Präambel

in Erwägung nachstehender Gründe:

(1) In den letzten Jahren haben die datengesteuerten Technologien alle Wirtschaftsbereiche verändert. Insbesondere die Verbreitung von Produkten, die mit dem Internet verbunden sind, hat das Volumen und den potenziellen Wert von Daten für Verbraucher, Unternehmen und die Gesellschaft erhöht. Qualitativ hochwertige und interoperable Daten aus verschiedenen Bereichen steigern Wettbewerbsfähigkeit und Innovation und sorgen für ein nachhaltiges Wirtschaftswachstum. Dieselben Daten können für eine Vielzahl von Zwecken und in unbegrenztem Umfang genutzt und wiederverwendet werden, ohne dass es zu einem Verlust an Qualität oder Quantität kommt.

(2) Hindernisse für die gemeinsame Nutzung von Daten verhindern eine optimale Nutzung von Daten zum Nutzen der Gesellschaft. Zu diesen Hindernissen gehören fehlende Anreize für Dateninhaber, freiwillig Vereinbarungen über die gemeinsame Nutzung von Daten zu schließen, Unsicherheit über Rechte und Pflichten in Bezug auf Daten, die Kosten für die Vergabe von Verträgen und die Implementierung technischer Schnittstellen, die starke Fragmentierung von Informationen in Datensilos, ein schlechtes Metadatenmanagement, das Fehlen von Standards für die semantische und technische Interoperabilität, Engpässe, die den Datenzugang behindern, das Fehlen gemeinsamer Praktiken für die gemeinsame Nutzung von Daten und der Missbrauch vertraglicher Ungleichgewichte in Bezug auf Datenzugang und -nutzung.

(3) In Sektoren, die durch das Vorhandensein von Kleinstunternehmen, kleinen Unternehmen und mittleren Unternehmen gemäß der Definition in Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission (5) (KMU) gekennzeichnet sind, mangelt es häufig an digitalen Kapazitäten und Fähigkeiten für die Erhebung, Analyse und Nutzung von Daten, und der Zugang ist häufig eingeschränkt, wenn ein Akteur über die Daten im System verfügt, oder aufgrund mangelnder Interoperabilität zwischen Daten, zwischen Datendiensten oder über Grenzen hinweg.

(4) Um den Erfordernissen der digitalen Wirtschaft gerecht zu werden und Hindernisse für einen gut funktionierenden Datenbinnenmarkt zu beseitigen, muss ein harmonisierter Rahmen geschaffen werden, in dem festgelegt wird, wer unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, Produktdaten oder damit verbundene Dienstleistungsdaten zu nutzen. Dementsprechend sollten die Mitgliedstaaten keine zusätzlichen nationalen Anforderungen in Bezug auf Angelegenheiten, die in den Anwendungsbereich dieser Verordnung fallen, erlassen oder beibehalten, es sei denn, dies ist in dieser Verordnung ausdrücklich vorgesehen, da dies die unmittelbare und einheitliche Anwendung der Verordnung beeinträchtigen würde. Darüber hinaus sollten Maßnahmen auf Unionsebene die Verpflichtungen und Zusagen im Rahmen der von der Union geschlossenen internationalen Handelsabkommen unberührt lassen.

(5) Diese Verordnung stellt sicher, dass die Nutzer eines vernetzten Produkts oder eines damit verbundenen Dienstes in der Union rechtzeitig auf die durch die Nutzung dieses vernetzten Produkts oder dieses damit verbundenen Dienstes erzeugten Daten zugreifen können und dass diese Nutzer die Daten nutzen können, auch indem sie sie mit Dritten ihrer Wahl teilen. Sie verpflichtet die Dateninhaber, die Daten unter bestimmten Umständen den Nutzern und Dritten ihrer Wahl zur Verfügung zu stellen. Sie stellt außerdem sicher, dass die Dateninhaber den Datenempfängern in der Union die Daten zu fairen, angemessenen und nicht diskriminierenden Bedingungen und in transparenter Weise zur Verfügung stellen. Privatrechtliche Vorschriften sind für den Gesamtrahmen für die gemeinsame Nutzung von Daten von zentraler Bedeutung. Daher werden mit dieser Verordnung die Regeln des Vertragsrechts angepasst und die Ausnutzung vertraglicher Ungleichgewichte, die einen fairen Zugang zu Daten und deren Nutzung behindern, verhindert. Diese Verordnung stellt auch sicher, dass die Dateninhaber öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union die Daten zur Verfügung stellen, die für die Wahrnehmung einer bestimmten Aufgabe im öffentlichen Interesse erforderlich sind, wenn ein außergewöhnlicher Bedarf besteht. Darüber hinaus soll diese Verordnung den Wechsel zwischen Datenverarbeitungsdiensten erleichtern und die Interoperabilität von Daten sowie von Mechanismen und Diensten zur gemeinsamen Nutzung von Daten in der Union verbessern. Diese Verordnung sollte nicht dahingehend ausgelegt werden, dass sie den Dateninhabern ein neues Recht auf die Nutzung von Daten einräumt, die durch die Nutzung eines verbundenen Produkts oder eines damit verbundenen Dienstes erzeugt wurden, oder dass sie ein solches Recht gewährt.

(6) Die Datengenerierung ist das Ergebnis des Handelns von mindestens zwei Akteuren, insbesondere des Entwicklers oder Herstellers eines vernetzten Produkts, der in vielen Fällen auch ein Anbieter verbundener Dienstleistungen sein kann, und des Nutzers des vernetzten Produkts oder der verbundenen Dienstleistung. Dies wirft Fragen der Fairness in der digitalen Wirtschaft auf, da die von vernetzten Produkten oder zugehörigen Diensten aufgezeichneten Daten einen wichtigen Input für den Anschlussmarkt, Zusatz- und andere Dienste darstellen. Um die bedeutenden wirtschaftlichen Vorteile von Daten zu nutzen, auch durch die gemeinsame Nutzung von Daten auf der Grundlage freiwilliger Vereinbarungen und die Entwicklung einer datengesteuerten Wertschöpfung durch Unternehmen in der Union, ist ein allgemeines Konzept für die Zuweisung von Rechten für den Zugang zu und die Nutzung von Daten der Vergabe ausschließlicher Rechte für den Zugang und die Nutzung vorzuziehen. Diese Verordnung sieht horizontale Vorschriften vor, die durch Unionsrecht oder nationales Recht befolgt werden könnten, das auf die besonderen Gegebenheiten der betreffenden Sektoren eingeht.

(7) Das Grundrecht auf den Schutz personenbezogener Daten wird insbesondere durch die Verordnungen (EU) 2016/679 (6) und (EU) 2018/1725 (7) des Europäischen Parlaments und des Rates geschützt. Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (8) schützt zusätzlich das Privatleben und die Vertraulichkeit der Kommunikation, unter anderem durch Bedingungen für die Speicherung personenbezogener und nicht personenbezogener Daten in Endgeräten und den Zugang zu diesen. Diese Rechtsakte der Union bilden die Grundlage für eine nachhaltige und verantwortungsvolle Datenverarbeitung, auch wenn die Datensätze eine Mischung aus personenbezogenen und nicht personenbezogenen Daten enthalten. Diese Verordnung ergänzt und berührt nicht das Unionsrecht zum Schutz personenbezogener Daten und der Privatsphäre, insbesondere die Verordnungen (EU) 2016/679 und (EU) 2018/1725 sowie die Richtlinie 2002/58/EG. Keine Bestimmung dieser Verordnung sollte in einer Weise angewandt oder ausgelegt werden, die das Recht auf den Schutz personenbezogener Daten oder das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation schmälert oder einschränkt. Jede Verarbeitung personenbezogener Daten gemäß dieser Verordnung sollte im Einklang mit dem Datenschutzrecht der Union stehen, einschließlich des Erfordernisses einer gültigen Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 der Verordnung (EU) 2016/679 und gegebenenfalls der Bedingungen von Artikel 9 jener Verordnung und von Artikel 5 Absatz 3 der Richtlinie 2002/58/EG. Diese Verordnung stellt keine Rechtsgrundlage für die Erhebung oder Erstellung personenbezogener Daten durch den Dateninhaber dar. Diese Verordnung verpflichtet die Dateninhaber, personenbezogene Daten den Nutzern oder Dritten ihrer Wahl auf Antrag des Nutzers zur Verfügung zu stellen. Eine solche Auskunft sollte für personenbezogene Daten erteilt werden, die vom Dateninhaber auf der Grundlage einer der in Artikel 6 der Verordnung (EU) 2016/679 genannten Rechtsgrundlagen verarbeitet werden. Ist der Nutzer nicht die betroffene Person, schafft diese Verordnung keine Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten oder für die Bereitstellung personenbezogener Daten an Dritte und sollte nicht so verstanden werden, dass sie dem Dateninhaber ein neues Recht zur Nutzung personenbezogener Daten verleiht, die durch die Nutzung eines verbundenen Produkts oder eines damit verbundenen Dienstes erzeugt wurden. In diesen Fällen könnte es im Interesse des Nutzers sein, die Erfüllung der Anforderungen von Artikel 6 der Verordnung (EU) 2016/679 zu erleichtern. Da diese Verordnung die Datenschutzrechte der betroffenen Personen nicht beeinträchtigen sollte, kann der Dateninhaber in diesen Fällen den Ersuchen nachkommen, indem er unter anderem personenbezogene Daten anonymisiert oder, wenn die ohne Weiteres verfügbaren Daten personenbezogene Daten mehrerer betroffener Personen enthalten, nur die personenbezogenen Daten des Nutzers übermittelt.

(8) Die Grundsätze der Datenminimierung und des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen sind von wesentlicher Bedeutung, wenn die Verarbeitung erhebliche Risiken für die Grundrechte natürlicher Personen birgt. Unter Berücksichtigung des Stands der Technik sollten alle Beteiligten an der gemeinsamen Nutzung von Daten, einschließlich der gemeinsamen Nutzung von Daten, die in den Anwendungsbereich dieser Verordnung fallen, technische und organisatorische Maßnahmen zum Schutz dieser Rechte ergreifen. Zu diesen Maßnahmen gehören nicht nur Pseudonymisierung und Verschlüsselung, sondern auch der Einsatz zunehmend verfügbarer Technologien, die es ermöglichen, Algorithmen auf die Daten anzuwenden und wertvolle Erkenntnisse zu gewinnen, ohne dass die Rohdaten oder strukturierten Daten selbst zwischen den Parteien übermittelt oder unnötig kopiert werden müssen.

(9) Sofern in dieser Verordnung nichts anderes bestimmt ist, berührt sie nicht das nationale Vertragsrecht, einschließlich der Vorschriften über das Zustandekommen, die Gültigkeit oder die Wirkungen von Verträgen oder die Folgen der Beendigung eines Vertrags. Diese Verordnung ergänzt und berührt nicht das Unionsrecht, das darauf abzielt, die Interessen der Verbraucher zu fördern und ein hohes Verbraucherschutzniveau zu gewährleisten sowie ihre Gesundheit, Sicherheit und wirtschaftlichen Interessen zu schützen, insbesondere die Richtlinie 93/13/EWG des Rates (9) sowie die Richtlinien 2005/29/EG (10) und 2011/83/EU (11) des Europäischen Parlaments und des Rates.

(10) Diese Verordnung berührt nicht die Rechtsakte der Union und der Mitgliedstaaten, die die gemeinsame Nutzung von Daten, den Zugang zu Daten und die Verwendung von Daten zum Zwecke der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen oder für Zoll- und Steuerzwecke vorsehen, unabhängig von der Rechtsgrundlage nach dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV), auf der diese Rechtsakte der Union erlassen wurden, sowie für die internationale Zusammenarbeit in diesem Bereich, insbesondere auf der Grundlage des Übereinkommens des Europarats über Computerkriminalität (SEV Nr. 185), das am 23. November 2001 in Budapest unterzeichnet wurde. Zu diesen Rechtsakten gehören die Verordnungen (EU) 2021/784 (12), (EU) 2022/2065 (13) und (EU) 2023/1543 (14) des Europäischen Parlaments und des Rates sowie die Richtlinie (EU) 2023/1544 des Europäischen Parlaments und des Rates (15). Diese Verordnung gilt nicht für die Erhebung oder Weitergabe von Daten, den Zugang zu Daten oder die Verwendung von Daten gemäß der Verordnung (EU) 2015/847 des Europäischen Parlaments und des Rates (16) und der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates (17). Diese Verordnung gilt nicht für Bereiche, die nicht in den Anwendungsbereich des Unionsrechts fallen, und berührt in keinem Fall die Zuständigkeiten der Mitgliedstaaten für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, die Zoll- und Steuerverwaltung oder die Gesundheit und Sicherheit der Bürger, unabhängig von der Art der UnternehmenEntität bezeichnet eine natürliche oder juristische Person, die nach dem innerstaatlichen Recht des Ortes ihrer Niederlassung gegründet und als solche anerkannt wurde und die in eigenem Namen handelnd Rechte und Pflichten ausüben kann. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) die von den Mitgliedstaaten mit der Durchführung von Aufgaben im Zusammenhang mit diesen Zuständigkeiten betraut werden.

(11) Das Unionsrecht zur Festlegung von Anforderungen an die materielle Gestaltung und die Daten von Erzeugnissen, die auf dem Unionsmarkt in Verkehr gebracht werden sollen, sollte nicht berührt werden, es sei denn, dies ist in dieser Verordnung ausdrücklich vorgesehen.

(12) Diese Verordnung ergänzt und berührt nicht das Unionsrecht zur Festlegung von Anforderungen an die Barrierefreiheit bestimmter Produkte und Dienstleistungen, insbesondere die Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates (18).

(13) Diese Verordnung berührt nicht die Rechtsakte der Union und der Mitgliedstaaten zum Schutz der Rechte des geistigen Eigentums, einschließlich der Richtlinien 2001/29/EG (19), 2004/48/EG (20) und (EU) 2019/790 (21) des Europäischen Parlaments und des Rates.

(14) Verbundene Produkte, die mit Hilfe ihrer Bauteile oder Betriebssysteme Daten über ihre Leistung, Verwendung oder Umgebung erhalten, erzeugen oder sammeln und diese Daten über ein elektronischer KommunikationsdienstElektronischer Kommunikationsdienst bezeichnet einen in der Regel über elektronische Kommunikationsnetze gegen Entgelt erbrachten Dienst, der mit Ausnahme von Diensten, die über elektronische Kommunikationsnetze und -dienste übertragene Inhalte bereitstellen oder eine redaktionelle Kontrolle über sie ausüben, die folgenden Arten von Diensten umfasst: a) "Internetzugangsdienst" gemäß der Definition in Artikel 2 Absatz 2 Nummer 2 der Verordnung (EU) 2015/2120, b) interpersoneller Kommunikationsdienst und c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie z. B. Übertragungsdienste, die für die Bereitstellung von Machine-to-Machine-Diensten und für den Rundfunk genutzt werden. - Definition gemäß Artikel 2, Punkt (4) der Richtlinie (EU) 2018/1972Eine physische Verbindung oder ein geräteinterner Zugang, der oft als Internet der Dinge bezeichnet wird, sollte in den Anwendungsbereich dieser Verordnung fallen, mit Ausnahme von Prototypen. Beispiele für solche elektronischen Kommunikationsdienste sind insbesondere landgestützte Telefonnetze, Fernsehkabelnetze, satellitengestützte Netze und Nahfeldkommunikationsnetze. Vernetzte Produkte sind in allen Bereichen von Wirtschaft und Gesellschaft zu finden, unter anderem in privaten, zivilen oder kommerziellen Infrastrukturen, Fahrzeugen, Gesundheits- und Lifestyle-Geräten, Schiffen, Flugzeugen, Haushaltsgeräten und Konsumgütern, medizinischen Geräten und Geräten für die Gesundheit oder landwirtschaftlichen und industriellen Maschinen. Welche Daten ein vernetztes Produkt zur Verfügung stellen kann, sollte von den Designentscheidungen der Hersteller und gegebenenfalls von den Rechtsvorschriften der Union oder der Mitgliedstaaten abhängen, die auf sektorspezifische Bedürfnisse und Ziele abzielen, oder von den einschlägigen Entscheidungen der zuständigen Behörden.

(15) Die Daten stellen die Digitalisierung von Nutzeraktionen und -ereignissen dar und sollten daher für den Nutzer zugänglich sein. Die Regeln für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und zugehörigen Diensten im Rahmen dieser Verordnung betreffen sowohl Produktdaten als auch zugehörige Dienstdaten. Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts erzeugt werden und die der Hersteller so konzipiert hat, dass sie von einem Nutzer, Dateninhaber oder einem Dritten, gegebenenfalls auch dem Hersteller, aus dem vernetzten Produkt abgerufen werden können. Daten von verbundenen Diensten beziehen sich auf Daten, die auch die Digitalisierung von Benutzeraktionen oder Ereignissen im Zusammenhang mit dem verbundenen Produkt darstellen, die während der Erbringung eines verbundenen Dienstes durch den Anbieter erzeugt werden. Unter Daten, die durch die Nutzung eines vernetzten Produkts oder eines damit verbundenen Dienstes erzeugt werden, sollten Daten verstanden werden, die absichtlich aufgezeichnet werden, oder Daten, die sich indirekt aus den Handlungen des Nutzers ergeben, wie Daten über die Umgebung des vernetzten Produkts oder Interaktionen. Dies sollte Daten über die Nutzung eines angeschlossenen Produkts einschließen, die von einer Benutzerschnittstelle oder über einen zugehörigen Dienst erzeugt werden, und sollte nicht auf die Information beschränkt sein, dass eine solche Nutzung stattgefunden hat, sondern alle Daten einschließen, die das angeschlossene Produkt als Ergebnis einer solchen Nutzung erzeugt, wie beispielsweise Daten, die automatisch von Sensoren erzeugt werden, und Daten, die von eingebetteten Anwendungen aufgezeichnet werden, einschließlich Anwendungen, die den Hardwarestand und Fehlfunktionen anzeigen. Dazu sollten auch Daten gehören, die von dem angeschlossenen Produkt oder dem zugehörigen Dienst in Zeiten der Untätigkeit des Nutzers erzeugt werden, etwa wenn der Nutzer beschließt, ein angeschlossenes Produkt für einen bestimmten Zeitraum nicht zu nutzen und es stattdessen im Standby-Modus zu belassen oder sogar auszuschalten, da sich der Zustand eines angeschlossenen Produkts oder seiner Komponenten, z. B. seiner Batterien, ändern kann, wenn sich das angeschlossene Produkt im Standby-Modus befindet oder ausgeschaltet ist. In den Anwendungsbereich dieser Verordnung fallen Daten, die nicht wesentlich verändert wurden, d. h. Daten in Rohform, auch bekannt als Quell- oder Primärdaten, die sich auf Datenpunkte beziehen, die ohne weitere Verarbeitung automatisch generiert wurden, sowie Daten, die vor der anschließenden Verarbeitung und Analyse vorverarbeitet wurden, um sie verständlich und nutzbar zu machen. Solche Daten umfassen Daten, die von einem einzelnen Sensor oder einer verbundenen Gruppe von Sensoren zu dem Zweck erfasst werden, die erfassten Daten für breitere Anwendungsfälle verständlich zu machen, indem eine physikalische Größe oder Qualität oder die Änderung einer physikalischen Größe, wie Temperatur, Druck, Durchflussmenge, Ton, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit, bestimmt wird. Der Begriff "vorverarbeitete Daten" sollte nicht so ausgelegt werden, dass dem Dateninhaber die Verpflichtung auferlegt wird, erhebliche Investitionen in die Reinigung und Umwandlung der Daten zu tätigen. Die zur Verfügung zu stellenden Daten sollten die relevanten Metadaten, einschließlich des grundlegenden Kontexts und des Zeitstempels, enthalten, um die Daten nutzbar zu machen, und mit anderen Daten kombiniert werden, z. B. Daten, die mit anderen Datenpunkten, die sich auf sie beziehen, sortiert und klassifiziert sind, oder in ein allgemein verwendetes Format umformatiert werden. Solche Daten sind für den Nutzer potenziell wertvoll und unterstützen die Innovation und die Entwicklung digitaler und anderer Dienste zum Schutz der Umwelt, der Gesundheit und der Kreislaufwirtschaft, unter anderem durch die Erleichterung der Wartung und Reparatur der betreffenden verbundenen Produkte. Im Gegensatz dazu sollten Informationen, die aus solchen Daten abgeleitet oder abgeleitet werden und die das Ergebnis zusätzlicher Investitionen in die Zuweisung von Werten oder Erkenntnissen aus den Daten sind, insbesondere mittels geschützter, komplexer Algorithmen, einschließlich solcher, die Teil geschützter Software sind, nicht als in den Anwendungsbereich dieser Verordnung fallend betrachtet werden und sollten folglich nicht der Verpflichtung eines Dateninhabers unterliegen, sie einem Nutzer oder einem Datenempfänger zur Verfügung zu stellen, es sei denn, der Nutzer und der Dateninhaber haben etwas anderes vereinbart. Zu diesen Daten könnten insbesondere Informationen gehören, die mittels Sensorfusion abgeleitet werden, bei der Daten von mehreren Sensoren, die in dem verbundenen Produkt erfasst werden, unter Verwendung geschützter, komplexer Algorithmen abgeleitet werden und die Gegenstand von Rechten des geistigen Eigentums sein könnten.

(16) Diese Verordnung ermöglicht es den Nutzern vernetzter Produkte, Anschlussmarkt-, Zusatz- und andere Dienste in Anspruch zu nehmen, die auf Daten beruhen, die von in solche Produkte eingebetteten Sensoren erfasst werden, wobei die Erfassung dieser Daten einen potenziellen Wert für die Verbesserung der Leistung der vernetzten Produkte darstellt. Es ist wichtig, zwischen den Märkten für die Bereitstellung solcher mit Sensoren ausgestatteter verbundener Produkte und damit verbundener Dienstleistungen einerseits und den Märkten für nicht damit verbundene Software und Inhalte wie Text-, Audio- oder audiovisuelle Inhalte, die häufig durch Rechte des geistigen Eigentums geschützt sind, andererseits zu unterscheiden. Infolgedessen sollten Daten, die solche mit Sensoren ausgestatteten verbundenen Produkte erzeugen, wenn der Nutzer Inhalte aufnimmt, überträgt, anzeigt oder abspielt, sowie die Inhalte selbst, die häufig durch Rechte des geistigen Eigentums geschützt sind, unter anderem für die Nutzung durch einen Online-Dienst, nicht unter diese Verordnung fallen. Diese Verordnung sollte sich auch nicht auf Daten erstrecken, die von dem angeschlossenen Produkt gewonnen, erzeugt oder abgerufen wurden oder an dieses übertragen wurden, um im Auftrag anderer Parteien, die nicht der Nutzer sind, gespeichert oder anderweitig verarbeitet zu werden, wie dies bei Servern oder Cloud-Infrastrukturen der Fall sein kann, die von ihren Eigentümern ausschließlich im Auftrag Dritter betrieben werden, unter anderem für die Nutzung durch einen Online-Dienst.

(17) Es ist notwendig, Vorschriften für Produkte festzulegen, die zum Zeitpunkt des Kaufs, der Miete oder des Leasings mit einem verbundenen Dienst so verbunden sind, dass das Fehlen dieses Dienstes das angeschlossene Produkt daran hindern würde, eine oder mehrere seiner Funktionen auszuführen, oder die nachträglich vom Hersteller oder einem Dritten mit dem Produkt verbunden werden, um die Funktionalität des angeschlossenen Produkts zu erweitern oder anzupassen. Solche verbundenen Dienste beinhalten den Austausch von Daten zwischen dem verbundenen Produkt und dem Diensteanbieter und sollten so verstanden werden, dass sie ausdrücklich mit dem Betrieb der Funktionen des verbundenen Produkts verknüpft sind, wie z. B. Dienste, die gegebenenfalls Befehle an das verbundene Produkt übermitteln, die eine Auswirkung auf dessen Handlung oder Verhalten haben können. Dienste, die sich nicht auf den Betrieb des angeschlossenen Produkts auswirken und bei denen der Diensteanbieter keine Daten oder Befehle an das angeschlossene Produkt übermittelt, sollten nicht als verbundene Dienste angesehen werden. Zu solchen Dienstleistungen könnten beispielsweise zusätzliche Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßige Reparatur- und Wartungsarbeiten gehören. Verbundene Dienstleistungen können als Teil des Kauf-, Miet- oder Leasingvertrags angeboten werden. Verbundene Dienste könnten auch für Produkte der gleichen Art angeboten werden, und die Nutzer könnten vernünftigerweise erwarten, dass sie angeboten werden, wenn man die Art des verbundenen Produkts und alle öffentlichen Erklärungen des Verkäufers, Vermieters, Leasinggebers oder anderer Personen in früheren Gliedern der Geschäftskette, einschließlich des Herstellers, berücksichtigt. Diese verbundenen Dienste können selbst Daten generieren, die für den Nutzer von Wert sind, unabhängig von den Datenerhebungsmöglichkeiten des verbundenen Produkts, mit dem sie zusammengeschaltet sind. Diese Verordnung sollte auch für verbundene Dienste gelten, die nicht vom Verkäufer, Vermieter oder Verpächter selbst, sondern von einem Dritten erbracht werden. Bei Zweifeln darüber, ob die Dienstleistung als Teil des Kauf-, Miet- oder Leasingvertrags erbracht wird, sollte diese Verordnung gelten. Weder die Stromversorgung noch die Bereitstellung der Anschlussmöglichkeiten sind als verbundene Dienstleistungen im Sinne dieser Verordnung auszulegen.

(18) Als Nutzer eines angeschlossenen Produkts sollte eine natürliche oder juristische Person, z. B. ein Unternehmen, ein Verbraucher oder eine öffentliche Stelle, verstanden werden, die Eigentümer eines angeschlossenen Produkts ist, die bestimmte zeitlich begrenzte Rechte, z. B. durch einen Miet- oder Leasingvertrag, für den Zugang zu den von dem angeschlossenen Produkt gewonnenen Daten oder deren Nutzung erhalten hat oder die damit verbundene Dienstleistungen für das angeschlossene Produkt in Anspruch nimmt. Diese Zugriffsrechte sollten in keiner Weise die Rechte der betroffenen Personen ändern oder beeinträchtigen, die möglicherweise mit einem angeschlossenen Produkt oder einem damit verbundenen Dienst in Bezug auf personenbezogene Daten interagieren, die von dem angeschlossenen Produkt oder während der Erbringung des damit verbundenen Dienstes erzeugt werden. Der Nutzer trägt die Risiken und genießt die Vorteile der Nutzung des vernetzten Produkts und sollte auch Zugang zu den von ihm erzeugten Daten haben. Der Nutzer sollte daher das Recht haben, aus den von dem vernetzten Produkt und den damit verbundenen Diensten erzeugten Daten Nutzen zu ziehen. Ein Eigentümer, Mieter oder Leasingnehmer sollte ebenfalls als Nutzer angesehen werden, auch wenn mehrere Personen als Nutzer angesehen werden können. Im Zusammenhang mit mehreren Nutzern kann jeder Nutzer auf unterschiedliche Weise zur Datengenerierung beitragen und ein Interesse an mehreren Nutzungsformen haben, z. B. Flottenmanagement für ein Leasingunternehmen oder Mobilitätslösungen für Einzelpersonen, die einen Carsharing-Dienst nutzen.

(19) Datenkompetenz bezieht sich auf die Fähigkeiten, das Wissen und das Verständnis, die es Nutzern, Verbrauchern und Unternehmen, insbesondere KMU, die in den Anwendungsbereich dieser Verordnung fallen, ermöglichen, sich des potenziellen Werts der von ihnen erzeugten, produzierten und gemeinsam genutzten Daten bewusst zu werden, und die sie dazu motivieren, diese Daten im Einklang mit den einschlägigen rechtlichen Bestimmungen anzubieten und zugänglich zu machen. Datenkompetenz sollte über das Erlernen von Werkzeugen und Technologien hinausgehen und darauf abzielen, Bürger und Unternehmen mit der Fähigkeit auszustatten und zu befähigen, von einem integrativen und fairen Datenmarkt zu profitieren. Die Verbreitung von Datenkompetenzmaßnahmen und die Einführung geeigneter Folgemaßnahmen könnten zur Verbesserung der Arbeitsbedingungen beitragen und letztlich die Konsolidierung und den Innovationspfad der Datenwirtschaft in der Union unterstützen. Die zuständigen Behörden sollten Instrumente fördern und Maßnahmen ergreifen, um die Datenkompetenz von Nutzern und Einrichtungen, die in den Anwendungsbereich dieser Verordnung fallen, und das Bewusstsein für ihre Rechte und Pflichten im Rahmen dieser Verordnung zu verbessern.

(20) In der Praxis sind nicht alle Daten, die von vernetzten Produkten oder damit verbundenen Diensten erzeugt werden, für ihre Nutzer leicht zugänglich, und es gibt oft nur begrenzte Möglichkeiten für die Übertragbarkeit von Daten, die von mit dem Internet verbundenen Produkten erzeugt werden. Die Nutzer sind nicht in der Lage, die Daten zu erhalten, die für die Inanspruchnahme von Anbietern von Reparatur- und anderen Diensten erforderlich sind, und die Unternehmen sind nicht in der Lage, innovative, bequeme und effizientere Dienste anzubieten. In vielen Bereichen können die Hersteller durch ihre Kontrolle über die technische Gestaltung der vernetzten Produkte oder der damit verbundenen Dienste bestimmen, welche Daten erzeugt werden und wie auf sie zugegriffen werden kann, obwohl sie keinen Rechtsanspruch auf diese Daten haben. Es muss daher sichergestellt werden, dass vernetzte Produkte so konzipiert und hergestellt und damit verbundene Dienste so konzipiert und bereitgestellt werden, dass Produktdaten und damit verbundene Servicedaten, einschließlich der einschlägigen Metadaten, die zur Interpretation und Nutzung dieser Daten, auch zum Zwecke des Abrufs, der Nutzung oder der gemeinsamen Nutzung, erforderlich sind, für einen Nutzer stets einfach und sicher und kostenlos in einem umfassenden, strukturierten, allgemein verwendeten und maschinenlesbaren Format zugänglich sind. Produktdaten und Daten über verbundene Dienste, die ein Dateninhaber rechtmäßig von dem verbundenen Produkt oder dem verbundenen Dienst erhält oder rechtmäßig erhalten kann, z. B. durch das Design des verbundenen Produkts, den Vertrag des Dateninhabers mit dem Nutzer über die Erbringung verbundener Dienste und seine technischen Mittel für den Datenzugriff, werden als "leicht verfügbare Daten" bezeichnet, ohne dass ein unverhältnismäßiger Aufwand entsteht. Zu den leicht verfügbaren Daten gehören nicht die durch die Verwendung eines verbundenen Produkts erzeugten Daten, wenn die Konzeption des verbundenen Produkts nicht vorsieht, dass solche Daten außerhalb der Komponente, in der sie erzeugt werden, oder des verbundenen Produkts als Ganzes gespeichert oder übertragen werden. Diese Verordnung sollte daher nicht so verstanden werden, dass sie eine Verpflichtung zur Speicherung von Daten in der zentralen Recheneinheit eines angeschlossenen Produkts vorschreibt. Das Fehlen einer solchen Verpflichtung sollte den Hersteller oder den Inhaber der Daten nicht daran hindern, sich mit dem Nutzer freiwillig auf die Vornahme solcher Anpassungen zu einigen. Die Gestaltungspflichten in dieser Verordnung lassen auch den Grundsatz der Datenminimierung gemäß Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 unberührt und sollten nicht so verstanden werden, dass sie eine Verpflichtung auferlegen, vernetzte Produkte und zugehörige Dienste so zu gestalten, dass sie andere personenbezogene Daten als die im Zusammenhang mit den Zwecken, für die sie verarbeitet werden, erforderlichen personenbezogenen Daten speichern oder anderweitig verarbeiten. Unionsrecht oder nationales Recht könnte eingeführt werden, um weitere Besonderheiten festzulegen, wie etwa die Produktdaten, die von vernetzten Produkten oder zugehörigen Diensten zugänglich sein sollten, da diese Daten für den effizienten Betrieb, die Reparatur oder die Wartung dieser vernetzten Produkte oder zugehörigen Dienste wesentlich sein können. Führen spätere Aktualisierungen oder Änderungen eines angeschlossenen Produkts oder einer damit verbundenen Dienstleistung durch den Hersteller oder eine andere Partei zu zusätzlichen zugänglichen Daten oder zu einer Einschränkung der ursprünglich zugänglichen Daten, so sollten diese Änderungen dem Nutzer im Zusammenhang mit der Aktualisierung oder Änderung mitgeteilt werden.

(21) Gelten mehrere Personen oder Einrichtungen als Nutzer, z. B. im Falle von Miteigentum oder wenn ein Eigentümer, Mieter oder Pächter sich die Rechte auf den Datenzugang oder die Datennutzung teilt, sollte die Gestaltung des verbundenen Produkts oder des zugehörigen Dienstes oder der entsprechenden Schnittstelle jedem Nutzer den Zugang zu den von ihm erzeugten Daten ermöglichen. Die Nutzung von verbundenen Produkten, die Daten erzeugen, erfordert in der Regel die Einrichtung eines Benutzerkontos. Ein solches Konto ermöglicht die Identifizierung des Nutzers durch den Dateninhaber, der der Hersteller sein kann. Es kann auch als Kommunikationsmittel und zur Übermittlung und Bearbeitung von Datenzugangsanfragen verwendet werden. Haben mehrere Hersteller oder Anbieter verbundener Dienstleistungen demselben Nutzer vernetzte Produkte verkauft, vermietet oder verleast oder damit zusammenhängende Dienstleistungen erbracht, so sollte sich der Nutzer an jede der Parteien wenden, mit denen er einen Vertrag hat. Hersteller oder Entwickler eines verbundenen Produkts, das typischerweise von mehreren Personen genutzt wird, sollten die erforderlichen Mechanismen einrichten, um gegebenenfalls getrennte Benutzerkonten für einzelne Personen oder die Möglichkeit der Nutzung desselben Benutzerkontos durch mehrere Personen zu ermöglichen. Kontolösungen sollten es den Nutzern ermöglichen, ihre Konten zu löschen und die damit verbundenen Daten zu vernichten, und könnten es den Nutzern ermöglichen, den Zugang zu den Daten, die Nutzung oder die gemeinsame Nutzung zu beenden oder einen Antrag auf Beendigung zu stellen, insbesondere unter Berücksichtigung von Situationen, in denen sich die Eigentumsverhältnisse oder die Nutzung des verbundenen Produkts ändern. Der Zugang sollte dem Nutzer auf der Grundlage eines einfachen Antragsmechanismus gewährt werden, der eine automatische Ausführung ermöglicht und keine Prüfung oder Freigabe durch den Hersteller oder den Dateninhaber erfordert. Dies bedeutet, dass die Daten nur dann zur Verfügung gestellt werden sollten, wenn der Nutzer tatsächlich Zugang wünscht. Ist eine automatische Ausführung der Datenzugriffsanfrage nicht möglich, z. B. über ein Benutzerkonto oder eine begleitende mobile Anwendung, die mit dem angeschlossenen Produkt oder dem zugehörigen Dienst bereitgestellt wird, sollte der Hersteller den Nutzer darüber informieren, wie der Zugriff auf die Daten erfolgen kann.

(22) Vernetzte Produkte können so konzipiert sein, dass bestimmte Daten direkt von einem geräteeigenen Datenspeicher oder von einem entfernten Server, an den die Daten übermittelt werden, zugänglich sind. Der Zugriff auf den geräteeigenen Datenspeicher kann über kabelgebundene oder drahtlose lokale Netze erfolgen, die mit einem öffentlich zugänglichen elektronischen Kommunikationsdienst oder einem Mobilfunknetz verbunden sind. Bei dem Server kann es sich um die eigene lokale Serverkapazität des Herstellers oder um die eines Dritten oder eines Cloud-Dienstanbieters handeln. Auftragsverarbeiter im Sinne von Artikel 4 Nummer 8 der Verordnung (EU) 2016/679 gelten nicht als Dateninhaber. Sie können jedoch von dem für die Verarbeitung Verantwortlichen im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 ausdrücklich mit der Bereitstellung von Daten beauftragt werden. Vernetzte Produkte können so konzipiert sein, dass sie es dem Nutzer oder einem Dritten ermöglichen, die Daten auf dem vernetzten Produkt, auf einer Recheninstanz des Herstellers oder innerhalb einer vom Nutzer oder dem Dritten gewählten Informations- und Kommunikationstechnologie (IKT)-Umgebung zu verarbeiten.

(23) Virtuelle Assistenten spielen eine zunehmende Rolle bei der Digitalisierung des privaten und beruflichen Umfelds und dienen als einfach zu bedienende Schnittstelle, um Inhalte abzuspielen, Informationen zu erhalten oder mit dem Internet verbundene Produkte zu aktivieren. Virtuelle Assistenten können z. B. in einer intelligenten Heimumgebung als ein einziges Gateway fungieren und erhebliche Mengen relevanter Daten darüber aufzeichnen, wie Nutzer mit Produkten interagieren, die mit dem Internet verbunden sind, einschließlich solcher, die von anderen Parteien hergestellt wurden, und sie können die Verwendung der vom Hersteller bereitgestellten Schnittstellen wie Touchscreens oder Smartphone-Apps ersetzen. Der Nutzer möchte diese Daten möglicherweise Drittanbietern zur Verfügung stellen und neuartige intelligente Dienste ermöglichen. Für virtuelle Assistenten sollten die in dieser Verordnung vorgesehenen Datenzugangsrechte gelten. Daten, die erzeugt werden, wenn ein Nutzer mit einem vernetzten Produkt über einen virtuellen Assistenten interagiert, der von einer anderen Stelle als dem Hersteller des vernetzten Produkts bereitgestellt wird, sollten ebenfalls unter die in dieser Verordnung vorgesehenen Datenzugangsrechte fallen. Allerdings sollten nur die Daten, die sich aus der Interaktion zwischen dem Nutzer und einem verbundenen Produkt oder einem damit verbundenen Dienst über den virtuellen Assistenten ergeben, unter diese Verordnung fallen. Vom virtuellen Assistenten erzeugte Daten, die in keinem Zusammenhang mit der Nutzung eines verbundenen Produkts oder eines damit verbundenen Dienstes stehen, fallen nicht unter diese Verordnung.

(24) Vor Abschluss eines Vertrags über den Kauf, die Miete oder das Leasing eines angeschlossenen Produkts sollte der Verkäufer, Vermieter oder Leasinggeber, bei dem es sich um den Hersteller handeln kann, dem Nutzer in klarer und verständlicher Form Informationen über die Produktdaten, die das angeschlossene Produkt erzeugen kann, einschließlich der Art, des Formats und des geschätzten Umfangs dieser Daten, zur Verfügung stellen. Dazu könnten Informationen über Datenstrukturen, Datenformate, Vokabulare, Klassifizierungsschemata, Taxonomien und Codelisten gehören, sofern vorhanden, sowie klare und ausreichende Informationen, die für die Ausübung der Rechte des Nutzers darüber relevant sind, wie die Daten gespeichert, abgerufen oder abgerufen werden können, einschließlich der Nutzungsbedingungen und der Dienstqualität von Anwendungsprogrammierschnittstellen oder gegebenenfalls der Bereitstellung von Softwareentwicklungskits. Diese Verpflichtung sorgt für Transparenz in Bezug auf die erzeugten Produktdaten und verbessert den einfachen Zugang für den Nutzer. Die Informationspflicht könnte z. B. dadurch erfüllt werden, dass im Internet ein stabiler Uniform Resource Locator (URL) unterhalten wird, der als Weblink oder QR-Code verbreitet werden kann und auf die einschlägigen Informationen verweist, die der Verkäufer, Vermieter oder Leasinggeber, bei dem es sich um den Hersteller handeln kann, dem Nutzer vor Abschluss des Vertrags über den Kauf, die Miete oder das Leasing eines verbundenen Produkts zur Verfügung stellt. In jedem Fall muss der Nutzer in der Lage sein, die Informationen so zu speichern, dass sie für eine spätere Bezugnahme zugänglich sind und die unveränderte Wiedergabe der gespeicherten Informationen ermöglichen. Vom Dateninhaber kann nicht erwartet werden, dass er die Daten im Hinblick auf die Bedürfnisse des Nutzers des verbundenen Produkts unbegrenzt speichert, sondern er sollte gegebenenfalls eine angemessene Datenaufbewahrungspolitik im Einklang mit dem Grundsatz der Speicherbegrenzung gemäß Artikel 5 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 anwenden, die die wirksame Anwendung der in dieser Verordnung vorgesehenen Datenzugangsrechte ermöglicht. Die Informationspflicht berührt nicht die Verpflichtung des für die Verarbeitung Verantwortlichen, der betroffenen Person gemäß den Artikeln 12, 13 und 14 der Verordnung (EU) 2016/679 Informationen zu erteilen. Die Informationspflicht vor dem Abschluss eines Vertrags über die Erbringung einer verbundenen Dienstleistung sollte bei dem potenziellen Inhaber der Daten liegen, unabhängig davon, ob der Inhaber der Daten einen Vertrag über den Kauf, die Miete oder das Leasing eines verbundenen Produkts abschließt. Ändern sich die Informationen während der Lebensdauer des verbundenen Produkts oder der Vertragslaufzeit für die damit verbundene Dienstleistung, auch wenn sich der Zweck, für den diese Daten verwendet werden sollen, gegenüber dem ursprünglich angegebenen Zweck ändert, sollten sie dem Nutzer ebenfalls mitgeteilt werden.

(25) Diese Verordnung sollte nicht so verstanden werden, dass sie den Dateninhabern ein neues Recht zur Nutzung von Produktdaten oder damit verbundenen Dienstleistungsdaten verleiht. Ist der Hersteller eines verbundenen Produkts ein Dateninhaber, so sollte die Grundlage für die Nutzung nicht personenbezogener Daten durch den Hersteller ein Vertrag zwischen dem Hersteller und dem Nutzer sein. Ein solcher Vertrag könnte Teil einer Vereinbarung über die Erbringung der entsprechenden Dienstleistung sein, die zusammen mit dem Kauf-, Miet- oder Leasingvertrag für das vernetzte Produkt geschlossen werden könnte. Jede Vertragsklausel, die vorsieht, dass der Dateninhaber die Produktdaten oder die Daten des verbundenen Dienstes verwenden darf, sollte für den Nutzer transparent sein, auch hinsichtlich der Zwecke, für die der Dateninhaber die Daten zu verwenden beabsichtigt. Zu diesen Zwecken könnte es gehören, die Funktionsweise des verbundenen Produkts oder der damit verbundenen Dienste zu verbessern, neue Produkte oder Dienste zu entwickeln oder Daten mit dem Ziel zusammenzufassen, die daraus abgeleiteten Daten Dritten zur Verfügung zu stellen, vorausgesetzt, dass diese abgeleiteten Daten nicht die Identifizierung bestimmter Daten ermöglichen, die dem Dateninhaber von dem verbundenen Produkt übermittelt wurden, oder es einem Dritten ermöglichen, diese Daten aus dem Datensatz abzuleiten. Jede Änderung des Vertrags sollte von der Zustimmung des Nutzers in Kenntnis der Sachlage abhängen. Diese Verordnung hindert die Parteien nicht daran, Vertragsklauseln zu vereinbaren, die bewirken, dass die Verwendung nicht personenbezogener Daten oder bestimmter Kategorien nicht personenbezogener Daten durch einen Dateninhaber ausgeschlossen oder eingeschränkt wird. Sie hindert die Parteien auch nicht daran, zu vereinbaren, dass Produktdaten oder damit zusammenhängende Dienstleistungsdaten Dritten direkt oder indirekt, gegebenenfalls auch über einen anderen Dateninhaber, zur Verfügung gestellt werden. Darüber hinaus steht diese Verordnung sektorspezifischen regulatorischen Anforderungen nach dem Unionsrecht oder nach mit dem Unionsrecht vereinbarem nationalem Recht nicht entgegen, die die Verwendung bestimmter solcher Daten durch den Dateninhaber aus genau definierten Gründen der öffentlichen Ordnung ausschließen oder einschränken würden. Diese Verordnung hindert die Nutzer nicht daran, im Falle von Beziehungen zwischen Unternehmen Daten Dritten oder Dateninhabern im Rahmen rechtmäßiger vertraglicher Bestimmungen zur Verfügung zu stellen, auch indem sie sich damit einverstanden erklären, die weitere Weitergabe solcher Daten zu begrenzen oder einzuschränken, oder eine angemessene Entschädigung zu erhalten, beispielsweise im Gegenzug für den Verzicht auf ihr Recht auf Nutzung oder Weitergabe solcher Daten. Auch wenn der Begriff "Dateninhaber" im Allgemeinen keine öffentlichen Stellen umfasst, so kann er doch öffentliche Unternehmen einschließen.

(26) Um das Entstehen liquider, fairer und effizienter Märkte für nicht personenbezogene Daten zu fördern, sollten die Nutzer verbundener Produkte in der Lage sein, mit minimalem rechtlichem und technischem Aufwand Daten mit anderen auszutauschen, auch zu kommerziellen Zwecken. Derzeit ist es für Unternehmen oft schwierig, die Personal- oder Computerkosten zu rechtfertigen, die für die Aufbereitung nicht personenbezogener Datensätze oder Datenprodukte und deren Angebot an potenzielle Gegenparteien über Datenvermittlungsdienste, einschließlich Datenmarktplätze, erforderlich sind. Ein wesentliches Hindernis für die gemeinsame Nutzung nicht-personenbezogener Daten durch Unternehmen ergibt sich daher aus der mangelnden Vorhersehbarkeit der wirtschaftlichen Erträge aus Investitionen in die Aufbereitung und Bereitstellung von Datensätzen oder Datenprodukten. Um das Entstehen liquider, fairer und effizienter Märkte für nicht-personenbezogene Daten in der Union zu ermöglichen, muss geklärt werden, wer das Recht hat, solche Daten auf einem Markt anzubieten. Die Nutzer sollten daher das Recht haben, nicht-personenbezogene Daten mit Datenempfängern zu kommerziellen und nicht-kommerziellen Zwecken auszutauschen. Eine solche gemeinsame Nutzung von Daten könnte direkt durch den Nutzer, auf Antrag des Nutzers über einen Dateninhaber oder durch Datenvermittlungsdienste erfolgen. Datenvermittlungsdienste, wie sie in der Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates (22) geregelt sind, könnten eine Datenwirtschaft erleichtern, indem sie Geschäftsbeziehungen zwischen Nutzern, Datenempfängern und Dritten herstellen, und sie können die Nutzer bei der Ausübung ihres Rechts auf Datennutzung unterstützen, indem sie beispielsweise die Anonymisierung personenbezogener Daten oder die Aggregation des Zugangs zu Daten von mehreren einzelnen Nutzern sicherstellen. Sind Daten von der Verpflichtung des Dateninhabers, sie den Nutzern oder Dritten zur Verfügung zu stellen, ausgenommen, könnte der Umfang dieser Daten im Vertrag zwischen dem Nutzer und dem Dateninhaber über die Erbringung eines damit verbundenen Dienstes festgelegt werden, so dass die Nutzer leicht feststellen können, welche Daten ihnen zur gemeinsamen Nutzung mit Datenempfängern oder Dritten zur Verfügung stehen. Die Dateninhaber sollten Dritten keine nicht personenbezogenen Produktdaten zu kommerziellen oder nichtkommerziellen Zwecken zur Verfügung stellen, die nicht der Erfüllung ihres Vertrags mit dem Nutzer dienen; dies gilt unbeschadet rechtlicher Anforderungen nach Unionsrecht oder nationalem Recht, die einen Dateninhaber zur Bereitstellung von Daten verpflichten. Gegebenenfalls sollten die Dateninhaber Dritte vertraglich verpflichten, die von ihnen erhaltenen Daten nicht weiterzugeben.

(27) In Sektoren, die durch die Konzentration einer kleinen Zahl von Herstellern gekennzeichnet sind, die vernetzte Produkte an Endnutzer liefern, stehen den Nutzern möglicherweise nur begrenzte Optionen für den Zugang zu Daten sowie deren Nutzung und Weitergabe zur Verfügung. Unter diesen Umständen reichen Verträge möglicherweise nicht aus, um das Ziel der Befähigung der Nutzer zu erreichen, so dass es für die Nutzer schwierig ist, einen Nutzen aus den Daten zu ziehen, die von dem von ihnen gekauften, gemieteten oder geleasten vernetzten Produkt erzeugt werden. Folglich gibt es nur ein begrenztes Potenzial für innovative kleinere Unternehmen, datengestützte Lösungen auf wettbewerbsfähige Weise anzubieten, und für eine vielfältige Datenwirtschaft in der Union. Diese Verordnung sollte daher auf den jüngsten Entwicklungen in bestimmten Sektoren aufbauen, wie z. B. dem Verhaltenskodex für die gemeinsame Nutzung von Agrardaten auf Vertragsbasis. Um sektorspezifischen Bedürfnissen und Zielen gerecht zu werden, können Rechtsvorschriften der Union oder der Mitgliedstaaten erlassen werden. Darüber hinaus sollten die Dateninhaber keine leicht zugänglichen, nicht personenbezogenen Daten verwenden, um Erkenntnisse über die wirtschaftliche Lage des Nutzers oder seine Vermögenswerte oder Produktionsmethoden zu gewinnen, oder über eine solche Verwendung durch den Nutzer in einer anderen Weise, die die wirtschaftliche Position dieses Nutzers auf den Märkten, auf denen er tätig ist, untergraben könnte. Dazu könnte die Verwendung von Kenntnissen über die Gesamtleistung eines Unternehmens oder eines landwirtschaftlichen Betriebs bei Vertragsverhandlungen mit dem Nutzer über den potenziellen Erwerb von Produkten oder landwirtschaftlichen Erzeugnissen des Nutzers zum Nachteil des Nutzers gehören, oder die Verwendung solcher Informationen zur Einspeisung in größere Datenbanken über bestimmte Märkte in ihrer Gesamtheit, z. B. Datenbanken über Ernteerträge für die bevorstehende Erntesaison, da eine solche Verwendung den Nutzer auf indirekte Weise negativ beeinflussen könnte. Der Nutzer sollte die notwendige technische Schnittstelle zur Verwaltung von Berechtigungen erhalten, vorzugsweise mit granularen Berechtigungsoptionen wie "einmalig zulassen" oder "während der Nutzung dieser App oder dieses Dienstes zulassen", einschließlich der Möglichkeit, solche Berechtigungen zurückzuziehen.

(28) Bei Verträgen zwischen einem Dateninhaber und einem Verbraucher als Nutzer eines verbundenen Produkts oder einer damit verbundenen Dienstleistung, bei der Daten erzeugt werden, gilt das Verbraucherrecht der Union, insbesondere die Richtlinien 93/13/EWG und 2005/29/EG, um sicherzustellen, dass ein Verbraucher keinen missbräuchlichen Vertragsklauseln unterworfen wird. Für die Zwecke dieser Verordnung sollten missbräuchliche Vertragsklauseln, die einem Unternehmen einseitig auferlegt werden, für dieses Unternehmen nicht verbindlich sein.

(29) Die Dateninhaber können eine angemessene Benutzeridentifizierung verlangen, um die Berechtigung eines Benutzers zum Zugriff auf die Daten zu überprüfen. Im Falle personenbezogener Daten, die von einem Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, sollten die Dateninhaber sicherstellen, dass der Antrag auf Auskunft beim Auftragsverarbeiter eingeht und von diesem bearbeitet wird.

(30) Es sollte dem Nutzer freistehen, die Daten für jeden rechtmäßigen Zweck zu verwenden. Dazu gehört auch, dass der Nutzer die Daten, die er in Ausübung seiner Rechte nach dieser Verordnung erhalten hat, einem Dritten zur Verfügung stellt, der einen Anschlussmarktdienst anbietet, der möglicherweise mit einem von einem Dateninhaber erbrachten Dienst konkurriert, oder den Dateninhaber anweist, dies zu tun. Der Antrag sollte vom Nutzer oder von einem befugten Dritten gestellt werden, der im Namen des Nutzers handelt, einschließlich eines Anbieters eines Datenvermittlungsdienstes. Die Dateninhaber sollten sicherstellen, dass die dem Dritten zur Verfügung gestellten Daten ebenso richtig, vollständig, zuverlässig, sachdienlich und aktuell sind wie die Daten, auf die der Dateninhaber selbst durch die Nutzung des verbundenen Produkts oder des damit verbundenen Dienstes zugreifen kann oder darf. Bei der Verarbeitung der Daten sollten alle Rechte am geistigen Eigentum beachtet werden. Es ist wichtig, Anreize für Investitionen in Produkte mit Funktionen zu erhalten, die auf der Nutzung von Daten von in diese Produkte eingebauten Sensoren beruhen.

(31) Die Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates (23) sieht vor, dass der Erwerb, die Nutzung oder die Offenlegung eines Geschäftsgeheimnisses unter anderem dann als rechtmäßig gilt, wenn ein solcher Erwerb, eine solche Nutzung oder eine solche Offenlegung nach Unionsrecht oder nationalem Recht erforderlich oder zulässig ist. Während diese Verordnung die Dateninhaber verpflichtet, bestimmte Daten gegenüber Nutzern oder Dritten ihrer Wahl offenzulegen, auch wenn diese Daten als Geschäftsgeheimnisse geschützt werden können, sollte sie so ausgelegt werden, dass der Schutz von Geschäftsgeheimnissen gemäß der Richtlinie (EU) 2016/943 gewahrt bleibt. In diesem Zusammenhang sollten die Dateninhaber die Möglichkeit haben, von den Nutzern oder von Dritten ihrer Wahl zu verlangen, dass sie die Vertraulichkeit von Daten, die als Geschäftsgeheimnisse gelten, wahren. Zu diesem Zweck sollten die Dateninhaber Geschäftsgeheimnisse vor der Offenlegung identifizieren und die Möglichkeit haben, mit Nutzern oder Dritten ihrer Wahl die erforderlichen Maßnahmen zur Wahrung der Vertraulichkeit zu vereinbaren, unter anderem durch die Verwendung von Mustervertragsbedingungen, Vertraulichkeitsvereinbarungen, strengen Zugangsprotokollen, technischen Standards und die Anwendung von Verhaltenskodizes. Neben der Verwendung von Mustervertragsbedingungen, die von der Kommission zu entwickeln und zu empfehlen sind, könnte die Aufstellung von Verhaltenskodizes und technischen Standards für den Schutz von Geschäftsgeheimnissen beim Umgang mit den Daten dazu beitragen, das Ziel dieser Verordnung zu erreichen, und sollte gefördert werden. Gibt es keine Vereinbarung über die erforderlichen Maßnahmen oder versäumen es ein Nutzer oder Dritte seiner Wahl, vereinbarte Maßnahmen umzusetzen oder die Vertraulichkeit von Geschäftsgeheimnissen zu untergraben, sollte der Dateninhaber die Möglichkeit haben, die Weitergabe von als Geschäftsgeheimnis eingestuften Daten zurückzuhalten oder auszusetzen. In solchen Fällen sollte der Dateninhaber die Entscheidung dem Nutzer oder dem Dritten unverzüglich schriftlich mitteilen und die zuständige Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, davon in Kenntnis setzen, dass er die gemeinsame Nutzung von Daten verweigert oder ausgesetzt hat, und angeben, welche Maßnahmen nicht vereinbart oder durchgeführt wurden und gegebenenfalls welche Geschäftsgeheimnisse in ihrer Vertraulichkeit beeinträchtigt wurden. Die Dateninhaber können einen Antrag auf Datenzugang nach dieser Verordnung grundsätzlich nicht allein mit der Begründung ablehnen, dass bestimmte Daten als Geschäftsgeheimnis betrachtet werden, da dies die beabsichtigte Wirkung dieser Verordnung untergraben würde. In Ausnahmefällen sollte ein Dateninhaber, der Inhaber eines Geschäftsgeheimnisses ist, jedoch in der Lage sein, im Einzelfall einen Antrag auf Zugang zu den betreffenden Daten abzulehnen, wenn er dem Nutzer oder dem Dritten nachweisen kann, dass trotz der von dem Nutzer oder dem Dritten getroffenen technischen und organisatorischen Maßnahmen durch die Offenlegung des Geschäftsgeheimnisses höchstwahrscheinlich ein schwerer wirtschaftlicher Schaden entstehen wird. Schwerwiegender wirtschaftlicher Schaden bedeutet einen schweren und nicht wieder gutzumachenden wirtschaftlichen Verlust. Der Dateninhaber sollte seine Weigerung gegenüber dem Nutzer oder dem Dritten unverzüglich schriftlich begründen und die zuständige Behörde unterrichten. Eine solche Begründung sollte sich auf objektive Elemente stützen, aus denen die konkreten RisikoRisiko Bezeichnet das Potenzial für Verluste oder Störungen, die durch ein Ereignis verursacht werden, und wird als Kombination aus dem Ausmaß eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Ereignisses ausgedrückt. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) des zu erwartenden schwerwiegenden wirtschaftlichen Schadens infolge einer bestimmten Datenweitergabe und die Gründe, warum die zum Schutz der angeforderten Daten getroffenen Maßnahmen nicht als ausreichend angesehen werden. Eine mögliche negative Auswirkung auf CybersicherheitCybersecurity "Cybersicherheit" ist die Cybersicherheit im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) "Cybersicherheit" bezeichnet die Tätigkeiten, die erforderlich sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen; - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) 2019/881; in diesem Zusammenhang berücksichtigt werden können. Unbeschadet des Rechts, vor einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen, kann der Nutzer oder ein Dritter, wenn er die Entscheidung des Dateninhabers, die gemeinsame Nutzung von Daten zu verweigern, zu verweigern oder auszusetzen, anfechten möchte, eine Beschwerde bei der zuständigen Behörde einreichen, die ohne unangemessene Verzögerung entscheiden sollte, ob und unter welchen Bedingungen die gemeinsame Nutzung von Daten aufgenommen oder wieder aufgenommen werden sollte, oder er kann mit dem Dateninhaber vereinbaren, die Angelegenheit an eine Streitbeilegungsstelle zu verweisen. Die Ausnahmen vom Recht auf Datenauskunft in dieser Verordnung sollten in keinem Fall das Recht auf Auskunft und das Recht auf Datenübertragbarkeit der betroffenen Personen gemäß der Verordnung (EU) 2016/679 einschränken.

(32) Ziel dieser Verordnung ist es nicht nur, die Entwicklung neuer, innovativer vernetzter Produkte oder damit verbundener Dienste zu fördern und die Innovation auf Anschlussmärkten anzuregen, sondern auch die Entwicklung völlig neuartiger Dienste, die die betreffenden Daten nutzen, auch auf der Grundlage von Daten aus einer Vielzahl vernetzter Produkte oder damit verbundener Dienste. Gleichzeitig soll mit dieser Verordnung vermieden werden, dass die Investitionsanreize für die Art des vernetzten Produkts, von dem die Daten stammen, untergraben werden, beispielsweise durch die Verwendung von Daten zur Entwicklung eines konkurrierenden vernetzten Produkts, das von den Nutzern als austauschbar oder substituierbar angesehen wird, insbesondere auf der Grundlage der Eigenschaften des vernetzten Produkts, seines Preises und seines Verwendungszwecks. Diese Verordnung sieht kein Verbot der Entwicklung eines verbundenen Dienstes unter Verwendung von Daten vor, die im Rahmen dieser Verordnung erlangt wurden, da dies eine unerwünschte, innovationshemmende Wirkung haben würde. Das Verbot der Verwendung von Daten, auf die im Rahmen dieser Verordnung zugegriffen wurde, für die Entwicklung eines konkurrierenden verbundenen Produkts schützt die Innovationsbemühungen der Dateninhaber. Ob ein verbundenes Produkt mit dem verbundenen Produkt, von dem die Daten stammen, konkurriert, hängt davon ab, ob die beiden verbundenen Produkte auf demselben Produktmarkt im Wettbewerb stehen. Dies ist auf der Grundlage der etablierten Grundsätze des Wettbewerbsrechts der Union für die Definition des relevanten Produktmarkts zu bestimmen. Zu den rechtmäßigen Zwecken für die Verwendung der Daten könnte jedoch auch das Reverse Engineering gehören, sofern es die in dieser Verordnung und im Unionsrecht oder im nationalen Recht festgelegten Anforderungen erfüllt. Dies kann für die Zwecke der Reparatur oder der Verlängerung der Lebensdauer eines angeschlossenen Produkts oder für die Erbringung von Nachmarktdienstleistungen für angeschlossene Produkte der Fall sein.

(33) Ein Dritter, dem Daten zur Verfügung gestellt werden, kann eine natürliche oder juristische Person sein, z. B. ein Verbraucher, ein Unternehmen, ein ForschungseinrichtungForschungseinrichtung bezeichnet eine Einrichtung, deren Hauptziel die Durchführung von angewandter Forschung oder experimenteller Entwicklung mit dem Ziel ist, die Ergebnisse dieser Forschung zu kommerziellen Zwecken zu nutzen; Bildungseinrichtungen gehören jedoch nicht dazu. Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie)eine gemeinnützige Organisation oder eine Einrichtung, die in einer professionellen Eigenschaft handelt. Wenn ein Dateninhaber die Daten einem Dritten zur Verfügung stellt, sollte er seine Position nicht missbrauchen, um sich einen Wettbewerbsvorteil auf Märkten zu verschaffen, auf denen der Dateninhaber und der Dritte möglicherweise in direktem Wettbewerb stehen. Der Dateninhaber sollte daher keine leicht zugänglichen Daten verwenden, um Erkenntnisse über die wirtschaftliche Lage, das Vermögen oder die Produktionsmethoden des Dritten oder die Nutzung durch den Dritten in einer anderen Weise abzuleiten, die die Geschäftsposition des Dritten auf den Märkten, auf denen er tätig ist, untergraben könnte. Der Nutzer sollte die Möglichkeit haben, nicht-personenbezogene Daten zu kommerziellen Zwecken an Dritte weiterzugeben. Im Einvernehmen mit dem Nutzer und vorbehaltlich der Bestimmungen dieser Verordnung sollten Dritte in der Lage sein, die vom Nutzer gewährten Datenzugriffsrechte an andere Dritte zu übertragen, auch gegen Entgelt. Datenvermittler zwischen Unternehmen und Systeme für das Management personenbezogener Informationen (PIMS), die in der Verordnung (EU) 2022/868 als Datenvermittlungsdienste bezeichnet werden, können Nutzer oder Dritte bei der Aufnahme von Geschäftsbeziehungen mit einer unbestimmten Zahl potenzieller Gegenparteien zu jedem rechtmäßigen Zweck, der in den Anwendungsbereich dieser Verordnung fällt, unterstützen. Sie könnten eine wichtige Rolle bei der Aggregation des Zugangs zu Daten spielen, so dass Big-Data-Analysen oder maschinelles Lernen erleichtert werden können, vorausgesetzt, dass die Nutzer die volle Kontrolle darüber behalten, ob sie ihre Daten für eine solche Aggregation zur Verfügung stellen und unter welchen kommerziellen Bedingungen ihre Daten verwendet werden sollen.

(34) Die Nutzung eines verbundenen Produkts oder eines damit verbundenen Dienstes kann, insbesondere wenn der Nutzer eine natürliche Person ist, Daten erzeugen, die sich auf die betroffene Person beziehen. Die Verarbeitung solcher Daten unterliegt den Vorschriften der Verordnung (EU) 2016/679, auch wenn personenbezogene und nicht personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden sind. Bei der betroffenen Person kann es sich um den Nutzer oder eine andere natürliche Person handeln. Personenbezogene Daten können nur von einem für die Verarbeitung Verantwortlichen oder einer betroffenen Person angefordert werden. Ein Nutzer, der die betroffene Person ist, hat unter bestimmten Umständen gemäß der Verordnung (EU) 2016/679 das Recht auf Zugang zu den ihn betreffenden personenbezogenen Daten, und diese Rechte bleiben von dieser Verordnung unberührt. Nach dieser Verordnung hat der Nutzer, der eine natürliche Person ist, außerdem das Recht auf Zugang zu allen Daten, die durch die Nutzung eines verbundenen Produkts erzeugt werden, unabhängig davon, ob es sich um personenbezogene oder nicht personenbezogene Daten handelt. Handelt es sich bei dem Nutzer nicht um die betroffene Person, sondern um ein Unternehmen, einschließlich eines Einzelunternehmers, und nicht um eine gemeinsame Nutzung des angeschlossenen Produkts durch einen Haushalt, so gilt der Nutzer als für die Verarbeitung Verantwortlicher. Dementsprechend muss ein solcher Nutzer, der als für die Verarbeitung Verantwortlicher beabsichtigt, personenbezogene Daten anzufordern, die durch die Nutzung eines verbundenen Produkts oder eines damit verbundenen Dienstes erzeugt wurden, über eine Rechtsgrundlage für die Verarbeitung der Daten gemäß Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 verfügen, wie etwa die Einwilligung der betroffenen Person oder die Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist. Der Nutzer sollte sicherstellen, dass die betroffene Person in angemessener Weise über die festgelegten, ausdrücklichen und rechtmäßigen Zwecke der Verarbeitung dieser Daten sowie darüber informiert wird, wie die betroffene Person ihre Rechte wirksam ausüben kann. Handelt es sich bei dem Dateninhaber und dem Nutzer um gemeinsam für die Verarbeitung Verantwortliche im Sinne von Artikel 26 der Verordnung (EU) 2016/679, sind sie verpflichtet, ihre jeweiligen Verantwortlichkeiten für die Einhaltung der genannten Verordnung in transparenter Weise durch eine Vereinbarung zwischen ihnen festzulegen. Es sollte klar sein, dass ein solcher Nutzer nach der Bereitstellung von Daten seinerseits zum Dateninhaber werden kann, wenn er die Kriterien dieser Verordnung erfüllt und somit den Verpflichtungen zur Bereitstellung von Daten gemäß dieser Verordnung unterliegt.

(35) Produktdaten oder damit zusammenhängende Dienstleistungsdaten sollten einem Dritten nur auf Antrag des Nutzers zur Verfügung gestellt werden. Diese Verordnung ergänzt dementsprechend das in Artikel 20 der Verordnung (EU) 2016/679 vorgesehene Recht der betroffenen Personen, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten sowie diese Daten an einen anderen für die Verarbeitung Verantwortlichen zu übermitteln, wenn diese Daten auf der Grundlage von Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder eines Vertrags gemäß Artikel 6 Absatz 1 Buchstabe b der genannten Verordnung automatisiert verarbeitet werden. Die betroffenen Personen haben auch das Recht, dass die personenbezogenen Daten direkt von einem für die Verarbeitung Verantwortlichen an einen anderen übermittelt werden, allerdings nur, wenn dies technisch machbar ist. In Artikel 20 der Verordnung (EU) 2016/679 ist festgelegt, dass sie sich auf Daten bezieht, die von der betroffenen Person bereitgestellt werden, es wird jedoch nicht präzisiert, ob dies ein aktives Verhalten der betroffenen Person erfordert oder ob sie auch für Situationen gilt, in denen ein verbundenes Produkt oder ein damit verbundener Dienst aufgrund seiner Konzeption das Verhalten einer betroffenen Person oder andere Informationen in Bezug auf eine betroffene Person auf passive Weise beobachtet. Die in dieser Verordnung vorgesehenen Rechte ergänzen das Recht auf Erhalt und Übermittlung personenbezogener Daten gemäß Artikel 20 der Verordnung (EU) 2016/679 in mehrfacher Hinsicht. Diese Verordnung räumt den Nutzern das Recht ein, auf Produktdaten oder damit zusammenhängende Servicedaten zuzugreifen und sie einem Dritten zur Verfügung zu stellen, und zwar unabhängig davon, ob es sich um personenbezogene Daten handelt, unabhängig von der Unterscheidung zwischen aktiv bereitgestellten oder passiv beobachteten Daten und unabhängig von der Rechtsgrundlage der Verarbeitung. Im Gegensatz zu Artikel 20 der Verordnung (EU) 2016/679 schreibt diese Verordnung die technische Durchführbarkeit des Zugangs Dritter für alle Arten von Daten vor, die in ihren Anwendungsbereich fallen, unabhängig davon, ob es sich um personenbezogene oder nicht-personenbezogene Daten handelt, und stellt damit sicher, dass technische Hindernisse den Zugang zu diesen Daten nicht mehr behindern oder verhindern. Außerdem können die Dateninhaber eine angemessene Entschädigung festlegen, die von Dritten, nicht aber vom Nutzer, für die Kosten zu tragen ist, die durch die Gewährung eines direkten Zugangs zu den von dem angeschlossenen Produkt des Nutzers erzeugten Daten entstehen. Können sich ein Dateninhaber und ein Dritter nicht auf die Bedingungen für einen solchen direkten Zugang einigen, sollte die betroffene Person in keiner Weise daran gehindert werden, die in der Verordnung (EU) 2016/679 festgelegten Rechte, einschließlich des Rechts auf Datenübertragbarkeit, auszuüben, indem sie Rechtsbehelfe im Einklang mit der genannten Verordnung beantragt. In diesem Zusammenhang ist zu verstehen, dass ein Vertrag gemäß der Verordnung (EU) 2016/679 die Verarbeitung besonderer Kategorien personenbezogener Daten durch den Inhaber der Datenverarbeitung oder den Dritten nicht zulässt.

(36) Der Zugang zu Daten, die in Endgeräten gespeichert sind und auf die von diesen aus zugegriffen wird, unterliegt der Richtlinie 2002/58/EG und erfordert die Zustimmung des Teilnehmers oder Nutzers im Sinne dieser Richtlinie, es sei denn, er ist für die Erbringung eines vom Nutzer oder Teilnehmer ausdrücklich angeforderten Dienstes der Informationsgesellschaft oder für den alleinigen Zweck der Übertragung einer Nachricht unbedingt erforderlich. Die Richtlinie 2002/58/EG schützt die Integrität der Endgeräte eines Nutzers in Bezug auf die Nutzung der Verarbeitungs- und Speicherkapazitäten und die Erfassung von Informationen. Geräte des Internets der Dinge gelten als Endgeräte, wenn sie direkt oder indirekt an ein öffentliches Kommunikationsnetz angeschlossen sind.

(37) Um die Ausbeutung von Nutzern zu verhindern, sollten Dritte, denen Daten auf Ersuchen des Nutzers zur Verfügung gestellt wurden, diese Daten nur für die mit dem Nutzer vereinbarten Zwecke verarbeiten und sie nur dann an andere Dritte weitergeben, wenn der Nutzer dieser Datenweitergabe zugestimmt hat.

(38) Im Einklang mit dem Grundsatz der Datenminimierung sollten Dritte nur auf Informationen zugreifen, die für die Erbringung der vom Nutzer angeforderten Dienstleistung erforderlich sind. Nachdem der Dritte Zugang zu den Daten erhalten hat, sollte er diese ohne Einmischung des Dateninhabers für die mit dem Nutzer vereinbarten Zwecke verarbeiten. Es sollte für den Nutzer genauso einfach sein, den Zugang zu den Daten durch Dritte zu verweigern oder zu beenden, wie es für den Nutzer ist, den Zugang zu genehmigen. Weder Dritte noch Dateninhaber sollten die Ausübung von Wahlmöglichkeiten oder Rechten durch den Nutzer übermäßig erschweren, auch nicht dadurch, dass sie dem Nutzer Wahlmöglichkeiten in nicht neutraler Weise anbieten oder ihn zwingen, täuschen oder manipulieren oder die Autonomie, Entscheidungsfreiheit oder Wahlmöglichkeiten des Nutzers untergraben oder beeinträchtigen, auch nicht durch eine digitale Nutzerschnittstelle oder einen Teil davon. In diesem Zusammenhang sollten sich Dritte oder Dateninhaber bei der Gestaltung ihrer digitalen Schnittstellen nicht auf so genannte "dunkle Muster" verlassen. Dunkle Muster sind Gestaltungstechniken, die Verbraucher zu Entscheidungen drängen oder täuschen, die für sie negative Folgen haben. Diese manipulativen Techniken können verwendet werden, um Nutzer, insbesondere schutzbedürftige Verbraucher, zu unerwünschtem Verhalten zu bewegen, um Nutzer zu täuschen, indem sie zu Entscheidungen über die Weitergabe von Daten gedrängt werden, oder um die Entscheidungsfindung der Nutzer des Dienstes in unangemessener Weise so zu beeinflussen, dass ihre Autonomie, Entscheidungsfreiheit und Wahlmöglichkeiten untergraben oder beeinträchtigt werden. Übliche und rechtmäßige Geschäftspraktiken, die mit dem Unionsrecht im Einklang stehen, sollten nicht als solche als dunkle Muster angesehen werden. Dritte und Dateninhaber sollten ihren Verpflichtungen nach dem einschlägigen Unionsrecht nachkommen, insbesondere den Anforderungen der Richtlinien 98/6/EG (24) und 2000/31/EG (25) des Europäischen Parlaments und des Rates sowie der Richtlinien 2005/29/EG und 2011/83/EU.

(39) Dritte sollten ebenfalls davon absehen, Daten, die in den Anwendungsbereich dieser Verordnung fallen, zur Profilerstellung von Personen zu verwenden, es sei denn, solche Verarbeitungstätigkeiten sind zur Erbringung der vom Nutzer angeforderten Dienstleistung, einschließlich im Rahmen automatisierter Entscheidungsfindung, zwingend erforderlich. Die Verpflichtung zur Löschung von Daten, wenn diese für den mit dem Nutzer vereinbarten Zweck nicht mehr erforderlich sind, es sei denn, es wurde hinsichtlich nicht personenbezogener Daten etwas anderes vereinbart, ergänzt das Recht der betroffenen Person auf Löschung gemäß Artikel 17 der Verordnung (EU) 2016/679. Wenn ein Dritter ein Anbieter eines Datentreuhänderdienstes ist, gelten die in der Verordnung (EU) 2022/868 vorgesehenen Schutzmaßnahmen für die betroffene Person. Der Dritte darf die Daten zur Entwicklung eines neuen und innovativen vernetzten Produkts oder einer verwandten Dienstleistung verwenden, jedoch nicht zur Entwicklung eines konkurrierenden vernetzten Produkts.

(40) Start-ups, kleine Unternehmen, Unternehmen, die gemäß Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittelständische Unternehmen gelten, sowie Unternehmen aus traditionellen Branchen mit weniger ausgeprägten digitalen Fähigkeiten haben Schwierigkeiten, Zugang zu relevanten Daten zu erhalten. Diese Verordnung zielt darauf ab, diesen Unternehmen den Zugang zu Daten zu erleichtern und gleichzeitig sicherzustellen, dass die entsprechenden Verpflichtungen so verhältnismäßig wie möglich sind, um eine übermäßige Belastung zu vermeiden. Gleichzeitig ist eine kleine Zahl sehr großer Unternehmen entstanden, die durch die Anhäufung und Aggregation riesiger Datenmengen und die technologische Infrastruktur zu deren Monetarisierung beträchtliche wirtschaftliche Macht in der digitalen Wirtschaft erlangt haben. Zu diesen sehr großen Unternehmen gehören Unternehmen, die zentrale Plattformdienste anbieten, die ganze Plattform-Ökosysteme in der digitalen Wirtschaft kontrollieren und denen bestehende oder neue Marktteilnehmer nicht Paroli bieten oder sich widersetzen können. Die Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates (26) zielt darauf ab, diese Ineffizienzen und Ungleichgewichte zu beheben, indem sie der Kommission ermöglicht, ein Unternehmen als ‘Gatekeeper’ zu benennen, und erlegt diesen Gatekeepern eine Reihe von Verpflichtungen auf, darunter ein Verbot der Zusammenführung bestimmter Daten ohne Einwilligung und die Verpflichtung, wirksame Rechte auf Datenübertragbarkeit gemäß Artikel 20 der Verordnung (EU) 2016/679 zu gewährleisten. Gemäß der Verordnung (EU) 2022/1925 und angesichts der beispiellosen Fähigkeit dieser Unternehmen, Daten zu erheben, ist es zur Erreichung des Ziels dieser Verordnung nicht erforderlich und wäre daher unverhältnismäßig, Dateninhaber, die solchen Verpflichtungen unterliegen, als Begünstigte des Rechts auf Datenzugang einzubeziehen. Eine solche Einbeziehung würde zudem wahrscheinlich die Vorteile dieser Verordnung für KMU einschränken, die mit der gerechten Verteilung des Datenwerts unter den Marktteilnehmern zusammenhängen. Dies bedeutet, dass ein Unternehmen, das Kernplattformdienste anbietet und als Gatekeeper benannt wurde, keinen Zugang zu Nutzerdaten beantragen oder erhalten kann, die durch die Nutzung eines verbundenen Produkts oder einer damit verbundenen Dienstleistung oder durch einen virtuellen Assistenten im Sinne dieser Verordnung generiert wurden. Darüber hinaus dürfen Dritte, denen Daten auf Antrag des Nutzers zur Verfügung gestellt werden, diese Daten nicht an einen Gatekeeper weitergeben. So darf der Dritte beispielsweise die Erbringung der Dienstleistung nicht an einen Gatekeeper untervergeben. Dies hindert Dritte jedoch nicht daran, von einem Gatekeeper angebotene Datenverarbeitungsdienste in Anspruch zu nehmen. Es hindert diese Unternehmen auch nicht daran, dieselben Daten auf andere rechtmäßige Weise zu erlangen und zu nutzen. Die in dieser Verordnung vorgesehenen Zugangsrechte tragen zu einer größeren Auswahl an Diensten für Verbraucher bei. Da freiwillige Vereinbarungen zwischen Gatekeepern und Dateninhabern unberührt bleiben, würde die Beschränkung der Zugangsgewährung an Gatekeeper diese nicht vom Markt ausschließen oder sie daran hindern, ihre Dienste anzubieten.

(41) Angesichts des aktuellen Stands der Technik wäre es für Kleinstunternehmen und kleine Unternehmen übermäßig belastend, ihnen weitere Designpflichten im Zusammenhang mit verbundenen Produkten, die von ihnen hergestellt oder entworfen werden, oder den damit verbundenen Dienstleistungen, die von ihnen erbracht werden, aufzuerlegen. Dies gilt jedoch nicht, wenn ein Kleinstunternehmen oder ein kleines Unternehmen einen Partnerbetrieb oder einen verbundenen Betrieb im Sinne von Artikel 3 der Empfehlung 2003/361/EG hat, der nicht als Kleinstunternehmen oder kleines Unternehmen gilt und der mit der Herstellung oder dem Entwurf eines verbundenen Produkts oder der Erbringung einer damit verbundenen Dienstleistung im Subunternehmerverhältnis beauftragt wurde. In solchen Fällen kann das Unternehmen, das die Herstellung oder den Entwurf im Subunternehmerverhältnis an ein Kleinstunternehmen oder ein kleines Unternehmen vergeben hat, den Subunternehmer angemessen entschädigen. Ein Kleinstunternehmen oder ein kleines Unternehmen kann dennoch den Anforderungen dieser Verordnung als Datenspeicher unterliegen, wenn es nicht der Hersteller des verbundenen Produkts oder der Anbieter damit verbundener Dienstleistungen ist. Für ein Unternehmen, das seit weniger als einem Jahr als mittleres Unternehmen gilt, und für verbundene Produkte, die von einem mittleren Unternehmen ein Jahr nach dem Datum ihres Inverkehrbringens hergestellt wurden, sollte eine Übergangsfrist gelten. Eine solche einjährige Frist ermöglicht es einem solchen mittleren Unternehmen, sich anzupassen und vorzubereiten, bevor es dem Wettbewerb auf dem Markt für Dienstleistungen für die von ihm hergestellten verbundenen Produkte auf der Grundlage der durch diese Verordnung gewährten Zugangsrechte ausgesetzt ist. Eine solche Übergangsfrist gilt nicht, wenn ein solches mittleres Unternehmen einen Partnerbetrieb oder einen verbundenen Betrieb hat, der nicht als Kleinstunternehmen oder kleines Unternehmen gilt, oder wenn ein solches mittleres Unternehmen mit der Herstellung oder dem Entwurf des verbundenen Produkts oder der Erbringung der damit verbundenen Dienstleistung im Subunternehmerverhältnis beauftragt wurde.

(42) Angesichts der Vielfalt vernetzter Produkte, die Daten unterschiedlicher Art, Menge und Häufigkeit erzeugen, unterschiedliche Daten- und Cybersicherheitsrisiken aufweisen und unterschiedliche wirtschaftliche Wertschöpfungsmöglichkeiten bieten, und um die Kohärenz der Datenaustauschpraktiken im Binnenmarkt, auch sektorenübergreifend, zu gewährleisten und faire Datenaustauschpraktiken auch in Bereichen zu fördern und zu unterstützen, in denen kein Recht auf Datenzugang besteht, sieht diese Verordnung horizontale Vorschriften über die Modalitäten des Datenzugangs vor, wenn ein Dateninhaber nach Unionsrecht oder nach nationalem Recht, das im Einklang mit dem Unionsrecht erlassen wurde, verpflichtet ist, Daten einem Datenempfänger zur Verfügung zu stellen. Dieser Zugang sollte auf fairen, angemessenen, diskriminierungsfreien und transparenten Bedingungen beruhen. Diese allgemeinen Zugangsregeln gelten nicht für die Verpflichtungen zur Bereitstellung von Daten gemäß der Verordnung (EU) 2016/679. Der freiwillige Datenaustausch bleibt von diesen Regeln unberührt. Die von der Kommission zu entwickelnden und zu empfehlenden unverbindlichen Mustervertragsbedingungen für den Datenaustausch zwischen Unternehmen können den Parteien helfen, Verträge abzuschließen, die faire, angemessene und diskriminierungsfreie Bedingungen enthalten und die auf transparente Weise umgesetzt werden. Der Abschluss von Verträgen, die die unverbindlichen Mustervertragsbedingungen enthalten können, darf nicht bedeuten, dass das Recht auf Weitergabe von Daten an Dritte in irgendeiner Weise von der Existenz eines solchen Vertrags abhängig ist. Sollten die Parteien nicht in der Lage sein, einen Vertrag über den Datenaustausch abzuschließen, auch nicht mit Unterstützung von Streitbeilegungsstellen, ist das Recht auf Weitergabe von Daten an Dritte vor den nationalen Gerichten durchsetzbar.

(43) Gestützt auf den Grundsatz der Vertragsfreiheit sollten die Parteien im Rahmen der allgemeinen Zugangsregeln für die Bereitstellung von Daten frei darin sein, die genauen Bedingungen für die Bereitstellung von Daten in ihren Verträgen auszuhandeln. Gegenstand solcher Verträge könnten technische und organisatorische Maßnahmen sein, einschließlich solcher, die sich auf Datensicherheit beziehen.

Um sicherzustellen, dass die Bedingungen für zwingende Datenzugangsrechte für beide Vertragsparteien fair sind, sollten die allgemeinen Regeln zu Datenzugangsrechten auf die Regelung zur Vermeidung unfairer Vertragsklauseln verweisen.

(45) Jede Vereinbarung, die in Geschäftsbeziehungen zwischen Unternehmen über die Bereitstellung von Daten geschlossen wird, sollte für vergleichbare Kategorien von Datennutzern nicht diskriminierend sein, unabhängig davon, ob es sich bei den Parteien um große Unternehmen oder KMU handelt. Um den Mangel an Informationen über die Bedingungen in verschiedenen Verträgen zu kompensieren, der es dem Datennutzer erschwert, zu beurteilen, ob die Bedingungen für die Bereitstellung von Daten nicht diskriminierend sind, sollten Dateninhaber nachweisen, dass eine vertragliche Bedingung nicht diskriminierend ist. Eine rechtswidrige Diskriminierung liegt nicht vor, wenn ein Dateninhaber unterschiedliche vertragliche Bedingungen für die Bereitstellung von Daten verwendet, sofern diese Unterschiede durch objektive Gründe gerechtfertigt sind. Diese Verpflichtungen gelten unbeschadet der Verordnung (EU) 2016/679.

Um weitere Investitionen in die Erzeugung und Bereitstellung wertvoller Daten, einschließlich Investitionen in einschlägige technische Werkzeuge, zu fördern und gleichzeitig übermäßige Belastungen für den Zugang zu und die Nutzung von Daten zu vermeiden, die die gemeinsame Nutzung von Daten nicht mehr wirtschaftlich rentabel machen, enthält diese Verordnung den Grundsatz, dass Dateninhaber im Geschäftsverkehr zwischen Unternehmen eine angemessene Vergütung verlangen können, wenn sie nach Unionsrecht oder nationalem Recht, das im Einklang mit dem Unionsrecht erlassen wurde, verpflichtet sind, Daten einem Datenempfänger zur Verfügung zu stellen. Eine solche Vergütung sollte nicht als Bezahlung für die Daten selbst verstanden werden. Die Kommission sollte Leitlinien für die Berechnung einer angemessenen Vergütung in der Datenwirtschaft annehmen.

(47) Erstens kann eine angemessene Vergütung für die Erfüllung der Verpflichtung gemäß dem Unionsrecht oder den im Einklang mit dem Unionsrecht erlassenen nationalen Rechtsvorschriften, einem Antrag auf Bereitstellung von Daten nachzukommen, eine Vergütung für die bei der Bereitstellung der Daten entstandenen Kosten umfassen. Bei diesen Kosten kann es sich um technische Kosten handeln, wie etwa die Kosten für die Vervielfältigung, die elektronische Verbreitung und die Speicherung der Daten, nicht jedoch um Kosten für die Erhebung oder Erstellung der Daten. Solche technischen Kosten können auch die für die Bereitstellung der Daten erforderlichen Verarbeitungskosten umfassen, einschließlich der Kosten im Zusammenhang mit der Formatierung der Daten. Zu den Kosten im Zusammenhang mit der Bereitstellung der Daten können auch die Kosten für die Erleichterung konkreter Datenaustauschanfragen gehören. Sie können zudem je nach Datenvolumen sowie den für die Bereitstellung der Daten getroffenen Vereinbarungen variieren. Langfristige Vereinbarungen zwischen Dateninhabern und Datenempfängern, beispielsweise über ein Abonnementmodell oder die Nutzung von Smart Contracts, können die Kosten bei regelmäßigen oder wiederkehrenden Transaktionen im Rahmen einer Geschäftsbeziehung senken. Kosten im Zusammenhang mit der Bereitstellung von Daten sind entweder spezifisch für eine bestimmte Anfrage oder werden mit anderen Anfragen geteilt. Im letzteren Fall sollte ein einzelner Datenempfänger nicht die vollen Kosten für die Bereitstellung der Daten tragen. Zweitens kann eine angemessene Vergütung auch eine Marge beinhalten, außer im Falle von KMU und gemeinnützigen Forschungseinrichtungen. Eine Marge kann je nach Faktoren variieren, die mit den Daten selbst zusammenhängen, wie beispielsweise Umfang, Format oder Art der Daten. Sie kann die Kosten für die Erhebung der Daten berücksichtigen. Eine Marge kann daher sinken, wenn der Dateninhaber die Daten für sein eigenes Geschäft ohne nennenswerte Investitionen erhoben hat, oder steigen, wenn die Investitionen in die Datenerhebung für die Zwecke des Geschäfts des Dateninhabers hoch sind. Sie kann in Situationen begrenzt oder sogar ausgeschlossen werden, in denen die Nutzung der Daten durch den Datenempfänger die eigenen Aktivitäten des Dateninhabers nicht beeinträchtigt. Die Tatsache, dass die Daten durch ein vernetztes Produkt miterzeugt werden, das sich im Besitz des Nutzers befindet oder von diesem gemietet oder geleast wurde, könnte ebenfalls die Höhe der Vergütung im Vergleich zu anderen Situationen verringern, in denen die Daten vom Dateninhaber erzeugt werden, beispielsweise während der Erbringung einer damit verbundenen Dienstleistung.

(48) Es ist nicht erforderlich, in Fällen des Datenaustauschs zwischen großen Unternehmen einzugreifen, oder wenn der Datengeber ein kleines oder mittleres Unternehmen und der Datenempfänger ein großes Unternehmen ist. In solchen Fällen gelten die Unternehmen als fähig, die Vergütung im Rahmen des Angemessenen und Diskriminierungsfreien auszuhandeln.

(49) Um KMU vor übermäßigen wirtschaftlichen Belastungen zu schützen, die die Entwicklung und Führung innovativer Geschäftsmodelle für sie wirtschaftlich zu schwierig machen würden, sollte die angemessene Vergütung für die Bereitstellung von Daten durch sie nicht die Kosten übersteigen, die direkt mit der Bereitstellung der Daten verbunden sind. Direkt damit verbundene Kosten sind die Kosten, die einzelnen Anfragen zugeordnet werden können, wobei zu berücksichtigen ist, dass die erforderlichen technischen Schnittstellen oder die entsprechende Software und Konnektivität vom Dateneigentümer dauerhaft eingerichtet werden müssen. Für gemeinnützige Forschungseinrichtungen sollte dasselbe Regime gelten.

(50) In begründeten Fällen, einschließlich, wenn die Verbraucherbeteiligung und der Wettbewerb geschützt oder Innovationen in bestimmten Märkten gefördert werden müssen, kann eine regulierte Vergütung für die Bereitstellung bestimmter Datentypen im Unionsrecht oder in nationalen Rechtsvorschriften, die nach dem Unionsrecht erlassen werden, vorgesehen werden.

(51) Transparenz ist ein wichtiges Prinzip, um sicherzustellen, dass die von einem Datengeber verlangte Vergütung angemessen ist oder, wenn der Datenempfänger ein KMU oder eine gemeinnützige Forschungseinrichtung ist, dass die Vergütung die direkten Kosten der Bereitstellung der Daten für den Datenempfänger nicht übersteigt und der einzelnen betreffenden Anfrage zurechenbar ist. Um die Datenempfänger in die Lage zu versetzen, die Einhaltung der Anforderungen dieser Verordnung durch die Vergütung zu beurteilen und zu überprüfen, sollte der Datengeber dem Datenempfänger hinreichend detaillierte Informationen für die Berechnung der Vergütung zur Verfügung stellen.

(52) Der Zugang zu alternativen Möglichkeiten zur Beilegung von Streitigkeiten, die bei der Bereitstellung von Daten im Einzelfall oder grenzüberschreitend entstehen, sollte sowohl den Datenbereitstellern als auch den Datenempfängern zugutekommen und somit das Vertrauen in die Datenweitergabe stärken. Können sich die Parteien nicht auf faire, angemessene und diskriminierungsfreie Bedingungen für die Datenbereitstellung einigen, sollten Streitbeilegungsstellen den Parteien eine einfache, schnelle und kostengünstige Lösung anbieten. Während diese Verordnung lediglich die Bedingungen festlegt, die Streitbeilegungsstellen erfüllen müssen, um zugelassen zu werden, steht es den Mitgliedstaaten frei, spezifische Regeln für das Zulassungsverfahren, einschließlich des Ablaufs oder Widerrufs der Zulassung, zu erlassen. Die Bestimmungen dieser Verordnung zur Streitbeilegung sollten die Mitgliedstaaten nicht dazu verpflichten, Streitbeilegungsstellen einzurichten.

(53) Das Streitbeilegungsverfahren nach dieser Verordnung ist ein freiwilliges Verfahren, das es Nutzern, Datengebern und Datenempfängern ermöglicht, sich darauf zu einigen, ihre Streitigkeiten vor Streitbeilegungsstellen zu bringen. Daher sollten die Parteien frei sein, sich an eine von ihnen gewählte Streitbeilegungsstelle zu wenden, sei es innerhalb oder außerhalb der Mitgliedstaaten, in denen diese Parteien niedergelassen sind.

Um Fälle zu vermeiden, in denen zwei oder mehr Streitbeilegungsgremien mit demselben Streitfall befasst sind, insbesondere in grenzüberschreitenden Situationen, sollte ein Streitbeilegungsgremium die Annahme eines Antrags auf Beilegung eines Rechtsstreits, der bereits bei einem anderen Streitbeilegungsgremium oder vor einem Gericht eines Mitgliedstaats anhängig ist, ablehnen können.

Um die einheitliche Anwendung dieser Verordnung zu gewährleisten, sollten die Streitbeilegungsstellen die von der Kommission zu entwickelnden und zu empfehlenden unverbindlichen Mustervertragsbedingungen sowie unions- oder nationalrechtliche Vorschriften, die die Datenweitergabe regeln, oder sektorale Leitlinien zur Anwendung solcher Vorschriften berücksichtigen.

(56) Parteien von Streitbeilegungsverfahren sollten nicht daran gehindert werden, ihre Grundrechte auf wirksame Rechtsmittel und ein faires Verfahren auszuüben. Daher sollte die Entscheidung, eine Streitigkeit einem Streitbeilegungsorgan vorzulegen, diese Parteien nicht ihres Rechts berauben, vor einem Gericht oder Tribunal eines Mitgliedstaats Abhilfe zu suchen. Streitbeilegungsorgane sollten Jahresberichte über ihre Tätigkeiten öffentlich zugänglich machen.

(57) Dateninhaber können geeignete technische Schutzmaßnahmen ergreifen, um die unrechtmäßige Offenlegung oder den unrechtmäßigen Zugriff auf Daten zu verhindern. Diese Maßnahmen dürfen jedoch weder eine Diskriminierung zwischen Datenempfängern darstellen noch den Zugang zu oder die Nutzung von Daten für Nutzer oder Datenempfänger behindern. Bei missbräuchlichem Verhalten eines Datenempfängers, wie z. B. durch Irreführung des Dateninhabers mittels falscher Angaben mit der Absicht, die Daten für unrechtmäßige Zwecke zu nutzen, einschließlich der Entwicklung eines konkurrierenden vernetzten Produkts auf der Grundlage der Daten, kann der Dateninhaber und gegebenenfalls der Inhaber eines Geschäftsgeheimnisses oder der Nutzer, sofern er nicht dieselbe Person ist, vom Dritten oder Datenempfänger verlangen, ohne ungerechtfertigte Verzögerung Korrektur- oder Abhilfemaßnahmen zu ergreifen. Solche Aufforderungen, insbesondere Aufforderungen zur Beendigung der Herstellung, des Angebots oder des Inverkehrbringens von Waren, abgeleiteten Daten oder Dienstleistungen sowie zur Beendigung der Einfuhr, Ausfuhr oder Lagerung von rechtsverletzenden Waren oder deren Vernichtung, sind unter Berücksichtigung der Verhältnismäßigkeit im Verhältnis zu den Interessen des Dateninhabers, des Inhabers des Geschäftsgeheimnisses oder des Nutzers zu prüfen.

(58) Befindet sich eine Partei in einer stärkeren Verhandlungsposition, besteht die Gefahr, dass diese Partei diese Position bei Verhandlungen über den Datenzugang zum Nachteil der anderen Vertragspartei ausnutzt, was dazu führt, dass der Datenzugang wirtschaftlich weniger rentabel und mitunter unerschwinglich wird. Solche vertraglichen Ungleichgewichte schaden allen Unternehmen, die nicht in der Lage sind, die Bedingungen für den Datenzugang sinnvoll auszuhandeln, und denen möglicherweise keine andere Wahl bleibt, als „Take-it-or-leave-it“-Vertragsbedingungen zu akzeptieren. Daher sollten unfaire Vertragsbedingungen, die den Zugang zu und die Nutzung von Daten oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Verpflichtungen regeln, für Unternehmen nicht bindend sein, wenn diese Bedingungen den Unternehmen einseitig auferlegt wurden.

(59) Die Regeln für Vertragsbedingungen sollten das Prinzip der Vertragsfreiheit als wesentliches Konzept in Geschäftsbeziehungen zwischen Unternehmen berücksichtigen. Daher sollten nicht alle Vertragsbedingungen einer Unangemessenheitsprüfung unterzogen werden, sondern nur solche Bedingungen, die einseitig auferlegt werden. Dies betrifft Situationen des "Nimm es oder lass es", in denen eine Partei eine bestimmte Vertragsbedingung vorgibt und das andere Unternehmen den Inhalt dieser Bedingung trotz Verhandlungsversuchen nicht beeinflussen kann. Eine Vertragsbedingung, die von einer Partei lediglich gestellt und von dem anderen Unternehmen akzeptiert wird, oder eine Bedingung, die ausgehandelt und anschließend in geänderter Form zwischen den Vertragsparteien vereinbart wird, sollte nicht als einseitig auferlegt gelten.

Darüber hinaus sollten die Regeln für missbräuchliche Vertragsbestimmungen nur für die Teile eines Vertrags gelten, die sich auf die Bereitstellung von Daten beziehen, d. h. für Vertragsbestimmungen über den Zugang zu und die Nutzung der Daten sowie über Haftung oder Rechtsbehelfe bei Verletzung und Kündigung von datenbezogenen Verpflichtungen. Andere Teile desselben Vertrags, die nicht mit der Bereitstellung von Daten zusammenhängen, sollten dem in dieser Verordnung festgelegten Missbräuchlichkeitsrecht nicht unterliegen.

(61) Kriterien zur Identifizierung von unlauteren Vertragsklauseln sollten nur auf übermäßige Vertragsklauseln angewendet werden, bei denen eine stärkere Verhandlungsposition missbraucht wurde. Die überwiegende Mehrheit der Vertragsklauseln, die für eine Partei kommerziell günstiger sind als für die andere, einschließlich derjenigen, die im Geschäftsverkehr zwischen Unternehmen üblich sind, sind ein normaler Ausdruck des Prinzips der Vertragsfreiheit und bleiben weiterhin anwendbar. Im Sinne dieser Verordnung würde eine grobe Abweichung von den guten Geschäftspraktiken unter anderem die objektive Beeinträchtigung der Fähigkeit der Partei, der die Klausel einseitig auferlegt wurde, ihre legitimen kommerziellen Interessen an den betreffenden Daten zu schützen, umfassen.

(62) Zur Gewährleistung der Rechtssicherheit legt diese Verordnung eine Liste von Klauseln fest, die stets als missbräuchlich gelten, und eine Liste von Klauseln, die als missbräuchlich vermutet werden. Im letzteren Fall sollte das Unternehmen, das die Vertragsklausel auferlegt, die Vermutung der Missbräuchlichkeit entkräften können, indem es nachweist, dass die in dieser Verordnung aufgeführte Vertragsklausel im konkreten Einzelfall nicht missbräuchlich ist. Wenn eine Vertragsklausel weder in der Liste der stets als missbräuchlich geltenden Klauseln noch in der Liste der als missbräuchlich vermuteten Klauseln aufgeführt ist, kommt die allgemeine Missbräuchlichkeitsklausel zur Anwendung. In diesem Zusammenhang sollten die in dieser Verordnung als missbräuchliche Vertragsklauseln aufgeführten Klauseln als Maßstab für die Auslegung der allgemeinen Missbräuchlichkeitsklausel dienen. Schließlich können die von der Kommission zu entwickelnden und zu empfehlenden unverbindlichen Mustervertragsbedingungen für Verträge über die gemeinsame Nutzung von Daten zwischen Unternehmen für die kommerziellen Parteien bei Vertragsverhandlungen hilfreich sein. Wenn eine Vertragsklausel als missbräuchlich erklärt wird, sollte der betreffende Vertrag mit Ausnahme der missbräuchlichen Vertragsklausel weiterhin gelten, es sei denn, die missbräuchliche Vertragsklausel ist mit den übrigen Vertragsbestandteilen nicht trennbar.

(63) In Ausnahmefällen kann es für öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Unionsorgane erforderlich sein, bei der Erfüllung ihrer gesetzlichen Aufgaben im öffentlichen Interesse auf vorhandene Daten, gegebenenfalls einschließlich der begleitenden Metadaten, zurückzugreifen, um auf öffentliche Notstände oder in anderen au-ßergewöhnlichen Fällen zu reagieren. Außergewöhnliche Notwendigkeiten sind unvorhersehbare und zeitlich begrenzte Umstände im Gegensatz zu anderen Umständen, die geplant, terminiert, periodisch oder häufig auftreten können. Während der Begriff ‘Dateneigentümer’ in der Regel keine öffentlichen Stellen umfasst, können öffentliche Unternehmen darunter fallen. Forschungsorganisationen und Forschungsförderorganisationen könnten ebenfalls als öffentliche Stellen oder Einrichtungen des öffentlichen Rechts organisiert sein. Um die Belastung von Unternehmen zu begrenzen, sollten Kleinst- und Kleinunternehmen nur in Ausnahmefällen zur Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Unionsorgane verpflichtet sein, wenn solche Daten zur Reaktion auf einen öffentlichen Notstand benötigt werden und die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder das Unionsorgan nicht in der Lage ist, solche Daten auf andere Weise zeitnah und wirksam zu gleichwertigen Bedingungen zu beschaffen.

(64) Im Falle von Notfällen der öffentlichen Sicherheit, wie z. B. Notfällen im Bereich der öffentlichen Gesundheit, Notfällen aufgrund von Naturkatastrophen, einschließlich solcher, die durch den Klimawandel und die Umweltzerstörung verschärft werden, sowie von Menschen verursachten Großkatastrophen, wie z. B. schwerwiegenden Cyber-Sicherheitsvorfällen, überwiegt das öffentliche Interesse an der Nutzung der Daten die Interessen der Dateneigentümer an der freien Verfügung über die von ihnen gehaltenen Daten. In einem solchen Fall sollten die Dateneigentümer verpflichtet werden, die Daten auf Anfrage öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Unionsorganen zur Verfügung zu stellen. Das Vorliegen eines Notfalls der öffentlichen Sicherheit sollte gemäß Unions- oder nationalem Recht und auf der Grundlage relevanter Verfahren, einschließlich derjenigen relevanter internationaler Organisationen, ermittelt oder erklärt werden. In solchen Fällen sollte die öffentliche Stelle nachweisen, dass die Daten, auf die sich die Aufforderung bezieht, nicht auf andere Weise rechtzeitig und wirksam und zu gleichwertigen Bedingungen beschafft werden könnten, zum Beispiel durch die freiwillige Bereitstellung von Daten durch ein anderes Unternehmen oder die Konsultation einer öffentlichen Datenbank.

(65) Ein außergewöhnlicher Bedarf kann sich auch aus nicht dringenden Situationen ergeben. In solchen Fällen sollte einem öffentlichen Auftraggeber, der Kommission, der Europäischen Zentralbank oder einem Unionsorgan gestattet werden, nur nicht personenbezogene Daten anzufordern. Der öffentliche Auftraggeber sollte nachweisen, dass die Daten für die Erfüllung einer bestimmten, gesetzlich ausdrücklich vorgesehenen Aufgabe im öffentlichen Interesse erforderlich sind, wie z. B. die Erstellung von amtlichen Statistiken oder die Bewältigung einer öffentlichen Notlage oder die Erholung davon. Darüber hinaus kann eine solche Aufforderung nur dann erfolgen, wenn der öffentliche Auftraggeber, die Kommission, die Europäische Zentralbank oder ein Unionsorgan spezifische Daten identifiziert hat, die sonst nicht rechtzeitig und wirksam unter gleichwertigen Bedingungen beschafft werden könnten, und nur, wenn alle anderen ihm zur Verfügung stehenden Mittel zur Beschaffung dieser Daten ausgeschöpft wurden, wie z. B. die Beschaffung der Daten durch freiwillige Vereinbarungen, einschließlich des Kaufs nicht personenbezogener Daten auf dem Markt zu Marktpreisen, oder durch Rückgriff auf bestehende Verpflichtungen zur Bereitstellung von Daten oder die Verabschiedung neuer Gesetzesmaßnahmen, die die rechtzeitige Verfügbarkeit von Daten gewährleisten könnten. Die für Anfragen geltenden Bedingungen und Grundsätze, wie z. B. Zweckbindung, Verhältnismäßigkeit, Transparenz und Zeitbegrenzung, sollten ebenfalls gelten. Bei Anfragen nach Daten, die für die Erstellung von amtlichen Statistiken erforderlich sind, sollte der anfragende öffentliche Auftraggeber ferner nachweisen, ob das nationale Recht den Kauf nicht personenbezogener Daten auf dem Markt gestattet.

(66) Diese Verordnung sollte für freiwillige Vereinbarungen über den Datenaustausch zwischen privaten und öffentlichen Einrichtungen, einschließlich der Bereitstellung von Daten durch KMU, nicht gelten und diese nicht verdrängen und erstreckt sich unbeschadet von Rechtsakten der Union, die obligatorische Informationsanfragen von öffentlichen Einrichtungen an private Einrichtungen vorsehen. Verpflichtungen für Dateninhaber zur Bereitstellung von Daten, die aus Gründen, die keiner Ausnahmesituation bedürfen, insbesondere wenn die Bandbreite der Daten und der Dateninhaber bekannt ist oder wenn die Datennutzung regelmäßig erfolgen kann, wie im Fall von Meldepflichten und Verpflichtungen im Binnenmarkt, erfolgen, sollten von dieser Verordnung unberührt bleiben. Anforderungen an den Datenzugang zur Überprüfung der Einhaltung geltender Vorschriften, auch wenn Sektoren der öffentlichen Hand die Aufgabe der Überprüfung der Einhaltung an andere Sektoren als die öffentliche Hand übertragen, sollten ebenfalls von dieser Verordnung unberührt bleiben.

(67) Diese Verordnung ergänzt das Unionsrecht und das innerstaatliche Recht, das den Zugang zu und die Nutzung von Daten für statistische Zwecke regelt, und berührt diese nicht, insbesondere die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates (27) sowie innerstaatliche Rechtsakte im Zusammenhang mit der amtlichen Statistik.

(68) Für die Ausübung ihrer Aufgaben in den Bereichen Prävention, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Vollstreckung von straf- und bußrechtlichen Sanktionen, sowie für die Erhebung von Daten zu steuerlichen oder zollrechtlichen Zwecken sollten die Stellen des öffentlichen Sektors, die Kommission, die Europäische Zentralbank oder die Unionsorgane auf ihre Befugnisse nach Unionsrecht oder einzelstaatlichem Recht zurückgreifen. Diese Verordnung berührt somit nicht die Rechtsakte über die Weitergabe, den Zugang zu und die Nutzung von Daten in diesen Bereichen.

(69) Gemäß Artikel 6 Absätze 1 und 3 der Verordnung (EU) 2016/679 ist ein verhältnismäßiger, begrenzter und vorhersehbarer Rahmen auf Unionsebene erforderlich, wenn die Rechtsgrundlage für die Bereitstellung von Daten durch Dateninhaber in Ausnahmefällen an öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Organe der Union geschaffen wird, um sowohl Rechtssicherheit zu gewährleisten als auch den Verwaltungsaufwand für Unternehmen so gering wie möglich zu halten. Zu diesem Zweck sollten Datenanfragen von Stellen des öffentlichen Sektors, der Kommission, der Europäischen Zentralbank oder von Unionsorganen an Dateninhaber in Bezug auf ihren Umfang, ihren Inhalt und ihre Detailgenauigkeit konkret, transparent und verhältnismäßig sein. Der Zweck der Anfrage und die beabsichtigte Verwendung der angeforderten Daten sollten konkret und klar dargelegt werden, wobei der anfragenden Stelle angemessene Flexibilität eingeräumt werden sollte, damit sie ihre spezifischen Aufgaben im öffentlichen Interesse erfüllen kann. Die Anfrage sollte auch die berechtigten Interessen des Dateninhabers, an den die Anfrage gerichtet ist, wahren. Die Belastung der Dateninhaber sollte minimiert werden, indem die anfragenden Stellen verpflichtet werden, den Grundsatz der einmaligen Erhebung zu beachten, der verhindert, dass dieselben Daten mehr als einmal von mehr als einer Stelle des öffentlichen Sektors oder der Kommission, der Europäischen Zentralbank oder von Unionsorganen angefordert werden. Um Transparenz zu gewährleisten, sollten Datenanfragen der Kommission, der Europäischen Zentralbank oder von Unionsorganen von der anfragenden Stelle unverzüglich veröffentlicht werden. Die Europäische Zentralbank und die Unionsorgane sollten die Kommission über ihre Anfragen unterrichten. Wurde die Datenanfrage von einer Stelle des öffentlichen Sektors gestellt, sollte diese Stelle auch den Datenkoordinator des Mitgliedstaats benachrichtigen, in dem die Stelle des öffentlichen Sektors ihren Sitz hat. Die öffentliche Online-Verfügbarkeit aller Anträge sollte gewährleistet werden. Nach Erhalt einer Mitteilung über einen Datenantrag kann die zuständige Behörde beschließen, die Rechtmäßigkeit des Antrags zu prüfen und ihre Aufgaben im Zusammenhang mit der Durchsetzung und Anwendung dieser Verordnung wahrzunehmen. Die öffentliche Online-Verfügbarkeit aller von öffentlichen Stellen gestellten Anträge sollte durch den Datenkoordinator gewährleistet werden.

(70) Ziel der Datenbereitstellungsverpflichtung ist es, dafür zu sorgen, dass die Stellen des öffentlichen Sektors, die Kommission, die Europäische Zentralbank oder Unionsorgane die für die Bewältigung, Verhinderung oder Bewältigung von Notfällen im öffentlichen Interesse oder zur Aufrechterhaltung ihrer Fähigkeit, gesetzlich ausdrücklich vorgesehene spezifische Aufgaben zu erfüllen, erforderlichen Kenntnisse verfügen. Die von diesen Einrichtungen gewonnenen Daten können geschäftskritische Informationen enthalten. Daher sollten weder die Verordnung (EU) 2022/868 noch die Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates (28) auf Daten angewendet werden, die im Rahmen dieser Verordnung zur Verfügung gestellt werden, und diese Daten sollten nicht als offene Daten für die Wiederverwendung durch Dritte betrachtet werden. Dies sollte jedoch die Anwendbarkeit der Richtlinie (EU) 2019/1024 auf die Wiederverwendung amtlicher Statistiken, für deren Erstellung Daten gemäß dieser Verordnung verwendet wurden, unberührt lassen, sofern die Wiederverwendung nicht die zugrunde liegenden Daten umfasst. Darüber hinaus sollte, sofern die in dieser Verordnung festgelegten Bedingungen erfüllt sind, die Möglichkeit, Daten für Forschungszwecke oder für die Entwicklung, Produktion und Verbreitung amtlicher Statistiken auszutauschen, unberührt bleiben. Die Stellen des öffentlichen Sektors sollten auch die Möglichkeit haben, Daten, die gemäß dieser Verordnung gewonnen werden, mit anderen Stellen des öffentlichen Sektors, der Kommission, der Europäischen Zentralbank oder Unionsorganen auszutauschen, um außergewöhnlichen Bedarf zu decken, für den die Daten angefordert wurden.

(71) Dateninhaber sollten die Möglichkeit haben, einer Aufforderung einer Behörde, der Kommission, der Europäischen Zentralbank oder einem Unionsorgan entweder unverzüglich oder in jedem Fall innerhalb von höchstens fünf oder 30 Arbeitstagen, je nach Art des in der Aufforderung geltend gemachten Ausnahmefalls, abzulehnen oder deren Änderung zu verlangen. Soweit einschlägig, sollte der Dateninhaber diese Möglichkeit haben, wenn er keine Kontrolle über die angeforderten Daten hat, insbesondere wenn er keinen sofortigen Zugriff auf die Daten hat und deren Verfügbarkeit nicht feststellen kann. Ein gültiger Grund, die Daten nicht zur Verfügung zu stellen, sollte vorliegen, wenn nachgewiesen werden kann, dass die Aufforderung einer zuvor von einer anderen Behörde, der Kommission, der Europäischen Zentralbank oder einem Unionsorgan für denselben Zweck gestellten Aufforderung ähnelt und der Dateninhaber nicht über die Löschung der Daten gemäß dieser Verordnung informiert wurde. Ein Dateninhaber, der die Aufforderung ablehnt oder deren Änderung verlangt, sollte dem erhebenden Organ, der Kommission, der Europäischen Zentralbank oder dem Unionsorgan die zugrunde liegende Begründung mitteilen. Wenn die sui-generis-Datenbankrechte gemäß der Richtlinie 96/9/EG des Europäischen Parlaments und des Rates (29) in Bezug auf die angeforderten Datensätze gelten, sollten die Dateninhaber ihre Rechte so ausüben, dass die Behörde, die Kommission, die Europäische Zentralbank oder das Unionsorgan nicht daran gehindert wird, die Daten gemäß dieser Verordnung zu erhalten oder weiterzugeben.

(72) Bei einem außergewöhnlichen Bedarf im Zusammenhang mit einer Notfallreaktion des öffentlichen Sektors sollten öffentliche Stellen nach Möglichkeit nicht personenbezogene Daten verwenden. Bei Anfragen aufgrund eines außergewöhnlichen Bedarfs, der nicht mit einer Notfallreaktion des öffentlichen Sektors zusammenhängt, dürfen keine personenbezogenen Daten angefordert werden. Wenn personenbezogene Daten in den Geltungsbereich der Anfrage fallen, sollte der Datenspeicher die Daten anonymisieren. Wenn es absolut notwendig ist, personenbezogene Daten in die an eine Stelle des öffentlichen Sektors, die Kommission, die Europäische Zentralbank oder eine Unionsinstitution zu übermittelnden Daten aufzunehmen oder wenn eine Anonymisierung unmöglich ist, sollte die die Daten anfordernde Stelle die absolute Notwendigkeit sowie die spezifischen und begrenzten Zwecke der Verarbeitung darlegen. Die geltenden Regeln zum Schutz personenbezogener Daten sind einzuhalten. Die Bereitstellung der Daten und ihre anschließende Verwendung sollten von Garantien für die Rechte und Interessen der von diesen Daten betroffenen Personen begleitet sein.

(73) Daten, die öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Organen der Union aufgrund eines außergewöhnlichen Bedarfs zur Verfügung gestellt werden, sollten nur für die Zwecke verwendet werden, für die sie angefordert wurden, es sei denn, der Dateninhaber, der die Daten zur Verfügung gestellt hat, hat der Verwendung der Daten für andere Zwecke ausdrücklich zugestimmt. Die Daten sollten gelöscht werden, sobald sie für die im Antrag genannten Zwecke nicht mehr erforderlich sind, sofern nichts anderes vereinbart wurde, und der Dateninhaber sollte darüber informiert werden. Diese Verordnung baut auf den bestehenden Zugangsregelungen in der Union und den Mitgliedstaaten auf und ändert nichts an den nationalen Rechtsvorschriften über den Zugang der Öffentlichkeit zu Dokumenten im Rahmen von Transparenzpflichten. Daten sollten gelöscht werden, sobald sie zur Erfüllung solcher Transparenzpflichten nicht mehr benötigt werden.

Bei der Wiederverwendung von Daten, die von Datengebern bereitgestellt werden, sollten öffentliche Einrichtungen, die Kommission, die Europäische Zentralbank oder Unionsorgane sowohl geltendes Unions- oder nationales Recht als auch vertragliche Verpflichtungen, denen der Datengeber unterliegt, beachten. Sie sollten davon absehen, ein verbundenes Produkt oder eine damit verbundene Dienstleistung zu entwickeln oder zu verbessern, die mit dem verbundenen Produkt oder der damit verbundenen Dienstleistung des Datengebers konkurrieren, sowie die Daten zu diesen Zwecken an einen Dritten weiterzugeben. Ebenso sollten sie auf Wunsch des Datengebers eine öffentliche Anerkennung aussprechen und für die Sicherheit der erhaltenen Daten verantwortlich sein. Wenn die Offenlegung von Geschäftsgeheimnissen des Datengebers gegenüber öffentlichen Einrichtungen, der Kommission, der Europäischen Zentralbank oder Unionsorganen zur Erfüllung des Zwecks, für den die Daten angefordert wurden, unbedingt erforderlich ist, sollte die Vertraulichkeit einer solchen Offenlegung vor der Offenlegung der Daten gewährleistet werden.

(75) Wenn die Gewährleistung eines wichtigen öffentlichen Interesses auf dem Spiel steht, wie zum Beispiel die Reaktion auf Notfälle, sind die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder die betroffene Stelle der Union nicht verpflichtet, Unternehmen für die erhaltenen Daten zu entschädigen. Öffentliche Notfälle sind seltene Ereignisse, und nicht alle diese Notfälle erfordern die Nutzung von Daten, die von Unternehmen gehalten werden. Gleichzeitig kann die Pflicht zur Bereitstellung von Daten eine erhebliche Belastung für Kleinstunternehmen und kleine Unternehmen darstellen. Für sie sollte daher auch im Rahmen der Reaktion auf öffentliche Notfälle eine Entschädigung gewährt werden. Die Geschäftstätigkeit der Dateninhaber wird daher voraussichtlich nicht negativ beeinträchtigt, wenn die öffentlichen Stellen, die Kommission, die Europäische Zentralbank oder die Stellen der Union diese Verordnung in Anspruch nehmen. Da jedoch andere Fälle eines außergewöhnlichen Bedarfs als Fälle der Reaktion auf öffentliche Notfälle häufiger vorkommen könnten, sollten die Dateninhaber in solchen Fällen Anspruch auf eine angemessene Entschädigung haben, die die für die Erfüllung der Anfrage angefallenen technischen und organisatorischen Kosten sowie die angemessene Marge für die Bereitstellung der Daten für die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder die Stelle der Union nicht übersteigen sollte. Die Entschädigung sollte nicht als Bezahlung für die Daten selbst oder als obligatorisch verstanden werden. Die Dateninhaber sollten keinen Anspruch auf Entschädigung haben, wenn nationale Rechtsvorschriften die Dateninhaber für die Bereitstellung von Daten für nationale statistische Institute oder andere für die Erstellung von Statistiken zuständige nationale Behörden nicht entschädigen. Die betreffende öffentliche Stelle, die Kommission, die Europäische Zentralbank oder die Stelle der Union sollte die vom Dateninhaber geforderte Höhe der Entschädigung anfechten können, indem sie die Angelegenheit der zuständigen Behörde des Mitgliedstaats vorlegt, in dem der Dateninhaber niedergelassen ist.

(76) Eine Stelle des öffentlichen Sektors, die Kommission, die Europäische Zentralbank oder eine Unionsinstitution sollte berechtigt sein, die im Rahmen einer Anfrage erhaltenen Daten mit anderen Stellen oder Personen zu teilen, wenn dies zur Durchführung von wissenschaftlichen Forschungsarbeiten oder analytischen Tätigkeiten erforderlich ist, die sie nicht selbst durchführen kann, vorausgesetzt, dass diese Tätigkeiten mit dem Zweck, zu dem die Daten angefordert wurden, vereinbar sind. Die Stelle sollte den Dateninhaber über eine solche Weitergabe rechtzeitig informieren. Solche Daten können unter denselben Umständen auch mit den nationalen statistischen Ämtern und Eurostat zur Entwicklung, Erstellung und Verbreitung amtlicher Statistiken geteilt werden. Solche Forschungsarbeiten sollten jedoch mit dem Zweck, zu dem die Daten angefordert wurden, vereinbar sein, und der Dateninhaber sollte über die weitere Weitergabe der von ihm bereitgestellten Daten informiert werden. Einzelpersonen, die Forschung betreiben, oder Forschungsorganisationen, mit denen diese Daten geteilt werden dürfen, sollten entweder auf nicht gewerblicher Basis oder im Rahmen eines vom Staat anerkannten gemeinwohlorientierten Auftrags tätig sein. Organisationen, auf die kommerzielle Unternehmen einen erheblichen Einfluss haben, der es diesen Unternehmen ermöglicht, aufgrund struktureller Gegebenheiten, die zu einem bevorzugten Zugang zu den Forschungsergebnissen führen könnten, die Kontrolle auszuüben, sollten für die Zwecke dieser Verordnung nicht als Forschungsorganisationen gelten.

(77) Um mit einem grenzüberschreitenden Notstand für den öffentlichen Sektor oder einem anderen außergewöhnlichen Bedarf umzugehen, können Datenanfragen an Dateninhaber in anderen Mitgliedstaaten als dem des anfragenden öffentlichen Sektors gerichtet werden. In einem solchen Fall sollte der anfragende öffentliche Sektor die zuständige Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, benachrichtigen, damit diese die Anfrage anhand der in dieser Verordnung festgelegten Kriterien prüfen kann. Dasselbe sollte für Anfragen der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union gelten. Werden personenbezogene Daten angefordert, sollte der öffentliche Sektor die Aufsichtsbehörde benachrichtigen, die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 in dem Mitgliedstaat zuständig ist, in dem der öffentliche Sektor niedergelassen ist. Die zuständige Behörde sollte berechtigt sein, den öffentlichen Sektor, die Kommission, die Europäische Zentralbank oder die Einrichtung der Union zu beraten, mit öffentlichen Sektoren des Mitgliedstaats zusammenzuarbeiten, in dem der Dateninhaber niedergelassen ist, um die Minimierung des administrativen Aufwands für den Dateninhaber zu gewährleisten. Wenn die zuständige Behörde begründete Einwände gegen die Übereinstimmung der Anfrage mit dieser Verordnung hat, sollte sie die Anfrage des öffentlichen Sektors, der Kommission, der Europäischen Zentralbank oder der Einrichtung der Union ablehnen, die diese Einwände berücksichtigen sollte, bevor weitere Maßnahmen ergriffen werden, einschließlich der erneuten Einreichung der Anfrage.

(78) Die Möglichkeit für Kunden von Datenverarbeitungsdiensten, einschließlich Cloud- und Edge-Diensten, von einem Datenverarbeitungsdienst zu einem anderen zu wechseln, während eine Mindestfunktionalität des Dienstes und ein unterbrechungsfreier Betrieb der Dienste aufrechterhalten werden, oder die Dienste mehrerer Anbieter gleichzeitig ohne unangemessene Hindernisse und ohne übermäßige Kosten für die Datenübertragung zu nutzen, ist eine Schlüsselbedingung für einen wettbewerbsfähigeren Markt mit niedrigeren Markteintrittsbarrieren für neue Anbieter von Datenverarbeitungsdiensten und für die Gewährleistung einer größeren Widerstandsfähigkeit für die Nutzer dieser Dienste. Kunden, die von kostenlosen Angeboten profitieren, sollten ebenfalls von den in dieser Verordnung festgelegten Bestimmungen zum Anbieterwechsel profitieren, damit diese Angebote nicht zu einer Koppelung von Kunden führen.

(79) Die Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates (30) ermutigt Anbieter von Datenverarbeitungsdiensten, sich selbst regulierende Verhaltenskodizes zu entwickeln und wirksam umzusetzen, die bewährte Verfahren unter anderem zur Erleichterung des Wechsels von Anbietern von Datenverarbeitungsdiensten und zur Übernahme von Daten abdecken. Angesichts der begrenzten Akzeptanz der als Reaktion darauf entwickelten sich selbst regulierenden Rahmenwerke und der allgemeinen Nichtverfügbarkeit offener Standards und Schnittstellen ist es notwendig, eine Reihe von minimalen regulatorischen Verpflichtungen für Anbieter von Datenverarbeitungsdiensten einzuführen, um präkommerzielle, kommerzielle, technische, vertragliche und organisatorische Hürden zu beseitigen, die nicht auf eine langsame Datenübertragungsgeschwindigkeit beim Ausscheiden des Kunden beschränkt sind und die einen effektiven Wechsel zwischen Datenverarbeitungsdiensten behindern.

(80) Datenverarbeitungsdienste sollten Dienste umfassen, die einen allgegenwärtigen und bedarfsorientierten Netzwerkzugang zu einem konfigurierbaren, skalierbaren und elastischen gemeinsamen Pool verteilter Rechenressourcen ermöglichen. Zu diesen Rechenressourcen gehören Ressourcen wie Netzwerke, Server oder sonstige virtuelle oder physische Infrastruktur, Software – einschließlich Software-Entwicklungswerkzeugen –, Speicher, Anwendungen und Dienste. Die Fähigkeit des Kunden des Datenverarbeitungsdienstes, Rechenkapazitäten wie Serverzeit oder Netzwerkspeicher einseitig und ohne jegliche menschliche Interaktion seitens des Anbieters von Datenverarbeitungsdiensten selbst bereitzustellen, könnte als minimaler Verwaltungsaufwand und als minimale Interaktion zwischen Anbieter und Kunde beschrieben werden. Der Begriff ‘allgegenwärtig’ wird verwendet, um die Rechenkapazitäten zu beschreiben, die über das Netzwerk bereitgestellt werden und auf die über Mechanismen zugegriffen wird, die die Nutzung heterogener Thin- oder Thick-Client-Plattformen (von Webbrowsern bis hin zu mobilen Geräten und Workstations) fördern. Der Begriff ‘skalierbar’ bezieht sich auf Rechenressourcen, die vom Anbieter von Datenverarbeitungsdiensten unabhängig vom geografischen Standort der Ressourcen flexibel zugewiesen werden, um Nachfrageschwankungen zu bewältigen. Der Begriff ‘elastisch’ wird verwendet, um jene Rechenressourcen zu beschreiben, die je nach Bedarf bereitgestellt und freigegeben werden, um die verfügbaren Ressourcen je nach Arbeitslast schnell zu erhöhen oder zu verringern. Der Begriff ‘gemeinsamer Pool’ beschreibt jene Rechenressourcen, die mehreren Nutzern bereitgestellt werden, die sich einen gemeinsamen Zugang zum Dienst teilen, wobei die Verarbeitung jedoch für jeden Nutzer separat erfolgt, obwohl der Dienst von derselben elektronischen Ausrüstung bereitgestellt wird. Der Begriff ‘verteilt’ beschreibt jene Rechenressourcen, die sich auf verschiedenen vernetzten Computern oder Geräten befinden und untereinander durch Nachrichtenübermittlung kommunizieren und koordinieren. Der Begriff ‘hochgradig verteilt’ wird verwendet, um Datenverarbeitungsdienste zu beschreiben, bei denen die Datenverarbeitung näher an dem Ort erfolgt, an dem die Daten erzeugt oder gesammelt werden, beispielsweise in einem vernetzten Datenverarbeitungsgerät. Edge-Computing, eine Form dieser hochgradig verteilten Datenverarbeitung, wird voraussichtlich neue Geschäftsmodelle und Modelle für die Bereitstellung von Cloud-Diensten hervorbringen, die von Anfang an offen und interoperabel sein sollten.

(81) Das generische Konzept ‘Datenverarbeitungsdienste’ umfasst eine beträchtliche Anzahl von Diensten mit einem sehr breiten Spektrum an unterschiedlichen Zwecken, Funktionalitäten und technischen Konfigurationen. Wie von Anbietern und Nutzern allgemein verstanden und im Einklang mit weit verbreiteten Standards, fallen Datenverarbeitungsdienste in eines oder mehrere der folgenden drei Liefermodelle für Datenverarbeitungsdienste, nämlich Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Diese Liefermodelle für Datenverarbeitungsdienste stellen eine spezifische, vorverpackte Kombination von IKT-Ressourcen dar, die von einem Anbieter von Datenverarbeitungsdiensten angeboten werden. Diese drei grundlegenden Liefermodelle für Datenverarbeitung werden durch aufkommende Variationen ergänzt, die jeweils aus einer eindeutigen Kombination von IKT-Ressourcen bestehen, wie z. B. Storage as a Service und Database as a Service. Datenverarbeitungsdienste können feiner granularisiert und in eine nicht erschöpfende Liste von Gruppen von Datenverarbeitungsdiensten eingeteilt werden, die das gleiche primäre Ziel und die gleichen Hauptfunktionalitäten sowie den gleichen Typ von Datenverarbeitungsmodellen teilen, die nicht mit den operativen Merkmalen des Dienstes (gleicher Diensttyp) zusammenhängen. Dienste, die unter denselben Diensttyp fallen, können dasselbe Datenverarbeitungsdienstmodell teilen; zwei Datenbanken mögen jedoch dasselbe primäre Ziel zu haben scheinen, aber nach Berücksichtigung ihres Datenverarbeitungsmodells, ihres Verteilungsmodells und der Anwendungsfälle, auf die sie abzielen, könnten solche Datenbanken in eine feiner granulierte Unterkategorie ähnlicher Dienste fallen. Dienste desselben Diensttyps können unterschiedliche und konkurrierende Merkmale wie Leistung, Sicherheit, Ausfallsicherheit und Dienstqualität aufweisen.

(82) Die Beeinträchtigung der Extraktion der exportierbaren Daten des Kunden vom ursprünglichen Anbieter von Datenverarbeitungsdiensten kann die Wiederherstellung der Dienstfunktionalitäten in der Infrastruktur des Zielanbieters von Datenverarbeitungsdiensten behindern. Um die Austrittsstrategie des Kunden zu erleichtern, unnötige und belastende Aufgaben zu vermeiden und sicherzustellen, dass der Kunde während des Anbieterwechsels keine Daten verliert, sollte der ursprüngliche Anbieter von Datenverarbeitungsdiensten den Kunden im Voraus über den Umfang der exportierbaren Daten informieren, sobald der Kunde beschließt, zu einem anderen Dienst eines anderen Anbieters von Datenverarbeitungsdiensten zu wechseln oder zu einer On-Premises-Informations- und Kommunikationstechnologie (IKT)-Infrastruktur zu wechseln. Der Umfang der exportierbaren Daten sollte mindestens Eingabe- und Ausgabedaten, einschließlich Metadaten, umfassen, die direkt oder indirekt durch die Nutzung des Datenverarbeitungsdienstes durch den Kunden generiert oder mitgeneriert wurden. Ausgenommen sind Vermögenswerte oder Daten des Anbieters von Datenverarbeitungsdiensten oder Dritter. Die exportierbaren Daten sollten keine Vermögenswerte oder Daten des Anbieters von Datenverarbeitungsdiensten oder Dritter ausschließen, die durch geistige Eigentumsrechte geschützt sind oder Geschäftsgeheimnisse dieses Anbieters oder des Dritten darstellen, oder Daten im Zusammenhang mit der Integrität und Sicherheit des Dienstes, deren Export die Anbieter von Datenverarbeitungsdiensten Angriffe auf die Cybersicherheit aussetzen würde. Diese Ausnahmen sollten den Wechselprozess nicht behindern oder verzögern.

(83) Digitale Assets im Sinne dieser Bestimmung sind Elemente in digitaler Form, über die der Kunde ein Nutzungsrecht besitzt. Dazu zählen Anwendungen und Metadaten im Zusammenhang mit der Konfiguration von Einstellungen, Sicherheit, Zugriffs- und Rechteverwaltung sowie weitere Elemente wie Manifestationen von Virtualisierungstechnologien, einschließlich virtueller Maschinen und Container. Digitale Assets können übertragen werden, wenn der Kunde über ein Nutzungsrecht verfügt, das unabhängig von der vertraglichen Beziehung mit dem Anbieter von Datenverarbeitungsdiensten ist, von dem er wechseln möchte. Diese weiteren Elemente sind für die effektive Nutzung der Daten und Anwendungen des Kunden in der Umgebung des Zielanbieters von Datenverarbeitungsdiensten wesentlich.

(84) Diese Verordnung zielt darauf ab, den Wechsel zwischen Datenverarbeitungsdiensten zu erleichtern. Dies umfasst die Bedingungen und Handlungen, die für einen Kunden erforderlich sind, um einen Vertrag über einen Datenverarbeitungsdienst zu beenden, einen oder mehrere neue Verträge mit anderen Anbietern von Datenverarbeitungsdiensten abzuschließen, seine exportierbaren Daten und digitalen Vermögenswerte zu portieren und gegebenenfalls von funktionaler Gleichwertigkeit zu profitieren.

(85) Der Anbieterwechsel ist ein vom Kunden initiierter Vorgang, der mehrere Schritte umfasst, darunter die Datenextraktion, d. h. das Herunterladen von Daten aus dem Ökosystem des ursprünglichen Anbieters von Datenverarbeitungsdiensten; die Transformation, bei der die Daten so strukturiert werden, dass sie nicht mehr dem Schema des Zielortes entsprechen; sowie das Hochladen der Daten an einen neuen Zielort. In einer in dieser Verordnung beschriebenen spezifischen Situation sollte auch die Entbündelung eines bestimmten Dienstes aus dem Vertrag und dessen Wechsel zu einem anderen Anbieter als Wechsel betrachtet werden. Der Wechselprozess wird manchmal im Auftrag des Kunden von einem Dritten verwaltet. Dementsprechend sind alle in dieser Verordnung festgelegten Rechte und Pflichten des Kunden, einschließlich der Verpflichtung zur Zusammenarbeit nach Treu und Glauben, unter diesen Umständen auch auf einen solchen Dritten anzuwenden. Anbieter von Datenverarbeitungsdiensten und Kunden haben je nach den Schritten des genannten Prozesses unterschiedliche Verantwortungsbereiche. So ist beispielsweise der ursprüngliche Anbieter von Datenverarbeitungsdiensten dafür verantwortlich, die Daten in ein maschinenlesbares Format zu extrahieren, doch sind es der Kunde und der neue Anbieter von Datenverarbeitungsdiensten, die die Daten in die neue Umgebung hochladen müssen, es sei denn, es wurde ein spezieller professioneller Übergangsdienst in Anspruch genommen. Ein Kunde, der beabsichtigt, die in dieser Verordnung vorgesehenen Rechte im Zusammenhang mit dem Wechsel auszuüben, sollte den ursprünglichen Anbieter von Datenverarbeitungsdiensten über die Entscheidung informieren, entweder zu einem anderen Anbieter von Datenverarbeitungsdiensten zu wechseln, auf eine lokale IKT-Infrastruktur umzusteigen oder die Vermögenswerte dieses Kunden zu löschen und seine exportierbaren Daten zu vernichten.

(86) Funktionale Äquivalenz bedeutet die Wiederherstellung, auf der Grundlage der exportierbaren Daten und digitalen Vermögenswerte des Kunden, eines Mindestfunktionsniveaus in der Umgebung eines neuen Datenverarbeitungsdienstes desselben Diensttyps nach dem Wechsel, wobei der Ziel-Datenverarbeitungsdienst ein materiell vergleichbares Ergebnis als Reaktion auf dieselbe Eingabe für gemeinsame Funktionen liefert, die dem Kunden im Rahmen des Vertrags zur Verfügung gestellt werden. Von Anbietern von Datenverarbeitungsdiensten kann nur erwartet werden, dass sie die funktionale Äquivalenz für die Funktionen erleichtern, die sowohl der Quell- als auch der Ziel-Datenverarbeitungsdienst unabhängig voneinander anbieten. Diese Verordnung begründet keine Verpflichtung zur Ermöglichung funktionaler Äquivalenz für Anbieter von Datenverarbeitungsdiensten, die keine Dienste des IaaS-Liefermodells anbieten.

(87) Die Verarbeitungsdienste für Daten werden branchenübergreifend eingesetzt und variieren in Bezug auf Komplexität und Dienstleistungstyp. Dies ist ein wichtiger Gesichtspunkt im Hinblick auf den Portierungsprozess und die Zeitfenster. Dennoch sollte eine Verlängerung der Übergangsfrist aus technischen Gründen in höchstem Maße begründeten Fällen in Anspruch genommen werden, um die Fertigstellung des Wechselprozesses im gegebenen Zeitrahmen zu ermöglichen. Die Beweislast dafür sollte vollständig bei dem Anbieter des betreffenden Datenverarbeitungsdienstes liegen. Dies gilt unbeschadet des ausschließlichen Rechts des Kunden, die Übergangsfrist einmalig um einen Zeitraum zu verlängern, den der Kunde für seine eigenen Zwecke als geeigneter erachtet. Der Kunde kann dieses Recht auf Verlängerung vor oder während der Übergangsfrist geltend machen, wobei zu berücksichtigen ist, dass der Vertrag während der Übergangsfrist weiterhin gilt.

(88) Wechselgebühren sind Gebühren, die von Anbietern von Datenverarbeitungsdiensten den Kunden für den Wechselprozess auferlegt werden. Typischerweise sollen diese Gebühren Kosten decken, die dem ursprünglichen Anbieter von Datenverarbeitungsdiensten aufgrund des Wechselprozesses entstehen können, und diese Kosten an den Kunden weitergeben, der wechseln möchte. Gängige Beispiele für Wechselgebühren sind Kosten im Zusammenhang mit der Übertragung von Daten von einem Anbieter von Datenverarbeitungsdiensten zu einem anderen oder zu einer lokalen ICT-Infrastruktur (Daten-Ausstiegsgebühren) oder Kosten für spezifische Unterstützungshandlungen während des Wechselprozesses. Unnötig hohe Daten-Ausstiegsgebühren und andere ungerechtfertigte Gebühren, die nicht mit tatsächlichen Wechselkosten zusammenhängen, hindern Kunden am Wechsel, schränken den freien Datenfluss ein, können den Wettbewerb einschränken und zu Lock-in-Effekten für die Kunden führen, indem sie die Anreize zur Wahl eines anderen oder zusätzlichen Dienstanbieters verringern. Wechselgebühren sollten daher drei Jahre nach dem Datum des Inkrafttretens dieser Verordnung abgeschafft werden. Anbieter von Datenverarbeitungsdiensten sollten bis zu diesem Datum ermäßigte Wechselgebühren erheben dürfen.

(89) Ein Anbieter von Datenverarbeitungsdiensten sollte in der Lage sein, bestimmte Aufgaben auszulagern und Dritte zu vergüten, um die in dieser Verordnung vorgesehenen Verpflichtungen zu erfüllen. Ein Kunde sollte die Kosten, die aus der Auslagerung von Dienstleistungen entstehen, die vom Anbieter von Datenverarbeitungsdiensten während des Wechselvorgangs abgeschlossen wurden, nicht tragen, und solche Kosten sollten als ungerechtfertigt gelten, es sei denn, sie decken Arbeiten ab, die vom Anbieter von Datenverarbeitungsdiensten auf Wunsch des Kunden für zusätzliche Unterstützung im Wechselvorgang durchgeführt wurden und über die im Rahmen dieser Verordnung ausdrücklich vorgesehenen Wechselverpflichtungen des Anbieters hinausgehen. Nichts in dieser Verordnung hindert einen Kunden daran, Dritte für die Unterstützung bei der Migration zu vergüten oder Parteien, Verträge über Datenverarbeitungsdienste mit einer festen Laufzeit abzuschließen, einschließlich angemessener Strafen für eine vorzeitige Kündigung, um die vorzeitige Beendigung solcher Verträge gemäß Unionsrecht oder nationalem Recht abzudecken. Um den Wettbewerb zu fördern, sollte die schrittweise Abschaffung der Gebühren, die mit dem Wechsel zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten verbunden sind, insbesondere die Datenabflussgebühren, die von einem Anbieter von Datenverarbeitungsdiensten gegenüber einem Kunden erhoben werden, umfassen. StandardStandard Eine technische Spezifikation, die von einem anerkannten Normungsgremium zur wiederholten oder ständigen Anwendung angenommen wurde, deren Einhaltung nicht zwingend vorgeschrieben ist und bei der es sich um eine der folgenden Normen handelt: (a) "internationale Norm" eine Norm, die von einem internationalen Normungsgremium angenommen wurde; b) "europäische Norm" eine Norm, die von einer europäischen Normungsorganisation angenommen wurde; c) "harmonisierte Norm" eine europäische Norm, die auf der Grundlage eines Antrags der Kommission auf Anwendung der Harmonisierungsrechtsvorschriften der Union angenommen wurde; d) "nationale Norm" eine Norm, die von einem nationalen Normungsgremium angenommen wurde - Definition gemäß Artikel 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates. Servicegebühren für die Erbringung von Datenverarbeitungsdiensten selbst sind keine Wechselgebühren. Diese Standard-Servicegebühren unterliegen keinem Widerruf und bleiben anwendbar, bis der Vertrag über die Erbringung der betreffenden Dienste erlischt. Diese Verordnung gestattet dem Kunden, die Erbringung von zusätzlichen Dienstleistungen zu fordern, die über die Wechselpflichten des Anbieters gemäß dieser Verordnung hinausgehen. Diese zusätzlichen Dienstleistungen können vom Anbieter erbracht und in Rechnung gestellt werden, wenn sie auf Wunsch des Kunden erbracht werden und der Kunde dem Preis für diese Dienstleistungen im Voraus zustimmt.

(90) Ein ehrgeiziger und innovationsfördernder Regulierungsansatz zur Interoperabilität ist erforderlich, um die Anbieterabhängigkeit zu überwinden, die den Wettbewerb und die Entwicklung neuer Dienste untergräbt. Die Interoperabilität zwischen Datenverarbeitungsdiensten umfasst mehrere Schnittstellen und Schichten von Infrastruktur und Software und ist selten auf einen binären Test beschränkt, ob sie erreichbar ist oder nicht. Vielmehr unterliegt der Aufbau solcher Interoperabilität einer Kosten-Nutzen-Analyse, die erforderlich ist, um festzustellen, ob es sich lohnt, vernünftigerweise vorhersehbare Ergebnisse anzustreben. Die ISO/IEC 19941:2017 ist eine wichtige internationale Norm, die als Referenz für die Erreichung der Ziele dieser Verordnung dient, da sie technische Überlegungen enthält, die die Komplexität eines solchen Prozesses verdeutlichen.

(91) Wo Anbieter von Datenverarbeitungsdiensten ihrerseits Kunden von Datenverarbeitungsdiensten sind, die von einem Drittanbieter erbracht werden, profitieren sie von einem effektiveren Wechsel ihrerseits, während sie gleichzeitig an die Verpflichtungen dieser Verordnung bezüglich ihrer eigenen Dienstleistungsangebote gebunden bleiben.

(92) Anbieter von Datenverarbeitungsdiensten sollten verpflichtet werden, jegliche zur Verfügung stehende und ihren jeweiligen Verpflichtungen angemessene Unterstützung und Hilfe zu leisten, die erforderlich ist, um den Wechsel zu einem Dienst eines anderen Anbieters von Datenverarbeitungsdiensten erfolgreich, wirksam und sicher zu gestalten. Diese Verordnung verpflichtet Anbieter von Datenverarbeitungsdiensten nicht dazu, neue Kategorien von Datenverarbeitungsdiensten – auch auf oder auf der Grundlage der IKT-Infrastruktur anderer Anbieter von Datenverarbeitungsdiensten – zu entwickeln, um die funktionale Äquivalenz in einer anderen Umgebung als ihren eigenen Systemen zu gewährleisten. Ein Quell-Anbieter von Datenverarbeitungsdiensten hat keinen Zugriff auf die Umgebung des Ziel-Anbieters von Datenverarbeitungsdiensten und keine Einblicke darin. Funktionale Äquivalenz sollte nicht so verstanden werden, dass der Quell-Anbieter von Datenverarbeitungsdiensten verpflichtet wird, den betreffenden Dienst innerhalb der Infrastruktur des Ziel-Anbieters von Datenverarbeitungsdiensten neu zu erstellen. Stattdessen sollte der Quell-Anbieter von Datenverarbeitungsdiensten alle angemessenen und in seiner Macht stehenden Maßnahmen ergreifen, um den Prozess der Erreichung funktionaler Äquivalenz durch die Bereitstellung von Fähigkeiten, ausreichenden Informationen, Dokumentation, technischem Support und gegebenenfalls den notwendigen Werkzeugen zu erleichtern.

(93) Anbieter von Datenverarbeitungsdiensten sollten auch verpflichtet werden, bestehende Hindernisse zu beseitigen und keine neuen zu schaffen, auch für Kunden, die zu einer lokalen ICT-Infrastruktur wechseln möchten. Hindernisse können unter anderem vorkommerzieller, kommerzieller, technischer, vertraglicher oder organisatorischer Natur sein. Datenverarbeitungsdienste sollten auch verpflichtet werden, Hindernisse für die Ausgliederung einer bestimmten individuellen Dienstleistung von anderen im Rahmen eines Vertrages erbrachten Datenverarbeitungsdiensten zu beseitigen und die entsprechende Dienstleistung für den Wechsel verfügbar zu machen, sofern keine schwerwiegenden und nachgewiesenen technischen Hindernisse bestehen, die eine solche Ausgliederung verhindern.

(94) Während des gesamten Wechselvorgangs sollte ein hohes Maß an Sicherheit gewahrt bleiben. Das bedeutet, dass der Anbietende von Datenverarbeitungsdiensten das Sicherheitsniveau, auf das er sich für den Dienst verpflichtet hat, auf alle technischen Vorkehrungen ausdehnen sollte, für die der Anbietende während des Wechselvorgangs verantwortlich ist, wie z. B. Netzwerkverbindungen oder physische Geräte. Bestehende Rechte zur Kündigung von Verträgen, einschließlich der durch die Verordnung (EU) 2016/679 und die Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates (31) eingeführten Rechte, sollten unberührt bleiben. Diese Verordnung sollte nicht so verstanden werden, dass sie einen Anbietenden von Datenverarbeitungsdiensten daran hindert, den Kunden neue und verbesserte Dienste, Merkmale und Funktionen anzubieten oder auf dieser Grundlage mit anderen Anbietenden von Datenverarbeitungsdiensten zu konkurrieren.

(95) Die Informationen, die die Anbieter von Datenverarbeitungsdiensten dem Kunden bereitstellen müssen, könnten die Ausstiegsstrategie des Kunden unterstützen. Diese Informationen sollten Folgendes umfassen: Verfahren zur Einleitung des Wechsels vom Datenverarbeitungsdienst; maschinenlesbare Datenformate, in die die Daten des Nutzers exportiert werden können; Werkzeuge für den Datenexport, einschließlich offener Schnittstellen sowie Informationen zur Kompatibilität mit harmonisierten Standards oder gemeinsamen Spezifikationen, die auf offenen Interoperabilitäts-Spezifikationen basieren; Informationen über bekannte technische Einschränkungen und Begrenzungen, die sich auf den Wechselprozess auswirken könnten; und die geschätzte Zeit, die für den Abschluss des Wechselprozesses benötigt wird.

(96) Um die Interoperabilität und den Wechsel zwischen Datenverarbeitungsdiensten zu erleichtern, sollten Nutzer und Anbieter von Datenverarbeitungsdiensten die Verwendung von Umsetzungs- und Compliance-Tools in Erwägung ziehen, insbesondere derjenigen, die von der Kommission in Form eines EU Cloud Rulebook und einer Leitlinie zur öffentlichen Auftragsvergabe für Datenverarbeitungsdienste veröffentlicht werden. Insbesondere sind Standardvertragsklauseln vorteilhaft, da sie das Vertrauen in Datenverarbeitungsdienste stärken, eine ausgewogenere Beziehung zwischen Nutzern und Anbietern von Datenverarbeitungsdiensten schaffen und die Rechtssicherheit hinsichtlich der Bedingungen für den Wechsel zu anderen Datenverarbeitungsdiensten verbessern. In diesem Zusammenhang sollten Nutzer und Anbieter von Datenverarbeitungsdiensten die Verwendung von Standardvertragsklauseln oder anderen selbstregulierenden Compliance-Tools in Erwägung ziehen, sofern diese vollständig mit dieser Verordnung konform sind und von einschlägigen Gremien oder Expertengruppen im Rahmen des Unionsrechts entwickelt wurden.

(97) Um den Wechsel zwischen Datenverarbeitungsdiensten zu erleichtern, sollten alle Beteiligten, einschließlich der Quell- und Zielanbieter von Datenverarbeitungsdiensten, in gutem Glauben zusammenarbeiten, um den Wechselprozess effektiv zu gestalten, die sichere und zeitnahe Übertragung notwendiger Daten in einem gängigen, maschinenlesbaren Format und über offene Schnittstellen zu ermöglichen und gleichzeitig Dienstunterbrechungen zu vermeiden und die Kontinuität des Dienstes aufrechtzuerhalten.

(98) Datenverarbeitungsdienste, deren Hauptmerkmale überwiegend für die spezifischen Anforderungen eines einzelnen Kunden maßgeschneidert wurden oder bei denen alle Komponenten für die Zwecke eines einzelnen Kunden entwickelt wurden, sollten von bestimmten Verpflichtungen im Zusammenhang mit dem Wechsel von Datenverarbeitungsdiensten ausgenommen werden. Dies gilt nicht für Dienste, die der Anbieter von Datenverarbeitungsdiensten über seinen Dienstkatalog in großem kommerziellem Umfang anbietet. Es obliegt dem Anbieter von Datenverarbeitungsdiensten, potenzielle Kunden über solche Dienste vor Vertragsabschluss ordnungsgemäß über die in dieser Verordnung festgelegten Verpflichtungen zu informieren, die für die betreffenden Dienste nicht gelten. Nichts hindert den Anbieter von Datenverarbeitungsdiensten daran, solche Dienste schließlich in größerem Umfang einzusetzen, in welchem Fall dieser Anbieter allen in dieser Verordnung festgelegten Verpflichtungen für den Wechsel nachkommen müsste.

(99) Im Einklang mit der Mindestanforderung zur Ermöglichung des Wechsels zwischen Anbietern von Datenverarbeitungsdiensten zielt diese Verordnung auch darauf ab, die Interoperabilität für die parallele Nutzung mehrerer Datenverarbeitungsdienste mit komplementären Funktionalitäten zu verbessern. Dies bezieht sich auf Situationen, in denen Kunden einen Vertrag nicht kündigen, um zu einem anderen Anbieter von Datenverarbeitungsdiensten zu wechseln, sondern mehrere Dienste von verschiedenen Anbietern parallel und interoperabel nutzen, um von den komplementären Funktionalitäten der verschiedenen Dienste beim Aufbau des Kundenystems zu profitieren. Es wird jedoch anerkannt, dass die Ausleitung von Daten von einem Anbieter von Datenverarbeitungsdiensten zu einem anderen zur Ermöglichung der parallelen Nutzung von Diensten eine fortlaufende Tätigkeit sein kann, im Gegensatz zur einmaligen Ausleitung, die als Teil des Wechselvorgangs erforderlich ist. Anbieter von Datenverarbeitungsdiensten sollten daher weiterhin in der Lage sein, für die Ausleitung von Daten zu Zwecken der parallelen Nutzung nach drei Jahren ab dem Tag, an dem diese Verordnung in Kraft tritt, Gebühren zu erheben, die die entstandenen Kosten nicht übersteigen. Dies ist unter anderem für den erfolgreichen Einsatz von Multi-Cloud-Strategien von Bedeutung, die es Kunden ermöglichen, zukunftssichere IKT-Strategien umzusetzen und die Abhängigkeit von einzelnen Anbietern von Datenverarbeitungsdiensten verringern. Die Förderung eines Multi-Cloud-Ansatzes für Kunden von Datenverarbeitungsdiensten kann auch zur Verbesserung ihrer digitalen operationellen Widerstandsfähigkeit beitragen, wie für Finanzdienstleistungsinstitute in der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (32) anerkannt wurde.

(100) Offene Interoperabilitätsspezifikationen und -standards, die gemäß Anhang II der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (33) im Bereich der Interoperabilität und Portabilität entwickelt wurden, sollen eine herstellerunabhängige Cloud-Umgebung ermöglichen, was eine zentrale Voraussetzung für offene Innovation in der europäischen Datenwirtschaft ist. Da die Marktakzeptanz der im Rahmen der 2016 abgeschlossenen Initiative zur Koordinierung der Cloud-Standardisierung (CSC) festgelegten Standards begrenzt war, ist es zudem erforderlich, dass sich die Kommission auf die Marktteilnehmer stützt, um relevante offene Interoperabilitätsspezifikationen zu entwickeln und so mit dem rasanten Tempo der technologischen Entwicklung in dieser Branche Schritt zu halten. Solche offenen Interoperabilitätsspezifikationen können dann von der Kommission in Form gemeinsamer Spezifikationen übernommen werden. Darüber hinaus sollte die Kommission, sofern marktorientierte Prozesse nicht in der Lage waren, gemeinsame Spezifikationen oder Standards zu etablieren, die eine effektive Cloud-Interoperabilität auf PaaS- und SaaS-Ebene ermöglichen, auf der Grundlage dieser Verordnung und im Einklang mit der Verordnung (EU) Nr. 1025/2012 in der Lage sein, europäische Normungsgremien aufzufordern, solche Standards für bestimmte Dienstleistungsarten zu entwickeln, sofern solche Standards noch nicht existieren. Darüber hinaus wird die Kommission die Marktteilnehmer dazu ermutigen, relevante offene Interoperabilitätsspezifikationen zu entwickeln. Nach Konsultation der Interessengruppen sollte die Kommission mittels Durchführungsrechtsakten die Verwendung harmonisierter Normen für die Interoperabilität oder gemeinsamer Spezifikationen für bestimmte Dienstarten durch einen Verweis in einem zentralen Normenregister der Union für die Interoperabilität von Datenverarbeitungsdiensten vorschreiben können. Anbieter von Datenverarbeitungsdiensten sollten die Kompatibilität mit diesen harmonisierten Normen und gemeinsamen Spezifikationen auf der Grundlage offener Interoperabilitätsspezifikationen sicherstellen, was keine nachteiligen Auswirkungen auf die Sicherheit oder Integrität der Daten haben sollte. Auf harmonisierte Normen für die Interoperabilität von Datenverarbeitungsdiensten und gemeinsame Spezifikationen auf der Grundlage offener Interoperabilitätsspezifikationen wird nur dann verwiesen, wenn sie den in dieser Verordnung festgelegten Kriterien entsprechen, die dieselbe Bedeutung haben wie die Anforderungen in Anhang II der Verordnung (EU) Nr. 1025/2012 und die Interoperabilitätsaspekte, die in der internationalen Norm ISO/IEC 19941:2017 definiert sind. Darüber hinaus sollte die Normung den Bedürfnissen von KMU Rechnung tragen.

(101) Drittländer können Gesetze, Verordnungen und andere Rechtsakte erlassen, die darauf abzielen, nicht personenbezogene Daten, die sich außerhalb ihrer Grenzen befinden, einschließlich in der Union, direkt zu übermitteln oder Behörden Zugang zu diesen Daten zu gewähren. Urteile von Gerichten oder Entscheidungen anderer Justiz- oder Verwaltungsbehörden, einschließlich Strafverfolgungsbehörden in Drittländern, die eine solche Übermittlung oder einen solchen Zugang zu nicht personenbezogenen Daten verlangen, sollten vollstreckbar sein, wenn sie auf einem internationalen Abkommen beruhen, wie beispielsweise einem Rechtshilfeabkommen, das zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat in Kraft ist. In anderen Fällen können Situationen auftreten, in denen ein Ersuchen um Übermittlung oder Gewährung des Zugangs zu nicht personenbezogenen Daten, das sich aus einem Recht eines Drittlandes ergibt, im Widerspruch zu einer Verpflichtung zum Schutz solcher Daten nach dem Unionsrecht oder nach dem nationalen Recht des betreffenden Mitgliedstaats steht, insbesondere hinsichtlich des Schutzes der Grundrechte des Einzelnen, wie des Rechts auf Sicherheit und des Rechts auf einen wirksamen Rechtsbehelf, oder die wesentlichen Interessen eines Mitgliedstaats im Zusammenhang mit der nationalen Sicherheit oder Verteidigung sowie den Schutz wirtschaftlich sensibler Daten, einschließlich des Schutzes von Geschäftsgeheimnissen, und den Schutz von Rechten des geistigen Eigentums, einschließlich seiner vertraglichen Verpflichtungen zur Vertraulichkeit gemäß diesem Recht. In Ermangelung internationaler Abkommen, die solche Angelegenheiten regeln, sollte die Übermittlung von oder der Zugriff auf nicht personenbezogene Daten nur dann gestattet sein, wenn überprüft wurde, dass das Rechtssystem des Drittstaats vorschreibt, dass die Gründe und die Verhältnismäßigkeit der Entscheidung dargelegt werden müssen, dass die gerichtliche Anordnung oder die Entscheidung spezifischen Charakter hat und dass der begründete Widerspruch des Adressaten einer Überprüfung durch ein zuständiges Gericht oder Tribunal des Drittstaats unterliegt, das befugt ist, die relevanten rechtlichen Interessen des Anbieters dieser Daten gebührend zu berücksichtigen. Soweit dies im Rahmen der Bedingungen des Datenzugangsersuchens der Behörde des Drittlandes möglich ist, sollte der Anbieter von Datenverarbeitungsdiensten in der Lage sein, den Kunden, dessen Daten angefordert werden, vor der Gewährung des Zugangs zu diesen Daten zu informieren, um zu prüfen, ob ein potenzieller Konflikt zwischen diesem Zugang und dem Unionsrecht oder nationalem Recht besteht, wie beispielsweise dem Recht zum Schutz wirtschaftlich sensibler Daten, einschließlich des Schutzes von Geschäftsgeheimnissen und Rechten des geistigen Eigentums sowie der vertraglichen Verpflichtungen zur Vertraulichkeit.

(102) Um das Vertrauen in Daten weiter zu stärken, ist es wichtig, Schutzmaßnahmen zu ergreifen, um die Kontrolle der Unionsbürger, der öffentlichen Stellen und der Unternehmen über ihre Daten so weit wie möglich zu gewährleisten. Darüber hinaus sollten Unionsrecht, -werte und -standards in Bezug auf u. a. Sicherheit, Datenschutz und Privatsphäre sowie Verbraucherschutz eingehalten werden. Um einen rechtswidrigen staatlichen Zugriff von Drittlandbehörden auf nicht personenbezogene Daten zu verhindern, sollten Anbieter von Datenverarbeitungsdiensten, die dieser Verordnung unterliegen, wie z. B. Cloud- und Edge-Dienste, alle zumutbaren Maßnahmen ergreifen, um einen Zugriff auf Systeme zu verhindern, auf denen nicht personenbezogene Daten gespeichert sind, einschließlich, soweit relevant, der Verschlüsselung von Daten, regelmäßiger Audits, überprüfter Einhaltung relevanter Sicherheitszertifizierungssysteme und der Änderung von Unternehmensrichtlinien.

(103) Standardisierung und semantische Interoperabilität sollten eine zentrale Rolle spielen, um technische Lösungen zur Gewährleistung der Interoperabilität innerhalb und zwischen gemeinsamen europäischen Datenräumen bereitzustellen; dabei handelt es sich um zweck- oder sektorspezifische oder sektorübergreifende interoperable Rahmenwerke für gemeinsame Standards und Praktiken zum Austausch oder zur gemeinsamen Verarbeitung von Daten, unter anderem für die Entwicklung neuer Produkte und Dienstleistungen, für die wissenschaftliche Forschung oder für Initiativen der Zivilgesellschaft. Diese Verordnung legt bestimmte wesentliche Anforderungen an die Interoperabilität fest. Teilnehmer an Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten und die Einrichtungen sind, die den Datenaustausch innerhalb gemeinsamer europäischer Datenräume erleichtern oder daran beteiligt sind, einschließlich Dateninhabern, sollten diese Anforderungen insoweit einhalten, als es um Elemente geht, die ihrer Kontrolle unterliegen. Die Einhaltung dieser Vorschriften kann durch die Befolgung der in dieser Verordnung festgelegten grundlegenden Anforderungen sichergestellt oder durch die Einhaltung harmonisierter Normen oder gemeinsamer Spezifikationen im Wege einer Konformitätsvermutung vermutet werden. Um die Konformität mit den Anforderungen an die Interoperabilität zu erleichtern, ist es erforderlich, eine Konformitätsvermutung für Interoperabilitätslösungen vorzusehen, die harmonisierten Normen oder Teilen davon gemäß der Verordnung (EU) Nr. 1025/2012 entsprechen, die den Standardrahmen für die Ausarbeitung von Normen darstellt, die solche Vermutungen vorsehen. Die Kommission sollte Hindernisse für die Interoperabilität bewerten und den Normungsbedarf priorisieren; auf dieser Grundlage kann sie eine oder mehrere europäische Normungsorganisationen gemäß der Verordnung (EU) Nr. 1025/2012 auffordern, harmonisierte Normen zu entwerfen, die den in dieser Verordnung festgelegten grundlegenden Anforderungen genügen. Führen solche Aufforderungen nicht zu harmonisierten Normen oder reichen diese harmonisierten Normen nicht aus, um die Konformität mit den grundlegenden Anforderungen dieser Verordnung zu gewährleisten, sollte die Kommission in der Lage sein, gemeinsame Spezifikationen in diesen Bereichen zu erlassen, sofern sie dabei die Rolle und die Aufgaben der Normungsorganisationen gebührend achtet. Gemeinsame Spezifikationen sollten nur als außergewöhnliche Ausweichlösung erlassen werden, um die Einhaltung der grundlegenden Anforderungen dieser Verordnung zu erleichtern, oder wenn der Normungsprozess blockiert ist oder wenn es zu Verzögerungen bei der Festlegung geeigneter harmonisierter Normen kommt. Ist eine Verzögerung auf die technische Komplexität der betreffenden Norm zurückzuführen, sollte dies von der Kommission berücksichtigt werden, bevor sie die Festlegung gemeinsamer Spezifikationen in Betracht zieht. Gemeinsame Spezifikationen sollten auf offene und inklusive Weise entwickelt werden und gegebenenfalls die Empfehlungen des mit der Verordnung (EU) 2022/868 eingerichteten Europäischen Dateninnovationsrats (EDIB) berücksichtigen. Darüber hinaus könnten gemeinsame Spezifikationen in verschiedenen Sektoren im Einklang mit dem Unionsrecht oder dem nationalen Recht auf der Grundlage der spezifischen Bedürfnisse dieser Sektoren angenommen werden. Ferner sollte die Kommission ermächtigt werden, die Entwicklung harmonisierter Normen für die Interoperabilität von Datenverarbeitungsdiensten zu veranlassen.

(104) Um die Interoperabilität von Werkzeugen für die automatisierte Ausführung von Datenweitergabevereinbarungen zu fördern, müssen wesentliche Anforderungen an Smart Contracts festgelegt werden, die Fachleute für andere erstellen oder in Anwendungen integrieren, die die Umsetzung von Datenweitergabevereinbarungen unterstützen. Um die Konformität solcher Smart Contracts mit diesen wesentlichen Anforderungen zu erleichtern, ist es erforderlich, eine Konformitätsvermutung für Smart Contracts vorzusehen, die harmonisierte Normen oder Teile davon gemäß der Verordnung (EU) Nr. 1025/2012 erfüllen. Der Begriff ‘Smart Contract’ in dieser Verordnung ist technologisch neutral. Smart Contracts können beispielsweise mit einem elektronischen Register verbunden sein. Die wesentlichen Anforderungen sollten nur für Anbieter von Smart Contracts gelten, nicht jedoch, wenn sie Smart Contracts ausschließlich für den internen Gebrauch selbst entwickeln. Die wesentliche Anforderung, sicherzustellen, dass Smart Contracts unterbrochen und beendet werden können, setzt die gegenseitige Zustimmung der Parteien der Datenweitergabevereinbarung voraus. Die Anwendbarkeit der einschlägigen zivil-, vertrags- und verbraucherschutzrechtlichen Bestimmungen auf Datenweitergabevereinbarungen bleibt oder sollte von der Verwendung von Smart Contracts zur automatisierten Ausführung solcher Vereinbarungen unberührt bleiben.

(105) Um die Erfüllung der wesentlichen Anforderungen dieser Verordnung nachzuweisen, sollte der Anbieter eines Smart Contracts oder, falls ein solcher nicht vorhanden ist, die Person, deren Gewerbe, Handel oder Beruf die Bereitstellung von Smart Contracts für Dritte im Rahmen der Ausführung einer Vereinbarung oder eines Teils davon beinhaltet, die Daten im Sinne dieser Verordnung zugänglich zu machen, eine Konformitätsbewertung durchführen und eine EU-Konformitätserklärung ausstellen. Eine solche Konformitätsbewertung sollte den allgemeinen Grundsätzen der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (34) und des Beschlusses Nr. 768/2008/EG des Europäischen Parlaments und des Rates (35) unterliegen.

(106) Neben der Verpflichtung professioneller Entwickler von Smart Contracts, wesentliche Anforderungen einzuhalten, ist es außerdem wichtig, die Teilnehmer von Datenräumen, die Daten oder datenbasierte Dienste für andere Teilnehmer innerhalb und zwischen gemeinsamen europäischen Datenräumen anbieten, zu ermutigen, die Interoperabilität von Werkzeugen für den Datenaustausch, einschließlich Smart Contracts, zu unterstützen.

(107) Um die Anwendung und Durchsetzung dieser Verordnung zu gewährleisten, sollten die Mitgliedstaaten eine oder mehrere zuständige Behörden benennen. Benennt ein Mitgliedstaat mehr als eine zuständige Behörde, so sollte er unter diesen auch einen Datenkoordinator benennen. Die zuständigen Behörden sollten untereinander zusammenarbeiten. Durch die Ausübung ihrer Ermittlungsbefugnisse gemäß den geltenden nationalen Verfahren sollten die zuständigen Behörden in der Lage sein, Informationen zu erheben und zu erlangen, insbesondere in Bezug auf die Tätigkeiten von Einrichtungen in ihrem Zuständigkeitsbereich, und zwar auch im Rahmen gemeinsamer Ermittlungen, wobei gebührend zu berücksichtigen ist, dass Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf eine Einrichtung, die in die Zuständigkeit eines anderen Mitgliedstaats fällt, gegebenenfalls von der zuständigen Behörde dieses anderen Mitgliedstaats gemäß den Verfahren für die grenzüberschreitende Zusammenarbeit getroffen werden sollten. Die zuständigen Behörden sollten sich gegenseitig zeitnah unterstützen, insbesondere wenn eine zuständige Behörde in einem Mitgliedstaat über Informationen verfügt, die für eine von den zuständigen Behörden in anderen Mitgliedstaaten durchgeführte Untersuchung relevant sind, oder in der Lage ist, solche Informationen zu erheben, zu denen die zuständigen Behörden in dem Mitgliedstaat, in dem das Unternehmen ansässig ist, keinen Zugang haben. Die zuständigen Behörden und Datenkoordinatoren sollten in einem von der Kommission geführten öffentlichen Register aufgeführt werden. Der Datenkoordinator könnte ein zusätzliches Mittel zur Erleichterung der Zusammenarbeit in grenzüberschreitenden Fällen sein, beispielsweise wenn eine zuständige Behörde eines bestimmten Mitgliedstaats nicht weiß, an welche Behörde sie sich im Mitgliedstaat des Datenkoordinators wenden soll, etwa wenn der Fall mehr als eine zuständige Behörde oder einen Sektor betrifft. Der Datenkoordinator sollte unter anderem als zentrale Anlaufstelle für alle Fragen im Zusammenhang mit der Anwendung dieser Verordnung fungieren. Wurde kein Datenkoordinator benannt, sollte die zuständige Behörde die dem Datenkoordinator nach dieser Verordnung übertragenen Aufgaben übernehmen. Die für die Überwachung der Einhaltung des Datenschutzrechts zuständigen Behörden und die nach Unionsrecht oder nationalem Recht benannten zuständigen Behörden sollten für die Anwendung dieser Verordnung in ihren Zuständigkeitsbereichen verantwortlich sein. Um Interessenkonflikte zu vermeiden, sollten die zuständigen Behörden, die für die Anwendung und Durchsetzung dieser Verordnung im Bereich der Bereitstellung von Daten auf der Grundlage eines Antrags aufgrund eines außergewöhnlichen Bedarfs zuständig sind, nicht das Recht haben, einen solchen Antrag zu stellen.

(108) Um ihre Rechte aus dieser Verordnung durchzusetzen, sollten natürliche und juristische Personen berechtigt sein, bei Verstößen gegen ihre Rechte nach dieser Verordnung Beschwerde einzulegen. Der Datenkoordinator sollte natürlichen und juristischen Personen auf Anfrage alle notwendigen Informationen zur Einreichung ihrer Beschwerden bei der zuständigen Behörde zur Verfügung stellen. Diese Behörden sollten verpflichtet sein, zusammenzuarbeiten, um sicherzustellen, dass eine Beschwerde angemessen bearbeitet und wirksam und rechtzeitig gelöst wird. Um den Mechanismus des Verbraucherschutz-Kooperationsnetzwerks zu nutzen und um repräsentativAbgeordneter Bezeichnet eine in der Union ansässige natürliche oder juristische Person, die ausdrücklich dazu bestimmt ist, im Namen eines DNS-Diensteanbieters, eines TLD-Namenregisters, einer Einrichtung, die Domänennamenregistrierungsdienste anbietet, eines Cloud-Computing-Diensteanbieters, eines Rechenzentrumsdiensteanbieters, eines Content-Delivery-Network-Anbieters, eines Managed-Service-Anbieters, eines Managed-Security-Service-Anbieters oder eines Anbieters eines Online-Marktplatzes, einer Online-Suchmaschine oder einer Plattform für soziale Netzwerkdienste, der nicht in der Union ansässig ist, zu handeln, und an die sich eine zuständige Behörde oder ein CSIRT anstelle der Einrichtung selbst in Bezug auf die Verpflichtungen dieser Einrichtung nach dieser Richtlinie wenden kann. - Definition gemäß Artikel 6 der Richtlinie (EU) 2022/2555 (NIS2-Richtlinie) Maßnahmen, ändert diese Verordnung die Anhänge der Verordnung (EU) 2017/2394 des Europäischen Parlaments und des Rates (36) und der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates (37).

(109) Die zuständigen Behörden sollten sicherstellen, dass Verstöße gegen die in dieser Verordnung festgelegten Verpflichtungen mit Sanktionen geahndet werden. Solche Sanktionen können finanzielle Sanktionen, Verwarnungen, Rügen oder Anordnungen zur Anpassung von Geschäftspraktiken an die durch diese Verordnung auferlegten Verpflichtungen umfassen. Die von den Mitgliedstaaten festgelegten Sanktionen sollten wirksam, verhältnismäßig und abschreckend sein und die Empfehlungen des EDIB berücksichtigen, wodurch ein Höchstmaß an Kohärenz bei der Festlegung und Anwendung von Sanktionen erreicht wird. Gegebenenfalls sollten die zuständigen Behörden einstweilige Maßnahmen ergreifen, um die Auswirkungen eines angeblichen Verstoßes zu begrenzen, während die Untersuchung dieses Verstoßes andauert. Dabei sollten sie unter anderem die Art, Schwere, das Ausmaß und die Dauer des Verstoßes unter Berücksichtigung des betroffenen öffentlichen Interesses, den Umfang und die Art der ausgeübten Tätigkeiten sowie die wirtschaftliche Leistungsfähigkeit des Verstoßes begangen habenden Beteiligten berücksichtigen. Sie sollten auch berücksichtigen, ob der Verstoß begangen habende Beteiligte seine Verpflichtungen aus dieser Verordnung systematisch oder wiederholt nicht einhält. Um die Einhaltung des Grundsatzes ne bis in idem zu gewährleisten und insbesondere zu vermeiden, dass derselbe Verstoß gegen die in dieser Verordnung festgelegten Verpflichtungen mehr als einmal sanktioniert wird, sollte ein Mitgliedstaat, der beabsichtigt, seine Zuständigkeit in Bezug auf einen Verstoß begangen habenden Beteiligten auszuüben, der weder in der Union niedergelassen ist noch einen Rechtsvertreter benannt hat, alle Datensicherheitskoordinatoren sowie die Kommission unverzüglich informieren.

(110) Der EDIB sollte die Kommission bei der Koordinierung nationaler Praktiken und Politikbereiche zu den in dieser Verordnung behandelten Themen sowie bei der Erreichung ihrer Ziele im Bereich der technischen Standardisierung zur Verbesserung der Interoperabilität beraten und unterstützen. Er sollte auch eine Schlüsselrolle bei der Erleichterung umfassender Diskussionen zwischen den zuständigen Behörden über die Anwendung und Durchsetzung dieser Verordnung spielen. Dieser Informationsaustausch zielt darauf ab, den effektiven Zugang zur Justiz sowie die grenzüberschreitende Vollzugs- und Justizzusammenarbeit in der Union zu verbessern. Unter anderem sollten die zuständigen Behörden den EDIB als Plattform nutzen, um Empfehlungen zur Festlegung von Sanktionen für Verstöße gegen diese Verordnung zu bewerten, zu koordinieren und anzunehmen. Er sollte es den zuständigen Behörden mit Unterstützung der Kommission ermöglichen, den optimalen Ansatz zur Festlegung und Verhängung solcher Sanktionen zu koordinieren. Dieser Ansatz verhindert Fragmentierung und lässt gleichzeitig Spielraum für die Mitgliedstaaten und sollte zu wirksamen Empfehlungen führen, die die einheitliche Anwendung dieser Verordnung unterstützen. Der EDIB sollte auch eine beratende Rolle bei Standardisierungsprozessen und der Annahme gemeinsamer Spezifikationen durch Durchführungsrechtsakte, bei der Annahme delegierter Rechtsakte zur Festlegung eines Überwachungsmechanismus für von Anbietern von Datenverarbeitungsdiensten zu zahlende Wechselgebühren und zur weiteren Spezifizierung der wesentlichen Anforderungen für die Interoperabilität von Daten, von Datenaustauschmechanismen und -diensten sowie von gemeinsamen europäischen Datenräumen spielen. Er sollte die Kommission ferner bei der Annahme von Leitlinien zum Erlass von Interoperabilitätsspezifikationen für die Funktionsweise der gemeinsamen europäischen Datenräume beraten und unterstützen.

(111) Um Unternehmen bei der Ausarbeitung und Aushandlung von Verträgen zu unterstützen, sollte die Kommission unverbindliche Mustervertragsklauseln für Daten­teilungsverträge zwischen Unternehmen entwickeln und empfehlen, wobei gegebenenfalls die Bedingungen in bestimmten Sektoren und die bestehenden Praktiken freiwilliger Daten­teilungs­mechanismen zu berücksichtigen sind. Diese Mustervertragsklauseln sollten in erster Linie ein praktisches Instrument sein, das insbesondere KMU bei Abschluss eines Vertrags hilft. Bei weit verbreiteter und umfassender Anwendung sollten diese Mustervertragsklauseln auch den positiven Effekt haben, die Gestaltung von Verträgen über den Zugang zu Daten und deren Nutzung zu beeinflussen und somit breiter hin zu faireren Vertrags­beziehungen beim Zugang zu und der Weitergabe von Daten zu führen.

(112) Um zu verhindern, dass Inhaber von Daten in Datenbanken, die mithilfe von physischen Komponenten wie Sensoren eines vernetzten Produkts und eines damit verbundenen Dienstes oder auf andere Weise maschinell generiert wurden, das Recht sui generis nach Artikel 7 der Richtlinie 96/9/EG geltend machen und dadurch insbesondere die wirksame Ausübung des Rechts der Nutzer auf Zugang zu und Nutzung von Daten sowie das Recht zur Weitergabe von Daten an Dritte im Rahmen dieser Verordnung behindern, sollte klargestellt werden, dass das Recht sui generis auf solche Datenbanken nicht anwendbar ist. Dies beeinträchtigt nicht die mögliche Anwendung des Rechts sui generis nach Artikel 7 der Richtlinie 96/9/EG auf Datenbanken, die Daten enthalten, die nicht unter diese Verordnung fallen, sofern die Voraussetzungen für den Schutz gemäß Absatz 1 dieses Artikels erfüllt sind.

(113) Um technischen Aspekten von Datenverarbeitungsdiensten Rechnung zu tragen, sollte der Kommission nach Artikel 290 AEUV die Befugnis übertragen werden, Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um einen Überwachungsmechanismus für die von Anbietern von Datenverarbeitungsdiensten am Markt erhobenen Wechselgebühren einzurichten und die wesentlichen Anforderungen an die Interoperabilität für Teilnehmer von Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten, weiter zu präzisieren. Es ist von besonderer Bedeutung, dass die Kommission bei ihren vorbereitenden Arbeiten, einschließlich der Arbeiten auf Fach Ebene, entsprechende Konsultationen durchführt und diese Konsultationen im Einklang mit den Grundsätzen der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtssetzung (38) erfolgen. Um insbesondere eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte sicherzustellen, erhalten das Europäische Parlament und der Rat alle Dokumente gleichzeitig mit den Experten der Mitgliedstaaten, und ihre Experten haben systematisch Zugang zu den Sitzungen von Sachverständigengruppen der Kommission, die sich mit der Vorbereitung delegierter Rechtsakte befassen.

Um einheitliche Bedingungen für die Durchführung dieser Verordnung zu gewährleisten, sollten der Kommission Durchführungsbefugnisse zur Annahme gemeinsamer Spezifikationen zur Gewährleistung der Interoperabilität von Daten, von Mechanismen und Diensten für den Datenaustausch sowie von gemeinsamen europäischen Datenräumen, gemeinsamer Spezifikationen zur Interoperabilität von Datenverarbeitungsdiensten und gemeinsamer Spezifikationen zur Interoperabilität von Smart Contracts verliehen werden. Der Kommission sollten auch Durchführungsbefugnisse zur Veröffentlichung der Fundstellen harmonisierter Normen und gemeinsamer Spezifikationen für die Interoperabilität von Datenverarbeitungsdiensten in einem zentralen Unionsnormenverzeichnis für die Interoperabilität von Datenverarbeitungsdiensten verliehen werden. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (39) ausgeübt werden.

(115) Diese Verordnung sollte unbeschadet von Vorschriften gelten, die spezifische Bedürfnisse einzelner Sektoren oder Bereiche des öffentlichen Interesses abdecken. Solche Vorschriften können zusätzliche Anforderungen an die technischen Aspekte des Datenzugangs, wie z. B. Schnittstellen für den Datenzugang, oder an die Art und Weise, wie Daten zugänglich gemacht werden können, z. B. direkt vom Produkt oder über Datenvermittlungsdienste, umfassen. Solche Vorschriften können auch Beschränkungen der Rechte von Dateneigentümern auf den Zugriff auf oder die Nutzung von Nutzerdaten beinhalten oder andere Aspekte über den Datenzugang und die Datennutzung hinaus, wie z. B. Governance-Aspekte oder Sicherheitsanforderungen, einschließlich Cyber-Sicherheitsanforderungen. Diese Verordnung sollte auch unbeschadet spezifischerer Vorschriften im Zusammenhang mit der Entwicklung gemeinsamer europäischer Datenräume oder, vorbehaltlich der in dieser Verordnung vorgesehenen Ausnahmen, unbeschadet des Unions- und nationalen Rechts gelten, das den Zugang zu Daten für wissenschaftliche Forschungszwecke vorsieht und deren Nutzung zulässt.

(116) Diese Verordnung sollte die Anwendung der Wettbewerbsregeln, insbesondere der Artikel 101 und 102 AEUV, unberührt lassen. Die in dieser Verordnung vorgesehenen Maßnahmen sollten nicht dazu verwendet werden, den Wettbewerb in einer Weise einzuschränken, die gegen den AEUV verstößt.

(117) Damit die Akteure im Geltungsbereich dieser Verordnung die darin vorgesehenen neuen Vorschriften anwenden und die erforderlichen technischen Vorkehrungen treffen können, sollten diese Vorschriften ab dem 12. September 2025 gelten.

(118) Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss wurden gemäß Artikel 42 Absätze 1 und 2 der Verordnung (EU) 2018/1725 konsultiert und haben ihre Stellungnahme am 4. Mai 2022 abgegeben.

(119) Da die Ziele dieser Verordnung, nämlich die Gewährleistung einer fairen Verteilung des Datenwerts unter den Akteuren der Datenwirtschaft und die Förderung eines fairen Zugangs zu und einer fairen Nutzung von Daten zur Schaffung eines echten Binnenmarktes für Daten, von den Mitgliedstaaten nicht in ausreichendem Maße verwirklicht werden können, sondern vielmehr wegen des Umfangs oder der Wirkungen des Handelns und der grenzüberschreitenden Datennutzung auf Unionsebene besser erreicht werden können, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union dargelegten Subsidiaritätsprinzip Maßnahmen ergreifen. Im Einklang mit dem in diesem Artikel dargelegten Grundsatz der Verhältnismäßigkeit erschöpft sich diese Verordnung nicht in dem, was zur Erreichung dieser Ziele erforderlich ist.,

HABEN DIESE VERORDNUNG ANGENOMMEN: