein­klang mit dem Uni­ons­recht erlas­se­nen natio­na­len Rechts­vor­schrif­ten haben das Uni­ons­recht oder das natio­na­le Recht zum Schutz per­so­nen­be­zo­ge­ner Daten bzw. der Pri­vat­sphä­re Vor­rang. (6) Die vor­lie­gen­de Ver­ord­nung gilt weder für frei­wil­li­ge Ver­ein­ba­run­gen über den Daten­aus­tausch zwi­schen pri­va­ten und öffent­li­chen Stel­len – ins­be­son­de­re frei­wil­li­ge Ver­ein­ba­run­gen über die Daten­wei­ter­ga­be –, noch greift sie ihnen vor. Die vor­lie­gen­de Ver­ord­nung berührt nicht die Rechts­ak­te der Uni­on und die natio­na­len Rechts­ak­te über die Daten­wei­ter­ga­be, den Daten­zu­gang und die Daten­nut­zung zum Zwecke der Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­streckung, oder für Zoll- und Steu­er­zwecke ins­be­son­de­re die Ver­ord­nun­gen (EU) 2021/784, (EU) 2022/2065 und (EU) 2023/1543 und die Richt­li­nie (EU) 2023/1544 oder die inter­na­tio­na­le Zusam­men­ar­beit in die­sem Bereich. Die vor­lie­gen­de Ver­ord­nung gilt nicht für die Daten­er­he­bung, die Daten­wei­ter­ga­be, die Daten­nut­zung oder den Daten­zu­gang gemäß der Ver­ord­nung (EU) 2015/847 und der Richt­li­nie (EU) 2015/849. Die vor­lie­gen­de Ver­ord­nung gilt nicht in den nicht unter das Uni­ons­recht fal­len­den Berei­chen und berührt kei­nes­falls die Zustän­dig­kei­ten der Mit­glied­staa­ten in Bezug auf die öffent­li­che Sicher­heit, die Ver­tei­di­gung oder die natio­na­le Sicher­heit, unab­hän­gig von der Art der Ein­rich­tung, die von den Mit­glied­staa­ten mit der Wahr­neh­mung von Auf­ga­ben im Zusam­men­hang mit die­sen Zustän­dig­kei­ten betraut wur­de, oder ihre Befug­nis, ande­re wesent­li­che staat­li­che Funk­tio­nen zu wah­ren, ein­schließ­lich der Gewähr­lei­stung der ter­ri­to­ria­len Unver­sehrt­heit des Staa­tes und der Auf­recht­erhal­tung der öffent­li­chen Ord­nung. Die vor­lie­gen­de Ver­ord­nung berührt nicht die Zustän­dig­kei­ten der Mit­glied­staa­ten in Bezug auf die Zoll- und Steu­er­ver­wal­tung oder die Gesund­heit und Sicher­heit der Bür­ger . (7) Mit der vor­lie­gen­den Ver­ord­nung wird der Selbst­re­gu­lie­rungs­an­satz der Ver­ord­nung (EU) 2018/1807 ergänzt, indem all­ge­mein gel­ten­de Ver­pflich­tun­gen in Bezug auf den Cloud-Wech­sel hin­zu­ge­fügt wer­den. (8) Die­se Ver­ord­nung berührt nicht die Rechts­ak­te der Uni­on und die natio­na­len Rechts­ak­te zur Gewähr­lei­stung des Schut­zes der Rech­te des gei­sti­gen Eigen­tums, ins­be­son­de­re die Richt­li­ni­en 2001/29/EG, 2004/48/EG und (EU) 2019/790. (9) Die vor­lie­gen­de Ver­ord­nung ergänzt, und berührt nicht, das Uni­ons­recht, mit dem die Inter­es­sen der Ver­brau­cher geför­dert und ein hohes Ver­brau­cher­schutz­ni­veau sicher­ge­stellt sowie die Gesund­heit, Sicher­heit und wirt­schaft­li­chen Inter­es­sen der Ver­brau­cher geschützt wer­den, ins­be­son­de­re die Richt­li­ni­en 93/13/EWG, 2005/29/EG und 2011/83/EU. (10) Die­se Ver­ord­nung steht dem Abschluss frei­wil­li­ger recht­mä­ßi­ger Ver­trä­ge über die Daten­wei­ter­ga­be – ein­schließ­lich auf der Grund­la­ge der Gegen­sei­tig­keit geschlos­se­ner Ver­trä­ge –, die den Anfor­de­run­gen die­ser Ver­ord­nung ent­spre­chen, nicht entgegen. 

Arti­kel 2 Begriffsbestimmungen

Für die Zwecke die­ser Ver­ord­nung bezeich­net der Aus­druck 1. „Daten“ jede digi­ta­le Dar­stel­lung von Hand­lun­gen, Tat­sa­chen oder Infor­ma­tio­nen sowie jede Zusam­men­stel­lung sol­cher Hand­lun­gen, Tat­sa­chen oder Infor­ma­tio­nen auch in Form von Ton‑, Bild- oder audio­vi­su­el­lem Mate­ri­al; 2. „Meta­da­ten“ eine struk­tu­rier­te Beschrei­bung der Inhal­te oder der Nut­zung von Daten, die das Auf­fin­den eben jener Daten bzw. deren Ver­wen­dung erleich­tert; 3. „per­so­nen­be­zo­ge­ne Daten“ per­so­nen­be­zo­ge­ne Daten im Sin­ne des Arti­kels 4 Num­mer 1 der Ver­ord­nung (EU) 2016/679; 4. „nicht-per­so­nen­be­zo­ge­ne Daten“ Daten, die kei­ne per­so­nen­be­zo­ge­nen Daten sind; 5. „ver­netz­tes Pro­dukt“ einen Gegen­stand, der Daten über sei­ne Nut­zung oder Umge­bung erlangt, gene­riert oder erhebt und der Pro­dukt­da­ten über einen elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dienst, eine phy­si­sche Ver­bin­dung oder einen gerä­te­in­ter­nen Zugang über­mit­teln kann und des­sen Haupt­funk­ti­on nicht die Spei­che­rung, Ver­ar­bei­tung oder Über­tra­gung von Daten im Namen einer ande­ren Par­tei – außer dem Nut­zer – ist; 6. „ver­bun­de­ner Dienst“ einen digi­ta­len Dienst, bei dem es sich nicht um einen elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dienst han­delt, – ein­schließ­lich Soft­ware –, der zum Zeit­punkt des Kaufs, der Mie­te oder des Lea­sings so mit dem Pro­dukt ver­bun­den ist, dass das ver­netz­te Pro­dukt ohne ihn eine oder meh­re­re sei­ner Funk­tio­nen nicht aus­füh­ren könn­te oder der anschlie­ßend vom Her­stel­ler oder einem Drit­ten mit dem Pro­dukt ver­bun­den wird, um die Funk­tio­nen des ver­netz­ten Pro­dukts zu ergän­zen, zu aktua­li­sie­ren oder anzu­pas­sen; 7. „Ver­ar­bei­tung“ jeden mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ten Vor­gang oder jede sol­che Vor­gangs­rei­he im Zusam­men­hang mit Daten oder Daten­sät­zen, wie etwa das Erhe­ben, das Erfas­sen, die Orga­ni­sa­ti­on, das Ord­nen, die Spei­che­rung, die Anpas­sung oder Ver­än­de­rung, der Abruf, das Abfra­gen, die Nut­zung, die Offen­le­gung durch Über­mitt­lung, Ver­brei­tung oder eine ande­re Form der Bereit­stel­lung, der Abgleich oder die Ver­knüp­fung, die Ein­schrän­kung, das Löschen oder die Ver­nich­tung; 8. „Daten­ver­ar­bei­tungs­dienst“ eine digi­ta­le Dienst­lei­stung, die einem Kun­den bereit­ge­stellt wird und einen flä­chen­decken­den und auf Abruf ver­füg­ba­ren Netz­zu­gang zu einem gemein­sam genutz­ten Pool kon­fi­gu­rier­ba­rer, ska­lier­ba­rer und ela­sti­scher Rechen­res­sour­cen zen­tra­li­sier­ter, ver­teil­ter oder hoch­gra­dig ver­teil­ter Art ermög­licht, die mit mini­ma­lem Ver­wal­tungs­auf­wand oder mini­ma­ler Inter­ak­ti­on des Dien­ste­an­bie­ters rasch bereit­ge­stellt und frei­ge­ge­ben wer­den kön­nen; 9. „glei­che Dienstart“ eine Rei­he von Daten­ver­ar­bei­tungs­dien­sten, die das­sel­be Haupt­ziel haben und das­sel­be Dienst­mo­dell für die Daten­ver­ar­bei­tung sowie die­sel­ben Haupt­funk­tio­nen auf­wei­sen; 10. „Daten­ver­mitt­lungs­dienst“ einen Daten­ver­mitt­lungs­dienst im Sin­ne von Arti­kel 2 Num­mer 11 der Ver­ord­nung (EU) 2022/868; 11. „betrof­fe­ne Per­son“ eine betrof­fe­ne Per­son gemäß Arti­kel 4 Num­mer 1 der Ver­ord­nung (EU) 2016/679; 12. „Nut­zer“ eine natür­li­che oder juri­sti­sche Per­son, die ein ver­netz­tes Pro­dukt besitzt oder der ver­trag­lich zeit­wei­li­ge Rech­te für die Nut­zung des ver­netz­ten Pro­dukts über­tra­gen wur­den oder die ver­bun­de­nen Dien­ste in Anspruch nimmt; 13. „Daten­in­ha­ber“ eine natür­li­che oder juri­sti­sche Per­son, die nach die­ser Ver­ord­nung, nach gel­ten­dem Uni­ons­recht oder nach natio­na­len Rechts­vor­schrif­ten zur Umset­zung des Uni­ons­rechts berech­tigt oder ver­pflich­tet ist, Daten – soweit ver­trag­lich ver­ein­bart, auch Pro­dukt­da­ten oder ver­bun­de­ne Dienst­da­ten – zu nut­zen und bereit­zu­stel­len, die sie wäh­rend der Erbrin­gung eines ver­bun­de­nen Dien­stes abge­ru­fen oder gene­riert hat; 16. „Daten­emp­fän­ger“ eine natür­li­che oder juri­sti­sche Per­son, die zu Zwecken inner­halb ihrer gewerb­li­chen, geschäft­li­chen, hand­werk­li­chen oder beruf­li­chen Tätig­keit han­delt, ohne Nut­zer eines ver­netz­ten Pro­duk­tes oder ver­bun­de­nen Dien­stes zu sein, und dem vom Daten­in­ha­ber Daten bereit­ge­stellt wer­den, ein­schließ­lich eines Drit­ten, dem der Daten­in­ha­ber auf Ver­lan­gen des Nut­zers oder im Ein­klang mit einer recht­li­chen Ver­pflich­tung aus ande­rem Uni­ons­recht oder aus natio­na­len Rechts­vor­schrif­ten, die im Ein­klang mit Uni­ons­recht erlas­sen wur­den, Daten bereit­stellt; 15. „Pro­dukt­da­ten“ Daten, die durch die Nut­zung eines ver­netz­ten Pro­dukts gene­riert wer­den und die der Her­stel­ler so kon­zi­piert hat, dass sie über einen elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­dienst, eine phy­si­sche Ver­bin­dung oder einen gerä­te­in­ter­nen Zugang von einem Nut­zer, Daten­in­ha­ber oder Drit­ten – gege­be­nen­falls ein­schließ­lich des Her­stel­lers – abge­ru­fen wer­den kön­nen; 16. „ver­bun­de­ne Dienst­da­ten“ Daten, die die Digi­ta­li­sie­rung von Nut­zer­hand­lun­gen oder Vor­gän­gen im Zusam­men­hang mit dem ver­netz­ten Pro­dukt dar­stel­len und vom Nut­zer absicht­lich auf­ge­zeich­net oder als Neben­pro­dukt der Hand­lung des Nut­zers wäh­rend der Bereit­stel­lung eines ver­bun­de­nen Dien­stes durch den Anbie­ter gene­riert wer­den; 17. „ohne Wei­te­res ver­füg­ba­re Daten“ Pro­dukt­da­ten und ver­bun­de­ne Dienst­da­ten, die ein Daten­in­ha­ber ohne unver­hält­nis­mä­ßi­gen Auf­wand recht­mä­ßig von dem ver­netz­ten Pro­dukt oder ver­bun­de­nen Dienst erhält oder erhal­ten kann, wobei über eine ein­fa­che Bear­bei­tung hin­aus­ge­gan­gen wird; 18. „Geschäfts­ge­heim­nis“ ein Geschäfts­ge­heim­nis im Sin­ne von Arti­kel 2 Num­mer 1 der Richt­li­nie (EU) 2016/943; 19. „Inha­ber eines Geschäfts­ge­heim­nis­ses“ den Inha­ber eines Geschäfts­ge­heim­nis­ses im Sin­ne von Arti­kel 2 Num­mer 2 der Richt­li­nie (EU) 2016/943; 20. „Pro­fil­ing“ Pro­fil­ing im Sin­ne des Arti­kels 4 Absatz 4 der Ver­ord­nung (EU) 2016/679; 21. „Bereit­stel­lung auf dem Markt“ jede ent­gelt­li­che oder unent­gelt­li­che Abga­be eines ver­netz­ten Pro­dukts zum Ver­trieb, Ver­brauch oder zur Ver­wen­dung auf dem Uni­ons­markt im Rah­men einer Geschäfts­tä­tig­keit; 22. „Inver­kehr­brin­gen“ die erst­ma­li­ge Bereit­stel­lung eines ver­netz­ten Pro­dukts auf dem Uni­ons­markt; 23. „Ver­brau­cher“ jede natür­li­che Per­son, die zu Zwecken han­delt, die außer­halb ihrer gewerb­li­chen, geschäft­li­chen, hand­werk­li­chen oder beruf­li­chen Tätig­keit lie­gen; 24. „Unter­neh­men“ eine natür­li­che oder juri­sti­sche Per­son, die in Bezug auf von die­ser Ver­ord­nung erfass­te Ver­trä­ge und Vor­ge­hens­wei­sen zu Zwecken im Zusam­men­hang mit ihrer gewerb­li­chen, geschäft­li­chen, hand­werk­li­chen oder beruf­li­chen Tätig­keit han­delt; 25. „Klein­un­ter­neh­men” ein Klein­un­ter­neh­men im Sin­ne des Arti­kels 2 Absatz 2 des Anhangs der Emp­feh­lung 2003/361/EG; 26. „Kleinst­un­ter­neh­men“ ein Kleinst­un­ter­neh­men im Sin­ne des Arti­kels 2 Absatz 3 des Anhangs der Emp­feh­lung 2003/361/EG; 27. „Ein­rich­tun­gen der Uni­on“ die Ein­rich­tun­gen, Stel­len und Agen­tu­ren der Uni­on, die gemäß Rechts­ak­ten ein­ge­rich­tet wur­den, die auf der Grund­la­ge des Ver­trags über die Euro­päi­sche Uni­on, des AEUV oder des Ver­trags zur Grün­dung der Euro­päi­schen Atom­ge­mein­schaft ange­nom­men wur­den; 28. „öffent­li­che Stel­le“ die natio­na­len, regio­na­len und loka­len Behör­den, Kör­per­schaf­ten und Ein­rich­tun­gen des öffent­li­chen Rechts der Mit­glied­staa­ten oder Ver­bän­de, die aus einer oder meh­re­ren die­ser Behör­den, Kör­per­schaf­ten oder Ein­rich­tun­gen bestehen; 29. „öffent­li­cher Not­stand“ eine zeit­lich begrenz­te Aus­nah­me­si­tua­ti­on – wie etwa Not­fäl­le im Bereich der öffent­li­chen Gesund­heit, Not­fäl­le infol­ge von Natur­ka­ta­stro­phen sowie von Men­schen ver­ur­sach­te Kata­stro­phen grö­ße­ren Aus­ma­ßes, ein­schließ­lich schwe­rer Cyber­si­cher­heits­vor­fäl­le –, die sich nega­tiv auf die Bevöl­ke­rung der Uni­on oder eines Mit­glied­staats bzw. eines Teils davon aus­wirkt, das Risi­ko schwer­wie­gen­der und da uer­haf­ter Fol­gen für die Lebens­be­din­gun­gen, die wirt­schaft­li­che Sta­bi­li­tät oder die finan­zi­el­le Sta­bi­li­tät oder die Gefahr einer erheb­li­chen und unmit­tel­ba­ren Beein­träch­ti­gung wirt­schaft­li­cher Ver­mö­gens­wer­te in der Uni­on oder in dem betrof­fe­nen Mit­glied­staat birgt und die nach den ein­schlä­gi­gen Ver­fah­ren des Uni­ons­rechts oder des natio­na­len Rechts fest­ge­stellt und amt­lich aus­ge­ru­fen wur­de; 30. „Kun­de“ eine natür­li­che oder juri­sti­sche Per­son, die mit einem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten eine ver­trag­li­che Bezie­hung ein­ge­gan­gen ist, um einen oder meh­re­re Daten­ver­ar­bei­tungs­dien­ste in Anspruch zu neh­men; 31. „vir­tu­el­le Assi­sten­ten“ Soft­ware, die Auf­trä­ge, Auf­ga­ben oder Fra­gen ver­ar­bei­ten kann, auch auf­grund von Ein­ga­ben in Ton- und Schrift­form, mit Gesten oder Bewe­gun­gen, und die auf der Grund­la­ge die­ser Auf­trä­ge, Auf­ga­ben oder Fra­gen den Zugang zu ande­ren Dien­sten gewährt oder die Funk­tio­nen von ver­netz­ten Pro­duk­ten steu­ert; 32. „digi­ta­le Ver­mö­gens­wer­te“ Ele­men­te in digi­ta­ler Form – ein­schließ­lich Anwen­dun­gen –, für die der Kun­de ein Nut­zungs­recht hat, unab­hän­gig von der ver­trag­li­chen Bezie­hung mit dem Daten­ver­ar­bei­tungs­dienst, den er wech­seln möch­te; 33. „IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten“ IKT-Infra­struk­tur und Rechen­res­sour­cen, die im Eigen­tum des Kun­den ste­hen oder vom Kun­den gemie­tet oder geleast wer­den und die sich im Rechen­zen­trum des Kun­den befin­den und von ihm oder einem Drit­ten betrie­ben wird bzw. wer­den; 34. „Wech­sel“ den Pro­zess, an dem ein Quel­len­an­bie­ter von Daten­ver­ar­bei­tungs­dien­sten, ein Kun­de eines Daten­ver­ar­bei­tungs­dien­stes und gege­be­nen­falls ein über­neh­men­der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten betei­ligt sind und bei dem der Kun­de eines Daten­ver­ar­bei­tungs­dien­stes von der Nut­zung eines Daten­ver­ar­bei­tungs­dien­stes zur Nut­zung eines ande­ren Daten­ver­ar­bei­tungs­dien­stes der glei­chen Dienstart oder eines ande­ren Dien­stes, der von einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ange­bo­ten wird oder der einem einer IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten ange­bo­ten wird, auch durch Extrak­ti­on, Umwand­lung und Hoch­la­den der Daten, wech­selt; 35. „Daten­ex­trak­ti­ons­ent­gel­te“ Daten­über­tra­gungs­ent­gel­te, die den Kun­den dafür in Rech­nung gestellt wer­den, dass ihre Daten über das Netz aus der IKT-Infra­struk­tur eines Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten in die Syste­me ande­rer Anbie­ter oder in IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten extra­hiert wer­den; 36. „Wech­sel­ent­gel­te“ ande­re Ent­gel­te als Stan­dard­dienst­ent­gel­te oder Sank­tio­nen bei vor­zei­ti­ger Kün­di­gung, die ein Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten bei einem Kun­den für die Hand­lun­gen erhebt, die in die­ser Ver­ord­nung für den Wech­sel zu den Syste­men eines ande­ren Anbie­ters oder IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten vor­ge­schrie­ben sind, ein­schließ­lich Daten­ex­trak­ti­ons­ent­gel­ten; 37. „Funk­ti­ons­äqui­va­lenz“ die Wie­der­her­stel­lung – auf der Grund­la­ge der expor­tier­ba­ren Daten und digi­ta­len Ver­mö­gens­wer­te des Kun­den – eines Min­dest­ma­ßes an Funk­tio­na­li­tät in der Umge­bung eines neu­en Daten­ver­ar­bei­tungs­dien­stes der glei­chen Dienstart nach dem Wech­sel, wenn der über­neh­men­de Daten­ver­ar­bei­tungs­dienst als Reak­ti­on auf die­sel­be Ein­ga­be für gemein­sa­me Funk­tio­nen, die dem Kun­den im Rah­men des Ver­trags bereit­ge­stellt wer­den, ein mate­ri­ell ver­gleich­ba­res Ergeb­nis erbringt; 38. „expor­tier­ba­re Daten“ für die Zwecke von den Arti­keln 23 bis 31 und Arti­kel 35 die Ein­ga­be- und Aus­ga­be­da­ten ein­schließ­lich Meta­da­ten, die unmit­tel­bar oder mit­tel­bar durch die Nut­zung des Daten­ver­ar­bei­tungs­dien­stes durch den Kun­den oder gemein­sam gene­riert wer­den, mit Aus­nah­me der Ver­mö­gens­wer­te oder Daten eines Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten oder Drit­ter, die durch Rech­te des gei­sti­gen Eigen­tums geschützt sind oder ein Geschäfts­ge­heim­nis dar­stel­len; 39. „intel­li­gen­ter Ver­trag“ ein Com­pu­ter­pro­gramm, das für die auto­ma­ti­sier­te Aus­füh­rung einer Ver­ein­ba­rung oder eines Teils davon ver­wen­det wird, wobei eine Abfol­ge elek­tro­ni­scher Daten­sät­ze ver­wen­det wird und die Inte­gri­tät die­ser Daten­sät­ze sowie die Rich­tig­keit ihrer chro­no­lo­gi­schen Rei­hen­fol­ge gewähr­lei­stet wer­den; 40. „Inter­ope­ra­bi­li­tät“ die Fähig­keit von zwei oder mehr Daten­räu­men oder Kom­mu­ni­ka­ti­ons­net­zen, Syste­men, ver­netz­ten Pro­duk­ten, Anwen­dun­gen, Daten­ver­ar­bei­tungs­dien­sten oder Kom­po­nen­ten, Daten aus­zu­tau­schen und zu nut­zen, um ihre Funk­tio­nen aus­zu­füh­ren; 41. „offe­ne Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen“ eine tech­ni­sche Spe­zi­fi­ka­ti­on im Bereich der Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie, die lei­stungs­be­zo­gen dar­auf aus­ge­rich­tet sind, die Inter­ope­ra­bi­li­tät zwi­schen Daten­ver­ar­bei­tungs­dien­sten her­zu­stel­len; 42. „gemein­sa­me Spe­zi­fi­ka­tio­nen“ ein Doku­ment, bei dem es sich nicht um eine Norm han­delt und das tech­ni­sche Lösun­gen ent­hält, die es ermög­li­chen, bestimm­te Anfor­de­run­gen und Pflich­ten, die im Rah­men die­ser Ver­ord­nung fest­ge­legt wor­den sind, zu erfül­len; 43. „har­mo­ni­sier­te Norm“ eine har­mo­ni­sier­te Norm im Sin­ne des Arti­kels 2 Num­mer 1 Buch­sta­be c der Ver­ord­nung (EU) Nr. 1025/2012.

KAPITEL II DATENWEITERGABE VON UNTERNEHMEN AN VERBRAUCHER UND ZWISCHEN UNTERNEHMEN

Arti­kel 3 Pflicht der Zugäng­lich­ma­chung von Pro­dukt­da­ten und ver­bun­de­nen Dienst­da­ten für den Nutzer

(1) Ver­netz­te Pro­duk­te wer­den so kon­zi­piert und her­ge­stellt und ver­bun­de­ne Dien­ste wer­den so kon­zi­piert und erbracht, dass die Pro­dukt­da­ten und ver­bun­de­nen Dienst­da­ten – ein­schließ­lich der für die Aus­le­gung und Nut­zung die­ser Daten erfor­der­li­chen rele­van­ten Meta­da­ten – stan­dard­mä­ßig für den Nut­zer ein­fach, sicher, unent­gelt­lich in einem umfas­sen­den, struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat und, soweit rele­vant und tech­nisch durch­führ­bar, direkt zugäng­lich sind. (2) Vor Abschluss eines Kauf‑, Miet- oder Lea­sing­ver­trags für ein ver­netz­tes Pro­dukt wer­den dem Nut­zer vom Ver­käu­fer, Ver­mie­ter oder Lea­sing­ge­ber – wobei es sich auch um den Her­stel­ler han­deln kann – min­de­stens fol­gen­de Infor­ma­tio­nen in kla­rer und ver­ständ­li­cher Art und Wei­se bereit­ge­stellt: a) die Art, das For­mat und der geschätz­te Umfang der Pro­dukt­da­ten, die das ver­netz­te Pro­dukt gene­rie­ren kann; b) die Anga­be, ob das ver­netz­te Pro­dukt in der Lage ist, Daten kon­ti­nu­ier­lich und in Echt­zeit zu gene­rie­ren; c) die Anga­be, ob das ver­netz­te Pro­dukt in der Lage ist, Daten auf einem Gerät oder einem ent­fern­ten Ser­ver zu spei­chern, gege­be­nen­falls ein­schließ­lich der vor­ge­se­he­nen Spei­che­rungs­dau­er; d) die Anga­be, wie der Nut­zer auf die Daten zugrei­fen, sie abru­fen oder gege­be­nen­falls löschen kann, ein­schließ­lich der tech­ni­schen Mit­tel hier­für sowie die betref­fen­den Nut­zungs­be­din­gun­gen und die betref­fen­de Dienst­qua­li­tät. (3) Vor Abschluss eines Ver­trags für die Erbrin­gung eines ver­bun­de­nen Dien­stes stellt der Anbie­ter eines sol­chen ver­bun­de­nen Dien­stes dem Nut­zer min­de­stens fol­gen­de Infor­ma­tio­nen in einer kla­ren und ver­ständ­li­chen Art und Wei­se bereit: a) die Art, der geschätz­te Umfang und die Häu­fig­keit der Erhe­bung der Pro­dukt­da­ten, die der poten­zi­el­le Daten­in­ha­ber vor­aus­sicht­lich erhal­ten wird, und gege­be­nen­falls die Moda­li­tä­ten, nach denen der Nut­zer auf die­se Daten zugrei­fen oder sie abru­fen kann, ein­schließ­lich der Moda­li­tä­ten des künf­ti­gen Daten­in­ha­bers in Bezug auf die Spei­che­rung und der Dau­er der Auf­be­wah­rung von Daten; b) die Art und der geschätz­te Umfang der zu gene­rie­ren­den ver­bun­de­nen Dienst­da­ten sowie die Moda­li­tä­ten, nach denen der Nut­zer auf die­se Daten zugrei­fen oder sie abru­fen kann, ein­schließ­lich der Moda­li­tä­ten des künf­ti­gen Daten­in­ha­bers in Bezug auf die Spei­che­rung und der Dau­er der Auf­be­wah­rung von Daten; c) die Anga­be, ob der poten­zi­el­le Daten­in­ha­ber erwar­tet, ohne Wei­te­res ver­füg­ba­re Daten selbst zu ver­wen­den, und die Zwecke, zu denen die­se Daten ver­wen­det wer­den sol­len, und ob er beab­sich­tigt, einem oder meh­re­ren Drit­ten zu gestat­ten, die Daten zu mit dem Nut­zer ver­ein­bar­ten Zwecken zu ver­wen­den; d) die Iden­ti­tät des poten­zi­el­len Daten­in­ha­bers, z. B. sein Han­dels­na­me und die Anschrift des Ortes, an dem er nie­der­ge­las­sen ist, sowie gege­be­nen­falls ande­rer Daten­ver­ar­bei­tungs­par­tei­en; e) die Kom­mu­ni­ka­ti­ons­mit­tel, über die der poten­zi­el­le Daten­in­ha­ber schnell kon­tak­tiert und effi­zi­ent mit ihm kom­mu­ni­ziert wer­den kann; f) die Anga­be, wie der Nut­zer dar­um ersu­chen kann, dass die Daten an einen Drit­ten wei­ter­ge­ge­ben wer­den, und wie er die Daten­wei­ter­ga­be gege­be­nen­falls been­den kann; g) das Recht des Nut­zers, bei der in Arti­kel 37 genann­ten zustän­di­gen Behör­de Beschwer­de wegen eines Ver­sto­ßes gegen eine der Bestim­mun­gen die­ses Kapi­tels ein­zu­le­gen; h) die Anga­be, ob ein poten­zi­el­ler Daten­in­ha­ber Inha­ber von Geschäfts­ge­heim­nis­sen ist, die in den Daten ent­hal­ten sind, die über das ver­netz­te Pro­dukt zugäng­lich sind oder die bei der Erbrin­gung eines ver­bun­de­nen Dien­stes gene­riert wer­den, und, wenn der poten­zi­el­le Daten­in­ha­ber nicht Inha­ber von Geschäfts­ge­heim­nis­sen ist, die Iden­ti­tät des Inha­bers des Geschäfts­ge­heim­nis­ses; i)die Dau­er des Ver­trags zwi­schen dem Nut­zer und dem poten­zi­el­len Daten­in­ha­ber sowie die Aus­ge­stal­tung für die vor­zei­ti­ge Been­di­gung eines sol­chen Vertrags. 

Arti­kel 4 Rech­te und Pflich­ten von Nut­zern und Daten­in­ha­bern in Bezug auf den Zugang zu sowie die Nut­zung und die Bereit­stel­lung von Pro­dukt­da­ten und ver­bun­de­nen Dienstdaten

(1) Soweit der Nut­zer nicht direkt vom ver­netz­ten Pro­dukt oder ver­bun­de­nen Dienst aus auf die Daten zugrei­fen kann, stel­len die Daten­in­ha­ber dem Nut­zer ohne Wei­te­res ver­füg­ba­re Daten ein­schließ­lich der zur Aus­le­gung und Nut­zung der Daten erfor­der­li­chen Meta­da­ten unver­züg­lich, ein­fach, sicher, unent­gelt­lich, in einem umfas­sen­den, gän­gi­gen und maschi­nen­les­ba­ren For­mat und – falls rele­vant und tech­nisch durch­führ­bar – in der glei­chen Qua­li­tät wie für den Daten­in­ha­ber kon­ti­nu­ier­lich und in Echt­zeit bereit. Dies geschieht auf ein­fa­ches Ver­lan­gen auf elek­tro­ni­schem Wege, soweit dies tech­nisch durch­führ­bar ist. (2) Nut­zer und Daten­in­ha­ber kön­nen den Zugang zu sowie die Nut­zung oder die erneu­te Wei­ter­ga­be von Daten ver­trag­lich beschrän­ken, wenn eine sol­che Ver­ar­bei­tung die im Uni­ons­recht oder im natio­na­len Recht fest­ge­leg­ten Sicher­heits­an­for­de­run­gen des ver­netz­ten Pro­dukts beein­träch­ti­gen und damit zu schwer­wie­gen­den nach­tei­li­gen Aus­wir­kun­gen auf die Gesund­heit oder die Sicher­heit von natür­li­chen Per­so­nen füh­ren könn­te. Die für die betref­fen­den Sek­to­ren zustän­di­gen Behör­den kön­nen den Nut­zern und Daten­in­ha­bern in die­sem Zusam­men­hang tech­ni­sches Fach­wis­sen bereit­stel­len. Ver­wei­gert der Daten­in­ha­ber die Wei­ter­ga­be von Daten gemäß die­sem Arti­kel, so teilt er dies der gemäß Arti­kel 37 benann­ten zustän­di­gen Behör­de mit. (3) Unbe­scha­det des Rechts des Nut­zers, jeder­zeit vor einem Gericht eines Mit­glied­staats Rechts­mit­tel ein­zu­le­gen, kann der Nut­zer im Zusam­men­hang mit einer Strei­tig­keit mit dem Daten­in­ha­ber in Bezug auf die in Absatz 2 genann­ten ver­trag­li­chen Beschrän­kun­gen oder Ver­bo­te a) gemäß Arti­kel 37 Absatz 5 Buch­sta­be b eine Beschwer­de bei der zustän­di­gen Behör­de ein­le­gen oder b) mit dem Daten­in­ha­ber ver­ein­ba­ren, gemäß Arti­kel 10 Absatz 1 eine Streit­bei­le­gungs­stel­le mit der Ange­le­gen­heit zu befas­sen. (4) Die Daten­in­ha­ber dür­fen die Aus­übung der Wahl­mög­lich­kei­ten oder Rech­te durch den Nut­zer nach die­sem Arti­kel nicht unan­ge­mes­sen erschwe­ren, auch nicht dadurch, dass sie dem Nut­zer in nicht neu­tra­ler Wei­se Wahl­mög­lich­kei­ten anbie­ten oder die Auto­no­mie, die Ent­schei­dungs­frei­heit oder die Wahl­frei­heit des Nut­zers durch die Struk­tur, die Gestal­tung, die Funk­ti­on oder die Funk­ti­ons­wei­se einer digi­ta­len Benut­zer­schnitt­stel­le oder eines Teils davon unter­lau­fen oder beein­träch­ti­gen. (5) Um zu über­prü­fen, ob eine natür­li­che oder juri­sti­sche Per­son als Nut­zer für die Zwecke von Absatz 1 ein­zu­stu­fen ist, ver­langt der Daten­in­ha­ber von die­ser Per­son kei­ne Infor­ma­tio­nen, die über das erfor­der­li­che Maß hin­aus­ge­hen . Daten­in­ha­ber bewah­ren kei­ne Infor­ma­tio­nen über den Zugang des Nut­zers zu den ver­lang­ten Daten – ins­be­son­de­re kei­ne Pro­to­koll­da­ten – auf, die über das hin­aus­ge­hen, was für die ord­nungs­ge­mä­ße Aus­füh­rung des Zugangs­ver­lan­gens des Nut­zers und für die Sicher­heit und Pfle­ge der Daten­in­fra­struk­tur erfor­der­lich ist. (6) Geschäfts­ge­heim­nis­se wer­den gewahrt und nur offen­ge­legt, wenn vom Daten­in­ha­ber und vom Nut­zer vor der Offen­le­gung alle Maß­nah­men getrof­fen wor­den sind, die erfor­der­lich sind, um die Ver­trau­lich­keit der Geschäfts­ge­heim­nis­se, ins­be­son­de­re gegen­über Drit­ten, zu wah­ren. Der Daten­in­ha­ber oder, wenn sie nicht die­sel­be Per­son sind, der Inha­ber des Geschäfts­ge­heim­nis­ses ermit­telt, auch in den rele­van­ten Meta­da­ten, die als Geschäfts­ge­heim­nis­se geschütz­ten Daten und ver­ein­bart mit dem Nut­zer ange­mes­se­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die erfor­der­lich sind, um die Ver­trau­lich­keit der wei­ter­ge­ge­be­nen Daten, ins­be­son­de­re gegen­über Drit­ten, zu wah­ren; dies gilt etwa für Muster­ver­trags­klau­seln, Ver­trau­lich­keits­ver­ein­ba­run­gen, stren­ge Zugangs­pro­to­kol­le, tech­ni­sche Nor­men und die Anwen­dung von Ver­hal­tens­ko­di­zes. (7) Wenn kei­ne Eini­gung über die in Absatz 6 genann­ten erfor­der­li­chen Maß­nah­men erzielt wird oder wenn vom Nut­zer die gemäß Absatz 6 ver­ein­bar­ten Maß­nah­men nicht umge­setzt wer­den oder die Ver­trau­lich­keit der Geschäfts­ge­heim­nis­se ver­letzt wird, kann der Daten­in­ha­ber die Wei­ter­ga­be von Daten, die als Geschäfts­ge­heim­nis­se ein­ge­stuft wur­den, ver­wei­gern oder gege­be­nen­falls aus­set­zen. Die Ent­schei­dung des Daten­in­ha­bers ist ord­nungs­ge­mäß zu begrün­den und dem Nut­zer unver­züg­lich schrift­lich mit­zu­tei­len. In sol­chen Fäl­len teilt der Daten­in­ha­ber der gemäß Arti­kel 37 benann­ten zustän­di­gen Behör­de mit, dass er die Wei­ter­ga­be von Daten ver­wei­gert oder aus­ge­setzt hat, und gibt an, wel­che Maß­nah­men nicht ver­ein­bart oder umge­setzt wur­den und bei wel­chen Geschäfts­ge­heim­nis­sen die Ver­trau­lich­keit unter­gra­ben wur­de. (8) Wenn unter außer­ge­wöhn­li­chen Umstän­den der Daten­in­ha­ber, der Inha­ber eines Geschäfts­ge­heim­nis­ses ist, nach­wei­sen kann, dass er trotz der vom Nut­zer gemäß Absatz 6 des vor­lie­gen­den Arti­kels getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men mit hoher Wahr­schein­lich­keit einen schwe­ren wirt­schaft­li­chen Scha­den durch die Offen­le­gung von Geschäfts­ge­heim­nis­sen erlei­den wird, kann er ein Daten­zu­gangs­ver­lan­gen für die betref­fen­den spe­zi­el­len Daten im Ein­zel­fall ableh­nen. Die­ser Nach­weis ist auf der Grund­la­ge objek­ti­ver Fak­ten, ins­be­son­de­re der Durch­setz­bar­keit des Schut­zes von Geschäfts­ge­heim­nis­sen in Dritt­län­dern, der Art und des Ver­trau­lich­keits­grads der ver­lang­ten Daten sowie der Ein­zig­ar­tig­keit und Neu­ar­tig­keit des ver­netz­ten Pro­dukts hin­rei­chend zu begrün­den und dem Nut­zer unver­züg­lich schrift­lich vor­zu­le­gen. Ver­wei­gert der Daten­in­ha­ber die Wei­ter­ga­be von Daten gemäß vor­lie­gen­dem Absatz, so teilt er dies der gemäß Arti­kel 37 benann­ten zustän­di­gen Behör­de mit. (9) Unbe­scha­det des Rechts eines Nut­zers, jeder­zeit vor einem Gericht eines Mit­glied­staats Rechts­mit­tel ein­zu­le­gen, kann die Ent­schei­dung eines Daten­in­ha­bers, die Wei­ter­ga­be von Daten gemäß den Absät­zen 7 und 8 abzu­leh­nen, zu ver­wei­gern oder aus­zu­set­zen, von einem Nut­zer ange­foch­ten wer­den, indem er a) gemäß Arti­kel 37 Absatz 5 Buch­sta­be b eine Beschwer­de bei der zustän­di­gen Behör­de ein­reicht, die unver­züg­lich ent­schei­det, ob und unter wel­chen Bedin­gun­gen die Wei­ter­ga­be der Daten beginnt oder wie­der auf­ge­nom­men wird, oder b) mit dem Daten­in­ha­ber ver­ein­bart, gemäß Arti­kel 10 Absatz 1 eine Streit­bei­le­gungs­stel­le mit der Ange­le­gen­heit zu befas­sen. (10) Der Nut­zer darf die auf­grund eines Ver­lan­gens nach Absatz 1 erlang­ten Daten weder zur Ent­wick­lung eines ver­netz­ten Pro­dukts nut­zen, das mit dem ver­netz­ten Pro­dukt, von dem die Daten stam­men, im Wett­be­werb steht, noch darf er die­se Daten mit die­ser Absicht an einen Drit­ten wei­ter­ge­ben oder nut­zen, um Ein­blicke in die wirt­schaft­li­che Lage, die Ver­mö­gens­wer­te und die Pro­duk­ti­ons­me­tho­den des Her­stel­lers oder gege­be­nen­falls des Daten­in­ha­bers zu erlan­gen. (11) Der Nut­zer darf kei­ne Zwangs­mit­tel ein­set­zen oder Lücken in der zum Schutz der Daten bestehen­den tech­ni­schen Infra­struk­tur eines Daten­in­ha­bers aus­nut­zen, um Zugang zu Daten zu erlan­gen. (12) Han­delt es sich bei dem Nut­zer nicht um die betrof­fe­ne Per­son, deren per­so­nen­be­zo­ge­ne Daten ver­langt wer­den, so darf der Daten­in­ha­ber per­so­nen­be­zo­ge­ne Daten, die bei der Nut­zung eines ver­netz­ten Pro­duk­tes oder ver­bun­de­nen Dien­stes gene­riert wer­den, dem Nut­zer nur dann bereit­stel­len, wenn es für die Ver­ar­bei­tung eine gül­ti­ge Rechts­grund­la­ge gemäß Arti­kel 6 der Ver­ord­nung (EU) 2016/679 gibt und gege­be­nen­falls die Bedin­gun­gen des Arti­kels 9 jener Ver­ord­nung sowie des Arti­kels 5 Absatz 3 der Richt­li­nie (EU) 2002/58 erfüllt sind. (13) Der Daten­in­ha­ber darf ohne Wei­te­res ver­füg­ba­re Daten, bei denen es sich um nicht-per­so­nen­be­zo­ge­ne Daten han­delt, nur auf der Grund­la­ge eines Ver­trags mit dem Nut­zer nut­zen. Der Daten­in­ha­ber darf sol­che Daten nicht ver­wen­den, um dar­aus Ein­blicke in die wirt­schaft­li­che Lage, Ver­mö­gens­wer­te und Pro­duk­ti­ons­me­tho­den des Nut­zers oder in die Nut­zung durch den Nut­zer auf jeg­li­che ande­re Art, die die gewerb­li­che Posi­ti­on die­ses Nut­zers auf Märk­ten, auf denen die­ser tätig ist, unter­gra­ben könn­te, zu erlan­gen. (14) Daten­in­ha­ber dür­fen nicht-per­so­nen­be­zo­ge­ne Pro­dukt­da­ten Drit­ten zu kei­nen ande­ren kom­mer­zi­el­len oder nicht­kom­mer­zi­el­len Zwecken als zur Erfül­lung ihres Ver­trags mit dem Nut­zer bereit­stel­len. Gege­be­nen­falls wer­den Drit­te von Daten­in­ha­bern ver­trag­lich ver­pflich­tet, die von ihnen erhal­te­nen Daten nicht erneut weiterzugeben.

Arti­kel 5 Recht des Nut­zers auf Wei­ter­ga­be von Daten an Dritte

(1) Auf Ver­lan­gen eines Nut­zers oder einer im Namen eines Nut­zers han­deln­den Par­tei stellt der Daten­in­ha­ber einem Drit­ten ohne Wei­te­res ver­füg­ba­re Daten sowie die für die Aus­le­gung und Nut­zung die­ser Daten erfor­der­li­chen Meta­da­ten unver­züg­lich, für den Nut­zer unent­gelt­lich, in der­sel­ben Qua­li­tät, die dem Daten­in­ha­ber zur Ver­fü­gung steht, ein­fach, sicher, für den Nut­zer unent­gelt­lich, in einem umfas­sen­den, struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat und, soweit rele­vant und tech­nisch durch­führ­bar, kon­ti­nu­ier­lich und in Echt­zeit bereit. Die Daten wer­den durch den Daten­in­ha­ber für den Drit­ten gemäß den Arti­keln 8 und 9 bereit­ge­stellt. (2) Absatz 1 gilt nicht für ohne Wei­te­res ver­füg­ba­re Daten im Zusam­men­hang mit der Prü­fung neu­er ver­netz­ter Pro­duk­te, Stof­fe oder Ver­fah­ren, die noch nicht in Ver­kehr gebracht wer­den, es sei denn, ihre Ver­wen­dung durch Drit­te ist ver­trag­lich geneh­migt. (3) Ein Unter­neh­men, das gemäß Arti­kel 3 der Ver­ord­nung (EU) 2022/1925 als Tor­wäch­ter benannt wur­de, gilt nicht als im Sin­ne des vor­lie­gen­den Arti­kels zuge­las­se­ner Drit­ter und ist daher nicht berech­tigt, a) einen Nut­zer dazu auf­zu­for­dern oder durch geschäft­li­che Anrei­ze in irgend­ei­ner Wei­se, auch durch eine finan­zi­el­le oder son­sti­ge Gegen­lei­stung, dafür zu gewin­nen, Daten, die vom Nut­zer auf­grund eines Ver­lan­gens nach Arti­kel 4 Absatz 1 erlangt wur­den, für einen sei­ner Dien­ste bereit­zu­stel­len; b) einen Nut­zer dazu auf­zu­for­dern oder durch geschäft­li­che Anrei­ze dafür zu gewin­nen, vom Daten­in­ha­ber zu ver­lan­gen, gemäß Absatz 1 die­ses Arti­kels Daten für einen sei­ner Dien­ste bereit­zu­stel­len; c) von einem Nut­zer Daten zu erhal­ten, die der Nut­zer auf­grund eines Ver­lan­gens nach Arti­kel 4 Absatz 1 erlangt hat. (4) Für die Zwecke der Über­prü­fung, ob eine natür­li­che oder juri­sti­sche Per­son für die Zwecke von Absatz 1 als Nut­zer oder als Drit­ter ein­zu­stu­fen ist, wer­den vom Daten­in­ha­ber oder Drit­ten kei­ne Infor­ma­tio­nen ver­langt, die über das erfor­der­li­che Maß hin­aus­ge­hen . Die Daten­in­ha­ber bewah­ren kei­ne Infor­ma­tio­nen über den Zugang des Drit­ten zu den ver­lang­ten Daten auf, die über das hin­aus­ge­hen, was für die ord­nungs­ge­mä­ße Aus­füh­rung des Zugangs­ver­lan­gens des Drit­ten und für die Sicher­heit und Pfle­ge der Daten­in­fra­struk­tur erfor­der­lich ist. (5) Der Drit­te darf kei­ne Zwangs­mit­tel ver­wen­den oder Lücken in der zum Schutz der Daten bestehen­den tech­ni­schen Infra­struk­tur des Daten­in­ha­bers aus­nut­zen, um Zugang zu Daten zu erlan­gen. (6) Der Daten­in­ha­ber darf ohne Wei­te­res ver­füg­ba­re Daten nicht ver­wen­den, um dar­aus Ein­blicke in die wirt­schaft­li­che Lage, Ver­mö­gens­wer­te und Pro­duk­ti­ons­me­tho­den des Drit­ten oder in die Nut­zung durch den Drit­ten auf jeg­li­che ande­re Art, die die gewerb­li­che Posi­ti­on des Drit­ten auf den Märk­ten, auf denen die­ser tätig ist, unter­gra­ben könn­te, zu erlan­gen, es sei denn, der Drit­te hat eine sol­che Nut­zung geneh­migt und hat die tech­ni­sche Mög­lich­keit, die­se Geneh­mi­gung jeder­zeit ein­fach zu wider­ru­fen. (7) Han­delt es sich bei dem Nut­zer nicht um die betrof­fe­ne Per­son, deren per­so­nen­be­zo­ge­ne Daten ver­langt wer­den, so dür­fen per­so­nen­be­zo­ge­ne Daten, die bei der Nut­zung eines ver­netz­ten Pro­duk­tes oder ver­bun­de­nen Dien­stes gene­riert wer­den, nur dann vom Daten­in­ha­ber dem Drit­ten bereit­ge­stellt wer­den, wenn es für die Ver­ar­bei­tung eine gül­ti­ge Rechts­grund­la­ge gemäß Arti­kel 6 der Ver­ord­nung (EU) 2016/679 gibt und gege­be­nen­falls die Bedin­gun­gen des Arti­kels 9 jener Ver­ord­nung sowie des Arti­kels 5 Absatz 3 der Richt­li­nie (EU) 2002/58 erfüllt sind. (8) Die Aus­übung der Rech­te der betrof­fe­nen Per­son gemäß der Ver­ord­nung (EU) 2016/679 und ins­be­son­de­re des Rechts auf Daten­über­trag­bar­keit gemäß Arti­kel 20 jener Ver­ord­nung darf durch Ver­säum­nis­se sei­tens des Daten­in­ha­bers oder des Drit­ten, Vor­keh­run­gen für die Über­mitt­lung der Daten zu tref­fen, nicht behin­dert, ver­hin­dert oder beein­träch­tigt wer­den. (9) Geschäfts­ge­heim­nis­se wer­den gewahrt und Drit­ten gegen­über nur inso­weit offen­ge­legt, als die­se Offen­le­gung für den zwi­schen dem Nut­zer und dem Drit­ten ver­ein­bar­ten Zweck unbe­dingt erfor­der­lich ist. Der Daten­in­ha­ber oder, wenn sie nicht die­sel­be Per­son sind, der Inha­ber des Geschäfts­ge­heim­nis­ses ermit­telt, auch in den rele­van­ten Meta­da­ten, die als Geschäfts­ge­heim­nis­se geschütz­ten Daten und ver­ein­bart mit dem Drit­ten alle ange­mes­se­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, die erfor­der­lich sind, um die Ver­trau­lich­keit der wei­ter­ge­ge­be­nen Daten zu wah­ren; dies gilt etwa für Muster­ver­trags­klau­seln, Ver­trau­lich­keits­ver­ein­ba­run­gen, stren­ge Zugangs­pro­to­kol­le, tech­ni­sche Nor­men und die Anwen­dung von Ver­hal­tens­ko­di­zes. (10) Wenn kei­ne Eini­gung über die in Absatz 9 genann­ten erfor­der­li­chen Maß­nah­men erzielt wird oder wenn von dem Drit­ten die gemäß Absatz 9 ver­ein­bar­ten Maß­nah­men nicht umge­setzt wer­den oder die Ver­trau­lich­keit der Geschäfts­ge­heim­nis­se ver­letzt wird, kann der Daten­in­ha­ber die Wei­ter­ga­be von Daten, die als Geschäfts­ge­heim­nis­se ermit­telt wur­den, ver­wei­gern oder gege­be­nen­falls aus­set­zen. Die Ent­schei­dung des Daten­in­ha­bers ist ord­nungs­ge­mäß zu begrün­den und dem Drit­ten unver­züg­lich schrift­lich mit­zu­tei­len. In sol­chen Fäl­len teilt der Daten­in­ha­ber der gemäß Arti­kel 37 benann­ten zustän­di­gen Behör­de mit, dass er die Wei­ter­ga­be von Daten ver­wei­gert oder aus­ge­setzt hat, und gibt an, wel­che Maß­nah­men nicht ver­ein­bart oder umge­setzt wur­den und bei wel­chen Geschäfts­ge­heim­nis­sen die Ver­trau­lich­keit ver­letzt wur­de. (11) Wenn unter außer­ge­wöhn­li­chen Umstän­den der Daten­in­ha­ber, der Inha­ber eines Geschäfts­ge­heim­nis­ses ist, nach­wei­sen kann, dass er trotz der vom Drit­ten gemäß Absatz 9 des vor­lie­gen­den Arti­kels getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men mit hoher Wahr­schein­lich­keit einen schwe­ren wirt­schaft­li­chen Scha­den durch eine Offen­le­gung von Geschäfts­ge­heim­nis­sen erlei­den wird, kann er das Daten­zu­gangs­ver­lan­gen für die betref­fen­den spe­zi­el­len Daten im Ein­zel­fall ableh­nen. Die­ser Nach­weis ist auf der Grund­la­ge objek­ti­ver Fak­ten, ins­be­son­de­re der Durch­setz­bar­keit des Schut­zes von Geschäfts­ge­heim­nis­sen in Dritt­län­dern, der Art und des Grads der Ver­trau­lich­keit der ver­lang­ten Daten sowie der Ein­zig­ar­tig­keit und Neu­ar­tig­keit des ver­netz­ten Pro­dukts hin­rei­chend zu begrün­den und Drit­ten unver­züg­lich schrift­lich vor­zu­le­gen. Ver­wei­gert der Daten­in­ha­ber die Wei­ter­ga­be von Daten gemäß die­sem Absatz, so teilt er dies der gemäß Arti­kel 37 benann­ten zustän­di­gen Behör­de mit. (12) Unbe­scha­det des Rechts Drit­ter, jeder­zeit vor einem Gericht eines Mit­glied­staats Rechts­mit­tel ein­zu­le­gen, kann ein Drit­ter, der eine Ent­schei­dung des Daten­in­ha­bers, die Wei­ter­ga­be von Daten gemäß den Absät­zen 10 und 11 abzu­leh­nen, zu ver­wei­gern oder aus­zu­set­zen, anfech­ten möch­te: a) gemäß Arti­kel 37 Absatz 5 Buch­sta­be b eine Beschwer­de bei der zustän­di­gen Behör­de ein­rei­chen, die unver­züg­lich ent­schei­det, ob und unter wel­chen Bedin­gun­gen die Wei­ter­ga­be der Daten beginnt oder wie­der auf­ge­nom­men wird, oder b) mit dem Daten­in­ha­ber ver­ein­ba­ren, gemäß Arti­kel 10 Absatz 1 eine Streit­bei­le­gungs­stel­le mit der Ange­le­gen­heit zu befas­sen. (13) Das Recht gemäß Absatz 1 darf die Rech­te betrof­fe­ner Per­so­nen gemäß dem gel­ten­den Uni­ons­recht und natio­na­len Recht über den Schutz per­so­nen­be­zo­ge­ner Daten nicht beeinträchtigen. 

Arti­kel 6 Pflich­ten Drit­ter, die Daten auf Ver­lan­gen des Nut­zers erhalten

(1) Ein Drit­ter ver­ar­bei­tet die ihm nach Arti­kel 5 bereit­ge­stell­ten Daten nur zu den Zwecken und unter den Bedin­gun­gen, die er mit dem Nut­zer ver­ein­bart hat und gemäß dem gel­ten­den Uni­ons­recht und natio­na­len Recht über den Schutz per­so­nen­be­zo­ge­ner Daten, ein­schließ­lich der Rech­te der betrof­fe­nen Per­son, soweit per­so­nen­be­zo­ge­ne Daten betrof­fen sind. Der Drit­te löscht die Daten, sobald sie für den ver­ein­bar­ten Zweck nicht mehr benö­tigt wer­den, sofern mit dem Nut­zer in Bezug auf nicht-per­so­nen­be­zo­ge­ne Daten nichts ande­res ver­ein­bart wur­de. (2) Dem Drit­ten ist unter­sagt, a) den Nut­zern die Aus­übung ihrer Wahl­mög­lich­kei­ten oder ihrer Rech­te gemäß Arti­kel 5 und dem vor­lie­gen­den Arti­kel über­mä­ßig zu erschwe­ren, auch nicht, indem er den Nut­zern Wahl­mög­lich­kei­ten auf nicht neu­tra­le Wei­se anbie­tet, oder die Nut­zer in irgend­ei­ner Wei­se zwingt, täuscht oder mani­pu­liert oder – auch mit­tels einer digi­ta­len Benut­zer­schnitt­stel­le oder eines Teils davon – die Auto­no­mie, Ent­schei­dungs­fä­hig­keit oder Wahl­mög­lich­kei­ten des Nut­zers zu unter­gra­ben oder zu beein­träch­ti­gen; b) unbe­scha­det des Arti­kels 22 Absatz 2 Buch­sta­ben a und c der Ver­ord­nung (EU) 2016/679, die erhal­te­nen Daten für das Pro­fil­ing zu nut­zen, es sei denn, dies ist erfor­der­lich, um den vom Nut­zer gewünsch­ten Dienst zu erbrin­gen; c) die erhal­te­nen Daten einem ande­ren Drit­ten bereit­zu­stel­len, es sei denn, die Daten wer­den auf der Grund­la­ge eines Ver­trags mit dem Nut­zer bereit­ge­stellt, und vor­aus­ge­setzt, der ande­re Drit­te trifft alle zwi­schen dem Daten­in­ha­ber und dem Drit­ten ver­ein­bar­ten Maß­nah­men, die erfor­der­lich sind, um die Ver­trau­lich­keit von Geschäfts­ge­heim­nis­sen zu wah­ren; d) die erhal­te­nen Daten einem Unter­neh­men, das gemäß Arti­kel 3 der Ver­ord­nung (EU) 2022/1925 als Tor­wäch­ter benannt wur­de, bereit­zu­stel­len; e) die erhal­te­nen Daten zu nut­zen, um ein Pro­dukt zu ent­wickeln, das mit dem ver­netz­ten Pro­dukt, von dem die Daten stam­men, im Wett­be­werb steht, oder die Daten zu die­sem Zweck an einen ande­ren Drit­ten wei­ter­zu­ge­ben. Drit­ten ist fer­ner unter­sagt, ihnen bereit­ge­stell­te nicht-per­so­nen­be­zo­ge­ne Pro­dukt­da­ten oder ver­bun­de­ne Dienst­da­ten zu nut­zen, um Ein­blicke in die wirt­schaft­li­che Lage, die Ver­mö­gens­wer­te und die Pro­duk­ti­ons­me­tho­den des Daten­in­ha­bers oder die Nut­zung durch den Daten­in­ha­ber zu gewin­nen; f) die erhal­te­nen Daten in einer Wei­se zu ver­wen­den, die nach­tei­li­ge Aus­wir­kun­gen auf die Sicher­heit des ver­netz­ten Pro­dukts oder des ver­bun­de­nen Dien­stes haben; g) die mit dem Daten­in­ha­ber oder dem Inha­ber der Geschäfts­ge­heim­nis­se gemäß Arti­kel 5 Absatz 9 ver­ein­bar­ten Maß­nah­men zu miss­ach­ten und die Ver­trau­lich­keit von Geschäfts­ge­heim­nis­sen zu unter­gra­ben; h) den Nut­zer, bei dem es sich um einen Ver­brau­cher han­delt, dar­an zu hin­dern – ein­schließ­lich auf der Grund­la­ge eines Ver­trags –, die erhal­te­nen Daten ande­ren Par­tei­en bereitzustellen. 

Arti­kel 7 Umfang der Pflich­ten zur Daten­wei­ter­ga­be von Unter­neh­men an Ver­brau­cher und zwi­schen Unternehmen

(1) Die Pflich­ten nach die­sem Kapi­tel gel­ten nicht für Daten, die bei der Nut­zung von ver­netz­ten Pro­duk­ten gene­riert wer­den, die von einem Kleinst­un­ter­neh­men oder einem Klein­un­ter­neh­men her­ge­stellt oder kon­zi­piert wer­den oder die bei der Nut­zung von ver­bun­de­nen Dien­sten gene­riert wer­den, die von einem sol­chen Unter­neh­men erbracht wer­den, sofern die­ses Unter­neh­men kein Part­ner­un­ter­neh­men oder kein ver­bun­de­nes Unter­neh­men im Sin­ne des Arti­kels 3 des Anhangs der Emp­feh­lung 2003/361/EG hat, das nicht als Kleinst­un­ter­neh­men oder Klein­un­ter­neh­men gilt, und sofern das Kleinst­un­ter­neh­men oder Klein­un­ter­neh­men nicht als Unter­auf­trag­neh­mer mit der Her­stel­lung oder der Kon­zep­ti­on eines ver­netz­ten Pro­dukts oder der Erbrin­gung eines ver­bun­de­nen Dien­stes beauf­tragt wur­de. Das Glei­che gilt für Daten, die durch die Nut­zung von ver­netz­ten Pro­duk­ten gene­riert wer­den, die von einem Unter­neh­men her­ge­stellt wer­den, das seit weni­ger als einem Jahr als mitt­le­res Unter­neh­men Sin­ne des Arti­kels 2 des Anhangs der Emp­feh­lung 2003/361/EG ein­ge­stuft ist, oder für ver­bun­de­ne Dien­ste, die von einem sol­chen Unter­neh­men erbracht wer­den, und für ver­netz­ten Pro­duk­te für ein Jahr nach dem Zeit­punkt ihres Inver­kehr­brin­gens durch ein mitt­le­res Unter­neh­men. (2) Ver­trags­klau­seln, die zum Nach­teil des Nut­zers die Anwen­dung der Rech­te des Nut­zers nach die­sem Kapi­tel aus­schlie­ßen, davon abwei­chen oder die Wir­kung die­ser Rech­te abän­dern, sind für den Nut­zer nicht bindend. 

KAPITEL III PFLICHTEN DER DATENINHABER, DIE GEMÄẞ DEM UNIONSRECHT VERPFLICHTET SIND, DATEN BEREITZUSTELLEN

Arti­kel 8 Bedin­gun­gen, unter denen Daten­in­ha­ber Daten­emp­fän­gern Daten bereitstellen

(1) Ist im Rah­men von Geschäfts­be­zie­hun­gen zwi­schen Unter­neh­men ein Daten­in­ha­ber nach Arti­kel 5 oder nach ande­rem anwend­ba­ren Uni­ons­recht oder nach im Ein­klang mit dem Uni­ons­recht erlas­se­nen natio­na­len Recht ver­pflich­tet, einem Daten­emp­fän­ger Daten bereit­zu­stel­len, so ver­ein­bart er mit einem Daten­emp­fän­ger die Aus­ge­stal­tung für die Bereit­stel­lung der Daten und stellt die­se zu fai­ren, ange­mes­se­nen und nicht­dis­kri­mi­nie­ren­den Bedin­gun­gen und in trans­pa­ren­ter Wei­se im Ein­klang mit dem vor­lie­gen­den Kapi­tel und dem Kapi­tel IV bereit. (2) Eine Ver­trags­klau­sel in Bezug auf den Daten­zu­gang und die Daten­nut­zung oder die Haf­tung und Rechts­be­hel­fe bei Ver­let­zung oder Been­di­gung daten­be­zo­ge­ner Pflich­ten ist nicht bin­dend, wenn sie eine miss­bräuch­li­che Ver­trags­klau­sel im Sin­ne des Arti­kels 13 dar­stellt oder wenn sie zum Nach­teil des Nut­zers die Aus­übung der Rech­te des Nut­zers nach Kapi­tel II aus­schließt, davon abweicht oder deren Wir­kung abän­dert. (3) Ein Daten­in­ha­ber darf in Bezug auf die Moda­li­tä­ten der Bereit­stel­lung von Daten nicht zwi­schen ver­gleich­ba­ren Kate­go­rien von Daten­emp­fän­gern, ein­schließ­lich Part­ner­un­ter­neh­men oder ver­bun­de­nen Unter­neh­men , dis­kri­mi­nie­ren. Ist ein Daten­emp­fän­ger der Ansicht, dass die Bedin­gun­gen, unter denen ihm Daten bereit­ge­stellt wer­den, dis­kri­mi­nie­rend sind, so stellt der Daten­in­ha­ber dem Daten­emp­fän­ger auf des­sen begrün­de­tes Ersu­chen unver­züg­lich Infor­ma­tio­nen bereit, aus denen her­vor­geht, dass kei­ne Dis­kri­mi­nie­rung vor­liegt. (4) Daten dür­fen einem Daten­emp­fän­ger vom Daten­in­ha­ber – auch exklu­siv – nur dann bereit­ge­stellt wer­den, wenn der Nut­zer dies gemäß Kapi­tel II ver­langt hat. (5) Daten­in­ha­ber und Daten­emp­fän­ger müs­sen kei­ne Infor­ma­tio­nen her­aus­ge­ben, die über das hin­aus­ge­hen, was erfor­der­lich ist, um die Ein­hal­tung der für die Daten­be­reit­stel­lung ver­ein­bar­ten Muster­ver­trags­klau­seln oder die Erfül­lung ihrer Pflich­ten aus die­ser Ver­ord­nung oder aus ande­rem anwend­ba­ren Uni­ons­recht oder aus im Ein­klang mit Uni­ons­recht erlas­se­nen natio­na­len Recht zu über­prü­fen. (6) Eine Pflicht, einem Daten­emp­fän­ger Daten bereit­zu­stel­len, ver­pflich­tet nicht zur Offen­le­gung von Geschäfts­ge­heim­nis­sen, es sei denn, im Uni­ons­recht, ein­schließ­lich des Arti­kels 4 Absatz 6 und des Arti­kels 5 Absatz 9 der vor­lie­gen­den Ver­ord­nung, oder in im Ein­klang mit Uni­ons­recht erlas­se­nen natio­na­len Rechts­vor­schrif­ten ist etwas ande­res vorgesehen. 

Arti­kel 9 Gegen­lei­stung für die Bereit­stel­lung von Daten

(1) Jede Gegen­lei­stung, die zwi­schen einem Daten­in­ha­ber und einem Daten­emp­fän­ger für die Bereit­stel­lung von Daten im Rah­men von Geschäfts­be­zie­hun­gen zwi­schen Unter­neh­men ver­ein­bart wird, muss dis­kri­mi­nie­rungs­frei und ange­mes­sen sein, und darf eine Mar­ge ent­hal­ten. (2) Bei der Eini­gung auf eine Gegen­lei­stung berück­sich­ti­gen der Daten­in­ha­ber und der Daten­emp­fän­ger ins­be­son­de­re Fol­gen­des: a) ange­fal­le­ne Kosten für die Bereit­stel­lung der Daten, ein­schließ­lich ins­be­son­de­re der not­wen­di­gen Kosten für die For­ma­tie­rung der Daten, die Ver­brei­tung auf elek­tro­ni­schem Wege und die Spei­che­rung; b) gege­be­nen­falls Inve­sti­tio­nen in die Erhe­bung und Gene­rie­rung von Daten, wobei berück­sich­tigt wird, ob ande­re Par­tei­en zur Beschaf­fung, Gene­rie­rung oder Erhe­bung der betref­fen­den Daten bei­getra­gen haben. (3) Die in Absatz 1 genann­te Gegen­lei­stung kann auch von Umfang, For­mat und Art der Daten abhän­gen. (4) Ist der Daten­emp­fän­ger ein KMU oder eine gemein­nüt­zi­ge For­schungs­ein­rich­tung und hat der betref­fen­de Daten­emp­fän­ger kei­ne Part­ner­un­ter­neh­men od er ver­bun­de­nen Unter­neh­men, die nicht als KMU gel­ten, so darf eine Gegen­lei­stung die in Absatz 2 Buch­sta­be a auf­ge­führ­ten Kosten nicht über­stei­gen. (5) Die Kom­mis­si­on erlässt Leit­li­ni­en für die Berech­nung einer ange­mes­se­nen Gegen­lei­stung unter Berück­sich­ti­gung des Rates des in Arti­kel 42 genann­ten Euro­päi­schen Daten­in­no­va­ti­ons­ra­tes (EDIB). (6) Die­ser Arti­kel steht dem nicht ent­ge­gen, dass Uni­ons­recht oder im Ein­klang mit Uni­ons­recht erlas­se­ne natio­na­le Rechts­vor­schrif­ten eine Gegen­lei­stung für die Bereit­stel­lung von Daten aus­schlie­ßen oder eine gerin­ge­re Gegen­lei­stung vor­se­hen. (7) Der Daten­in­ha­ber stellt dem Daten­emp­fän­ger Infor­ma­tio­nen bereit, in denen die Grund­la­ge für die Berech­nung der Gegen­lei­stung so detail­liert dar­ge­legt ist, dass der Daten­emp­fän­ger beur­tei­len kann, ob die Anfor­de­run­gen der Absät­ze 1 bis 4 erfüllt sind. 

Arti­kel 10 Streitbeilegung

(1) Nut­zer, Daten­in­ha­ber und Daten­emp­fän­ger haben Zugang zu einer gemäß Absatz 5 des vor­lie­gen­den Arti­kels zer­ti­fi­zier­ten Streit­bei­le­gungs­stel­le für die Bei­le­gung von Strei­tig­kei­ten nach Arti­kel 4 Absatz 3 und Absatz 9 und Arti­kel 5 Absatz 12 sowie Strei­tig­kei­ten im Zusam­men­hang mit den fai­ren, ange­mes­se­nen und nicht­dis­kri­mi­nie­ren­den Bedin­gun­gen für die Bereit­stel­lung von Daten und die trans­pa­ren­te Art und Wei­se der Bereit­stel­lung von Daten gemäß dem vor­lie­gen­den Kapi­tel und Kapi­tel IV. (2) Die Streit­bei­le­gungs­stel­len tei­len den betrof­fe­nen Par­tei­en die Ent­gel­te oder die zur Fest­set­zung der Ent­gel­te ver­wen­de­ten Metho­den mit, bevor die­se Par­tei­en eine Ent­schei­dung bean­tra­gen. (3) Bei Strei­tig­kei­ten, die einer Streit­bei­le­gungs­stel­le nach Arti­kel 4 Absatz 3 zuge­wie­sen wur­den, gilt, wenn die Streit­bei­le­gungs­stel­le eine Strei­tig­keit zugun­sten des Nut­zers oder Daten­emp­fän­gers ent­schei­det, dass der Daten­in­ha­ber alle von der Streit­bei­le­gungs­stel­le erho­be­nen Gebüh­ren trägt und dem betref­fen­den Nut­zer oder Daten­emp­fän­ger alle son­sti­gen ange­mes­se­nen Aus­ga­ben, die die­sem im Zusam­men­hang mit der Streit­bei­le­gung ent­stan­den sind, erstat­tet. Ent­schei­det die Streit­bei­le­gungs­stel­le eine Strei­tig­keit zugun­sten des Daten­in­ha­bers, so ist der Nut­zer oder der Daten­emp­fän­ger nicht ver­pflich­tet, Gebüh­ren oder son­sti­ge Kosten zu erstat­ten, die der Daten­in­ha­ber im Zusam­men­hang mit der Streit­bei­le­gung gezahlt hat oder zu zah­len hat, es sei denn, die Streit­bei­le­gungs­stel­le stellt fest, dass der Nut­zer oder der Daten­emp­fän­ger offen­sicht­lich bös­gläu­big gehan­delt hat. (4) Kun­den und Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten haben Zugang zu einer Streit­bei­le­gungs­stel­le, die gemäß Absatz 5 des vor­lie­gen­den Arti­kels zuge­las­sen ist, um Strei­tig­kei­ten im Zusam­men­hang mit Ver­let­zun­gen der Rech­te der Kun­den und der Pflich­ten der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ent­spre­chend Arti­keln 23 bis 31 bei­zu­le­gen. (5) Der Mit­glied­staat, in dem die Streit­bei­le­gungs­stel­le nie­der­ge­las­sen ist, lässt die­se Stel­le auf deren Antrag hin zu, nach­dem sie nach­ge­wie­sen hat, dass sie alle fol­gen­den Bedin­gun­gen erfüllt: a) Sie ist unpar­tei­isch und unab­hän­gig und trifft ihre Ent­schei­dun­gen nach kla­ren, dis­kri­mi­nie­rungs­frei­en und fai­ren Ver­fah­rens­re­geln; b) sie ver­fügt über das erfor­der­li­che Fach­wis­sen, ins­be­son­de­re in Bezug auf fai­re, ange­mes­se­ne und nicht­dis­kri­mi­nie­ren­de Bedin­gun­gen, ein­schließ­lich Gegen­lei­stun­gen, über die trans­pa­ren­te Bereit­stel­lung von Daten, die es ihr ermög­licht, die­se Bedin­gun­gen effek­tiv fest­zu­le­gen; c) sie ist über elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­mit­tel leicht erreich­bar; d) sie ist in der Lage, ihre Ent­schei­dun­gen rasch, effi­zi­ent und kosten­gün­stig in min­de­stens einer Amts­spra­che der Uni­on zu erlas­sen. (6) Die Mit­glied­staa­ten tei­len der Kom­mis­si­on die nach Absatz 5 zuge­las­se­nen Streit­bei­le­gungs­stel­len mit. Die Kom­mis­si­on ver­öf­fent­licht auf einer eigens hier­für ein­ge­rich­te­ten Web­site eine Liste die­ser Stel­len und hält die­se auf dem neue­sten Stand. (7) Eine Streit­bei­le­gungs­stel­le­ver­wei­gert die Bear­bei­tung eines Streit­bei­le­gungs­an­trags, der bereits bei einer ande­ren Streit­bei­le­gungs­stel­le oder einem Gericht eines Mit­glied­staats ein­ge­reicht wur­de. (8) Eine Streit­bei­le­gungs­stel­le bie­tet den Par­tei­en die Mög­lich­keit, sich inner­halb einer ange­mes­se­nen Frist zu den Ange­le­gen­hei­ten zu äußern, in denen sich die­se Par­tei­en an die betref­fen­de Stel­le gewandt haben. In die­sem Zusam­men­hang wer­den jeder Par­tei die Schrift­sät­ze der ande­ren Par­tei und etwa­ige Erklä­run­gen von Sach­ver­stän­di­gen bereit­ge­stellt. Den Par­tei­en wird die Mög­lich­keit gebo­ten, zu die­sen Schrift­sät­zen und Erklä­run­gen Stel­lung zu neh­men. (9) Eine Streit­bei­le­gungs­stel­le ent­schei­det in einer Ange­le­gen­heit, die ihr vor­ge­legt wird, spä­te­stens 90 Tage nach Erhalt eines Antrags gemäß den Absät­zen 1 bis 4. Die­se Ent­schei­dung erfolgt schrift­lich oder auf einem dau­er­haf­ten Daten­trä­ger und wird mit einer Begrün­dung ver­se­hen. (10) Die Streit­bei­le­gungs­stel­len erstel­len und ver­öf­fent­li­chen jähr­li­che Tätig­keits­be­rich­te. Die­se Jah­res­be­rich­te müs­sen ins­be­son­de­re die fol­gen­den all­ge­mei­nen Anga­ben umfas­sen: a) eine Zusam­men­stel­lung der Ergeb­nis­se von Strei­tig­kei­ten; b) den durch­schnitt­li­chen Zeit­auf­wand für die Lösung von Strei­tig­kei­ten; c) die häu­fig­sten Grün­de für Strei­tig­kei­ten. (11) Um den Aus­tausch von Infor­ma­tio­nen und bewähr­ten Ver­fah­ren zu erleich­tern, kann eine Streit­bei­le­gungs­stel­le beschlie­ßen, in den in Absatz 10 genann­ten Bericht Emp­feh­lun­gen dazu auf­zu­neh­men, wie Pro­ble­me zu ver­mei­den oder zu behe­ben sind. (12) Die Ent­schei­dung einer Streit­bei­le­gungs­stel­le ist für die Par­tei­en nur dann bin­dend, wenn die Par­tei­en vor Beginn des Streit­bei­le­gungs­ver­fah­rens dem bin­den­den Cha­rak­ter aus­drück­lich zuge­stimmt haben. (13) Die­ser Arti­kel berührt nicht das Recht der Par­tei­en, wirk­sa­me Rechts­mit­tel bei einem Gericht eines Mit­glied­staats einzulegen. 

Arti­kel 11 Tech­ni­sche Schutz­maß­nah­men über die unbe­fug­te Nut­zung oder Offen­le­gung von Daten

(1) Ein Daten­in­ha­ber kann geeig­ne­te tech­ni­sche Schutz­maß­nah­men, ein­schließ­lich intel­li­gen­ter Ver­trä­ge und Ver­schlüs­se­lung, anwen­den, um den unbe­fug­ten Zugang zu Daten, ein­schließ­lich Meta­da­ten, zu ver­hin­dern und die Ein­hal­tung der Arti­kel 5, 6, 8 und 9 sowie der für die Daten­be­reit­stel­lung ver­ein­bar­ten Muster­ver­trags­klau­seln sicher­zu­stel­len. Bei sol­chen tech­ni­schen Schutz­maß­nah­men dür­fen weder Daten­emp­fän­ger unter­schied­lich behan­delt wer­den noch dür­fen Nut­zer an der Aus­übung ihres Rechts, eine Kopie der Daten zu erhal­ten, Daten abzu­ru­fen, zu ver­wen­den oder auf die­se zuzu­grei­fen oder Drit­ten nach Arti­kel 5 Daten bereit­zu­stel­len, oder Drit­te an der Aus­übung ihrer Rech­te nach dem Uni­ons­recht oder den natio­na­len Rechts­vor­schrif­ten, die im Ein­klang mit dem Uni­ons­recht ange­nom­men wur­den, gehin­dert wer­den. Nut­zer, Drit­te und Daten­emp­fän­ger dür­fen sol­che tech­ni­schen Schutz­maß­nah­men nur ändern oder auf­he­ben, wenn der Daten­in­ha­ber dem zuge­stimmt hat. (2) Unter den in Absatz 3 genann­ten Umstän­den kommt der Drit­te oder der Daten­emp­fän­ger den Auf­for­de­run­gen des Daten­in­ha­bers und gege­be­nen­falls des Inha­bers des Geschäfts­ge­heim­nis­ses – wenn es sich nicht um die­sel­be Per­son han­delt – oder des Nut­zers unver­züg­lich nach: a) die vom Daten­in­ha­ber bereit­ge­stell­ten Daten und alle etwa­igen Kopien davon zu löschen; b) das Her­stel­len, Anbie­ten, Inver­kehr­brin­gen oder Ver­wen­den von Waren, abge­lei­te­ten Daten oder Dienst­lei­stun­gen, die auf den mit den Daten erlang­ten Kennt­nis­sen beru­hen, oder das Ein­füh­ren, Aus­füh­ren oder Lagern von in die­sem Sin­ne rechts­ver­let­zen­den Waren ein­zu­stel­len und alle rechts­ver­let­zen­den Waren zu ver­nich­ten, wenn die ernst­haf­te Gefahr besteht, dass die unrecht­mä­ßi­ge Ver­wen­dung die­ser Daten dem Daten­in­ha­ber, dem Inha­ber des Geschäfts­ge­heim­nis­ses oder dem Nut­zer einen erheb­li­chen Scha­den zufügt, bzw. sofern eine sol­che Maß­nah­me im Hin­blick auf die Inter­es­sen des Daten­in­ha­bers, des Inha­bers des Geschäfts­ge­heim­nis­ses oder des Nut­zers nicht unver­hält­nis­mä­ßig wäre; c) den Nut­zer über die unbe­fug­te Nut­zung oder Offen­le­gung der Daten und über die Maß­nah­men, die ergrif­fen wur­den, um die unbe­fug­te Nut­zung oder Offen­le­gung der Daten zu unter­bin­den, zu unter­rich­ten; d) die Par­tei, die durch den Miss­brauch oder die Offen­le­gung die­ser unrecht­mä­ßig abge­ru­fe­nen oder genutz­ten Daten geschä­digt wur­de, zu ent­schä­di­gen. (3) Absatz 2 fin­det Anwen­dung, wenn ein Drit­ter oder ein Daten­emp­fän­ger a) zwecks Erlan­gung der Daten einem Daten­in­ha­ber fal­sche Infor­ma­tio­nen gege­ben, Täu­schungs- oder Zwangs­mit­tel ein­ge­setzt oder Lücken in der zum Schutz der Daten bestehen­den tech­ni­schen Infra­struk­tur der Daten miss­braucht hat, b) die bereit­ge­stell­ten Daten für nicht geneh­mig­te Zwecke, ein­schließ­lich der Ent­wick­lung eines kon­kur­rie­ren­den ver­netz­ten Pro­dukts im Sin­ne von Arti­kel 6 Absatz 2 Buch­sta­be e, genutzt hat, c) unrecht­mä­ßig Daten an eine ande­re Par­tei wei­ter­ge­ge­ben hat, d) die gemäß Arti­kel 5 Absatz 9 ver­ein­bar­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nicht auf­recht­erhal­ten hat oder e) die vom Daten­in­ha­ber gemäß Absatz 1 des vor­lie­gen­den Arti­kels ange­wand­ten tech­ni­schen Schutz­maß­nah­men ohne Zustim­mung des Daten­in­ha­bers ver­än­dert oder auf­ge­ho­ben hat. (4) Absatz 2 gilt eben­falls, wenn ein Nut­zer die vom Daten­in­ha­ber ange­wand­ten tech­ni­schen Schutz­maß­nah­men ändert oder auf­hebt oder die vom Nut­zer im Ein­ver­neh­men mit dem Daten­in­ha­ber oder, wenn sie nicht die­sel­be Per­son sind, dem Inha­ber des Geschäfts­ge­heim­nis­ses getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Wah­rung von Geschäfts­ge­heim­nis­sen nicht auf­recht­erhält, sowie für jede ande­re Par­tei, die die Daten von dem Nut­zer unter Ver­stoß gegen die­se Ver­ord­nung erhält. (5) Hat der Daten­emp­fän­ger gegen Arti­kel 6 Absatz 2 Buch­sta­be a oder b ver­sto­ßen, so haben die Nut­zer die­sel­ben Rech­te wie Daten­in­ha­ber gemäß Absatz 2 des vor­lie­gen­den Artikels. 

Arti­kel 12 Umfang der Pflich­ten der Daten­in­ha­ber, die nach dem Uni­ons­recht ver­pflich­tet sind, Daten bereitzustellen

(1) Die­ses Kapi­tel gilt, wenn ein Daten­in­ha­ber im Rah­men von Geschäfts­be­zie­hun­gen zwi­schen Unter­neh­men nach Arti­kel 5 oder nach gel­ten­dem Uni­ons­recht oder nach im Ein­klang mit Uni­ons­recht erlas­se­nen natio­na­len Rechts­vor­schrif­ten ver­pflich­tet ist, einem Daten­emp­fän­ger Daten bereit­zu­stel­len. (2) Eine Ver­trags­klau­sel in einer Daten­wei­ter­ga­be­ver­ein­ba­rung, die zum Nach­teil einer Par­tei oder gege­be­nen­falls zum Nach­teil des Nut­zers die Anwen­dung die­ses Kapi­tels aus­schließt, davon abweicht oder sei­ne Wir­kung abän­dert, ist für die­se Par­tei nicht bindend. 

KAPITEL IV MISSBRÄUCHLICHE VERTRAGSKLAUSELN IN BEZUG AUF DEN DATENZUGANG UND DIE DATENNUTZUNG ZWISCHEN UNTERNEHMEN

Arti­kel 13 Miss­bräuch­li­che Ver­trags­klau­seln, die einem ande­ren Unter­neh­men ein­sei­tig auf­er­legt werden

(1) Ver­trags­klau­seln in Bezug auf den Daten­zu­gang und die Daten­nut­zung oder die Haf­tung und Rechts­be­hel­fe bei Ver­let­zung oder Been­di­gung daten­be­zo­ge­ner Pflich­ten, die ein Unter­neh­men einem ande­ren Unter­neh­men ein­sei­tig auf­er­legt, sind für letz­te­res Unter­neh­men nicht bin­dend, wenn sie miss­bräuch­lich sind. (2) Wenn Ver­trags­klau­seln zwin­gen­den Bestim­mun­gen des Uni­ons­rechts oder bei Feh­len von Ver­trags­klau­seln zur Rege­lung der Ange­le­gen­heit gel­ten­den Bestim­mun­gen des Uni­ons­rechts ent­spre­chen, gel­ten sie nicht als miss­bräuch­lich. (3) Ver­trags­klau­seln sind miss­bräuch­lich, wenn ihre Anwen­dung eine gro­be Abwei­chung von der guten Geschäfts­pra­xis bei Daten­zu­gang und Daten­nut­zung dar­stellt oder gegen das Gebot von Treu und Glau­ben ver­stößt. (4) Eine Ver­trags­klau­sel gilt ins­be­son­de­re dann als miss­bräuch­lich im Sin­ne des Absat­zes 3, wenn sie Fol­gen­des bezweckt oder bewirkt: a) den Aus­schluss oder die Beschrän­kung der Haf­tung der Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, für vor­sätz­li­che oder grob fahr­läs­si­ge Hand­lun­gen; b) den Aus­schluss der Rechts­be­hel­fe, die der Par­tei, der die Klau­sel ein­sei­tig auf­er­legt wur­de, bei Nicht­er­fül­lung von Ver­trags­pflich­ten zur Ver­fü­gung ste­hen, oder den Aus­schluss der Haf­tung der Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, bei einer Ver­let­zung die­ser Pflich­ten; c) das aus­schließ­li­che Recht der Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, zu bestim­men, ob die gelie­fer­ten Daten ver­trags­ge­mäß sind, oder Ver­trags­klau­seln aus­zu­le­gen. (5) Eine Ver­trags­klau­sel gilt als miss­bräuch­lich im Sin­ne des Absat­zes 3, wenn sie Fol­gen­des bezweckt oder bewirkt: a) eine unan­ge­mes­se­ne Beschrän­kung der Rechts­mit­tel bei Nicht­er­fül­lung von Ver­trags­pflich­ten oder der Haf­tung bei einer Ver­let­zung die­ser Pflich­ten oder eine Erwei­te­rung der Haf­tung des Unter­neh­mens, dem die Klau­sel ein­sei­tig auf­er­legt wur­de; b) das Recht der Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, auf Zugang zu Daten der ande­ren Ver­trags­par­tei und deren Nut­zung in einer Wei­se, die den berech­tig­ten Inter­es­sen der ande­ren Ver­trags­par­tei erheb­lich scha­det, ins­be­son­de­re, wenn die­se Daten sen­si­ble Geschäfts­da­ten ent­hal­ten oder durch das Geschäfts­ge­heim­nis oder durch Rech­te des gei­sti­gen Eigen­tums geschützt sind; c) die Hin­de­rung der Par­tei, der die Klau­sel ein­sei­tig auf­er­legt wur­de, dar­an, die von ihr wäh­rend der Ver­trags­lauf­zeit bereit­ge­stell­ten oder gene­rier­ten Daten zu nut­zen, oder eine Beschrän­kung der Nut­zung die­ser Daten inso­fern, als die­se Par­tei nicht berech­tigt ist, die­se Daten in ange­mes­se­ner Wei­se zu nut­zen, zu erfas­sen, dar­auf zuzu­grei­fen oder sie zu kon­trol­lie­ren oder zu ver­wer­ten; d) die Hin­de­rung der Par­tei, der die Klau­sel ein­sei­tig auf­er­legt wur­de, dar­an, die Ver­ein­ba­rung inner­halb einer ange­mes­se­nen Frist zu kün­di­gen; e) die Hin­de­rung der Par­tei, der die Klau­sel ein­sei­tig auf­er­legt wur­de, dar­an, wäh­rend der Ver­trags­lauf­zeit oder inner­halb einer ange­mes­se­nen Frist nach Kün­di­gung des Ver­trags eine Kopie der von ihr bereit­ge­stell­ten oder gene­rier­ten Daten zu erhal­ten; f) die Mög­lich­keit, dass die Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, den Ver­trag mit unan­ge­mes­sen kur­zer Frist kün­di­gen darf, und zwar unter Berück­sich­ti­gung jeg­li­cher rea­li­sti­schen Mög­lich­keit für die ande­re Ver­trags­par­tei, zu einem ande­ren, ver­gleich­ba­ren Dienst zu wech­seln, und des durch die Kün­di­gung ver­ur­sach­ten finan­zi­el­len Nach­teils, außer bei Vor­lie­gen schwer­wie­gen­der Grün­de; g) die Mög­lich­keit, dass die Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, den ver­trag­lich ver­ein­bar­ten Preis oder eine ande­re wesent­li­che Bedin­gung in Bezug auf Art, For­mat, Qua­li­tät oder Men­ge der wei­ter­zu­ge­ben­den Daten ohne eine im Ver­trag spe­zi­fi­zier­te stich­hal­ti­ge Begrün­dung wesent­lich abän­dert, ohne dass der ande­ren Par­tei das Recht ein­ge­räumt wird, den Ver­trag im Fal­le einer sol­chen Abän­de­rung zu kün­di­gen. Unter­ab­satz 1 Buch­sta­be g berührt nicht Klau­seln, nach denen sich die Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, das Recht vor­be­hält, die Bedin­gun­gen eines unbe­fri­ste­ten Ver­trags ein­sei­tig zu ändern, sofern eine in die­sem Ver­trag spe­zi­fi­zier­te stich­hal­ti­ge Begrün­dung vor­liegt, wonach die Par­tei, die die Klau­sel ein­sei­tig auf­er­legt hat, ver­pflich­tet ist, die ande­re Ver­trags­par­tei inner­halb einer ange­mes­se­nen Frist von solch einer beab­sich­tig­ten Ände­rung in Kennt­nis zu set­zen, und es der ande­ren Ver­trags­par­tei frei­steht, den Ver­trag im Fal­le einer sol­chen Ände­rung unent­gelt­lich zu kün­di­gen. (6) Ver­trags­klau­seln gel­ten im Sin­ne die­ses Arti­kels als ein­sei­tig auf­er­legt, wenn sie von einer Ver­trags­par­tei ein­ge­bracht wer­den und die ande­re Ver­trags­par­tei ihren Inhalt trotz des Ver­suchs, hier­über zu ver­han­deln, nicht beein­flus­sen kann. Die Ver­trags­par­tei, die die Ver­trags­klau­sel ein­ge­bracht hat, trägt die Beweis­last dafür, dass die­se Klau­sel nicht ein­sei­tig auf­er­legt wur­de. Die Ver­trags­par­tei, die die bean­stan­de­te Klau­sel ein­ge­bracht hat, kann sich nicht dar­auf beru­fen, dass es sich um eine miss­bräuch­li­che Ver­trags­klau­sel han­delt. (7) Ist die miss­bräuch­li­che Ver­trags­klau­sel von den übri­gen Bedin­gun­gen des Ver­trags abtrenn­bar, so blei­ben die übri­gen Ver­trags­klau­seln bin­dend. (8) Die­ser Arti­kel gilt weder für Ver­trags­klau­seln, in denen der Haupt­ge­gen­stand des Ver­trags fest­ge­legt wird, noch für die Ange­mes­sen­heit des Prei­ses für die als Gegen­lei­stung wei­ter­ge­ge­be­nen Daten. (9) Die Par­tei­en eines unter Absatz 1 fal­len­den Ver­trags dür­fen die Anwen­dung die­ses Arti­kels nicht aus­schlie­ßen, nicht davon abwei­chen und des­sen Wir­kun­gen nicht abändern. 

KAPITEL V BEREITSTELLUNG VON DATEN FÜR ÖFFENTLICHE STELLEN, DIE KOMMISSION, DIE EUROPÄISCHE ZENTRALBANK UND EINRICHTUNGEN DER UNION WEGEN AUẞERGEWÖHNLICHER NOTWENDIGKEIT

Arti­kel 14 Pflicht zur Bereit­stel­lung von Daten wegen außer­ge­wöhn­li­cher Notwendigkeit

Wenn eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päisc he Zen­tral­bank oder eine Ein­rich­tung der Uni­on den Nach­weis dafür erbringt, dass im Hin­blick auf die Erfül­lung ihrer recht­li­chen Auf­ga­ben im öffent­li­chen Inter­es­se die außer­ge­wöhn­li­che Not­wen­dig­keit der Nut­zung bestimm­ter Daten – ein­schließ­lich der für die Aus­le­gung und Nut­zung die­ser Daten erfor­der­li­chen betref­fen­den Meta­da­ten – gemäß Arti­kel 15 besteht, stel­len die Daten­in­ha­ber, bei denen sich die­se Daten befin­den und bei denen es sich um ande­re juri­sti­sche Per­so­nen als öffent­li­che Stel­len han­delt, die­se Daten auf ord­nungs­ge­mäß begrün­de­ten Antrag bereit. 

Arti­kel 15 Außer­ge­wöhn­li­che Not­wen­dig­keit der Datennutzung

(1) Die außer­ge­wöhn­li­che Not­wen­dig­keit der Nut­zung bestimm­ter Daten im Sin­ne die­ses Kapi­tels ist zeit­lich befri­stet und im Umfang begrenzt und gilt nur unter einem der fol­gen­den Umstän­de als gege­ben, wenn: a) die ver­lang­ten Daten zur Bewäl­ti­gung eines öffent­li­chen Not­stands erfor­der­lich sind und die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on die­se Daten unter gleich­wer­ti­gen Bedin­gun­gen auf ande­re Wei­se nicht recht­zei­tig und wirk­sam beschaf­fen kann; b) nicht von Buch­sta­be a erfass­ten Umstän­de vor­lie­gen, und nur soweit nicht-per­so­nen­be­zo­ge­ne Daten betrof­fen sind, wenn i)eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on auf der Grund­la­ge des Uni­ons­rechts oder des natio­na­len Rechts tätig wird und spe­zi­fi­sche Daten ermit­telt hat, deren Feh­len sie dar­an hin­dert, eine bestimm­te im öffent­li­chen Inter­es­se aus­ge­üb­te Auf­ga­be zu erfül­len, die recht­lich aus­drück­lich vor­ge­se­hen ist, wie etwa amt­li­che Sta­ti­sti­ken zu erstel­len oder einen öffent­li­chen Not­stand ein­zu­däm­men oder zu über­win­den, und ii) die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on alle ande­ren ihr zur Ver­fü­gung ste­hen­den Mit­tel aus­ge­schöpft hat, um sol­che Daten zu erlan­gen, dar­un­ter der Erwerb von nicht-per­so­nen­be­zo­ge­nen Daten auf dem Markt durch Ange­bot von Markt­ta­ri­fen oder die Inan­spruch­nah­me bestehen­der Ver­pflich­tun­gen zur Bereit­stel­lung von Daten oder der Erlass neu­er Rechts­vor­schrif­ten, die die recht­zei­ti­ge Ver­füg­bar­keit der Daten gewähr­lei­sten könn­ten. (2) Absatz 1 Buch­sta­be b die­ses Arti­kels gilt nicht für Kleinst­un­ter­neh­men und Klein­un­ter­neh­men. (3) Die Ver­pflich­tung, nach­zu­wei­sen, dass die öffent­li­che Stel­le nicht in der Lage war, nicht-per­so­nen­be­zo­ge­ne Daten durch den Erwerb auf dem Markt zu erhal­ten, gilt nicht, wenn die spe­zi­fi­sche Auf­ga­be, die im öffent­li­chen Inter­es­se aus­ge­übt wird, in der Erstel­lung amt­li­cher Sta­ti­sti­ken besteht und der Erwerb sol­cher Daten nach natio­na­lem Recht nicht zuläs­sig ist.

Arti­kel 16 Ver­hält­nis zu ande­ren Pflich­ten zur Bereit­stel­lung von Daten für öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank und Ein­rich­tun­gen der Union

(1) Die­ses Kapi­tel berührt nicht die im Uni­ons­recht oder im natio­na­len Recht fest­ge­leg­ten Pflich­ten in Bezug auf die Bericht­erstat­tung, die Erfül­lung von Infor­ma­ti­ons­zu­gangs­ver­lan­gen oder den Nach­weis und die Über­prü­fung der Ein­hal­tung recht­li­cher Pflich­ten. (2) Die­ses Kapi­tel gilt nicht für öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank und die Ein­rich­tun­gen der Uni­on, die Tätig­kei­ten zur Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder Ord­nungs­wid­rig­kei­ten oder der Straf­voll­streckung durch­füh­ren, oder für die Zoll- oder Steu­er­ver­wal­tung. Die­ses Kapi­tel berührt nicht das anwend­ba­re Uni­ons­recht und das anwend­ba­re natio­na­le Recht über die Ver­hü­tung, Ermitt­lung, Auf­deckung oder Ver­fol­gung von Straf­ta­ten oder Ord­nungs­wid­rig­kei­ten oder über die Voll­streckung von Stra­fen oder ver­wal­tungs­recht­li­chen Sank­tio­nen oder über die Zoll- oder Steuerverwaltung. 

Arti­kel 17 Datenbereitstellungsverlangen

(1) Öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on müs­sen in ihren Daten­ver­lan­gen nach Arti­kel 14 a) ange­ben, wel­che Daten, ein­schließ­lich der für die Aus­le­gung und Nut­zung die­ser Daten erfor­der­li­chen rele­van­ten Meta­da­ten, benö­tigt wer­den; b) nach­wei­sen, dass die für das Bestehen einer außer­ge­wöhn­li­chen Not­wen­dig­keit erfor­der­li­chen Bedin­gun­gen gemäß Arti­kel 15 für die Zwecke, für die die Daten ver­langt wer­den, erfüllt sind; c) den Zweck des Ver­lan­gens, die beab­sich­tig­te Nut­zung der ver­lang­ten Daten gege­be­nen­falls auch durch einen Drit­ten gemäß Absatz 4, und die Dau­er die­ser Nut­zung sowie gege­be­nen­falls die Art und Wei­se erläu­tern, wie die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten der außer­ge­wöhn­li­chen Not­wen­dig­keit abhel­fen soll; d) nach Mög­lich­keit ange­ben, wann die Daten von allen Par­tei­en, die Zugang zu den Daten haben, vor­aus­sicht­lich gelöscht sein wer­den; e) die Wahl des Daten­in­ha­bers, an den das Ver­lan­gen gerich­tet ist, begrün­den; f) alle ande­ren öffent­li­chen Stel­len oder die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on und Drit­te ange­ben, an die die ver­lang­ten Daten vor­aus­sicht­lich wei­ter­ge­ge­ben wer­den; g)– falls per­so­nen­be­zo­ge­ne Daten ver­langt wer­den – alle tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men ange­ben, die zur Umset­zung der Daten­schutz­grund­sät­ze und erfor­der­li­chen Garan­tien erfor­der­lich und ver­hält­nis­mä­ßig sind, wie etwa die Pseud­ony­mi­sie­rung, und ob der Daten­in­ha­ber vor der Bereit­stel­lung der Daten eine Anony­mi­sie­rung vor­neh­men kann; h) die Rechts­vor­schrift ange­ben, durch die der anfra­gen­den öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Uni­on oder der Ein­rich­tung der Uni­on die für das Daten­ver­lan­gen rele­van­te spe­zi­fi­sche im öffent­li­chen Inter­es­se aus­ge­üb­te Auf­ga­be über­tra­gen wird; i)die Frist ange­ben, inner­halb deren die Daten bereit­zu­stel­len sind und die Frist gemäß Arti­kel 18 Absatz 2, inner­halb deren der Daten­in­ha­ber das Ver­lan­gen ableh­nen oder des­sen Ände­rung bean­tra­gen kann; j) sich nach besten Kräf­ten dar­um bemü­hen, zu ver­mei­den, dass die Erfül­lung des Daten­ver­lan­gens zur Haf­tung des Daten­in­ha­bers für Ver­stö­ße gegen das Uni­ons­recht oder natio­na­les Recht führt. (2) Ein Daten­ver­lan­gen nach Absatz 1 die­ses Arti­kels muss a) schrift­lich und in kla­rer, prä­gnan­ter, ein­fa­cher und für den Daten­in­ha­ber ver­ständ­li­cher Spra­che abge­fasst sein, b) genaue Anga­ben zur Art der ver­lang­ten Daten ent­hal­ten und sich auf die Daten bezie­hen, über die der Daten­in­ha­ber zum Zeit­punkt des Ver­lan­gens Kon­trol­le hat; c) im Hin­blick auf die Detail­stu­fe und den Umfang der ver­lang­ten Daten sowie die Häu­fig­keit des Zugangs zu den ver­lang­ten Daten in einem ange­mes­se­nen Ver­hält­nis zu der außer­ge­wöhn­li­chen Not­wen­dig­keit ste­hen und aus­rei­chend begrün­det sein; d) die recht­mä­ßi­gen Zie­le des Daten­in­ha­bers unter Zusa­ge der Gewähr­lei­stung der Wah­rung von Geschäfts­ge­heim­nis­sen gemäß Arti­kel 19 Absatz 3 und unter Berück­sich­ti­gung der Kosten und des nöti­gen Auf­wands für die Bereit­stel­lung der Daten ach­ten; e) nicht-per­so­nen­be­zo­ge­ne Daten betref­fen, und nur dann, wenn sich erweist, dass dies nicht aus­reicht, um auf die außer­ge­wöhn­li­che Not­wen­dig­keit der Nut­zung von Daten gemäß Arti­kel 15 Absatz 1 Buch­sta­be a zu reagie­ren, per­so­nen­be­zo­ge­ne Daten in pseud­ony­mi­sier­ter Form ver­lan­gen und die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men fest­le­gen, die zum Schutz der Daten ergrif­fen wer­den; f) dem Daten­in­ha­ber Auf­schluss über die Sank­tio­nen geben, die nach Arti­kel 40 von der nach Arti­kel 37 benann­ten zustän­di­gen Behör­de ver­hängt wer­den, wenn er dem Ver­lan­gen nicht nach­kommt; g) sofern das Ver­lan­gen durch eine öffent­li­che Stel­le erfolgt, dem in Arti­kel 37 genann­ten Daten­ko­or­di­na­tor des Mit­glied­staats, in dem die anfra­gen­de öffent­li­che Stel­le nie­der­ge­las­sen ist, über­mit­telt wer­den, der das Ver­lan­gen unver­züg­lich online öffent­lich ver­füg­bar macht, es sei denn, die öffent­li­che Stel­le ist der Auf­fas­sung, dass die­se Ver­öf­fent­li­chung eine Gefahr für die öffent­li­che Sicher­heit dar­stel­len wür­de; h) sofern das Ver­lan­gen durch die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on erfolgt, unver­züg­lich online ver­füg­bar gemacht wer­den; i)– falls per­so­nen­be­zo­ge­ne Daten ver­langt wer­den – der für die Über­wa­chung der Anwen­dung der Ver­ord­nung (EU) 2016/679 zustän­di­gen Auf­sichts­be­hör­de im Mit­glied­staat, in dem die öffent­li­che Stel­le nie­der­ge­las­sen ist, unver­züg­lich gemel­det wer­den. Die Euro­päi­sche Zen­tral­bank und die Ein­rich­tun­gen der Uni­on infor­mie­ren die Kom­mis­si­on über ihre Ver­lan­gen. (3) Eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on dür­fen nach die­sem Kapi­tel erlang­te Daten nicht zur Wei­ter­ver­wen­dung im Sin­ne des Arti­kels 2 Num­mer 2 der Ver­ord­nung (EU) 2022/868 oder Arti­kel 2 Num­mer 11 der Richt­li­nie (EU) 2019/1024 bereit­stel­len. Die Ver­ord­nung (EU) 2022/868 und die Richt­li­nie (EU) 2019/1024 fin­den kei­ne Anwen­dung auf nach die­sem Kapi­tel erlang­te von öffent­li­chen Stel­len gehal­te­ne Daten. (4) Durch Absatz 3 die­ses Arti­kels wird eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on nicht dar­an gehin­dert, nach die­sem Kapi­tel erlang­te Daten mit einer ande­ren öffent­li­chen Stel­le oder mit der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on zwecks Wahr­neh­mung der in Arti­kel 15 genann­ten Auf­ga­ben aus­zu­tau­schen, wie in dem Ver­lan­gen gemäß Absatz 1 Buch­sta­be f des vor­lie­gen­den Arti­kels ange­ge­ben, oder die Daten einem Drit­ten bereit­zu­stel­len, wenn sie im Rah­men einer öffent­lich ver­füg­ba­ren Ver­ein­ba­rung tech­ni­sche Inspek­tio­nen oder ande­re Auf­ga­ben an die­sen Drit­ten dele­giert hat. Die Pflich­ten öffent­li­cher Stel­len gemäß Arti­kel 19, ins­be­son­de­re die Garan­tien zur Wah­rung der Ver­trau­lich­keit von Geschäfts­ge­heim­nis­sen, gel­ten auch für die­se Drit­ten. Wenn eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on Daten nach die­sem Absatz über­mit­telt oder bereit­stellt, teilt sie dies dem Daten­in­ha­ber, von dem sie die Daten erhal­ten hat, unver­züg­lich mit. (5) Ist der Daten­in­ha­ber der Ansicht, dass sei­ne Rech­te nach die­sem Kapi­tel durch die Über­mitt­lung oder Bereit­stel­lung von Daten ver­letzt wur­den, so kann er bei der nach Arti­kel 37 benann­ten zustän­di­gen Behör­de des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, Beschwer­de ein­le­gen. (6) Die Kom­mis­si­on ent­wickelt ein Muster­for­mu­lar für Ver­lan­gen gemäß dem vor­lie­gen­den Artikel.

Arti­kel 18 Erfül­lung von Datenverlangen

(1) Ein Daten­in­ha­ber, der ein Daten­zu­gangs­ver­lan­gen nach die­sem Kapi­tel erhält, stellt der anfra­gen­den öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on die Daten unver­züg­lich bereit, wobei die erfor­der­li­chen tech­ni­schen, orga­ni­sa­to­ri­schen und recht­li­chen Maß­nah­men berück­sich­tigt wer­den. (2) Unbe­scha­det beson­de­rer Erfor­der­nis­se bezüg­lich der Ver­füg­bar­keit von Daten, die in Uni­ons­recht oder natio­na­lem Recht fest­ge­legt sind, kann ein Daten­in­ha­ber Daten­zu­gangs­ver­lan­gen im Sin­ne die­ses Kapi­tels im Fal­le von Daten, die zur Bewäl­ti­gung eines öffent­li­chen Not­stands erfor­der­lich sind, unver­züg­lich und in jedem Fall inner­halb von fünf Arbeits­ta­gen nach Ein­gang des Daten­ver­lan­gens sowie in ande­ren Fäl­len einer außer­ge­wöhn­li­chen Not­wen­dig­keit unver­züg­lich und in jedem Fall inner­halb von 30 Arbeits­ta­gen nach Ein­gang des betref­fen­den Daten­ver­lan­gens aus einem der fol­gen­den Grün­de ableh­nen oder deren Ände­rung bean­tra­gen: a) Der Daten­in­ha­ber hat kei­ne Kon­trol­le über die ver­lang­ten Daten; b) ein ähn­li­ches Ver­lan­gen zu dem­sel­ben Zweck wur­de bereits von einer ande­ren öffent­li­chen Stel­le oder von der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on gestellt, und der Daten­in­ha­ber wur­de nicht gemäß Arti­kel 19 Absatz 1 Buch­sta­be c über das Löschen der Daten unter­rich­tet; c) das Ver­lan­gen erfüllt nicht die Vor­aus­set­zun­gen nach Arti­kel 17 Absät­ze 1 und 2. (3) Wenn der Daten­in­ha­ber das Ver­lan­gen gemäß Absatz 2 Buch­sta­be b ablehnt oder des­sen Ände­rung bean­tragt, nennt er die öffent­li­che Stel­le oder die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on, die zuvor zu dem­sel­ben Zweck Daten ver­langt hat­te. (4) Wenn die ver­lang­ten Daten auch per­so­nen­be­zo­ge­ne Daten ent­hal­ten, wer­den die­se vom Daten­in­ha­ber ord­nungs­ge­mäß anony­mi­siert, es sei denn, zur Erfül­lung des Daten­zu­gangs­ver­lan­gens einer öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on ist die Offen­le­gung per­so­nen­be­zo­ge­ner Daten erfor­der­lich . In die­sen Fäl­len muss der Daten­in­ha­ber die Daten pseud­ony­mi­sie­ren. (5) Wenn die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on beab­sich­tigt, der Ableh­nung des Daten­ver­lan­gens eines Daten­in­ha­bers zu wider­spre­chen, oder wenn der Daten­in­ha­ber Ein­spruch gegen das Ver­lan­gen ein­zu­le­gen beab­sich­tigt und die Ange­le­gen­heit durch eine ent­spre­chen­de Ände­rung des Ver­lan­gens nicht bei­gelegt wer­den kann, wird die nach Arti­kel 37 benann­te zustän­di­ge Behör­de des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, mit der Ange­le­gen­heit befasst.

Arti­kel 19 Pflich­ten öffent­li­cher Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank und der Ein­rich­tun­gen der Union

(1) Eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on, die Daten auf­grund eines Ver­lan­gens nach Arti­kel 14 erhal­ten hat, a) darf die Daten nicht in einer Wei­se nut­zen, die mit dem Zweck des Daten­ver­lan­gens unver­ein­bar ist; b) muss tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men getrof­fen haben, die die Ver­trau­lich­keit und Inte­gri­tät der ver­lang­ten Daten und die Sicher­heit der Daten­über­mitt­lun­gen – ins­be­son­de­re bei per­so­nen­be­zo­ge­nen Daten – wah­ren und die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen schüt­zen; c) muss die Daten löschen, sobald sie für den ange­ge­be­nen Zweck nicht mehr erfor­der­lich sind, und dem Daten­in­ha­ber sowie den Ein­zel­per­so­nen oder Orga­ni­sa­tio­nen, die die Daten gemäß Arti­kel 21 Absatz 1 erhal­ten haben, unver­züg­lich mit­tei­len, dass die Daten gelöscht wor­den sind, es sei denn, die Archi­vie­rung der Daten ist im Ein­klang mit Uni­ons­recht oder natio­na­lem Recht über den Zugang der Öffent­lich­keit zu Doku­men­ten im Rah­men der Trans­pa­renz­ver­pflich­tun­gen vor­ge­schrie­ben. (2) Eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on oder Drit­te, die Daten gemäß die­sem Kapi­tel erhal­ten, sind nicht berech­tigt, a) die Daten oder Erkennt­nis­se über die wirt­schaft­li­che Lage, die Ver­mö­gens­wer­te und Pro­duk­ti­ons- oder Betriebs­me­tho­den des Daten­in­ha­bers zu nut­zen, um ein ver­netz­tes Pro­dukt oder einen ver­bun­de­nen Dienst zu ent­wickeln oder zu ver­bes­sern, das bzw. die mit dem ver­netz­ten Pro­dukt oder des ver­bun­de­nen Dien­stes des Daten­in­ha­bers im Wett­be­werb steht; b) die Daten für die unter Buch­sta­be a genann­ten Zwecke an einen ande­ren Drit­ten wei­ter­zu­ge­ben. (3) Die Offen­le­gung von Geschäfts­ge­heim­nis­sen gegen­über einer öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder einer Ein­rich­tung der Uni­on gilt nur in dem Maße als erfor­der­lich, in dem dies für den Zweck eines Ver­lan­gens gemäß Arti­kel 15 uner­läss­lich ist. In die­sem Fall muss der Daten­in­ha­ber oder, falls es sich dabei nicht um die­sel­be Per­son han­delt, der Inha­ber des Geschäfts­ge­heim­nis­ses die Daten, die als Geschäfts­ge­heim­nis­se geschützt sind, ein­schließ­lich der ein­schlä­gi­gen Meta­da­ten, iden­ti­fi­zie­ren. Die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on tref­fen vor der Offen­le­gung von Geschäfts­ge­heim­nis­sen alle erfor­der­li­chen und geeig­ne­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, um die Ver­trau­lich­keit der Geschäfts­ge­heim­nis­se zu wah­ren, gege­be­nen­falls ein­schließ­lich der Ver­wen­dung von Muster­ver­trags­be­stim­mun­gen, tech­ni­schen Nor­men und der Anwen­dung von Ver­hal­tens­ko­di­zes. (4) Eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on sind für die Sicher­heit der erhal­te­nen Daten verantwortlich. 

Arti­kel 20 Aus­gleich im Fal­le einer außer­ge­wöhn­li­chen Notwendigkeit

(1) Daten­in­ha­ber, bei denen es sich nicht um Kleinst­un­ter­neh­men und Klein­un­ter­neh­men han­delt, stel­len die zur Bewäl­ti­gung eines öffent­li­chen Not­stands nach Arti­kel 15 Absatz 1 Buch­sta­be a erfor­der­li­chen Daten unent­gelt­lich bereit. Die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on, die die Daten erhal­ten haben, erken­nen den Bei­trag des Daten­in­ha­bers auf des­sen Ersu­chen hin öffent­lich an . (2) Der Daten­in­ha­ber hat Anspruch auf eine fai­re Gegen­lei­stung für die Bereit­stel­lung von Daten im Ein­klang mit einem Ver­lan­gen gemäß Arti­kel 15 Absatz 1 Buch­sta­be b. Die­se Gegen­lei­stung deckt min­de­stens die tech­ni­schen und orga­ni­sa­to­ri­schen Kosten, die durch die Erfül­lung des Ver­lan­gens ent­ste­hen, gege­be­nen­falls ein­schließ­lich der Kosten einer Anony­mi­sie­rung, Pseud­ony­mi­sie­rung, Aggre­ga­ti­on und tech­ni­schen Anpas­sung, und einer ange­mes­se­nen Mar­ge. Auf Ver­lan­gen der öffent­li­chen Stel­le, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank oder der Ein­rich­tung der Uni­on über­mit­telt der Daten­in­ha­ber Infor­ma­tio­nen über die Grund­la­ge der Kosten­be­rech­nung und die ange­mes­se­ne Mar­ge. (3) Absatz 2 gilt auch, wenn Kleinst­un­ter­neh­men und Klein­un­ter­neh­men für die Bereit­stel­lung von Daten eine Gegen­lei­stung bean­spru­chen. (4) Daten­in­ha­ber haben kein Recht auf Gegen­lei­stung für die Bereit­stel­lung von Daten zur Erfül­lung eines Ver­lan­gens gemäß Arti­kel 15 Absatz 1 Buch­sta­be b, falls die beson­de­re Auf­ga­be im öffent­li­chen Inter­es­se in der Erstel­lung amt­li­cher Sta­ti­sti­ken durch­ge­führt wird und der Erwerb von Daten nach natio­na­lem Recht nicht zuläs­sig ist. Die Mit­glied­staa­ten unter­rich­ten die Kom­mis­si­on, wenn der Erwerb von Daten für die Erstel­lung amt­li­cher Sta­ti­sti­ken nach natio­na­lem Recht nicht zuläs­sig ist. (5) Ist die öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on mit der Höhe der vom Daten­in­ha­ber gefor­der­ten Gegen­lei­stung nicht ein­ver­stan­den, so kann sie bei der nach Arti­kel 37 benann­ten zustän­di­gen Behör­de des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, Beschwer­de einlegen. 

Arti­kel 21 Wei­ter­ga­be von im Zusam­men­hang mit außer­ge­wöhn­li­chen Not­wen­dig­kei­ten erhal­te­nen Daten an For­schungs­ein­rich­tun­gen oder sta­ti­sti­sche Ämter

(1) Eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on ist berech­tigt, die nach die­sem Kapi­tel erhal­te­nen Daten wei­ter­zu­ge­ben a) an Ein­zel­per­so­nen oder Orga­ni­sa­tio­nen im Hin­blick auf die Durch­füh­rung wis­sen­schaft­li­cher For­schungs­tä­tig­kei­ten oder Ana­ly­sen, die mit dem Zweck des Daten­ver­lan­gens ver­ein­bar sind, oder b) an natio­na­le sta­ti­sti­sche Ämter oder an Euro­stat zur Erstel­lung amt­li­cher Sta­ti­sti­ken. (2) Per­so­nen oder Orga­ni­sa­tio­nen, die Daten nach Absatz 1 erhal­ten, müs­sen gemein­nüt­zig oder im Rah­men einer nach Uni­ons­recht oder nach natio­na­lem Recht aner­kann­ten Auf­ga­be von öffent­li­chem Inter­es­se han­deln. Dies umfasst kei­ne Orga­ni­sa­tio­nen, die in erheb­li­chem Maße dem Ein­fluss gewerb­li­cher Unter­neh­men unter­lie­gen, wodurch die­se einen bevor­zug­ten Zugang zu den For­schungs­er­geb­nis­sen erhal­ten könn­ten. (3) Ein­zel­per­so­nen oder Orga­ni­sa­tio­nen, die Daten nach Absatz 1 des vor­lie­gen­den Arti­kels erhal­ten, müs­sen die glei­chen Ver­pflich­tun­gen erfül­len, die für öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tun­gen der Uni­on nach Arti­kel 17 Absatz 3 und Arti­kel 19 gel­ten. (4) Unbe­scha­det des Arti­kels 19 Absatz 1 Buch­sta­be c kön­nen Ein­zel­per­so­nen oder Orga­ni­sa­tio­nen, die Emp­fän­ger der Daten gemäß Absatz 1 die­ses Arti­kels sind, die erhal­te­nen Daten, nach­dem sie von den öffent­li­chen Stel­len, der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank und den Ein­rich­tun­gen der Uni­on gelöscht wur­den, für einen Zeit­raum von bis zu sechs Mona­ten für die Zwecke des Daten­ver­lan­gens auf­be­wah­ren. (5) Beab­sich­tigt eine öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder eine Ein­rich­tung der Uni­on, Daten gemäß Absatz 1 des vor­lie­gen­den Arti­kels zu über­mit­teln oder bereit­zu­stel­len, so teilt sie dies dem Daten­in­ha­ber, von dem die Daten emp­fan­gen wur­den, unver­züg­lich mit, unter Anga­be der Iden­ti­tät und der Kon­takt­da­ten der die Daten emp­fan­gen­den Orga­ni­sa­ti­on oder Ein­zel­per­son, des Zwecks der Über­mitt­lung oder Bereit­stel­lung der Daten, des Zeit­raums, für den die Daten ver­wen­det wer­den sol­len, und der getrof­fe­nen tech­ni­schen Schutz­maß­nah­men und orga­ni­sa­to­ri­schen Maß­nah­men, auch wenn per­so­nen­be­zo­ge­ne Daten oder Geschäfts­ge­heim­nis­se betrof­fen sind. Ist der Daten­in­ha­ber mit der Über­mitt­lung oder Bereit­stel­lung von Daten nicht ein­ver­stan­den, so kann er bei der nach Arti­kel 37 benann­ten zustän­di­gen Behör­de des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, Beschwer­de einlegen. 

Arti­kel 22 Amts­hil­fe und grenz­über­schrei­ten­de Zusammenarbeit

(1) Öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank und die Ein­rich­tun­gen der Uni­on arbei­ten im Hin­blick auf die kohä­ren­te Umset­zung die­ses Kapi­tels zusam­men und unter­stüt­zen sich dies­be­züg­lich gegen­sei­tig. (2) Daten, die im Zusam­men­hang mit einem Amts­hil­fe­er­su­chen und gelei­ste­ter Amts­hil­fe nach Absatz 1 aus­ge­tauscht wor­den sind, dür­fen nicht in einer Wei­se genutzt wer­den, die mit dem Zweck des Daten­ver­lan­gens unver­ein­bar ist. (3) Beab­sich­tigt eine öffent­li­che Stel­le, von einem Daten­in­ha­ber, der in einem ande­ren Mit­glied­staat nie­der­ge­las­sen ist, die Bereit­stel­lung von Daten zu ver­lan­gen, so teilt sie die­se Absicht zunächst der nach Arti­kel 37 benann­ten zustän­di­gen Behör­de jenes Mit­glied­staats mit. Die­se Anfor­de­rung gilt auch für Zugangs­ver­lan­gen der Kom­mis­si­on, der Euro­päi­schen Zen­tral­bank sowie von Ein­rich­tun­gen der Uni­on. Das Ver­lan­gen wird von der zustän­di­gen Behör­de des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, geprüft. (4) Nach Prü­fung des Ver­lan­gens im Lich­te der in Arti­kel 17 fest­ge­leg­ten Anfor­de­run­gen ergreift die jeweils zustän­di­ge Behör­de unver­züg­lich eine der fol­gen­den Maß­nah­men: a) Sie über­mit­telt das Ver­lan­gen an den Daten­in­ha­ber und weist die anfra­gen­de öffent­li­chen Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on gege­be­nen­falls dar­auf hin, dass sie mit öffent­li­chen Stel­len des Mit­glied­staats, in dem der Daten­in­ha­ber nie­der­ge­las­sen ist, zusam­men­ar­bei­ten muss, um den Ver­wal­tungs­auf­wand für den Daten­in­ha­ber bei der Erfül­lung des Ver­lan­gens zu ver­rin­gern; b) sie lehnt das Ver­lan­gen aus hin­rei­chend begrün­de­ten Grün­den im Ein­klang mit die­sem Kapi­tel ab. Die anfra­gen­de öffent­li­che Stel­le, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder die Ein­rich­tung der Uni­on trägt dem Hin­weis der jeweils zustän­di­gen Behör­de sowie den von die­ser genann­ten Grün­den gemäß Unter­ab­satz 1 Rech­nung, bevor sie, falls zutref­fend, wei­te­re Maß­nah­men wie die erneu­te Ein­rei­chung des Ver­lan­gens ergreift. 

KAPITEL VI WECHSEL ZWISCHEN DATENVERARBEITUNGSDIENSTEN

Arti­kel 23 Besei­ti­gung von Hin­der­nis­sen für einen wirk­sa­men Wechsel 

Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten tref­fen die in den Arti­keln 25, 26, 27, 29 und 30 vor­ge­se­he­nen Maß­nah­men, um es Kun­den zu ermög­li­chen, zu einem Daten­ver­ar­bei­tungs­dienst, der die glei­che Dienstart abdeckt, die von einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten erbracht wird, oder zu IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten zu wech­seln oder gege­be­nen­falls meh­re­re Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten gleich­zei­tig in Anspruch zu neh­men. Ins­be­son­de­re dür­fen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten kei­ne vor­kom­mer­zi­el­len, gewerb­li­chen, tech­ni­schen, ver­trag­li­chen und orga­ni­sa­to­ri­schen Hin­der­nis­se auf­zwin­gen und müs­sen sol­che Hin­der­nis­se besei­ti­gen, wenn sie die Kun­den dar­an hin­dern, a) den Ver­trag über den Daten­ver­ar­bei­tungs­dienst nach der maxi­ma­len Kün­di­gungs­frist und nach­dem der Wech­sel gemäß Arti­kel 25 erfolg­reich voll­zo­gen ist, zu kün­di­gen; b) neue Ver­trä­ge mit einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten für die glei­che Dienstart zu schlie­ßen; c) expor­tier­ba­re Daten des Kun­den und digi­ta­le Ver­mö­gens­wer­te zu einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten oder zu einer IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten zu über­tra­gen, auch nach Inan­spruch­nah­me eines unent­gelt­li­chen Ange­bots; d) gemäß Arti­kel 24 die Funk­ti­ons­äqui­va­lenz bei der Nut­zung des neu­en Daten­ver­ar­bei­tungs­dien­stes in der IKT-Umge­bung eines ande­ren Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten, der die glei­che Dienstart abdeckt, zu errei­chen; e) die in Arti­kel 30 Absatz 1 genann­ten Daten­ver­ar­bei­tungs­dien­ste von ande­ren von dem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten erbrach­ten Daten­ver­ar­bei­tungs­dien­sten zu tren­nen, soweit dies tech­nisch durch­führ­bar ist. 

Arti­kel 24 Trag­wei­te der tech­ni­schen Verpflichtungen

Die Ver­ant­wor­tung von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten gemäß der Arti­kel 23, 25, 29, 30 und 34 gilt nur für die Dien­ste, Ver­trä­ge oder Geschäfts­ge­pflo­gen­hei­ten, die vom ursprüng­li­chen Anbie­ter der Daten­ver­ar­bei­tungs­dien­ste ange­bo­ten wurden. 

Arti­kel 25 Ver­trags­klau­seln für den Wechsel 

(1) Die Rech­te des Kun­den und die Pflich­ten des Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten in Bezug auf den Wech­sel zwi­schen Anbie­tern sol­cher Dien­ste oder gege­be­nen­falls zu einer IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten wer­den ein­deu­tig in einem schrift­li­chen Ver­trag fest­ge­legt. Der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten stellt dem Kun­den die­sen Ver­trag vor der Ver­trags­un­ter­zeich­nung so bereit, dass er den Ver­trag spei­chern und repro­du­zie­ren kann. (2) Unbe­scha­det der Richt­li­nie (EU) 2019/770 ent­hält der in Absatz 1 die­ses Arti­kels genann­te Ver­trag min­de­stens Fol­gen­des: a) Klau­seln, die es dem Kun­den ermög­li­chen, auf Ver­lan­gen zu einem Daten­ver­ar­bei­tungs­dienst zu wech­seln, der von einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ange­bo­ten wird, oder alle expor­tier­ba­ren Daten und digi­ta­len Ver­mö­gens­wer­te unver­züg­lich und in kei­nem Fall zu einem spä­te­ren Zeit­punkt als nach Ablauf der ver­bind­li­chen Über­gangs­frist von höch­stens 30 Kalen­der­ta­gen ab Ablauf der in Buch­sta­be d genann­ten maxi­ma­len Kün­di­gungs­frist auf eine IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten zu über­tra­gen, wobei der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten in die­ser Frist i)dem Kun­den und von ihm auto­ri­sier­ten Drit­ten beim Voll­zug des Wech­sels ange­mes­se­ne Unter­stüt­zung lei­stet; ii) mit der gebo­te­nen Sorg­falt han­delt, um die Kon­ti­nui­tät des Geschäfts­be­triebs auf­recht­zu­er­hal­ten und die Erbrin­gung der ver­trags­mä­ßi­gen Funk­tio­nen oder Dien­ste fort­zu­set­zen; iii) ein­deu­tig über bekann­te Risi­ken für die unter­bre­chungs­freie Erbrin­gung der Funk­tio­nen oder Dien­ste unter­rich­tet, die auf den ursprüng­li­chen Anbie­ter der Daten­ver­ar­bei­tungs­dien­ste zurück­ge­hen; iv) wäh­rend der Wech­sel voll­zo­gen wird, für ein hohes Maß an Sicher­heit sorgt; dies gilt ins­be­son­de­re für die Sicher­heit der Daten wäh­rend ihrer Über­tra­gung und die kon­ti­nu­ier­li­che Sicher­heit der Daten wäh­rend des in Buch­sta­be g genann­ten Abruf­zeit­raums im Ein­klang mit dem gel­ten­den Uni­ons­recht oder dem natio­na­len Recht; b) die Ver­pflich­tung des Anbie­ters von Daten­ver­ar­bei­tungs­dien­sten, die für die ver­trag­lich ver­ein­bar­ten Dien­ste rele­van­te Aus­stiegs­stra­te­gie des Kun­den zu unter­stüt­zen, unter ande­rem durch Bereit­stel­lung aller ein­schlä­gi­gen Infor­ma­tio­nen; c) eine Klau­sel, in der fest­ge­legt ist, dass der Ver­trag als been­det gilt und der Kun­de über die Kün­di­gung in einem der fol­gen­den Fäl­le unter­rich­tet wird: i)gege­be­nen­falls, nach­dem der Wech­sel erfolg­reich voll­zo­gen ist; ii) nach Ablauf der in Buch­sta­be d genann­ten maxi­ma­len Kün­di­gungs­frist, wenn der Kun­de nicht wech­seln, son­dern sei­ne expor­tier­ba­ren Daten und digi­ta­len Ver­mö­gens­wer­te nach Been­di­gung des Dien­stes löschen möch­te, d) eine maxi­ma­le Kün­di­gungs­frist für die Ein­lei­tung des Wech­sels, die zwei Mona­te nicht über­schrei­ten darf; e) eine erschöp­fen­de Auf­li­stung aller Kate­go­rien von Daten und digi­ta­len Ver­mö­gens­wer­ten, die wäh­rend des Wech­sel­voll­zugs über­tra­gen wer­den kön­nen, ein­schließ­lich min­de­stens aller expor­tier­ba­ren Daten; f) eine erschöp­fen­de Liste der Daten­ka­te­go­rien, die für die inter­ne Funk­ti­ons­wei­se des Daten­ver­ar­bei­tungs­dien­stes des Anbie­ters spe­zi­fisch sind und von den expor­tier­ba­ren Daten gemäß Buch­sta­be e des vor­lie­gen­den Absat­zes aus­ge­nom­men wer­den, wenn die Gefahr einer Ver­let­zung von Geschäfts­ge­heim­nis­sen des Anbie­ters besteht, vor­aus­ge­setzt sol­che Aus­nah­men behin­dern oder ver­zö­gern den Wech­sel nach Arti­kel 23 Buch­sta­be c nicht; g) eine Min­dest­frist für den Daten­ab­ruf von min­de­stens 30 Kalen­der­ta­gen, der nach dem Ablauf des zwi­schen dem Kun­den und dem Anbie­ter der Daten­ver­ar­bei­tungs­dien­ste gemäß Buch­sta­be a des vor­lie­gen­den Absat­zes und Absatz 4 ver­ein­bar­ten Über­gangs­zeit­raums beginnt; h) eine Klau­sel, die garan­tiert, dass alle expor­tier­ba­ren Daten und digi­ta­len Ver­mö­gens­wer­te, die direkt vom Kun­den gene­riert wer­den oder sich direkt auf den Kun­den bezie­hen, nach Ablauf des unter Buch­sta­be g genann­ten Abruf­zeit­raums oder nach Ablauf eines ver­ein­bar­ten alter­na­ti­ven Zeit­raums zu einem spä­te­ren Zeit­punkt als dem Ablauf­da­tum des in Buch­sta­be g genann­ten Abruf­zeit­raums voll­stän­dig gelöscht wer­den, sofern der Wech­sel erfolg­reich voll­zo­gen ist; i)Wech­sel­ent­gel­te, die von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten gemäß Arti­kel 29 erho­ben wer­den kön­nen. (3) Der in Absatz 1 genann­te Ver­trag muss Klau­seln ent­hal­ten, wonach der Kun­de den Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten nach Ablauf der maxi­ma­len Kün­di­gungs­frist gemäß Absatz 2 Buch­sta­be d über sei­ne Ent­schei­dung unter­rich­ten kann, eine oder meh­re­re der fol­gen­den Maß­nah­men durch­zu­füh­ren: a) Wech­sel zu einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten, wobei der Kun­de in die­sem Fall die erfor­der­li­chen Anga­ben zu die­sem Anbie­ter macht; b) Wech­sel zu einer IKT-Infra­struk­tur in eige­nen Räum­lich­kei­ten; c) Löschung sei­ner expor­tier­ba­ren Daten und digi­ta­len Ver­mö­gens­wer­te. (4) Ist der ver­bind­li­che maxi­ma­le Über­gangs­zeit­raum nach Absatz 2 Buch­sta­be a tech­nisch nicht durch­führ­bar, so teilt der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten dies dem Kun­den inner­halb von 14 Arbeits­ta­gen nach der Bean­tra­gung des Wech­sels mit und begrün­det ord­nungs­ge­mäß die tech­ni­sche Undurch­führ­bar­keit und gibt einen alter­na­ti­ven Über­gangs­zeit­raum an, der sie­ben Mona­te nicht über­schrei­ten darf. Im Ein­klang mit Absatz 1 wird die Kon­ti­nui­tät des Dien­stes wäh­rend des alter­na­ti­ven Über­gangs­zeit­raums gege­be­nen­falls sicher­ge­stellt. (5) Unbe­scha­det des Absat­zes 4 ent­hält der in Absatz 1 genann­te Ver­trag Klau­seln, wonach der Kun­de berech­tigt ist, den Über­gangs­zeit­raum ein­mal um einen Zeit­raum zu ver­län­gern, den er für sei­ne eige­nen Zwecke für ange­mes­se­ner hält. 

Arti­kel 26 Infor­ma­ti­ons­pflicht der Anbie­ter von Datenverarbeitungsdiensten

Der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten stellt dem Kun­den Fol­gen­des bereit: a) Infor­ma­tio­nen über die ver­füg­ba­ren Ver­fah­ren für den Wech­sel und die Über­tra­gung von Inhal­ten auf den Daten­ver­ar­bei­tungs­dienst, ein­schließ­lich Infor­ma­tio­nen über ver­füg­ba­re Wech­sel- und Über­tra­gungs­me­tho­den und for­ma­te sowie über Ein­schrän­kun­gen und tech­ni­sche Beschrän­kun­gen, die dem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten bekannt sind; b) einen Ver­weis auf ein aktu­el­les Online-Regi­ster der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten mit Ein­zel­hei­ten zu allen Daten­struk­tu­ren und Daten­for­ma­ten sowie zu den ein­schlä­gi­gen Nor­men und offe­nen Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen, in denen die in Arti­kel 25 Absatz 2 Buch­sta­be e beschrie­be­nen expor­tier­ba­ren Daten ver­füg­bar sind.

Arti­kel 27 Ver­pflich­tung zum Han­deln nach Treu und Glauben

Alle Betei­lig­ten, ein­schließ­lich der über­neh­men­den Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten, arbei­ten nach Treu und Glau­ben zusam­men, damit der Wech­sel effek­tiv voll­zo­gen wird, Daten recht­zei­tig über­tra­gen wer­den kön­nen und die Kon­ti­nui­tät des Daten­ver­ar­bei­tungs­dien­stes auf­recht­erhal­ten wird. 

Arti­kel 28 Ver­trag­li­che Trans­pa­renz­pflich­ten in Bezug auf den Zugang und die Über­mitt­lung im inter­na­tio­na­len Umfeld

(1) Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten stel­len auf ihren Web­sites fol­gen­de Infor­ma­tio­nen bereit und hal­ten die­se Infor­ma­tio­nen auf dem neue­sten Stand: a) die Gerichts­bar­keit, der die IKT-Infra­struk­tur unter­liegt, die für die Daten­ver­ar­bei­tung der ein­zel­nen Dien­ste der Anbie­ter errich­tet wur­de; b) eine all­ge­mei­ne Beschrei­bung der tech­ni­schen, orga­ni­sa­to­ri­schen und ver­trag­li­chen Maß­nah­men, die der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten getrof­fen hat, um einen inter­na­tio­na­len staat­li­chen Zugang zu oder eine inter­na­tio­na­le staat­li­che Über­mitt­lung von in der Uni­on gespei­cher­ten nicht-per­so­nen­be­zo­ge­nen Daten zu ver­hin­dern, wenn ein ent­spre­chen­der Zugang oder eine ent­spre­chen­de Über­mitt­lung im Wider­spruch zum Uni­ons­recht oder zum natio­na­len Recht des betref­fen­den Mit­glied­staats stün­de. (2) Die in Absatz 1 genann­ten Web­sites wer­den in dem Ver­trag für alle Daten­ver­ar­bei­tungs­dien­ste, die von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten ange­bo­ten wer­den, aufgeführt. 

Arti­kel 29 Schritt­wei­se Abschaf­fung von Wech

sel­ent­gel­ten (1) Ab dem … [drei Jah­re nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] dür­fen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten für den Voll­zug des Anbie­ter­wech­sels kei­ne Wech­sel­ent­gel­te mehr erhe­ben. (2) Vom … [Tag des Inkraft­tre­tens die­ser Ver­ord­nung] bis zum … [drei Jah­re nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] dür­fen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten bei den Kun­den für den Voll­zug des Wech­sels ermä­ßig­te Wech­sel­ent­gel­te erhe­ben. (3) Die in Absatz 2 genann­ten ermä­ßig­ten Wech­sel­ent­gel­te dür­fen die Kosten, die dem Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten im unmit­tel­ba­ren Zusam­men­hang mit dem betref­fen­den Wech­sel ent­ste­hen, nicht über­stei­gen. (4) Vor dem Abschluss eines Ver­trags mit einem Kun­den unter­rich­ten Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten den poten­zi­el­len Kun­den ein­deu­tig über die mög­li­cher­wei­se erho­be­nen Stan­dard­dienst­ent­gel­te und die bei vor­zei­ti­ger Kün­di­gung mög­li­cher­wei­se auf­er­leg­ten Sank­tio­nen sowie über die ermä­ßig­ten Wech­sel­ent­gel­te, die wäh­rend des in Absatz 2 genann­ten Zeit­rah­mens erho­ben wer­den könn­ten. (5) Gege­be­nen­falls stel­len Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten einem Kun­den Infor­ma­tio­nen über Daten­ver­ar­bei­tungs­dien­ste bereit, durch die der Wech­sel sehr kom­pli­ziert oder kost­spie­lig wird oder ohne nen­nens­wer­te Ein­grif­fe in die Daten, digi­ta­len Ver­mö­gens­wer­te oder die Dienst­ar­chi­tek­tur unmög­lich ist. (6) Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ver­öf­fent­li­chen die in den Absät­zen 4 und 5 genann­ten Infor­ma­tio­nen für Kun­den gege­be­nen­falls auf einem geson­der­ten Abschnitt ihrer Web­site oder auf eine ande­re leicht zugäng­li­che Wei­se. (7) Der Kom­mis­si­on wird die Befug­nis über­tra­gen, gemäß Arti­kel 45 dele­gier­te Rechts­ak­te zur Ergän­zung die­ser Ver­ord­nung zu erlas­sen, indem ein Über­wa­chungs­me­cha­nis­mus ein­ge­rich­tet wird, mit dem die Kom­mis­si­on die von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten auf dem Markt ver­lang­ten Wech­sel­ent­gel­te über­wa­chen kann, um sicher­zu­stel­len, dass die Wech­sel­ent­gel­te gemäß den Absät­zen 1 und 2 des vor­lie­gen­den Arti­kels inner­halb der in die­sen Absät­zen fest­ge­leg­ten Fri­sten abge­schafft und ver­rin­gert werden. 

Arti­kel 30 Tech­ni­sche Aspek­te des Wechsels

(1) Was Daten­ver­ar­bei­tungs­dien­ste für ska­lier­ba­re und ela­sti­sche Rechen­res­sour­cen betrifft, die auf Infra­struk­tur­ele­men­te wie Ser­ver, Net­ze und die für den Betrieb der Infra­struk­tur erfor­der­li­chen vir­tu­el­len Res­sour­cen beschränkt sind, aber kei­nen Zugang zu den Betriebs­dien­sten, zur Soft­ware und zu den Anwen­dun­gen gewäh­ren, die auf die­sen Infra­struk­tur­ele­men­ten gespei­chert sind, ander­wei­tig ver­ar­bei­tet oder ein­ge­setzt wer­den, ergrei­fen Anbie­ter im Ein­klang mit Arti­kel 27 alle ihnen zur Ver­fü­gung ste­hen­den ange­mes­se­nen Maß­nah­men, um zu ermög­li­chen, dass der Kun­de, nach­dem er zu einem Dienst der glei­chen Dienstart gewech­selt ist, bei der Nut­zung des über­neh­men­den Daten­ver­ar­bei­tungs­dien­stes Funk­ti­ons­äqui­va­lenz erreicht. Der ursprüng­li­che Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ermög­licht den Wech­sel, indem er Kapa­zi­tä­ten, ange­mes­se­ne Infor­ma­tio­nen, Doku­men­ta­ti­ons­ma­te­ri­al, tech­ni­sche Unter­stüt­zung und gege­be­nen­falls die erfor­der­li­chen Instru­men­te bereit­stellt. (2) Ande­re als die in Absatz 1 genann­ten Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten stel­len allen ihren Kun­den und den betref­fen­den über­neh­men­den Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten unent­gelt­lich offe­ne Schnitt­stel­len bereit, um den Wech­sel zu ermög­li­chen. Die­se Schnitt­stel­len müs­sen aus­rei­chen­de Infor­ma­tio­nen über den betref­fen­den Dienst ent­hal­ten, damit die Soft­ware ent­wickelt wer­den kann, die für die Kom­mu­ni­ka­ti­on mit den Dien­sten zu Zwecken der Daten­über­trag­bar­keit und der Inter­ope­ra­bi­li­tät erfor­der­lich ist. (3) Bei ande­ren als den in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Daten­ver­ar­bei­tungs­dien­sten gewähr­lei­sten Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten die Kom­pa­ti­bi­li­tät mit gemein­sa­men Spe­zi­fi­ka­tio­nen auf der Grund­la­ge offe­ner Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen oder har­mo­ni­sier­ter Inter­ope­ra­bi­li­täts­nor­men, und zwar min­de­stens zwölf Mona­te, nach­dem die Bezug­nah­men auf die­se gemein­sa­men Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen oder har­mo­ni­sier­ten Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten – im Anschluss an die Ver­öf­fent­li­chung der zugrun­de lie­gen­den Durch­füh­rungs­rechts­ak­te im Amts­blatt der Euro­päi­schen Uni­on – in der zen­tra­len Daten­bank der Uni­on für Nor­men für Daten­ver­ar­bei­tungs­dien­ste im Ein­klang mit Arti­kel 35 Absatz 8 ver­öf­fent­licht wur­den. (4) Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten, die nicht in Absatz 1 die­ses Arti­kels genannt sind, aktua­li­sie­ren das in Arti­kel 26 Buch­sta­be b genann­te Online-Regi­ster im Ein­klang mit ihren Ver­pflich­tun­gen gemäß Absatz 3 des vor­lie­gen­den Arti­kels. (5) Im Fal­le eines Wech­sels zwi­schen Dien­sten der glei­chen Dienstart, für die in der zen­tra­len Daten­bank der Uni­on für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten gemäß Arti­kel 35 Absatz 8 kei­ne gemein­sa­men Spe­zi­fi­ka­tio­nen oder die in Absatz 3 des vor­lie­gen­den Arti­kels genann­ten har­mo­ni­sier­ten Nor­men für die Inter­ope­ra­bi­li­tät ver­öf­fent­licht wur­den, expor­tiert der Anbie­ter der Daten­ver­ar­bei­tungs­dien­ste auf Ver­lan­gen des Kun­den alle expor­tier­ba­ren Daten in einem struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat. (6) Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten sind nicht ver­pflich­tet, neue Tech­no­lo­gien oder Dien­ste zu ent­wickeln oder digi­ta­le Ver­mö­gens­wer­te, die durch Rech­te des gei­sti­gen Eigen­tums geschützt sind oder ein Geschäfts­ge­heim­nis dar­stel­len, gegen­über einem Kun­den oder einem ande­ren Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten offen­zu­le­gen oder die Sicher­heit und Inte­gri­tät des Kun­den oder Anbie­ters zu beeinträchtigen. 

Arti­kel 31 Spe­zi­fi­sche Rege­lung für bestimm­te Datenverarbeitungsdienste

(1) Die in Arti­kel 23 Buch­sta­be d, Arti­kel 29 und Arti­kel 30 Absät­ze 1 und 3 fest­ge­leg­ten Ver­pflich­tun­gen gel­ten nicht für Daten­ver­ar­bei­tungs­dien­ste, bei denen die mei­sten zen­tra­len Funk­tio­nen auf die spe­zi­fi­schen Bedürf­nis­se eines ein­zel­nen Kun­den zuge­schnit­ten wur­den, oder wenn alle Kom­po­nen­ten für die Zwecke eines ein­zel­nen Kun­den ent­wickelt wur­den und wenn die­se Daten­ver­ar­bei­tungs­dien­ste nicht im grö­ße­ren kom­mer­zi­el­len Maß­stab über den Dienst­lei­stungs­ka­ta­log der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten ange­bo­ten wer­den. (2) Die in die­sem Kapi­tel fest­ge­leg­ten Ver­pflich­tun­gen gel­ten nicht für Daten­ver­ar­bei­tungs­dien­ste, die nicht als Voll­ver­si­on, son­dern zu Test- und Bewer­tungs­zwecken und für einen begrenz­ten Zeit­raum bereit­ge­stellt wer­den. (3) Vor dem Abschluss eines Ver­trags über die Erbrin­gung der in die­sem Arti­kel genann­ten Daten­ver­ar­bei­tungs­dien­ste unter­rich­tet der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten den poten­zi­el­len Kun­den über die Ver­pflich­tun­gen aus die­sem Kapi­tel, die nicht gelten. 

KAPITEL VII UNRECHTMÄẞIGER STAATLICHER ZUGANG ZU UND UNRECHTMÄẞIGE STAATLICHE ÜBERMITTLUNG VON NICHT-PERSONENBEZOGENEN DATEN IM INTERNATIONALEN UMFELD

Arti­kel 32 Staat­li­cher Zugang und staat­li­che Über­mitt­lung im inter­na­tio­na­len Umfeld

(1) Unbe­scha­det der Absät­ze 2 oder 3 tref­fen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten alle ange­mes­se­nen tech­ni­schen, orga­ni­sa­to­ri­schen und recht­li­chen Maß­nah­men, ein­schließ­lich Ver­trä­gen, um den staat­li­chen Zugang zu und die staat­li­che Über­mitt­lung von in der Uni­on gespei­cher­ten nicht-per­so­nen­be­zo­ge­nen Daten im inter­na­tio­na­len Umfeld und durch Dritt­län­der zu ver­hin­dern, wenn dies im Wider­spruch zum Uni­ons­recht oder zum natio­na­len Recht des betref­fen­den Mit­glied­staats ste­hen wür­de. (2) Für jeg­li­che Ent­schei­dung bzw. jeg­li­ches Urteil eines Gerichts eines Dritt­lands und jeg­li­che Ent­schei­dung einer Ver­wal­tungs­be­hör­de eines Dritt­lands, die Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten auf­for­dern, in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­de nicht-per­so­nen­be­zo­ge­ne Daten zu über­mit­teln oder Zugang zu die­sen Daten zu gewäh­ren, gilt, dass sie unab­hän­gig von der Art und Wei­se nur aner­kannt wer­den bzw. voll­streck­bar sind, wenn sie auf einer rechts­kräf­ti­gen inter­na­tio­na­len Über­ein­kunft, etwa auf einem Rechts­hil­fe­ab­kom­men zwi­schen dem anfra­gen­den Dritt­land und der Uni­on oder einer sol­cher Über­ein­kunft zwi­schen dem anfra­gen­den Dritt­land und einem Mit­glied­staat, beru­hen. (3) Wenn kei­ne inter­na­tio­na­le Über­ein­kunft gemäß Absatz 2 besteht und an einen Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten eine Ent­schei­dung bzw. ein Urteil eines Gerichts eines Dritt­lands oder eine Ent­schei­dung einer Ver­wal­tungs­be­hör­de eines Dritt­lands ergeht, wonach unter die­se Ver­ord­nung fal­len­de in der Uni­on gespei­cher­te nicht-per­so­nen­be­zo­ge­ne Daten zu über­mit­teln sind oder Zugang zu die­sen Daten zu gewäh­ren ist, und der Adres­sat eines sol­chen Urteils oder einer sol­chen Ent­schei­dung im Fal­le der Fol­ge­lei­stung gegen das Uni­ons­recht oder das natio­na­le Recht des betref­fen­den Mit­glied­staats ver­sto­ßen wür­de, erfolgt die Über­mitt­lung von oder die Gewäh­rung des Zugangs zu die­sen Daten an bzw. für die betref­fen­de Dritt­lands­be­hör­de nur, wenn a) das Rechts­sy­stem des Dritt­lands vor­schreibt, dass die Ent­schei­dung oder das Urteil zu begrün­den ist und ver­hält­nis­mä­ßig sein muss, und vor­sieht, dass die Ent­schei­dung oder das Urteil eine hin­rei­chen­de Bestimmt­heit auf­wei­sen muss, indem dar­in z. B. eine hin­rei­chen­de Bezug­nah­me auf bestimm­te ver­däch­ti­ge Per­so­nen oder Rechts­ver­let­zun­gen erfolgt, b) der begrün­de­te Ein­wand des Adres­sa­ten von einem zustän­di­gen Gericht des Dritt­lands über­prüft wird und c) das zustän­di­ge Gericht des Dritt­lands, das die Ent­schei­dung oder das Urteil erlässt oder die Ent­schei­dung einer Ver­wal­tungs­be­hör­de über­prüft, nach dem Recht die­ses Dritt­lands befugt ist, die ein­schlä­gi­gen recht­li­chen Inter­es­sen des Bereit­stel­lers der durch das Uni­ons­recht oder das natio­na­le Recht des betref­fen­den Mit­glied­staats geschütz­ten Daten gebüh­rend zu berück­sich­ti­gen. Der Adres­sat der Ent­schei­dung oder des Urteils kann die Stel­lung­nah­me der zustän­di­gen natio­na­len Stel­le oder der für die inter­na­tio­na­le Zusam­men­ar­beit in Rechts­sa­chen zustän­di­gen Behör­de ein­ho­len, um fest­zu­stel­len, ob die in Unter­ab­satz 1 fest­ge­leg­ten Bedin­gun­gen erfüllt sind, ins­be­son­de­re wenn er der Auf­fas­sung ist, dass die Ent­schei­dung mög­li­cher­wei­se Geschäfts­ge­heim­nis­se und ande­re sen­si­ble Geschäfts­da­ten sowie Inhal­te, die durch Rech­te des gei­sti­gen Eigen­tums geschützt sind, betrifft oder die Über­mitt­lung eine Re-Iden­ti­fi­ka­ti­on ermög­li­chen könn­te. Die zustän­di­ge natio­na­le Stel­le oder Behör­de kann die Kom­mis­si­on kon­sul­tie­ren. Ist der Adres­sat der Auf­fas­sung, dass die Ent­schei­dung oder das Urteil die natio­na­le Sicher­heit oder die Ver­tei­di­gungs­in­ter­es­sen der Uni­on oder ihrer Mit­glied­staa­ten beein­träch­ti­gen könn­te, so holt er die Stel­lung­nah­me der ein­schlä­gi­gen natio­na­len Stel­len oder Behör­den ein, um fest­zu­stel­len, ob die ver­lang­ten Daten die natio­na­le Sicher­heit oder die Ver­tei­di­gungs­in­ter­es­sen der Uni­on oder ihrer Mit­glied­staa­ten betref­fen. Hat der Adres­sat bin­nen eines Monats kei­ne Ant­wort erhal­ten oder gelangt eine sol­che Stel­le oder Behör­de in ihrer Stel­lung­nah­me zu dem Schluss, dass die in Unter­ab­satz 1 fest­ge­leg­ten Bedin­gun­gen nicht erfüllt sind, so kann der Adres­sat die Auf­for­de­rung zur Über­mitt­lung von oder zum Zugang zu nicht-per­so­nen­be­zo­ge­nen Daten aus die­sen Grün­den ableh­nen. Der in Arti­kel 42 genann­te EDIB berät und unter­stützt die Kom­mis­si­on bei der Aus­ar­bei­tung von Leit­li­ni­en für die Bewer­tung, ob die in Unter­ab­satz 1 die­ses Absat­zes genann­ten Bedin­gun­gen erfüllt sind. (4) Sind die Vor­aus­set­zun­gen nach Absatz 2 oder Absatz 3 erfüllt, so stellt der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten die Min­dest­men­ge an Daten bereit, die auf der Grund­la­ge einer ange­mes­se­nen Aus­le­gung die­ses Ver­lan­gens durch den Anbie­ter oder die in Absatz 3 Unter­ab­satz 2 genann­te ein­schlä­gi­ge natio­na­le Stel­le oder Behör­de als Reak­ti­on auf das Ver­lan­gen zuläs­sig ist. (5) Der Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten teilt dem Kun­den mit, dass für sei­ne Daten ein Daten­zu­gangs­ver­lan­gen einer Behör­de eines Dritt­lands vor­liegt, bevor er das Ver­lan­gen erfüllt, außer in Fäl­len, in denen das Ver­lan­gen Straf­ver­fol­gungs­zwecken dient und solan­ge zur Wah­rung der Wirk­sam­keit der Straf­ver­fol­gungs­maß­nah­men erfor­der­lich ist. 

KAPITEL VIII INTEROPERABILITÄT

Arti­kel 33 Wesent­li­che Anfor­de­run­gen an die Inter­ope­ra­bi­li­tät von Daten, von Mecha­nis­men und Dien­sten für die Daten­wei­ter­ga­be sowie von gemein­sa­men euro­päi­schen Datenräumen

(1) Teil­neh­mer an Daten­räu­men, die ande­ren Teil­neh­mern Daten oder Daten­dien­ste anbie­ten, müs­sen die fol­gen­den wesent­li­chen Anfor­de­run­gen zur Erleich­te­rung der Inter­ope­ra­bi­li­tät von Daten, von Mecha­nis­men und Dien­sten für die Daten­wei­ter­ga­be sowie von gemein­sa­men euro­päi­schen Daten­räu­men erfül­len, bei denen es sich um zweck- oder sek­tor­spe­zi­fi­sche oder sek­tor­über­grei­fen­de inter­ope­ra­ble Rah­men für gemein­sa­me Nor­men und Ver­fah­ren für die Wei­ter­ga­be oder die gemein­sa­me Ver­ar­bei­tung von Daten – unter ande­rem für die Ent­wick­lung neu­er Pro­duk­te und Dien­ste, wis­sen­schaft­li­che For­schung oder Initia­ti­ven der Zivil­ge­sell­schaft – han­delt: a) Daten­satz­in­hal­te, Nut­zungs­be­schrän­kun­gen, Lizen­zen, Daten­er­he­bungs­me­tho­den, Daten­qua­li­tät und Unsi­cher­hei­ten sind – gege­be­nen­falls in maschi­nen­les­ba­rem For­mat – hin­rei­chend beschrie­ben, um dem Emp­fän­ger das Auf­fin­den der Daten, den Daten­zu­gang und die Daten­nut­zung zu ermög­li­chen; b) die Daten­struk­tu­ren, Daten­for­ma­te, Voka­bu­la­re, Klas­si­fi­zie­rungs­sy­ste­me, Taxo­no­mien und Code­li­sten, sofern ver­füg­bar, wer­den in einer öffent­lich ver­füg­ba­ren und ein­heit­li­chen Wei­se beschrie­ben; c) die tech­ni­schen Mit­tel für den Daten­zu­gang, wie etwa Anwen­dungs­pro­gram­mier­schnitt­stel­len, sowie ihre Nut­zungs­be­din­gun­gen und die Dienst­qua­li­tät sind aus­rei­chend beschrie­ben, um den auto­ma­ti­schen Daten­zu­gang und die auto­ma­ti­sche Daten­über­mitt­lung zwi­schen den Par­tei­en, auch kon­ti­nu­ier­lich, im Mas­sen-Down­load oder in Echt­zeit in einem maschi­nen­les­ba­ren For­mat zu ermög­li­chen, sofern dies tech­nisch mach­bar ist und das rei­bungs­lo­se Funk­tio­nie­ren des ver­netz­ten Pro­dukts nicht beein­träch­tigt; d) es wer­den gege­be­nen­falls die Mit­tel bereit­ge­stellt, mit denen die Inter­ope­ra­bi­li­tät von Tools für die Auto­ma­ti­sie­rung der Aus­füh­rung von Ver­trä­gen über die Daten­wei­ter­ga­be, wie intel­li­gen­ten Ver­trä­gen, ermög­licht wird. Die Anfor­de­run­gen kön­nen all­ge­mei­ner Art sein oder bestimm­te Sek­to­ren betref­fen, müs­sen aber die Wech­sel­wir­kun­gen mit Anfor­de­run­gen aus ande­rem Uni­ons­recht oder aus natio­na­lem Recht in vol­lem Umfang berück­sich­ti­gen. (2) Der Kom­mis­si­on wird die Befug­nis über­tra­gen, gemäß Arti­kel 45 die­ser Ver­ord­nung dele­gier­te Rechts­ak­te zur Ergän­zung die­ser Ver­ord­nung durch die nähe­re Bestim­mung der in Absatz 1 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen zu erlas­sen, und zwar in Bezug auf die­je­ni­gen Anfor­de­run­gen, die natur­ge­mäß nicht die beab­sich­tig­te Wir­kung ent­fal­ten kön­nen, sofern sie nicht in ver­bind­li­chen Rechts­ak­ten der Uni­on näher spe­zi­fi­ziert wer­den, und mit Ziel, den tech­no­lo­gi­schen Ent­wick­lun­gen und Markt­ent­wick­lun­gen ange­mes­sen Rech­nung zu tra­gen. Die Kom­mis­si­on berück­sich­tigt den Rat des EDIB gemäß Arti­kel 42 Buch­sta­be c, wenn sie dele­gier­te Rechts­ak­te erlässt. (3) Bei Teil­neh­mern an Daten­räu­men, die Daten oder Daten­dien­ste für ande­re Teil­neh­mer an Daten­räu­men anbie­ten, die ganz oder teil­wei­se den har­mo­ni­sier­ten Nor­men ent­spre­chen, deren Fund­stel­len im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht wer­den, wird die Kon­for­mi­tät mit den in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen ver­mu­tet, soweit die­se Anfor­de­run­gen durch die­se har­mo­ni­sier­ten Nor­men oder Tei­le die­ser har­mo­ni­sier­ten Nor­men erfasst wer­den. (4) Die Kom­mis­si­on beauf­tragt gemäß Arti­kel 10 der Ver­ord­nung (EU) Nr. 1025/2012 eine oder meh­re­re euro­päi­sche Nor­mungs­or­ga­ni­sa­tio­nen damit, Ent­wür­fe für har­mo­ni­sier­te Nor­men zu erar­bei­ten, die den in Absatz 1 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen genü­gen. (5) Die Kom­mis­si­on kann im Wege von Durch­füh­rungs­rechts­ak­ten gemein­sa­me Spe­zi­fi­ka­tio­nen erlas­sen, die eini­ge oder alle in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen erfas­sen, sofern fol­gen­de Vor­aus­set­zun­gen erfüllt sind: a) Die Kom­mis­si­on hat gemäß Arti­kel 10 Absatz 1 der Ver­ord­nung (EU) Nr. 1025/2012 eine oder meh­re­re euro­päi­sche Nor­mungs­or­ga­ni­sa­tio­nen damit beauf­tragt, eine har­mo­ni­sier­te Norm zu erar­bei­ten, die den in Absatz 1 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen genügt, und i)der Auf­trag wur­de ent­we­der nicht ange­nom­men, ii) die har­mo­ni­sier­ten Nor­men für die­sen Auf­trag sind nicht inner­halb der gemäß Arti­kel 10 Absatz 1 der Ver­ord nung (EU) Nr. 1025/2012 gesetz­ten Frist vor­ge­legt wor­den oder iii) die har­mo­ni­sier­ten Nor­men erfül­len den Auf­trag nicht, und b) im Amts­blatt der Euro­päi­schen Uni­on ist für die har­mo­ni­sier­ten Nor­men, die die ein­schlä­gi­gen, in Absatz 1 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen erfas­sen, kei­ne Fund­stel­le gemäß der Ver­ord­nung (EU) Nr. 1025/2012 ver­öf­fent­licht, und wird eine sol­che Fund­stel­le vor­aus­sicht­lich auch nicht inner­halb einer ange­mes­se­nen Frist ver­öf­fent­licht wer­den. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem in Arti­kel 46 Absatz 2 genann­ten Prüf­ver­fah­ren erlas­sen. (6) Vor der Aus­ar­bei­tung eines Ent­wurfs des in Absatz 5 des vor­lie­gen­den Arti­kels genann­ten Durch­füh­rungs­rechts­akts teilt die Kom­mis­si­on dem in Arti­kel 22 der Ver­ord­nung (EU) Nr. 1025/2012 genann­ten Aus­schuss mit, dass die Bedin­gun­gen von Absatz 5 des vor­lie­gen­den Arti­kels ihres Erach­tens erfüllt sind. (7) Bei der Aus­ar­bei­tung des Ent­wurfs des in Absatz 5 genann­ten Durch­füh­rungs­rechts­akts berück­sich­tigt die Kom­mis­si­on den Rat des EDIB und die Stand­punk­te ande­rer ein­schlä­gi­ger Gre­mi­en oder Exper­ten­grup­pen und kon­sul­tiert ord­nungs­ge­mäß alle ein­schlä­gi­gen Inter­es­sen­trä­ger. (8) Bei Teil­neh­mern an Daten­räu­men, die Daten oder Daten­dien­ste für ande­re Teil­neh­mer an Daten­räu­men anbie­ten, die ganz oder teil­wei­se den gemein­sa­men Spe­zi­fi­ka­tio­nen ent­spre­chen, die gemäß den in Absatz 5 genann­ten Durch­füh­rungs­rechts­ak­ten fest­ge­legt wur­den, wird die Kon­for­mi­tät mit den in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen ver­mu­tet, soweit die­se Anfor­de­run­gen ganz oder teil­wei­se durch die­se gemein­sa­men Spe­zi­fi­ka­tio­nen erfasst wer­den. (9) Wird eine har­mo­ni­sier­te Norm von einer euro­päi­schen Nor­mungs­or­ga­ni­sa­ti­on ange­nom­men und der Kom­mis­si­on für die Zwecke der Ver­öf­fent­li­chung ihrer Fund­stel­le im Amts­blatt der Euro­päi­schen Uni­on vor­ge­schla­gen, so bewer­tet die Kom­mis­si­on die har­mo­ni­sier­te Norm gemäß der Ver­ord­nung (EU) Nr. 1025/2012. Wird die Fund­stel­le einer har­mo­ni­sier­ten Norm im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht, so wer­den die in Absatz 5 des vor­lie­gen­den Arti­kels genann­ten Durch­füh­rungs­rechts­ak­te, die die­sel­ben wesent­li­chen Anfor­de­run­gen erfas­sen, wie sie von die­ser har­mo­ni­sier­ten Norm erfasst sind, von der Kom­mis­si­on ganz oder teil­wei­se auf­ge­ho­ben. (10) Ist ein Mit­glied­staat der Auf­fas­sung, dass eine gemein­sa­me Spe­zi­fi­ka­ti­on den in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen nicht voll­stän­dig ent­spricht, so setzt er die Kom­mis­si­on durch die Über­mitt­lung einer aus­führ­li­chen Erläu­te­rung davon in Kennt­nis. Die Kom­mis­si­on bewer­tet die aus­führ­li­che Erläu­te­rung und kann gege­be­nen­falls den Durch­füh­rungs­rechts­akt ändern, durch den die frag­li­che gemein­sa­me Spe­zi­fi­ka­ti­on fest­ge­legt wur­de. (11) Die Kom­mis­si­on kann unter Berück­sich­ti­gung des Vor­schlags des EDIB gemäß Arti­kel 30 Buch­sta­be h der Ver­ord­nung (EU) 2022/868 zur Fest­le­gung von inter­ope­ra­blen Rah­men für gemein­sa­me Nor­men und Ver­fah­ren für das Funk­tio­nie­ren gemein­sa­mer euro­päi­scher Daten­räu­me Leit­li­ni­en annehmen. 

Arti­kel 34 Inter­ope­ra­bi­li­tät zu Zwecken der par­al­le­len Nut­zung von Datenverarbeitungsdiensten

(1) Die in Arti­kel 23, Arti­kels 24, Arti­kels 25 Absatz 2 Buch­sta­be a Zif­fern ii und iv und Buch­sta­ben e und f sowie Arti­kel 30 Absät­ze 2, 3, 4 und 5 fest­ge­leg­ten Anfor­de­run­gen gel­ten ent­spre­chend auch für Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten, um die Inter­ope­ra­bi­li­tät zu Zwecken der par­al­le­len Nut­zung von Daten­ver­ar­bei­tungs­dien­sten zu erleich­tern. (2) Wenn ein Daten­ver­ar­bei­tungs­dienst par­al­lel mit einem ande­ren Daten­ver­ar­bei­tungs­dienst genutzt wird, kön­nen die Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten Daten­ex­trak­ti­ons­ent­gel­te ver­lan­gen, aber nur zur Wei­ter­ga­be der ent­stan­de­nen Extrak­ti­ons­ko­sten, ohne die­se Kosten zu übersteigen.

Arti­kel 35 Inter­ope­ra­bi­li­tät von Datenverarbeitungsdiensten

(1) Offe­ne Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen und har­mo­ni­sier­te Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten a) bewir­ken, soweit dies tech­nisch mach­bar ist, die Inter­ope­ra­bi­li­tät zwi­schen ver­schie­de­nen Daten­ver­ar­bei­tungs­dien­sten, die die glei­che Dienstart abdecken; b) ver­bes­sern die Über­trag­bar­keit digi­ta­ler Ver­mö­gens­wer­te zwi­schen ver­schie­de­nen Daten­ver­ar­bei­tungs­dien­sten, die die glei­che Dienstart abdecken; c) erleich­tern, soweit dies tech­nisch mach­bar ist, die Funk­ti­ons­äqui­va­lenz zwi­schen den in Arti­kel 30 Absatz 1 genann­ten Daten­ver­ar­bei­tungs­dien­sten, die die glei­che Dienstart abdecken; d) beein­träch­ti­gen Sicher­heit und Inte­gri­tät der Daten­ver­ar­bei­tungs­dien­ste und Daten nicht; e) sind für die Mög­lich­keit einer tech­ni­schen Auf­rü­stung und die Ein­bin­dung neu­er Funk­tio­nen und Inno­va­tio­nen in Daten­ver­ar­bei­tungs­dien­sten aus­ge­legt. (2) Offe­ne Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen und har­mo­ni­sier­te Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten müs­sen Fol­gen­des ange­mes­sen regeln: a) die Aspek­te der Cloud-Inter­ope­ra­bi­li­tät in Bezug auf die Trans­port­in­ter­ope­ra­bi­li­tät, die syn­tak­ti­sche Inter­ope­ra­bi­li­tät, die seman­ti­sche Daten­in­ter­ope­ra­bi­li­tät, die ver­hal­tens­be­zo­ge­ne Inter­ope­ra­bi­li­tät und die Inter­ope­ra­bi­li­tät der Regeln und Vor­ga­ben; b) die Aspek­te der Cloud-Daten­über­trag­bar­keit in Bezug auf die syn­tak­ti­sche Daten­über­trag­bar­keit, die seman­ti­sche Daten­über­trag­bar­keit und die Über­trag­bar­keit der Daten­re­geln; c) die Aspek­te der Cloud-Anwen­dun­gen in Bezug auf die syn­tak­ti­sche Über­trag­bar­keit von Anwen­dun­gen, die Über­trag­bar­keit von Anwen­dungs­be­feh­len, die Über­trag­bar­keit von Anwen­dungs­me­ta­da­ten, die Über­trag­bar­keit des Anwen­dungs­ver­hal­tens und die Über­trag­bar­keit der Anwen­dungs­re­geln. (3) Offe­ne Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen müs­sen Anhang II der Ver­ord­nung (EU) Nr. 1025/2012 ent­spre­chen. (4) Nach Berück­sich­ti­gung ein­schlä­gi­ger inter­na­tio­na­ler und euro­päi­scher Nor­men und Selbst­re­gu­lie­rungs­in­itia­ti­ven kann die Kom­mis­si­on gemäß Arti­kel 10 Absatz 1 der Ver­ord­nung (EU) Nr. 1025/2012 eine oder meh­re­re euro­päi­sche Nor­mungs­or­ga­ni­sa­tio­nen damit beauf­tra­gen, Ent­wür­fe für har­mo­ni­sier­te Nor­men, die in den Absät­zen 1 und 2 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen genü­gen, zu erar­bei­ten. (5) Die Kom­mis­si­on kann im Wege von Durch­füh­rungs­rechts­ak­ten gemein­sa­me Spe­zi­fi­ka­tio­nen auf der Grund­la­ge offe­ner Inter­ope­ra­bi­li­täts­spe­zi­fi­ka­tio­nen fest­le­gen, die alle in den Absät­zen 1 und 2 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen erfas­sen. (6) Die Kom­mis­si­on berück­sich­tigt bei der Aus­ar­bei­tung des in Absatz 5 die­ses Arti­kels genann­ten Ent­wurfs des Durch­füh­rungs­rechts­akts die Stand­punk­te der in Arti­kel 37 Absatz 5 Buch­sta­be h genann­ten ein­schlä­gi­gen zustän­di­gen Behör­den sowie ande­rer ein­schlä­gi­ger Gre­mi­en oder Exper­ten­grup­pen und kon­sul­tiert ord­nungs­ge­mäß alle ein­schlä­gi­gen Inter­es­sen­trä­ger. (7) Ist ein Mit­glied­staat der Auf­fas­sung, dass eine gemein­sa­me Spe­zi­fi­ka­ti­on den wesent­li­chen Anfor­de­run­gen gemäß den Absät­zen 1 und 2 nicht voll­stän­dig ent­spricht, so setzt er die Kom­mis­si­on durch Über­mitt­lung einer aus­führ­li­chen Erläu­te­rung davon in Kennt­nis. Die Kom­mis­si­on bewer­tet die aus­führ­li­che Erläu­te­rung und kann gege­be­nen­falls den Durch­füh­rungs­rechts­akt, durch den die betref­fen­de gemein­sa­me Spe­zi­fi­ka­ti­on fest­ge­legt wur­de, ändern. (8) Für die Zwecke des Arti­kels 30 Absatz 3 ver­öf­fent­licht die Kom­mis­si­on im Wege von Durch­füh­rungs­rechts­ak­ten die Fund­stel­len har­mo­ni­sier­ter Nor­men und gemein­sa­mer Spe­zi­fi­ka­tio­nen für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten in einer zen­tra­len Daten­bank der Uni­on für Nor­men für die Inter­ope­ra­bi­li­tät von Daten­ver­ar­bei­tungs­dien­sten . (9) Die in die­sem Arti­kel genann­ten Durch­füh­rungs­rechts­ak­te wer­den gemäß dem in Arti­kel 46 Absatz 2 genann­ten Prüf­ver­fah­ren erlassen. 

Arti­kel 36 Wesent­li­che Anfor­de­run­gen an intel­li­gen­te Ver­trä­ge für die Aus­füh­rung von Datenweitergabevereinbarungen

(1) Der Anbie­ter einer Anwen­dung, in der intel­li­gen­te Ver­trä­ge ver­wen­det wer­den, oder – in des­sen Erman­ge­lung – die Per­son, deren gewerb­li­che, geschäft­li­che oder beruf­li­che Tätig­keit den Ein­satz intel­li­gen­ter Ver­trä­ge für Drit­te im Zusam­men­hang mit der voll­stän­di­gen oder teil­wei­sen Aus­füh­rung einer Daten­be­reit­stel­lungs­ver­ein­ba­rung beinhal­tet, muss sicher­stel­len, dass die­se intel­li­gen­ten Ver­trä­ge die fol­gen­den wesent­li­chen Anfor­de­run­gen erfül­len: a) Robust­heit und Zugangs­kon­trol­le, zur Gewähr­lei­stung, dass der intel­li­gen­te Ver­trag so kon­zi­piert wur­de, dass er Zugangs­kon­troll­me­cha­nis­men und ein sehr hohes Maß an Robust­heit bie­tet, um Funk­ti­ons­feh­ler zu ver­mei­den und Mani­pu­la­tio­nen durch Drit­te stand­zu­hal­ten; b) siche­re Been­di­gung und Unter­bre­chung, zur Gewähr­lei­stung, dass es einen Mecha­nis­mus gibt, mit dem die wei­te­re Aus­füh­rung von Trans­ak­tio­nen been­det wer­den kann und dass der intel­li­gen­te Ver­trag inter­ne Funk­tio­nen ent­hält, mit denen der Ver­trag zurück­ge­setzt oder die Anwei­sung aus­ge­ge­ben wer­den kann, den Betrieb zu been­den oder zu unter­bre­chen, ins­be­son­de­re um eine künf­ti­ge unbe­ab­sich­tig­te Aus­füh­rung zu ver­mei­den; c) Daten­ar­chi­vie­rung und Daten­kon­ti­nui­tät, zur Gewähr­lei­stung, dass in Situa­tio­nen, in denen ein intel­li­gen­ter Ver­trag been­det oder deak­ti­viert wer­den muss, ist die Mög­lich­keit der Archi­vie­rung der Trans­ak­ti­ons­da­ten, der Logik und des Pro­gramm­codes des intel­li­gen­ten Ver­trags besteht, damit Auf­zeich­nun­gen über Vor­gän­ge vor­lie­gen (Prüf­bar­keit), die in der Ver­gan­gen­heit mit den Daten durch­ge­führt wur­den, d) Zugangs­kon­trol­le, zur Gewähr­lei­stung, dass ein Intel­li­gen­ter Ver­trag durch stren­ge Zugangs­kon­troll­me­cha­nis­men auf der Gover­nan­ce-Ebe­ne und der Ebe­ne des intel­li­gen­ten Ver­trags geschützt ist, und e) Kohä­renz, zur Gewähr­lei­stung der Über­ein­stim­mung mit den Bedin­gun­gen der Daten­wei­ter­ga­be­ver­ein­ba­rung, die mit dem intel­li­gen­ten Ver­trag umge­setzt wird. (2) Der Anbie­ter eines intel­li­gen­ten Ver­trags oder – in des­sen Erman­ge­lung – die Per­son, deren gewerb­li­che, geschäft­li­che oder beruf­li­che Tätig­keit den Ein­satz intel­li­gen­ter Ver­trä­ge für Drit­te im Zusam­men­hang mit einer Durch­füh­rung einer Daten­be­reit­stel­lungs­ver­ein­ba­rung oder Tei­len davon beinhal­tet, führt im Hin­blick auf die Erfül­lung der in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen eine Kon­for­mi­täts­be­wer­tung durch und stellt bei Erfül­lung die­ser Anfor­de­run­gen eine EU-Kon­for­mi­täts­er­klä­rung aus. (3) Mit der Aus­stel­lung der EU-Kon­for­mi­täts­er­klä­rung über­nimmt der Anbie­ter einer Anwen­dung, in der intel­li­gen­te Ver­trä­ge ver­wen­det wer­den, oder – in des­sen Erman­ge­lung – die Per­son, deren gewerb­li­che, geschäft­li­che oder beruf­li­che Tätig­keit den Ein­satz intel­li­gen­ter Ver­trä­ge für Drit­te im Zusam­men­hang mit der Durch­füh­rung einer Daten­be­reit­stel­lungs­ver­ein­ba­rung oder Tei­len davon beinhal­tet, die Ver­ant­wor­tung dafür, dass die in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen erfüllt sind. (4) Bei einem intel­li­gen­ten Ver­trag, der den har­mo­ni­sier­ten Nor­men oder deren ein­schlä­gi­gen Tei­len die­ser Nor­men, deren Fund­stel­len im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht wer­den, ent­spricht, wird eine Kon­for­mi­tät mit den in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen ver­mu­tet, soweit die­se Anfor­de­run­gen durch die­se har­mo­ni­sier­ten Nor­men erfasst sind. (5) Die Kom­mis­si­on beauf­tragt gemäß Arti­kel 10 der Ver­ord­nung (EU) Nr. 1025/2012 eine oder meh­re­re euro­päi­sche Nor­mungs­or­ga­ni­sa­tio­nen , Ent­wür­fe für har­mo­ni­sier­te Nor­men zu erar­bei­ten, die den in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten wesent­li­chen Anfor­de­run­gen genü­gen. (6) Die Kom­mis­si­on kann im Wege von Durch­füh­rungs­rechts­ak­ten gemein­sa­me Spe­zi­fi­ka­tio­nen erlas­sen, die eini­ge oder alle der wesent­li­chen Anfor­de­run­gen gemäß Absatz 1 erfas­sen, sofern die fol­gen­den Vor­aus­set­zun­gen erfüllt sind: a) Die Kom­mis­si­on hat gemäß Arti­kel 10 Absatz 1 der Ver­ord­nung (EU) Nr. 1025/2012 eine oder meh­re­re euro­päi­sche Nor­mungs­or­ga­ni­sa­tio­nen damit beauf­tragt, eine har­mo­ni­sier­te Norm zu erar­bei­ten, die den in Absatz 1 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen genügt, und i)der Auf­trag wur­de nicht ange­nom­men, ii) die har­mo­ni­sier­ten Nor­men für die­sen Auf­trag sind nicht inner­halb der gemäß Arti­kel 10 Absatz 1 der Ver­ord­nung (EU) Nr. 1025/2012 gesetz­ten Frist vor­ge­legt wor­den oder iii) die har­mo­ni­sier­ten Nor­men erfül­len den Auf­trag nicht, und b) im Amts­blatt der Euro­päi­schen Uni­on ist für die har­mo­ni­sier­ten Nor­men, die die ein­schlä­gi­gen, in Absatz 1 des vor­lie­gen­den Arti­kels fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen erfas­sen, kei­ne Fund­stel­le gemäß der Ver­ord­nung (EU) Nr. 1025/2012 ver­öf­fent­licht, und eine sol­che Fund­stel­le wird vor­aus­sicht­lich auch nicht inner­halb einer ange­mes­se­nen Frist ver­öf­fent­licht wer­den. Die­se Durch­füh­rungs­rechts­ak­te wer­den gemäß dem in Arti­kel 46 Absatz 2 genann­ten Prüf­ver­fah­ren erlas­sen. (7) Vor der Aus­ar­bei­tung eines Ent­wurfs des in Absatz 6 des vor­lie­gen­den Arti­kels genann­ten Durch­füh­rungs­rechts­akts teilt die Kom­mis­si­on dem in Arti­kel 22 der Ver­ord­nung (EU) Nr. 1025/2012 genann­ten Aus­schuss mit, dass die Bedin­gun­gen des Absat­zes 6 des vor­lie­gen­den Arti­kels ihres Erach­tens erfüllt wor­den sind. (8) Bei der Aus­ar­bei­tung des Ent­wurfs des in Absatz 6 genann­ten Durch­füh­rungs­rechts­akts berück­sich­tigt die Kom­mis­si­on den Rat des EDIB und die Stand­punk­te ande­rer ein­schlä­gi­ger Gre­mi­en oder Exper­ten­grup­pen und kon­sul­tiert ord­nungs­ge­mäß alle ein­schlä­gi­gen Inter­es­sen­trä­ger. (9) Beim Anbie­ter eines intel­li­gen­ten Ver­trags oder – in des­sen Erman­ge­lung – bei der Per­son, deren gewerb­li­che, geschäft­li­che oder beruf­li­che Tätig­keit den Ein­satz intel­li­gen­ter Ver­trä­ge für Drit­te im Zusam­men­hang mit der Durch­füh­rung einer Daten­be­reit­stel­lungs­ver­ein­ba­rung oder Tei­len davon umfasst, die die mit den in Absatz 6 genann­ten Durch­füh­rungs­rechts­ak­ten voll­stän­dig oder teil­wei­se fest­ge­leg­ten gemein­sa­men Spe­zi­fi­ka­tio­nen erfüllt, wird eine Kon­for­mi­tät mit den in Absatz 1 fest­ge­leg­ten wesent­li­chen Anfor­de­run­gen ver­mu­tet, soweit die­se Anfor­de­run­gen durch die­se gemein­sa­men Spe­zi­fi­ka­tio­nen ganz oder teil­wei­se erfasst wer­den. (10) Wird eine har­mo­ni­sier­te Norm von einer euro­päi­schen Nor­mungs­or­ga­ni­sa­ti­on ange­nom­men und der Kom­mis­si­on zur Ver­öf­fent­li­chung ihrer Fund­stel­le im Amts­blatt der Euro­päi­schen Uni­on vor­ge­schla­gen, so bewer­tet die Kom­mis­si­on die­se har­mo­ni­sier­te Norm gemäß der Ver­ord­nung (EU) Nr. 1025/2012. Wird die Fund­stel­le einer har­mo­ni­sier­ten Norm im Amts­blatt der Euro­päi­schen Uni­on ver­öf­fent­licht, so wer­den die in Absatz 6 die­ses Arti­kels genann­ten Durch­füh­rungs­rechts­ak­te, die die­sel­ben wesent­li­chen Anfor­de­run­gen erfas­sen, wie sie von die­ser har­mo­ni­sier­ten Norm erfasst sind, von der Kom­mis­si­on ganz oder teil­wei­se auf­ge­ho­ben. (11) Ist ein Mit­glied­staat der Auf­fas­sung, dass eine gemein­sa­me Spe­zi­fi­ka­ti­on den in Absatz 1 genann­ten wesent­li­chen Anfor­de­run­gen nicht voll­stän­dig ent­spricht, so setzt er die Kom­mis­si­on durch Über­mitt­lung einer aus­führ­li­chen Erläu­te­rung davon in Kennt­nis. Die Kom­mis­si­on bewer­tet die aus­führ­li­che Erläu­te­rung und kann gege­be­nen­falls den Durch­füh­rungs­rechts­akt, durch den die betref­fen­de gemein­sa­me Spe­zi­fi­ka­ti­on fest­ge­legt wur­de, ändern. 

KAPITEL IX ANWENDUNG UND DURCHSETZUNG

Arti­kel 37 Zustän­di­ge Behör­den und Datenkoordinatoren

(1) Jeder Mit­glied­staat benennt eine oder meh­re­re zustän­di­ge Behör­den, die für die Anwen­dung und Durch­set­zung die­ser Ver­ord­nung (im Fol­gen­den „zustän­di­ge Behör­den“) ver­ant­wort­lich sind. Die Mit­glied­staa­ten kön­nen eine oder meh­re­re neue Behör­den ein­rich­ten oder sich auf bestehen­de Behör­den stüt­zen. (2) Benennt ein Mit­glied­staat mehr als eine zustän­di­ge Behör­de, so benennt er einen Daten­ko­or­di­na­tor aus ihrer Mit­te, um die Zusam­men­ar­beit zwi­schen den zustän­di­gen Behör­den zu erleich­tern und die Stel­len, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, in allen Fra­gen im Zusam­men­hang mit ihrer Anwen­dung und Durch­set­zung zu unter­stüt­zen. Die zustän­di­gen Behör­den arbei­ten bei der Wahr­neh­mung der ihnen nach Absatz 5 über­tra­ge­nen Auf­ga­ben und Befug­nis­se zusam­men. (3) Die für die Über­wa­chung der Anwen­dung der Ver­ord­nung (EU) 2016/679 zustän­di­gen Auf­sichts­be­hör­den sind bezüg­lich des Schut­zes per­so­nen­be­zo­ge­ner Daten auch für die Über­wa­chung der Anwen­dung der vor­lie­gen­den Ver­ord­nung zustän­dig. Die Kapi­tel VI und VII der Ver­ord­nung (EU) 2016/679 fin­den sinn­ge­mäß Anwen­dung. Der Euro­päi­sche Daten­schutz­be­auf­trag­te ist für die Über­wa­chung der Anwen­dung die­ser Ver­ord­nung zustän­dig, inso­fern die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank oder Ein­rich­tun­gen der Uni­on davon betrof­fen sind. Arti­kel 62 der Ver­ord­nung (EU) 2018/1725 gilt gege­be­nen­falls sinn­ge­mäß. Die in die­sem Absatz genann­ten Auf­sichts­be­hör­den neh­men ihre Auf­gab en und Befug­nis­se im Hin­blick auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten wahr. (4) Unbe­scha­det des Absat­zes 1 gilt Fol­gen­des: a) Bei beson­de­ren sek­to­ra­len Ange­le­gen­hei­ten des Daten­zu­gangs und der Daten­nut­zung im Zusam­men­hang mit der Anwen­dung die­ser Ver­ord­nung bleibt die Zustän­dig­keit der sek­to­ra­len Behör­den gewahrt; b) die für die Anwen­dung und Durch­set­zung der Arti­kel 23 bis 31 und der Arti­kel 34 und 35 ver­ant­wort­li­che zustän­di­ge Behör­de muss über Erfah­run­gen auf dem Gebiet Daten und elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­dien­ste ver­fü­gen. (5) Die Mit­glied­staa­ten sor­gen dafür, dass die Auf­ga­ben und Befug­nis­se der zustän­di­gen Behör­den ein­deu­tig fest­ge­legt wer­den und Fol­gen­des umfas­sen: a) För­de­rung der Daten­kom­pe­tenz und der Sen­si­bi­li­sie­rung von Nut­zern und Stel­len, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, in Bezug auf die Rech­te und Pflich­ten aus die­ser Ver­ord­nung; b) Bear­bei­tung von Beschwer­den über mut­maß­li­che Ver­stö­ße gegen die­se Ver­ord­nung, ein­schließ­lich Bezug auf Geschäfts­ge­heim­nis­se, und ange­mes­se­ne Unter­su­chung des Beschwer­de­ge­gen­stands sowie regel­mä­ßi­ge Unter­rich­tung des Beschwer­de­füh­rers – gege­be­nen­falls im Ein­klang mit natio­na­lem Recht – inner­halb einer ange­mes­se­nen Frist über den Fort­gang und das Ergeb­nis der Unter­su­chung, ins­be­son­de­re, wenn eine wei­te­re Unter­su­chung oder die Abstim­mung mit einer ande­ren zustän­di­gen Behör­de not­wen­dig ist; c) Durch­füh­rung von Unter­su­chun­gen über Fra­gen der Anwen­dung die­ser Ver­ord­nung, ein­schließ­lich auf der Grund­la­ge von Infor­ma­tio­nen einer ande­ren zustän­di­gen Behör­de oder son­sti­gen Behör­de; d) Ver­hän­gung wirk­sa­mer, ver­hält­nis­mä­ßi­ger und abschrecken­der finan­zi­el­ler Sank­tio­nen, die auch Zwangs­gel­der und Geld­stra­fen mit Rück­wir­kung umfas­sen kön­nen, oder Ein­lei­tung von Gerichts­ver­fah­ren zur Ver­hän­gung von Geld­bu­ßen; e) Beob­ach­tung tech­no­lo­gi­scher und ein­schlä­gi­ger wirt­schaft­li­cher Ent­wick­lun­gen, die für die Bereit­stel­lung und Nut­zung von Daten von Bedeu­tung sind; f) Zusam­men­ar­beit mit den zustän­di­gen Behör­den ande­rer Mit­glied­staa­ten und gege­be­nen­falls mit der Kom­mis­si­on oder dem EDIB, um die ein­heit­li­che und effi­zi­en­te Anwen­dung die­ser Ver­ord­nung zu gewähr­lei­sten, ein­schließ­lich des unver­züg­li­chen Aus­tauschs aller rele­van­ten Infor­ma­tio­nen auf elek­tro­ni­schem Wege, ein­schließ­lich in Bezug auf Absatz 10 des vor­lie­gen­den Arti­kels; g) Zusam­men­ar­beit mit den ein­schlä­gi­gen zustän­di­gen Behör­den, die für die Anwen­dung ande­rer Rechts­ak­te der Uni­on oder natio­na­ler Rechts­ak­te zustän­dig sind, ein­schließ­lich mit auf dem Gebiet Daten und elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­dien­ste zustän­di­gen Behör­den, mit der für die Über­wa­chung der Anwen­dung der Ver­ord­nung (EU) 2016/679 zustän­di­gen Auf­sichts­be­hör­de oder mit sek­to­ra­len Behör­den, um sicher­zu­stel­len, dass die­se Ver­ord­nung im Ein­klang mit ande­rem Uni­ons­recht und natio­na­lem Recht durch­ge­setzt wird; h) Zusam­men­ar­beit mit den ein­schlä­gi­gen zustän­di­gen Behör­den zur Gewähr­lei­stung der Durch­set­zung der Arti­kel 23 bis 31 und der Arti­kel 34 und 35 im Ein­klang mit ande­rem Uni­ons­recht und mit der Selbst­re­gu­lie­rung, die für Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten gel­ten; i)Gewähr­lei­stung der Abschaf­fung von Wech­sel­ent­gel­ten gemäß Arti­kel 29; j) Prü­fung von Daten­ver­lan­gen nach Kapi­tel V. Wird ein Daten­ko­or­di­na­tor benannt, so erleich­tert er die in Unter­ab­satz 1 Buch­sta­ben f, g und h genann­te Zusam­men­ar­beit und unter­stützt die zustän­di­gen Behör­den auf deren Ersu­chen. (6) Falls eine sol­che zustän­di­ge Behör­de benannt wur­de, hat der Daten­ko­or­di­na­tor fol­gen­de Auf­ga­ben: a) Er fun­giert als zen­tra­le Anlauf­stel­le für alle Fra­gen im Zusam­men­hang mit der Anwen­dung die­ser Ver­ord­nung; b) Er gewähr­lei­stet die öffent­li­che Ver­füg­bar­keit der von öffent­li­chen Stel­len im Fall außer­ge­wöhn­li­cher Not­wen­dig­keit nach Kapi­tel V gestell­ten Daten­zu­gangs­ver­lan­gen und för­dert frei­wil­li­ge Daten­wei­ter­ga­be­ver­ein­ba­run­gen zwi­schen öffent­li­chen Stel­len und Daten­in­ha­bern; c) unter­rich­tet die Kom­mis­si­on jähr­lich über die nach Arti­kel 4 Absatz 2 und Absatz 8 und Arti­kel 5 Absatz 11 mit­ge­teil­ten Ableh­nun­gen. (7) Die Mit­glied­staa­ten tei­len der Kom­mis­si­on die Namen der zustän­di­gen Behör­den und ihre Auf­ga­ben und Befug­nis­se sowie gege­be­nen­falls den Namen des Daten­ko­or­di­na­tors mit. Die Kom­mis­si­on führt ein öffent­li­ches Regi­ster die­ser Behör­den. (8) Bei der Wahr­neh­mung ihrer Auf­ga­ben und Befug­nis­se gemäß die­ser Ver­ord­nung han­deln die zustän­di­gen Behör­den unpar­tei­isch und unter­lie­gen kei­ner direk­ten oder indi­rek­ten Ein­fluss­nah­me von außen und dür­fen von ande­ren Behör­den oder von pri­va­ten Par­tei­en im Ein­zel­fall kei­ne Wei­sun­gen ein­ho­len oder ent­ge­gen­neh­men. (9) Die Mit­glied­staa­ten sor­gen dafür, dass die zustän­di­gen Behör­den per­so­nell und tech­nisch mit aus­rei­chen­den Mit­teln und dem ein­schlä­gi­gen Fach­wis­sen aus­ge­stat­tet sind, damit sie ihre Auf­ga­ben gemäß die­ser Ver­ord­nung wirk­sam wahr­neh­men kön­nen. (10) Rechts­trä­ger, die in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len, unter­lie­gen der Zustän­dig­keit des Mit­glied­staats, in dem der Rechts­trä­ger nie­der­ge­las­sen ist. Ist der Rechts­trä­ger in mehr als einem Mit­glied­staat nie­der­ge­las­sen, so wird davon aus­ge­gan­gen, dass er in die Zustän­dig­keit des Mit­glied­staats fällt, in dem er sei­ne Haupt­nie­der­las­sung hat, d. h. in dem der Rechts­trä­ger sei­nen Haupt­sitz oder ein­ge­tra­ge­nen Sitz hat, von dem aus die wich­tig­sten finan­zi­el­len Tätig­kei­ten und die betrieb­li­che Kon­trol­le erfol­gen. (11) Jeder in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­de Rechts­trä­ger, der in der Uni­on ver­netz­te Pro­duk­te bereit­stellt oder Dien­ste anbie­tet und nicht in der Uni­on nie­der­ge­las­sen ist, benennt einen Ver­tre­ter in einem der Mit­glied­staa­ten. (12) Damit die Ein­hal­tung die­ser Ver­ord­nung sicher­ge­stellt ist, beauf­tragt ein in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­der Rechts­trä­ger, der in der Uni­on ver­netz­te Pro­duk­te bereit­stellt oder Dien­ste anbie­tet, einen Ver­tre­ter, an den sich die zustän­di­gen Behör­den in allen Fra­gen im Zusam­men­hang mit die­sem Rechts­trä­ger zusätz­lich oder an sei­ner Stel­le wen­den. Die­ser Ver­tre­ter arbei­tet mit den zustän­di­gen Behör­den zusam­men und erbringt gegen­über den zustän­di­gen Behör­den auf Anfra­ge den umfas­sen­den Nach­weis für die Maß­nah­men und die Bestim­mun­gen, die von dem in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­den Rechts­trä­ger, der in der Uni­on ver­netz­te Pro­duk­te bereit­stellt oder Dien­ste anbie­tet, zur Gewähr­lei­stung der Ein­hal­tung die­ser Ver­ord­nung ergrif­fen bzw. auf­ge­stellt wur­den. (13) Für in den Anwen­dungs­be­reich die­ser Ver­ord­nung fal­len­de Rechts­trä­ger, die in der Uni­on ver­netz­te Pro­duk­te bereit­stel­len oder Dien­ste anbie­ten, gilt, dass sie der Zustän­dig­keit des Mit­glied­staats unter­lie­gen, in dem ihr jewei­li­ger Ver­tre­ter ansäs­sig ist. Die Benen­nung eines Ver­tre­ters durch die­sen Rechts­trä­ger erfolgt unbe­scha­det der Haf­tung eines sol­chen Rechts­trä­gers und etwa­iger recht­li­cher Schrit­te, die gegen einen sol­chen Rechts­trä­ger ange­strengt wer­den könn­ten. Bis ein Rechts­trä­ger einen Ver­tre­ter gemäß die­sem Arti­kel benennt, fällt er für die Zwecke der Sicher­stel­lung der Anwen­dung und Durch­set­zung die­ser Ver­ord­nung gege­be­nen­falls in die Zustän­dig­keit aller Mit­glied­staa­ten. Jede zustän­di­ge Behör­de kann ihre Zustän­dig­keit – ein­schließ­lich durch Ver­hän­gung wirk­sa­mer, ver­hält­nis­mä­ßi­ger und abschrecken­der Sank­tio­nen – aus­üben, sofern der Rechts­trä­ger nicht bereits Gegen­stand eines durch eine ande­re zustän­di­ge Behör­de in der­sel­ben Sache ein­ge­lei­te­ten Durch­set­zungs­ver­fah­rens nach die­ser Ver­ord­nung ist. (14) Die zustän­di­gen Behör­den sind befugt, von Nut­zern, Daten­in­ha­bern oder Daten­emp­fän­gern oder deren Ver­tre­tern, die in die Zustän­dig­keit ihres Mit­glied­staats fal­len, alle Infor­ma­tio­nen zu ver­lan­gen, die nötig sind, um die Ein­hal­tung die­ser Ver­ord­nung zu über­prü­fen. Jedes Infor­ma­ti­ons­ver­lan­gen muss in ange­mes­se­nem Ver­hält­nis zur Wahr­neh­mung die­ser Auf­ga­be ste­hen und begrün­det sein. (15) Ersucht eine zustän­di­ge Behör­de in einem Mit­glied­staat um die Unter­stüt­zung oder Voll­streckungs­maß­nah­men einer zustän­di­gen Behör­de in einem ande­ren Mit­glied­staat, so stellt sie ein begrün­de­tes Ersu­chen. Eine zustän­di­ge Behör­de beant­wor­tet ein sol­ches Ersu­chen unver­züg­lich nach des­sen Ein­gang, wobei sie die ein­zel­nen ergrif­fe­nen oder geplan­ten Maß­nah­men auf­führt. (16) Die zustän­di­gen Behör­den wah­ren den Grund­satz der Ver­trau­lich­keit und des Berufs- und Geschäfts­ge­heim­nis­ses und schüt­zen per­so­nen­be­zo­ge­ne Daten nach Maß­ga­be des Uni­ons­rechts oder des natio­na­len Rechts. Alle Infor­ma­tio­nen, die im Zusam­men­hang mit einem Amts­hil­fe­er­su­chen aus­ge­tauscht und nach die­sem Arti­kel bereit­ge­stellt wer­den, dür­fen nur für die Zwecke die­ses Ersu­chens ver­wen­det werden. 

Arti­kel 38 Recht auf Beschwerde 

(1) Unbe­scha­det eines ande­ren ver­wal­tungs­recht­li­chen oder gericht­li­chen Rechts­be­helfs haben natür­li­che und juri­sti­sche Per­so­nen das Recht, ein­zeln oder gege­be­nen­falls gemein­sam bei der jeweils zustän­di­gen Behör­de des Mit­glied­staats ihres gewöhn­li­chen Auf­ent­halts­orts, ihres Arbeits­plat­zes oder ihrer Nie­der­las­sung Beschwer­de ein­zu­le­gen, wenn sie der Ansicht sind, dass ihre Rech­te nach die­ser Ver­ord­nung ver­letzt wur­den. Der Daten­ko­or­di­na­tor stellt natür­li­chen und juri­sti­schen Per­so­nen auf Anfra­ge alle erfor­der­li­chen Infor­ma­tio­nen bereit, damit sie bei der zustän­di­gen Behör­de Beschwer­de ein­le­gen kön­nen. (2) Die zustän­di­ge Behör­de, bei der die Beschwer­de ein­ge­legt wur­de, unter­rich­tet den Beschwer­de­füh­rer im Ein­klang mit dem natio­na­len Recht über den Stand des Ver­fah­rens und die getrof­fe­ne Ent­schei­dung. (3) Die zustän­di­gen Behör­den arbei­ten zusam­men, um Beschwer­den wirk­sam und frist­ge­mäß zu bear­bei­ten und zu lösen, und tau­schen dazu unter ande­rem unver­züg­lich alle rele­van­ten Infor­ma­tio­nen auf elek­tro­ni­schem Wege aus. Die­se Zusam­men­ar­beit berührt nicht das Ver­fah­ren für die Zusam­men­ar­beit gemäß den Kapi­teln VI und VII der Ver­ord­nung (EU) 2016/679 und gemäß der Ver­ord­nung (EU) 2017/2394.

Arti­kel 39 Recht auf einen wirk­sa­men gericht­li­chen Rechtsbehelf

(1) Unbe­scha­det ande­rer ver­wal­tungs­recht­li­cher oder außer­ge­richt­li­cher Rechts­be­hel­fe hat jede betrof­fe­ne natür­li­che oder juri­sti­sche Per­son das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf gegen rechts­ver­bind­li­che Ent­schei­dun­gen zustän­di­ger Behör­den. (2) Wenn eine zustän­di­ge Behör­de in Bezug auf eine Beschwer­de untä­tig bleibt, hat jede davon betrof­fe­ne natür­li­che oder juri­sti­sche Per­son im Ein­klang mit dem natio­na­len Recht ent­we­der das Recht auf einen wirk­sa­men gericht­li­chen Rechts­be­helf oder Zugang zur Nach­prü­fung durch eine unpar­tei­ische Stel­le mit ent­spre­chen­der Sach­kennt­nis. (3) Ver­fah­ren nach die­sem Arti­kel wer­den bei den Gerich­ten des Mit­glied­staats der zustän­di­gen Behör­de ein­ge­lei­tet, gegen die sich der Rechts­be­helf, der von einer ein­zel­nen natür­li­chen oder juri­sti­schen Per­son oder gege­be­nen­falls von den Ver­tre­tern einer oder meh­re­rer natür­li­cher oder juri­sti­scher Per­so­nen ein­ge­legt wur­de, richtet. 

Arti­kel 40 Sanktionen

(1) Die Mit­glied­staa­ten erlas­sen Vor­schrif­ten über Sank­tio­nen, die bei Ver­stö­ßen gegen die­se Ver­ord­nung zu ver­hän­gen sind, und tref­fen alle für die Anwen­dung der Sank­tio­nen erfor­der­li­chen Maß­nah­men. Die vor­ge­se­he­nen Sank­tio­nen müs­sen wirk­sam, ver­hält­nis­mä­ßig und abschreckend sein. (2) Die Mit­glied­staa­ten tei­len der Kom­mis­si­on die­se Vor­schrif­ten und Maß­nah­men bis zum … [20 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] mit und mel­den ihr unver­züg­lich alle spä­te­ren dies­be­züg­li­chen Ände­run­gen. Die Kom­mis­si­on führt ein leicht zugäng­li­ches öffent­li­ches Regi­ster die­ser Maß­nah­men und aktua­li­siert es regel­mä­ßig. (3) Bei der Ver­hän­gung von Sank­tio­nen auf­grund von Ver­stö­ßen gegen die­se Ver­ord­nung berück­sich­ti­gen die Mit­glied­staa­ten die Emp­feh­lun­gen des EDIB und die fol­gen­den nicht erschöp­fen­den Kri­te­ri­en: a) Art, Schwe­re, Umfang und Dau­er des Ver­sto­ßes; b) Maß­nah­men, die die ver­sto­ßen­de Par­tei ergrif­fen hat, um den durch den Ver­stoß ver­ur­sach­ten Scha­den zu min­dern oder zu behe­ben; c) frü­he­re Ver­stö­ße der ver­sto­ßen­den Par­tei; d) die finan­zi­el­len Vor­tei­le, die die ver­sto­ßen­de Par­tei durch den Ver­stoß erzielt, oder die Ver­lu­ste, die sie durch ihn ver­mie­den hat, sofern die­se Vor­tei­le oder Ver­lu­ste zuver­läs­sig fest­ge­stellt wer­den kön­nen; e) son­sti­ge erschwe­ren­de oder mil­dern­de Umstän­de des jewei­li­gen Falls; f) den Jah­res­um­satz der ver­sto­ßen­den Par­tei im vor­an­ge­gan­ge­nen Geschäfts­jahr in der Uni­on. (4) Bei Ver­stö­ßen gegen die Pflich­ten der Kapi­tel II, III und V die­ser Ver­ord­nung kön­nen die für die Über­wa­chung der Anwen­dung der Ver­ord­nung (EU) 2016/679 zustän­di­gen Auf­sichts­be­hör­den inner­halb ihres Zustän­dig­keits­be­reichs Geld­bu­ßen im Ein­klang mit Arti­kel 83 der Ver­ord­nung (EU) 2016/679 bis zu dem in Arti­kel 83 Absatz 5 der Ver­ord­nung genann­ten Betrag ver­hän­gen. (5) Bei Ver­stö­ßen gegen die Pflich­ten des Kapi­tels V die­ser Ver­ord­nung kann der Euro­päi­sche Daten­schutz­be­auf­trag­te inner­halb sei­nes Zustän­dig­keits­be­reichs Geld­bu­ßen im Ein­klang mit Arti­kel 66 der Ver­ord­nung (EU) 2018/1725 bis zu dem in Arti­kel 66 Absatz 3 der Ver­ord­nung genann­ten Betrag verhängen. 

Arti­kel 41 Muster­ver­trags­klau­seln und Standardvertragsklauseln

Die Kom­mis­si­on erstellt und emp­fiehlt vor dem … [20 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] unver­bind­li­che Muster­ver­trags­klau­seln für den Daten­zu­gang und die Daten­nut­zung – ein­schließ­lich Bedin­gun­gen für eine ange­mes­se­ne Gegen­lei­stung und den Schutz von Geschäfts­ge­heim­nis­sen sowie nicht ver­bind­li­che Stan­dard­ver­trags­klau­seln für Ver­trä­ge über Cloud-Com­pu­ting –, um die Par­tei­en bei der Aus­ar­bei­tung und Aus­hand­lung von Ver­trä­gen mit fai­ren, ange­mes­se­nen und nicht­dis­kri­mi­nie­ren­den ver­trag­li­chen Rech­ten und Pflich­ten zu unterstützen.

Arti­kel 42 Rol­le des EDIB

Der gemäß Arti­kel 29 der Ver­ord­nung (EU) 2022/868 von der Kom­mis­si­on als Exper­ten­grup­pe ein­ge­setz­te EDIB, in dem die zustän­di­gen Behör­den ver­tre­ten sind, unter­stützt die ein­heit­li­che Anwen­dung die­ser Ver­ord­nung durch a) Bera­tung und Unter­stüt­zung der Kom­mis­si­on in Bezug auf die Ent­wick­lung einer kohä­ren­ten Pra­xis der zustän­di­gen Behör­den bei der Durch­set­zung der Kapi­tel II, III, V und VII, b) Erleich­te­rung der Zusam­men­ar­beit zwi­schen den zustän­di­gen Behör­den durch Kapa­zi­täts­auf­bau und Infor­ma­ti­ons­aus­tausch, ins­be­son­de­re durch die Fest­le­gung von Metho­den für den effi­zi­en­ten Aus­tausch von Infor­ma­tio­nen über die Durch­set­zung der Rech­te und Pflich­ten nach den Kapi­teln II, III und V in grenz­über­schrei­ten­den Fäl­len, ein­schließ­lich der Abstim­mung in Bezug auf die Fest­le­gung von Sank­tio­nen, c) Bera­tung und Unter­stüt­zung der Kom­mis­si­on in Bezug auf i)die Beant­wor­tung der Fra­ge, ob um die Erar­bei­tung har­mo­ni­sier­ter Nor­men gemäß Arti­kel 33 Absatz 4, Arti­kel 35 Absatz 4 und Arti­kel 36 Absatz 5 ersucht wer­den soll, ii) die Aus­ar­bei­tung der Durch­füh­rungs­rechts­ak­te gemäß Arti­kel 33 Absatz 5, Arti­kel 35 Absät­ze 5 und 8 sowie Arti­kel 36 Absatz 6, iii) die Aus­ar­bei­tung der in Arti­kel 29 Absatz 7 und Arti­kel 33 Absatz 2 genann­ten dele­gier­ten Rechts­ak­te und iv) die Annah­me der Leit­li­ni­en zur Fest­le­gung von inter­ope­ra­blen Rah­men für gemein­sa­me Nor­men und Ver­fah­ren für das Funk­tio­nie­ren gemein­sa­mer euro­päi­scher Daten­räu­me gemäß Arti­kel 33 Absatz 11. 

KAPITEL X SCHUTZRECHT SUI GENERIS NACH DER RICHTLINIE 96/9/EG

Arti­kel 43 Daten­ban­ken, die bestimm­te Daten enthalten

Das in Arti­kel 7 der Richt­li­nie 96/9/EG fest­ge­leg­te Schutz­recht sui gene­ris fin­det kei­ne Anwen­dung, wenn Daten mit­tels eines in den Anwen­dungs­be­reich der vor­lie­gen­den Ver­ord­nung – und ins­be­son­de­re der Arti­kel 4 und 5 die­ser Ver­ord­nung – fal­len­den ver­netz­ten Pro­dukts oder ver­bun­de­nen Dien­stes erlangt oder erzeugt wurden. 

KAPITEL XI SCHLUSSBESTIMMUNGEN

Arti­kel 44Andere Rechts­ak­te der Uni­on zur Rege­lung von Rech­ten und Pflich­ten in Bezug auf den Daten­zu­gang und die Datennutzung

(1) Die beson­de­ren Pflich­ten zur Bereit­stel­lung von Daten zwi­schen Unter­neh­men, zwi­schen Unter­neh­men und Ver­brau­chern sowie aus­nahms­wei­se zwi­schen Unter­neh­men und öffent­li­chen Stel­len auf­grund von Rechts­vor­schrif­ten der Uni­on, die bis zum … [Tag des Inkraft­tre­tens die­ser Ver­ord­nung] in Kraft getre­ten sind, und dar­auf beru­hen­den dele­gier­ten Rechts­ak­ten oder Durch­füh­rungs­rechts­ak­ten blei­ben unbe­rührt. (2) Die­se Ver­ord­nung berührt nicht das Uni­ons­recht, in denen hin­sicht­lich der Bedürf­nis­se eines Sek­tors, eines gemein­sa­men euro­päi­schen Daten­raums oder eines Gebie­tes von öffent­li­chem Inter­es­se wei­te­re Anfor­de­run­gen fest­ge­legt wer­den, ins­be­son­de­re in Bezug auf a) tech­ni­sche Aspek­te des Daten­zu­gangs, b) Beschrän­kun­gen der Rech­te des Daten­in­ha­bers auf Zugang zu bestimm­te n von Nut­zern bereit­ge­stell­ten Daten und auf deren Nut­zung, c) Aspek­te, die über den Daten­zu­gang und die Daten­nut­zung hin­aus­ge­hen. (3) Die­se Ver­ord­nung – mit Aus­nah­me des Kapi­tels V – berührt nicht das Uni­ons­recht und das natio­na­le Recht, das den Zugang zu Daten und die Geneh­mi­gung ihrer Nut­zung zu Zwecken der wis­sen­schaft­li­chen For­schung vorsieht.

Arti­kel 45 Aus­übung der Befugnisübertragung

(1) Die Befug­nis zum Erlass dele­gier­ter Rechts­ak­te wird der Kom­mis­si­on unter den in die­sem Arti­kel fest­ge­leg­ten Bedin­gun­gen über­tra­gen. (2) Die Befug­nis zum Erlass dele­gier­ter Rechts­ak­te gemäß Arti­kel 29 Absatz 7 und Arti­kel 33 Absatz 2 wird der Kom­mis­si­on auf unbe­stimm­te Zeit ab dem … [Tag des Inkraft­tre­tens die­ser Ver­ord­nung] über­tra­gen. (3) Die Befug­nis­über­tra­gung gemäß Arti­kel 29 Absatz 7 und Arti­kel 33 Absatz 2 kann vom Euro­päi­schen Par­la­ment oder vom Rat jeder­zeit wider­ru­fen wer­den. Der Beschluss über den Wider­ruf been­det die Über­tra­gung der in die­sem Beschluss ange­ge­be­nen Befug­nis. Er wird am Tag nach sei­ner Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­schen Uni­on oder zu einem im Beschluss über den Wider­ruf ange­ge­be­nen spä­te­ren Zeit­punkt wirk­sam. Die Gül­tig­keit von dele­gier­ten Rechts­ak­ten, die bereits in Kraft sind, wird von dem Beschluss über den Wider­ruf nicht berührt. (4) Vor dem Erlass eines dele­gier­ten Rechts­akts kon­sul­tiert die Kom­mis­si­on die von den ein­zel­nen Mit­glied­staa­ten benann­ten Sach­ver­stän­di­gen im Ein­klang mit den in der Inter­in­sti­tu­tio­nel­len Ver­ein­ba­rung vom 13. April 2016 über bes­se­re Recht­set­zung ent­hal­te­nen Grund­sät­zen. (5) Sobald die Kom­mis­si­on einen dele­gier­ten Rechts­akt erlässt, über­mit­telt sie ihn gleich­zei­tig dem Euro­päi­schen Par­la­ment und dem Rat. (6) Ein dele­gier­ter Rechts­akt, der gemäß Arti­kel 29 Absatz 7 oder Arti­kel 33 Absatz 2 erlas­sen wur­de, tritt nur in Kraft, wenn weder das Euro­päi­sche Par­la­ment noch der Rat inner­halb einer Frist von drei Mona­ten nach Über­mitt­lung die­ses Rechts­akts an das Euro­päi­sche Par­la­ment und den Rat Ein­wän­de erho­ben haben oder wenn vor Ablauf die­ser Frist das Euro­päi­sche Par­la­ment und der Rat bei­de der Kom­mis­si­on mit­ge­teilt haben, dass sie kei­ne Ein­wän­de erhe­ben wer­den. Auf Initia­ti­ve des Euro­päi­schen Par­la­ments oder des Rates wird die­se Frist um drei Mona­te verlängert.

Arti­kel 46 Ausschussverfahren

(1) Die Kom­mis­si­on wird von dem Aus­schuss, der durch die Ver­ord­nung (EU) 2022/868 ein­ge­setzt wur­de, unter­stützt. Die­ser Aus­schuss ist ein Aus­schuss im Sin­ne der Ver­ord­nung (EU) Nr. 182/2011. (2) Wird auf die­sen Absatz Bezug genom­men, so gilt Arti­kel 5 der Ver­ord­nung (EU) Nr. 182/2011.

Arti­kel 47 Ände­rung der Ver­ord­nung (EU) 2017/2394

Im Anhang der Ver­ord­nung (EU) 2017/2394 wird fol­gen­de Num­mer ange­fügt: „29.Verordnung (EU) 2023/… des Rates und des Euro­päi­schen Par­la­ments vom … über har­mo­ni­sier­te Vor­schrif­ten für einen fai­ren Daten­zu­gang und eine fai­re Daten­nut­zung sowie zur Ände­rung der Ver­ord­nung (EU) 2017/2394 und der Richt­li­nie (EU) 2020/1828 (Daten­ver­ord­nung) (ABl. L … vom …, S. …).“

Arti­kel 48 Ände­rung der Richt­li­nie (EU) 2020/1828

In Anhang I der Richt­li­nie (EU) 2020/1828 wird fol­gen­de Num­mer ange­fügt: „68.Verordnung (EU) 2023/… des Rates und des Euro­päi­schen Par­la­ments vom … über har­mo­ni­sier­te Vor­schrif­ten für einen fai­ren Daten­zu­gang und eine fai­re Daten­nut­zung sowie zur Ände­rung der Ver­ord­nung (EU) 2017/2394 und der Richt­li­nie (EU) 2020/1828 (Daten­ver­ord­nung) (ABl. L … vom …, S. …)+.“ 

Arti­kel 49 Bewer­tung und Überprüfung

(1) Bis zum … [56 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] führt die Kom­mis­si­on eine Bewer­tung die­ser Ver­ord­nung durch und über­mit­telt dem Euro­päi­schen Par­la­ment und dem Rat sowie dem Euro­päi­schen Wirt­schafts- und Sozi­al­aus­schuss einen Bericht über ihre wich­tig­sten Ergeb­nis­se. Bei die­ser Bewer­tung wird ins­be­son­de­re Fol­gen­des bewer­tet: a) Situa­tio­nen, die für die Zwecke des Arti­kels 15 der vor­lie­gen­den Ver­ord­nung und die prak­ti­sche Anwen­dung von Kapi­tel V der vor­lie­gen­den Ver­ord­nung als Fäl­le außer­ge­wöhn­li­cher Not­wen­dig­keit ange­se­hen wer­den, ins­be­son­de­re die Erfah­run­gen mit der Anwen­dung von Kapi­tel V der vor­lie­gen­den Ver­ord­nung durch öffent­li­che Stel­len, die Kom­mis­si­on, die Euro­päi­sche Zen­tral­bank und Ein­rich­tun­gen der Uni­on; von den zustän­di­gen Behör­den gemel­de­te Anzahl und Ergeb­nis­se der Ver­fah­ren, die bei der zustän­di­gen Behör­de gemäß Arti­kel 18 Absatz 5 in Bezug auf die Anwen­dung von Kapi­tel V der vor­lie­gen­den Ver­ord­nung ein­ge­lei­tet wur­den; die Aus­wir­kun­gen ande­rer Ver­pflich­tun­gen, die im Uni­ons­recht oder im natio­na­len Recht für die Zwecke der Erfül­lung von Infor­ma­ti­ons­zu­gangs­ver­lan­gen fest­ge­legt sind; die Aus­wir­kun­gen von Mecha­nis­men für die frei­wil­li­ge Daten­wei­ter­ga­be, wie die von gemäß der Ver­ord­nung (EU) 2022/868 aner­kann­ten daten­al­tru­isti­schen Orga­ni­sa­tio­nen ein­ge­führ­ten, auf die Ver­wirk­li­chung der Zie­le des Kapi­tels V der vor­lie­gen­den Ver­ord­nung und die Rol­le per­so­nen­be­zo­ge­ner Daten im Zusam­men­hang mit Arti­kel 15 der vor­lie­gen­den Ver­ord­nung, ein­schließ­lich der Ent­wick­lung von Tech­no­lo­gien zur Ver­bes­se­rung des Schut­zes der Pri­vat­sphä­re; b) die Aus­wir­kun­gen die­ser Ver­ord­nung auf die Nut­zung von Daten in der Wirt­schaft, auch auf Daten­in­no­va­ti­on, Daten­mo­ne­ta­ri­sie­rungs­pra­xis und Daten­ver­mitt­lungs­dien­ste, sowie auf die Wei­ter­ga­be von Daten inner­halb der gemein­sa­men euro­päi­schen Daten­räu­me; c) die Zugäng­lich­keit und die Nut­zung der ver­schie­de­nen Kate­go­rien und Arten von Daten; d) der Aus­schluss bestimm­ter Kate­go­rien von Unter­neh­men als Begün­stig­te nach Arti­kel 5, e) das Nicht­be­stehen von Aus­wir­kun­gen auf die Rech­te des gei­sti­gen Eigen­tums; f) die Aus­wir­kun­gen auf Geschäfts­ge­heim­nis­se, auch auf den Schutz vor dem rechts­wid­ri­gen Erwerb sowie der rechts­wid­ri­gen Nut­zung und Offen­le­gung von Geschäfts­ge­heim­nis­sen, sowie die Aus­wir­kun­gen des Mecha­nis­mus, in des­sen Rah­men der Daten­in­ha­ber das Daten­zu­gangs­ver­lan­gen des Nut­zers gemäß Arti­kel 4 Absatz 8 und Arti­kel 5 Absatz 11 ableh­nen kann, dabei wird, soweit mög­lich, einer etwa­igen Über­ar­bei­tung der Richt­li­nie (EU) 2016/943 Rech­nung getra­gen; g) die Fra­ge, ob die Liste miss­bräuch­li­cher Ver­trags­klau­seln gemäß Arti­kel 13 ange­sichts neu­er Geschäfts­ge­pflo­gen­hei­ten und der rasch vor­an­schrei­ten­den Markt­in­no­va­ti­on noch aktu­ell ist; h) Ände­run­gen der Ver­trags­pra­xis von Anbie­tern von Daten­ver­ar­bei­tungs­dien­sten und die Fra­ge, ob Arti­kel 25 ange­sichts die­ser Ände­run­gen noch aus­rei­chend ein­ge­hal­ten wird; i)die Sen­kung der Ent­gel­te, die Anbie­ter von Daten­ver­ar­bei­tungs­dien­sten für den Voll­zug des Wech­sels ver­lan­gen, im Ein­klang mit der schritt­wei­sen Abschaf­fung von Wech­sel­ent­gel­ten nach Arti­kel 29; j) das Zusam­men­wir­ken die­ser Ver­ord­nung mit ande­ren Rechts­ak­ten der Uni­on, die für die Daten­wirt­schaft von Bedeu­tung sind; k) die Ver­hin­de­rung des unrecht­mä­ßi­gen staat­li­chen Zugangs zu nicht-per­so­nen­be­zo­ge­nen Daten; l) die Wirk­sam­keit der Durch­set­zungs­re­ge­lung nach Arti­kel 37; m) die Aus­wir­kung der vor­lie­gen­den Ver­ord­nung auf KMU im Hin­blick auf deren Inno­va­ti­ons­fä­hig­keit und der Ver­füg­bar­keit von Daten­ver­ar­bei­tungs­dien­sten für Nut­zer in der Uni­on sowie auf mit der Ein­hal­tung der neu­en Ver­pflich­tun­gen ver­bun­de­ne Bela­stun­gen. (2) Bis zum … [56 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] führt die Kom­mis­si­on eine Bewer­tung die­ser Ver­ord­nung durch und über­mit­telt dem Euro­päi­schen Par­la­ment und dem Rat sowie dem Euro­päi­schen Wirt­schafts- und Sozi­al­aus­schuss, zusätz­lich zu ihrem Bericht gemäß Absatz 1, einen Bericht über ihre wich­tig­sten Ergeb­nis­se. Bei die­ser Bewer­tung wer­den die Aus­wir­kun­gen der Arti­kel 23 bis 31, des Arti­kels 34 und des Arti­kels 35 – ins­be­son­de­re in Bezug auf die Preis­ge­stal­tung und die Viel­falt der in der Uni­on ange­bo­te­nen Daten­ver­ar­bei­tungs­dien­ste, unter beson­de­rer Berück­sich­ti­gung von KMU-Anbie­tern – bewer­tet. (3) Die Mit­glied­staa­ten über­mit­teln der Kom­mis­si­on alle zur Aus­ar­bei­tung der in den Absät­zen 1 und 2 genann­ten Berich­te erfor­der­li­chen Infor­ma­tio­nen. (4) Die Kom­mis­si­on kann dem Euro­päi­schen Par­la­ment und dem Rat auf der Grund­la­ge der in den Absät­zen 1 und 2 genann­ten Berich­te gege­be­nen­falls einen Gesetz­ge­bungs­vor­schlag zur Ände­rung die­ser Ver­ord­nung vorlegen. 

Arti­kel 50 Inkraft­tre­ten und Geltungsbeginn

Die­se Ver­ord­nung tritt am zwan­zig­sten Tag nach ihrer Ver­öf­fent­li­chung im Amts­blatt der Euro­päi­schen Uni­on in Kraft. Sie gilt ab dem … [20 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung]. Die Ver­pflich­tung gemäß Arti­kel 3 Absatz 1 gilt für ver­netz­te Pro­duk­te und die mit ihnen ver­bun­de­nen Dien­ste, die nach dem … [32 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] in Ver­kehr gebracht wur­den. Kapi­tel III gilt nur in Bezug auf Daten­be­reit­stel­lungs­pflich­ten nach dem Uni­ons­recht oder nach im Ein­klang mit Uni­ons­recht erlas­se­nen natio­na­len Rechts­vor­schrif­ten, die nach dem … [20 Mona­te nach dem Tag des Inkraft­tre­tens der vor­lie­gen­den Ver­ord­nung] in Kraft tre­ten. Kapi­tel IV gilt für Ver­trä­ge, die nach dem … [20 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] geschlos­sen wur­den. Kapi­tel IV gilt ab dem … [44 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] für Ver­trä­ge, die am oder vor dem … [20 Mona­te nach dem Tag des Inkraft­tre­tens die­ser Ver­ord­nung] geschlos­sen wur­den, sofern a) sie unbe­fri­stet sind oder b) ihre Gel­tungs­dau­er frü­he­stens 10 Jah­re nach dem … [Tag des Inkraft­tre­tens die­ser Ver­ord­nung] endet.