EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02022R0868-20220603
Consolidated text: Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR
Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt) (Text von Bedeutung für den EWR)Text von Bedeutung für den EWR
02022R0868 — DE — 03.06.2022 — 000.004
Dieser Text dient lediglich zu Informationszwecken und hat keine Rechtswirkung. Die EU-Organe übernehmen keine Haftung für seinen Inhalt. Verbindliche Fassungen der betreffenden Rechtsakte einschließlich ihrer Präambeln sind nur die im Amtsblatt der Europäischen Union veröffentlichten und auf EUR-Lex verfügbaren Texte. Diese amtlichen Texte sind über die Links in diesem Dokument unmittelbar zugänglich
|
VERORDNUNG (EU) 2022/868 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt) (Text von Bedeutung für den EWR) (ABl. L 152 vom 3.6.2022, S. 1) |
Berichtigt durch:
|
Berichtigung, ABl. L 90204 vom 21.12.2023, S. 1 ((EU) 2022/868) |
VERORDNUNG (EU) 2022/868 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 30. Mai 2022
über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt)
(Text von Bedeutung für den EWR)
KAPITEL I
Allgemeine Bestimmungen
Artikel 1
Gegenstand und Anwendungsbereich
In dieser Verordnung wird Folgendes festgelegt:
Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind, innerhalb der Union;
ein Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
ein Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und
ein Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.
Von dieser Verordnung unberührt bleiben
besondere Bestimmungen des Unionsrechts oder des nationalen Rechts über den Zugang zu bestimmten Kategorien von Daten oder deren Weiterverwendung, insbesondere in Bezug auf die Zugangsgewährung zu amtlichen Dokumenten und deren Offenlegung, und
die nach dem Unionsrecht oder dem nationalen Recht geltenden Verpflichtungen öffentlicher Stellen, die Weiterverwendung von Daten zu erlauben, oder die Anforderungen in Bezug auf die Verarbeitung nicht personenbezogener Daten.
Müssen öffentliche Stellen, Anbieter von Datenvermittlungsdiensten oder anerkannte Einrichtungen, die Datenaltruismus-Dienste erbringen, aufgrund sektorspezifischen Unionsrechts oder nationalen Rechts bestimmte zusätzliche technische, administrative oder organisatorische Anforderungen einhalten, einschließlich durch Genehmigungs- oder Zertifizierungsverfahren, so finden auch diese Bestimmungen des sektorspezifischen Unionsrechts oder nationalen Rechts Anwendung. Etwaige spezifische zusätzliche Anforderungen müssen nichtdiskriminierend, verhältnismäßig und objektiv gerechtfertigt sein.
Artikel 2
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
„Daten“ jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material;
„Weiterverwendung“ die Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen für kommerzielle oder nichtkommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags;
„personenbezogene Daten“ personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679;
„nicht personenbezogene Daten“ Daten, die keine personenbezogenen Daten sind;
„Einwilligung“ eine Einwilligung im Sinne des Artikels 4 Nummer 11 der Verordnung (EU) 2016/679;
„Erlaubnis“, dass Datennutzern das Recht auf Verarbeitung nicht personenbezogener Daten eingeräumt wird;
„betroffene Person“ eine betroffene Person im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) 2016/679;
„Dateninhaber“ eine juristische Person, einschließlich öffentlichen Stellen und internationalen Organisationen oder natürlichen Person, die in Bezug auf die betreffenden Daten keine betroffene Person ist, welche nach geltendem Unionsrecht oder geltendem nationalen Recht berechtigt ist, Zugang zu bestimmten personenbezogenen Daten oder nicht personenbezogenen Daten zu gewähren oder diese Daten weiterzugeben;
„Datennutzer“ eine natürliche oder juristische Person, die rechtmäßig Zugang zu bestimmten personenbezogenen oder nicht personenbezogenen Daten hat und im Fall personenbezogener Daten, unter anderem nach der Verordnung (EU) 2016/679, berechtigt ist, diese Daten für kommerzielle oder nichtkommerzielle Zwecke zu nutzen;
„gemeinsame Datennutzung“ die entgeltliche oder unentgeltliche Bereitstellung von Daten durch eine betroffene Person oder einen Dateninhaber an einen Datennutzer für die gemeinschaftliche oder individuelle Nutzung dieser Daten auf der Grundlage freiwilliger Vereinbarungen, des Unionsrechts oder des nationalen Rechts, sowohl direkt als auch über einen Mittler, etwa im Rahmen von gebührenpflichtigen oder gebührenfreien offenen oder kommerziellen Lizenzen;
„Datenvermittlungsdienst“ einen Dienst, mit dem durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung, auch für die Zwecke der Ausübung der Rechte betroffener Personen in Bezug auf personenbezogene Daten, zu ermöglichen, und die zumindest folgendes nicht umfassen:
Dienste, in deren Rahmen Daten von Dateninhabern eingeholt und aggregiert, angereichert oder umgewandelt werden, um deren Wert erheblich zu steigern, und Lizenzen für die Nutzung der resultierenden Daten an die Datennutzer vergeben werden, ohne eine Geschäftsbeziehung zwischen Dateninhabern und Datennutzern herzustellen;
Dienste, deren Schwerpunkt auf der Vermittlung urheberrechtlich geschützter Inhalte liegt;
Dienste, die ausschließlich von einem Dateninhaber genutzt werden, um die Verwendung von im Besitz dieses Dateninhabers befindlichen Daten zu ermöglichen, oder die von mehreren juristischen Personen in einer geschlossenen Gruppe, einschließlich Lieferanten- oder Kundenbeziehungen oder vertraglich festgelegter Kooperationen, genutzt werden, insbesondere wenn deren Hauptziel darin besteht, Funktionen von Gegenständen und Geräten im Zusammenhang mit dem Internet der Dinge sicherzustellen;
Datenvermittlungsdienste, die von öffentlichen Stellen ohne die Absicht der Herstellung von Geschäftsbeziehungen angeboten werden;
„Verarbeitung“ die Verarbeitung im Sinne von Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 im Hinblick auf personenbezogene Daten oder Artikel 3 Nummer 2 der Verordnung (EU) 2018/1807 im Hinblick auf nicht personenbezogene Daten;
„Zugang“ die Datennutzung im Einklang mit bestimmten technischen, rechtlichen oder organisatorischen Anforderungen, ohne dass Daten hierzu zwingend übertragen oder heruntergeladen werden müssen;
„Hauptniederlassung“ einer juristischen Person den Ort, an dem sich ihre Hauptverwaltung in der Union befindet;
„Dienste von Datengenossenschaften“ Datenvermittlungsdienste, die von einer Organisationsstruktur angeboten werden, welche sich aus betroffenen Personen, Ein-Personen-Unternehmen oder KMU, die in dieser Struktur Mitglied sind, zusammensetzt, und deren Hauptzwecke in der Unterstützung ihrer Mitglieder bei der Ausübung ihrer Rechte in Bezug auf bestimmte Daten bestehen, unter anderem beim Treffen einer sachkundigen Entscheidung vor der Einwilligung zur Datenverarbeitung, beim Meinungsaustausch über die den Interessen ihrer Mitglieder im Zusammenhang mit ihren Daten am besten entsprechenden Zwecke und Bedingungen der Datenverarbeitung und beim Aushandeln der Bedingungen der Datenverarbeitung im Namen der Mitglieder, bevor die Erlaubnis zur Verarbeitung nicht personenbezogener Daten erteilt oder in die Verarbeitung personenbezogener Daten eingewilligt wird;
„Datenaltruismus“ die freiwillige gemeinsame Nutzung von Daten auf der Grundlage der Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder einer Erlaubnis anderer Dateninhaber zur Nutzung ihrer nicht personenbezogenen Daten, ohne hierfür ein Entgelt zu fordern oder zu erhalten, das über eine Entschädigung für die ihnen durch die Bereitstellung ihrer Daten entstandenen Kosten hinausgeht, für Ziele von allgemeinem Interesse gemäß dem nationalen Recht, wie die Gesundheitsversorgung, die Bekämpfung des Klimawandels, die Verbesserung der Mobilität, die einfachere Entwicklung, Erstellung und Verbreitung amtlicher Statistiken, die Verbesserung der Erbringung öffentlicher Dienstleistungen, die staatliche Entscheidungsfindung oder die wissenschaftliche Forschung im allgemeinen Interesse;
„öffentliche Stelle“ den Staat, Gebietskörperschaften, Einrichtungen des öffentlichen Rechts oder Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen;
„Einrichtungen des öffentlichen Rechts“ Einrichtungen, die die folgenden Eigenschaften aufweisen:
sie wurden zu dem besonderen Zweck gegründet, im allgemeinen Interesse liegende Aufgaben zu erfüllen, und haben keinen gewerblichen oder kommerziellen Charakter,
sie besitzen Rechtspersönlichkeit,
sie werden überwiegend vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts finanziert, unterstehen hinsichtlich ihrer Leitung der Aufsicht dieser Körperschaften oder Einrichtungen, oder haben ein Verwaltungs-, Leitungs- beziehungsweise Aufsichtsorgan, das mehrheitlich aus Mitgliedern besteht, die vom Staat, von Gebietskörperschaften oder von anderen Einrichtungen des öffentlichen Rechts ernannt worden sind;
„öffentliches Unternehmen“ ein Unternehmen, auf das öffentliche Stellen aufgrund ihres Eigentums, ihrer finanziellen Beteiligung oder der für das Unternehmen geltenden Bestimmungen unmittelbar oder mittelbar einen beherrschenden Einfluss ausüben können; von einem beherrschenden Einfluss der öffentlichen Stellen ist im Sinne dieser Begriffsbestimmung in jedem der folgenden Fälle auszugehen, in denen diese Stellen unmittelbar oder mittelbar
die Mehrheit des gezeichneten Kapitals des Unternehmens halten,
über die Mehrheit der mit den Anteilen am Unternehmen verbundenen Stimmrechte verfügen,
mehr als die Hälfte der Mitglieder des Verwaltungs-, Leitungs- oder Aufsichtsorgans des Unternehmens ernennen können;
„sichere Verarbeitungsumgebung“ die physische oder virtuelle Umgebung und die organisatorischen Mittel, mit denen die Einhaltung der Anforderungen des Unionsrechts, wie der Verordnung (EU) 2016/679, insbesondere im Hinblick auf die Rechte der betroffenen Personen, der Rechte des geistigen Eigentums und der geschäftlichen und statistischen Vertraulichkeit, der Integrität und der Verfügbarkeit, sowie des geltenden Unionsrechts und des nationalen Rechts gewährleistet wird und die es der Einrichtung, die die sichere Verarbeitungsumgebung bereitstellt, ermöglichen, alle Datenverarbeitungsvorgänge zu bestimmen und zu beaufsichtigen, darunter auch das Anzeigen, Speichern, Herunterladen und Exportieren von Daten und das Berechnen abgeleiteter Daten mithilfe von Rechenalgorithmen;
„gesetzlicher Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die ausdrücklich benannt wurde, um im Auftrag eines nicht in der Union niedergelassenen Anbieters von Datenvermittlungsdiensten oder einer Einrichtung, die von natürlichen oder juristischen Personen auf der Grundlage des Datenaltruismus für Ziele von allgemeinem Interesse zur Verfügung gestellte Daten erhebt, zu handeln, und an die sich die für die Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung datenaltruistischer Organisationen zuständigen Behörden hinsichtlich der Verpflichtungen nach dieser Verordnung ausschließlich oder zusätzlich zu den betreffenden Anbietern von Datenvermittlungsdiensten bzw. den betreffenden Einrichtungen, wenden auch um gegen einen nicht in der Union niedergelassenen Anbieter von Datenvermittlungsdiensten oder eine nicht in der Union niedergelassene Einrichtung, der bzw. die die Vorschriften nicht einhält, Durchsetzungsverfahren einzuleiten.
KAPITEL II
Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen
Artikel 3
Datenkategorien
Dieses Kapitel gilt für Daten, die sich im Besitz öffentlicher Stellen befinden und aus folgenden Gründen geschützt sind:
geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnissen, Berufsgeheimnissen, Unternehmensgeheimnissen;
statistische Geheimhaltung,
der Schutz geistigen Eigentums Dritter oder
der Schutz personenbezogener Daten, soweit diese Daten nicht in den Anwendungsbereich der Richtlinie (EU) 2019/1024 fallen.
Dieses Kapitel gilt nicht für
Daten, die im Besitz öffentlicher Unternehmen sind,
Daten, die im Besitz öffentlich-rechtlicher Rundfunkanstalten und ihrer Zweigstellen oder anderer Stellen und deren Zweigstellen sind und der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
Daten, die im Besitz von Kultureinrichtungen und Bildungseinrichtungen sind,
Daten, die im Besitz öffentlicher Stellen sind und aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
Daten, deren Bereitstellung nicht unter den im betreffenden Mitgliedstaat gesetzlich oder anderweitig verbindlich festgelegten öffentlichen Auftrag der betreffenden öffentlichen Stellen fällt oder, in Ermangelung solcher Rechtsvorschriften, nicht unter den durch allgemeine Verwaltungspraxis in dem Mitgliedstaat festgelegten öffentlichen Auftrag fällt, vorausgesetzt, dass der Umfang der öffentlichen Aufträge transparent ist und regelmäßig überprüft wird.
Dieses Kapitel berührt nicht:
Das Unionsrecht und das nationale Recht oder völkerrechtliche Übereinkünfte, denen die Union oder die Mitgliedstaaten beigetreten sind, in Bezug auf den Schutz der in Absatz 1 genannten Datenkategorien und
das Unionsrecht und das nationale Recht über den Zugang zu Dokumenten.
Artikel 4
Verbot von Ausschließlichkeitsvereinbarungen
Artikel 5
Bedingungen für die Weiterverwendung
Die Mitgliedstaaten stellen sicher, dass die öffentlichen Stellen über die notwendigen Ressourcen verfügen und den vorliegenden Artikel einhalten.
Öffentliche Stellen sorgen gemäß dem Unionsrecht und dem nationalen Recht dafür, dass die Daten geschützt bleiben. Sie können folgende Anforderungen vorschreiben:
Den Zugang zur Weiterverwendung von Daten nur zu gewähren, wenn die öffentliche Stelle oder die zuständige Stelle nach Eingang des Antrags auf Weiterverwendung sichergestellt hat, dass die Daten
im Falle personenbezogener Daten anonymisiert wurden und
im Falle von vertraulichen Geschäftsinformationen, einschließlich Geschäftsgeheimnisse oder durch Rechte des geistigen Eigentums geschützte Inhalte, nach einer anderen Methode der Offenlegungskontrolle verändert, aggregiert oder aufbereitet wurden,
der Zugang zu den Daten und deren Weiterverwendung erfolgt durch Fernzugriff in einer von der öffentlichen Stelle bereitgestellten oder kontrollierten sicheren Verarbeitungsumgebung,
der Zugang zu den Daten und deren Weiterverwendung erfolgt unter Einhaltung hoher Sicherheitsstandards innerhalb der physischen Räumlichkeiten, in denen sich die sichere Verarbeitungsumgebung befindet, sofern ein Fernzugriff nicht erlaubt werden kann, ohne die Rechte und Interessen Dritter zu gefährden.
Öffentliche Stellen übermitteln nicht personenbezogene vertrauliche Daten oder durch Rechte des geistigen Eigentums geschützte Daten nur dann an einen Weiterverwender, der beabsichtigt, diese Daten in ein nicht gemäß Absatz 12 benanntes Drittland zu übertragen, wenn der Weiterverwender sich vertraglich dazu verpflichtet,
die gemäß den Absätzen 7 und 8 auferlegten Verpflichtungen auch nach der Übertragung der Daten in das Drittland weiterhin zu erfüllen und
die Zuständigkeit der Gerichte des Mitgliedstaats der übermittelnden öffentlichen Stelle für alle Streitigkeiten im Zusammenhang mit der Einhaltung der Absätze 7 und 8 anzuerkennen.
Zur Unterstützung der öffentlichen Stellen und der Weiterverwender kann die Kommission Durchführungsrechtsakte mit Mustervertragsklauseln für die Erfüllung der in Absatz 10 des vorliegenden Artikels genannten Verpflichtungen erlassen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 33 Absatz 3 genannten Prüfverfahren erlassen.
Wenn dies aufgrund der Vielzahl unionsweit gestellter Anträge auf Weiterverwendung nicht personenbezogener Daten in bestimmten Drittländern gerechtfertigt ist, kann die Kommission Durchführungsrechtsakte erlassen, in denen sie erklärt, dass die Rechts-, Aufsichts- und Durchsetzungsmechanismen eines Drittlands
den Schutz geistigen Eigentums und von Geschäftsgeheimnissen in einer Weise gewährleisten, die im Wesentlichen dem durch das Unionsrecht gewährleisteten Schutz gleichwertig ist,
wirksam angewendet und durchgesetzt werden und
wirksame gerichtliche Rechtsbehelfe vorsehen.
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 33 Absatz 3 genannten Prüfverfahren erlassen.
Diese besonderen Bedingungen richten sich nach der Art der Kategorien der nicht personenbezogenen Daten, die in dem besonderen Gesetzgebungsakt der Union aufgeführt werden, und den Gründen, aus denen diese Kategorien als hochsensibel gelten, wobei sie die Risiken einer erneuten Identifizierung anhand anonymisierter Daten berücksichtigen. Sie sind nichtdiskriminierend und auf das erforderliche Maß zur Erreichung der in diesem Gesetzgebungsakt der Union festgelegten Ziele des Gemeinwohls der Union beschränkt; sie stehen im Einklang mit den internationalen Verpflichtungen der Union.
Wenn dies nach besonderen Gesetzgebungsakt der Union gemäß Unterabsatz 1 erforderlich ist, können diese besonderen Bedingungen Vorgaben für die Übertragung oder diesbezügliche technische Vorkehrungen, Beschränkungen bezüglich der Weiterverwendung von Daten in Drittländern oder Kategorien von Personen, die berechtigt sind, solche Daten in Drittländer zu übertragen, oder – in Ausnahmefällen – Beschränkungen für Übertragungen in Drittländer umfassen.
Artikel 6
Gebühren
Gebühren werden aus den Kosten abgeleitet, die mit der Durchführung des Antragsverfahrens auf Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien verbunden sind, und auf die für das Folgende erforderlichen Kosten beschränkt:
die Vervielfältigung, Bereitstellung und Verbreitung der Daten,
die Freigabe der Urheberrechte,
die Anonymisierung oder sonstigen Aufbereitung personenbezogener oder vertraulicher Geschäftsinformationen gemäß Artikel 5 Absatz 3,
die Instandhaltung einer sicheren Verarbeitungsumgebung,
der Erwerb des Rechts auf Erlaubnis der Weiterverwendung gemäß diesem Kapitel von Dritten außerhalb des öffentlichen Sektors und
der Unterstützung von Weiterverwendern bei der Einholung der Einwilligung der betroffenen Personen und der Erlaubnis der Dateninhaber, deren Rechte und Interessen durch eine solche Weiterverwendung beeinträchtigt werden könnten.
Artikel 7
Zuständige Stellen
Soweit erforderlich, beinhaltet die Unterstützung nach Absatz 1 Folgendes:
Leistung technischer Unterstützung durch Bereitstellung einer sicheren Verarbeitungsumgebung für die Gewährung des Zugangs zur Weiterverwendung von Daten;
Beratung und technische Unterstützung bei der bestmöglichen Strukturierung und Speicherung von Daten, um diese Daten leicht zugänglich zu machen;
Leistung technischer Unterstützung bei der Pseudonymisierung und Sicherstellung, dass die Datenverarbeitung in einer Weise erfolgt, bei der die Privatsphäre, die Vertraulichkeit, die Integrität und die Zugänglichkeit in Bezug auf die Informationen in den Daten, deren Weiterverwendung erlaubt wird, effektiv gewahrt bleiben; dazu gehören auch Techniken zur Anonymisierung, Generalisierung, Unterdrückung und Randomisierung personenbezogener Daten oder andere dem Stand der Technik entsprechende Methoden zur Wahrung der Privatsphäre sowie die Löschung vertraulicher Geschäftsinformationen, wie Handelsgeheimnisse oder durch Rechte des geistigen Eigentums geschützte Inhalte;
gegebenenfalls Unterstützung der öffentlichen Stellen, um Weiterverwender bei der Einholung der Einwilligung der betroffenen Personen zur Weiterverwendung oder der Erlaubnis der Dateninhaber entsprechend ihrer besonderen Festlegungen zu unterstützen, auch im Hinblick auf das Hoheitsgebiet, in dem die Datenverarbeitung stattfinden soll, und Unterstützung der öffentlichen Stellen bei der Einrichtung technischer Mechanismen, mit denen Einwilligungsanfragen oder die Erlaubnis der Weiterverwender übermittelt werden können, soweit dies praktikabel ist;
Unterstützung öffentlicher Stellen bei der Beurteilung, ob die von einem Weiterverwender nach Artikel 5 Absatz 10 eingegangenen vertragliche Zusagen angemessen sind.
Artikel 8
Zentrale Informationsstellen
Artikel 9
Verfahren für Anträge auf Weiterverwendung
Bei außergewöhnlich umfangreichen und komplexen Anträgen auf Weiterverwendung kann diese Frist von zwei Monaten um bis zu 30 Tage verlängert werden. In solchen Fällen teilen die zuständigen öffentlichen Stellen oder die in Artikel 7 Absatz 1 genannten zuständigen Stellen dem Antragsteller möglichst bald mit, dass für die Durchführung des Verfahrens mehr Zeit benötigt wird, zusammen mit den Gründen für die Verzögerung.
KAPITEL III
Anforderungen an Datenvermittlungsdienste
Artikel 10
Datenvermittlungsdienste
Die Erbringung der folgenden Datenvermittlungsdienste erfolgt gemäß Artikel 12 und unterliegt einem Anmeldeverfahren:
Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern, einschließlich Bereitstellung der technischen oder sonstigen Mittel als Voraussetzung solcher Dienste; zu diesen Diensten können auch der zwei- oder mehrseitige Austausch von Daten oder die Einrichtung von Plattformen oder Datenbanken, die den Austausch oder die gemeinsame Nutzung von Daten ermöglichen, sowie die Einrichtung anderer spezieller Infrastrukturen für die Vernetzung von Dateninhabern mit Datennutzern gehören;
Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern, einschließlich Bereitstellung der technischen oder sonstigen Mittel als Voraussetzung dieser Dienste, sowie insbesondere Ermöglichung der Ausübung der in der Verordnung (EU) 2016/679 verankerten Rechte betroffener Personen;
Dienste von Datengenossenschaften.
Artikel 11
Anmeldung der Anbieter von Datenvermittlungsdiensten
Um die Einhaltung dieser Verordnung sicherzustellen, beauftragt der Anbieter der Datenvermittlungsdienste den gesetzlichen Vertreter, neben ihm oder an seiner Stelle für Datenvermittlungsdienste zuständigen Behörden oder betroffenen Personen und Dateninhabern bei Fragen im Zusammenhang mit den erbrachten Datenvermittlungsdiensten als Anlaufstelle zu dienen. Der gesetzliche Vertreter arbeitet mit den für Datenvermittlungsdienste zuständigen Behörden zusammen und legt ihnen auf Verlangen umfassend dar, welche Maßnahmen und Vorkehrungen der Anbieter von Datenvermittlungsdiensten getroffen hat, um die Einhaltung dieser Verordnung sicherzustellen.
Es gilt, dass der Anbieter von Datenvermittlungsdiensten der rechtlichen Zuständigkeit des Mitgliedstaats unterliegt, in dem sich der gesetzliche Vertreter befindet. Die Benennung eines gesetzlichen Vertreters durch den Anbieter von Datenvermittlungsdiensten erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Anbieter von Datenvermittlungsdiensten.
Die in Absatz 1 genannte Anmeldung muss folgende Angaben enthalten:
den Namen des Anbieters von Datenvermittlungsdiensten,
den Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern der Anbieter von Datenvermittlungsdiensten in einem Handelsregister oder einem anderen vergleichbaren öffentlichen nationalen Register eingetragen ist, die Registernummer des Anbieters von Datenvermittlungsdiensten,
die Anschrift der Hauptniederlassung des Anbieters von Datenvermittlungsdiensten in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
eine öffentliche Website mit vollständigen und aktuellen Informationen über den Anbieter von Datenvermittlungsdiensten und seine Tätigkeiten, einschließlich mindestens der Informationen gemäß den Buchstaben a, b, c und f,
die Kontaktpersonen und Kontaktangaben des Anbieters von Datenvermittlungsdiensten,
eine Beschreibung des Datenvermittlungsdienstes, den der Anbieter von Datenvermittlungsdiensten zu erbringen beabsichtigt, und Angaben dazu, unter welche der in Artikel 10 genannten Kategorien dieser Datenvermittlungsdienst fällt,
den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.
Damit in der Union anerkannte Anbieter von Datenvermittlungsdiensten in der gesamten Union leicht erkennbar sind, legt die Kommission im Wege von Durchführungsrechtsakten die Ausgestaltung eines gemeinsamen Logos fest. In der Union anerkannte Anbieter von Datenvermittlungsdiensten verwenden das gemeinsame Logo deutlich gut sichtbar auf jeder mit ihren Datenvermittlungsdiensten verbundenen Online- und Offline-Veröffentlichung.
Die Durchführungsrechtsakte werden nach dem in Artikel 33 Absatz 2 genannten Beratungsverfahren erlassen.
Artikel 12
Bedingungen für die Erbringung von Datenvermittlungsdiensten
Die Erbringung von Datenvermittlungsdiensten nach Artikel 10 unterliegt folgenden Bedingungen:
Der Anbieter von Datenvermittlungsdiensten verwendet die Daten, für die er Datenvermittlungsdienste erbringt, für keine anderen Zwecke, als sie den Datennutzern zur Verfügung zu stellen, und stellt die Datenvermittlungsdienste über eine gesonderte juristische Person bereit;
die kommerziellen Bedingungen, einschließlich der Preisgestaltung, für die Erbringung von Datenvermittlungsdiensten für einen Dateninhaber oder Datennutzer sind nicht davon abhängig, ob der Dateninhaber oder Datennutzer andere Dienste desselben Anbieters von Datenvermittlungsdiensten oder eines verbundenen Unternehmens nutzt, und wenn dies der Fall ist, in welchem Umfang der Dateninhaber oder Datennutzer diese anderen Dienste nutzt;
die Daten, die in Bezug auf Tätigkeiten einer natürlichen oder juristischen Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, einschließlich Datum, Uhrzeit und Geolokalisierungsdaten, Dauer der Tätigkeit sowie Verbindungen zu anderen natürlichen oder juristischen Personen, die von der den Datenvermittlungsdienst nutzenden Person hergestellt werden, werden nur für die Entwicklung dieses Datenvermittlungsdienstes verwendet, was die Nutzung von Daten für die Aufdeckung von Betrug oder im Interesse der Cybersicherheit umfassen kann, und sie sind den Dateninhabern auf Anfrage zur Verfügung zu stellen;
der Anbieter von Datenvermittlungsdiensten ermöglicht den Austausch der Daten in dem Format, in dem er diese von einer betroffenen Person oder vom Dateninhaber erhält, wandelt die Daten nur in bestimmte Formate um, um die Interoperabilität innerhalb und zwischen Sektoren zu verbessern, oder wenn der Datennutzer dies verlangt, oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient und bietet betroffenen Personen oder Dateninhabern die Möglichkeit an, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind;
Datenvermittlungsdienste können ein Angebot zusätzlicher spezifischer Werkzeuge und Dienste für Dateninhaber oder betroffene Personen umfassen, insbesondere um den Datenaustausch zu erleichtern, z. B. vorübergehende Speicherung, Pflege, Konvertierung, Anonymisierung und Pseudonymisierung; diese Werkzeuge werden nur auf ausdrücklichen Antrag oder mit Zustimmung des Dateninhabers oder der betroffenen Person verwendet, und die in diesem Zusammenhang angebotenen Werkzeugen Dritter werden für keine anderen Zwecke verwendet;
der Anbieter von Datenvermittlungsdiensten stellt sicher, dass das Verfahren für den Zugang zu seinem Dienst sowohl für betroffene Personen als auch für Dateninhaber sowie für Datennutzer – auch in Bezug auf die Preise und die Geschäftsbedingungen – fair, transparent und nichtdiskriminierend ist;
der Anbieter von Datenvermittlungsdiensten verfügt über Verfahren, um betrügerische oder missbräuchliche Praktiken in Bezug auf Parteien zu verhindern, die über seine Datenvermittlungsdienste Zugang zu erlangen suchen;
der Anbieter von Datenvermittlungsdiensten gewährleistet im Falle seiner Insolvenz eine angemessene Weiterführung der Erbringung seiner Datenvermittlungsdienste und richtet, sofern dieser Datenvermittlungsdienst die Speicherung von Daten sicherstellt, Mechanismen ein, die es Dateninhabern und Datennutzern ermöglichen, Zugang zu ihren Daten zu erhalten, diese zu übertragen oder abzurufen und im Fall der Erbringung von Datenvermittlungsdiensten zwischen betroffenen Personen und Datennutzern, ihre Rechte auszuüben;
der Anbieter von Datenvermittlungsdiensten trifft geeignete Maßnahmen, um unter anderem mithilfe von allgemein verwendeten offenen Standards in dem Sektor, in dem der Anbieter von Datenvermittlungsdiensten tätig ist, die Interoperabilität mit anderen Datenvermittlungsdiensten zu gewährleisten;
der Anbieter von Datenvermittlungsdiensten ergreift angemessene technische, rechtliche und organisatorische Maßnahmen, um die Übertragung nicht personenbezogener Daten oder den Zugang zu diesen Daten zu verhindern, die nach Maßgabe des Unionsrechts oder des nationalen Rechts des jeweiligen Mitgliedstaats rechtswidrig sind;
die Dateninhaber werden vom Anbieter von Datenvermittlungsdiensten im Falle einer unbefugten Übertragung, des unbefugten Zugriffs oder der unbefugten Nutzung der von ihm geteilten nicht personenbezogenen Daten unverzüglich unterrichtet;
der Anbieter von Datenvermittlungsdiensten trifft die notwendigen Maßnahmen, um ein angemessenes Sicherheitsniveau bei der Speicherung, Verarbeitung und Übermittlung nicht personenbezogener Daten zu gewährleisten, und der Anbieter von Datenvermittlungsdiensten stellt ferner das höchste Sicherheitsniveau bei der Speicherung und Übermittlung sensibler wettbewerbsrelevanter Informationen sicher;
der Anbieter von Datenvermittlungsdiensten, der Dienste für betroffene Personen anbietet, handelt bei der Erleichterung der Rechteausausübung durch die betroffenen Personen im besten Interesse der betroffenen Personen; insbesondere informiert und –soweit erforderlich – berät er betroffene Personen in prägnanter, transparenter, verständlicher und leicht zugänglicher Weise über die beabsichtigte Nutzung der Daten durch Datennutzer und die üblichen Geschäftsbedingungen für solche Nutzungen, bevor die betroffenen Personen ihre Einwilligung erteilen;
stellt ein Anbieter von Datenvermittlungsdiensten Werkzeuge zur Einholung der Einwilligung betroffener Personen oder der Erlaubnis zur Verarbeitung der von Dateninhabern zur Verfügung gestellten Daten bereit, so gibt er gegebenenfalls das Hoheitsgebiet des Drittlandes an, in dem die Datennutzung stattfinden soll, und stellt den betroffenen Personen Werkzeuge zur Erteilung und zum Widerruf der Einwilligung sowie Dateninhabern Werkzeuge zur Erteilung und zum Widerruf der Erlaubnis zur Verarbeitung von Daten zur Verfügung;
der Anbieter von Datenvermittlungsdiensten führt ein Protokoll über die Datenvermittlungstätigkeit.
Artikel 13
Zuständige Behörden für Datenvermittlungsdienste
Artikel 14
Überwachung der Einhaltung
Die für Datenvermittlungsdienste zuständige Behörde ist befugt, die Beendigung des in Absatz 3 genannten Verstoßes innerhalb einer angemessenen Frist oder im Fall eines schwerwiegenden Verstoßes unverzüglich zu verlangen, und ergreift angemessene und verhältnismäßige Maßnahmen, um die Einhaltung sicherzustellen. In dieser Hinsicht müssen die für Datenvermittlungsdienste zuständigen Behörden gegebenenfalls dazu befugt sein,
im Rahmen von Verwaltungsverfahren abschreckende Geldstrafen, die Zwangsgelder und Zwangsgelder mit Rückwirkung umfassen können, zu verhängen gerichtliche Verfahren zur Verhängung von Geldbußen einzuleiten, oder beides zu tun;
eine Verschiebung des Beginns oder eine Aussetzung der Erbringung des Datenvermittlungsdienstes bis zu den von der für Datenvermittlungsdienste zuständigen Behörde geforderten Änderungen seiner Bedingungen anzuordnen oder
die Einstellung der Bereitstellung des Datenvermittlungsdienstes anzuordnen, falls schwere oder wiederholte Verstöße trotz der vorherigen Mitteilung gemäß Absatz 3 nicht behoben wurden.
Die für Datenvermittlungsdienste zuständige Behörde fordert die Kommission auf, den Anbieter des Datenvermittlungsdienstes aus dem Register der Anbieter von Datenvermittlungsdiensten zu streichen, sobald sie die Einstellung der Bereitstellung von Datenvermittlungsdiensten gemäß Unterabsatz 1 Buchstabe c angeordnet hat.
Wenn ein Anbieter von Datenvermittlungsdiensten die Verstöße beseitigt, teilt dieser Anbieter von Datenvermittlungsdiensten dies erneut der für Datenvermittlungsdienste zuständigen Behörde mit. Die für Datenvermittlungsdienste zuständige Behörde teilt der Kommission jede erneute Mitteilung mit.
Ersucht eine für Datenvermittlungsdienste zuständige Behörde in einem Mitgliedstaat um Unterstützung einer für Datenvermittlungsdienste zuständigen Behörden aus einem anderen Mitgliedstaat, so stellt sie ein begründetes Ersuchen. Die für Datenvermittlungsdienste zuständige Behörde antwortet dieses Ersuchen unverzüglich und innerhalb einer Frist, die der Dringlichkeit des Ersuchens angemessen ist.
Alle Informationen, die im Zusammenhang mit einem Amtshilfeersuchen und geleisteter Amtshilfe nach diesem Artikel ausgetauscht werden, dürfen nur zu den Zwecken verwendet werden, für die um sie ersucht wurde.
Artikel 15
Ausnahmen
Dieses Kapitel gilt nicht für anerkannte datenaltruistische Organisationen und andere Einrichtungen ohne Erwerbszweck, soweit deren Tätigkeit darin besteht, für Ziele von allgemeinem Interesse Daten zu erheben, die von natürlichen oder juristischen Personen auf der Grundlage des Datenaltruismus zur Verfügung gestellt werden, es sei denn, diese Organisationen und Einrichtungen sind bestrebt, Geschäftsbeziehungen zwischen einer unbestimmten Zahl von betroffenen Personen und Dateninhabern einerseits und Datennutzern andererseits herzustellen.
KAPITEL IV
Datenaltruismus
Artikel 16
Nationale Regelungen für Datenaltruismus
Die Mitgliedstaaten können organisatorische oder technische Regelungen oder beides festlegen, um Datenaltruismus zu erleichtern. Hierzu können die Mitgliedstaaten nationale Strategien für Datenaltruismus festlegen. Diese nationalen Strategien können insbesondere dazu dienen, betroffene Personen dabei zu unterstützen, sie betreffende personenbezogene Daten im Besitz öffentlicher Stellen freiwillig für den Datenaltruismus zur Verfügung zu stellen, und die erforderlichen Informationen festzulegen, die betroffenen Personen in Bezug auf die Weiterverwendung ihrer Daten im allgemeinen Interesse zur Verfügung gestellt werden müssen.
Entwickelt ein Mitgliedstaat solche nationalen Strategien, so teilt er dies der Kommission mit.
Artikel 17
Öffentliche Register der anerkannten datenaltruistischen Organisationen
Damit anerkannte datenaltruistische Organisationen in der gesamten Union leicht zu erkennen sind, legt die Kommission im Wege von Durchführungsrechtsakten die Ausgestaltung des gemeinsamen Logos fest. Anerkannte datenaltruistische Organisationen verwenden das gemeinsame Logo gut sichtbar auf jeder Online- und Offline-Veröffentlichung, die mit ihren datenaltruistischen Tätigkeiten in Zusammenhang steht. Das gemeinsame Logo erscheint gemeinsam mit einem QR-Code mit Link zum öffentlichen Unionsregister der anerkannten datenaltruistischen Organisationen.
Die Durchführungsrechtsakte werden nach dem in Artikel 33 Absatz 2 genannten Beratungsverfahren erlassen.
Artikel 18
Allgemeine Eintragungsanforderungen
Um für eine Eintragung in ein öffentliches nationales Register anerkannter datenaltruistischer Organisationen infrage zu kommen, muss eine Einrichtung
datenaltruistische Tätigkeiten durchführen;
gemäß nationalem Recht Rechtspersönlichkeit haben, um gegebenenfalls gemäß dem nationalen Recht Ziele von allgemeinem Interesse zu erreichen;
selbst ohne Erwerbszweck tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten funktionell getrennt ist;
dem in Artikel 22 Absatz 1 genannten Regelwerk entsprechen, und zwar spätestens 18 Monate nach dem Tag des Inkrafttretens der delegierten Rechtsakte, auf die in jenem Absatz Bezuggenommen wird.
Artikel 19
Eintragung anerkannter datenaltruistischer Organisationen
Um die Einhaltung dieser Verordnung sicherzustellen, beauftragt die Einrichtung den gesetzlichen Vertreter, neben ihr oder an ihrer Stelle für die Registrierung datenaltruistischer Organisationen den zuständigen Behörden oder betroffenen Personen und Dateninhabern bei Fragen im Zusammenhang mit diesen Einrichtungen als Anlaufstelle zu dienen. Der gesetzliche Vertreter arbeitet mit den für die Registrierung datenaltruistischer Organisationen zuständigen Behörden zusammen und legt ihnen auf Verlangen umfassend dar, welche Maßnahmen und Vorkehrungen die Einrichtung getroffen hat, um die Einhaltung dieser Verordnung sicherzustellen.
Die Einrichtung gilt als in der Zuständigkeit des Mitgliedstaats liegend, in dem der gesetzliche Vertreter niedergelassen ist. Die Einrichtung kann einen Antrag zur Registrierung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen in diesem Mitgliedstaat beantragen. Die Benennung eines gesetzlichen Vertreters durch die Einrichtung erfolgt unbeschadet etwaiger rechtlicher Schritte gegen die Einrichtung.
Der Eintragungsantrag gemäß den Absätzen 1, 2 und 3 muss folgende Angaben enthalten:
den Namen der Einrichtung,
Rechtsstatus, Rechtsform und, sofern die Einrichtung in einem öffentlichen nationalen Register eingetragen ist, Registernummer der Einrichtung,
die Satzung der Einrichtung, falls zutreffend,
die Einnahmequellen der Einrichtung,
die Anschrift der Hauptniederlassung der Einrichtung in der Union, falls vorhanden, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
eine öffentliche Website mit vollständigen und aktuellen Informationen über die Einrichtung und ihre Tätigkeiten, einschließlich mindestens der Informationen gemäß den Buchstaben a, b, d, e und h,
die Kontaktpersonen und Kontaktangaben der Einrichtung,
die Ziele von allgemeinem Interesse, die sie mit der Erhebung der Daten fördern will,
die Art der Daten, die die Einrichtung überprüfen oder verarbeiten will, sowie, im Fall von personenbezogenen Daten, die Kategorien von personenbezogenen Daten,
alle sonstigen Nachweise, die belegen, dass die Anforderungen des Artikels 18 erfüllt werden.
Die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde teilt der Kommission jede Registrierung mit. Die Kommission nimmt diese Registrierung in das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen auf.
Die für die Registrierung datenaltruistischer Organisationen zuständigen Behörde teilt der Kommission unverzüglich jede solche Mitteilung auf elektronischem Wege mit. Auf der Grundlage einer solchen Meldung aktualisiert die Kommission unverzüglich das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen.
Artikel 20
Transparenzanforderungen
Eine anerkannte datenaltruistische Organisation führt vollständige und genaue Aufzeichnungen über Folgendes:
alle natürlichen oder juristischen Personen, denen die Möglichkeit zur Verarbeitung der im Besitz dieser anerkannten datenaltruistischen Organisation befindlichen Daten gegeben wurde, sowie deren Kontaktdaten,
den Zeitpunkt oder die Dauer der Verarbeitung personenbezogener Daten oder der Nutzung nicht personenbezogener Daten,
den Zweck der Verarbeitung entsprechend der Erklärung der natürlichen oder juristischen Person, der die Möglichkeit zur Verarbeitung gegeben wurde,
etwaige Gebühren, die von den die Daten verarbeitenden natürlichen oder juristischen Personen gezahlt wurden.
Eine anerkannte datenaltruistische Organisation erstellt einen jährlichen Tätigkeitsbericht und übermittelt ihn der entsprechenden für die Eintragung von datenaltruistischen Organisationen zuständigen Behörde; dieser Bericht enthält mindestens Folgendes:
Informationen über die Tätigkeiten der anerkannten datenaltruistischen Organisation,
eine Beschreibung, in welcher Weise die Zwecke von allgemeinem Interesse, zu denen die Daten gesammelt wurden, in dem betreffenden Geschäftsjahr gefördert wurden,
eine Liste aller natürlichen und juristischen Personen, denen erlaubt wurde, die in ihrem Besitz befindlichen Daten zu verarbeiten, einschließlich einer zusammenfassenden Beschreibung der Zwecke von allgemeinem Interesse, die mit dieser Datenverarbeitung verfolgt wurden, und einer Beschreibung der hierzu herangezogenen technischen Mittel, die auch eine Beschreibung der zur Wahrung der Privatsphäre und des Datenschutzes eingesetzten Techniken umfasst,
gegebenenfalls eine Zusammenfassung der Ergebnisse der von der anerkannten datenaltruistischen Organisationerlaubten Datenverarbeitung,
Informationen über die Einnahmequellen der anerkannten datenaltruistischen Organisation, insbesondere alle Einnahmen aus der Zugänglichmachung der Daten, sowie über die Ausgaben.
Artikel 21
Besondere Anforderungen zum Schutz der Rechte und Interessen betroffener Personen und Dateninhaber im Hinblick auf ihre Daten
Eine anerkannte datenaltruistische Organisation informiert betroffene Personen oder Dateninhaber vor der Verarbeitung ihrer Daten auf klare und leicht verständliche Weise über Folgendes:
die Ziele von allgemeinem Interesse und gegebenenfalls den angegebenen, ausdrücklichen und rechtmäßigen Zweck der Verarbeitung personenbezogener Daten, für die sie die Verarbeitung ihrer Daten durch einen Datennutzer erlaubt;
den Standort und die Ziele von allgemeinem Interesse, für die sie eine etwaige Verarbeitung in einem Drittland erlaubt, sofern die Verarbeitung von der anerkannten datenaltruistischen Organisation vorgenommen wird.
Artikel 22
Regelwerk
Die Kommission erlässt gemäß Artikel 32 delegierte Rechtsakte zur Ergänzung der vorliegenden Verordnung durch die Ausarbeitung eines Regelwerks, das Folgendes enthält:
angemessene Informationsanforderungen, um sicherzustellen, dass betroffene Personen und Dateninhaber vor Erteilung einer Einwilligung oder Erlaubnis für Datenaltruismus ausreichend detaillierte, klare und transparente Informationen über die Datennutzung, die Werkzeuge zur Erteilung und zum Widerruf der Einwilligung oder Erlaubnis und über die Maßnahmen erhalten, die ergriffen werden, um einen Missbrauch der mit der datenaltruistischen Organisation ausgetauschten Daten zu verhindern,
geeignete technische Anforderungen und Sicherheitsanforderungen, um ein angemessenes Sicherheitsniveau für die Speicherung und Verarbeitung von Daten sowie für die Werkzeuge zur Erteilung und zum Widerruf der Einwilligung oder der Erlaubnis,
Kommunikationsfahrpläne, bei denen ein multidisziplinärer Ansatz verfolgt wird, um das Bewusstsein für Datenaltruismus, die Bezeichnung als „in der Union anerkannte datenaltruistische Organisation“ und das Regelwerk unter den einschlägigen Interessenträgern, insbesondere Dateninhabern und betroffenen Personen, die möglicherweise ihre Daten austauschen würden, zu schärfen,
Empfehlungen zu einschlägigen Interoperabilitätsnormen.
Artikel 23
Für die Registrierung von datenaltruistischen Organisationen zuständige Behörden
Die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden müssen den Anforderungen gemäß Artikel 26 entsprechen.
Artikel 24
Überwachung der Einhaltung
Erfüllt eine anerkannte datenaltruistische Organisation eine oder mehrere der Anforderungen dieses Kapitels auch dann nicht, nachdem sie von der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde gemäß Absatz 3 davon unterrichtet wurde, so
verliert sie ihr Recht, in ihrer schriftlichen und mündlichen Kommunikation die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ zu führen,
wird sie aus dem einschlägigen öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen und dem öffentlichen Unionsregister der anerkannten datenaltruistischen Organisationen gestrichen.
Jede Entscheidung gemäß Unterabsatz 1 Buchstabe a, die das Recht widerruft, die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ zu führen, wird durch die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde öffentlich zugänglich gemacht.
Ersucht eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde in einem Mitgliedstaat um Unterstützung durch eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde in einem anderen Mitgliedstaat, so stellt sie ein begründetes Ersuchen. Nach einem solchen Ersuchen antwortet die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde unverzüglich und innerhalb eines Zeitrahmens, der der Dringlichkeit des Ersuchens angemessen ist.
Alle Informationen, die im Zusammenhang mit einem Amtshilfeersuchen und geleisteter Amtshilfe nach diesem Artikel ausgetauscht werden, dürfen nur zu den Zwecken des Ersuchens verwendet werden.
Artikel 25
Europäisches Einwilligungsformular für Datenaltruismus
KAPITEL V
Zuständige Behörden und Verfahrensvorschriften
Artikel 26
Anforderungen an zuständige Behörden
Artikel 27
Beschwerderecht
Die für Datenvermittlungsdienste zuständige Behörde und die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde, bei der die Beschwerde eingelegt wurde, unterrichtet den Beschwerdeführer
über den Stand des Verfahrens und die getroffene Entscheidung und
über die Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 28.
Artikel 28
Recht auf einen wirksamen gerichtlichen Rechtsbehelf
KAPITEL VI
Europäischer Dateninnovationsrat
Artikel 29
Europäischer Dateninnovationsrat
Der Europäische Dateninnovationsrat besteht aus mindestens den drei folgenden Untergruppen:
einer aus den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden zusammengesetzten Untergruppe für die Aufgaben gemäß Artikel 30 Buchstaben a, c, j und k,
einer Untergruppe für technische Beratungen zu Normung, Übertragbarkeit und Interoperabilität gemäß Artikel 30 Buchstaben f und g,
einer Untergruppe für die Einbeziehung von Interessenträgern, der einschlägige Vertreter der Wirtschaft, der Forschung, der Wissenschaft, der Zivilgesellschaft, von Normungsgremien, einschlägigen gemeinsamen europäischen Datenräumen und andere einschlägige Interessenträger und Dritte angehören, die den Europäischen Dateninnovationsrat zu Aufgaben gemäß Artikel 30 Buchstaben d, e, f, g und h beraten.
Artikel 30
Aufgaben des Europäischen Dateninnovationsrats
Der Europäische Dateninnovationsrat hat folgende Aufgaben:
Beratung und Unterstützung der Kommission bei der Entwicklung einer einheitlichen Praxis der öffentlichen Stellen und der in Artikel 7 Absatz 1 genannten zuständigen Stellen für die Bearbeitung von Anträgen auf Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien;
Beratung und Unterstützung der Kommission bei der Entwicklung einer einheitlichen Praxis für den unionsweiten Datenaltruismus;
Beratung und Unterstützung der Kommission bei der Entwicklung einer einheitlichen Praxis der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden bei der Anwendung der Anforderungen, die jeweils für Anbieter von Datenvermittlungsdiensten und anerkannte datenaltruistische Organisationen gelten;
Beratung und Unterstützung der Kommission bei der Entwicklung einheitlicher Leitlinien dazu, wie nicht personenbezogene sensible Geschäftsdaten, vor allem Geschäftsgeheimnisse, aber auch nicht personenbezogene Daten von Inhalten, die durch Rechte des geistigen Eigentums geschützt sind, vor unrechtmäßigem Zugriff, der möglicherweise den Diebstahl geistigen Eigentums oder Industriespionage zur Folge hat, optimal geschützt werden können;
Beratung und Unterstützung der Kommission bei der Entwicklung einheitlicher Leitlinien zu Cybersicherheitsanforderungen beim Austausch und der Speicherung von Daten;
Beratung der Kommission unter besonderer Berücksichtigung der Beiträge von Normungsgremien bei der Festlegung von Prioritäten für die Verwendung bzw. Entwicklung sektorübergreifender Normen für die Datennutzung und sektorübergreifende gemeinsame Datennutzung durch neue gemeinsame europäische Datenräume sowie für den sektorübergreifenden Vergleich und Austausch bewährter Verfahren in Bezug auf Sicherheitsanforderungen und Zugangsverfahren in bestimmten Sektoren, wobei sektorspezifische Normungstätigkeiten insbesondere bei der Klärung, welche Normen und Praktiken sektorspezifisch und welche sektorübergreifend sind, und bei der diesbezüglichen Differenzierung zu berücksichtigen sind;
Unterstützung der Kommission unter besonderer Berücksichtigung der Beiträge von Normungsgremien bei ihren Bemühungen, einer Fragmentierung des Binnenmarkts und der Datenwirtschaft im Binnenmarkt entgegenzuwirken, indem die grenzüberschreitende und die sektorübergreifende Interoperabilität von Daten sowie von Diensten für die gemeinsame Datennutzung zwischen verschiedenen Sektoren und Bereichen auf der Grundlage bestehender europäischer, internationaler oder nationaler Normen verbessert wird, um unter anderem die Schaffung gemeinsamer europäischer Datenräume zu fördern;
Unterbreitung von Leitlinien zu „gemeinsamen europäischen Datenräumen“, also zu zweck- oder sektorspezifischen oder auch sektorübergreifenden interoperablen Rahmen mit gemeinsamen Normen und Praktiken für die gemeinsame Nutzung oder Verarbeitung von Daten – unter anderem zur Entwicklung neuer Produkte und Dienste, für die wissenschaftliche Forschung oder für Initiativen der Zivilgesellschaft; solche gemeinsame Normen und Praktiken tragen geltenden Normen Rechnung, entsprechen den Wettbewerbsregeln und gewährleisten den nichtdiskriminierenden Zugang für alle Beteiligten, um die gemeinsame Datennutzung in der Union zu erleichtern und das Potenzial bereits vorhandener und künftiger Datenräume auszuschöpfen; dabei werden folgende Bereiche behandelt:
Verwendung und Entwicklung sektorübergreifender Normen für die Datennutzung und die sektorübergreifende gemeinsame Datennutzung, sektorübergreifender Vergleich und Austausch bewährter Verfahren in Bezug auf sektorale Sicherheitsanforderungen und Zugangsverfahren, wobei sektorspezifische Normungstätigkeiten insbesondere Klärung der Frage, welche Normen und Praktiken sektorspezifisch und welche sektorübergreifend sind, und bei der diesbezüglichen Differenzierung zu berücksichtigen sind,
Anforderungen bezüglich der Beseitigung von Marktzutrittsbeschränkungen und der Vermeidung von Lock-in-Effekten im Interesse eines fairen Wettbewerbs und der Interoperabilität,
angemessener Schutz für rechtmäßige Datenübertragungen in Drittländer, einschließlich Schutzvorkehrungen gegen nach Unionsrecht verbotene Datenübertragungen,
angemessene und nichtdiskriminierende Vertretung der einschlägigen Interessenträger bei der Verwaltung gemeinsamer europäischer Datenräume,
Einhaltung der gemäß dem Unionsrecht geltenden Cybersicherheitsanforderungen.
Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten bezüglich der Festlegung harmonisierter Bedingungen für die Erlaubnis, binnenmarktweit im Besitz öffentlicher Stellen befindliche Kategorien von Daten gemäß Artikel 3 Absatz 1 wiederzuverwenden;
Erleichterung der Zusammenarbeit zwischen den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden mittels Kapazitätsaufbau und Informationsaustausch, insbesondere durch die Festlegung von Methoden für einen effizienten Informationsaustausch über das Anmeldeverfahren für Anbieter von Datenvermittlungsdiensten und die Eintragung und Überwachung anerkannter datenaltruistischer Organisationen, einschließlich der Abstimmung über Gebühren und Sanktionen sowie der Erleichterung der Zusammenarbeit zwischen den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden beim internationalen Zugang zu Daten und internationale Datenübertragungen;
Beratung und Unterstützung der Kommission bei der Prüfung der Frage, ob die Durchführungsrechtsakte gemäß Artikel 5 Absätze 11 und 12 erlassen werden sollen;
Beratung und Unterstützung der Kommission bei der Entwicklung des europäischen Einwilligungsformulars für Datenaltruismus gemäß Artikel 25 Absatz 1;
Beratung der Kommission bei der Verbesserung des internationalen Regelungsumfelds für nicht personenbezogene Daten einschließlich der Normung.
KAPITEL VII
Internationaler Zugang und internationale Übertragung
Artikel 31
Internationaler Zugang und internationale Übertragung
Wenn keine völkerrechtliche Übereinkunft gemäß Absatz 2 des vorliegenden Artikels besteht und eine Entscheidung oder ein Urteil eines Gerichts eines Drittlandes oder eine Entscheidung einer Verwaltungsbehörde eines Drittlands, mit der die Übertragung nicht personenbezogener Daten im Anwendungsbereich dieser Verordnung aus der Union oder der Zugang zu diesen Daten in der Union verlangt wird, an eine öffentliche Stelle, eine natürliche oder juristische Person, der das Recht auf Weiterverwendung von Daten nach Kapitel II gewährt wurde, einen Anbieter von Datenvermittlungsdiensten oder eine anerkannte datenaltruistische Organisation gerichtet ist und die Befolgung einer solchen Entscheidung den Adressaten in Widerspruch zum Unionsrecht oder zum nationalen Recht des betreffenden Mitgliedstaats bringen würde, erfolgt die Übertragung dieser Daten an die Behörde des Drittlands oder die entsprechende Zugangsgewährung nur dann, wenn
das Rechtssystem des Drittlands vorschreibt, dass die Entscheidung oder das Urteil zu begründen ist und verhältnismäßig sein muss, und weiter vorsieht, dass die die Entscheidung oder das Urteil eine hinreichende Bestimmtheit aufweisen muss, indem z. B. darin eine hinreichende Bezugnahme auf bestimmte verdächtige Personen oder Rechtsverletzungen erfolgt,
der begründete Einwand des Adressaten von einem zuständigen Gericht des Drittlands überprüft wird und
das zuständige Gericht des Drittlands, das die Entscheidung oder das Urteil erlässt oder die Entscheidung einer Verwaltungsbehörde überprüft, nach dem Recht dieses Drittlands befugt ist, die einschlägigen rechtlichen Interessen des Bereitstellers der durch das Unionsrecht oder das nationale Recht des betreffenden Mitgliedstaats geschützten Daten gebührend zu berücksichtigen.
KAPITEL VIII
Delegierung und Ausschussverfahren
Artikel 32
Ausübung der Befugnisübertragung
Artikel 33
Ausschussverfahren
KAPITEL IX
Schluss- und Übergangsbestimmungen
Artikel 34
Sanktionen
Bei der Verhängung von Sanktionen aufgrund von Verstößen gegen diese Verordnung gegen Anbieter von Datenvermittlungsdiensten und anerkannte datenaltruistische Organisationen berücksichtigen die Mitgliedstaaten, gegebenenfalls die folgenden nicht erschöpfenden und indikativen Kriterien:
Art, Schwere, Umfang und Dauer des Verstoßes;
Maßnahmen, die der Anbieter von Datenvermittlungsdiensten oder die anerkannte datenaltruistische Organisation zur Minderung oder Behebung des durch den Verstoß bedingten Schadens ergreifen;
frühere Verstöße des Anbieters von Datenvermittlungsdiensten oder der anerkannten datenaltruistischen Organisation;
die durch den Verstoß bedingten finanziellen Gewinne oder Verluste des Anbieters von Datenvermittlungsdiensten oder der anerkannten datenaltruistischen Organisation, sofern diese Gewinne oder Verluste zuverlässig festgestellt werden können;
sonstige erschwerende oder mildernde Umstände im jeweiligen Fall.
Artikel 35
Bewertung und Überprüfung
Bis zum 24. September 2025 führt die Kommission eine Bewertung dieser Verordnung durch und übermittelt dem Europäischen Parlament und dem Rat sowie dem Europäischen Wirtschafts- und Sozialausschuss einen Bericht über ihre wichtigsten Ergebnisse. Dem Bericht werden, soweit erforderlich, Gesetzgebungsvorschläge beigefügt.
Dabei wird in dem Bericht insbesondere Folgendes bewertet:
Anwendung und Funktionsweise der von den Mitgliedstaaten gemäß Artikel 34 festgelegten Sanktionsvorschriften;
Grad der Einhaltung dieser Verordnung durch die gesetzlichen Vertreter von Anbietern von Datenvermittlungsdiensten und anerkannten datenaltruistischen Organisationen, die nicht in der Union niedergelassen sind, und Grad der Durchsetzbarkeit von verhängten Sanktionen gegen diese Anbieter und Organisationen;
Art der gemäß Kapitel IV eingetragenen datenaltruistischen Organisationen und ein Überblick über die mit der gemeinsamen Datennutzung verfolgten Zwecke von allgemeinem Interesse, um diesbezüglich klare Kriterien festzulegen.
Die Mitgliedstaaten übermitteln der Kommission alle zur Ausarbeitung dieses Berichts erforderlichen Informationen.
Artikel 36
Änderung der Verordnung (EU) 2018/1724
In der Tabelle in Anhang II der Verordnung (EU) 2018/1724 erhält der Eintrag „Gründung, Führung und Schließung eines Unternehmens“ folgende Fassung:
|
Lebensereignisse |
Verfahren |
Erwartete Ergebnisse, gegebenenfalls vorbehaltlich einer Bewertung des Antrags durch die zuständige Behörde gemäß nationalen Rechtsvorschriften |
|
Gründung, Führung und Schließung eines Unternehmens |
Meldung einer Geschäftstätigkeit, Zulassung zur Ausübung einer Geschäftstätigkeit, Änderung einer Geschäftstätigkeit und Einstellung einer Geschäftstätigkeit ausgenommen Insolvenz- oder Liquidationsverfahren, ausgenommen der erstmaligen Eintragung einer Geschäftstätigkeit in das Unternehmens-Register, und ausgenommen Eintragungen im Rahmen des Verfahren zur Gründung von — oder späteren Anmeldungen oder Einreichungen von Meldungen von — Gesellschaften oder Unternehmen im Sinne von Artikel 54 Absatz 2 AEUV |
Bestätigung des Eingangs der Meldung oder Änderung einer Geschäftstätigkeit oder des Antrags auf Genehmigung der Geschäftstätigkeit |
|
|
Registrierung eines Arbeitgebers (einer natürlichen Person) bei obligatorischen Versorgungs- und Versicherungssystemen |
►C1 Bestätigung der Registrierung oder Sozialversicherungs-Kennnummer ◄ |
|
Registrierung von Beschäftigten bei obligatorischen Versorgungs- und Versicherungssystemen |
Bestätigung der Registrierung oder Sozialversicherungs-Kennnummer |
|
|
Einreichung einer Körperschaftsteuererklärung |
Bestätigung des Eingangs der Erklärung |
|
|
Meldung an die Sozialversicherungssysteme bei Beendigung des Vertrags mit einem Beschäftigten, ausgenommen bei Verfahren zur kollektiven Beendigung von Arbeitnehmerverträgen |
Bestätigung des Eingangs der Meldung |
|
|
Zahlung von Sozialbeiträgen für Beschäftigte |
Empfangs- oder andere Art der Bestätigung der Zahlung der Sozialbeiträge für Beschäftigte |
|
|
Anmeldung eines Anbieters von Datenvermittlungsdiensten |
Bestätigung des Eingangs der Anmeldung |
|
|
Eintragung als in der Union anerkannte datenaltruistische Organisation |
Bestätigung der Eintragung |
Artikel 37
Übergangsregelung
Einrichtungen, die am 23. Juni 2022 die in Artikel 10 genannten Datenvermittlungsdienste bereits erbringen, müssen den in Kapitel III festgelegten Verpflichtungen ab dem 24. September 2025 nachkommen.
Artikel 38
Inkrafttreten und Geltung
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Sie gilt ab dem 24. September 2023.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.