keyboard_tab Data Act 2023/2854 DE
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 2 Artikel 4 Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf den Zugang zu sowie die Nutzung und die Bereitstellung von Produktdaten und verbundenen Dienstdaten
- 2 Artikel 5 Recht des Nutzers auf Weitergabe von Daten an Dritte
- 1 Artikel 15 Außergewöhnliche Notwendigkeit der Datennutzung
- 5 Artikel 17 Datenbereitstellungsverlangen
- 2 Artikel 18 Erfüllung von Datenverlangen
- 1 Artikel 19 Pflichten öffentlicher Stellen, der Kommission, der Europäischen Zentralbank und der Einrichtungen der Union
- 1 Artikel 29 Schrittweise Abschaffung von Wechselentgelten
- 1 Artikel 32 Staatlicher Zugang und staatliche Übermittlung im internationalen Umfeld
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
KAPITEL II
DATENWEITERGABE VON UNTERNEHMEN AN VERBRAUCHER UND ZWISCHEN UNTERNEHMEN
KAPITEL III
PFLICHTEN DER DATENINHABER, DIE GEMÄSS DEM UNIONSRECHT VERPFLICHTET SIND, DATEN BEREITZUSTELLEN
KAPITEL IV
MISSBRÄUCHLICHE VERTRAGSKLAUSELN IN BEZUG AUF DEN DATENZUGANG UND DIE DATENNUTZUNG ZWISCHEN UNTERNEHMEN
KAPITEL V
BEREITSTELLUNG VON DATEN FÜR ÖFFENTLICHE STELLEN, DIE KOMMISSION, DIE EUROPÄISCHE ZENTRALBANK UND EINRICHTUNGEN DER UNION WEGEN AUSSERGEWÖHNLICHER NOTWENDIGKEIT
KAPITEL VI
WECHSEL ZWISCHEN DATENVERARBEITUNGSDIENSTEN
KAPITEL VII
UNRECHTMÄSSIGER STAATLICHER ZUGANG ZU UND UNRECHTMÄSSIGE STAATLICHE ÜBERMITTLUNG VON NICHT-PERSONENBEZOGENEN DATEN IM INTERNATIONALEN UMFELD
KAPITEL VIII
INTEROPERABILITÄT
KAPITEL IX
ANWENDUNG UND DURCHSETZUNG
KAPITEL X
SCHUTZRECHT SUI GENERIS NACH DER RICHTLINIE 96/9/EG
KAPITEL XI
SCHLUSSBESTIMMUNGEN
- Daten
- Metadaten
- personenbezogene Daten
- nicht-personenbezogene Daten
- vernetztes Produkt
- verbundener Dienst
- Verarbeitung
- Datenverarbeitungsdienst
- gleiche Dienstart
- Datenvermittlungsdienst
- betroffene Person
- Nutzer
- Dateninhaber
- Datenempfänger
- Produktdaten
- verbundene Dienstdaten
- ohne Weiteres verfügbare Daten
- Geschäftsgeheimnis
- Inhaber eines Geschäftsgeheimnisses
- Profiling
- Bereitstellung auf dem Markt
- Inverkehrbringen
- Verbraucher
- Unternehmen
- Kleinstunternehmen
- Einrichtungen der Union
- öffentliche Stelle
- öffentlicher Notstand
- Kunde
- virtuelle Assistenten
- digitale Vermögenswerte
- IKT-Infrastruktur in eigenen Räumlichkeiten
- Wechsel
- Datenextraktionsentgelte
- Wechselentgelte
- Funktionsäquivalenz
- exportierbare Daten
- intelligenter Vertrag
- Interoperabilität
- offene Interoperabilitätsspezifikationen
- gemeinsame Spezifikationen
- harmonisierte Norm
- oder 134
- daten 124
- dateninhaber 53
- für 47
- artikel 45
- gemäß 45
- nicht 40
- eine 38
- absatz 36
- eines 33
- nutzer 31
- werden 30
- kommission 28
- dritten 26
- sind 26
- union 25
- nach 25
- durch 25
- einer 24
- zentralbank 22
- kann 20
- verlangen 20
- dass 20
- einrichtung 19
- wenn 19
- über 19
- einem 18
- wird 17
- maßnahmen 17
- öffentliche_stelle 17
- unverzüglich 16
- entscheidung 16
- behörde 16
- europäische 16
- zuständigen 15
- verlangten 15
- nutzung 14
- keine 14
- öffentlichen 14
- dateninhabers 14
- verordnung 13
- erforderlich 13
- sowie 13
- weitergabe 13
- zugang 13
- diesem 12
- einen 12
- recht 12
- datenverarbeitungsdiensten 12
- geschäftsgeheimnisse 12
Artikel 4
Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf den Zugang zu sowie die Nutzung und die Bereitstellung von Produktdaten und verbundenen Dienstdaten
(1) Soweit der Nutzer nicht direkt vom vernetzten Produkt oder verbundenen Dienst aus auf die Daten zugreifen kann, stellen die Dateninhaber dem Nutzer ohne Weiteres verfügbare Daten einschließlich der zur Auslegung und Nutzung der Daten erforderlichen Metadaten unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereit. Dies geschieht auf einfaches Verlangen auf elektronischem Wege, soweit dies technisch durchführbar ist.
(2) Nutzer und Dateninhaber können den Zugang zu sowie die Nutzung oder die erneute Weitergabe von Daten vertraglich beschränken, wenn eine solche Verarbeitung die im Unionsrecht oder im nationalen Recht festgelegten Sicherheitsanforderungen des vernetzten Produkts beeinträchtigen und damit zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit oder die Sicherheit von natürlichen Personen führen könnte. Die für die betreffenden Sektoren zuständigen Behörden können den Nutzern und Dateninhabern in diesem Zusammenhang technisches Fachwissen bereitstellen. Verweigert der Dateninhaber die Weitergabe von Daten gemäß diesem Artikel, so teilt er dies der gemäß Artikel 37 benannten zuständigen Behörde mit.
(3) Unbeschadet des Rechts des Nutzers, jederzeit vor einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen, kann der Nutzer im Zusammenhang mit einer Streitigkeit mit dem Dateninhaber in Bezug auf die in Absatz 2 genannten vertraglichen Beschränkungen oder Verbote
| a) | gemäß Artikel 37 Absatz 5 Buchstabe b eine Beschwerde bei der zuständigen Behörde einlegen oder |
| b) | mit dem Dateninhaber vereinbaren, gemäß Artikel 10 Absatz 1 eine Streitbeilegungsstelle mit der Angelegenheit zu befassen. |
(4) Die Dateninhaber dürfen die Ausübung der Wahlmöglichkeiten oder Rechte durch den Nutzer nach diesem Artikel nicht unangemessen erschweren, auch nicht dadurch, dass sie dem Nutzer in nicht neutraler Weise Wahlmöglichkeiten anbieten oder die Autonomie, die Entscheidungsfreiheit oder die Wahlfreiheit des Nutzers durch die Struktur, die Gestaltung, die Funktion oder die Funktionsweise einer digitalen Benutzerschnittstelle oder eines Teils davon unterlaufen oder beeinträchtigen.
(5) Um zu überprüfen, ob eine natürliche oder juristische Person als Nutzer für die Zwecke von Absatz 1 einzustufen ist, verlangt der Dateninhaber von dieser Person keine Informationen, die über das erforderliche Maß hinausgehen. Dateninhaber bewahren keine Informationen über den Zugang des Nutzers zu den verlangten Daten – insbesondere keine Protokolldaten – auf, die über das hinausgehen, was für die ordnungsgemäße Ausführung des Zugangsverlangens des Nutzers und für die Sicherheit und Pflege der Dateninfrastruktur erforderlich ist.
(6) Geschäftsgeheimnisse werden gewahrt und nur offengelegt, wenn vom Dateninhaber und vom Nutzer vor der Offenlegung alle Maßnahmen getroffen worden sind, die erforderlich sind, um die Vertraulichkeit der Geschäftsgeheimnisse, insbesondere gegenüber Dritten, zu wahren. Der Dateninhaber oder, wenn sie nicht dieselbe Person sind, der Inhaber des Geschäftsgeheimnisses ermittelt, auch in den relevanten Metadaten, die als Geschäftsgeheimnisse geschützten Daten und vereinbart mit dem Nutzer angemessene technische und organisatorische Maßnahmen, die erforderlich sind, um die Vertraulichkeit der weitergegebenen Daten, insbesondere gegenüber Dritten, zu wahren; dies gilt etwa für Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen und die Anwendung von Verhaltenskodizes.
(7) Wenn keine Einigung über die in Absatz 6 genannten erforderlichen Maßnahmen erzielt wird oder wenn vom Nutzer die gemäß Absatz 6 vereinbarten Maßnahmen nicht umgesetzt werden oder die Vertraulichkeit der Geschäftsgeheimnisse verletzt wird, kann der Dateninhaber die Weitergabe von Daten, die als Geschäftsgeheimnisse eingestuft wurden, verweigern oder gegebenenfalls aussetzen. Die Entscheidung des Dateninhabers ist ordnungsgemäß zu begründen und dem Nutzer unverzüglich schriftlich mitzuteilen. In solchen Fällen teilt der Dateninhaber der gemäß Artikel 37 benannten zuständigen Behörde mit, dass er die Weitergabe von Daten verweigert oder ausgesetzt hat, und gibt an, welche Maßnahmen nicht vereinbart oder umgesetzt wurden und bei welchen Geschäftsgeheimnissen die Vertraulichkeit untergraben wurde.
(8) Wenn unter außergewöhnlichen Umständen der Dateninhaber, der Inhaber eines Geschäftsgeheimnisses ist, nachweisen kann, dass er trotz der vom Nutzer gemäß Absatz 6 des vorliegenden Artikels getroffenen technischen und organisatorischen Maßnahmen mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden durch die Offenlegung von Geschäftsgeheimnissen erleiden wird, kann er ein Datenzugangsverlangen für die betreffenden speziellen Daten im Einzelfall ablehnen. Dieser Nachweis ist auf der Grundlage objektiver Fakten, insbesondere der Durchsetzbarkeit des Schutzes von Geschäftsgeheimnissen in Drittländern, der Art und des Vertraulichkeitsgrads der verlangten Daten sowie der Einzigartigkeit und Neuartigkeit des vernetzten Produkts hinreichend zu begründen und dem Nutzer unverzüglich schriftlich vorzulegen. Verweigert der Dateninhaber die Weitergabe von Daten gemäß vorliegendem Absatz, so teilt er dies der gemäß Artikel 37 benannten zuständigen Behörde mit.
(9) Unbeschadet des Rechts eines Nutzers, jederzeit vor einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen, kann die Entscheidung eines Dateninhabers, die Weitergabe von Daten gemäß den Absätzen 7 und 8 abzulehnen, zu verweigern oder auszusetzen, von einem Nutzer angefochten werden, indem er
| a) | gemäß Artikel 37 Absatz 5 Buchstabe b eine Beschwerde bei der zuständigen Behörde einreicht, die unverzüglich entscheidet, ob und unter welchen Bedingungen die Weitergabe der Daten beginnt oder wieder aufgenommen wird, oder |
| b) | mit dem Dateninhaber vereinbart, gemäß Artikel 10 Absatz 1 eine Streitbeilegungsstelle mit der Angelegenheit zu befassen. |
(10) Der Nutzer darf die aufgrund eines Verlangens nach Absatz 1 erlangten Daten weder zur Entwicklung eines vernetzten Produkts nutzen, das mit dem vernetzten Produkt, von dem die Daten stammen, im Wettbewerb steht, noch darf er diese Daten mit dieser Absicht an einen Dritten weitergeben oder nutzen, um Einblicke in die wirtschaftliche Lage, die Vermögenswerte und die Produktionsmethoden des Herstellers oder gegebenenfalls des Dateninhabers zu erlangen.
(11) Der Nutzer darf keine Zwangsmittel einsetzen oder Lücken in der zum Schutz der Daten bestehenden technischen Infrastruktur eines Dateninhabers ausnutzen, um Zugang zu Daten zu erlangen.
(12) Handelt es sich bei dem Nutzer nicht um die betroffene_Person, deren personenbezogene Daten verlangt werden, so darf der Dateninhaber personenbezogene Daten, die bei der Nutzung eines vernetzten Produktes oder verbundenen Dienstes generiert werden, dem Nutzer nur dann bereitstellen, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gemäß Artikel 6 der Verordnung (EU) 2016/679 gibt und gegebenenfalls die Bedingungen des Artikels 9 jener Verordnung sowie des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG erfüllt sind.
(13) Der Dateninhaber darf ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen. Der Dateninhaber darf solche Daten nicht verwenden, um daraus Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Nutzers oder in die Nutzung durch den Nutzer auf jegliche andere Art, die die gewerbliche Position dieses Nutzers auf Märkten, auf denen dieser tätig ist, untergraben könnte, zu erlangen.
(14) Dateninhaber dürfen nicht-personenbezogene Produktdaten Dritten zu keinen anderen kommerziellen oder nichtkommerziellen Zwecken als zur Erfüllung ihres Vertrags mit dem Nutzer bereitstellen. Gegebenenfalls werden Dritte von Dateninhabern vertraglich verpflichtet, die von ihnen erhaltenen Daten nicht erneut weiterzugeben.
Artikel 5
Recht des Nutzers auf Weitergabe von Daten an Dritte
(1) Auf Verlangen eines Nutzers oder einer im Namen eines Nutzers handelnden Partei stellt der Dateninhaber einem Dritten ohne Weiteres verfügbare Daten sowie die für die Auslegung und Nutzung dieser Daten erforderlichen Metadaten unverzüglich, für den Nutzer unentgeltlich, in derselben Qualität, die dem Dateninhaber zur Verfügung steht, einfach, sicher, für den Nutzer unentgeltlich, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, kontinuierlich und in Echtzeit bereit. Die Daten werden durch den Dateninhaber für den Dritten gemäß den Artikeln 8 und 9 bereitgestellt.
(2) Absatz 1 gilt nicht für ohne Weiteres verfügbare Daten im Zusammenhang mit der Prüfung neuer vernetzter Produkte, Stoffe oder Verfahren, die noch nicht in Verkehr gebracht werden, es sei denn, ihre Verwendung durch Dritte ist vertraglich genehmigt.
(3) Ein Unternehmen, das gemäß Artikel 3 der Verordnung (EU) 2022/1925 als Torwächter benannt wurde, gilt nicht als im Sinne des vorliegenden Artikels zugelassener Dritter und ist daher nicht berechtigt,
| a) | einen Nutzer dazu aufzufordern oder durch geschäftliche Anreize in irgendeiner Weise, auch durch eine finanzielle oder sonstige Gegenleistung, dafür zu gewinnen, Daten, die vom Nutzer aufgrund eines Verlangens nach Artikel 4 Absatz 1 erlangt wurden, für einen seiner Dienste bereitzustellen; |
| b) | einen Nutzer dazu aufzufordern oder durch geschäftliche Anreize dafür zu gewinnen, vom Dateninhaber zu verlangen, gemäß Absatz 1 dieses Artikels Daten für einen seiner Dienste bereitzustellen; |
| c) | von einem Nutzer Daten zu erhalten, die der Nutzer aufgrund eines Verlangens nach Artikel 4 Absatz 1 erlangt hat. |
(4) Für die Zwecke der Überprüfung, ob eine natürliche oder juristische Person für die Zwecke von Absatz 1 als Nutzer oder als Dritter einzustufen ist, werden vom Dateninhaber oder Dritten keine Informationen verlangt, die über das erforderliche Maß hinausgehen. Die Dateninhaber bewahren keine Informationen über den Zugang des Dritten zu den verlangten Daten auf, die über das hinausgehen, was für die ordnungsgemäße Ausführung des Zugangsverlangens des Dritten und für die Sicherheit und Pflege der Dateninfrastruktur erforderlich ist.
(5) Der Dritte darf keine Zwangsmittel verwenden oder Lücken in der zum Schutz der Daten bestehenden technischen Infrastruktur des Dateninhabers ausnutzen, um Zugang zu Daten zu erlangen.
(6) Der Dateninhaber darf ohne Weiteres verfügbare Daten nicht verwenden, um daraus Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Dritten oder in die Nutzung durch den Dritten auf jegliche andere Art, die die gewerbliche Position des Dritten auf den Märkten, auf denen dieser tätig ist, untergraben könnte, zu erlangen, es sei denn, der Dritte hat eine solche Nutzung genehmigt und hat die technische Möglichkeit, diese Genehmigung jederzeit einfach zu widerrufen.
(7) Handelt es sich bei dem Nutzer nicht um die betroffene_Person, deren personenbezogene Daten verlangt werden, so dürfen personenbezogene Daten, die bei der Nutzung eines vernetzten Produktes oder verbundenen Dienstes generiert werden, nur dann vom Dateninhaber dem Dritten bereitgestellt werden, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gemäß Artikel 6 der Verordnung (EU) 2016/679 gibt und gegebenenfalls die Bedingungen des Artikels 9 jener Verordnung sowie des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG erfüllt sind.
(8) Die Ausübung der Rechte der betroffenen Person gemäß der Verordnung (EU) 2016/679 und insbesondere des Rechts auf Datenübertragbarkeit gemäß Artikel 20 jener Verordnung darf durch Versäumnisse seitens des Dateninhabers oder des Dritten, Vorkehrungen für die Übermittlung der Daten zu treffen, nicht behindert, verhindert oder beeinträchtigt werden.
(9) Geschäftsgeheimnisse werden gewahrt und Dritten gegenüber nur insoweit offengelegt, als diese Offenlegung für den zwischen dem Nutzer und dem Dritten vereinbarten Zweck unbedingt erforderlich ist. Der Dateninhaber oder, wenn sie nicht dieselbe Person sind, der Inhaber des Geschäftsgeheimnisses ermittelt, auch in den relevanten Metadaten, die als Geschäftsgeheimnisse geschützten Daten und vereinbart mit dem Dritten alle angemessenen technischen und organisatorischen Maßnahmen, die erforderlich sind, um die Vertraulichkeit der weitergegebenen Daten zu wahren; dies gilt etwa für Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen und die Anwendung von Verhaltenskodizes.
(10) Wenn keine Einigung über die in Absatz 9 des vorliegenden Artikels genannten erforderlichen Maßnahmen erzielt wird oder wenn von dem Dritten die gemäß Absatz 9 des vorliegenden Artikels vereinbarten Maßnahmen nicht umgesetzt werden oder die Vertraulichkeit der Geschäftsgeheimnisse verletzt wird, kann der Dateninhaber die Weitergabe von Daten, die als Geschäftsgeheimnisse ermittelt wurden, verweigern oder gegebenenfalls aussetzen. Die Entscheidung des Dateninhabers ist ordnungsgemäß zu begründen und dem Dritten unverzüglich schriftlich mitzuteilen. In solchen Fällen teilt der Dateninhaber der gemäß Artikel 37 benannten zuständigen Behörde mit, dass er die Weitergabe von Daten verweigert oder ausgesetzt hat, und gibt an, welche Maßnahmen nicht vereinbart oder umgesetzt wurden und bei welchen Geschäftsgeheimnissen die Vertraulichkeit verletzt wurde.
(11) Wenn unter außergewöhnlichen Umständen der Dateninhaber, der Inhaber eines Geschäftsgeheimnisses ist, nachweisen kann, dass er trotz der vom Dritten gemäß Absatz 9 des vorliegenden Artikels getroffenen technischen und organisatorischen Maßnahmen mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden durch eine Offenlegung von Geschäftsgeheimnissen erleiden wird, kann er das Datenzugangsverlangen für die betreffenden speziellen Daten im Einzelfall ablehnen. Dieser Nachweis ist auf der Grundlage objektiver Fakten, insbesondere der Durchsetzbarkeit des Schutzes von Geschäftsgeheimnissen in Drittländern, der Art und des Grads der Vertraulichkeit der verlangten Daten sowie der Einzigartigkeit und Neuartigkeit des vernetzten Produkts hinreichend zu begründen und Dritten unverzüglich schriftlich vorzulegen. Verweigert der Dateninhaber die Weitergabe von Daten gemäß diesem Absatz, so teilt er dies der gemäß Artikel 37 benannten zuständigen Behörde mit.
(12) Unbeschadet des Rechts Dritter, jederzeit vor einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen, kann ein Dritter, der eine Entscheidung des Dateninhabers, die Weitergabe von Daten gemäß den Absätzen 10 und 11 abzulehnen, zu verweigern oder auszusetzen, anfechten möchte:
| a) | gemäß Artikel 37 Absatz 5 Buchstabe b eine Beschwerde bei der zuständigen Behörde einreichen, die unverzüglich entscheidet, ob und unter welchen Bedingungen die Weitergabe der Daten beginnt oder wieder aufgenommen wird, oder |
| b) | mit dem Dateninhaber vereinbaren, gemäß Artikel 10 Absatz 1 eine Streitbeilegungsstelle mit der Angelegenheit zu befassen. |
(13) Das Recht gemäß Absatz 1 darf die Rechte betroffener Personen gemäß dem geltenden Unionsrecht und nationalen Recht über den Schutz personenbezogener Daten nicht beeinträchtigen.
Artikel 15
Außergewöhnliche Notwendigkeit der Datennutzung
(1) Die außergewöhnliche Notwendigkeit der Nutzung bestimmter Daten im Sinne dieses Kapitels ist zeitlich befristet und im Umfang begrenzt und gilt nur unter einem der folgenden Umstände als gegeben, wenn:
| a) | die verlangten Daten zur Bewältigung eines öffentlichen Notstands erforderlich sind und die öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder die Einrichtung der Union diese Daten unter gleichwertigen Bedingungen auf andere Weise nicht rechtzeitig und wirksam beschaffen kann; |
| b) | nicht von Buchstabe a erfassten Umstände vorliegen, und nur soweit nicht-personenbezogene Daten betroffen sind, wenn
|
(2) Absatz 1 Buchstabe b dieses Artikels gilt nicht für Kleinstunternehmen und Kleinunternehmen.
(3) Die Verpflichtung, nachzuweisen, dass die öffentliche_Stelle nicht in der Lage war, nicht-personenbezogene Daten durch den Erwerb auf dem Markt zu erhalten, gilt nicht, wenn die spezifische Aufgabe, die im öffentlichen Interesse ausgeübt wird, in der Erstellung amtlicher Statistiken besteht und der Erwerb solcher Daten nach nationalem Recht nicht zulässig ist.
Artikel 17
Datenbereitstellungsverlangen
(1) Öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Einrichtungen_der_Union müssen in ihren Datenverlangen nach Artikel 14
| a) | angeben, welche Daten, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, benötigt werden; |
| b) | nachweisen, dass die für das Bestehen einer außergewöhnlichen Notwendigkeit erforderlichen Bedingungen gemäß Artikel 15 für die Zwecke, für die die Daten verlangt werden, erfüllt sind; |
| c) | den Zweck des Verlangens, die beabsichtigte Nutzung der verlangten Daten gegebenenfalls auch durch einen Dritten gemäß Absatz 4, und die Dauer dieser Nutzung sowie gegebenenfalls die Art und Weise erläutern, wie die Verarbeitung personenbezogener Daten der außergewöhnlichen Notwendigkeit abhelfen soll; |
| d) | nach Möglichkeit angeben, wann die Daten von allen Parteien, die Zugang zu den Daten haben, voraussichtlich gelöscht sein werden; |
| e) | die Wahl des Dateninhabers, an den das Verlangen gerichtet ist, begründen; |
| f) | alle anderen öffentlichen Stellen oder die Kommission, die Europäische Zentralbank oder Einrichtungen_der_Union und Dritte angeben, an die die verlangten Daten voraussichtlich weitergegeben werden; |
| g) | – falls personenbezogene Daten verlangt werden – alle technischen und organisatorischen Maßnahmen angeben, die zur Umsetzung der Datenschutzgrundsätze und erforderlichen Garantien erforderlich und verhältnismäßig sind, wie etwa die Pseudonymisierung, und ob der Dateninhaber vor der Bereitstellung der Daten eine Anonymisierung vornehmen kann; |
| h) | die Rechtsvorschrift angeben, durch die der anfragenden öffentlichen Stelle, der Kommission, der Europäischen Union oder der Einrichtung der Union die für das Datenverlangen relevante spezifische im öffentlichen Interesse ausgeübte Aufgabe übertragen wird; |
| i) | die Frist angeben, innerhalb deren die Daten bereitzustellen sind und die Frist gemäß Artikel 18 Absatz 2, innerhalb deren der Dateninhaber das Verlangen ablehnen oder dessen Änderung beantragen kann; |
| j) | sich nach besten Kräften darum bemühen, zu vermeiden, dass die Erfüllung des Datenverlangens zur Haftung des Dateninhabers für Verstöße gegen das Unionsrecht oder nationales Recht führt. |
(2) Ein Datenverlangen nach Absatz 1 dieses Artikels muss
| a) | schriftlich und in klarer, prägnanter, einfacher und für den Dateninhaber verständlicher Sprache abgefasst sein, |
| b) | genaue Angaben zur Art der verlangten Daten enthalten und sich auf die Daten beziehen, über die der Dateninhaber zum Zeitpunkt des Verlangens Kontrolle hat; |
| c) | im Hinblick auf die Detailstufe und den Umfang der verlangten Daten sowie die Häufigkeit des Zugangs zu den verlangten Daten in einem angemessenen Verhältnis zu der außergewöhnlichen Notwendigkeit stehen und ausreichend begründet sein; |
| d) | die rechtmäßigen Ziele des Dateninhabers unter Zusage der Gewährleistung der Wahrung von Geschäftsgeheimnissen gemäß Artikel 19 Absatz 3 und unter Berücksichtigung der Kosten und des nötigen Aufwands für die Bereitstellung der Daten achten; |
| e) | nicht-personenbezogene Daten betreffen, und nur dann, wenn sich erweist, dass dies nicht ausreicht, um auf die außergewöhnliche Notwendigkeit der Nutzung von Daten gemäß Artikel 15 Absatz 1 Buchstabe a zu reagieren, personenbezogene Daten in pseudonymisierter Form verlangen und die technischen und organisatorischen Maßnahmen festlegen, die zum Schutz der Daten ergriffen werden; |
| f) | dem Dateninhaber Aufschluss über die Sanktionen geben, die nach Artikel 40 von der nach Artikel 37 benannten zuständigen Behörde verhängt werden, wenn er dem Verlangen nicht nachkommt; |
| g) | sofern das Verlangen durch eine öffentliche_Stelle erfolgt, dem in Artikel 37 genannten Datenkoordinator des Mitgliedstaats, in dem die anfragende öffentliche_Stelle niedergelassen ist, übermittelt werden, der das Verlangen unverzüglich online öffentlich verfügbar macht, es sei denn, die öffentliche_Stelle ist der Auffassung, dass diese Veröffentlichung eine Gefahr für die öffentliche Sicherheit darstellen würde; |
| h) | sofern das Verlangen durch die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union erfolgt, unverzüglich online verfügbar gemacht werden; |
| i) | – falls personenbezogene Daten verlangt werden – der für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörde im Mitgliedstaat, in dem die öffentliche_Stelle niedergelassen ist, unverzüglich gemeldet werden. |
Die Europäische Zentralbank und die Einrichtungen_der_Union informieren die Kommission über ihre Verlangen.
(3) Eine öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union dürfen nach diesem Kapitel erlangte Daten nicht zur Weiterverwendung im Sinne des Artikels 2 Nummer 2 der Verordnung (EU) 2022/868 oder Artikel 2 Nummer 11 der Richtlinie (EU) 2019/1024 bereitstellen. Die Verordnung (EU) 2022/868 und die Richtlinie (EU) 2019/1024 finden keine Anwendung auf nach diesem Kapitel erlangte von öffentlichen Stellen gehaltene Daten.
(4) Durch Absatz 3 dieses Artikels wird eine öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union nicht daran gehindert, nach diesem Kapitel erlangte Daten mit einer anderen öffentlichen Stelle oder mit der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union zwecks Wahrnehmung der in Artikel 15 genannten Aufgaben auszutauschen, wie in dem Verlangen gemäß Absatz 1 Buchstabe f des vorliegenden Artikels angegeben, oder die Daten einem Dritten bereitzustellen, wenn sie im Rahmen einer öffentlich verfügbaren Vereinbarung technische Inspektionen oder andere Aufgaben an diesen Dritten delegiert hat. Die Pflichten öffentlicher Stellen gemäß Artikel 19, insbesondere die Garantien zur Wahrung der Vertraulichkeit von Geschäftsgeheimnissen, gelten auch für diese Dritten. Wenn eine öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union Daten nach diesem Absatz übermittelt oder bereitstellt, teilt sie dies dem Dateninhaber, von dem sie die Daten erhalten hat, unverzüglich mit.
(5) Ist der Dateninhaber der Ansicht, dass seine Rechte nach diesem Kapitel durch die Übermittlung oder Bereitstellung von Daten verletzt wurden, so kann er bei der nach Artikel 37 benannten zuständigen Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, Beschwerde einlegen.
(6) Die Kommission entwickelt ein Musterformular für Verlangen gemäß dem vorliegenden Artikel.
Artikel 18
Erfüllung von Datenverlangen
(1) Ein Dateninhaber, der ein Datenzugangsverlangen nach diesem Kapitel erhält, stellt der anfragenden öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union die Daten unverzüglich bereit, wobei die erforderlichen technischen, organisatorischen und rechtlichen Maßnahmen berücksichtigt werden.
(2) Unbeschadet besonderer Erfordernisse bezüglich der Verfügbarkeit von Daten, die in Unionsrecht oder nationalem Recht festgelegt sind, kann ein Dateninhaber Datenzugangsverlangen im Sinne dieses Kapitels im Falle von Daten, die zur Bewältigung eines öffentlichen Notstands erforderlich sind, unverzüglich und in jedem Fall innerhalb von fünf Arbeitstagen nach Eingang des Datenverlangens sowie in anderen Fällen einer außergewöhnlichen Notwendigkeit unverzüglich und in jedem Fall innerhalb von 30 Arbeitstagen nach Eingang des betreffenden Datenverlangens aus einem der folgenden Gründe ablehnen oder deren Änderung beantragen:
| a) | Der Dateninhaber hat keine Kontrolle über die verlangten Daten; |
| b) | ein ähnliches Verlangen zu demselben Zweck wurde bereits von einer anderen öffentlichen Stelle oder von der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union gestellt, und der Dateninhaber wurde nicht gemäß Artikel 19 Absatz 1 Buchstabe c über das Löschen der Daten unterrichtet; |
| c) | das Verlangen erfüllt nicht die Voraussetzungen nach Artikel 17 Absätze 1 und 2. |
(3) Wenn der Dateninhaber das Verlangen gemäß Absatz 2 Buchstabe b ablehnt oder dessen Änderung beantragt, nennt er die öffentliche_Stelle oder die Kommission, die Europäische Zentralbank oder die Einrichtung der Union, die zuvor zu demselben Zweck Daten verlangt hatte.
(4) Wenn die verlangten Daten auch personenbezogene Daten enthalten, werden diese vom Dateninhaber ordnungsgemäß anonymisiert, es sei denn, zur Erfüllung des Datenzugangsverlangens einer öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union ist die Offenlegung personenbezogener Daten erforderlich. In diesen Fällen muss der Dateninhaber die Daten pseudonymisieren.
(5) Wenn die öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder die Einrichtung der Union beabsichtigt, der Ablehnung des Datenverlangens eines Dateninhabers zu widersprechen, oder wenn der Dateninhaber Einspruch gegen das Verlangen einzulegen beabsichtigt und die Angelegenheit durch eine entsprechende Änderung des Verlangens nicht beigelegt werden kann, wird die nach Artikel 37 benannte zuständige Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, mit der Angelegenheit befasst.
Artikel 19
Pflichten öffentlicher Stellen, der Kommission, der Europäischen Zentralbank und der Einrichtungen_der_Union
(1) Eine öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union, die Daten aufgrund eines Verlangens nach Artikel 14 erhalten hat,
| a) | darf die Daten nicht in einer Weise nutzen, die mit dem Zweck des Datenverlangens unvereinbar ist; |
| b) | muss technische und organisatorische Maßnahmen getroffen haben, die die Vertraulichkeit und Integrität der verlangten Daten und die Sicherheit der Datenübermittlungen – insbesondere bei personenbezogenen Daten – wahren und die Rechte und Freiheiten der betroffenen Personen schützen; |
| c) | muss die Daten löschen, sobald sie für den angegebenen Zweck nicht mehr erforderlich sind, und dem Dateninhaber sowie den Einzelpersonen oder Organisationen, die die Daten gemäß Artikel 21 Absatz 1 erhalten haben, unverzüglich mitteilen, dass die Daten gelöscht worden sind, es sei denn, die Archivierung der Daten ist im Einklang mit Unionsrecht oder nationalem Recht über den Zugang der Öffentlichkeit zu Dokumenten im Rahmen der Transparenzverpflichtungen vorgeschrieben. |
(2) Eine öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union oder Dritte, die Daten gemäß diesem Kapitel erhalten, sind nicht berechtigt,
| a) | die Daten oder Erkenntnisse über die wirtschaftliche Lage, die Vermögenswerte und Produktions- oder Betriebsmethoden des Dateninhabers zu nutzen, um ein vernetztes_Produkt oder einen verbundenen Dienst zu entwickeln oder zu verbessern, das bzw. die mit dem vernetzten Produkt oder des verbundenen Dienstes des Dateninhabers im Wettbewerb steht; |
| b) | die Daten für die unter Buchstabe a genannten Zwecke an einen anderen Dritten weiterzugeben. |
(3) Die Offenlegung von Geschäftsgeheimnissen gegenüber einer öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union gilt nur in dem Maße als erforderlich, in dem dies für den Zweck eines Verlangens gemäß Artikel 15 unerlässlich ist. In diesem Fall muss der Dateninhaber oder, falls es sich dabei nicht um dieselbe Person handelt, der Inhaber des Geschäftsgeheimnisses die Daten, die als Geschäftsgeheimnisse geschützt sind, einschließlich der einschlägigen Metadaten, identifizieren. Die öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder die Einrichtung der Union treffen vor der Offenlegung von Geschäftsgeheimnissen alle erforderlichen und geeigneten technischen und organisatorischen Maßnahmen, um die Vertraulichkeit der Geschäftsgeheimnisse zu wahren, gegebenenfalls einschließlich der Verwendung von Mustervertragsbestimmungen, technischen Normen und der Anwendung von Verhaltenskodizes.
(4) Eine öffentliche_Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union sind für die Sicherheit der erhaltenen Daten verantwortlich.
Artikel 29
Schrittweise Abschaffung von Wechselentgelten
(1) Ab dem 12. Januar 2027 dürfen Anbieter von Datenverarbeitungsdiensten für den Vollzug des Anbieterwechsels keine Wechselentgelte mehr erheben.
(2) Vom 11. Januar 2024 bis zum 12. Januar 2027 dürfen Anbieter von Datenverarbeitungsdiensten bei den Kunden für den Vollzug des Wechsels ermäßigte Wechselentgelte erheben.
(3) Die in Absatz 2 genannten ermäßigten Wechselentgelte dürfen die Kosten, die dem Anbieter von Datenverarbeitungsdiensten im unmittelbaren Zusammenhang mit dem betreffenden Wechsel entstehen, nicht übersteigen.
(4) Vor dem Abschluss eines Vertrags mit einem Kunden unterrichten Anbieter von Datenverarbeitungsdiensten den potenziellen Kunden eindeutig über die möglicherweise erhobenen Standarddienstentgelte und die bei vorzeitiger Kündigung möglicherweise auferlegten Sanktionen sowie über die ermäßigten Wechselentgelte, die während des in Absatz 2 genannten Zeitrahmens erhoben werden könnten.
(5) Gegebenenfalls stellen Anbieter von Datenverarbeitungsdiensten einem Kunden Informationen über Datenverarbeitungsdienste bereit, durch die der Wechsel sehr kompliziert oder kostspielig wird oder ohne nennenswerte Eingriffe in die Daten, digitalen Vermögenswerte oder die Dienstarchitektur unmöglich ist.
(6) Anbieter von Datenverarbeitungsdiensten veröffentlichen die in den Absätzen 4 und 5 genannten Informationen für Kunden gegebenenfalls auf einem gesonderten Abschnitt ihrer Website oder auf eine andere leicht zugängliche Weise.
(7) Der Kommission wird die Befugnis übertragen, gemäß Artikel 45 delegierte Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, indem ein Überwachungsmechanismus eingerichtet wird, mit dem die Kommission die von Anbietern von Datenverarbeitungsdiensten auf dem Markt verlangten Wechselentgelte überwachen kann, um sicherzustellen, dass die Wechselentgelte gemäß den Absätzen 1 und 2 des vorliegenden Artikels innerhalb der in diesen Absätzen festgelegten Fristen abgeschafft und verringert werden.
Artikel 32
Staatlicher Zugang und staatliche Übermittlung im internationalen Umfeld
(1) Unbeschadet der Absätze 2 oder 3 treffen Anbieter von Datenverarbeitungsdiensten alle angemessenen technischen, organisatorischen und rechtlichen Maßnahmen, einschließlich Verträgen, um den staatlichen Zugang zu und die staatliche Übermittlung von in der Union gespeicherten nicht-personenbezogenen Daten im internationalen Umfeld und durch Drittländer zu verhindern, wenn dies im Widerspruch zum Unionsrecht oder zum nationalen Recht des betreffenden Mitgliedstaats stehen würde.
(2) Für jegliche Entscheidung bzw. jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, die Anbieter von Datenverarbeitungsdiensten auffordern, in den Anwendungsbereich dieser Verordnung fallende nicht-personenbezogene Daten zu übermitteln oder Zugang zu diesen Daten zu gewähren, gilt, dass sie unabhängig von der Art und Weise nur anerkannt werden bzw. vollstreckbar sind, wenn sie auf einer rechtskräftigen internationalen Übereinkunft, etwa auf einem Rechtshilfeabkommen zwischen dem anfragenden Drittland und der Union oder einer solcher Übereinkunft zwischen dem anfragenden Drittland und einem Mitgliedstaat, beruhen.
(3) Wenn keine internationale Übereinkunft gemäß Absatz 2 besteht und an einen Anbieter von Datenverarbeitungsdiensten eine Entscheidung bzw. ein Urteil eines Gerichts eines Drittlands oder eine Entscheidung einer Verwaltungsbehörde eines Drittlands ergeht, wonach unter diese Verordnung fallende in der Union gespeicherte nicht-personenbezogene Daten zu übermitteln sind oder Zugang zu diesen Daten zu gewähren ist, und der Adressat eines solchen Urteils oder einer solchen Entscheidung im Falle der Folgeleistung gegen das Unionsrecht oder das nationale Recht des betreffenden Mitgliedstaats verstoßen würde, erfolgt die Übermittlung von oder die Gewährung des Zugangs zu diesen Daten an bzw. für die betreffende Drittlandsbehörde nur, wenn
| a) | das Rechtssystem des Drittlands vorschreibt, dass die Entscheidung oder das Urteil zu begründen ist und verhältnismäßig sein muss, und vorsieht, dass die Entscheidung oder das Urteil eine hinreichende Bestimmtheit aufweisen muss, indem darin z. B. eine hinreichende Bezugnahme auf bestimmte verdächtige Personen oder Rechtsverletzungen erfolgt, |
| b) | der begründete Einwand des Adressaten von einem zuständigen Gericht des Drittlands überprüft wird und |
| c) | das zuständige Gericht des Drittlands, das die Entscheidung oder das Urteil erlässt oder die Entscheidung einer Verwaltungsbehörde überprüft, nach dem Recht dieses Drittlands befugt ist, die einschlägigen rechtlichen Interessen des Bereitstellers der durch das Unionsrecht oder das nationale Recht des betreffenden Mitgliedstaats geschützten Daten gebührend zu berücksichtigen. |
Der Adressat der Entscheidung oder des Urteils kann die Stellungnahme der zuständigen nationalen Stelle oder der für die internationale Zusammenarbeit in Rechtssachen zuständigen Behörde einholen, um festzustellen, ob die in Unterabsatz 1 festgelegten Bedingungen erfüllt sind, insbesondere wenn er der Auffassung ist, dass die Entscheidung möglicherweise Geschäftsgeheimnisse und andere sensible Geschäftsdaten sowie Inhalte, die durch Rechte des geistigen Eigentums geschützt sind, betrifft oder die Übermittlung eine Re-Identifikation ermöglichen könnte. Die zuständige nationale Stelle oder Behörde kann die Kommission konsultieren. Ist der Adressat der Auffassung, dass die Entscheidung oder das Urteil die nationale Sicherheit oder die Verteidigungsinteressen der Union oder ihrer Mitgliedstaaten beeinträchtigen könnte, so holt er die Stellungnahme der einschlägigen nationalen Stellen oder Behörden ein, um festzustellen, ob die verlangten Daten die nationale Sicherheit oder die Verteidigungsinteressen der Union oder ihrer Mitgliedstaaten betreffen. Hat der Adressat binnen eines Monats keine Antwort erhalten oder gelangt eine solche Stelle oder Behörde in ihrer Stellungnahme zu dem Schluss, dass die in Unterabsatz 1 festgelegten Bedingungen nicht erfüllt sind, so kann der Adressat die Aufforderung zur Übermittlung von oder zum Zugang zu nicht-personenbezogenen Daten aus diesen Gründen ablehnen.
Der in Artikel 42 genannte EDIB berät und unterstützt die Kommission bei der Ausarbeitung von Leitlinien für die Bewertung, ob die in Unterabsatz 1 dieses Absatzes genannten Bedingungen erfüllt sind.
(4) Sind die Voraussetzungen nach Absatz 2 oder Absatz 3 erfüllt, so stellt der Anbieter von Datenverarbeitungsdiensten die Mindestmenge an Daten bereit, die auf der Grundlage einer angemessenen Auslegung dieses Verlangens durch den Anbieter oder die in Absatz 3 Unterabsatz 2 genannte einschlägige nationale Stelle oder Behörde als Reaktion auf das Verlangen zulässig ist.
(5) Der Anbieter von Datenverarbeitungsdiensten teilt dem Kunden mit, dass für seine Daten ein Datenzugangsverlangen einer Behörde eines Drittlands vorliegt, bevor er das Verlangen erfüllt, außer in Fällen, in denen das Verlangen Strafverfolgungszwecken dient und solange zur Wahrung der Wirksamkeit der Strafverfolgungsmaßnahmen erforderlich ist.
KAPITEL VIII
INTEROPERABILITÄT
whereas