EU Data Act (German) PDF

Amtsblatt DE der Europäischen Union Reihe L 2023/2854 22.12.2023 VERORDNUNG (EU) 2023/2854 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung) (Text von Bedeutung für den EWR) DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION — gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 114, auf Vorschlag der Europäischen Kommission, nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme der Europäischen Zentralbank (1), nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (2), nach Stellungnahme des Ausschusses der Regionen (3), gemäß dem ordentlichen Gesetzgebungsverfahren (4), in Erwägung nachstehender Gründe: (1) In den letzten Jahren haben datengetriebene Technologien transformative Wirkung auf alle Wirtschaftssektoren gehabt. Insbesondere die rasche Verbreitung von Produkten, die mit dem Internet vernetzt sind, hat den Umfang und den potenziellen Wert von Daten für Verbraucher, Unternehmen und Gesellschaft erhöht. Hochwertige und interoperable Daten aus verschiedenen Bereichen steigern die Wettbewerbsfähigkeit und Innovation und sorgen für ein nachhaltiges Wirtschaftswachstum. Dieselben Daten können unbegrenzt für verschiedene Zwecke verwendet und weiterverwendet werden, ohne dass dadurch Qualität oder Quantität beeinträchtigt wird. (2) Hindernisse bei der Datenweitergabe verhindern jedoch eine optimale Verteilung der Daten zum Nutzen der Gesellschaft. Zu diesen Hindernissen gehören der Mangel an Anreizen für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen, Unsicherheiten in Bezug auf Rechte und Pflichten in Verbindung mit Daten, die Kosten der Auftragsvergabe in Bezug auf technische Schnittstellen und für deren Einrichtung, die starke Fragmentierung von Informationen in Datensilos, die schlechte Verwaltung von Metadaten, fehlende Normen für die semantische und technische Interoperabilität, Engpässe beim Datenzugang, das Fehlen einheitlicher Verfahren für die Datenweitergabe und der Missbrauch vertraglicher Ungleichgewichte hinsichtlich Datenzugang und Datennutzung. (3) In Sektoren mit zahlreichen Kleinstunternehmen sowie Kleinunternehmen und mittleren Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission (5) (KMU) mangelt es häufig an digitalen Kapazitäten und Kompetenzen für die Erhebung, Analyse und Nutzung von Daten; zudem ist der Zugang oftmals eingeschränkt, weil ein einziger Akteur im System die Daten hält oder weil Daten oder Datendienste an sich bzw. über Grenzen hinweg nicht interoperabel sind. (4) Um den Bedürfnissen der digitalen Wirtschaft gerecht zu werden und die Hindernisse für einen reibungslos funktionierenden Binnenmarkt für Daten zu beseitigen, muss ein harmonisierter Rahmen geschaffen werden, in dem festgelegt wird, wer unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, Produktdaten oder verbundene Dienstdaten zu nutzen. Daher sollten die Mitgliedstaaten in den Angelegenheiten, die in den (1) ABl. C 402 vom 19.10.2022, S. 5. (2) ABl. C 365 vom 23.9.2022, S. 18. (3) ABl. C 375 vom 30.9.2022, S. 112. (4) Standpunkt des Europäischen Parlaments vom 9. November 2023 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 27. November 2023. (5) Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). ELI: http://data.europa.eu/eli/reg/2023/2854/oj 1/71 DE ABl. L vom 22.12.2023 Anwendungsbereich der vorliegenden Verordnung fallen, keine zusätzlichen nationalen Anforderungen annehmen oder aufrechterhalten, sofern das in der vorliegenden Verordnung nicht ausdrücklich vorgesehen ist, da dies ihre direkte und einheitliche Anwendung beeinträchtigen würde. Ferner sollten auf Unionsebene ergriffene Maßnahmen die Verpflichtungen und Zusagen, die sich aus den von der Union geschlossenen internationalen Handelsabkommen ergeben, unberührt lassen. (5) Mit dieser Verordnung wird sichergestellt, dass die Nutzer eines vernetzten Produkts oder verbundenen Dienstes in der Union zeitnah auf die Daten zugreifen können, die bei der Nutzung dieses vernetzten Produkts oder verbundenen Dienstes generiert werden, und dass diese Nutzer die Daten verwenden und auch an Dritte ihrer Wahl weitergeben können. Sie verpflichtet Dateninhaber, die Daten unter bestimmten Umständen den Nutzern und Dritten ihrer Wahl bereitzustellen. Ferner wird sichergestellt, dass Dateninhaber den Datenempfängern in der Union Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und auf transparente Weise bereitstellen. Privatrechtliche Vorschriften sind im Gesamtrahmen für die Datenweitergabe von entscheidender Bedeutung. Daher werden mit dieser Verordnung die vertragsrechtlichen Vorschriften angepasst und die Ausnutzung vertraglicher Ungleichgewichte verhindert, die einen fairen Datenzugang und eine faire Datennutzung erschweren. Mit dieser Verordnung wird auch sichergestellt, dass die Dateninhaber den öffentlichen Stellen und der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union die Daten bereitstellen, die im Falle außergewöhnlicher Notwendigkeit zur Wahrnehmung einer spezifischen Aufgabe im öffentlichen Interesse erforderlich sind. Darüber hinaus soll mit dieser Verordnung der Wechsel zwischen Datenverarbeitungsdiensten erleichtert und die Interoperabilität von Daten sowie von Mechanismen und Diensten für die Datenweitergabe in der Union verbessert werden. Diese Verordnung sollte nicht so ausgelegt werden, dass sie Dateninhabern ein neues Recht auf die Nutzung von Daten verleiht, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert werden. (6) Die Datengenerierung ist das Ergebnis der Handlungen mindestens zweier Akteure, insbesondere des Entwicklers oder Herstellers eines vernetzten Produkts, bei dem es sich in vielen Fällen auch um einen Erbringer verbundener Dienste handeln kann, und des Nutzers des vernetzten Produkts oder des verbundenen Dienstes. Es stellen sich Fragen der Fairness in der digitalen Wirtschaft, da die von solchen vernetzten Produkten oder verbundenen Diensten erfassten Daten ein wichtiges Gut für Folgemarkt-Dienste, Nebendienste und sonstige Dienste sind. Um die wichtigen wirtschaftlichen Vorteile von Daten zu nutzen sowie um Unternehmen in der Union für die Weitergabe von Daten auf der Grundlage freiwilliger Vereinbarungen und für die Entwicklung einer datengetriebenen Wertschöpfung zu gewinnen, ist ein allgemeiner Ansatz für die Zuweisung von Rechten für den Datenzugang und die Datennutzung der Gewährung ausschließlicher Zugangs- und Nutzungsrechte vorzuziehen. In dieser Verordnung sind horizontale Regelungen vorgesehen, denen das Unionsrecht oder das nationale Recht folgen könnten, das die besonderen Gegebenheiten der betreffenden Sektoren Rechnung zu angeht. (7) Das Grundrecht auf den Schutz personenbezogener Daten wird insbesondere durch die Verordnungen (EU) 2016/679 (6) und (EU) 2018/1725 (7) des Europäischen Parlaments und des Rates gewahrt. Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (8) schützt darüber hinaus die Privatsphäre und die Vertraulichkeit der Kommunikation, unter anderem mittels Bedingungen für die Speicherung personenbezogener und nicht-personenbezogener Daten auf Endgeräten und den Zugang dazu. Diese Gesetzgebungsakte der Union bilden die Grundlage für eine nachhaltige und verantwortungsvolle Datenverarbeitung, auch wenn Datensätze eine Mischung aus personenbezogenen und nicht-personenbezogenen Daten enthalten. Die vorliegende Verordnung ergänzt das Unionsrecht zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre, insbesondere die Verordnungen (EU) 2016/679 und (EU) 2018/1725 und die Richtlinie 2002/58/EG, und lässt es unberührt. Keine Bestimmung dieser Verordnung sollte dahingehend angewandt oder ausgelegt werden, dass das Recht auf den Schutz personenbezogener Daten oder das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation abgeschwächt oder eingeschränkt wird. Jegliche Verarbeitung personenbezogener Daten nach dieser Verordnung sollte dem Datenschutzrecht der Union entsprechen, einschließlich dem Erfordernis einer gültigen Rechtsgrundlage (6) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1). (7) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39). (8) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37). 2/71 ELI: http://data.europa.eu/eli/reg/2023/2854/oj ABl. L vom 22.12.2023 DE für die Verarbeitung gemäß Artikel 6 der Verordnung (EU) 2016/679 und gegebenenfalls den Bedingungen des Artikels 9 der genannten Verordnung und des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG. Die vorliegende Verordnung stellt keine Rechtsgrundlage für die Erhebung oder Generierung personenbezogener Daten durch den Dateninhaber dar. Die vorliegende Verordnung verpflichtet die Dateninhaber, Nutzern Dritten seiner Wahl oder auf Anfrage eines Nutzers personenbezogene Daten bereitzustellen. Ein solcher Zugang sollte im Falle personenbezogener Daten gewährt werden, die vom Dateninhaber auf der Grundlage einer der in Artikel 6 der Verordnung (EU) 2016/679 genannten Rechtsgrundlagen verarbeitet werden. Handelt es sich bei dem Nutzer nicht um die betroffene Person, so bietet die vorliegende Verordnung keine Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten oder für deren Bereitstellung an Dritte und sollte nicht so verstanden werden, dass sie dem Dateninhaber ein neues Recht auf die Nutzung personenbezogener Daten, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert wurden, verleiht. In diesen Fällen könnte es im Interesse des Nutzers liegen, die Erfüllung der Anforderungen des Artikels 6 der Verordnung (EU) 2016/679 zu ermöglichen. Da die vorliegende Verordnung die Datenschutzrechte der betroffenen Personen nicht beeinträchtigen sollte, kann der Dateninhaber Datenzugangsverlangen in diesen Fällen unter anderem nachkommen, indem er personenbezogene Daten anonymisiert oder, wenn ohne Weiteres verfügbare Daten personenbezogene Daten mehrerer betroffener Personen enthalten, nur personenbezogene Daten des Nutzers übermittelt. (8) Die Grundsätze der Datenminimierung und des Datenschutzes durch Technikgestaltung und durch datenschutzf reundliche Voreinstellungen sind von wesentlicher Bedeutung, wenn die Verarbeitung erhebliche Risiken für die Grundrechte des Einzelnen mit sich bringt. Unter Berücksichtigung des Stands der Technik sollten alle Parteien, die an der Datenweitergabe – einschließlich der Datenweitergabe im Anwendungsbereich dieser Verordnung – beteiligt sind, technische und organisatorische Maßnahmen zum Schutz dieser Rechte ergreifen. Zu diesen Maßnahmen gehören nicht nur Pseudonymisierung und Verschlüsselung, sondern auch der Einsatz zunehmend verfügbarer Technik, die es ermöglicht, Algorithmen direkt am Ort der Datengenerierung einzusetzen und wertvolle Erkenntnisse zu gewinnen, ohne dass die Daten zwischen den Parteien übertragen bzw. die Rohdaten oder strukturierten Daten selbst unnötig kopiert werden. (9) Sofern in der vorliegenden Verordnung nicht anders vorgesehen, lässt sie das nationale Vertragsrecht, einschließlich der Vorschriften über das Zustandekommen von Verträgen, ihre Gültigkeit oder ihre Rechtsfolgen oder über die Auswirkungen der Beendigung eines Vertrags, unberührt. Die vorliegende Verordnung ergänzt das Unionsrecht zur Förderung der Interessen der Verbraucher und zur Gewährleistung eines hohen Verbraucherschutzniveaus sowie zum Schutz ihrer Gesundheit, Sicherheit und wirtschaftlichen Interessen, insbesondere die Richtlinie 93/13/EWG des Rates (9) und der Richtlinien 2005/29/EG (10) und 2011/83/EU (11) des Europäischen Parlaments und des Rates, und lässt es unberührt. (10) Diese Verordnung berührt nicht Rechtsvorschriften der Union nationale Rechtsvorschriften über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder zur Verfolgung von Straftaten oder der Strafvollstreckung oder für Zoll- und Steuerzwecke, unabhängig davon, auf welcher Rechtsgrundlage nach dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) diese Rechtsvorschriften der Union erlassen wurden, oder Rechtsvorschriften über die internationale Zusammenarbeit in diesem Bereich, insbesondere auf der Grundlage des Übereinkommens des Europarats über Computerkriminalität (ETS Nr. 185), das am 23. November 2001 in Budapest unterzeichnet wurde. Zu diesen Rechtsvorschriften gehören die Verordnungen (EU) 2021/784 (12), (EU) 2022/2065 (13) und (EU) 2023/1543 (14) des Europäischen Parlaments (9) Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29). (10) Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken von Unternehmen gegenüber Verbrauchern im Binnenmarkt und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (Richtlinie über unlautere Geschäftspraktiken) (ABl. L 149 vom 11.6.2005, S. 22). (11) Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates (ABl. L 304 vom 22.11.2011, S. 64). (12) Verordnung (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29. April 2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte (ABl. L 172 vom 17.5.2021, S. 79). (13) Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste) (ABl. L 277 vom 27.10.2022, S. 1). (14) Verordnung (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12. Juli 2023 über Europäische Herausgabea nordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren (ABl. L 191 vom 28.7.2023, S. 118). ELI: http://data.europa.eu/eli/reg/2023/2854/oj 3/71 DE ABl. L vom 22.12.2023 und des Rates und die Richtlinie (EU) 2023/1544 des Europäischen Parlaments und des Rates (15). Die vorliegende Verordnung gilt nicht für die Erhebung oder das Teilen von oder den Zugang zu oder die Nutzung von Daten gemäß der Verordnung (EU) 2015/847 des Europäischen Parlaments und des Rates (16) sowie der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates (17). Die vorliegende Verordnung gilt nicht für nicht unter das Unionsrecht fallende Bereiche und berührt nicht die Zuständigkeiten der Mitgliedstaaten in Bezug auf die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, die Zoll- und Steuerverwaltung oder die Gesundheit und Sicherheit der Bürgerinnen und Bürger, unabhängig von der Art des Rechtsträgers, der von den Mitgliedstaaten mit der Wahrnehmung von Aufgaben im Zusammenhang mit diesen Zuständigkeiten betraut wurde. (11) Sofern nicht ausdrücklich in der vorliegenden Verordnung vorgesehen, sollten Rechtsvorschriften der Union, in denen Anforderungen an die physische Konzeption und die Daten für Produkte, die in der Union in Verkehr gebracht werden sollen, festgelegt werden, von dieser Verordnung unberührt bleiben. (12) Diese Verordnung ergänzt das Unionsrecht zur Festlegung von Barrierefreiheitsanforderungen für bestimmte Produkte und Dienstleistungen, insbesondere die Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates (18), und lässt es unberührt. (13) Diese Verordnung berührt nicht die Rechtsakte der Union und der Mitgliedstaaten zum Schutz der Rechte des geistigen Eigentums, darunter die Richtlinien 2001/29/EG (19), 2004/48/EG (20) und (EU) 2019/790 (21) des Europäischen Parlaments und des Rates. (14) Vernetzte Produkte, die mittels ihrer Komponenten oder Betriebssysteme Daten über ihre Leistung, Nutzung oder Umgebung erlangen, generieren oder erheben und die diese Daten über einen elektronischen Kommunika tionsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln können – häufig als Internet der Dinge bezeichnet –, sollten in den Anwendungsbereich dieser Verordnung fallen, mit Ausnahme von Prototypen. Beispiele für solche elektronischen Kommunikationsdienste umfassen insbesondere terrestrische Telefonnetze, Fernsehkabelnetze, Satellitennetze und Nahfeldkommunikationsnetze. Vernetzte Produkte kommen in allen Bereichen der Wirtschaft und Gesellschaft vor, einschließlich in privaten, zivilen oder gewerblichen Infrastrukturen, Fahrzeugen, medizinischer Ausrüstung, Lifestyle-Ausrüstung, Schiffen, Luftfahrzeugen, Haushaltsgeräten und Konsumgütern, Medizin- und Gesundheitsprodukten oder landwirtschaftlichen und industriellen Maschinen und Anlagen. Durch die Entscheidungen der Hersteller bei der Konzeption und gegebenenfalls durch das Unionsrecht oder das nationale Recht, mit dem sektorspezifischer Bedürfnisse und Ziele angegangen werden, oder durch die einschlägigen Entscheidungen der Wettbewerbsbehörden sollte vorgegeben werden, welche Daten von einem vernetzten Produkt bereitgestellt werden können. (15) Die Daten stellen digitalisierte Nutzerhandlungen und -vorgänge dar und sollten dementsprechend für den Nutzer zugänglich sein. Die Vorschriften für den Zugang zu und die Nutzung von Daten von vernetzten Produkten und verbundenen Diensten im Rahmen dieser Verordnung betreffen sowohl Produktdaten als auch verbundene Dienstdaten. Produktdaten bezeichnet Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie von einem Nutzer, Dateninhaber oder Dritten – gegebenenfalls einschließlich des Herstellers – aus dem vernetzten Produkt abgerufen werden können. Verbundene Dienstdaten bezeichnet Daten, die ebenfalls die Digitalisierung von Nutzerhandlungen oder -vorgängen im Zusammenhang mit (15) Richtlinie (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12. Juli 2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren (ABl. L 191 vom 28.7.2023, S. 181). (16) Verordnung (EU) 2015/847 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über die Übermittlung von Angaben bei Geldtransfers und zur Aufhebung der Verordnung (EG) Nr. 1781/2006 (ABl. L 141 vom 5.6.2015, S. 1). (17) Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission (ABl. L 141 vom 5.6.2015, S. 73). (18) Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (ABl. L 151 vom 7.6.2019, S. 70). (19) Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (ABl. L 167 vom 22.6.2001, S. 10). (20) Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums (ABl. L 157 vom 30.4.2004, S. 45). (21) Richtlinie (EU) 2019/790 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinien 96/9/EG und 2001/29/EG (ABl. L 130 vom 17.5.2019, S. 92). 4/71 ELI: http://data.europa.eu/eli/reg/2023/2854/oj ABl. L vom 22.12.2023 DE dem vernetzten Produkt darstellen und während der Erbringung eines verbundenen Dienstes durch den Anbieter generiert werden. Unter Daten, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert werden, sollten absichtlich aufgezeichnete Daten oder Daten verstanden werden, die indirekt durch Nutzerhandlungen generiert werden, wie z. B. Daten über die Umgebung oder Interaktionen des vernetzten Produkts. Diese Daten sollten Daten über die Nutzung eines vernetzten Produkts einschließen, die von einer Benutzerschnittstelle oder über einen verbundenen Dienst generiert werden, und sollten sich nicht auf die Information beschränken, dass ein Produkt oder Dienst genutzt wurde, sondern alle Daten umfassen, die das vernetzte Produkt infolge einer solchen Nutzung generiert, wie z. B. automatisch von Sensoren generierte Daten und Daten, die von eingebetteten Anwendungen aufgezeichnet werden, einschließlich Anwendungen, die den Hardwarestatus und Funktionsstörungen angeben. Zu diesen Daten sollten auch Daten gehören, die von dem vernetzten Produkt oder verbundenen Dienst generiert werden, während der Nutzer inaktiv ist, etwa wenn er beschließt, ein vernetztes Produkt für einen bestimmten Zeitraum nicht zu verwenden, sondern es im Bereitschaftszustand zu belassen oder sogar auszuschalten, da sich der Status eines vernetzten Produkts oder seiner Komponenten, beispielsweise seiner Batterien, ändern kann, wenn sich das vernetzte Produkt im Bereitschaftszustand befindet oder ausgeschaltet ist. Daten, die nicht wesentlich verändert werden, d. h. Daten in Rohform, auch als Quell- oder Primärdaten bezeichnet, die sich auf Datenpunkte beziehen, die ohne jegliche weitere Form der Verarbeitung automatisch generiert werden, sowie Daten, die vor der Weiterverarbeitung und Auswertung aufbereitet wurden, um sie verständlich und nutzbar zu machen, fallen in den Anwendungsbereich dieser Verordnung. Dazu gehören Daten, die von einem einzelnen Sensor oder einer Gruppe miteinander verbundener Sensoren erhoben wurden, um die erfassten Daten für vielfältigere Anwendungsfälle verständlich zu machen, indem eine physikalische Größe oder Eigenschaft oder die Veränderung einer physikalischen Größe, wie Temperatur, Druck, Durchflussmenge, Ton, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit, bestimmt wird. Der Begriff „aufbereitete Daten“ sollte nicht so ausgelegt werden, dass der Dateninhaber dazu verpflichtet ist, wesentliche Investitionen in die Bereinigung und Transformation der Daten vorzunehmen. Die Daten, die bereitzustellen sind, sollten die einschlägigen Metadaten, einschließlich ihres grundlegenden Kontexts und Zeitstempels, umfassen, um die Daten in Kombination mit anderen Daten, z. B. Daten, die sortiert und mit anderen, mit ihnen verbundenen Datenpunkten klassifiziert wurden oder die in ein gängiges Format umformatiert wurden, nutzbar zu machen. Derartige Daten sind potenziell wertvoll für den Nutzer und unterstützen Innovationen und die Entwicklung digitaler und anderer Dienste zum Schutz der Umwelt, der Gesundheit und der Kreislaufwirtschaft, unter anderem indem sie die Wartung und Reparatur der betreffenden vernetzten Produkte erleichtern. Dagegen sollten aus solchen Daten gefolgerte oder abgeleitete Informationen, die das Ergebnis zusätzlicher Investitionen in die Zuweisung von Werten oder Erkenntnissen aus den Daten sind (insbesondere mittels komplexer proprietärer Algorithmen, einschließlich solcher, die Teil proprietärer Software sind), nicht in den Anwendungsbereich dieser Verordnung fallen, und somit sollten Dateninhaber bei diesen Daten auch nicht dazu verpflichtet sein, sie einem Nutzer oder Datenempfänger bereitzustellen, es sei denn, der Nutzer und der Dateninhaber haben etwas anderes vereinbart. Zu diesen Daten könnten insbesondere Informationen gehören, die durch Sensorfusion gewonnen werden, bei der Daten von mehreren Sensoren abgeleitet oder gefolgert werden, die in dem vernetzten Produkt unter Verwendung komplexer proprietärer Algorithmen erhoben werden und möglicherweise Rechten des geistigen Eigentums unterliegen. (16) Diese Verordnung ermöglicht es Nutzern vernetzter Produkte, Folgemarkt-Dienste, Nebendienste und sonstige Dienste zu nutzen, die auf Daten basieren, die von in diese Produkte eingebetteten Sensoren erhoben werden, wobei die Erhebung dieser Daten von potenziellem Nutzen für die Verbesserung der Leistung der vernetzten Produkte ist. Es ist wichtig, einerseits die Märkte für die Bereitstellung solcher mit Sensoren ausgestatteter vernetzter Produkte und damit verbundener Dienste und andererseits die Märkte für nicht verwandte Software und Inhalte wie Text-, Audio- oder audiovisuelle Inhalte, die häufig Rechten des geistigen Eigentums unterliegen, voneinander abzugrenzen. Daher sollten Daten, die von solchen mit Sensoren ausgestatteten vernetzten Produkten generiert werden, wenn ihre Nutzer Inhalte – unter anderem zur Nutzung durch einen Online-Dienst – aufzeichnen, übermitteln, anzeigen lassen oder abspielen, sowie die Inhalte selbst, die häufig Rechten des geistigen Eigentums unterliegen, nicht unter diese Verordnung fallen. Diese Verordnung sollte auch nicht für Daten gelten, die von dem vernetzten Produkt für die Zwecke der Speicherung oder Verarbeitung im Namen anderer Parteien, die keine Nutzer sind, erlangt oder generiert wurden oder auf die über das vernetzte Produkt zugegriffen wurde oder die an es übermittelt wurden, wie es etwa bei Servern oder Cloud-Infrastrukturen, die von ihren Eigentümern ausschließlich im Auftrag Dritter betrieben werden, unter anderem zur Nutzung durch einen Online-Dienst, der Fall sein kann. (17) Für Produkte, die zum Zeitpunkt des Erwerbs, der Anmietung oder des Leasings so mit einem verbundenen Dienst vernetzt sind, dass das vernetzte Produkt ohne diesen Dienst eine oder mehrere seiner Funktionen nicht ausführen könnte, oder der anschließend vom Hersteller oder von einem Dritten mit dem Produkt vernetzt wird, um die Funktionen des vernetzten Produkts zu ergänzen oder anzupassen, müssen Vorschriften festgelegt werden. Im Rahmen solcher verbundenen Dienste werden Daten zwischen dem vernetzten Produkt und dem Diensteanbieter ausgetauscht, das heißt, sie sollten als Dienste verstanden werden, die ausdrücklich mit dem Betrieb der Funktionen des vernetzten Produkts verknüpft sind, wie im Fall von Diensten, die gegebenenfalls Befehle an das vernetzte Produkt übermitteln, die sich wiederum auf dessen Aktivität oder Verhalten auswirken können. Dienste, die sich nicht auf den Betrieb des vernetzten Produkts auswirken und durch die keine Daten oder Befehle des Diensteanbieters an das vernetzte Produkt übermittelt werden, sollten nicht als verbundene Dienste gelten. Zu ELI: http://data.europa.eu/eli/reg/2023/2854/oj 5/71 DE ABl. L vom 22.12.2023 solchen Diensten könnten z. B. zusätzliche Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßige Reparatur- und Wartungsdienste gehören. Verbundene Dienste können als Teil eines Kauf-, Miet- oder Leasingvertrags angeboten werden. Verbundene Dienste könnten auch für Produkte derselben Art erbracht werden, und Nutzer sollten ihre Erbringung – unter Berücksichtigung der Beschaffenheit des vernetzten Produkts und öffentlicher Erklärungen, die im Vorfeld des Vertragsschlusses von dem Verkäufer oder im Auftrag des Verkäufers, Vermieters, Leasinggebers oder anderer Personen in vorgelagerten Gliedern der Vertragskette, einschließlich des Herstellers, abgegeben wurden – vernünftigerweise erwarten können. Diese verbundenen Dienste können, unabhängig von den Datenerhebungsmöglichkeiten des vernetzten Produkts, mit dem sie verbunden sind, selbst Daten generieren, die für den Nutzer von Wert sind. Diese Verordnung sollte auch für verbundene Dienste gelten, die nicht vom Verkäufer, Vermieter oder Leasinggeber selbst, sondern von einem Dritten erbracht werden. Bei Zweifeln, ob die Erbringung des Dienstes Teil des Kauf-, Miet- oder Leasingvertrags ist, sollte diese Verordnung Anwendung finden. Weder die Stromversorgung noch die Bereitstellung der Konnektivität sind nach dieser Verordnung als verbundene Dienste auszulegen. (18) Unter dem Nutzer eines vernetzten Produkts sollte eine natürliche oder juristische Person, z. B. ein Unternehmen, ein Verbraucher oder eine öffentliche Stelle, verstanden werden, die Eigentümer eines vernetzten Produkts oder – beispielsweise durch einen Miet- oder Leasingvertrag – Inhaber bestimmter befristeter Rechte auf Zugang zu Daten aus dem vernetzten Produkt oder auf deren Nutzung ist oder verbundene Dienste für das vernetzte Produkt in Anspruch nimmt. Diese Zugangsrechte sollten in keiner Weise eine Änderung der oder einen Eingriff in die Rechte betroffener Personen, die möglicherweise mit einem vernetzten Produkt oder einem verbundenen Dienst interagieren, in Bezug auf die von dem vernetzten Produkt oder während der Erbringung verbundener Dienste generierten personenbezogenen Daten bewirken. Der Nutzer trägt die Risiken und genießt die Vorteile der Nutzung des vernetzten Produkts und sollte auch Zugang zu den von ihm generierten Daten haben. Er sollte daher berechtigt sein, aus den von diesem vernetzten Produkt und allen verbundenen Diensten generierten Daten Nutzen zu ziehen. Ein Eigentümer, Mieter oder Leasingnehmer sollte ebenfalls als Nutzer gelten, auch in Fällen, in denen mehrere Rechtsträger als Nutzer gelten können. Im Falle mehrerer Nutzer kann jeder einzelne Nutzer auf unterschiedliche Weise zur Datengenerierung beitragen und ein Interesse an verschiedenen Formen der Nutzung haben; Beispiele sind das Flottenmanagement für ein Leasingunternehmen oder Mobilitätslösungen für Einzelpersonen, die einen Car-Sharing-Dienst nutzen. (19) Der Begriff „Datenkompetenz“ bezeichnet die Fähigkeiten, das Wissen und das Verständnis, die/das es Nutzern, Verbrauchern und Unternehmen, insbesondere KMU, die in den Anwendungsbereich dieser Verordnung fallen, ermöglichen, sich des potenziellen Werts der von ihnen generierten, produzierten und weitergegebenen Daten bewusst zu werden, und sie dazu motivieren, im Einklang mit den einschlägigen Rechtsvorschriften Zugang zu ihren Daten anzubieten und zu gewähren. Datenkompetenz sollte über den Erwerb von Wissen über Instrumente und Technologien hinausgehen und darauf abzielen, Bürgerinnen und Bürger und Unternehmen in die Lage zu versetzen und zu befähigen, aus einem inklusiven und fairen Datenmarkt Nutzen zu ziehen. Die Verbreitung von Maßnahmen zur Datenkompetenz und die Einführung angemessener Folgemaßnahmen könnten dazu beitragen, die Arbeitsbedingungen zu verbessern, und letztlich die Konsolidierung und den Innovationspfad der Datenwirtschaft in der Union unterstützen. Die zuständigen Behörden sollten Instrumente fördern und Maßnahmen ergreifen, um die Datenkompetenz von Nutzern und Rechtsträgern, die in den Anwendungsbereich dieser Verordnung fallen, zu verbessern und sie für ihre Rechte und Pflichten aus dieser Verordnung zu sensibilisieren. (20) In der Praxis sind nicht alle Daten, die durch vernetzte Produkte oder verbundene Dienste generiert werden, für ihre Nutzer leicht zugänglich, und es gibt häufig nur begrenzte Möglichkeiten in Bezug auf die Übertragbarkeit von Daten, die durch mit dem Internet vernetzte Produkte generiert werden. Die Nutzer sind daher nicht in der Lage, die Daten zu erlangen, die erforderlich sind, um Reparatur- und andere Dienste in Anspruch zu nehmen, und Unternehmen sind nicht in der Lage, innovative, bequeme und effizientere Dienste anzubieten. In vielen Sektoren können die Hersteller, da sie die Kontrolle über die technische Konzeption der vernetzten Produkte oder verbundener Dienste haben, bestimmen, welche Daten generiert werden und wie darauf zugegriffen werden kann, obwohl sie keinen Rechtsanspruch auf diese Daten haben. Daher muss sichergestellt werden, dass vernetzte Produkte so konzipiert und hergestellt sowie damit verbundene Dienste so konzipiert und erbracht werden, dass die Produktdaten und die verbundenen Dienstdaten, einschließlich der entsprechenden Metadaten, die zur Auslegung und Nutzung dieser Daten erforderlich sind, und zwar auch, um die Daten abrufen, nutzen oder weitergeben zu können, für einen Nutzer stets leicht und sicher zugänglich sind, und dies kostenlos, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format. Produktdaten und verbundene Dienstdaten, die ein Dateninhaber rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, etwa aufgrund der Konzeption des vernetzten Produkts, des Vertrags des Dateninhabers mit dem Nutzer über die Erbringung verbundener Dienste und seiner technischen Mittel für den Datenzugang ohne unverhältnismäßig hohen Aufwand, werden als „ohne Weiteres verfügbare Daten“ bezeichnet. Von ohne Weiteres verfügbaren Daten ausgenommen sind Daten, die bei der Produktnutzung generiert werden, sofern das vernetzte Produkt nicht dafür 6/71 ELI: http://data.europa.eu/eli/reg/2023/2854/oj ABl. L vom 22.12.2023 DE ausgelegt ist, dass solche Daten außerhalb der Komponente, in der sie generiert werden, oder des vernetzten Produkts als Ganzem gespeichert oder übermittelt werden. Diese Verordnung sollte daher nicht dahingehend ausgelegt werden, dass die Verpflichtung zur Speicherung von Daten auf der zentralen Rechnereinheit eines vernetzten Produkts besteht. Das Fehlen einer solchen Verpflichtung sollte den Hersteller oder Dateninhaber nicht daran hindern, solche Anpassungen auf freiwilliger Basis mit dem Nutzer zu vereinbaren. Die Konzeptionspflichten nach Maßgabe dieser Verordnung lassen auch den Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 unberührt und sollten nicht so verstanden werden, dass vernetzte Produkte und verbundene Dienste derart konzipiert werden müssen, dass damit auch andere als die für die Zwecke ihrer Verarbeitung erforderlichen personenbezogenen Daten gespeichert oder anderweitig verarbeitet werden. Es könnte Unionsrecht oder nationales Recht eingeführt werden, um weitere Besonderheiten festzulegen, wie etwa die Produktdaten, die über vernetzte Produkte oder verbundene Dienste zugänglich sein sollten, da diese Daten für den effizienten Betrieb, die Reparatur oder die Wartung dieser vernetzten Produkte oder verbundenen Dienste von wesentlicher Bedeutung sein können. Führen spätere Aktualisierungen oder Änderungen eines vernetzten Produkts oder eines verbundenen Dienstes durch den Hersteller oder eine andere Partei zu zusätzlichen zugänglichen Daten oder zu einer Einschränkung ursprünglich zugänglicher Daten, so sollten diese Änderungen dem Nutzer im Rahmen der Aktualisierung oder Änderung mitgeteilt werden. (21) Gelten mehrere Personen oder Rechtsträger als Nutzer, beispielsweise im Falle gemeinschaftlichen Eigentums oder wenn ein Eigentümer, Mieter oder Leasingnehmer gemeinsame Rechte am Datenzugang oder an der Datennutzung besitzt, so sollte die Konzeption des vernetzten Produkts oder verbundenen Dienstes oder der entsprechenden Schnittstelle jedem Nutzer den Zugang zu den von diesen generierten Daten ermöglichen. Die Nutzung von vernetzten Produkten, die Daten generieren, erfordert in der Regel, dass ein Nutzerkonto eingerichtet wird. Ein solches Konto ermöglicht es dem Nutzer, durch den Dateninhaber, bei dem es sich um den Hersteller handeln kann, identifiziert zu werden. Es kann auch als Kommunikationsmittel und zur Einreichung und Bearbeitung von Datenzugangsverlangen verwendet werden. Haben mehrere Hersteller oder Erbringer verbundener Dienste gemeinsam vernetzte Produkte an denselben Nutzer verkauft, vermietet oder verleast bzw. integrierte Dienste für diesen erbracht, so sollte sich der Nutzer an jede der Parteien wenden, mit der er einen Vertrag geschlossen hat. Hersteller oder Entwickler eines vernetzten Produkts, das in der Regel von mehreren Personen verwendet wird, sollten die erforderlichen Mechanismen einrichten, die gegebenenfalls die Einrichtung getrennter Nutzerkonten für einzelne Personen oder die Nutzung desselben Nutzerkontos durch mehrere Personen ermöglichen. Kontobezogene Lösungen sollten es den Nutzern ermöglichen, ihre Konten und die damit verbundenen Daten zu löschen, und könnten für Nutzer insbesondere in Fällen, in denen das Eigentum an dem Produkt auf andere Personen übergeht oder andere Personen das vernetzte Produkt nutzen, die Möglichkeit vorsehen, den Datenzugang, die Datennutzung oder die Datenweitergabe zu beenden oder deren Einstellung zu beantragen. Der Zugang sollte dem Nutzer auf der Grundlage einfacher Antragsverfahren gewährt werden, die eine automatische Ausführung ermöglichen und keine Prüfung oder Freigabe durch den Hersteller oder Dateninhaber erfordern. Dies bedeutet, dass die Daten nur bereitgestellt werden sollten, wenn der Nutzer tatsächlich Zugang wünscht. Ist die automatische Ausführung des Datenzugangsverlangens, beispielsweise über ein Nutzerkonto oder die mit dem vernetzten Produkt oder dem verbundenen Dienst bereitgestellte mobile Anwendung, nicht möglich, so sollte der Hersteller dem Nutzer mitteilen, wie auf die Daten zugegriffen werden kann. (22) Die vernetzten Produkte können so konzipiert sein, dass bestimmte Daten direkt von einem Datenspeicher auf dem Gerät oder von einem entfernten Server, an den die Daten übermittelt werden, zugänglich gemacht werden. Der Zugang zu Datenspeichern auf dem Gerät kann über kabelgebundene oder drahtlose lokale Funknetze ermöglicht werden, die mit einem öffentlich verfügbaren elektronischen Kommunikationsdienst oder Mobilfunknetz verbunden sind. Bei dem Server kann es sich um die eigenen lokalen Serverkapazitäten des Herstellers oder um die eines Dritten oder eines Cloud-Diensteanbieters handeln. Auftragsverarbeiter im Sinne von Artikel 4 Nummer 8 der Verordnung (EU) 2016/679 gelten nicht als Dateninhaber. Sie können jedoch ausdrücklich vom Verantwortlichen im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 beauftragt werden, Daten bereitzustellen. Vernetzte Produkte können so konzipiert sein, dass der Nutzer oder ein Dritter die Daten auf dem vernetzten Produkt, auf einer Rechnerinstanz des Herstellers oder in einer von dem Nutzer oder Dritten ausgewählten Informations- und Kommunikationstechnologie-(IKT)-Umgebung verarbeiten kann. (23) Virtuelle Assistenten spielen eine immer wichtigere Rolle bei der Digitalisierung des Verbraucherumfelds und des beruflichen Umfelds und dienen als benutzerfreundliche Schnittstelle für die Wiedergabe von Inhalten, das Erlangen von Informationen oder die Aktivierung von Produkten, die mit dem Internet verbunden sind. Virtuelle Assistenten können beispielsweise in einer Smart-Home-Umgebung als zentrales Zugangstor dienen und erhebliche Mengen relevanter Daten darüber erfassen, wie Nutzer mit Produkten interagieren, die mit dem Internet verbunden sind, einschließlich solcher, die von Dritten hergestellt werden, und können die Nutzung der vom Hersteller bereitgestellten Schnittstellen, wie Touchscreens oder Smartphone-Apps, ersetzen. Unter Umständen möchte der Nutzer diese Daten Drittherstellern bereitstellen, um neuartige intelligente Dienste zu aktivieren. Virtuelle ELI: http://data.europa.eu/eli/reg/2023/2854/oj 7/71 DE ABl. L vom 22.12.2023 Assistenten sollten unter das in dieser Verordnung vorgesehene Datenzugangsrecht fallen. Unter das in dieser Verordnung vorgesehene Datenzugangsrecht sollten auch Daten fallen, die generiert werden, wenn ein Nutzer über einen virtuellen Assistenten, der von einem anderen Rechtsträger als dem Hersteller des vernetzten Produkts bereitgestellt wird, mit einem vernetzten Produkt interagiert. Allerdings sollten nur die aus der Interaktion zwischen dem Nutzer und einem vernetzten Produkt oder verbundenen Dienst über den virtuellen Assistenten anfallenden Daten von dieser Verordnung gedeckt sein. Vom virtuellen Assistenten erstellte Daten, die nicht mit der Verwendung eines vernetzten Produkts oder verbundenen Dienstes zusammenhängen, sind nicht von dieser Verordnung gedeckt. (24) Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt sollte der Verkäufer, Vermieter oder Leasinggeber – bei dem es sich auch um den Hersteller handeln kann – dem Nutzer Informationen zu den Produktdaten die das vernetzte Produkt generieren kann, einschließlich der Art, des Formats und der geschätzten Datenmenge, auf klare und verständliche Weise bereitstellen. Dies könnte, soweit verfügbar, Informationen über Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten sowie klare und ausreichende Informationen einschließen, die für die Ausübung der Nutzerrechte relevant sind, und darüber, wie die Daten gespeichert oder abgerufen werden können oder wie auf sie zugegriffen werden kann, einschließlich der Nutzungsbedingungen und der Dienstqualität von Anwendungsprogrammierschnittstellen oder gegebenenfalls der Bereitstellung von Software Development Kits. Diese Pflicht sorgt für Transparenz in Bezug auf die generierten Produktdaten und vereinfacht den Zugang für den Nutzer. Der Informationspflicht könnte beispielsweise dadurch nachgekommen werden, dass eine stabile URL-Adresse im Internet unterhalten wird, die als Weblink oder QR-Code verbreitet werden kann und zu den einschlägigen Informationen führt, die der Verkäufer, der Vermieter oder der Leasinggeber – bei dem es sich auch um den Hersteller handeln kann – dem Nutzer vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bereitstellen könnte. Der Nutzer muss die Informationen in jedem Fall so speichern können, dass sie in der Folge eingesehen werden können und die unveränderte Wiedergabe der gespeicherten Informationen möglich ist. Zwar kann vom Dateninhaber nicht erwartet werden, dass er die Daten mit Blick auf die Bedürfnisse des Nutzers des vernetzten Produkts unbegrenzt speichert, jedoch sollte er eine angemessene Regelung in Bezug auf die Dauer der Datenspeicherung anwenden, gegebenenfalls im Einklang mit dem Grundsatz der Speicherbegrenzung nach Artikel 5 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679, die die wirksame Anwendung der Datenzugangsrechte gemäß dieser Verordnung ermöglicht. Die Informationspflicht berührt nicht die Pflicht des Verantwortlichen, der betroffenen Person Informationen gemäß den Artikeln 12, 13 und 14 der Verordnung (EU) 2016/679 zu übermitteln. Die Pflicht, vor Abschluss eines Vertrags über die Erbringung eines verbundenen Dienstes die entsprechenden Informationen bereitzustellen, sollte beim potenziellen Dateninhaber liegen, unabhängig davon, ob der Dateninhaber einen Kauf-, Miet- oder Leasingvertrag für ein vernetztes Produkt abschließt. Ändern sich die Informationen während der Lebensdauer des vernetzten Produkts oder der Vertragslaufzeit für den verbundenen Dienst, einschließlich wenn sich der Zweck, zu dem diese Daten verwendet werden sollen, gegenüber dem ursprünglich vorgesehenen Zweck ändert, so sollten diesbezügliche Informationen auch dem Nutzer bereitgestellt werden. (25) Diese Verordnung sollte nicht so verstanden werden, dass sie Dateninhabern ein neues Recht auf die Nutzung von Produktdaten oder verbundener Dienstdaten verleiht. Ist der Hersteller eines vernetzten Produkts der Dateninhaber, so sollte ein Vertrag zwischen dem Hersteller und dem Nutzer die Grundlage für die Nutzung nicht- personenbezogener Daten durch den Hersteller bilden. Ein solcher Vertrag könnte Teil einer Vereinbarung über die Erbringung des verbundenen Dienstes sein, die zusammen mit dem Kauf-, Miet- oder Leasingvertrag für das vernetzte Produkt getroffen werden kann. Jede Vertragsklausel, nach der der Dateninhaber die Produktdaten oder verbundenen Dienstdaten nutzen darf, sollte für den Nutzer transparent sein, auch in Bezug auf die Zwecke, zu denen der Dateninhaber die Daten zu verwenden beabsichtigt. Zu diesen Verwendungszwecken könnten die Verbesserung der Funktionsweise des vernetzten Produkts oder verbundener Dienste, die Entwicklung neuer Produkte oder Dienste oder die Aggregation von Daten mit dem Ziel, die sich daraus ergebenden abgeleiteten Daten Dritten bereitzustellen, gehören, sofern diese abgeleiteten Daten es nicht ermöglichen, einzelne Daten zu ermitteln, die von dem vernetzten Produkt an den Dateninhaber übermittelt wurden, und es Dritten nicht ermöglichen, diese Daten aus dem Datensatz abzurufen. Jede Vertragsänderung sollte der fundierten Zustimmung des Nutzers bedürfen. Diese Verordnung hindert die Parteien nicht daran, Vertragsklauseln zu vereinbaren, die bewirken, dass die Nutzung von nicht-personenbezogenen Daten oder bestimmten Kategorien nicht-personenbezogenen Daten 8/71 ELI: http://data.europa.eu/eli/reg/2023/2854/oj ABl. L vom 22.12.2023 DE durch einen Dateninhaber ausgeschlossen oder eingeschränkt wird. Sie hindert die Parteien auch nicht daran, zu vereinbaren, dass Produktdaten oder verbundene Dienstdaten Dritten direkt oder indirekt, einschließlich sofern einschlägig über einen anderen Dateninhaber, bereitgestellt werden können. Darüber hinaus steht diese Verordnung auch sektorspezifischen Regulierungsanforderungen nach Unionsrecht oder nach mit dem Unionsrecht im Einklang stehendem nationalen Recht nicht entgegen, die die Nutzung bestimmter Daten durch den Dateninhaber aus genau festgelegten Gründen der öffentlichen Ordnung ausschließen oder einschränken würden. Ferner steht diese Verordnung dem nicht entgegen, dass Nutzer im Falle von Geschäftsbeziehungen zwischen Unternehmen Dritten oder Dateninhabern unter jeglichen rechtmäßigen Vertragsklauseln Daten bereitstellen, unter anderem indem sie vereinbaren, eine erneute Weitergabe dieser Daten zu begrenzen oder einzuschränken, oder dass Nutzer beispielsweise für den Verzicht auf ihr Recht, diese Daten zu verwenden oder weiterzugeben, eine angemessene Gegenleistung erhalten. Obwohl der Begriff „Dateninhaber“ öffentliche Stellen im Allgemeinen nicht einschließt, kann er jedoch öffentliche Unternehmen einschließen. (26) Um das Entstehen liquider, fairer und effizienter Märkte für nicht-personenbezogene Daten zu fördern, sollten die Nutzer vernetzter Produkte Daten mit minimalem rechtlichem und technischem Aufwand, auch für kommerzielle Zwecke, an andere weitergeben können. Für Unternehmen ist es derzeit oft schwierig, die Personal- oder EDV- Kosten zu rechtfertigen, die anfallen, um nicht-personenbezogene Datensätze oder Datenprodukte aufzubereiten und sie potenziellen Gegenparteien über Datenvermittlungsdienste, einschließlich Datenmarktplätze, anzubieten. Ein wesentliches Hindernis für die Weitergabe nicht-personenbezogener Daten durch Unternehmen ergibt sich daher aus der fehlenden Vorhersehbarkeit des wirtschaftlichen Ertrags von Investitionen in die Aufbereitung und Bereitstellung von Datensätzen oder Datenprodukten. Damit in der Union liquide, faire und effiziente Märkte für nicht-personenbezogene Daten entstehen können, muss geklärt werden, welche Partei das Recht hat, solche Daten auf einem Markt anzubieten. Nutzer sollten daher das Recht haben, nicht-personenbezogene Daten zu kommerziellen und nichtkommerziellen Zwecken an Datenempfänger weiterzugeben. Eine solche Datenweitergabe könnte direkt durch den Nutzer, auf Verlangen des Nutzers über einen Dateninhaber oder durch Datenvermitt lungsdienste erfolgen. Datenvermittlungsdienste im Sinne der Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates (22) könnten der Datenwirtschaft dienen, indem sie Geschäftsbeziehungen zwischen Nutzern, Datenempfängern und Dritten herstellen und die Nutzer bei der Ausübung ihres Datennutzungsrechts unterstützen, etwa indem sie die Anonymisierung der personenbezogenen Daten oder die Aggregation des Zugangs zu Daten von einer Vielzahl einzelner Nutzer sicherstellen. Sind Daten von der Verpflichtung eines Dateninhabers, sie Nutzern oder Dritten bereitzustellen, ausgenommen, so könnte der Umfang dieser Daten in dem zwischen dem Nutzer und dem Dateninhaber geschlossenen Vertrag über die Erbringung eines verbundenen Dienstes festgelegt werden, sodass die Nutzer leicht feststellen können, welche Daten ihnen für die Weitergabe an Datenempfänger oder Dritte bereitstehen. Dateninhaber sollten Dritten nicht-personenbezogene Produktdaten weder zu kommerziellen noch zu nichtkommerziellen Zwecken bereitstellen, außer es geht um die Erfüllung ihres Vertrags mit dem Nutzer; dies sollte die rechtlichen Anforderungen nach dem Unionsrecht oder dem nationalen Recht an einen Dateninhaber für die Bereitstellung von Daten unberührt lassen. Gegebenenfalls sollten Dateninhaber Dritte vertraglich dazu verpflichten, die von ihnen erhaltenen Daten nicht erneut weiterzugeben. (27) In konzentrierten Sektoren, in denen die Endnutzer durch eine kleine Zahl von Herstellern mit vernetzten Produkten versorgt werden, stehen den Nutzern unter Umständen nur begrenzte Möglichkeiten für den Datenzugang, die Datennutzung und die Weitergabe von Daten zur Verfügung. Unter diesen Umständen reichen vertragliche Vereinbarungen möglicherweise nicht aus, um das Ziel der Stärkung der Handlungsfähigkeit der Nutzer zu erreichen, was es den Nutzern erschwert, aus den Daten, die mit den von ihnen gekauften, gemieteten oder geleasten vernetzen Produkten generiert werden, Wert zu schöpfen. Folglich ist das Potenzial für innovative kleinere Unternehmen, datengestützte Lösungen auf wettbewerbsfähige Weise anzubieten, und für eine vielfältige Datenwirtschaft in der Union begrenzt. Diese Verordnung sollte daher auf den jüngsten Entwicklungen in bestimmten Sektoren aufbauen, wie dem Verhaltenskodex für die Weitergabe von Agrardaten im Wege eines Vertrags. Unionsrecht oder nationales Recht kann erlassen werden, um sektorspezifischen Bedürfnissen und Zielen Rechnung zu tragen. Darüber hinaus sollten Dateninhaber ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nicht verwenden, um Einblicke in die wirtschaftliche Lage, die Vermögenswerte oder die Produktionsmethoden des Nutzers oder in die Nutzung durch den Nutzer auf jegliche (22) Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt) (ABl. L 152 vom 3.6.2022, S. 1). ELI: http://data.europa.eu/eli/reg/2023/2854/oj 9/71 DE ABl. L vom 22.12.2023 andere Art zu erlangen, die die gewerbliche Position dieses Nutzers auf den Märkten, auf denen dieser tätig ist, untergraben könnte. Dazu könnte gehören, dass Wissen über die Gesamtleistung eines Unternehmens oder eines landwirtschaftlichen Betriebs in Vertragsverhandlungen mit dem Nutzer über den potenziellen Erwerb des Produkts oder landwirtschaftlicher Erzeugnisse des Nutzers zu seinem Nachteil eingesetzt würde oder dass solche Informationen in größere aggregierte Datenbanken über bestimmte Märkte – z. B. Datenbanken über Ernteerträge für die kommende Erntesaison – eingegeben würden, da sich eine solche Verwendung indirekt negativ auf den Nutzer auswirken könnte. Dem Nutzer sollte die für die Verwaltung der Berechtigungen erforderliche technische Schnittstelle bereitgestellt werden, vorzugsweise mit fein abgestuften Berechtigungsoptionen (z. B. „Zugriff einmalig zulassen“ oder „Zugriff nur während der Nutzung der App oder des Dienstes zulassen“), einschließlich der Möglichkeit, solche Berechtigungen zu widerrufen. (28) Bei Verträgen zwischen einem Dateninhaber und einem Verbraucher als Nutzer eines vernetzten Produkts oder verbundenen Dienstes, das bzw. der Daten generiert, gilt das Verbraucherrecht der Union, insbesondere die Richtlinien 93/13/EWG und 2005/29/EG, damit ein Verbraucher keinen missbräuchlichen Vertragsklauseln unterliegt. Für die Zwecke dieser Verordnung sollten missbräuchliche Vertragsklauseln, die einem Unternehmen einseitig auferlegt werden, für das betreffende Unternehmen nicht verbindlich sein. (29) Dateninhaber können eine geeignete Nutzeridentifizierung verlangen, um die Berechtigung eines Nutzers auf Zugang zu den Daten zu überprüfen. Im Falle personenbezogener Daten, die von einem Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet werden, sollten die Dateninhaber sicherstellen, dass das Zugangsverlangen vom Auftragsverarbeiter entgegengenommen und bearbeitet wird. (30) Dem Nutzer sollte es freistehen, die Daten zu jedem rechtmäßigen Zweck zu verwenden. Dazu gehören die Bereitstellung der Daten, die der Nutzer im Rahmen der Ausübung seiner Rechte nach dieser Verordnung erhalten hat, für einen Dritten, der einen Folgemarkt-Dienst anbietet, der möglicherweise mit einem von einem Dateninhaber bereitgestellten Dienst im Wettbewerb steht, oder die Anweisung hierzu an den Dateninhaber. Das Zugangsverlangen sollte vom Nutzer oder von einem bevollmächtigten Dritten gestellt werden, der im Namen eines Nutzers handelt, einschließlich von einem Erbringer eines Datenvermittlungsdienstes. Dateninhaber sollten sicherstellen, dass die einem Dritten bereitgestellten Daten so genau, vollständig, zuverlässig, relevant und aktuell sind wie die bei der Nutzung des vernetzten Produkts oder verbundenen Dienstes generierten Daten, auf die der Dateninhaber selbst zugreifen kann oder darf. Rechte des geistigen Eigentums sollten bei der Verarbeitung der Daten gewahrt werden. Es ist wichtig, dass weiter Anreize für Investitionen in Produkte bestehen, deren Funktionen auf der Nutzung der Daten von in diese Produkte eingebauten Sensoren basieren. (31) Nach der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates (23) gilt der Erwerb, die Nutzung oder die Offenlegung eines Geschäftsgeheimnisses unter anderem dann als rechtmäßig, wenn der betreffende Erwerb oder die betreffende Nutzung oder Offenlegung nach Unionsrecht oder nationalem Recht vorgeschrieben oder zulässig ist. Nach dieser Verordnung sind Dateninhaber zwar dazu verpflichtet, bestimmte Daten gegenüber Nutzern oder vom Nutzer ausgewählten Dritten offenzulegen, selbst wenn diese Daten unter den Schutz des Geschäftsge heimnisses fallen, doch sollte dies so ausgelegt werden, dass der Schutz von Geschäftsgeheimnissen nach Maßgabe der Richtlinie (EU) 2016/943 gewahrt wird. In diesem Zusammenhang sollten Dateninhaber dem Nutzer oder vom Nutzer ausgewählten Dritten die Wahrung der Vertraulichkeit von Daten, die als Geschäftsgeheimnisse gelten, vorschreiben können. Daher sollten Dateninhaber die Geschäftsgeheimnisse vor deren Offenlegung ermitteln und die Möglichkeit haben, mit Nutzern oder vom Nutzer ausgewählten Dritten notwendige Maßnahmen zur Wahrung ihrer Vertraulichkeit zu vereinbaren, unter anderem durch die Verwendung von Mustervertragsklauseln, Vertraulich keitsvereinbarungen, strengen Zugangsprotokollen, technischen Standards und die Anwendung von Verhaltenskodizes. Neben der Verwendung der von der Kommission zu entwickelnden und zu empfehlenden Mustervertragsklauseln könnte auch die Festlegung von Verhaltenskodizes und technischen Standards in Bezug auf den Schutz von Geschäftsgeheimnissen bei der Verarbeitung der Daten dazu beitragen, das Ziel dieser Verordnung zu erreichen, und sollte daher vorangetrieben werden. Besteht keine Vereinbarung über die notwendigen Maßnahmen oder setzt ein Nutzer oder ein vom Nutzer ausgewählter Dritter diese vereinbarten Maßnahmen nicht um oder verstößt gegen die Vertraulichkeit von Geschäftsgeheimnissen, so sollte es dem Dateninhaber möglich sein, die Weitergabe der als Geschäftsgeheimnisse eingestuften Daten zu verweigern oder auszusetzen. In solchen Fällen sollte der Dateninhaber dem Nutzer oder dem Dritten seine Entscheidung unverzüglich schriftlich mitteilen und die nationale zuständige Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, davon unterrichten, dass er die Weitergabe von Daten verweigert oder ausgesetzt hat, und angeben, welche Maßnahmen nicht vereinbart (23) Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (ABl. L 157 vom 15.6.2016, S. 1). 10/71 ELI: http://data.europa.eu/eli/reg/2023/2854/oj ABl. L vom 22.12.2023 DE oder umgesetzt wurden und – sofern relevant – bei welchen Geschäftsgeheimnissen die Vertraulichkeit verletzt wurde. Grundsätzlich können Dateninhaber ein Datenzugangsverlangen gemäß dieser Verordnung nicht allein aufgrund dessen ablehnen, dass bestimmte Daten als Geschäftsgeheimnisse gelten, da dies die beabsichtigte Wirkung dieser Verordnung untergraben würde. In Ausnahmefällen sollte es einem Dateninhaber, der Inhaber eines Geschäftsgeheimnisses ist, jedoch möglich sein, im Einzelfall ein Datenzugangsverlangen für die betreffenden spezifischen Daten abzulehnen, wenn er gegenüber dem Nutzer oder dem Dritten nachweisen kann, dass durch die Offenlegung dieses Geschäftsgeheimnisses trotz von dem Nutzer oder dem Dritten vorgenommener technischer und organisatorischer Maßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden entsteht. Ein schwerer wirtschaftlicher Schaden geht mit schweren irreparablen wirtschaftlichen Verlusten einher. Der Dateninhaber sollte seine Weigerung gegenüber dem Nutzer oder dem Dritten unverzüglich in schriftlicher Form ordnungsgemäß begründen und die zuständige Behörde hiervon in Kenntnis setzen. Eine solche Begründung sollte sich auf objektive Fakten stützen, aus denen hervorgeht, dass durch die Offenlegung bestimmter Daten die konkrete Gefahr eines schweren wirtschaftlichen Schadens zu erwarten ist, und weshalb die zum Schutz der verlangten Daten ergriffenen Maßnahmen als nicht ausreichend erachtet werden. In diesem Zusammenhang kann etwaigen negativen Auswirkungen auf die Cybersicherheit Rechnung getragen werden. Unbeschadet des Rechts, vor einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen, kann der Nutzer oder der Dritte, der die Entscheidung des Dateninhabers, die Weitergabe von Daten abzuweisen oder zu verweigern oder auszusetzen, anfechten möchte, bei der zuständigen Behörde Beschwerde einlegen, die sodann unverzüglich entscheiden sollte, ob und unter welchen Bedingungen die Weitergabe der Daten beginnen oder wieder aufgenommen werden sollte, oder der Nutzer oder der Dritte kann mit dem Dateninhaber vereinbaren, eine Streitbeilegungsstelle mit der Angelegenheit zu befassen. Die in dieser Verordnung vorgesehenen Ausnahmen von den Datenzugangsrechten sollten in keiner Weise die Rechte der betroffenen Personen auf Zugang und Datenübertragbarkeit gemäß der Verordnung (EU) 2016/679 beschränken. (32) Das Ziel dieser Verordnung besteht nicht nur darin, die Entwicklung neuer, innovativer vernetzter Produkte oder verbundener Dienste zu fördern und Innovationen auf den Folgemärkten voranzutreiben, sondern auch darin, die Entwicklung völlig neuartiger Dienste unter Nutzung der betreffenden Daten anzuregen, auch auf der Grundlage von Daten aus einer Vielzahl von vernetzten Produkten oder verbundenen Diensten. Gleichzeitig soll mit der vorliegenden Verordnung verhindert werden, dass die Anreize für Investitionen in die Art vernetzter Produkte, von denen die Daten erlangt werden, verloren gehen, etwa wenn Daten zur Entwicklung eines konkurrierenden vernetzten Produkts genutzt werden, das insbesondere aufgrund seiner Merkmale, seines Preises und seines Verwendungszwecks von den Nutzern als austauschbar oder ersetzbar betrachtet wird. Diese Verordnung sieht kein Verbot der Entwicklung eines verbundenen Dienstes unter Nutzung der im Rahmen dieser Verordnung erlangten Daten vor, da dies eine unerwünschte abschreckende Wirkung auf Innovationen hätte. Die Innovationsanst rengungen der Dateninhaber werden durch das Verbot geschützt, Daten, zu denen im Rahmen dieser Verordnung Zugang besteht, für die Entwicklung eines vernetzten Konkurrenzprodukts zu nutzen. Ob ein vernetztes Produkt mit dem vernetzten Produkt, von dem die Daten stammen, im Wettbewerb steht, hängt davon ab, ob die beiden vernetzten Produkte auf demselben Produktmarkt miteinander konkurrieren. Dies ist auf der Grundlage der bewährten Grundsätze des Wettbewerbsrechts der Union zur Bestimmung des einschlägigen Produktmarkts zu entscheiden. Allerdings könnte ein rechtmäßiger Zweck der Nutzung der Daten, soweit die Anforderungen der vorliegenden Verordnung, des Unionsrechts oder des nationalen Rechts dabei erfüllt sind, Reverse Engineering (Nachkonstruktion) umfassen. Dabei kann es sich um Zwecke der Reparatur oder der Verlängerung der Lebensdauer eines vernetzten Produkts oder der Erbringung von Folgemarkt-Diensten für vernetzte Produkte handeln. (33) Ein Dritter, dem Daten bereitgestellt werden, kann eine natürliche oder juristische Person, wie etwa ein Verbraucher, ein Unternehmen, eine Forschungseinrichtung, eine gemeinnützige Organisation oder ein in beruflicher Eigenschaft handelnder Rechtsträger, sein. Wenn ein Dateninhaber dem Dritten die Daten bereitstellt, sollte er seine Position nicht missbrauchen, um einen Wettbewerbsvorteil auf Märkten zu erlangen, auf denen der Dateninhaber und der Dritte möglicherweise in direktem Wettbewerb stehen. Der Dateninhaber sollte ohne Weiteres verfügbare Daten daher nicht dazu nutzen, um Einblicke in die wirtschaftliche Lage, die Vermögenswerte oder Produktionsmethoden des Dritten oder die Nutzung durch den Dritten auf jegliche andere Weise zu erlangen, die die gewerbliche Position des Dritten auf den Märkten, auf denen dieser tätig ist, untergraben könnte. Der Nutzer sollte in der Lage sein, nicht- personenbezogene Daten zu kommerziellen Zwecken an Dritte weiterzugeben. Nach Zustimmung des Nutzers und vorbehaltlich der Bestimmungen dieser Verordnung sollten Dritte die vom Nutzer eingeräumten Datenzugangsrechte auf andere Dritte übertragen können, auch gegen Entgelt. Datenmittler zwischen Unternehmen und Personal Information Management Systemen (personal information management systems, PIMS), die in der Verordnung (EU) 2022/868 als Datenvermittlungsdienste bezeichnet werden, können Nutzer oder Dritte bei der Aufnahme von Geschäftsbeziehungen mit einer unbestimmten Zahl potenzieller Gegenparteien zu jedem in den Anwendungsbereich dieser Verordnung fallenden rechtmäßigen Zweck unterstützen. Sie könnten eine entscheidende Rolle bei der Aggregation des Zugangs zu Daten spielen, sodass Big-Data-Analysen oder maschinelles Lernen erleichtert werden können, vorausgesetzt dass die Nutzer die volle Kontrolle darüber behalten, ob sie ihre Daten zu einer solchen Aggregation bereitstellen und unter welchen kommerziellen Bedingungen ihre Daten zu nutzen sind. ELI: http://data.europa.eu/eli/reg/2023/2854/oj 11/71 DE ABl. L vom 22.12.2023 (34) Bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes können, insbesondere wenn es sich bei dem Nutzer um eine natürliche Person handelt, Daten generiert werden, die sich auf eine betroffene Person beziehen. Die Verarbeitung solcher Daten unterliegt den Vorschriften der Verordnung (EU) 2016/679, auch wenn personenbezogene und nicht-personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden sind. Die betroffene Person kann der Nutzer oder eine andere natürliche Person sein. Zugang zu personenbezogenen Daten darf nur von einem Verantwortlichen oder einer betroffenen Person verlangt werden. Der Nutzer, der die betroffene Person ist, ist unter bestimmten Umständen gemäß der Verordnung (EU) 2016/679 berechtigt, auf die jenen Nutzer betreffenden personenbezogenen Daten zuzugreifen; diese Rechte bleiben von der vorliegenden Verordnung unberührt. Nach der vorliegenden Verordnung hat ein Nutzer, der eine natürliche Person ist, ferner das Recht auf Zugang zu allen durch die Nutzung eines vernetzten Produkts generierten Daten, ob personenbezogen oder nicht-personenbezogen. Handelt es sich beim Nutzer nicht um die betroffene Person, sondern um ein Unternehmen, einschließlich eines Einzelunternehmers, und wird das Produkt nicht gemeinsam in einem Haushalt verwendet, so gilt der Nutzer als Verantwortlicher. Dementsprechend benötigt ein Nutzer, der als Verantwortlicher Zugang zu personenbezogenen Daten, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert werden, zu verlangen beabsichtigt, für die Verarbeitung der Daten eine Rechtsgrundlage gemäß Artikel 6 Absatz 1 der Verordnung (EU) 2016/679, wie etwa die Einwilligung der betroffenen Person oder die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist. Dieser Nutzer sollte sicherstellen, dass die betroffene Person angemessen über die spezifischen, eindeutigen und rechtmäßigen Zwecke der Verarbeitung dieser Daten und darüber informiert wird, wie die betroffene Person ihre Rechte wirksam ausüben kann. Handelt es sich bei dem Dateninhaber und dem Nutzer um gemeinsam Verantwortliche im Sinne des Artikels 26 der Verordnung (EU) 2016/679, so müssen sie in einer Vereinbarung in transparenter Form festlegen, wer von ihnen die einschlägigen Pflichten zur Einhaltung der genannten Verordnung erfüllt. Es sollte davon ausgegangen werden, dass ein solcher Nutzer, sobald Daten bereitgestellt wurden, seinerseits Dateninhaber werden kann, wenn jener Nutzer die Kriterien dieser Verordnung erfüllt, und damit seinerseits den Pflichten zur Bereitstellung von Daten im Rahmen dieser Verordnung unterliegen kann. (35) Produktdaten oder verbundene Dienstdaten sollten Dritten nur auf Verlangen des Nutzers bereitgestellt werden. Dementsprechend ergänzt die vorliegende Verordnung das in Artikel 20 der Verordnung (EU) 2016/679 verankerte Recht einer betroffenen Personen, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie auch einem anderen Verantwortlichen zu übertragen, wenn diese Daten mithilfe automatisierter Verfahren auf der Grundlage von Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder eines Vertrags gemäß Artikel 6 Absatz 1 Buchstabe b der genannten Verordnung verarbeitet werden. Betroffene Personen haben ebenfalls das Recht, zu erwirken, dass die personenbezogenen Daten von einem Verantwortlichen direkt an einen anderen Verantwortlichen übermittelt werden, jedoch nur sofern dies technisch machbar ist. In Artikel 20 der Verordnung (EU) 2016/679 wird präzisiert, dass dies Daten betrifft, die die betroffene Person bereitgestellt hat, ohne jedoch anzugeben, ob dies ein aktives Verhalten der betroffenen Person erfordert oder ob dies auch in Fällen gilt, in denen ein vernetztes Produkt oder verbundener Dienst durch seine Konzeption das Verhalten einer betroffenen Person oder andere Informationen in Bezug auf eine betroffene Person passiv erfasst. Die in dieser Verordnung enthaltenen Rechte ergänzen das Recht, personenbezogene Daten gemäß Artikel 20 der Verordnung (EU) 2016/679 auf verschiedene Weise zu erhalten und zu übertragen. Die vorliegende Verordnung gewährt Nutzern das Recht auf Zugang und darauf, einem Dritten alle Produktdaten oder verbundenen Dienstdaten bereitzustellen, unabhängig davon, ob es sich um personenbezogene Daten handelt, sowie unabhängig von der Unterscheidung zwischen aktiv bereitgestellten oder passiv erfassten Daten und von der Rechtsgrundlage für die Verarbeitung. Im Gegensatz zu Artikel 20 der Verordnung (EU) 2016/679 wird mit der vorliegenden Verordnung die technische Machbarkeit des Zugangs Dritter zu allen Arten von Daten, die in ihren Anwendungsbereich fallen – ob personenbezogen oder nicht-personenbezogen –, vorgeschrieben und gewährleistet, womit sichergestellt wird, dass technische Hindernisse den Zugang zu diesen Daten nicht mehr behindern oder verhindern. Außerdem ermöglicht sie es Dateninhabern, eine angemessene Gegenleistung für Kosten festlegen, die durch die Bereitstellung des direkten Zugangs zu den vom vernetzten Produkt des Nutzers generierten Daten entstehen, die von Dritten, nicht aber vom Nutzer zu tragen ist. Wenn ein Dateninhaber und ein Dritter nicht in der Lage sind, Bedingungen für einen solchen direkten Zugang zu vereinbaren, sollte die betroffene Person in keiner Weise daran gehindert werden, die in der Verordnung (EU) 2016/679 festgelegten Rechte, einschließlich des Rechts auf Datenübertragbarkeit, durch Einlegung von Rechtsbehelfen gemäß der genannten Verordnung auszuüben. In diesem Zusammenhang gilt, dass im Einklang mit der Verordnung (EU) 2016/679 durch einen Vertrag nicht die Verarbeitung besonderer Kategorien personenbezogener Daten durch den Dateninhaber oder den Dritten gestattet werden kann. (36) Der Zugang zu auf Endgeräten gespeicherten von über Endgeräte zugänglichen Daten unterliegt der Richtlinie 2002/58/EG und erfordert die Einwilligung des Teilnehmers oder Nutzers im Sinne der genannten Richtlinie, es sei denn, der Datenzugang ist unbedingt für die Bereitstellung eines vom Nutzer oder vom Teilnehmer ausdrücklich verlangten Dienstes der Informationsgesellschaft oder zum alleinigen Zweck der Übertragung einer Nachricht erforderlich. Die Richtlinie 2002/58/EG schützt die Integrität der Endgeräte eines Nutzers im Hinblick auf die Nutzung von Verarbeitungs- und Speicherfunktionen und die Sammlung von Informationen. Geräte des Internets der Dinge gelten als Endgeräte, wenn sie direkt oder indirekt mit einem öffentlichen Kommunikationsnetz verbunden sind. 12/71 ELI: http://data.europa.eu/eli/reg/2023/2854/oj ABl. L vom 22.12.2023 DE (37) Um zu verhindern, dass Nutzer ausgenutzt werden, sollten Dritte, denen die Daten auf Verlangen des Nutzers bereitgestellt wurden, diese Daten nur zu den mit dem Nutzer vereinbarten Zwecken verarbeiten und sie nur an andere Dritte weitergeben, wenn der Nutzer seine Einwilligung zu dieser Datenweitergabe gegeben hat. (38) Im Einklang mit dem Grundsatz der Datenminimierung sollten Dritte nur auf solche Informationen zugreifen, die für die Erbringung des vom Nutzer verlangten Dienstes erforderlich sind. Nachdem der Dritte Zugang zu den Daten erhalten hat, sollte er diese zu den mit dem Nutzer vereinbarten Zwecken verarbeiten, ohne dass der Dateninhaber eingreift. Es sollte für den Nutzer genauso einfach sein, den Zugang Dritter zu den Daten zu verweigern oder zu beenden, wie es für ihn ist, den Zugang zu den Daten zu gestatten. Weder Dritte noch Dateninhaber sollten die Ausübung der Wahlmöglichkeiten oder Rechte der Nutzer unangemessen erschweren, auch nicht, indem sie ihnen Wahlmöglichkeiten auf nicht neutrale Weise anbieten, oder den Nutzer zwingen, täuschen oder manipulieren, oder indem sie – auch mittels einer digitalen Benutzerschnittstelle oder eines Teils davon –, die Autonomie, Entscheidungsfähigkeit oder freie Wahlmöglichkeiten des Nutzers untergraben oder beeinträchtigen. In diesem Zusammenhang sollten Dritte oder Dateninhaber bei der Gestaltung ihrer digitalen Schnittstellen nicht auf sogenannte „Dark Patterns“ zurückgreifen. „Dark Patterns“ sind Gestaltungstechniken, die dazu dienen, Verbraucher zu Entscheidungen, die negative Folgen für sie haben, zu verleiten oder sie zu täuschen. Diese manipulativen Techniken können eingesetzt werden, um Nutzer, insbesondere schutzbedürftige Verbraucher, zu unerwünschtem Verhalten zu bewegen und zu täuschen, indem sie zu Entscheidungen über die Datenoffenlegung angeregt werden, sowie um die Entscheidungsfindung der Nutzer des Dienstes unverhältnismäßig in einer Weise zu beeinflussen, die ihre Autonomie, Entscheidungsfähigkeit oder Wahlmöglichkeiten untergräbt oder beeinträchtigt. Übliche und rechtmäßige Geschäftspraktiken, die mit dem Unionsrecht im Einklang stehen, sollten an sich nicht als „Dark Patterns“ angesehen werden. Dritte und Dateninhaber sollten ihren Pflichten nach dem einschlägigen Unionsrecht nachkommen, insbesondere den Anforderungen der Richtlinien 98/6/EG (24) und 2000/31/EG (25) des Europäischen Parlaments und des Rates sowie der Richtlinien 2005/29/EG und 2011/83/EU. (39) Dritte sollten auch davon absehen, Daten, die in den Anwendungsbereich dieser Verordnung fallen, für das Profiling einer Person zu verwenden, es sei denn, solche Verarbeitungstätigkeiten sind unbedingt erforderlich, um den vom Nutzer verlangten Dienst zu erbringen, einschließlich im Kontext der automatisierten Entscheidungsfindung. Die Anforderung, Daten zu löschen, wenn diese für den mit dem Nutzer vereinbarten Zweck nicht mehr erforderlich sind, ergänzt – sofern in Bezug nicht-personenbezogene Daten nichts anderes vereinbart wurde – das Recht der betroffenen Person auf Löschung gemäß Artikel 17 der Verordnung (EU) 2016/679. Wenn ein Dritter ein Anbieter eines Datenvermittlungsdienstes ist, gelten die in der Verordnung (EU) 2022/868 für die betroffene Person vorgesehenen Schutzvorkehrungen. Der Dritte kann die Daten für die Entwicklung eines neuen und innovativen vernetzten Produkts oder verbundenen Dienstes, nicht aber für die Entwicklung eines konkurrierenden vernetzten Produkts verwenden. (40) Start-ups, kleine Unternehmen und Unternehmen, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen einzustufen sind, sowie Unternehmen aus traditionellen Branchen mit weniger entwickelten digitalen Fähigkeiten haben Schwierigkeiten, Zugang zu einschlägigen Daten zu erlangen. Ziel dieser Verordnung ist es, diesen Rechtsträgern den Zugang zu Daten zu erleichtern und gleichzeitig sicherzustellen, dass die entsprechenden Pflichten so verhältnismäßig wie möglich sind, um eine Übervorteilung zu vermeiden. Durch die Anhäufung und Aggregation gewaltiger Datenmengen und die technologische Infrastruktur für ihre Monetarisierung ist in der digitalen Wirtschaft gleichzeitig eine kleine Zahl sehr großer Unternehmen mit beträchtlicher wirtschaftlicher Macht entstanden. Zu diesen sehr großen Unternehmen gehören Betreiber zentraler Plattformdienste, die ganze Plattformökosysteme in der digitalen Wirtschaft kontrollieren, sodass es bestehenden oder neuen Marktteilnehmern nicht möglich ist, ihnen ihre Position streitig zu machen oder mit ihnen in Wettbewerb zu treten. Die Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates (26) zielt darauf ab, diese Ineffizienzen und Ungleichgewichte zu beheben, indem die Kommission ein Unternehmen als „Torwächter“ benennen kann und diesen Torwächtern eine Reihe von Pflichten auferlegt wird, darunter das Verbot, bestimmte Daten ohne Einwilligung zusammenzuführen, und die Pflicht, wirksames Rechte auf Datenübertragbarkeit gemäß Artikel 20 der Verordnung (EU) 2016/679 zu gewährleisten. Gemäß der Verordnung (EU) 2022/1925 und angesichts der einzigartigen Fähigkeit dieser Unternehmen, Daten zu erwerben, ist es zur Erreichung des Ziels der (24) Richtlinie 98/6/EG des Europäischen Parlaments und des Rates vom 16. Februar 1998 über den Schutz der Verbraucher bei der Angabe der Preise der ihnen angebotenen Erzeugnisse (ABl. L 80 vom 18.3.1998, S. 27). (25) Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. L 178 vom 17.7.2000, S. 1). (26) Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte) (ABl. L 265 vom 12.10.2022, S. 1). ELI: http://data.europa.eu/eli/reg/2023/2854/oj 13/71 DE ABl. L vom 22.12.2023 vorliegenden Verordnung nicht erforderlich und somit in Bezug auf die den entsprechenden Pflichten unterliegenden Dateninhaber unverhältnismäßig, solchen Torwächtern ein Datenzugangsrecht einzuräumen. Ihre Einbeziehung dürfte auch die Vorteile einschränken, die die vorliegende Verordnung im Zusammenhang mit der gerechten Verteilung der Datenwertschöpfung unter den Marktteilnehmern für KMU bewirken kann. Dies bedeutet, dass ein als Torwächter benanntes Unternehmen, das zentrale Plattformdienste betreibt, auf der Grundlage der vorliegenden Verordnung keinen Zugang zu Nutzerdaten verlangen oder erhalten kann, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes oder eines virtuellen Assistenten generiert werden. Darüber hinaus dürfen Dritte, denen Daten auf Verlangen des Nutzers bereitgestellt werden, die Daten keinem Torwächter bereitstellen. Beispielsweise darf der Dritte keinen Torwächter mit der Erbringung des Dienstes beauftragen. Dies hindert Dritte jedoch nicht daran, Datenverarbeitungsdienste in Anspruch zu nehmen, die von einem Torwächter angeboten werden. Außerdem hindert es diese Unternehmen nicht daran, dieselben Daten auf andere rechtmäßige Weise zu erlangen und zu nutzen. Die Zugangsrechte gemäß der vorliegenden Verordnung tragen zu einer größeren Auswahl an Dienstleistungen für die Verbraucher bei. Da freiwillige Vereinbarungen zwischen Torwächtern und Dateninhabern hiervon unberührt bleiben, würde eine Beschränkung der Zugangsgewährung für Torwächter diese nicht vom Markt ausschließen oder daran hindern, ihre Dienste anzubieten. (41) Angesichts des derzeitigen Stands der Technik wäre es zu aufwendig, Kleinstunternehmen und Kleinunternehmen weitere Konzeptionspflichten für vernetzte Produkte, die von ihnen hergestellt oder konzipiert, oder verbundene Dienste, die von ihnen erbracht werden, aufzuerlegen. Dies ist jedoch nicht der Fall, wenn ein Kleinstunternehmen oder Kleinunternehmen ein Partnerunternehmen oder ein verbundenes Unternehmen im Sinne von Artikel 3 des Anhangs der Empfehlung 2003/361/EG hat, das nicht als Kleinstunternehmen oder Kleinunternehmen gilt, und das mit der Herstellung oder Konzeption eines vernetzten Produkts oder mit der Erbringung eines verbundenen Dienstes beauftragt wird. In solchen Fällen ist das Unternehmen, das einem Kleinstunternehmen oder Kleinunternehmen den Herstellungs- oder Konzeptionsauftrag erteilt hat, in der Lage, dem Auftragnehmer angemessenen zu entschädigen. Ein Kleinstunternehmen oder Kleinunternehmen kann jedoch als Dateninhaber den Anforderungen dieser Verordnung unterliegen, wenn es nicht der Hersteller des vernetzten Produkts oder ein Erbringer verbundener Dienste ist. Für ein Unternehmen, das seit weniger als einem Jahr als mittleres Unternehmen eingestuft ist, sowie für von einem mittleren Unternehmen vor weniger als einem Jahr auf den Markt gebrachte vernetzte Produkte sollte eine Übergangszeit gelten. Dieser Zeitraum von einem Jahr erlaubt es einem mittleren Unternehmen, sich anzupassen und vorzubereiten, bevor es auf dem Dienstleistungsmarkt für die von ihm hergestellten vernetzten Produkte auf Grundlage der Zugangsrechte gemäß dieser Verordnung dem Wettbewerb ausgesetzt ist. Diese Übergangszeit gilt nicht, wenn ein solches mittleres Unternehmen ein Partnerunternehmen oder ein verbundenes Unternehmen hat, das nicht als Kleinstunternehmen oder Kleinunternehmen gilt, oder wenn ein solches mittleres Unternehmen mit der Herstellung oder Konzeption eines vernetzten Produkts oder der Erbringung eines verbundenen Dienstes beauftragt wurde. (42) Unter Berücksichtigung der Vielzahl von vernetzten Produkten, mit denen hinsichtlich Art, Umfang und Häufigkeit unterschiedliche Daten generiert werden, die mit unterschiedlichen Daten- und Cybersicherheitsrisiken einhergehen und wirtschaftliche Chancen von unterschiedlichem Wert bieten, und um die Kohärenz der Verfahren für die Datenweitergabe im Binnenmarkt, auch sektorübergreifend, sicherzustellen und faire Verfahren für die Datenweitergabe selbst in jenen Bereichen zu fördern und voranzubringen, in denen ein solches Recht auf Datenzugang nicht vorgesehen ist, enthält diese Verordnung horizontale Vorschriften über die Ausgestaltung des Datenzugangs in all jenen Fällen, in denen ein Dateninhaber nach dem Unionsrecht oder nationalen Rechtsvor schriften, die im Einklang mit Unionsrecht erlassen wurden, verpflichtet ist, einem Datenempfänger Daten bereitzustellen. Ein solcher Zugang sollte auf fairen, angemessenen, nichtdiskriminierenden und transparenten Bedingungen beruhen. Diese allgemeinen Zugangsvorschriften gelten nicht für Datenbereitstellungspflichten gemäß der Verordnung (EU) 2016/679. Die freiwillige Datenweitergabe bleibt von diesen Vorschriften unberührt. Die unverbindlichen Mustervertragsklauseln für die Datenweitergabe zwischen Unternehmen, die die Kommission erarbeiten und empfehlen wird, können den Parteien dabei helfen, Verträge zu schließen, die faire, angemessene und nichtdiskriminierende Bedingungen enthalten und in transparenter Weise umgesetzt werden sollen. Der Abschluss von Verträgen, die die unverbindlichen Mustervertragsklauseln beinhalten können, sollte nicht bedeuten, dass das Recht auf Weitergabe von Daten an Dritte in irgendeiner Weise an das Bestehen eines solchen Vertrags geknüpft ist. Sollten die Parteien – auch mit Unterstützung von Streitbeilegungsstellen – nicht in der Lage sein, einen Vertrag über die Datenweitergabe zu schließen, so ist das Recht, Daten an Dritte weiterzugeben, vor nationalen Gerichten einklagbar. 14/71 ELI: http://data.europa.eu/eli/reg/2023/2854/oj ABl. L vom 22.12.2023 DE (43) Auf der Grundlage des Grundsatzes der Vertragsfreiheit sollte es den Parteien freistehen, in ihren Verträgen im Rahmen der allgemeinen Zugangsvorschriften für die Bereitstellung von Daten die genauen Bedingungen für die Bereitstellung von Daten auszuhandeln. Die Bedingungen solcher Verträge könnten sich auch auf technische und organisatorische Maßnahmen, auch in Bezug auf die Datensicherheit, erstrecken. (44) Um sicherzustellen, dass die Bedingungen für einen obligatorischen Datenzugang für beide Vertragsparteien fair sind, sollten die allgemeinen Vorschriften über Datenzugangsrechte auf die Vorschrift zur Vermeidung missbräuchlicher Vertragsklauseln Bezug nehmen. (45) In Vereinbarungen über die Bereitstellung von Daten, die im Rahmen der Geschäftsbeziehungen zwischen Unternehmen abgeschlossen werden, sollte unabhängig davon, ob es sich um große Unternehmen oder KMU handelt, nicht zwischen vergleichbaren Kategorien von Datenempfängern unterschieden werden. Zum Ausgleich des Mangels an Informationen über die in verschiedenen Verträgen enthaltenen Bedingungen, der es dem Datenempfänger erschwert, zu beurteilen, ob die Bedingungen für die Bereitstellung der Daten nichtdiskriminierend sind, sollte es in der Verantwortung der Dateninhaber liegen, nachzuweisen, dass eine Vertragsklausel nichtdiskri minierend ist. Es liegt keine rechtswidrige Diskriminierung vor, wenn der Dateninhaber für die Bereitstellung von Daten unterschiedliche Vertragsklauseln vorsieht, sofern diese Unterschiede aus objektiven Gründen gerechtfertigt sind. Diese Pflichten gelten unbeschadet der Verordnung (EU) 2016/679. (46) Um weitere Investitionen in die Generierung und Bereitstellung wertvoller Daten zu fördern, einschließlich Investitionen in einschlägige technische Instrumente, zugleich aber unverhältnismäßige Belastungen bei Datenzugang und Datennutzung zu vermeiden, da die Datenweitergabe dadurch wirtschaftlich nicht mehr tragfähig wäre, enthält diese Verordnung den Grundsatz, dass Dateninhaber eine angemessene Gegenleistung verlangen können, wenn sie gemäß Unionsrecht oder nationalem Recht, das im Einklang mit Unionsrecht erlassen wurde, verpflichtet sind, einem Datenempfänger im Rahmen von Geschäftsbeziehungen zwischen Unternehmen Daten bereitzustell

EU Data Act (German) PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue