1. In recent years, data-driven technologies have had transformative effects on all sectors of the economy. The proliferation of products connected to the internet in particular has increased the volume and potential value of data for consumers, businesses and society. High-quality and interoperable data from different domains increase competitiveness and innovation and ensure sustainable economic growth. The same data may be used and reused for a variety of purposes and to an unlimited degree, without any loss of quality or quantity.

1. In den letzten Jahren haben datengetriebene Technologien transformative Wirkung auf alle Wirtschaftssektoren gehabt. Insbesondere die rasche Verbreitung von Produkten, die mit dem Internet vernetzt sind, hat den Umfang und den potenziellen Wert von Daten für Verbraucher, Unternehmen und Gesellschaft erhöht. Hochwertige und interoperable Daten aus verschiedenen Bereichen steigern die Wettbewerbsfähigkeit und Innovation und sorgen für ein nachhaltiges Wirtschaftswachstum. Dieselben Daten können unbegrenzt für verschiedene Zwecke verwendet und weiterverwendet werden, ohne dass dadurch Qualität oder Quantität beeinträchtigt wird.

2. Barriers to data sharing prevent an optimal allocation of data for the benefit of society. Those barriers include a lack of incentives for data holders to enter voluntarily into data sharing agreements, uncertainty about rights and obligations in relation to data, the costs of contracting and implementing technical interfaces, the high level of fragmentation of information in data silos, poor metadata management, the absence of standards for semantic and technical interoperability, bottlenecks impeding data access, a lack of common data sharing practices and the abuse of contractual imbalances with regard to data access and use.

2. Hindernisse bei der Datenweitergabe verhindern jedoch eine optimale Verteilung der Daten zum Nutzen der Gesellschaft. Zu diesen Hindernissen gehören der Mangel an Anreizen für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen, Unsicherheiten in Bezug auf Rechte und Pflichten in Verbindung mit Daten, die Kosten der Auftragsvergabe in Bezug auf technische Schnittstellen und für deren Einrichtung, die starke Fragmentierung von Informationen in Datensilos, die schlechte Verwaltung von Metadaten, fehlende Normen für die semantische und technische Interoperabilität, Engpässe beim Datenzugang, das Fehlen einheitlicher Verfahren für die Datenweitergabe und der Missbrauch vertraglicher Ungleichgewichte hinsichtlich Datenzugang und Datennutzung.

3. In sectors characterised by the presence of microenterprises, small enterprises and medium-sized enterprises as defined in Article 2 of the Annex to Commission Recommendation 2003/361/EC (5) (SMEs), there is often a lack of digital capacities and skills to collect, analyse and use data, and access is frequently restricted where one actor holds them in the system or due to a lack of interoperability between data, between data services or across borders.

3. In Sektoren mit zahlreichen Kleinstunternehmen sowie Kleinunternehmen und mittleren Unternehmen im Sinne von Artikel 2 des Anhangs der Empfehlung 2003/361/EG der Kommission (5) (KMU) mangelt es häufig an digitalen Kapazitäten und Kompetenzen für die Erhebung, Analyse und Nutzung von Daten; zudem ist der Zugang oftmals eingeschränkt, weil ein einziger Akteur im System die Daten hält oder weil Daten oder Datendienste an sich bzw. über Grenzen hinweg nicht interoperabel sind.

4. In order to respond to the needs of the digital economy and to remove barriers to a well-functioning internal market for data, it is necessary to lay down a harmonised framework specifying who is entitled to use product data or related service data, under which conditions and on what basis. Accordingly, Member States should not adopt or maintain additional national requirements regarding matters falling within the scope of this Regulation, unless explicitly provided for herein, since this would affect its direct and uniform application. Moreover, action at Union level should be without prejudice to obligations and commitments in the international trade agreements concluded by the Union.

4. Um den Bedürfnissen der digitalen Wirtschaft gerecht zu werden und die Hindernisse für einen reibungslos funktionierenden Binnenmarkt für Daten zu beseitigen, muss ein harmonisierter Rahmen geschaffen werden, in dem festgelegt wird, wer unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, Produktdaten oder verbundene Dienstdaten zu nutzen. Daher sollten die Mitgliedstaaten in den Angelegenheiten, die in den Anwendungsbereich der vorliegenden Verordnung fallen, keine zusätzlichen nationalen Anforderungen annehmen oder aufrechterhalten, sofern das in der vorliegenden Verordnung nicht ausdrücklich vorgesehen ist, da dies ihre direkte und einheitliche Anwendung beeinträchtigen würde. Ferner sollten auf Unionsebene ergriffene Maßnahmen die Verpflichtungen und Zusagen, die sich aus den von der Union geschlossenen internationalen Handelsabkommen ergeben, unberührt lassen.

5. This Regulation ensures that users of a connected product or related service in the Union can access, in a timely manner, the data generated by the use of that connected product or related service and that those users can use the data, including by sharing them with third parties of their choice. It imposes the obligation on data holders to make data available to users and third parties of the user’s choice in certain circumstances. It also ensures that data holders make data available to data recipients in the Union under fair, reasonable and non-discriminatory terms and conditions and in a transparent manner. Private law rules are key in the overall framework for data sharing. Therefore, this Regulation adapts rules of contract law and prevents the exploitation of contractual imbalances that hinder fair access to and use of data. This Regulation also ensures that data holders make available to public sector bodies, the Commission, the European Central Bank or Union bodies, where there is an exceptional need, the data that are necessary for the performance of a specific task carried out in the public interest. In addition, this Regulation seeks to facilitate switching between data processing services and to enhance the interoperability of data and of data sharing mechanisms and services in the Union. This Regulation should not be interpreted as recognising or conferring any new right on data holders to use data generated by the use of a connected product or related service.

5. Mit dieser Verordnung wird sichergestellt, dass die Nutzer eines vernetzten Produkts oder verbundenen Dienstes in der Union zeitnah auf die Daten zugreifen können, die bei der Nutzung dieses vernetzten Produkts oder verbundenen Dienstes generiert werden, und dass diese Nutzer die Daten verwenden und auch an Dritte ihrer Wahl weitergeben können. Sie verpflichtet Dateninhaber, die Daten unter bestimmten Umständen den Nutzern und Dritten ihrer Wahl bereitzustellen. Ferner wird sichergestellt, dass Dateninhaber den Datenempfängern in der Union Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und auf transparente Weise bereitstellen. Privatrechtliche Vorschriften sind im Gesamtrahmen für die Datenweitergabe von entscheidender Bedeutung. Daher werden mit dieser Verordnung die vertragsrechtlichen Vorschriften angepasst und die Ausnutzung vertraglicher Ungleichgewichte verhindert, die einen fairen Datenzugang und eine faire Datennutzung erschweren. Mit dieser Verordnung wird auch sichergestellt, dass die Dateninhaber den öffentlichen Stellen und der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union die Daten bereitstellen, die im Falle außergewöhnlicher Notwendigkeit zur Wahrnehmung einer spezifischen Aufgabe im öffentlichen Interesse erforderlich sind. Darüber hinaus soll mit dieser Verordnung der Wechsel zwischen Datenverarbeitungsdiensten erleichtert und die Interoperabilität von Daten sowie von Mechanismen und Diensten für die Datenweitergabe in der Union verbessert werden. Diese Verordnung sollte nicht so ausgelegt werden, dass sie Dateninhabern ein neues Recht auf die Nutzung von Daten verleiht, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert werden.

6. Data generation is the result of the actions of at least two actors, in particular the designer or manufacturer of a connected product, who may in many cases also be a provider of related services, and the user of the connected product or related service. It gives rise to questions of fairness in the digital economy as the data recorded by connected products or related services are an important input for aftermarket, ancillary and other services. In order to realise the important economic benefits of data, including by way of data sharing on the basis of voluntary agreements and the development of data-driven value creation by Union enterprises, a general approach to assigning rights regarding access to and the use of data is preferable to awarding exclusive rights of access and use. This Regulation provides for horizontal rules which could be followed by Union or national law that addresses the specific situations of the relevant sectors.

6. Die Datengenerierung ist das Ergebnis der Handlungen mindestens zweier Akteure, insbesondere des Entwicklers oder Herstellers eines vernetzten Produkts, bei dem es sich in vielen Fällen auch um einen Erbringer verbundener Dienste handeln kann, und des Nutzers des vernetzten Produkts oder des verbundenen Dienstes. Es stellen sich Fragen der Fairness in der digitalen Wirtschaft, da die von solchen vernetzten Produkten oder verbundenen Diensten erfassten Daten ein wichtiges Gut für Folgemarkt-Dienste, Nebendienste und sonstige Dienste sind. Um die wichtigen wirtschaftlichen Vorteile von Daten zu nutzen sowie um Unternehmen in der Union für die Weitergabe von Daten auf der Grundlage freiwilliger Vereinbarungen und für die Entwicklung einer datengetriebenen Wertschöpfung zu gewinnen, ist ein allgemeiner Ansatz für die Zuweisung von Rechten für den Datenzugang und die Datennutzung der Gewährung ausschließlicher Zugangs- und Nutzungsrechte vorzuziehen. In dieser Verordnung sind horizontale Regelungen vorgesehen, denen das Unionsrecht oder das nationale Recht folgen könnten, das die besonderen Gegebenheiten der betreffenden Sektoren Rechnung zu angeht.

7. The fundamental right to the protection of personal data is safeguarded, in particular, by Regulations (EU) 2016/679 (6) and (EU) 2018/1725 (7) of the European Parliament and of the Council. Directive 2002/58/EC of the European Parliament and of the Council (8) additionally protects private life and the confidentiality of communications, including by way of conditions on any personal and non-personal data storing in, and access from, terminal equipment. Those Union legislative acts provide the basis for sustainable and responsible data processing, including where datasets include a mix of personal and non-personal data. This Regulation complements and is without prejudice to Union law on the protection of personal data and privacy, in particular Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive 2002/58/EC. No provision of this Regulation should be applied or interpreted in such a way as to diminish or limit the right to the protection of personal data or the right to privacy and confidentiality of communications. Any processing of personal data pursuant to this Regulation should comply with Union data protection law, including the requirement of a valid legal basis for processing under Article 6 of Regulation (EU) 2016/679 and, where relevant, the conditions of Article 9 of that Regulation and of Article 5(3) of Directive 2002/58/EC. This Regulation does not constitute a legal basis for the collection or generation of personal data by the data holder. This Regulation imposes an obligation on data holders to make personal data available to users or third parties of a user’s choice upon that user’s request. Such access should be provided to personal data that are processed by the data holder on the basis of any of the legal bases referred to in Article 6 of Regulation (EU) 2016/679. Where the user is not the data subject, this Regulation does not create a legal basis for providing access to personal data or for making personal data available to a third party and should not be understood as conferring any new right on the data holder to use personal data generated by the use of a connected product or related service. In those cases, it could be in the interest of the user to facilitate meeting the requirements of Article 6 of Regulation (EU) 2016/679. As this Regulation should not adversely affect the data protection rights of data subjects, the data holder can comply with requests in those cases, inter alia, by anonymising personal data or, where the readily available data contains personal data of several data subjects, transmitting only personal data relating to the user.

7. Das Grundrecht auf den Schutz personenbezogener Daten wird insbesondere durch die Verordnungen (EU) 2016/679 (6) und (EU) 2018/1725 (7) des Europäischen Parlaments und des Rates gewahrt. Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (8) schützt darüber hinaus die Privatsphäre und die Vertraulichkeit der Kommunikation, unter anderem mittels Bedingungen für die Speicherung personenbezogener und nicht-personenbezogener Daten auf Endgeräten und den Zugang dazu. Diese Gesetzgebungsakte der Union bilden die Grundlage für eine nachhaltige und verantwortungsvolle Datenverarbeitung, auch wenn Datensätze eine Mischung aus personenbezogenen und nicht-personenbezogenen Daten enthalten. Die vorliegende Verordnung ergänzt das Unionsrecht zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre, insbesondere die Verordnungen (EU) 2016/679 und (EU) 2018/1725 und die Richtlinie 2002/58/EG, und lässt es unberührt. Keine Bestimmung dieser Verordnung sollte dahingehend angewandt oder ausgelegt werden, dass das Recht auf den Schutz personenbezogener Daten oder das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation abgeschwächt oder eingeschränkt wird. Jegliche Verarbeitung personenbezogener Daten nach dieser Verordnung sollte dem Datenschutzrecht der Union entsprechen, einschließlich dem Erfordernis einer gültigen Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 der Verordnung (EU) 2016/679 und gegebenenfalls den Bedingungen des Artikels 9 der genannten Verordnung und des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG. Die vorliegende Verordnung stellt keine Rechtsgrundlage für die Erhebung oder Generierung personenbezogener Daten durch den Dateninhaber dar. Die vorliegende Verordnung verpflichtet die Dateninhaber, Nutzern Dritten seiner Wahl oder auf Anfrage eines Nutzers personenbezogene Daten bereitzustellen. Ein solcher Zugang sollte im Falle personenbezogener Daten gewährt werden, die vom Dateninhaber auf der Grundlage einer der in Artikel 6 der Verordnung (EU) 2016/679 genannten Rechtsgrundlagen verarbeitet werden. Handelt es sich bei dem Nutzer nicht um die betroffene Person, so bietet die vorliegende Verordnung keine Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten oder für deren Bereitstellung an Dritte und sollte nicht so verstanden werden, dass sie dem Dateninhaber ein neues Recht auf die Nutzung personenbezogener Daten, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert wurden, verleiht. In diesen Fällen könnte es im Interesse des Nutzers liegen, die Erfüllung der Anforderungen des Artikels 6 der Verordnung (EU) 2016/679 zu ermöglichen. Da die vorliegende Verordnung die Datenschutzrechte der betroffenen Personen nicht beeinträchtigen sollte, kann der Dateninhaber Datenzugangsverlangen in diesen Fällen unter anderem nachkommen, indem er personenbezogene Daten anonymisiert oder, wenn ohne Weiteres verfügbare Daten personenbezogene Daten mehrerer betroffener Personen enthalten, nur personenbezogene Daten des Nutzers übermittelt.

8. The principles of data minimisation and data protection by design and by default are essential when processing involves significant risks to the fundamental rights of individuals. Taking into account the state of the art, all parties to data sharing, including data sharing falling within scope of this Regulation, should implement technical and organisational measures to protect those rights. Such measures include not only pseudonymisation and encryption, but also the use of increasingly available technology that permits algorithms to be brought to the data and allow valuable insights to be derived without the transmission between parties or unnecessary copying of the raw or structured data themselves.

8. Die Grundsätze der Datenminimierung und des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind von wesentlicher Bedeutung, wenn die Verarbeitung erhebliche Risiken für die Grundrechte des Einzelnen mit sich bringt. Unter Berücksichtigung des Stands der Technik sollten alle Parteien, die an der Datenweitergabe – einschließlich der Datenweitergabe im Anwendungsbereich dieser Verordnung – beteiligt sind, technische und organisatorische Maßnahmen zum Schutz dieser Rechte ergreifen. Zu diesen Maßnahmen gehören nicht nur Pseudonymisierung und Verschlüsselung, sondern auch der Einsatz zunehmend verfügbarer Technik, die es ermöglicht, Algorithmen direkt am Ort der Datengenerierung einzusetzen und wertvolle Erkenntnisse zu gewinnen, ohne dass die Daten zwischen den Parteien übertragen bzw. die Rohdaten oder strukturierten Daten selbst unnötig kopiert werden.

9. Unless otherwise provided for in this Regulation, it does not affect national contract law, including rules on the formation, validity or effect of contracts, or the consequences of the termination of a contract. This Regulation complements and is without prejudice to Union law which aims to promote the interests of consumers and ensure a high level of consumer protection, and to protect their health, safety and economic interests, in particular Council Directive 93/13/EEC (9) and Directives 2005/29/EC (10) and 2011/83/EU (11) of the European Parliament and of the Council.

9. Sofern in der vorliegenden Verordnung nicht anders vorgesehen, lässt sie das nationale Vertragsrecht, einschließlich der Vorschriften über das Zustandekommen von Verträgen, ihre Gültigkeit oder ihre Rechtsfolgen oder über die Auswirkungen der Beendigung eines Vertrags, unberührt. Die vorliegende Verordnung ergänzt das Unionsrecht zur Förderung der Interessen der Verbraucher und zur Gewährleistung eines hohen Verbraucherschutzniveaus sowie zum Schutz ihrer Gesundheit, Sicherheit und wirtschaftlichen Interessen, insbesondere die Richtlinie 93/13/EWG des Rates (9) und der Richtlinien 2005/29/EG (10) und 2011/83/EU (11) des Europäischen Parlaments und des Rates, und lässt es unberührt.

10. This Regulation is without prejudice to Union and national legal acts providing for the sharing of, access to and the use of data for the purpose of the prevention, investigation, detection or prosecution of criminal offences or for the execution of criminal penalties, or for customs and taxation purposes, irrespective of the legal basis under the Treaty on the Functioning of the European Union (TFEU) on which such Union legal acts were adopted, as well as to international cooperation in that area, in particular on the basis of the Council of Europe Convention on Cybercrime, (ETS No 185), done at Budapest on 23 November 2001. Such acts include Regulations (EU) 2021/784 (12), (EU) 2022/2065 (13) and (EU) 2023/1543 (14) of the European Parliament and of the Council and Directive (EU) 2023/1544 of the European Parliament and of the Council (15). This Regulation does not apply to the collection or sharing of, access to or the use of data under Regulation (EU) 2015/847 of the European Parliament and of the Council (16) and Directive (EU) 2015/849 of the European Parliament and of the Council (17). This Regulation does not apply to areas that fall outside the scope of Union law and in any event does not affect the competences of the Member States concerning public security, defence or national security, customs and tax administration or the health and safety of citizens, regardless of the type of entity entrusted by the Member States to carry out tasks in relation to those competences.

10. Diese Verordnung berührt nicht Rechtsvorschriften der Union nationale Rechtsvorschriften über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder zur Verfolgung von Straftaten oder der Strafvollstreckung oder für Zoll- und Steuerzwecke, unabhängig davon, auf welcher Rechtsgrundlage nach dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) diese Rechtsvorschriften der Union erlassen wurden, oder Rechtsvorschriften über die internationale Zusammenarbeit in diesem Bereich, insbesondere auf der Grundlage des Übereinkommens des Europarats über Computerkriminalität (ETS Nr. 185), das am 23. November 2001 in Budapest unterzeichnet wurde. Zu diesen Rechtsvorschriften gehören die Verordnungen (EU) 2021/784 (12), (EU) 2022/2065 (13) und (EU) 2023/1543 (14) des Europäischen Parlaments und des Rates und die Richtlinie (EU) 2023/1544 des Europäischen Parlaments und des Rates (15). Die vorliegende Verordnung gilt nicht für die Erhebung oder das Teilen von oder den Zugang zu oder die Nutzung von Daten gemäß der Verordnung (EU) 2015/847 des Europäischen Parlaments und des Rates (16) sowie der Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates (17). Die vorliegende Verordnung gilt nicht für nicht unter das Unionsrecht fallende Bereiche und berührt nicht die Zuständigkeiten der Mitgliedstaaten in Bezug auf die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, die Zoll- und Steuerverwaltung oder die Gesundheit und Sicherheit der Bürgerinnen und Bürger, unabhängig von der Art des Rechtsträgers, der von den Mitgliedstaaten mit der Wahrnehmung von Aufgaben im Zusammenhang mit diesen Zuständigkeiten betraut wurde.

11. Union law establishing physical design and data requirements for products to be placed on the Union market should not be affected unless specifically provided for by this Regulation.

11. Sofern nicht ausdrücklich in der vorliegenden Verordnung vorgesehen, sollten Rechtsvorschriften der Union, in denen Anforderungen an die physische Konzeption und die Daten für Produkte, die in der Union in Verkehr gebracht werden sollen, festgelegt werden, von dieser Verordnung unberührt bleiben.

12. This Regulation complements and is without prejudice to Union law aiming to establish accessibility requirements on certain products and services, in particular Directive (EU) 2019/882 of the European Parliament and of the Council (18).

12. Diese Verordnung ergänzt das Unionsrecht zur Festlegung von Barrierefreiheitsanforderungen für bestimmte Produkte und Dienstleistungen, insbesondere die Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates (18), und lässt es unberührt.

13. This Regulation is without prejudice to Union and national legal acts providing for the protection of intellectual property rights, including Directives 2001/29/EC (19), 2004/48/EC (20) and (EU) 2019/790 (21) of the European Parliament and of the Council.

13. Diese Verordnung berührt nicht die Rechtsakte der Union und der Mitgliedstaaten zum Schutz der Rechte des geistigen Eigentums, darunter die Richtlinien 2001/29/EG (19), 2004/48/EG (20) und (EU) 2019/790 (21) des Europäischen Parlaments und des Rates.

14. Connected products that obtain, generate or collect, by means of their components or operating systems, data concerning their performance, use or environment and that are able to communicate those data via an electronic communications service, a physical connection, or on-device access, often referred to as the Internet of Things, should fall within the scope of this Regulation, with the exception of prototypes. Examples of such electronic communications services include, in particular, land-based telephone networks, television cable networks, satellite-based networks and near-field communication networks. Connected products are found in all aspects of the economy and society, including in private, civil or commercial infrastructure, vehicles, health and lifestyle equipment, ships, aircraft, home equipment and consumer goods, medical and health devices or agricultural and industrial machinery. Manufacturers’ design choices, and, where relevant, Union or national law that addresses sector-specific needs and objectives or relevant decisions of competent authorities, should determine which data a connected product is capable of making available.

14. Vernetzte Produkte, die mittels ihrer Komponenten oder Betriebssysteme Daten über ihre Leistung, Nutzung oder Umgebung erlangen, generieren oder erheben und die diese Daten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln können – häufig als Internet der Dinge bezeichnet –, sollten in den Anwendungsbereich dieser Verordnung fallen, mit Ausnahme von Prototypen. Beispiele für solche elektronischen Kommunikationsdienste umfassen insbesondere terrestrische Telefonnetze, Fernsehkabelnetze, Satellitennetze und Nahfeldkommunikationsnetze. Vernetzte Produkte kommen in allen Bereichen der Wirtschaft und Gesellschaft vor, einschließlich in privaten, zivilen oder gewerblichen Infrastrukturen, Fahrzeugen, medizinischer Ausrüstung, Lifestyle-Ausrüstung, Schiffen, Luftfahrzeugen, Haushaltsgeräten und Konsumgütern, Medizin- und Gesundheitsprodukten oder landwirtschaftlichen und industriellen Maschinen und Anlagen. Durch die Entscheidungen der Hersteller bei der Konzeption und gegebenenfalls durch das Unionsrecht oder das nationale Recht, mit dem sektorspezifischer Bedürfnisse und Ziele angegangen werden, oder durch die einschlägigen Entscheidungen der Wettbewerbsbehörden sollte vorgegeben werden, welche Daten von einem vernetzten Produkt bereitgestellt werden können.

15. The data represent the digitisation of user actions and events and should accordingly be accessible to the user. The rules for access to and the use of data from connected products and related services under this Regulation address both product data and related service data. Product data refers to data generated by the use of a connected product that the manufacturer designed to be retrievable from the connected product by a user, data holder or a third party, including, where relevant, the manufacturer. Related service data refers to data, which also represent the digitisation of user actions or events related to the connected product which are generated during the provision of a related service by the provider. Data generated by the use of a connected product or related service should be understood to cover data recorded intentionally or data which result indirectly from the user’s action, such as data about the connected product’s environment or interactions. This should include data on the use of a connected product generated by a user interface or via a related service, and should not be limited to the information that such use took place, but should include all data that the connected product generates as a result of such use, such as data generated automatically by sensors and data recorded by embedded applications, including applications indicating hardware status and malfunctions. This should also include data generated by the connected product or related service during times of inaction by the user, such as when the user chooses not to use a connected product for a given period of time and instead to keep it in stand-by mode or even switched off, as the status of a connected product or its components, for example its batteries, can vary when the connected product is in stand-by mode or switched off. Data which are not substantially modified, meaning data in raw form, also known as source or primary data which refer to data points that are automatically generated without any further form of processing, as well as data which have been pre-processed for the purpose of making them understandable and useable prior to subsequent processing and analysis fall within the scope of this Regulation. Such data includes data collected from a single sensor or a connected group of sensors for the purpose of making the collected data comprehensible for wider use-cases by determining a physical quantity or quality or the change in a physical quantity, such as temperature, pressure, flow rate, audio, pH value, liquid level, position, acceleration or speed. The term ‘pre-processed data’ should not be interpreted in such a manner as to impose an obligation on the data holder to make substantial investments in cleaning and transforming the data. The data to be made available should include the relevant metadata, including its basic context and timestamp, to make the data usable, combined with other data, such as data sorted and classified with other data points relating to them, or re-formatted into a commonly used format. Such data are potentially valuable to the user and support innovation and the development of digital and other services to protect the environment, health and the circular economy, including through facilitating the maintenance and repair of the connected products in question. By contrast, information inferred or derived from such data, which is the outcome of additional investments into assigning values or insights from the data, in particular by means of proprietary, complex algorithms, including those that are a part of proprietary software, should not be considered to fall within the scope of this Regulation and consequently should not be subject to the obligation of a data holder to make it available to a user or a data recipient, unless otherwise agreed between the user and the data holder. Such data could include, in particular, information derived by means of sensor fusion, which infers or derives data from multiple sensors, collected in the connected product, using proprietary, complex algorithms and which could be subject to intellectual property rights.

15. Die Daten stellen digitalisierte Nutzerhandlungen und -vorgänge dar und sollten dementsprechend für den Nutzer zugänglich sein. Die Vorschriften für den Zugang zu und die Nutzung von Daten von vernetzten Produkten und verbundenen Diensten im Rahmen dieser Verordnung betreffen sowohl Produktdaten als auch verbundene Dienstdaten. Produktdaten bezeichnet Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie von einem Nutzer, Dateninhaber oder Dritten – gegebenenfalls einschließlich des Herstellers – aus dem vernetzten Produkt abgerufen werden können. Verbundene Dienstdaten bezeichnet Daten, die ebenfalls die Digitalisierung von Nutzerhandlungen oder -vorgängen im Zusammenhang mit dem vernetzten Produkt darstellen und während der Erbringung eines verbundenen Dienstes durch den Anbieter generiert werden. Unter Daten, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert werden, sollten absichtlich aufgezeichnete Daten oder Daten verstanden werden, die indirekt durch Nutzerhandlungen generiert werden, wie z. B. Daten über die Umgebung oder Interaktionen des vernetzten Produkts. Diese Daten sollten Daten über die Nutzung eines vernetzten Produkts einschließen, die von einer Benutzerschnittstelle oder über einen verbundenen Dienst generiert werden, und sollten sich nicht auf die Information beschränken, dass ein Produkt oder Dienst genutzt wurde, sondern alle Daten umfassen, die das vernetzte Produkt infolge einer solchen Nutzung generiert, wie z. B. automatisch von Sensoren generierte Daten und Daten, die von eingebetteten Anwendungen aufgezeichnet werden, einschließlich Anwendungen, die den Hardwarestatus und Funktionsstörungen angeben. Zu diesen Daten sollten auch Daten gehören, die von dem vernetzten Produkt oder verbundenen Dienst generiert werden, während der Nutzer inaktiv ist, etwa wenn er beschließt, ein vernetztes Produkt für einen bestimmten Zeitraum nicht zu verwenden, sondern es im Bereitschaftszustand zu belassen oder sogar auszuschalten, da sich der Status eines vernetzten Produkts oder seiner Komponenten, beispielsweise seiner Batterien, ändern kann, wenn sich das vernetzte Produkt im Bereitschaftszustand befindet oder ausgeschaltet ist. Daten, die nicht wesentlich verändert werden, d. h. Daten in Rohform, auch als Quell- oder Primärdaten bezeichnet, die sich auf Datenpunkte beziehen, die ohne jegliche weitere Form der Verarbeitung automatisch generiert werden, sowie Daten, die vor der Weiterverarbeitung und Auswertung aufbereitet wurden, um sie verständlich und nutzbar zu machen, fallen in den Anwendungsbereich dieser Verordnung. Dazu gehören Daten, die von einem einzelnen Sensor oder einer Gruppe miteinander verbundener Sensoren erhoben wurden, um die erfassten Daten für vielfältigere Anwendungsfälle verständlich zu machen, indem eine physikalische Größe oder Eigenschaft oder die Veränderung einer physikalischen Größe, wie Temperatur, Druck, Durchflussmenge, Ton, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit, bestimmt wird. Der Begriff „aufbereitete Daten“ sollte nicht so ausgelegt werden, dass der Dateninhaber dazu verpflichtet ist, wesentliche Investitionen in die Bereinigung und Transformation der Daten vorzunehmen. Die Daten, die bereitzustellen sind, sollten die einschlägigen Metadaten, einschließlich ihres grundlegenden Kontexts und Zeitstempels, umfassen, um die Daten in Kombination mit anderen Daten, z. B. Daten, die sortiert und mit anderen, mit ihnen verbundenen Datenpunkten klassifiziert wurden oder die in ein gängiges Format umformatiert wurden, nutzbar zu machen. Derartige Daten sind potenziell wertvoll für den Nutzer und unterstützen Innovationen und die Entwicklung digitaler und anderer Dienste zum Schutz der Umwelt, der Gesundheit und der Kreislaufwirtschaft, unter anderem indem sie die Wartung und Reparatur der betreffenden vernetzten Produkte erleichtern. Dagegen sollten aus solchen Daten gefolgerte oder abgeleitete Informationen, die das Ergebnis zusätzlicher Investitionen in die Zuweisung von Werten oder Erkenntnissen aus den Daten sind (insbesondere mittels komplexer proprietärer Algorithmen, einschließlich solcher, die Teil proprietärer Software sind), nicht in den Anwendungsbereich dieser Verordnung fallen, und somit sollten Dateninhaber bei diesen Daten auch nicht dazu verpflichtet sein, sie einem Nutzer oder Datenempfänger bereitzustellen, es sei denn, der Nutzer und der Dateninhaber haben etwas anderes vereinbart. Zu diesen Daten könnten insbesondere Informationen gehören, die durch Sensorfusion gewonnen werden, bei der Daten von mehreren Sensoren abgeleitet oder gefolgert werden, die in dem vernetzten Produkt unter Verwendung komplexer proprietärer Algorithmen erhoben werden und möglicherweise Rechten des geistigen Eigentums unterliegen.

16. This Regulation enables users of connected products to benefit from aftermarket, ancillary and other services based on data collected by sensors embedded in such products, the collection of those data being of potential value in improving the performance of the connected products. It is important to delineate between, on the one hand, markets for the provision of such sensor-equipped connected products and related services and, on the other, markets for unrelated software and content such as textual, audio or audiovisual content often covered by intellectual property rights. As a result, data that such sensor-equipped connected products generate when the user records, transmits, displays or plays content, as well as the content itself, which is often covered by intellectual property rights, inter alia for use by an online service, should not be covered by this Regulation. This Regulation should also not cover data which was obtained, generated or accessed from the connected product, or which was transmitted to it, for the purpose of storage or other processing operations on behalf of other parties, who are not the user, such as may be the case with regard to servers or cloud infrastructure operated by their owners entirely on behalf of third parties, inter alia for use by an online service.

16. Diese Verordnung ermöglicht es Nutzern vernetzter Produkte, Folgemarkt-Dienste, Nebendienste und sonstige Dienste zu nutzen, die auf Daten basieren, die von in diese Produkte eingebetteten Sensoren erhoben werden, wobei die Erhebung dieser Daten von potenziellem Nutzen für die Verbesserung der Leistung der vernetzten Produkte ist. Es ist wichtig, einerseits die Märkte für die Bereitstellung solcher mit Sensoren ausgestatteter vernetzter Produkte und damit verbundener Dienste und andererseits die Märkte für nicht verwandte Software und Inhalte wie Text-, Audio- oder audiovisuelle Inhalte, die häufig Rechten des geistigen Eigentums unterliegen, voneinander abzugrenzen. Daher sollten Daten, die von solchen mit Sensoren ausgestatteten vernetzten Produkten generiert werden, wenn ihre Nutzer Inhalte – unter anderem zur Nutzung durch einen Online-Dienst – aufzeichnen, übermitteln, anzeigen lassen oder abspielen, sowie die Inhalte selbst, die häufig Rechten des geistigen Eigentums unterliegen, nicht unter diese Verordnung fallen. Diese Verordnung sollte auch nicht für Daten gelten, die von dem vernetzten Produkt für die Zwecke der Speicherung oder Verarbeitung im Namen anderer Parteien, die keine Nutzer sind, erlangt oder generiert wurden oder auf die über das vernetzte Produkt zugegriffen wurde oder die an es übermittelt wurden, wie es etwa bei Servern oder Cloud-Infrastrukturen, die von ihren Eigentümern ausschließlich im Auftrag Dritter betrieben werden, unter anderem zur Nutzung durch einen Online-Dienst, der Fall sein kann.

17. It is necessary to lay down rules regarding products that are connected to a related service at the time of the purchase, rent or lease in such a way that its absence would prevent the connected product from performing one or more of its functions, or which is subsequently connected to the product by the manufacturer or a third party to add to or adapt the functionality of the connected product. Such related services involve the exchange of data between the connected product and the service provider and should be understood to be explicitly linked to the operation of the connected product’s functions, such as services that, where applicable, transmit commands to the connected product that are able to have an impact on its action or behaviour. Services which do not have an impact on the operation of the connected product and which do not involve the transmitting of data or commands to the connected product by the service provider should not be considered to be related services. Such services could include, for example, auxiliary consulting, analytics or financial services, or regular repair and maintenance. Related services can be offered as part of the purchase, rent or lease contract. Related services could also be provided for products of the same type and users could reasonably expect them to be provided taking into account the nature of the connected product and any public statement made by or on behalf of the seller, rentor, lessor or other persons in previous links of the chain of transactions, including the manufacturer. Those related services may themselves generate data of value to the user independently of the data collection capabilities of the connected product with which they are interconnected. This Regulation should also apply to a related service that is not supplied by the seller, rentor or lessor itself, but which is provided by a third party. In the event of doubt as to whether the service is provided as part of the purchase, rent or lease contract, this Regulation should apply. Neither the power supply, nor the supply of the connectivity are to be interpreted as related services under this Regulation.

17. Für Produkte, die zum Zeitpunkt des Erwerbs, der Anmietung oder des Leasings so mit einem verbundenen Dienst vernetzt sind, dass das vernetzte Produkt ohne diesen Dienst eine oder mehrere seiner Funktionen nicht ausführen könnte, oder der anschließend vom Hersteller oder von einem Dritten mit dem Produkt vernetzt wird, um die Funktionen des vernetzten Produkts zu ergänzen oder anzupassen, müssen Vorschriften festgelegt werden. Im Rahmen solcher verbundenen Dienste werden Daten zwischen dem vernetzten Produkt und dem Diensteanbieter ausgetauscht, das heißt, sie sollten als Dienste verstanden werden, die ausdrücklich mit dem Betrieb der Funktionen des vernetzten Produkts verknüpft sind, wie im Fall von Diensten, die gegebenenfalls Befehle an das vernetzte Produkt übermitteln, die sich wiederum auf dessen Aktivität oder Verhalten auswirken können. Dienste, die sich nicht auf den Betrieb des vernetzten Produkts auswirken und durch die keine Daten oder Befehle des Diensteanbieters an das vernetzte Produkt übermittelt werden, sollten nicht als verbundene Dienste gelten. Zu solchen Diensten könnten z. B. zusätzliche Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßige Reparatur- und Wartungsdienste gehören. Verbundene Dienste können als Teil eines Kauf-, Miet- oder Leasingvertrags angeboten werden. Verbundene Dienste könnten auch für Produkte derselben Art erbracht werden, und Nutzer sollten ihre Erbringung – unter Berücksichtigung der Beschaffenheit des vernetzten Produkts und öffentlicher Erklärungen, die im Vorfeld des Vertragsschlusses von dem Verkäufer oder im Auftrag des Verkäufers, Vermieters, Leasinggebers oder anderer Personen in vorgelagerten Gliedern der Vertragskette, einschließlich des Herstellers, abgegeben wurden – vernünftigerweise erwarten können. Diese verbundenen Dienste können, unabhängig von den Datenerhebungsmöglichkeiten des vernetzten Produkts, mit dem sie verbunden sind, selbst Daten generieren, die für den Nutzer von Wert sind. Diese Verordnung sollte auch für verbundene Dienste gelten, die nicht vom Verkäufer, Vermieter oder Leasinggeber selbst, sondern von einem Dritten erbracht werden. Bei Zweifeln, ob die Erbringung des Dienstes Teil des Kauf-, Miet- oder Leasingvertrags ist, sollte diese Verordnung Anwendung finden. Weder die Stromversorgung noch die Bereitstellung der Konnektivität sind nach dieser Verordnung als verbundene Dienste auszulegen.

18. The user of a connected product should be understood to be a natural or legal person, such as a business, a consumer or a public sector body, that owns a connected product, has received certain temporary rights, for example by means of a rental or lease agreement, to access or use data obtained from the connected product, or receives related services for the connected product. Those access rights should in no way alter or interfere with the rights of data subjects who may be interacting with a connected product or a related service regarding personal data generated by the connected product or during the provision of the related service. The user bears the risks and enjoys the benefits of using the connected product and should also enjoy access to the data it generates. The user should therefore be entitled to derive benefit from data generated by that connected product and any related service. An owner, renter or lessee should also be considered to be a user, including where several entities can be considered to be users. In the context of multiple users, each user may contribute in a different manner to the data generation and have an interest in several forms of use, such as fleet management for a leasing enterprise, or mobility solutions for individuals using a car sharing service.

18. Unter dem Nutzer eines vernetzten Produkts sollte eine natürliche oder juristische Person, z. B. ein Unternehmen, ein Verbraucher oder eine öffentliche Stelle, verstanden werden, die Eigentümer eines vernetzten Produkts oder – beispielsweise durch einen Miet- oder Leasingvertrag – Inhaber bestimmter befristeter Rechte auf Zugang zu Daten aus dem vernetzten Produkt oder auf deren Nutzung ist oder verbundene Dienste für das vernetzte Produkt in Anspruch nimmt. Diese Zugangsrechte sollten in keiner Weise eine Änderung der oder einen Eingriff in die Rechte betroffener Personen, die möglicherweise mit einem vernetzten Produkt oder einem verbundenen Dienst interagieren, in Bezug auf die von dem vernetzten Produkt oder während der Erbringung verbundener Dienste generierten personenbezogenen Daten bewirken. Der Nutzer trägt die Risiken und genießt die Vorteile der Nutzung des vernetzten Produkts und sollte auch Zugang zu den von ihm generierten Daten haben. Er sollte daher berechtigt sein, aus den von diesem vernetzten Produkt und allen verbundenen Diensten generierten Daten Nutzen zu ziehen. Ein Eigentümer, Mieter oder Leasingnehmer sollte ebenfalls als Nutzer gelten, auch in Fällen, in denen mehrere Rechtsträger als Nutzer gelten können. Im Falle mehrerer Nutzer kann jeder einzelne Nutzer auf unterschiedliche Weise zur Datengenerierung beitragen und ein Interesse an verschiedenen Formen der Nutzung haben; Beispiele sind das Flottenmanagement für ein Leasingunternehmen oder Mobilitätslösungen für Einzelpersonen, die einen Car-Sharing-Dienst nutzen.

19. Data literacy refers to the skills, knowledge and understanding that allows users, consumers and businesses, in particular SMEs falling within the scope of this Regulation, to gain awareness of the potential value of the data they generate, produce and share and that they are motivated to offer and provide access to in accordance with relevant legal rules. Data literacy should go beyond learning about tools and technologies and aim to equip and empower citizens and businesses with the ability to benefit from an inclusive and fair data market. The spread of data literacy measures and the introduction of appropriate follow-up actions could contribute to improving working conditions and ultimately sustain the consolidation, and innovation path of, the data economy in the Union. Competent authorities should promote tools and adopt measures to advance data literacy among users and entities falling within the scope of this Regulation and an awareness of their rights and obligations thereunder.

19. Der Begriff „Datenkompetenz“ bezeichnet die Fähigkeiten, das Wissen und das Verständnis, die/das es Nutzern, Verbrauchern und Unternehmen, insbesondere KMU, die in den Anwendungsbereich dieser Verordnung fallen, ermöglichen, sich des potenziellen Werts der von ihnen generierten, produzierten und weitergegebenen Daten bewusst zu werden, und sie dazu motivieren, im Einklang mit den einschlägigen Rechtsvorschriften Zugang zu ihren Daten anzubieten und zu gewähren. Datenkompetenz sollte über den Erwerb von Wissen über Instrumente und Technologien hinausgehen und darauf abzielen, Bürgerinnen und Bürger und Unternehmen in die Lage zu versetzen und zu befähigen, aus einem inklusiven und fairen Datenmarkt Nutzen zu ziehen. Die Verbreitung von Maßnahmen zur Datenkompetenz und die Einführung angemessener Folgemaßnahmen könnten dazu beitragen, die Arbeitsbedingungen zu verbessern, und letztlich die Konsolidierung und den Innovationspfad der Datenwirtschaft in der Union unterstützen. Die zuständigen Behörden sollten Instrumente fördern und Maßnahmen ergreifen, um die Datenkompetenz von Nutzern und Rechtsträgern, die in den Anwendungsbereich dieser Verordnung fallen, zu verbessern und sie für ihre Rechte und Pflichten aus dieser Verordnung zu sensibilisieren.

20. In practice, not all data generated by connected products or related services are easily accessible to their users and there are often limited possibilities regarding the portability of data generated by products connected to the internet. Users are unable to obtain the data necessary to make use of providers of repair and other services and businesses are unable to launch innovative, convenient and more efficient services. In many sectors, manufacturers are able to determine, through their control of the technical design of the connected products or related services, what data are generated and how they can be accessed, despite having no legal right to those data. It is therefore necessary to ensure that connected products are designed and manufactured, and related services are designed and provided, in such a manner that product data and related service data, including the relevant metadata necessary to interpret and use those data, including for the purpose of retrieving, using or sharing them, are always easily and securely accessible to a user, free of charge, in a comprehensive, structured, commonly used and machine-readable format. Product data and related service data that a data holder lawfully obtains or can lawfully obtain from the connected product or related service, such as by means of the connected product design, the data holder’s contract with the user for the provision of related services, and its technical means of data access, without disproportionate effort, are referred to as ‘readily available data’. Readily available data does not include data generated by the use of a connected product where the design of the connected product does not provide for such data being stored or transmitted outside the component in which they are generated or the connected product as a whole. This Regulation should therefore not be understood to impose an obligation to store data on the central computing unit of a connected product. The absence of such an obligation should not prevent the manufacturer or data holder from voluntarily agreeing with the user on the making of such adaptations. The design obligations in this Regulation are also without prejudice to the data minimisation principle laid down in Article 5(1), point (c), of Regulation (EU) 2016/679 and should not be understood as imposing an obligation to design connected products and related services in such a way that they store or otherwise process any personal data other than the personal data necessary in relation to the purposes for which they are processed. Union or national law could be introduced to outline further specificities, such as the product data that should be accessible from connected products or related services, given that such data may be essential for the efficient operation, repair or maintenance of those connected products or related services. Where subsequent updates or alterations to a connected product or a related service, by the manufacturer or another party, lead to additional accessible data or a restriction of initially accessible data, such changes should be communicated to the user in the context of the update or alteration.

20. In der Praxis sind nicht alle Daten, die durch vernetzte Produkte oder verbundene Dienste generiert werden, für ihre Nutzer leicht zugänglich, und es gibt häufig nur begrenzte Möglichkeiten in Bezug auf die Übertragbarkeit von Daten, die durch mit dem Internet vernetzte Produkte generiert werden. Die Nutzer sind daher nicht in der Lage, die Daten zu erlangen, die erforderlich sind, um Reparatur- und andere Dienste in Anspruch zu nehmen, und Unternehmen sind nicht in der Lage, innovative, bequeme und effizientere Dienste anzubieten. In vielen Sektoren können die Hersteller, da sie die Kontrolle über die technische Konzeption der vernetzten Produkte oder verbundener Dienste haben, bestimmen, welche Daten generiert werden und wie darauf zugegriffen werden kann, obwohl sie keinen Rechtsanspruch auf diese Daten haben. Daher muss sichergestellt werden, dass vernetzte Produkte so konzipiert und hergestellt sowie damit verbundene Dienste so konzipiert und erbracht werden, dass die Produktdaten und die verbundenen Dienstdaten, einschließlich der entsprechenden Metadaten, die zur Auslegung und Nutzung dieser Daten erforderlich sind, und zwar auch, um die Daten abrufen, nutzen oder weitergeben zu können, für einen Nutzer stets leicht und sicher zugänglich sind, und dies kostenlos, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format. Produktdaten und verbundene Dienstdaten, die ein Dateninhaber rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, etwa aufgrund der Konzeption des vernetzten Produkts, des Vertrags des Dateninhabers mit dem Nutzer über die Erbringung verbundener Dienste und seiner technischen Mittel für den Datenzugang ohne unverhältnismäßig hohen Aufwand, werden als „ohne Weiteres verfügbare Daten“ bezeichnet. Von ohne Weiteres verfügbaren Daten ausgenommen sind Daten, die bei der Produktnutzung generiert werden, sofern das vernetzte Produkt nicht dafür ausgelegt ist, dass solche Daten außerhalb der Komponente, in der sie generiert werden, oder des vernetzten Produkts als Ganzem gespeichert oder übermittelt werden. Diese Verordnung sollte daher nicht dahingehend ausgelegt werden, dass die Verpflichtung zur Speicherung von Daten auf der zentralen Rechnereinheit eines vernetzten Produkts besteht. Das Fehlen einer solchen Verpflichtung sollte den Hersteller oder Dateninhaber nicht daran hindern, solche Anpassungen auf freiwilliger Basis mit dem Nutzer zu vereinbaren. Die Konzeptionspflichten nach Maßgabe dieser Verordnung lassen auch den Grundsatz der Datenminimierung nach Artikel 5 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 unberührt und sollten nicht so verstanden werden, dass vernetzte Produkte und verbundene Dienste derart konzipiert werden müssen, dass damit auch andere als die für die Zwecke ihrer Verarbeitung erforderlichen personenbezogenen Daten gespeichert oder anderweitig verarbeitet werden. Es könnte Unionsrecht oder nationales Recht eingeführt werden, um weitere Besonderheiten festzulegen, wie etwa die Produktdaten, die über vernetzte Produkte oder verbundene Dienste zugänglich sein sollten, da diese Daten für den effizienten Betrieb, die Reparatur oder die Wartung dieser vernetzten Produkte oder verbundenen Dienste von wesentlicher Bedeutung sein können. Führen spätere Aktualisierungen oder Änderungen eines vernetzten Produkts oder eines verbundenen Dienstes durch den Hersteller oder eine andere Partei zu zusätzlichen zugänglichen Daten oder zu einer Einschränkung ursprünglich zugänglicher Daten, so sollten diese Änderungen dem Nutzer im Rahmen der Aktualisierung oder Änderung mitgeteilt werden.

21. Where several persons or entities are considered to be users, for example in the case of co-ownership or where an owner, renter or lessee shares rights of data access or use, the design of the connected product or related service, or the relevant interface, should enable each user to have access to the data they generate. Use of connected products that generate data typically requires a user account to be set up. Such an account allows the user to be identified by the data holder, which may be the manufacturer. It can also be used as a means of communication and to submit and process data access requests. Where several manufacturers or related services providers have sold, rented or leased connected products or provided related services, integrated together, to the same user, the user should turn to each of the parties with which it has a contract. Manufacturers or designers of a connected product that is typically used by several persons should put in place the necessary mechanisms to allow separate user accounts for individual persons, where relevant, or for the possibility of several persons using the same user account. Account solutions should allow users to delete their accounts and erase the data related to them and could allow users to terminate data access, use or sharing, or submit requests to terminate, in particular taking into account situations in which the ownership or usage of the connected product changes. Access should be granted to the user on the basis of simple request mechanism granting automatic execution and not requiring examination or clearance by the manufacturer or data holder. This means that the data should be made available only when the user actually wants access. Where automated execution of the data access request is not possible, for example via a user account or accompanying mobile application provided with the connected product or related service, the manufacturer should inform the user as to how the data may be accessed.

21. Gelten mehrere Personen oder Rechtsträger als Nutzer, beispielsweise im Falle gemeinschaftlichen Eigentums oder wenn ein Eigentümer, Mieter oder Leasingnehmer gemeinsame Rechte am Datenzugang oder an der Datennutzung besitzt, so sollte die Konzeption des vernetzten Produkts oder verbundenen Dienstes oder der entsprechenden Schnittstelle jedem Nutzer den Zugang zu den von diesen generierten Daten ermöglichen. Die Nutzung von vernetzten Produkten, die Daten generieren, erfordert in der Regel, dass ein Nutzerkonto eingerichtet wird. Ein solches Konto ermöglicht es dem Nutzer, durch den Dateninhaber, bei dem es sich um den Hersteller handeln kann, identifiziert zu werden. Es kann auch als Kommunikationsmittel und zur Einreichung und Bearbeitung von Datenzugangsverlangen verwendet werden. Haben mehrere Hersteller oder Erbringer verbundener Dienste gemeinsam vernetzte Produkte an denselben Nutzer verkauft, vermietet oder verleast bzw. integrierte Dienste für diesen erbracht, so sollte sich der Nutzer an jede der Parteien wenden, mit der er einen Vertrag geschlossen hat. Hersteller oder Entwickler eines vernetzten Produkts, das in der Regel von mehreren Personen verwendet wird, sollten die erforderlichen Mechanismen einrichten, die gegebenenfalls die Einrichtung getrennter Nutzerkonten für einzelne Personen oder die Nutzung desselben Nutzerkontos durch mehrere Personen ermöglichen. Kontobezogene Lösungen sollten es den Nutzern ermöglichen, ihre Konten und die damit verbundenen Daten zu löschen, und könnten für Nutzer insbesondere in Fällen, in denen das Eigentum an dem Produkt auf andere Personen übergeht oder andere Personen das vernetzte Produkt nutzen, die Möglichkeit vorsehen, den Datenzugang, die Datennutzung oder die Datenweitergabe zu beenden oder deren Einstellung zu beantragen. Der Zugang sollte dem Nutzer auf der Grundlage einfacher Antragsverfahren gewährt werden, die eine automatische Ausführung ermöglichen und keine Prüfung oder Freigabe durch den Hersteller oder Dateninhaber erfordern. Dies bedeutet, dass die Daten nur bereitgestellt werden sollten, wenn der Nutzer tatsächlich Zugang wünscht. Ist die automatische Ausführung des Datenzugangsverlangens, beispielsweise über ein Nutzerkonto oder die mit dem vernetzten Produkt oder dem verbundenen Dienst bereitgestellte mobile Anwendung, nicht möglich, so sollte der Hersteller dem Nutzer mitteilen, wie auf die Daten zugegriffen werden kann.

22. Connected products may be designed to make certain data directly accessible from on-device data storage or from a remote server to which the data are communicated. Access to on-device data storage may be enabled via cable-based or wireless local area networks connected to a publicly available electronic communications service or mobile network. The server may be the manufacturer’s own local server capacity or that of a third party or a cloud service provider. Processors as defined in Article 4, point (8), of Regulation (EU) 2016/679 are not considered to act as data holders. However, they can be specifically tasked with making data available by the controller as defined in Article 4, point (7), of Regulation (EU) 2016/679. Connected products may be designed to permit the user or a third party to process the data on the connected product, on a computing instance of the manufacturer or within an information and communications technology (ICT) environment chosen by the user or the third party.

22. Die vernetzten Produkte können so konzipiert sein, dass bestimmte Daten direkt von einem Datenspeicher auf dem Gerät oder von einem entfernten Server, an den die Daten übermittelt werden, zugänglich gemacht werden. Der Zugang zu Datenspeichern auf dem Gerät kann über kabelgebundene oder drahtlose lokale Funknetze ermöglicht werden, die mit einem öffentlich verfügbaren elektronischen Kommunikationsdienst oder Mobilfunknetz verbunden sind. Bei dem Server kann es sich um die eigenen lokalen Serverkapazitäten des Herstellers oder um die eines Dritten oder eines Cloud-Diensteanbieters handeln. Auftragsverarbeiter im Sinne von Artikel 4 Nummer 8 der Verordnung (EU) 2016/679 gelten nicht als Dateninhaber. Sie können jedoch ausdrücklich vom Verantwortlichen im Sinne von Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 beauftragt werden, Daten bereitzustellen. Vernetzte Produkte können so konzipiert sein, dass der Nutzer oder ein Dritter die Daten auf dem vernetzten Produkt, auf einer Rechnerinstanz des Herstellers oder in einer von dem Nutzer oder Dritten ausgewählten Informations- und Kommunikationstechnologie-(IKT)-Umgebung verarbeiten kann.

23. Virtual assistants play an increasing role in digitising consumer and professional environments and serve as an easy-to-use interface to play content, obtain information, or activate products connected to the internet. Virtual assistants can act as a single gateway in, for example, a smart home environment and record significant amounts of relevant data on how users interact with products connected to the internet, including those manufactured by other parties, and can replace the use of manufacturer-provided interfaces such as touch screens or smartphone apps. The user may wish to make available such data to third party manufacturers and enable novel smart services. Virtual assistants should be covered by the data access rights provided for in this Regulation. Data generated when a user interacts with a connected product via a virtual assistant provided by an entity other than the manufacturer of the connected product should also be covered by the data access rights provided for in this Regulation. However, only the data arising from the interaction between the user and a connected product or related service through the virtual assistant should be covered by this Regulation. Data produced by the virtual assistant which are unrelated to the use of a connected product or related service are not covered by this Regulation.

23. Virtuelle Assistenten spielen eine immer wichtigere Rolle bei der Digitalisierung des Verbraucherumfelds und des beruflichen Umfelds und dienen als benutzerfreundliche Schnittstelle für die Wiedergabe von Inhalten, das Erlangen von Informationen oder die Aktivierung von Produkten, die mit dem Internet verbunden sind. Virtuelle Assistenten können beispielsweise in einer Smart-Home-Umgebung als zentrales Zugangstor dienen und erhebliche Mengen relevanter Daten darüber erfassen, wie Nutzer mit Produkten interagieren, die mit dem Internet verbunden sind, einschließlich solcher, die von Dritten hergestellt werden, und können die Nutzung der vom Hersteller bereitgestellten Schnittstellen, wie Touchscreens oder Smartphone-Apps, ersetzen. Unter Umständen möchte der Nutzer diese Daten Drittherstellern bereitstellen, um neuartige intelligente Dienste zu aktivieren. Virtuelle Assistenten sollten unter das in dieser Verordnung vorgesehene Datenzugangsrecht fallen. Unter das in dieser Verordnung vorgesehene Datenzugangsrecht sollten auch Daten fallen, die generiert werden, wenn ein Nutzer über einen virtuellen Assistenten, der von einem anderen Rechtsträger als dem Hersteller des vernetzten Produkts bereitgestellt wird, mit einem vernetzten Produkt interagiert. Allerdings sollten nur die aus der Interaktion zwischen dem Nutzer und einem vernetzten Produkt oder verbundenen Dienst über den virtuellen Assistenten anfallenden Daten von dieser Verordnung gedeckt sein. Vom virtuellen Assistenten erstellte Daten, die nicht mit der Verwendung eines vernetzten Produkts oder verbundenen Dienstes zusammenhängen, sind nicht von dieser Verordnung gedeckt.

24. Before concluding a contract for the purchase, rent, or lease of a connected product, the seller, rentor or lessor, which may be the manufacturer, should provide to the user information regarding the product data which the connected product is capable of generating, including the type, format and the estimated volume of such data, in a clear and comprehensible manner. This could include information on data structures, data formats, vocabularies, classification schemes, taxonomies and code lists, where available, as well as clear and sufficient information relevant for the exercise of the user’s rights on how the data may be stored, retrieved or accessed, including the terms of use and quality of service of application programming interfaces or, where applicable, the provision of software development kits. That obligation provides transparency over the product data generated and enhances easy access for the user. The information obligation could be fulfilled, for example by maintaining a stable uniform resource locator (URL) on the web, which can be distributed as a web link or QR code, pointing to the relevant information, which could be provided by the seller, rentor or lessor, which may be the manufacturer, to the user before concluding the contract for the purchase, rent or lease of a connected product. It is, in any case, necessary that the user is able to store the information in a way that is accessible for future reference and that allows the unchanged reproduction of the information stored. The data holder cannot be expected to store the data indefinitely in view of the needs of the user of the connected product, but should implement a reasonable data retention policy, where applicable, in line with storage limitation principle pursuant Article 5(1), point (e), of Regulation (EU) 2016/679, that allows for the effective application of the data access rights provided for in this Regulation. The obligation to provide information does not affect the obligation of the controller to provide information to the data subject pursuant to Articles 12, 13 and 14 of Regulation (EU) 2016/679. The obligation to provide information before concluding a contract for the provision of a related service should lie with the prospective data holder, independently of whether the data holder concludes a contract for the purchase, rent or lease of a connected product. Where information changes during the lifetime of the connected product or the contract period for the related service, including where the purpose for which those data are to be used changes from the originally specified purpose, it should also be provided to the user.

24. Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt sollte der Verkäufer, Vermieter oder Leasinggeber – bei dem es sich auch um den Hersteller handeln kann – dem Nutzer Informationen zu den Produktdaten die das vernetzte Produkt generieren kann, einschließlich der Art, des Formats und der geschätzten Datenmenge, auf klare und verständliche Weise bereitstellen. Dies könnte, soweit verfügbar, Informationen über Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten sowie klare und ausreichende Informationen einschließen, die für die Ausübung der Nutzerrechte relevant sind, und darüber, wie die Daten gespeichert oder abgerufen werden können oder wie auf sie zugegriffen werden kann, einschließlich der Nutzungsbedingungen und der Dienstqualität von Anwendungsprogrammierschnittstellen oder gegebenenfalls der Bereitstellung von Software Development Kits. Diese Pflicht sorgt für Transparenz in Bezug auf die generierten Produktdaten und vereinfacht den Zugang für den Nutzer. Der Informationspflicht könnte beispielsweise dadurch nachgekommen werden, dass eine stabile URL-Adresse im Internet unterhalten wird, die als Weblink oder QR-Code verbreitet werden kann und zu den einschlägigen Informationen führt, die der Verkäufer, der Vermieter oder der Leasinggeber – bei dem es sich auch um den Hersteller handeln kann – dem Nutzer vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bereitstellen könnte. Der Nutzer muss die Informationen in jedem Fall so speichern können, dass sie in der Folge eingesehen werden können und die unveränderte Wiedergabe der gespeicherten Informationen möglich ist. Zwar kann vom Dateninhaber nicht erwartet werden, dass er die Daten mit Blick auf die Bedürfnisse des Nutzers des vernetzten Produkts unbegrenzt speichert, jedoch sollte er eine angemessene Regelung in Bezug auf die Dauer der Datenspeicherung anwenden, gegebenenfalls im Einklang mit dem Grundsatz der Speicherbegrenzung nach Artikel 5 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679, die die wirksame Anwendung der Datenzugangsrechte gemäß dieser Verordnung ermöglicht. Die Informationspflicht berührt nicht die Pflicht des Verantwortlichen, der betroffenen Person Informationen gemäß den Artikeln 12, 13 und 14 der Verordnung (EU) 2016/679 zu übermitteln. Die Pflicht, vor Abschluss eines Vertrags über die Erbringung eines verbundenen Dienstes die entsprechenden Informationen bereitzustellen, sollte beim potenziellen Dateninhaber liegen, unabhängig davon, ob der Dateninhaber einen Kauf-, Miet- oder Leasingvertrag für ein vernetztes Produkt abschließt. Ändern sich die Informationen während der Lebensdauer des vernetzten Produkts oder der Vertragslaufzeit für den verbundenen Dienst, einschließlich wenn sich der Zweck, zu dem diese Daten verwendet werden sollen, gegenüber dem ursprünglich vorgesehenen Zweck ändert, so sollten diesbezügliche Informationen auch dem Nutzer bereitgestellt werden.

25. This Regulation should not be understood to confer any new right on data holders to use product data or related service data. Where the manufacturer of a connected product is a data holder, the basis for the manufacturer to use non-personal data should be a contract between the manufacturer and the user. Such a contract could be part of an agreement for the provision of the related service, which could be concluded together with the purchase, rent or lease agreement relating to the connected product. Any contractual term stipulating that the data holder may use product data or related service data should be transparent to the user, including regarding the purposes for which the data holder intends to use the data. Such purposes could include improving the functioning of the connected product or related services, developing new products or services, or aggregating data with the aim of making available the resulting derived data to third parties, provided that such derived data do not allow the identification of specific data transmitted to the data holder from the connected product, or allow a third party to derive those data from the dataset. Any change of the contract should depend on the informed agreement of the user. This Regulation does not prevent parties from agreeing on contractual terms the effect of which is to exclude or limit the use of non-personal data, or certain categories of non-personal data, by a data holder. Neither does it prevent parties from agreeing to make product data or related service data available to third parties, directly or indirectly, including, where applicable, via another data holder. Moreover, this Regulation does not prevent sector-specific regulatory requirements under Union law, or national law compatible with Union law, which would exclude or limit the use of certain such data by the data holder on well-defined public policy grounds. This Regulation does not prevent users, in the case of business-to-business relations, from making data available to third parties or data holders under any lawful contractual term, including by agreeing to limit or restrict further sharing of such data, or from being compensated proportionately, for example in exchange for waiving their right to use or share such data. While the notion of ‘data holder’ generally does not include public sector bodies, it may include public undertakings.

25. Diese Verordnung sollte nicht so verstanden werden, dass sie Dateninhabern ein neues Recht auf die Nutzung von Produktdaten oder verbundener Dienstdaten verleiht. Ist der Hersteller eines vernetzten Produkts der Dateninhaber, so sollte ein Vertrag zwischen dem Hersteller und dem Nutzer die Grundlage für die Nutzung nicht-personenbezogener Daten durch den Hersteller bilden. Ein solcher Vertrag könnte Teil einer Vereinbarung über die Erbringung des verbundenen Dienstes sein, die zusammen mit dem Kauf-, Miet- oder Leasingvertrag für das vernetzte Produkt getroffen werden kann. Jede Vertragsklausel, nach der der Dateninhaber die Produktdaten oder verbundenen Dienstdaten nutzen darf, sollte für den Nutzer transparent sein, auch in Bezug auf die Zwecke, zu denen der Dateninhaber die Daten zu verwenden beabsichtigt. Zu diesen Verwendungszwecken könnten die Verbesserung der Funktionsweise des vernetzten Produkts oder verbundener Dienste, die Entwicklung neuer Produkte oder Dienste oder die Aggregation von Daten mit dem Ziel, die sich daraus ergebenden abgeleiteten Daten Dritten bereitzustellen, gehören, sofern diese abgeleiteten Daten es nicht ermöglichen, einzelne Daten zu ermitteln, die von dem vernetzten Produkt an den Dateninhaber übermittelt wurden, und es Dritten nicht ermöglichen, diese Daten aus dem Datensatz abzurufen. Jede Vertragsänderung sollte der fundierten Zustimmung des Nutzers bedürfen. Diese Verordnung hindert die Parteien nicht daran, Vertragsklauseln zu vereinbaren, die bewirken, dass die Nutzung von nicht-personenbezogenen Daten oder bestimmten Kategorien nicht-personenbezogenen Daten durch einen Dateninhaber ausgeschlossen oder eingeschränkt wird. Sie hindert die Parteien auch nicht daran, zu vereinbaren, dass Produktdaten oder verbundene Dienstdaten Dritten direkt oder indirekt, einschließlich sofern einschlägig über einen anderen Dateninhaber, bereitgestellt werden können. Darüber hinaus steht diese Verordnung auch sektorspezifischen Regulierungsanforderungen nach Unionsrecht oder nach mit dem Unionsrecht im Einklang stehendem nationalen Recht nicht entgegen, die die Nutzung bestimmter Daten durch den Dateninhaber aus genau festgelegten Gründen der öffentlichen Ordnung ausschließen oder einschränken würden. Ferner steht diese Verordnung dem nicht entgegen, dass Nutzer im Falle von Geschäftsbeziehungen zwischen Unternehmen Dritten oder Dateninhabern unter jeglichen rechtmäßigen Vertragsklauseln Daten bereitstellen, unter anderem indem sie vereinbaren, eine erneute Weitergabe dieser Daten zu begrenzen oder einzuschränken, oder dass Nutzer beispielsweise für den Verzicht auf ihr Recht, diese Daten zu verwenden oder weiterzugeben, eine angemessene Gegenleistung erhalten. Obwohl der Begriff „Dateninhaber“ öffentliche Stellen im Allgemeinen nicht einschließt, kann er jedoch öffentliche Unternehmen einschließen.

26. To foster the emergence of liquid, fair and efficient markets for non-personal data, users of connected products should be able to share data with others, including for commercial purposes, with minimal legal and technical effort. It is currently often difficult for businesses to justify the personnel or computing costs that are necessary for preparing non-personal datasets or data products and to offer them to potential counterparties via data intermediation services, including data marketplaces. A substantial hurdle to the sharing of non-personal data by businesses therefore results from the lack of predictability of economic returns from investing in the curation and making available of datasets or data products. In order to allow for the emergence of liquid, fair and efficient markets for non-personal data in the Union, the party that has the right to offer such data on a market must be clarified. Users should therefore have the right to share non-personal data with data recipients for commercial and non-commercial purposes. Such data sharing could be performed directly by the user, upon the request of the user via a data holder, or through data intermediation services. Data intermediation services, as regulated by Regulation (EU) 2022/868 of the European Parliament and of the Council (22) could facilitate a data economy by establishing commercial relationships between users, data recipients and third parties and may support users in exercising their right to use data, such as ensuring the anonymisation of personal data or aggregation of access to data from multiple individual users. Where data are excluded from a data holder’s obligation to make them available to users or third parties, the scope of such data could be specified in the contract between the user and the data holder for the provision of a related service so that users can easily determine which data are available to them for sharing with data recipients or third parties. Data holders should not make available non-personal product data to third parties for commercial or non-commercial purposes other than the fulfilment of their contract with the user, without prejudice to legal requirements pursuant to Union or national law for a data holder to make data available. Where relevant, data holders should contractually bind third parties not to further share data received from them.

26. Um das Entstehen liquider, fairer und effizienter Märkte für nicht-personenbezogene Daten zu fördern, sollten die Nutzer vernetzter Produkte Daten mit minimalem rechtlichem und technischem Aufwand, auch für kommerzielle Zwecke, an andere weitergeben können. Für Unternehmen ist es derzeit oft schwierig, die Personal- oder EDV-Kosten zu rechtfertigen, die anfallen, um nicht-personenbezogene Datensätze oder Datenprodukte aufzubereiten und sie potenziellen Gegenparteien über Datenvermittlungsdienste, einschließlich Datenmarktplätze, anzubieten. Ein wesentliches Hindernis für die Weitergabe nicht-personenbezogener Daten durch Unternehmen ergibt sich daher aus der fehlenden Vorhersehbarkeit des wirtschaftlichen Ertrags von Investitionen in die Aufbereitung und Bereitstellung von Datensätzen oder Datenprodukten. Damit in der Union liquide, faire und effiziente Märkte für nicht-personenbezogene Daten entstehen können, muss geklärt werden, welche Partei das Recht hat, solche Daten auf einem Markt anzubieten. Nutzer sollten daher das Recht haben, nicht-personenbezogene Daten zu kommerziellen und nichtkommerziellen Zwecken an Datenempfänger weiterzugeben. Eine solche Datenweitergabe könnte direkt durch den Nutzer, auf Verlangen des Nutzers über einen Dateninhaber oder durch Datenvermittlungsdienste erfolgen. Datenvermittlungsdienste im Sinne der Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates (22) könnten der Datenwirtschaft dienen, indem sie Geschäftsbeziehungen zwischen Nutzern, Datenempfängern und Dritten herstellen und die Nutzer bei der Ausübung ihres Datennutzungsrechts unterstützen, etwa indem sie die Anonymisierung der personenbezogenen Daten oder die Aggregation des Zugangs zu Daten von einer Vielzahl einzelner Nutzer sicherstellen. Sind Daten von der Verpflichtung eines Dateninhabers, sie Nutzern oder Dritten bereitzustellen, ausgenommen, so könnte der Umfang dieser Daten in dem zwischen dem Nutzer und dem Dateninhaber geschlossenen Vertrag über die Erbringung eines verbundenen Dienstes festgelegt werden, sodass die Nutzer leicht feststellen können, welche Daten ihnen für die Weitergabe an Datenempfänger oder Dritte bereitstehen. Dateninhaber sollten Dritten nicht-personenbezogene Produktdaten weder zu kommerziellen noch zu nichtkommerziellen Zwecken bereitstellen, außer es geht um die Erfüllung ihres Vertrags mit dem Nutzer; dies sollte die rechtlichen Anforderungen nach dem Unionsrecht oder dem nationalen Recht an einen Dateninhaber für die Bereitstellung von Daten unberührt lassen. Gegebenenfalls sollten Dateninhaber Dritte vertraglich dazu verpflichten, die von ihnen erhaltenen Daten nicht erneut weiterzugeben.

27. In sectors characterised by the concentration of a small number of manufacturers supplying connected products to end users, there may only be limited options available to users for the access to and the use and sharing of data. In such circumstances, contracts may be insufficient to achieve the objective of user empowerment, making it difficult for users to obtain value from the data generated by the connected product they purchase, rent or lease. Consequently, there is limited potential for innovative smaller businesses to offer data-based solutions in a competitive manner and for a diverse data economy in the Union. This Regulation should therefore build on recent developments in specific sectors, such as the Code of Conduct on agricultural data sharing by contract. Union or national law may be adopted to address sector-specific needs and objectives. Furthermore, data holders should not use any readily available data that is non-personal data in order to derive insights about the economic situation of the user or its assets or production methods or about such use by the user in any other manner that could undermine the commercial position of that user on the markets in which it is active. This could include using knowledge about the overall performance of a business or a farm in contractual negotiations with the user on the potential acquisition of the user’s products or agricultural produce to the user’s detriment, or using such information to feed into larger databases on certain markets in the aggregate, for example databases on crop yields for the upcoming harvesting season, as such use could affect the user negatively in an indirect manner. The user should be given the necessary technical interface to manage permissions, preferably with granular permission options such as ‘allow once’ or ‘allow while using this app or service’, including the option to withdraw such permissions.

27. In konzentrierten Sektoren, in denen die Endnutzer durch eine kleine Zahl von Herstellern mit vernetzten Produkten versorgt werden, stehen den Nutzern unter Umständen nur begrenzte Möglichkeiten für den Datenzugang, die Datennutzung und die Weitergabe von Daten zur Verfügung. Unter diesen Umständen reichen vertragliche Vereinbarungen möglicherweise nicht aus, um das Ziel der Stärkung der Handlungsfähigkeit der Nutzer zu erreichen, was es den Nutzern erschwert, aus den Daten, die mit den von ihnen gekauften, gemieteten oder geleasten vernetzen Produkten generiert werden, Wert zu schöpfen. Folglich ist das Potenzial für innovative kleinere Unternehmen, datengestützte Lösungen auf wettbewerbsfähige Weise anzubieten, und für eine vielfältige Datenwirtschaft in der Union begrenzt. Diese Verordnung sollte daher auf den jüngsten Entwicklungen in bestimmten Sektoren aufbauen, wie dem Verhaltenskodex für die Weitergabe von Agrardaten im Wege eines Vertrags. Unionsrecht oder nationales Recht kann erlassen werden, um sektorspezifischen Bedürfnissen und Zielen Rechnung zu tragen. Darüber hinaus sollten Dateninhaber ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nicht verwenden, um Einblicke in die wirtschaftliche Lage, die Vermögenswerte oder die Produktionsmethoden des Nutzers oder in die Nutzung durch den Nutzer auf jegliche andere Art zu erlangen, die die gewerbliche Position dieses Nutzers auf den Märkten, auf denen dieser tätig ist, untergraben könnte. Dazu könnte gehören, dass Wissen über die Gesamtleistung eines Unternehmens oder eines landwirtschaftlichen Betriebs in Vertragsverhandlungen mit dem Nutzer über den potenziellen Erwerb des Produkts oder landwirtschaftlicher Erzeugnisse des Nutzers zu seinem Nachteil eingesetzt würde oder dass solche Informationen in größere aggregierte Datenbanken über bestimmte Märkte – z. B. Datenbanken über Ernteerträge für die kommende Erntesaison – eingegeben würden, da sich eine solche Verwendung indirekt negativ auf den Nutzer auswirken könnte. Dem Nutzer sollte die für die Verwaltung der Berechtigungen erforderliche technische Schnittstelle bereitgestellt werden, vorzugsweise mit fein abgestuften Berechtigungsoptionen (z. B. „Zugriff einmalig zulassen“ oder „Zugriff nur während der Nutzung der App oder des Dienstes zulassen“), einschließlich der Möglichkeit, solche Berechtigungen zu widerrufen.

28. In contracts between a data holder and a consumer as user of a connected product or related service generating data, Union consumer law, in particular Directives 93/13/EEC and 2005/29/EC, applies to ensure that a consumer is not subject to unfair contractual terms. For the purposes of this Regulation, unfair contractual terms unilaterally imposed on an enterprise should not be binding on that enterprise.

28. Bei Verträgen zwischen einem Dateninhaber und einem Verbraucher als Nutzer eines vernetzten Produkts oder verbundenen Dienstes, das bzw. der Daten generiert, gilt das Verbraucherrecht der Union, insbesondere die Richtlinien 93/13/EWG und 2005/29/EG, damit ein Verbraucher keinen missbräuchlichen Vertragsklauseln unterliegt. Für die Zwecke dieser Verordnung sollten missbräuchliche Vertragsklauseln, die einem Unternehmen einseitig auferlegt werden, für das betreffende Unternehmen nicht verbindlich sein.

29. Data holders may require appropriate user identification to verify a user’s entitlement to access the data. In the case of personal data processed by a processor on behalf of the controller, data holders should ensure that the access request is received and handled by the processor.

29. Dateninhaber können eine geeignete Nutzeridentifizierung verlangen, um die Berechtigung eines Nutzers auf Zugang zu den Daten zu überprüfen. Im Falle personenbezogener Daten, die von einem Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet werden, sollten die Dateninhaber sicherstellen, dass das Zugangsverlangen vom Auftragsverarbeiter entgegengenommen und bearbeitet wird.

30. The user should be free to use the data for any lawful purpose. This includes providing the data the user has received while exercising its rights under this Regulation to a third party offering an aftermarket service that may be in competition with a service provided by a data holder, or to instruct the data holder to do so. The request should be submitted by the user or by an authorised third party acting on a user’s behalf, including a provider of a data intermediation service. Data holders should ensure that the data made available to the third party is as accurate, complete, reliable, relevant and up-to-date as the data the data holder itself may be able or entitled to access from the use of the connected product or related service. Any intellectual property rights should be respected in the handling of the data. It is important to preserve incentives to invest in products with functionalities based on the use of data from sensors built into those products.

30. Dem Nutzer sollte es freistehen, die Daten zu jedem rechtmäßigen Zweck zu verwenden. Dazu gehören die Bereitstellung der Daten, die der Nutzer im Rahmen der Ausübung seiner Rechte nach dieser Verordnung erhalten hat, für einen Dritten, der einen Folgemarkt-Dienst anbietet, der möglicherweise mit einem von einem Dateninhaber bereitgestellten Dienst im Wettbewerb steht, oder die Anweisung hierzu an den Dateninhaber. Das Zugangsverlangen sollte vom Nutzer oder von einem bevollmächtigten Dritten gestellt werden, der im Namen eines Nutzers handelt, einschließlich von einem Erbringer eines Datenvermittlungsdienstes. Dateninhaber sollten sicherstellen, dass die einem Dritten bereitgestellten Daten so genau, vollständig, zuverlässig, relevant und aktuell sind wie die bei der Nutzung des vernetzten Produkts oder verbundenen Dienstes generierten Daten, auf die der Dateninhaber selbst zugreifen kann oder darf. Rechte des geistigen Eigentums sollten bei der Verarbeitung der Daten gewahrt werden. Es ist wichtig, dass weiter Anreize für Investitionen in Produkte bestehen, deren Funktionen auf der Nutzung der Daten von in diese Produkte eingebauten Sensoren basieren.

31. Directive (EU) 2016/943 of the European Parliament and of the Council (23) provides that the acquisition, use or disclosure of a trade secret shall be considered to be lawful, inter alia, where such acquisition, use or disclosure is required or allowed by Union or national law. While this Regulation requires data holders to disclose certain data to users, or third parties of a user’s choice, even when such data qualify for protection as trade secrets, it should be interpreted in such a manner as to preserve the protection afforded to trade secrets under Directive (EU) 2016/943. In this context, data holders should be able to require users, or third parties of a user’s choice, to preserve the confidentiality of data considered to be trade secrets. To that end, data holders should identify trade secrets prior to the disclosure, and should have the possibility to agree with users, or third parties of a user’s choice, on necessary measures to preserve their confidentiality, including by the use of model contractual terms, confidentiality agreements, strict access protocols, technical standards and the application of codes of conduct. In addition to the use of model contractual terms to be developed and recommended by the Commission, the establishment of codes of conduct and technical standards related to the protection of trade secrets in handling the data could help achieve the aim of this Regulation and should be encouraged. Where there is no agreement on the necessary measures or where a user, or third parties of the user’s choice, fail to implement agreed measures or undermine the confidentiality of the trade secrets, the data holder should be able to withhold or suspend the sharing of data identified as trade secrets. In such cases, the data holder should provide the decision in writing to the user or to the third party without undue delay and notify the competent authority of the Member State in which the data holder is established that it has withheld or suspended data sharing and identify which measures have not been agreed or implemented and, where relevant, which trade secrets have had their confidentiality undermined. Data holders cannot, in principle, refuse a data access request under this Regulation solely on the basis that certain data is considered to be a trade secret, as this would subvert the intended effects of this Regulation. However, in exceptional circumstances, a data holder who is a trade secret holder should be able, on a case-by-case basis, to refuse a request for the specific data in question if it is able to demonstrate to the user or to the third party that, despite the technical and organisational measures taken by the user or by the third party, serious economic damage is highly likely to result from the disclosure of that trade secret. Serious economic damage implies serious and irreparable economic loss. The data holder should duly substantiate its refusal in writing without undue delay to the user or to the third party and notify the competent authority. Such a substantiation should be based on objective elements, demonstrating the concrete risk of serious economic damage expected to result from a specific data disclosure and the reasons why the measures taken to safeguard the requested data are not considered to be sufficient. A possible negative impact on cybersecurity can be taken into account in that context. Without prejudice to the right to seek redress before a court or tribunal of a Member State, where the user or a third party wishes to challenge the data holder’s decision to refuse or to withhold or suspend data sharing, the user or the third party can lodge a complaint with the competent authority, which should, without undue delay, decide whether and under which conditions data sharing should start or resume, or can agree with the data holder to refer the matter to a dispute settlement body. The exceptions to data access rights in this Regulation should not in any case limit the right of access and right to data portability of data subjects under Regulation (EU) 2016/679.

31. Nach der Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates (23) gilt der Erwerb, die Nutzung oder die Offenlegung eines Geschäftsgeheimnisses unter anderem dann als rechtmäßig, wenn der betreffende Erwerb oder die betreffende Nutzung oder Offenlegung nach Unionsrecht oder nationalem Recht vorgeschrieben oder zulässig ist. Nach dieser Verordnung sind Dateninhaber zwar dazu verpflichtet, bestimmte Daten gegenüber Nutzern oder vom Nutzer ausgewählten Dritten offenzulegen, selbst wenn diese Daten unter den Schutz des Geschäftsgeheimnisses fallen, doch sollte dies so ausgelegt werden, dass der Schutz von Geschäftsgeheimnissen nach Maßgabe der Richtlinie (EU) 2016/943 gewahrt wird. In diesem Zusammenhang sollten Dateninhaber dem Nutzer oder vom Nutzer ausgewählten Dritten die Wahrung der Vertraulichkeit von Daten, die als Geschäftsgeheimnisse gelten, vorschreiben können. Daher sollten Dateninhaber die Geschäftsgeheimnisse vor deren Offenlegung ermitteln und die Möglichkeit haben, mit Nutzern oder vom Nutzer ausgewählten Dritten notwendige Maßnahmen zur Wahrung ihrer Vertraulichkeit zu vereinbaren, unter anderem durch die Verwendung von Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strengen Zugangsprotokollen, technischen Standards und die Anwendung von Verhaltenskodizes. Neben der Verwendung der von der Kommission zu entwickelnden und zu empfehlenden Mustervertragsklauseln könnte auch die Festlegung von Verhaltenskodizes und technischen Standards in Bezug auf den Schutz von Geschäftsgeheimnissen bei der Verarbeitung der Daten dazu beitragen, das Ziel dieser Verordnung zu erreichen, und sollte daher vorangetrieben werden. Besteht keine Vereinbarung über die notwendigen Maßnahmen oder setzt ein Nutzer oder ein vom Nutzer ausgewählter Dritter diese vereinbarten Maßnahmen nicht um oder verstößt gegen die Vertraulichkeit von Geschäftsgeheimnissen, so sollte es dem Dateninhaber möglich sein, die Weitergabe der als Geschäftsgeheimnisse eingestuften Daten zu verweigern oder auszusetzen. In solchen Fällen sollte der Dateninhaber dem Nutzer oder dem Dritten seine Entscheidung unverzüglich schriftlich mitteilen und die nationale zuständige Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, davon unterrichten, dass er die Weitergabe von Daten verweigert oder ausgesetzt hat, und angeben, welche Maßnahmen nicht vereinbart oder umgesetzt wurden und – sofern relevant – bei welchen Geschäftsgeheimnissen die Vertraulichkeit verletzt wurde. Grundsätzlich können Dateninhaber ein Datenzugangsverlangen gemäß dieser Verordnung nicht allein aufgrund dessen ablehnen, dass bestimmte Daten als Geschäftsgeheimnisse gelten, da dies die beabsichtigte Wirkung dieser Verordnung untergraben würde. In Ausnahmefällen sollte es einem Dateninhaber, der Inhaber eines Geschäftsgeheimnisses ist, jedoch möglich sein, im Einzelfall ein Datenzugangsverlangen für die betreffenden spezifischen Daten abzulehnen, wenn er gegenüber dem Nutzer oder dem Dritten nachweisen kann, dass durch die Offenlegung dieses Geschäftsgeheimnisses trotz von dem Nutzer oder dem Dritten vorgenommener technischer und organisatorischer Maßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden entsteht. Ein schwerer wirtschaftlicher Schaden geht mit schweren irreparablen wirtschaftlichen Verlusten einher. Der Dateninhaber sollte seine Weigerung gegenüber dem Nutzer oder dem Dritten unverzüglich in schriftlicher Form ordnungsgemäß begründen und die zuständige Behörde hiervon in Kenntnis setzen. Eine solche Begründung sollte sich auf objektive Fakten stützen, aus denen hervorgeht, dass durch die Offenlegung bestimmter Daten die konkrete Gefahr eines schweren wirtschaftlichen Schadens zu erwarten ist, und weshalb die zum Schutz der verlangten Daten ergriffenen Maßnahmen als nicht ausreichend erachtet werden. In diesem Zusammenhang kann etwaigen negativen Auswirkungen auf die Cybersicherheit Rechnung getragen werden. Unbeschadet des Rechts, vor einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen, kann der Nutzer oder der Dritte, der die Entscheidung des Dateninhabers, die Weitergabe von Daten abzuweisen oder zu verweigern oder auszusetzen, anfechten möchte, bei der zuständigen Behörde Beschwerde einlegen, die sodann unverzüglich entscheiden sollte, ob und unter welchen Bedingungen die Weitergabe der Daten beginnen oder wieder aufgenommen werden sollte, oder der Nutzer oder der Dritte kann mit dem Dateninhaber vereinbaren, eine Streitbeilegungsstelle mit der Angelegenheit zu befassen. Die in dieser Verordnung vorgesehenen Ausnahmen von den Datenzugangsrechten sollten in keiner Weise die Rechte der betroffenen Personen auf Zugang und Datenübertragbarkeit gemäß der Verordnung (EU) 2016/679 beschränken.

32. The aim of this Regulation is not only to foster the development of new, innovative connected products or related services, stimulate innovation on aftermarkets, but also to stimulate the development of entirely novel services making use of the data concerned, including based on data from a variety of connected products or related services. At the same time, this Regulations aims to avoid undermining the investment incentives for the type of connected product from which the data are obtained, for instance, by the use of data to develop a competing connected product which is considered to be interchangeable or substitutable by users, in particular on the basis of the connected product’s characteristics, its price and intended use. This Regulation provides for no prohibition on the development of a related service using data obtained under this Regulation as this would have an undesirable discouraging effect on innovation. Prohibiting the use of data accessed under this Regulation for developing a competing connected product protects data holders’ innovation efforts. Whether a connected product competes with the connected product from which the data originates depends on whether the two connected products are in competition on the same product market. This is to be determined on the basis of the established principles of Union competition law for defining the relevant product market. However, lawful purposes for the use of the data could include reverse engineering, provided that it complies with the requirements laid down in this Regulation and in Union or national law. This may be the case for the purposes of repairing or prolonging the lifetime of a connected product or for the provision of aftermarket services to connected products.

32. Das Ziel dieser Verordnung besteht nicht nur darin, die Entwicklung neuer, innovativer vernetzter Produkte oder verbundener Dienste zu fördern und Innovationen auf den Folgemärkten voranzutreiben, sondern auch darin, die Entwicklung völlig neuartiger Dienste unter Nutzung der betreffenden Daten anzuregen, auch auf der Grundlage von Daten aus einer Vielzahl von vernetzten Produkten oder verbundenen Diensten. Gleichzeitig soll mit der vorliegenden Verordnung verhindert werden, dass die Anreize für Investitionen in die Art vernetzter Produkte, von denen die Daten erlangt werden, verloren gehen, etwa wenn Daten zur Entwicklung eines konkurrierenden vernetzten Produkts genutzt werden, das insbesondere aufgrund seiner Merkmale, seines Preises und seines Verwendungszwecks von den Nutzern als austauschbar oder ersetzbar betrachtet wird. Diese Verordnung sieht kein Verbot der Entwicklung eines verbundenen Dienstes unter Nutzung der im Rahmen dieser Verordnung erlangten Daten vor, da dies eine unerwünschte abschreckende Wirkung auf Innovationen hätte. Die Innovationsanstrengungen der Dateninhaber werden durch das Verbot geschützt, Daten, zu denen im Rahmen dieser Verordnung Zugang besteht, für die Entwicklung eines vernetzten Konkurrenzprodukts zu nutzen. Ob ein vernetztes Produkt mit dem vernetzten Produkt, von dem die Daten stammen, im Wettbewerb steht, hängt davon ab, ob die beiden vernetzten Produkte auf demselben Produktmarkt miteinander konkurrieren. Dies ist auf der Grundlage der bewährten Grundsätze des Wettbewerbsrechts der Union zur Bestimmung des einschlägigen Produktmarkts zu entscheiden. Allerdings könnte ein rechtmäßiger Zweck der Nutzung der Daten, soweit die Anforderungen der vorliegenden Verordnung, des Unionsrechts oder des nationalen Rechts dabei erfüllt sind, Reverse Engineering (Nachkonstruktion) umfassen. Dabei kann es sich um Zwecke der Reparatur oder der Verlängerung der Lebensdauer eines vernetzten Produkts oder der Erbringung von Folgemarkt-Diensten für vernetzte Produkte handeln.

33. A third party to whom data is made available may be a natural or legal person, such as a consumer, an enterprise, a research organisation, a not-for-profit organisation or an entity acting in a professional capacity. In making the data available to the third party, a data holder should not abuse its position to seek a competitive advantage in markets where the data holder and the third party may be in direct competition. The data holder should not therefore use any readily available data in order to derive insights about the economic situation, assets or production methods of, or the use by, the third party in any other manner that could undermine the commercial position of the third party on the markets in which the third party is active. The user should be able to share non-personal data with third parties for commercial purposes. Upon the agreement with the user, and subject to the provisions of this Regulation, third parties should be able to transfer the data access rights granted by the user to other third parties, including in exchange for compensation. Business-to-business data intermediaries and personal information management systems (PIMS), referred to as data intermediation services in Regulation (EU) 2022/868, may support users or third parties in establishing commercial relations with an undetermined number of potential counterparties for any lawful purpose falling within the scope of this Regulation. They could play an instrumental role in aggregating access to data so that big data analyses or machine learning can be facilitated, provided that users remain in full control of whether to provide their data to such aggregation and the commercial terms under which their data are to be used.

33. Ein Dritter, dem Daten bereitgestellt werden, kann eine natürliche oder juristische Person, wie etwa ein Verbraucher, ein Unternehmen, eine Forschungseinrichtung, eine gemeinnützige Organisation oder ein in beruflicher Eigenschaft handelnder Rechtsträger, sein. Wenn ein Dateninhaber dem Dritten die Daten bereitstellt, sollte er seine Position nicht missbrauchen, um einen Wettbewerbsvorteil auf Märkten zu erlangen, auf denen der Dateninhaber und der Dritte möglicherweise in direktem Wettbewerb stehen. Der Dateninhaber sollte ohne Weiteres verfügbare Daten daher nicht dazu nutzen, um Einblicke in die wirtschaftliche Lage, die Vermögenswerte oder Produktionsmethoden des Dritten oder die Nutzung durch den Dritten auf jegliche andere Weise zu erlangen, die die gewerbliche Position des Dritten auf den Märkten, auf denen dieser tätig ist, untergraben könnte. Der Nutzer sollte in der Lage sein, nicht-personenbezogene Daten zu kommerziellen Zwecken an Dritte weiterzugeben. Nach Zustimmung des Nutzers und vorbehaltlich der Bestimmungen dieser Verordnung sollten Dritte die vom Nutzer eingeräumten Datenzugangsrechte auf andere Dritte übertragen können, auch gegen Entgelt. Datenmittler zwischen Unternehmen und Personal Information Management Systemen (personal information management systems, PIMS), die in der Verordnung (EU) 2022/868 als Datenvermittlungsdienste bezeichnet werden, können Nutzer oder Dritte bei der Aufnahme von Geschäftsbeziehungen mit einer unbestimmten Zahl potenzieller Gegenparteien zu jedem in den Anwendungsbereich dieser Verordnung fallenden rechtmäßigen Zweck unterstützen. Sie könnten eine entscheidende Rolle bei der Aggregation des Zugangs zu Daten spielen, sodass Big-Data-Analysen oder maschinelles Lernen erleichtert werden können, vorausgesetzt dass die Nutzer die volle Kontrolle darüber behalten, ob sie ihre Daten zu einer solchen Aggregation bereitstellen und unter welchen kommerziellen Bedingungen ihre Daten zu nutzen sind.

34. The use of a connected product or related service may, in particular when the user is a natural person, generate data that relates to the data subject. Processing of such data is subject to the rules established under Regulation (EU) 2016/679, including where personal and non-personal data in a dataset are inextricably linked. The data subject may be the user or another natural person. Personal data may only be requested by a controller or a data subject. A user who is the data subject is, under certain circumstances, entitled under Regulation (EU) 2016/679 to access personal data concerning that user and such rights are unaffected by this Regulation. Under this Regulation, the user who is a natural person is further entitled to access all data generated by the use of a connected product, whether personal or non-personal. Where the user is not the data subject but an enterprise, including a sole trader, and not in cases of shared household use of the connected product, the user is considered to be a controller. Accordingly, such a user who as controller intends to request personal data generated by the use of a connected product or related service is required to have a legal basis for processing the data as required by Article 6(1) of Regulation (EU) 2016/679, such as the consent of the data subject or the performance of a contract to which the data subject is a party. Such user should ensure that the data subject is appropriately informed of the specified, explicit and legitimate purposes for processing those data, and of how the data subject may exercise their rights effectively. Where the data holder and the user are joint controllers within the meaning of Article 26 of Regulation (EU) 2016/679, they are required to determine, in a transparent manner by means of an arrangement between them, their respective responsibilities for compliance with that Regulation. It should be understood that such a user, once data has been made available, may in turn become a data holder if that user meets the criteria under this Regulation and thus becomes subject to the obligations to make data available under this Regulation.

34. Bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes können, insbesondere wenn es sich bei dem Nutzer um eine natürliche Person handelt, Daten generiert werden, die sich auf eine betroffene Person beziehen. Die Verarbeitung solcher Daten unterliegt den Vorschriften der Verordnung (EU) 2016/679, auch wenn personenbezogene und nicht-personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden sind. Die betroffene Person kann der Nutzer oder eine andere natürliche Person sein. Zugang zu personenbezogenen Daten darf nur von einem Verantwortlichen oder einer betroffenen Person verlangt werden. Der Nutzer, der die betroffene Person ist, ist unter bestimmten Umständen gemäß der Verordnung (EU) 2016/679 berechtigt, auf die jenen Nutzer betreffenden personenbezogenen Daten zuzugreifen; diese Rechte bleiben von der vorliegenden Verordnung unberührt. Nach der vorliegenden Verordnung hat ein Nutzer, der eine natürliche Person ist, ferner das Recht auf Zugang zu allen durch die Nutzung eines vernetzten Produkts generierten Daten, ob personenbezogen oder nicht-personenbezogen. Handelt es sich beim Nutzer nicht um die betroffene Person, sondern um ein Unternehmen, einschließlich eines Einzelunternehmers, und wird das Produkt nicht gemeinsam in einem Haushalt verwendet, so gilt der Nutzer als Verantwortlicher. Dementsprechend benötigt ein Nutzer, der als Verantwortlicher Zugang zu personenbezogenen Daten, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes generiert werden, zu verlangen beabsichtigt, für die Verarbeitung der Daten eine Rechtsgrundlage gemäß Artikel 6 Absatz 1 der Verordnung (EU) 2016/679, wie etwa die Einwilligung der betroffenen Person oder die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist. Dieser Nutzer sollte sicherstellen, dass die betroffene Person angemessen über die spezifischen, eindeutigen und rechtmäßigen Zwecke der Verarbeitung dieser Daten und darüber informiert wird, wie die betroffene Person ihre Rechte wirksam ausüben kann. Handelt es sich bei dem Dateninhaber und dem Nutzer um gemeinsam Verantwortliche im Sinne des Artikels 26 der Verordnung (EU) 2016/679, so müssen sie in einer Vereinbarung in transparenter Form festlegen, wer von ihnen die einschlägigen Pflichten zur Einhaltung der genannten Verordnung erfüllt. Es sollte davon ausgegangen werden, dass ein solcher Nutzer, sobald Daten bereitgestellt wurden, seinerseits Dateninhaber werden kann, wenn jener Nutzer die Kriterien dieser Verordnung erfüllt, und damit seinerseits den Pflichten zur Bereitstellung von Daten im Rahmen dieser Verordnung unterliegen kann.

35. Product data or related service data should only be made available to a third party at the request of the user. This Regulation complements accordingly the right, provided for in Article 20 of Regulation (EU) 2016/679, of data subjects to receive personal data concerning them in a structured, commonly used and machine-readable format, as well as to port those data to another controller, where those data are processed by automated means on the basis of Article 6(1), point (a), or Article 9(2), point (a), or of a contract pursuant to Article 6(1), point (b) of that Regulation. Data subjects also have the right to have the personal data transmitted directly from one controller to another, but only where that is technically feasible. Article 20 of Regulation (EU) 2016/679 specifies that it pertains to data provided by the data subject but does not specify whether this necessitates active behaviour on the side of the data subject or whether it also applies to situations where a connected product or related service, by its design, observes the behaviour of a data subject or other information in relation to a data subject in a passive manner. The rights provided for under this Regulation complement the right to receive and port personal data under Article 20 of Regulation (EU) 2016/679 in a number of ways. This Regulation grants users the right to access and make available to a third party any product data or related service data, irrespective of their nature as personal data, of the distinction between actively provided or passively observed data, and irrespective of the legal basis of processing. Unlike Article 20 of Regulation (EU) 2016/679, this Regulation mandates and ensures the technical feasibility of third party access for all types of data falling within its scope, whether personal or non-personal, thereby ensuring that technical obstacles no longer hinder or prevent access to such data. It also allows data holders to set reasonable compensation to be met by third parties, but not by the user, for costs incurred in providing direct access to the data generated by the user’s connected product. If a data holder and a third party are unable to agree on terms for such direct access, the data subject should in no way be prevented from exercising the rights laid down in Regulation (EU) 2016/679, including the right to data portability, by seeking remedies in accordance with that Regulation. It is to be understood in this context that, in accordance with Regulation (EU) 2016/679, a contract does not allow for the processing of special categories of personal data by the data holder or the third party.

35. Produktdaten oder verbundene Dienstdaten sollten Dritten nur auf Verlangen des Nutzers bereitgestellt werden. Dementsprechend ergänzt die vorliegende Verordnung das in Artikel 20 der Verordnung (EU) 2016/679 verankerte Recht einer betroffenen Personen, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie auch einem anderen Verantwortlichen zu übertragen, wenn diese Daten mithilfe automatisierter Verfahren auf der Grundlage von Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder eines Vertrags gemäß Artikel 6 Absatz 1 Buchstabe b der genannten Verordnung verarbeitet werden. Betroffene Personen haben ebenfalls das Recht, zu erwirken, dass die personenbezogenen Daten von einem Verantwortlichen direkt an einen anderen Verantwortlichen übermittelt werden, jedoch nur sofern dies technisch machbar ist. In Artikel 20 der Verordnung (EU) 2016/679 wird präzisiert, dass dies Daten betrifft, die die betroffene Person bereitgestellt hat, ohne jedoch anzugeben, ob dies ein aktives Verhalten der betroffenen Person erfordert oder ob dies auch in Fällen gilt, in denen ein vernetztes Produkt oder verbundener Dienst durch seine Konzeption das Verhalten einer betroffenen Person oder andere Informationen in Bezug auf eine betroffene Person passiv erfasst. Die in dieser Verordnung enthaltenen Rechte ergänzen das Recht, personenbezogene Daten gemäß Artikel 20 der Verordnung (EU) 2016/679 auf verschiedene Weise zu erhalten und zu übertragen. Die vorliegende Verordnung gewährt Nutzern das Recht auf Zugang und darauf, einem Dritten alle Produktdaten oder verbundenen Dienstdaten bereitzustellen, unabhängig davon, ob es sich um personenbezogene Daten handelt, sowie unabhängig von der Unterscheidung zwischen aktiv bereitgestellten oder passiv erfassten Daten und von der Rechtsgrundlage für die Verarbeitung. Im Gegensatz zu Artikel 20 der Verordnung (EU) 2016/679 wird mit der vorliegenden Verordnung die technische Machbarkeit des Zugangs Dritter zu allen Arten von Daten, die in ihren Anwendungsbereich fallen – ob personenbezogen oder nicht-personenbezogen –, vorgeschrieben und gewährleistet, womit sichergestellt wird, dass technische Hindernisse den Zugang zu diesen Daten nicht mehr behindern oder verhindern. Außerdem ermöglicht sie es Dateninhabern, eine angemessene Gegenleistung für Kosten festlegen, die durch die Bereitstellung des direkten Zugangs zu den vom vernetzten Produkt des Nutzers generierten Daten entstehen, die von Dritten, nicht aber vom Nutzer zu tragen ist. Wenn ein Dateninhaber und ein Dritter nicht in der Lage sind, Bedingungen für einen solchen direkten Zugang zu vereinbaren, sollte die betroffene Person in keiner Weise daran gehindert werden, die in der Verordnung (EU) 2016/679 festgelegten Rechte, einschließlich des Rechts auf Datenübertragbarkeit, durch Einlegung von Rechtsbehelfen gemäß der genannten Verordnung auszuüben. In diesem Zusammenhang gilt, dass im Einklang mit der Verordnung (EU) 2016/679 durch einen Vertrag nicht die Verarbeitung besonderer Kategorien personenbezogener Daten durch den Dateninhaber oder den Dritten gestattet werden kann.

36. Access to any data stored in and accessed from terminal equipment is subject to Directive 2002/58/EC and requires the consent of the subscriber or user within the meaning of that Directive unless it is strictly necessary for the provision of an information society service explicitly requested by the user or by the subscriber or for the sole purpose of the transmission of a communication. Directive 2002/58/EC protects the integrity of a user’s terminal equipment regarding the use of processing and storage capabilities and the collection of information. Internet of Things equipment is considered to be terminal equipment if it is directly or indirectly connected to a public communications network.

36. Der Zugang zu auf Endgeräten gespeicherten von über Endgeräte zugänglichen Daten unterliegt der Richtlinie 2002/58/EG und erfordert die Einwilligung des Teilnehmers oder Nutzers im Sinne der genannten Richtlinie, es sei denn, der Datenzugang ist unbedingt für die Bereitstellung eines vom Nutzer oder vom Teilnehmer ausdrücklich verlangten Dienstes der Informationsgesellschaft oder zum alleinigen Zweck der Übertragung einer Nachricht erforderlich. Die Richtlinie 2002/58/EG schützt die Integrität der Endgeräte eines Nutzers im Hinblick auf die Nutzung von Verarbeitungs- und Speicherfunktionen und die Sammlung von Informationen. Geräte des Internets der Dinge gelten als Endgeräte, wenn sie direkt oder indirekt mit einem öffentlichen Kommunikationsnetz verbunden sind.

37. In order to prevent the exploitation of users, third parties to whom data has been made available at the request of the user should process those data only for the purposes agreed with the user and share them with another third party only with the agreement of the user to such data sharing.

37. Um zu verhindern, dass Nutzer ausgenutzt werden, sollten Dritte, denen die Daten auf Verlangen des Nutzers bereitgestellt wurden, diese Daten nur zu den mit dem Nutzer vereinbarten Zwecken verarbeiten und sie nur an andere Dritte weitergeben, wenn der Nutzer seine Einwilligung zu dieser Datenweitergabe gegeben hat.

38. In line with the data minimisation principle, third parties should access only information that is necessary for the provision of the service requested by the user. Having received access to data, the third party should process it for the purposes agreed with the user without interference from the data holder. It should be as easy for the user to refuse or discontinue access by the third party to the data as it is for the user to authorise access. Neither third parties nor data holders should make the exercise of choices or rights by the user unduly difficult, including by offering choices to the user in a non-neutral manner, or by coercing, deceiving or manipulating the user, or by subverting or impairing the autonomy, decision-making or choices of the user, including by means of a user digital interface or a part thereof. In that context, third parties or data holders should not rely on so-called ‘dark patterns’ in designing their digital interfaces. Dark patterns are design techniques that push or deceive consumers into decisions that have negative consequences for them. Those manipulative techniques can be used to persuade users, in particular vulnerable consumers, to engage in unwanted behaviour, to deceive users by nudging them into decisions on data disclosure transactions or to unreasonably bias the decision-making of the users of the service in such a way as to subvert or impair their autonomy, decision-making and choice. Common and legitimate commercial practices that comply with Union law should not in themselves be regarded as constituting dark patterns. Third parties and data holders should comply with their obligations under relevant Union law, in particular the requirements laid down in Directives 98/6/EC (24) and 2000/31/EC (25) of the European Parliament and of the Council and in Directives 2005/29/EC and 2011/83/EU.

38. Im Einklang mit dem Grundsatz der Datenminimierung sollten Dritte nur auf solche Informationen zugreifen, die für die Erbringung des vom Nutzer verlangten Dienstes erforderlich sind. Nachdem der Dritte Zugang zu den Daten erhalten hat, sollte er diese zu den mit dem Nutzer vereinbarten Zwecken verarbeiten, ohne dass der Dateninhaber eingreift. Es sollte für den Nutzer genauso einfach sein, den Zugang Dritter zu den Daten zu verweigern oder zu beenden, wie es für ihn ist, den Zugang zu den Daten zu gestatten. Weder Dritte noch Dateninhaber sollten die Ausübung der Wahlmöglichkeiten oder Rechte der Nutzer unangemessen erschweren, auch nicht, indem sie ihnen Wahlmöglichkeiten auf nicht neutrale Weise anbieten, oder den Nutzer zwingen, täuschen oder manipulieren, oder indem sie – auch mittels einer digitalen Benutzerschnittstelle oder eines Teils davon –, die Autonomie, Entscheidungsfähigkeit oder freie Wahlmöglichkeiten des Nutzers untergraben oder beeinträchtigen. In diesem Zusammenhang sollten Dritte oder Dateninhaber bei der Gestaltung ihrer digitalen Schnittstellen nicht auf sogenannte „Dark Patterns“ zurückgreifen. „Dark Patterns“ sind Gestaltungstechniken, die dazu dienen, Verbraucher zu Entscheidungen, die negative Folgen für sie haben, zu verleiten oder sie zu täuschen. Diese manipulativen Techniken können eingesetzt werden, um Nutzer, insbesondere schutzbedürftige Verbraucher, zu unerwünschtem Verhalten zu bewegen und zu täuschen, indem sie zu Entscheidungen über die Datenoffenlegung angeregt werden, sowie um die Entscheidungsfindung der Nutzer des Dienstes unverhältnismäßig in einer Weise zu beeinflussen, die ihre Autonomie, Entscheidungsfähigkeit oder Wahlmöglichkeiten untergräbt oder beeinträchtigt. Übliche und rechtmäßige Geschäftspraktiken, die mit dem Unionsrecht im Einklang stehen, sollten an sich nicht als „Dark Patterns“ angesehen werden. Dritte und Dateninhaber sollten ihren Pflichten nach dem einschlägigen Unionsrecht nachkommen, insbesondere den Anforderungen der Richtlinien 98/6/EG (24) und 2000/31/EG (25) des Europäischen Parlaments und des Rates sowie der Richtlinien 2005/29/EG und 2011/83/EU.

39. Third parties should also refrain from using data falling within the scope of this Regulation to profile individuals unless such processing activities are strictly necessary to provide the service requested by the user, including in the context of automated decision-making. The requirement to erase data when no longer required for the purpose agreed with the user, unless otherwise agreed in relation to non-personal data, complements the data subject’s right to erasure pursuant to Article 17 of Regulation (EU) 2016/679. Where a third party is a provider of a data intermediation service, the safeguards for the data subject provided for by Regulation (EU) 2022/868 apply. The third party may use the data to develop a new and innovative connected product or related service but not to develop a competing connected product.

39. Dritte sollten auch davon absehen, Daten, die in den Anwendungsbereich dieser Verordnung fallen, für das Profiling einer Person zu verwenden, es sei denn, solche Verarbeitungstätigkeiten sind unbedingt erforderlich, um den vom Nutzer verlangten Dienst zu erbringen, einschließlich im Kontext der automatisierten Entscheidungsfindung. Die Anforderung, Daten zu löschen, wenn diese für den mit dem Nutzer vereinbarten Zweck nicht mehr erforderlich sind, ergänzt – sofern in Bezug nicht-personenbezogene Daten nichts anderes vereinbart wurde – das Recht der betroffenen Person auf Löschung gemäß Artikel 17 der Verordnung (EU) 2016/679. Wenn ein Dritter ein Anbieter eines Datenvermittlungsdienstes ist, gelten die in der Verordnung (EU) 2022/868 für die betroffene Person vorgesehenen Schutzvorkehrungen. Der Dritte kann die Daten für die Entwicklung eines neuen und innovativen vernetzten Produkts oder verbundenen Dienstes, nicht aber für die Entwicklung eines konkurrierenden vernetzten Produkts verwenden.

40. Start-ups, small enterprises, enterprises that qualify as a medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC and enterprises from traditional sectors with less-developed digital capabilities struggle to obtain access to relevant data. This Regulation aims to facilitate access to data for those entities, while ensuring that the corresponding obligations are as proportionate as possible to avoid overreach. At the same time, a small number of very large enterprises have emerged with considerable economic power in the digital economy through the accumulation and aggregation of vast volumes of data and the technological infrastructure for monetising them. Those very large enterprises include undertakings that provide core platform services controlling whole platform ecosystems in the digital economy and which existing or new market operators are unable to challenge or contest. Regulation (EU) 2022/1925 of the European Parliament and of the Council (26) aims to redress those inefficiencies and imbalances by allowing the Commission to designate an undertaking as a ‘gatekeeper’, and imposes a number of obligations on such gatekeepers, including a prohibition to combine certain data without consent and an obligation to ensure effective rights to data portability under Article 20 of Regulation (EU) 2016/679. In accordance with Regulation (EU) 2022/1925, and given the unrivalled ability of those undertakings to acquire data, it is not necessary to achieve the objective of this Regulation, and would therefore be disproportionate for data holders made subject to such obligations, to include gatekeeper as beneficiaries of the data access right. Such inclusion would also likely limit the benefits of this Regulation for SMEs, linked to the fairness of the distribution of data value across market actors. This means that an undertaking that provides core platform services that has been designated as a gatekeeper cannot request or be granted access to users’ data generated by the use of a connected product or related service or by a virtual assistant pursuant to this Regulation. Furthermore, third parties to whom data are made available at the request of the user may not make the data available to a gatekeeper. For instance, the third party may not subcontract the service provision to a gatekeeper. However, this does not prevent third parties from using data processing services offered by a gatekeeper. Nor does it prevent those undertakings from obtaining and using the same data through other lawful means. The access rights provided for in this Regulation contribute to a wider choice of services for consumers. As voluntary agreements between gatekeepers and data holders remain unaffected, the limitation on granting access to gatekeepers would not exclude them from the market or prevent them from offering their services.

40. Start-ups, kleine Unternehmen und Unternehmen, die nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG als mittlere Unternehmen einzustufen sind, sowie Unternehmen aus traditionellen Branchen mit weniger entwickelten digitalen Fähigkeiten haben Schwierigkeiten, Zugang zu einschlägigen Daten zu erlangen. Ziel dieser Verordnung ist es, diesen Rechtsträgern den Zugang zu Daten zu erleichtern und gleichzeitig sicherzustellen, dass die entsprechenden Pflichten so verhältnismäßig wie möglich sind, um eine Übervorteilung zu vermeiden. Durch die Anhäufung und Aggregation gewaltiger Datenmengen und die technologische Infrastruktur für ihre Monetarisierung ist in der digitalen Wirtschaft gleichzeitig eine kleine Zahl sehr großer Unternehmen mit beträchtlicher wirtschaftlicher Macht entstanden. Zu diesen sehr großen Unternehmen gehören Betreiber zentraler Plattformdienste, die ganze Plattformökosysteme in der digitalen Wirtschaft kontrollieren, sodass es bestehenden oder neuen Marktteilnehmern nicht möglich ist, ihnen ihre Position streitig zu machen oder mit ihnen in Wettbewerb zu treten. Die Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates (26) zielt darauf ab, diese Ineffizienzen und Ungleichgewichte zu beheben, indem die Kommission ein Unternehmen als „Torwächter“ benennen kann und diesen Torwächtern eine Reihe von Pflichten auferlegt wird, darunter das Verbot, bestimmte Daten ohne Einwilligung zusammenzuführen, und die Pflicht, wirksames Rechte auf Datenübertragbarkeit gemäß Artikel 20 der Verordnung (EU) 2016/679 zu gewährleisten. Gemäß der Verordnung (EU) 2022/1925 und angesichts der einzigartigen Fähigkeit dieser Unternehmen, Daten zu erwerben, ist es zur Erreichung des Ziels der vorliegenden Verordnung nicht erforderlich und somit in Bezug auf die den entsprechenden Pflichten unterliegenden Dateninhaber unverhältnismäßig, solchen Torwächtern ein Datenzugangsrecht einzuräumen. Ihre Einbeziehung dürfte auch die Vorteile einschränken, die die vorliegende Verordnung im Zusammenhang mit der gerechten Verteilung der Datenwertschöpfung unter den Marktteilnehmern für KMU bewirken kann. Dies bedeutet, dass ein als Torwächter benanntes Unternehmen, das zentrale Plattformdienste betreibt, auf der Grundlage der vorliegenden Verordnung keinen Zugang zu Nutzerdaten verlangen oder erhalten kann, die bei der Nutzung eines vernetzten Produkts oder verbundenen Dienstes oder eines virtuellen Assistenten generiert werden. Darüber hinaus dürfen Dritte, denen Daten auf Verlangen des Nutzers bereitgestellt werden, die Daten keinem Torwächter bereitstellen. Beispielsweise darf der Dritte keinen Torwächter mit der Erbringung des Dienstes beauftragen. Dies hindert Dritte jedoch nicht daran, Datenverarbeitungsdienste in Anspruch zu nehmen, die von einem Torwächter angeboten werden. Außerdem hindert es diese Unternehmen nicht daran, dieselben Daten auf andere rechtmäßige Weise zu erlangen und zu nutzen. Die Zugangsrechte gemäß der vorliegenden Verordnung tragen zu einer größeren Auswahl an Dienstleistungen für die Verbraucher bei. Da freiwillige Vereinbarungen zwischen Torwächtern und Dateninhabern hiervon unberührt bleiben, würde eine Beschränkung der Zugangsgewährung für Torwächter diese nicht vom Markt ausschließen oder daran hindern, ihre Dienste anzubieten.

41. Given the current state of technology, it would be overly burdensome on microenterprises and small enterprises to impose further design obligations in relation to connected products manufactured or designed, or the related services provided, by them. That is not the case, however, where a microenterprise or a small enterprise has a partner enterprise or a linked enterprise within the meaning of Article 3 of the Annex to Recommendation 2003/361/EC that does not qualify as a microenterprise or a small enterprise and where it is subcontracted to manufacture or design a connected product or to provide a related service. In such situations, the enterprise which has subcontracted the manufacturing or design to a microenterprise or a small enterprise is able to compensate the subcontractor appropriately. A microenterprise or a small enterprise may nevertheless be subject to the requirements laid down by this Regulation as data holder where it is not the manufacturer of the connected product or a provider of related services. A transitional period should apply to an enterprise that has qualified as a medium-sized enterprise for less than one year and to connected products for one year after the date on which they were placed on the market by a medium-sized enterprise. Such a one-year period allows such a medium-sized enterprise to adjust and prepare before facing competition in the market for services for the connected products that it manufactures on the basis of the access rights provided by this Regulation. Such a transitional period does not apply where such a medium-sized enterprise has a partner enterprise or a linked enterprise that does not qualify as a microenterprise or a small enterprise or where such a medium-sized enterprise was subcontracted to manufacture or design the connected product or to provide the related service.

41. Angesichts des derzeitigen Stands der Technik wäre es zu aufwendig, Kleinstunternehmen und Kleinunternehmen weitere Konzeptionspflichten für vernetzte Produkte, die von ihnen hergestellt oder konzipiert, oder verbundene Dienste, die von ihnen erbracht werden, aufzuerlegen. Dies ist jedoch nicht der Fall, wenn ein Kleinstunternehmen oder Kleinunternehmen ein Partnerunternehmen oder ein verbundenes Unternehmen im Sinne von Artikel 3 des Anhangs der Empfehlung 2003/361/EG hat, das nicht als Kleinstunternehmen oder Kleinunternehmen gilt, und das mit der Herstellung oder Konzeption eines vernetzten Produkts oder mit der Erbringung eines verbundenen Dienstes beauftragt wird. In solchen Fällen ist das Unternehmen, das einem Kleinstunternehmen oder Kleinunternehmen den Herstellungs- oder Konzeptionsauftrag erteilt hat, in der Lage, dem Auftragnehmer angemessenen zu entschädigen. Ein Kleinstunternehmen oder Kleinunternehmen kann jedoch als Dateninhaber den Anforderungen dieser Verordnung unterliegen, wenn es nicht der Hersteller des vernetzten Produkts oder ein Erbringer verbundener Dienste ist. Für ein Unternehmen, das seit weniger als einem Jahr als mittleres Unternehmen eingestuft ist, sowie für von einem mittleren Unternehmen vor weniger als einem Jahr auf den Markt gebrachte vernetzte Produkte sollte eine Übergangszeit gelten. Dieser Zeitraum von einem Jahr erlaubt es einem mittleren Unternehmen, sich anzupassen und vorzubereiten, bevor es auf dem Dienstleistungsmarkt für die von ihm hergestellten vernetzten Produkte auf Grundlage der Zugangsrechte gemäß dieser Verordnung dem Wettbewerb ausgesetzt ist. Diese Übergangszeit gilt nicht, wenn ein solches mittleres Unternehmen ein Partnerunternehmen oder ein verbundenes Unternehmen hat, das nicht als Kleinstunternehmen oder Kleinunternehmen gilt, oder wenn ein solches mittleres Unternehmen mit der Herstellung oder Konzeption eines vernetzten Produkts oder der Erbringung eines verbundenen Dienstes beauftragt wurde.

42. Taking into account the variety of connected products producing data of different nature, volume and frequency, presenting different levels of data and cybersecurity risks and providing economic opportunities of different value, and for the purpose of ensuring consistency of data sharing practices in the internal market, including across sectors, and to encourage and promote fair data sharing practices even in areas where no such right to data access is provided for, this Regulation provides for horizontal rules on the arrangements for access to data whenever a data holder is obliged by Union law or national legislation adopted in accordance with Union law to make data available to a data recipient. Such access should be based on fair, reasonable, non-discriminatory and transparent terms and conditions. Those general access rules do not apply to obligations to make data available under Regulation (EU) 2016/679. Voluntary data sharing remains unaffected by those rules. The non-binding model contractual terms for business-to-business data sharing to be developed and recommended by the Commission may help parties to conclude contracts which include fair, reasonable and non-discriminatory terms and conditions and which are to be implemented in a transparent way. The conclusion of contracts, which may include the non-binding model contractual terms, should not mean that the right to share data with third parties is in any way conditional upon the existence of such a contract. Should parties be unable to conclude a contract on data sharing, including with the support of dispute settlement bodies, the right to share data with third parties is enforceable in national courts or tribunals.

42. Unter Berücksichtigung der Vielzahl von vernetzten Produkten, mit denen hinsichtlich Art, Umfang und Häufigkeit unterschiedliche Daten generiert werden, die mit unterschiedlichen Daten- und Cybersicherheitsrisiken einhergehen und wirtschaftliche Chancen von unterschiedlichem Wert bieten, und um die Kohärenz der Verfahren für die Datenweitergabe im Binnenmarkt, auch sektorübergreifend, sicherzustellen und faire Verfahren für die Datenweitergabe selbst in jenen Bereichen zu fördern und voranzubringen, in denen ein solches Recht auf Datenzugang nicht vorgesehen ist, enthält diese Verordnung horizontale Vorschriften über die Ausgestaltung des Datenzugangs in all jenen Fällen, in denen ein Dateninhaber nach dem Unionsrecht oder nationalen Rechtsvorschriften, die im Einklang mit Unionsrecht erlassen wurden, verpflichtet ist, einem Datenempfänger Daten bereitzustellen. Ein solcher Zugang sollte auf fairen, angemessenen, nichtdiskriminierenden und transparenten Bedingungen beruhen. Diese allgemeinen Zugangsvorschriften gelten nicht für Datenbereitstellungspflichten gemäß der Verordnung (EU) 2016/679. Die freiwillige Datenweitergabe bleibt von diesen Vorschriften unberührt. Die unverbindlichen Mustervertragsklauseln für die Datenweitergabe zwischen Unternehmen, die die Kommission erarbeiten und empfehlen wird, können den Parteien dabei helfen, Verträge zu schließen, die faire, angemessene und nichtdiskriminierende Bedingungen enthalten und in transparenter Weise umgesetzt werden sollen. Der Abschluss von Verträgen, die die unverbindlichen Mustervertragsklauseln beinhalten können, sollte nicht bedeuten, dass das Recht auf Weitergabe von Daten an Dritte in irgendeiner Weise an das Bestehen eines solchen Vertrags geknüpft ist. Sollten die Parteien – auch mit Unterstützung von Streitbeilegungsstellen – nicht in der Lage sein, einen Vertrag über die Datenweitergabe zu schließen, so ist das Recht, Daten an Dritte weiterzugeben, vor nationalen Gerichten einklagbar.

43. On the basis of the principle of contractual freedom, parties should remain free to negotiate the precise conditions for making data available in their contracts within the framework for the general access rules for making data available. Terms of such contracts could include technical and organisational measures, including in relation to data security.

43. Auf der Grundlage des Grundsatzes der Vertragsfreiheit sollte es den Parteien freistehen, in ihren Verträgen im Rahmen der allgemeinen Zugangsvorschriften für die Bereitstellung von Daten die genauen Bedingungen für die Bereitstellung von Daten auszuhandeln. Die Bedingungen solcher Verträge könnten sich auch auf technische und organisatorische Maßnahmen, auch in Bezug auf die Datensicherheit, erstrecken.

44. In order to ensure that the conditions for mandatory data access are fair for both parties to a contract, the general rules on data access rights should refer to the rule on avoiding unfair contractual terms.

44. Um sicherzustellen, dass die Bedingungen für einen obligatorischen Datenzugang für beide Vertragsparteien fair sind, sollten die allgemeinen Vorschriften über Datenzugangsrechte auf die Vorschrift zur Vermeidung missbräuchlicher Vertragsklauseln Bezug nehmen.

45. Any agreement concluded in business-to-business relations for making data available should be non-discriminatory between comparable categories of data recipients, independently of whether the parties are large enterprises or SMEs. In order to compensate for the lack of information on the conditions contained in different contracts, which makes it difficult for the data recipient to assess whether the terms for making the data available are non-discriminatory, it should be the responsibility of data holders to demonstrate that a contractual term is not discriminatory. It is not unlawful discrimination where a data holder uses different contractual terms for making data available if those differences are justified by objective reasons. Those obligations are without prejudice to Regulation (EU) 2016/679.

45. In Vereinbarungen über die Bereitstellung von Daten, die im Rahmen der Geschäftsbeziehungen zwischen Unternehmen abgeschlossen werden, sollte unabhängig davon, ob es sich um große Unternehmen oder KMU handelt, nicht zwischen vergleichbaren Kategorien von Datenempfängern unterschieden werden. Zum Ausgleich des Mangels an Informationen über die in verschiedenen Verträgen enthaltenen Bedingungen, der es dem Datenempfänger erschwert, zu beurteilen, ob die Bedingungen für die Bereitstellung der Daten nichtdiskriminierend sind, sollte es in der Verantwortung der Dateninhaber liegen, nachzuweisen, dass eine Vertragsklausel nichtdiskriminierend ist. Es liegt keine rechtswidrige Diskriminierung vor, wenn der Dateninhaber für die Bereitstellung von Daten unterschiedliche Vertragsklauseln vorsieht, sofern diese Unterschiede aus objektiven Gründen gerechtfertigt sind. Diese Pflichten gelten unbeschadet der Verordnung (EU) 2016/679.

46. In order to promote continued investment in generating and making available valuable data, including investments in relevant technical tools, while at the same time avoiding excessive burdens on access to and the use of data which make data sharing no longer commercially viable, this Regulation contains the principle that in business-to-business relations data holders may request reasonable compensation when obliged pursuant to Union law or national legislation adopted in accordance with Union law to make data available to a data recipient. Such compensation should not be understood to constitute payment for the data itself. The Commission should adopt guidelines on the calculation of reasonable compensation in the data economy.

46. Um weitere Investitionen in die Generierung und Bereitstellung wertvoller Daten zu fördern, einschließlich Investitionen in einschlägige technische Instrumente, zugleich aber unverhältnismäßige Belastungen bei Datenzugang und Datennutzung zu vermeiden, da die Datenweitergabe dadurch wirtschaftlich nicht mehr tragfähig wäre, enthält diese Verordnung den Grundsatz, dass Dateninhaber eine angemessene Gegenleistung verlangen können, wenn sie gemäß Unionsrecht oder nationalem Recht, das im Einklang mit Unionsrecht erlassen wurde, verpflichtet sind, einem Datenempfänger im Rahmen von Geschäftsbeziehungen zwischen Unternehmen Daten bereitzustellen. Diese Gegenleistung sollte nicht als Bezahlung für die Daten selbst verstanden werden. Die Kommission sollte Leitlinien erlassen, anhand derer eine angemessene Gegenleistung in der Datenwirtschaft berechnet werden kann.

47. First, reasonable compensation for meeting the obligation pursuant to Union law or national legislation adopted in accordance with Union law to comply with a request to make data available may include compensation for the costs incurred in making the data available. Those costs may be technical costs, such as the costs necessary for data reproduction, dissemination via electronic means and storage, but not for data collection or production. Such technical costs may also include the costs for processing, necessary to make data available, including costs associated with the formatting of data. Costs related to making the data available may also include the costs of facilitating concrete data sharing requests. They may also vary depending on the volume of the data as well as the arrangements taken for making the data available. Long-term arrangements between data holders and data recipients, for instance via a subscription model or the use of smart contracts, may reduce the costs in regular or repetitive transactions in a business relationship. Costs related to making data available are either specific to a particular request or shared with other requests. In the latter case, a single data recipient should not pay the full costs of making the data available. Second, reasonable compensation may also include a margin, except regarding SMEs and not-for-profit research organisations. A margin may vary depending on factors related to the data itself, such as volume, format or nature of the data. It may consider the costs for collecting the data. A margin may therefore decrease where the data holder has collected the data for its own business without significant investments or may increase where the investments in the data collection for the purposes of the data holder’s business are high. It may be limited or even excluded in situations where the use of the data by the data recipient does not affect the data holder’s own activities. The fact that the data is co-generated by a connected product owned, rented or leased by the user could also reduce the amount of the compensation in comparison to other situations where the data are generated by the data holder for example during the provision of a related service.

47. Erstens kann eine angemessene Gegenleistung für die Erfüllung der Verpflichtung gemäß Unionsrecht oder nationalen Rechtsvorschriften, die im Einklang mit Unionsrecht erlassen wurden, einem Datenzugangsverlangen nachzukommen, einen Ausgleich für die Kosten umfassen, die mit der Bereitstellung der Daten verbunden sind. Dies können technische Kosten sein, beispielsweise Kosten, die für die Wiedergabe, die elektronische Verbreitung und die Speicherung von Daten erforderlich sind, nicht aber die Kosten der Datensammlung oder -produktion. Die technischen Kosten könnten ferner die Kosten für die Verarbeitung umfassen, die im Vorfeld der Bereitstellung der Daten erforderlich ist, einschließlich der mit der Formatierung der Daten verbundenen Kosten. Kosten im Zusammenhang mit der Bereitstellung der Daten können auch die Kosten für die Erleichterung konkreter Datenweitergabeverlangen umfassen. In Abhängigkeit von der Datenmenge sowie von den für die Bereitstellung der Daten getroffenen Vereinbarungen können diese Kosten zudem unterschiedlich hoch ausfallen. Durch langfristige Vereinbarungen zwischen Dateninhabern und Datenempfängern, z. B. über ein Abonnementmodell oder die Verwendung von intelligenten Verträgen, können die Kosten im Rahmen regelmäßiger oder wiederholter Transaktionen in einer Geschäftsbeziehung niedriger sein. Kosten im Zusammenhang mit der Bereitstellung von Daten beziehen sich entweder auf ein bestimmtes Verlangen oder decken mehrere Verlangen ab. Im letzteren Fall sollten die Kosten für die Bereitstellung der Daten nicht von einem einzelnen Datenempfänger in voller Höhe getragen werden. Zweitens kann die angemessene Gegenleistung auch eine Marge umfassen, außer in Bezug auf KMU und gemeinnützige Forschungseinrichtungen. Die Marge kann in Abhängigkeit von den Faktoren, die mit den Daten selbst im Zusammenhang stehen, etwa Menge, Format oder Art der Daten, unterschiedlich bemessen sein. Sie kann die Kosten für die Erhebung der Daten berücksichtigen. Daher kann die Marge geringer ausfallen, wenn der Dateninhaber die Daten für sein eigenes Unternehmen erhoben hat, ohne wesentliche Investitionen zu tätigen, oder aber höher ausfallen, wenn in die Datenerhebung für die Zwecke des Unternehmens des Dateninhabers stark investiert werden muss. In Fällen, in denen sich die Nutzung der Daten durch den Datenempfänger nicht auf die eigenen Tätigkeiten des Dateninhabers auswirkt, kann die Marge begrenzt oder sogar ausgeschlossen werden. Außerdem könnte die Gegenleistung dadurch, dass die Daten von einem vernetzten Produkt, das Eigentum des Nutzers ist oder von ihm gemietet oder geleast wird, mitgeneriert werden, vergleichsweise niedriger ausfallen als in anderen Fällen, in denen die Daten, etwa bei der Erbringung eines verbundenen Dienstes, vom Dateninhaber generiert werden.

48. It is not necessary to intervene in the case of data sharing between large enterprises, or where the data holder is a small enterprise or a medium-sized enterprise and the data recipient is a large enterprise. In such cases, the enterprises are considered to be capable of negotiating the compensation within the limits of what is reasonable and non-discriminatory.

48. Ein Eingreifen ist nicht erforderlich, wenn Daten zwischen großen Unternehmen weitergegeben werden oder wenn es sich beim Dateninhaber um ein kleines oder mittleres Unternehmen und beim Datenempfänger um ein großes Unternehmen handelt. In diesen Fällen wird davon ausgegangen, dass die Unternehmen in der Lage sind, innerhalb angemessener und nichtdiskriminierender Grenzen eine Gegenleistung auszuhandeln.

49. To protect SMEs from excessive economic burdens which would make it commercially too difficult for them to develop and run innovative business models, the reasonable compensation for making data available to be paid by them should not exceed the costs directly related to making the data available. Directly related costs are those costs which are attributable to individual requests, taking into account that the necessary technical interfaces or related software and connectivity is to be established on a permanent basis by the data holder. The same regime should apply to not-for-profit research organisations.

49. Um KMU vor übermäßigen wirtschaftlichen Belastungen zu schützen, die ihnen die Entwicklung und den Betrieb innovativer Geschäftsmodelle übermäßig erschweren würden, sollte die von ihnen zu tragende angemessene Gegenleistung für die Bereitstellung von Daten die mit der Bereitstellung der Daten direkt verbundenen Kosten nicht übersteigen. Mit der Bereitstellung direkt verbundene Kosten sind jene Kosten, die den einzelnen Datenzugangsverlangen zuzurechnen sind, wobei zu berücksichtigen ist, dass der Dateninhaber die erforderlichen technischen Schnittstellen oder die erforderliche Software und Netzanbindung dauerhaft einzurichten hat. Dieselbe Regelung sollte für gemeinnützige Forschungseinrichtungen gelten.

50. In duly justified cases, including where there is a need to safeguard consumer participation and competition or to promote innovation in certain markets, regulated compensation for making available specific data types may be provided for in Union law or national legislation adopted in accordance with Union law.

50. In hinreichend begründeten Fällen, auch wenn es notwendig ist, die Beteiligung der Verbraucher und den Wettbewerb zu gewährleisten oder Innovationen auf bestimmten Märkten zu fördern, kann Unionsrecht oder in nationalem Recht, das im Einklang mit Unionsrecht erlassen wurde, eine festgelegte Gegenleistung für die Bereitstellung bestimmter Arten von Daten vorgeschrieben werden.

51. Transparency is an important principle for ensuring that the compensation requested by a data holder is reasonable, or, if the data recipient is an SME or a not-for-profit research organisation, that the compensation does not exceed the costs directly related to making the data available to the data recipient and is attributable to the individual request concerned. In order to put data recipients in a position to assess and verify that the compensation complies with the requirements of this Regulation, the data holder should provide to the data recipient sufficiently detailed information for the calculation of the compensation.

51. Transparenz ist ein wichtiger Grundsatz, um sicherzustellen, dass die von einem Dateninhaber verlangte Gegenleistung angemessen ist oder, falls es sich bei dem Datenempfänger um ein KMU oder eine gemeinnützige Forschungseinrichtung handelt, dass die Gegenleistung nicht die Kosten übersteigt, die direkt mit der Bereitstellung der Daten für den Datenempfänger verbunden und jeweils dem einzelnen Verlangen zuzurechnen sind. Damit Datenempfänger beurteilen und überprüfen können, ob die Gegenleistung den Anforderungen dieser Verordnung entspricht, sollte der Dateninhaber dem Datenempfänger ausreichend detaillierte Informationen für die Berechnung der Gegenleistung bereitstellen.

52. Ensuring access to alternative ways of resolving domestic and cross-border disputes that arise in connection with making data available should benefit data holders and data recipients and therefore strengthen trust in data sharing. Where parties cannot agree on fair, reasonable and non-discriminatory terms and conditions of making data available, dispute settlement bodies should offer a simple, fast and low-cost solution to the parties. While this Regulation only lays down the conditions that dispute settlement bodies need to fulfil to be certified, Member States are free to adopt any specific rules for the certification procedure, including the expiry or revocation of certification. The provisions of this Regulation on dispute settlement should not require Member States to establish dispute settlement bodies.

52. Alternative Möglichkeiten zur Beilegung innerstaatlicher und grenzüberschreitender Streitigkeiten im Zusammenhang mit der Bereitstellung von Daten sollten Dateninhabern und Datenempfängern gleichermaßen zur Verfügung stehen, sodass das Vertrauen in die Datenweitergabe gestärkt wird. Falls sich die Parteien nicht auf faire, angemessene und nichtdiskriminierende Bedingungen für die Bereitstellung von Daten einigen können, sollten die Streitbeilegungsstellen den Parteien eine einfache, schnelle und kostengünstige Lösung anbieten. Während in dieser Verordnung nur die Bedingungen festgelegt sind, die Streitbeilegungsstellen erfüllen müssen, um zertifiziert zu werden, steht es den Mitgliedstaaten frei, spezifische Vorschriften für das Zertifizierungsverfahren, einschließlich des Ablaufs oder des Widerrufs der Zertifizierung, zu erlassen. Die in dieser Verordnung enthaltenen Bestimmungen über die Streitbeilegung sollten die Mitgliedstaaten nicht dazu verpflichten, Streitbeilegungsstellen einzurichten.

53. The dispute settlement procedure under this Regulation is a voluntary procedure that enables users, data holders and data recipients to agree to bring their disputes before dispute settlement bodies. Therefore, the parties should be free to address a dispute settlement body of their choice, be it within or outside of the Member States in which those parties are established.

53. Das Streitbeilegungsverfahren im Rahmen dieser Verordnung ist ein freiwilliges Verfahren, das es Nutzern, Dateninhabern und Datenempfängern ermöglicht, zu vereinbaren, Streitbeilegungsstellen mit ihren Streitigkeiten zu befassen. Daher sollte es den Parteien freistehen, sich an eine Streitbeilegungsstelle ihrer Wahl zu wenden, sei es innerhalb oder außerhalb der Mitgliedstaaten, in denen diese Parteien niedergelassen sind.

54. To avoid cases in which two or more dispute settlement bodies are seized for the same dispute, in particular in a cross-border situation, a dispute settlement body should be able to refuse to deal with a request to resolve a dispute that has already been brought before another dispute settlement body or before a court or tribunal of a Member State.

54. Um zu vermeiden, dass – insbesondere in einer grenzüberschreitenden Situation – zwei oder mehr Streitbeilegungsstellen mit derselben Streitigkeit befasst werden, sollte ein Ersuchen zur Streitbeilegung von einer Streitbeilegungsstelle ablehnt werden können, wenn es bereits bei einer anderen Streitbeilegungsstelle oder einem Gericht eines Mitgliedstaats eingereicht wurde.

55. In order to ensure the uniform application of this Regulation, the dispute settlement bodies should take into account the non-binding model contractual terms to be developed and recommended by the Commission as well as Union or national law specifying data sharing obligations or guidelines issued by sectoral authorities for the application of such law.

55. Um die einheitliche Anwendung dieser Verordnung zu gewährleisten, sollten die Streitbeilegungsstellen die von der Kommission zu entwickelnden und zu empfehlenden unverbindlichen Mustervertragsklauseln sowie Unionsrecht oder nationales Recht zur Festlegung der Verpflichtungen zur Weitergabe von Daten oder Leitlinien der einschlägigen Fachbehörden für die Anwendung dieses Rechts berücksichtigen.

56. Parties to dispute settlement proceedings should not be prevented from exercising their fundamental rights to an effective remedy and a fair trial. Therefore, the decision to submit a dispute to a dispute settlement body should not deprive those parties of their right to seek redress before a court or tribunal of a Member State. Dispute settlement bodies should make annual activity reports publicly available.

56. Die Parteien eines Streitbeilegungsverfahrens sollten nicht daran gehindert werden, ihre Grundrechte auf einen wirksamen Rechtsbehelf und ein faires Verfahren auszuüben. Daher sollte die Entscheidung, eine Streitbeilegungsstelle mit einer Streitigkeit zu befassen, diesen Parteien nicht das Recht nehmen, bei einem Gericht eines Mitgliedstaats Rechtsmittel einzulegen. Die Streitbeilegungsstellen sollten jährliche Tätigkeitsberichte öffentlich verfügbar machen.

57. Data holders may apply appropriate technical protection measures to prevent the unlawful disclosure of or access to data. However, those measures should neither discriminate between data recipients, nor hinder access to or the use of data for users or data recipients. In the case of abusive practices on the part of a data recipient, such as misleading the data holder by providing false information with the intent to use the data for unlawful purposes, including developing a competing connected product on the basis of the data, the data holder and, where applicable and where they are not the same person, the trade secret holder or the user can request the third party or data recipient to implement corrective or remedial measures without undue delay. Any such requests, and in particular requests to end the production, offering or placing on the market of goods, derivative data or services, as well as those to end importation, export, storage of infringing goods or their destruction, should be assessed in the light of their proportionality in relation to the interests of the data holder, the trade secret holder or the user.

57. Dateninhaber können geeignete technische Schutzmaßnahmen anwenden, um die unrechtmäßige Offenlegung von oder den unrechtmäßigen Zugang zu Daten zu verhindern. Diese Maßnahmen sollten jedoch weder zwischen Datenempfängern unterscheiden noch den Zugang zu Daten und deren Nutzung für Nutzer oder Datenempfänger beeinträchtigen. Im Falle missbräuchlicher Praktiken eines Datenempfängers, wie Irreführung des Dateninhabers durch Bereitstellung falscher Informationen in der Absicht, die Daten für unrechtmäßige Zwecke zu nutzen, einschließlich der Entwicklung eines konkurrierenden vernetzten Produkts auf der Grundlage der Daten, kann der Dateninhaber und gegebenenfalls, falls es sich nicht um die gleiche Person handelt, der Inhaber eines Geschäftsgeheimnisses oder der Nutzer den Dritten oder den Datenempfänger auffordern, unverzüglich Korrektur- oder Abhilfemaßnahmen zu ergreifen. Derartige Aufforderungen, insbesondere Aufforderungen zur Einstellung der Herstellung, des Angebots oder des Inverkehrbringens von Waren, abgeleiteten Daten oder Dienstleistungen sowie Aufforderungen zur Beendigung der Einfuhr, Ausfuhr und Lagerung rechtsverletzender Waren bzw. zu deren Vernichtung, sollten im Hinblick darauf bewertet werden, ob sie in Bezug auf die Interessen des Dateninhabers, des Inhabers des Geschäftsgeheimnisses oder des Nutzers verhältnismäßig sind.

58. Where one party is in a stronger bargaining position, there is a risk that that party could leverage such a position to the detriment of the other contracting party when negotiating access to data with the result that access to data is commercially less viable and sometimes economically prohibitive. Such contractual imbalances harm all enterprises without a meaningful ability to negotiate the conditions for access to data, and which may have no choice but to accept take-it-or-leave-it contractual terms. Therefore, unfair contractual terms regulating access to and the use of data, or liability and remedies for the breach or the termination of data related obligations, should not be binding on enterprises when those terms have been unilaterally imposed on those enterprises.

58. Wenn sich eine Partei in einer stärkeren Verhandlungsposition befindet, besteht die Gefahr, dass sie diese Position bei Verhandlungen über den Zugang zu Daten zum Nachteil der anderen Vertragspartei ausnutzen könnte, mit dem Ergebnis, dass der Zugang zu Daten wirtschaftlich weniger tragfähig und bisweilen untragbar ist. Solche vertraglichen Ungleichgewichte schaden allen Unternehmen, die nicht wirklich in der Lage sind, die Bedingungen für den Zugang zu Daten auszuhandeln, und die unter Umständen keine andere Wahl haben, als nicht verhandelbare Vertragsklauseln zu akzeptieren. Daher sollten missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten für Unternehmen nicht bindend sein, wenn diese Bedingungen diesen Unternehmen einseitig auferlegt wurden.

59. Rules on contractual terms should take into account the principle of contractual freedom as an essential concept in business-to-business relationships. Therefore, not all contractual terms should be subject to an unfairness test, but only those terms that are unilaterally imposed. This concerns take-it-or-leave-it situations where one party supplies a certain contractual term and the other enterprise cannot influence the content of that term despite an attempt to negotiate it. A contractual term that is simply provided by one party and accepted by the other enterprise or a term that is negotiated and subsequently agreed in an amended form between contracting parties should not be considered to have been unilaterally imposed.

59. Bei den Vorschriften über Vertragsklauseln sollte der Grundsatz der Vertragsfreiheit als wesentliches Konzept in den Geschäftsbeziehungen zwischen Unternehmen berücksichtigt werden. Daher sollten nicht alle Vertragsklauseln einer Missbräuchlichkeitsprüfung unterzogen werden, sondern nur jene Klauseln, die einseitig auferlegt werden. Dies betrifft Situationen ohne Verhandlungsspielraum, in denen eine Partei eine bestimmte Vertragsklausel einbringt und das andere Unternehmen den Inhalt dieser Klausel trotz Verhandlungsversuchs nicht beeinflussen kann. Vertragsklauseln, die lediglich von einer Partei eingebracht und von dem anderen Unternehmen akzeptiert werden, oder Klauseln, die zwischen den Vertragsparteien ausgehandelt und anschließend in geänderter Form vereinbart werden, sollten nicht als einseitig auferlegt gelten.

60. Furthermore, the rules on unfair contractual terms should apply only to those elements of a contract that are related to making data available, that is contractual terms concerning access to and use of the data as well as liability or remedies for breach and termination of data related obligations. Other parts of the same contract, unrelated to making data available, should not be subject to the unfairness test laid down in this Regulation.

60. Darüber hinaus sollten die Vorschriften über missbräuchliche Vertragsklauseln nur für diejenigen Bestandteile eines Vertrags gelten, die sich auf die Bereitstellung von Daten beziehen, d. h. Vertragsklauseln über den Datenzugang und die Datennutzung sowie die Haftung oder Rechtsbehelfe bei Verletzung und Beendigung datenbezogener Pflichten. Andere Teile desselben Vertrags, die nicht mit der Bereitstellung von Daten zusammenhängen, sollten nicht der in dieser Verordnung festgelegten Missbräuchlichkeitsprüfung unterliegen.

61. Criteria for identifying unfair contractual terms should be applied only to excessive contractual terms where a stronger bargaining position has been abused. The vast majority of contractual terms that are commercially more favourable to one party than to the other, including those that are normal in business-to-business contracts, are a normal expression of the principle of contractual freedom and continue to apply. For the purposes of this Regulation, grossly deviating from good commercial practice would include, inter alia, objectively impairing the ability of the party upon whom the term has been unilaterally imposed to protect its legitimate commercial interest in the data in question.

61. Kriterien für die Ermittlung missbräuchlicher Vertragsklauseln sollten nur auf überzogene Vertragsklauseln angewandt werden, bei denen eine stärkere Verhandlungsposition missbraucht wurde. Die überwiegende Mehrheit der Vertragsklauseln, die für eine Partei wirtschaftlich günstiger sind als für die andere, einschließlich derjenigen, die in Verträgen zwischen Unternehmen üblich sind, sind ein normaler Ausdruck des Grundsatzes der Vertragsfreiheit und gelten weiterhin. Für die Zwecke dieser Verordnung würde eine grobe Abweichung von der guten Geschäftspraxis unter anderem bedeuten, dass die Partei, der die Bedingung einseitig auferlegt wurde, in ihrer Fähigkeit, ihr berechtigtes geschäftliches Interesse an den betreffenden Daten zu schützen, objektiv beeinträchtigt wird.

62. In order to ensure legal certainty, this Regulation establishes a list of clauses that are always considered unfair and a list of clauses that are presumed to be unfair. In the latter case, the enterprise that imposes the contractual term should be able to rebut the presumption of unfairness by demonstrating that the contractual term listed in this Regulation is not unfair in the specific case in question. If a contractual term is not included in the list of terms that are always considered unfair or that are presumed to be unfair, the general unfairness provision applies. In that regard, the terms listed as unfair contractual terms in this Regulation should serve as a yardstick to interpret the general unfairness provision. Finally, non-binding model contractual terms for business-to-business data sharing contracts to be developed and recommended by the Commission may also be helpful to commercial parties when negotiating contracts. If a contractual term is declared to be unfair, the contract concerned should continue to apply without that term, unless the unfair contractual term is not severable from the other terms of the contract.

62. Um für Rechtssicherheit zu sorgen, wird in dieser Verordnung eine Liste von Klauseln festgelegt, die stets als missbräuchlich gelten und eine Liste von Klauseln, bei denen davon ausgegangen wird, dass sie missbräuchlich sind. Im letzteren Fall sollte das Unternehmen, das die Vertragsklausel vorschreibt, in der Lage sein, die Vermutung der Missbräuchlichkeit zu widerlegen, indem es nachweist, dass eine in dieser Verordnung aufgeführte Vertragsklausel im konkreten Fall nicht missbräuchlich ist. Ist eine Vertragsklausel nicht in der Liste der Klauseln aufgeführt, die stets als missbräuchlich gelten oder bei denen davon ausgegangen wird, dass sie missbräuchlich sind, so findet die allgemeine Missbräuchlichkeitsbestimmung Anwendung. In diesem Zusammenhang sollten die in dieser Verordnung als missbräuchlich aufgeführten Vertragsklauseln als Maßstab für die Auslegung der allgemeinen Missbräuchlichkeitsbestimmung dienen. Schließlich können von der Kommission erstellte und empfohlene unverbindliche Mustervertragsklauseln für Verträge über die Datenweitergabe zwischen Unternehmen für Wirtschaftsunternehmen auch bei der Aushandlung von Verträgen hilfreich sein. Wird eine Vertragsklausel für missbräuchlich erklärt, so sollte der betreffende Vertrag ohne diese Klausel weiterhin gelten, es sei denn, die missbräuchliche Klausel ist nicht von den übrigen Vertragsklauseln abtrennbar.

63. In situations of exceptional need, it may be necessary for public sector bodies, the Commission, the European Central Bank or Union bodies to use in the performance of their statutory duties in the public interest existing data, including, where relevant, accompanying metadata, to respond to public emergencies or in other exceptional cases. Exceptional needs are circumstances which are unforeseeable and limited in time, in contrast to other circumstances which might be planned, scheduled, periodic or frequent. While the notion of ‘data holder’ does not, generally, include public sector bodies, it may include public undertakings. Research-performing organisations and research-funding organisations could also be organised as public sector bodies or bodies governed by public law. To limit the burden on businesses, microenterprises and small enterprises should only be under the obligation to provide data to public sector bodies, the Commission, the European Central Bank or Union bodies in situations of exceptional need where such data is required to respond to a public emergency and the public sector body, the Commission, the European Central Bank or the Union body is unable to obtain such data by alternative means in a timely and effective manner under equivalent conditions.

63. Im Falle außergewöhnlicher Notwendigkeit kann es erforderlich sein, dass öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Einrichtungen der Union bei der Wahrnehmung ihrer gesetzlichen Pflichten im öffentlichen Interesse vorhandene Daten, gegebenenfalls einschließlich beigefügter Metadaten, die von einem Unternehmen gehalten werden, nutzen, um auf öffentliche Notlagen oder andere Ausnahmesituationen zu reagieren. Unter einer außergewöhnlichen Notwendigkeit sind – im Gegensatz zu sonstigen Umständen, die möglicherweise geplant oder terminiert sind oder regelmäßig oder häufig eintreten, – Umstände zu verstehen, die nicht vorhersehbar und zeitlich begrenzt sind. Während der Begriff „Dateninhaber“ öffentliche Stellen im Allgemeinen nicht einschließt, kann er öffentliche Unternehmen umfassen. Forschungseinrichtungen und Forschungsförderungseinrichtungen könnten auch als öffentliche Stellen oder Einrichtungen des öffentlichen Rechts eingerichtet sein. Um die Belastung der Unternehmen zu begrenzen, sollten Kleinstunternehmen und Kleinunternehmen nur dann verpflichtet sein, öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union Daten bereitzustellen, wenn solche Daten in Fällen außergewöhnlicher Notwendigkeit erforderlich sind, um auf einen öffentlichen Notstand zu reagieren und öffentliche Stellen, die Kommission, die Europäische Zentralbank oder die Einrichtungen der Union solche Daten unter gleichwertigen Bedingungen auf andere Weise nicht rechtzeitig und wirksam beschaffen können.

64. In the case of public emergencies, such as public health emergencies, emergencies resulting from natural disasters including those aggravated by climate change and environmental degradation, as well as human-induced major disasters, such as major cybersecurity incidents, the public interest resulting from the use of the data will outweigh the interests of the data holders to dispose freely of the data they hold. In such a case, data holders should be placed under an obligation to make the data available to public sector bodies, the Commission, the European Central Bank or Union bodies upon their request. The existence of a public emergency should be determined or declared in accordance with Union or national law and based on the relevant procedures, including those of the relevant international organisations. In such cases, the public sector body should demonstrate that the data in scope of the request could not otherwise be obtained in a timely and effective manner and under equivalent conditions, for instance by way of the voluntary provision of data by another enterprise or the consultation of a public database.

64. Bei öffentlichen Notständen wie Notlagen im Bereich der öffentlichen Gesundheit, Notlagen aufgrund von Naturkatastrophen, einschließlich solcher, die durch den Klimawandel und die Umweltzerstörung noch verschärft werden, sowie von Menschen verursachter schwerer Katastrophen, wie großen Cybersicherheitsvorfällen, wird das öffentliche Interesse an der Verwendung der Daten schwerer wiegen als das Interesse der Dateninhaber, frei über die von ihnen gehaltenen Daten zu verfügen. In einem solchen Fall sollten die Dateninhaber verpflichtet werden, die Daten öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union auf deren Verlangen bereitzustellen. Das Vorliegen eines öffentlichen Notstands sollte in Übereinstimmung mit dem Unionsrecht oder nationalen Recht und auf der Grundlage der jeweils einschlägigen Verfahren, einschließlich der Verfahren der einschlägigen internationalen Organisationen festgestellt oder erklärt werden. In solchen Fällen sollte die öffentliche Stelle nachweisen, dass die Daten, die Gegenstand des Verlangens sind, nicht auf andere Weise rechtzeitig und wirksam und unter gleichwertigen Bedingungen erlangt werden konnten, beispielsweise durch die freiwillige Bereitstellung von Daten durch ein anderes Unternehmen oder Abfragen einer öffentlichen Datenbank.

65. An exceptional need may also arise from non-emergency situations. In such cases, a public sector body, the Commission, the European Central Bank or a Union body should be allowed to request only non-personal data. The public sector body should demonstrate that the data are necessary for the fulfilment of a specific task carried out in the public interest that has been explicitly provided for by law, such as the production of official statistics or the mitigation of or recovery from a public emergency. In addition, such a request can be made only when the public sector body, the Commission, the European Central Bank or a Union body has identified specific data that could not otherwise be obtained in a timely and effective manner and under equivalent conditions and only if it has exhausted all other means at its disposal to obtain such data, such as obtaining the data through voluntary agreements, including purchasing of non-personal data on the market by offering market rates, or by relying on existing obligations to make data available or the adoption of new legislative measures which could guarantee the timely availability of data. The conditions and principles governing requests, such as those related to purpose limitation, proportionality, transparency and time limitation, should also apply. In cases of requests for data necessary for the production of official statistics, the requesting public sector body should also demonstrate whether the national law allows it to purchase non-personal data on the market.

65. Eine außergewöhnliche Notwendigkeit kann sich auch aus Situationen ergeben, die keinen Notstand darstellen. In solchen Fällen sollte es einer öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union nur gestattet sein, nicht-personenbezogene Daten zu verlangen. Die öffentliche Stelle sollte nachweisen, dass die Daten erforderlich sind, um eine bestimmte Aufgabe im öffentlichen Interesse zu erfüllen, die gesetzlich ausdrücklich vorgesehen ist, etwa die Erstellung amtlicher Statistiken oder die Eindämmung oder Überwindung eines öffentlichen Notstands. Darüber hinaus kann ein solches Verlangen nur gestellt werden, wenn die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union spezifische Daten ermittelt hat, die sie auf andere Weise nicht rechtzeitig und wirksam und unter gleichwertigen Bedingungen erlangen könnte, und nur, wenn sie alle anderen zur Verfügung stehenden Mittel ausgeschöpft hat, um diese Daten zu erlangen, wie etwa die Beschaffung der Daten über freiwillige Vereinbarungen, einschließlich des Erwerbs von nicht-personenbezogenen Daten auf dem Markt, wobei der jeweilige Marktkurs geboten wird, oder durch Rückgriff auf bestehende Verpflichtungen zur Bereitstellung von Daten oder den Erlass neuer Rechtsvorschriften, die die rechtzeitige Verfügbarkeit der Daten gewährleisten könnten. Ferner sollten die Bedingungen und Grundsätze für Verlangen etwa in Bezug auf Zweckbindung, Verhältnismäßigkeit, Transparenz und Befristung gelten. Werden Daten verlangt, die für die Erstellung amtlicher Statistiken erforderlich sind, so sollte die anfragende öffentliche Stelle auch nachweisen, ob sie nach nationalem Recht befugt ist, nicht-personenbezogene Daten auf dem Markt zu erwerben.

66. This Regulation should not apply to, or pre-empt, voluntary arrangements for the exchange of data between private and public entities, including the provision of data by SMEs, and is without prejudice to Union legal acts providing for mandatory information requests by public entities to private entities. Obligations placed on data holders to provide data that are motivated by needs of a non-exceptional nature, in particular where the range of data and of data holders is known or where data use can take place on a regular basis, as in the case of reporting obligations and internal market obligations, should not be affected by this Regulation. Requirements to access data to verify compliance with applicable rules, including where public sector bodies assign the task of the verification of compliance to entities other than public sector bodies, should also not be affected by this Regulation.

66. Diese Verordnung sollte weder für freiwillige Vereinbarungen über den Datenaustausch zwischen privaten und öffentlichen Stellen, einschließlich der Bereitstellung von Daten durch KMU, gelten noch diesen vorgreifen, und sie lässt Rechtsakte der Union unberührt, die verbindliche Auskunftsersuchen öffentlicher Stellen an private Einrichtungen vorsehen. Die den Dateninhabern auferlegten Pflichten zur Bereitstellung von Daten, die nicht auf einer außergewöhnlichen Notwendigkeit beruhen, insbesondere wenn die Datengrundlage und die Dateninhaber bekannt sind oder die Daten regelmäßig genutzt werden können, wie im Falle von Berichtspflichten und sich aus dem Binnenmarkt ergebenden Pflichten, sollten von dieser Verordnung nicht berührt werden. Datenzugangsanforderungen, die dazu dienen, die Einhaltung der geltenden Vorschriften zu überprüfen, sollten von dieser Verordnung ebenfalls nicht berührt werden, auch in Fällen, in denen öffentliche Stellen die Aufgabe der Überprüfung der Einhaltung der Vorschriften anderen als öffentlichen Stellen übertragen.

67. This Regulation complements and is without prejudice to the Union and national law providing for access to and the use of data for statistical purposes, in particular Regulation (EC) No 223/2009 of the European Parliament and of the Council (27) as well as national legal acts related to official statistics.

67. Diese Verordnung ergänzt das Unionsrecht und das nationale Recht, die den Zugang zu Daten für statistische Zwecke und deren Nutzung für statistische Zwecke regeln, insbesondere die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates (27) und die nationalen Rechtsakte im Zusammenhang mit amtlichen Statistiken, und lässt diese unberührt.

68. For the exercise of their tasks in the areas of prevention, investigation, detection or prosecution of criminal or administrative offences or the execution of criminal and administrative penalties, as well as the collection of data for taxation or customs purposes, public sector bodies, the Commission, the European Central Bank or Union bodies should rely on their powers under Union or national law. This Regulation accordingly does not affect legislative acts on the sharing, access to and use of data in those areas.

68. Bei der Wahrnehmung ihrer Aufgaben in den Bereichen Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Vollstreckung strafrechtlicher und verwaltungsrechtlicher Sanktionen sowie der Erhebung von Daten für Steuer- oder Zollzwecke sollten sich öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Einrichtungen der Union auf ihre Befugnisse im Rahmen des Unionsrechts oder des nationalen Rechts stützen. Diese Verordnung berührt daher nicht die Gesetzgebungsakte für die Datenweitergabe, den Datenzugang und die Datennutzung in diesen Bereichen.

69. In accordance with Article 6(1) and (3) of Regulation (EU) 2016/679, a proportionate, limited and predictable framework at Union level is necessary when providing for the legal basis for the making available of data by data holders, in cases of exceptional needs, to public sector bodies, the Commission, the European Central Bank or Union bodies, both to ensure legal certainty and to minimise the administrative burdens placed on businesses. To that end, data requests from public sector bodies, the Commission, the European Central Bank or Union bodies to data holders should be specific, transparent and proportionate in their scope of content and their granularity. The purpose of the request and the intended use of the data requested should be specific and clearly explained, while allowing appropriate flexibility for the requesting entity to carry out its specific tasks in the public interest. The request should also respect the legitimate interests of the data holder to whom the request is made. The burden on data holders should be minimised by obliging requesting entities to respect the once-only principle, which prevents the same data from being requested more than once by more than one public sector body or the Commission, the European Central Bank or Union bodies. To ensure transparency, data requests made by the Commission, the European Central Bank or Union bodies should be made public without undue delay by the entity requesting the data. The European Central Bank and Union bodies should inform the Commission of their requests. If the data request has been made by a public sector body, that body should also notify the data coordinator of the Member State where the public sector body is established. Online public availability of all requests should be ensured. Upon the receipt of a notification of a data request, the competent authority can decide to assess the lawfulness of the request and exercise its functions in relation to the enforcement and application of this Regulation. Online public availability of all requests made by public sector bodies should be ensured by the data coordinator.

69. Im Einklang mit Artikel 6 Absätze 1 und 3 der Verordnung (EU) 2016/679 ist ein verhältnismäßiger, begrenzter und vorhersehbarer Rahmen auf Unionsebene erforderlich, wenn es um die Wahl der Rechtsgrundlage für die Bereitstellung von Daten durch Dateninhaber für öffentliche Stellen, die Kommission, die Europäische Zentralbank und die Einrichtungen der Union im Fall außergewöhnlicher Notwendigkeit geht, um sowohl Rechtssicherheit zu gewährleisten als auch den Verwaltungsaufwand für Unternehmen so gering wie möglich zu halten. Zu diesem Zweck sollten Datenverlangen öffentlicher Stellen, der Kommission, der Europäischen Zentralbank oder der Einrichtungen der Union an Dateninhaber hinsichtlich ihres Umfangs und ihrer Detailstufe spezifisch, transparent und verhältnismäßig sein. Der Zweck des Verlangens und die beabsichtigte Nutzung der verlangten Daten sollten konkret und eindeutig erläutert werden, wobei der anfragenden Stelle eine angemessene Flexibilität bei der Wahrnehmung ihrer Aufgaben im öffentlichen Interesse einzuräumen ist. Das Verlangen sollte auch den berechtigten Interessen der Dateninhaber, an die es gerichtet wird, Rechnung tragen. Der Aufwand für die Dateninhaber sollte so gering wie möglich gehalten werden, indem die anfragenden Stellen verpflichtet werden, den Einmaligkeitsgrundsatz einzuhalten, der verhindert, dass dieselben Daten mehrmals oder von mehreren öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder den Einrichtungen der Union verlangt werden. Zur Gewährleistung der Transparenz sollten Datenverlangen, die von der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union gestellt werden, unverzüglich von der die Daten verlangenden Stelle veröffentlicht werden. Die Europäische Zentralbank und die Einrichtungen der Union sollten die Kommission über ihre Verlangen unterrichten. Wenn das Datenverlangen von einer öffentlichen Stelle gestellt wurde, sollte diese Stelle auch den Datenkoordinator des Mitgliedstaats, in dem die öffentliche Stelle niedergelassen ist, unterrichten. Es sollte sichergestellt werden, dass alle Verlangen online öffentlich verfügbar sind. Nach einer solchen Unterrichtung über ein Datenverlangen kann die zuständige Behörde beschließen, die Rechtmäßigkeit des Verlangens zu bewerten, und ihre Aufgaben im Zusammenhang mit der Durchsetzung und Anwendung dieser Verordnung wahrnehmen. Der Datenkoordinator sollte sicherstellen, dass alle von öffentlichen Stellen gestellten Verlangen online öffentlich verfügbar sind.

70. The objective of the obligation to provide the data is to ensure that public sector bodies, the Commission, the European Central Bank or Union bodies have the necessary knowledge to respond to, prevent or recover from public emergencies or to maintain the capacity to fulfil specific tasks explicitly provided for by law. The data obtained by those entities may be commercially sensitive. Therefore, neither Regulation (EU) 2022/868 nor Directive (EU) 2019/1024 of the European Parliament and of the Council (28) should apply to data made available under this Regulation and should not be considered as open data available for reuse by third parties. This however should not affect the applicability of Directive (EU) 2019/1024 to the reuse of official statistics for the production of which data obtained pursuant to this Regulation was used, provided the reuse does not include the underlying data. In addition, provided the conditions laid down in this Regulation are met, the possibility of sharing the data for conducting research or for the development, production and dissemination of official statistics should not be affected. Public sector bodies should also be allowed to exchange data obtained pursuant to this Regulation with other public sector bodies, the Commission, the European Central Bank or Union bodies in order to address the exceptional needs for which the data has been requested.

70. Mit der Datenbereitstellungspflicht soll sichergestellt werden, dass öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Einrichtungen der Union über das erforderliche Wissen zur Bewältigung oder Verhinderung öffentlicher Notstände oder zu deren Überwindung oder zur Aufrechterhaltung der Kapazitäten zur Erfüllung bestimmter, gesetzlich ausdrücklich vorgesehener Aufgaben verfügen. Bei den von diesen Stellen erlangten Daten kann es sich um Geschäftsgeheimnisse handeln. Daher sollten weder die Verordnung (EU) 2022/868 noch die Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates (28) für Daten gelten, die im Rahmen der vorliegenden Verordnung bereitgestellt werden, und diese Daten sollten nicht als offene Daten betrachtet werden, die Dritten zur Weiterverwendung zur Verfügung stehen. Dies sollte jedoch die Anwendbarkeit der Richtlinie (EU) 2019/1024 auf die Weiterverwendung amtlicher Statistiken, für deren Erstellung gemäß dieser Verordnung erlangte Daten verwendet wurden, unberührt lassen, sofern sich die Weiterverwendung nicht auf die zugrunde liegenden Daten erstreckt. Darüber hinaus sollte dies die Möglichkeit der Weitergabe der Daten zu Forschungszwecken oder für die Entwicklung, Erstellung und Verbreitung amtlicher Statistiken unberührt lassen, sofern die in der vorliegenden Verordnung festgelegten Bedingungen erfüllt sind. Öffentliche Stellen sollten auch Daten, die sie gemäß der vorliegenden Verordnung erlangt haben, mit anderen öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union austauschen dürfen, um die außergewöhnliche Notwendigkeit auszuräumen, wegen der sie verlangt wurden.

71. Data holders should have the possibility to either decline a request made by a public sector body, the Commission, the European Central Bank or a Union body or seek its modification without undue delay and, in any event, no later than within a period of five or 30 working days, depending on the nature of the exceptional need invoked in the request. Where relevant, the data holder should have this possibility where it does not have control over the data requested, namely where it does not have immediate access to the data and cannot determine its availability. A valid reason not to make the data available should exist if it can be shown that the request is similar to a previously submitted request for the same purpose by another public sector body or the Commission, the European Central Bank or a Union body and the data holder has not been notified of the erasure of the data pursuant to this Regulation. A data holder declining the request or seeking its modification should communicate the underlying justification to the public sector body, the Commission, the European Central Bank or a Union body requesting the data. Where the sui generis database rights under Directive 96/9/EC of the European Parliament and of the Council (29) apply in relation to the requested datasets, data holders should exercise their rights in such a way that does not prevent the public sector body, the Commission, the European Central Bank or Union body from obtaining the data, or from sharing it, in accordance with this Regulation.

71. Dateninhaber sollten die Möglichkeit haben, je nach Art der in dem Verlangen geltend gemachten außergewöhnlichen Notwendigkeit unverzüglich und in jedem Fall spätestens innerhalb von fünf oder 30 Arbeitstagen entweder eine Änderung des Verlangens einer öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union abzulehnen oder dieses zu beantragen. Gegebenenfalls sollte der Dateninhaber diese Gelegenheit haben, wenn er keine Kontrolle über die verlangten Daten hat, d. h. wenn er keinen unmittelbaren Zugang zu den Daten hat und deren Verfügbarkeit nicht feststellen kann. Die Nichtbereitstellung der Daten sollte sich begründen lassen, wenn nachgewiesen werden kann, dass das Verlangen mit einem zuvor von einer anderen öffentlichen Stelle oder von der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union zu demselben Zweck eingereichten Verlangen vergleichbar ist und der Dateninhaber nicht über die Löschung der Daten gemäß dieser Verordnung informiert wurde. Wenn ein Dateninhaber das Verlangen ablehnt oder dessen Änderung beantragt, sollte er die Ablehnung gegenüber der öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder der Einrichtung der Union, die das Verlangen gestellt hat, begründen. Wenn in Bezug auf die verlangten Datensätze die Datenbankrechte sui generis gemäß der Richtlinie 96/9/EG des Europäischen Parlaments und des Rates (29) Anwendung finden, sollten die Dateninhaber ihre Rechte in einer Weise ausüben, die die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder Einrichtung der Union nicht daran hindert, die Daten im Einklang mit dieser Verordnung zu erlangen oder weiterzugeben.

72. In the case of an exceptional need related to a public emergency response, public sector bodies should use non-personal data wherever possible. In the case of requests on the basis of an exceptional need not related to a public emergency, personal data cannot be requested. Where personal data fall within the scope of the request, the data holder should anonymise the data. Where it is strictly necessary to include personal data in the data to be made available to a public sector body, the Commission, the European Central Bank or a Union body or where anonymisation proves impossible, the entity requesting the data should demonstrate the strict necessity and the specific and limited purposes for processing. The applicable rules on personal data protection should be complied with. The making available of the data and their subsequent use should be accompanied by safeguards for the rights and interests of individuals concerned by those data.

72. Im Falle einer außergewöhnlichen Notwendigkeit im Zusammenhang mit öffentlichen Notstandsmaßnahmen sollten öffentliche Stellen nach Möglichkeit nicht-personenbezogene Daten verwenden. Im Falle von Verlangen, die auf einer außergewöhnlichen Notwendigkeit beruhen, die nicht im Zusammenhang mit einem öffentlichen Notstand steht, können keine personenbezogenen Daten verlangt werden. Wenn personenbezogene Daten Gegenstand des Verlangens sind, sollte der Dateninhaber die Daten stets anonymisieren. Ist es unbedingt erforderlich, mit den Daten für eine öffentliche Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union auch personenbezogene Daten bereitzustellen oder erweist sich eine Anonymisierung als unmöglich, so sollte die Stelle, die die Daten verlangt, die strikte Notwendigkeit und die besonderen und begrenzten Zwecke der Verarbeitung nachweisen. Die geltenden Vorschriften über den Schutz personenbezogener Daten sollten eingehalten werden. Die Bereitstellung der Daten und ihre anschließende Nutzung sollten mit Schutzvorkehrungen für die Rechte und Interessen der von diesen Daten betroffenen Personen einhergehen.

73. Data made available to public sector bodies, the Commission, the European Central Bank or Union bodies on the basis of an exceptional need should be used only for the purposes for which they were requested, unless the data holder that made the data available has expressly agreed for the data to be used for other purposes. The data should be erased once it is no longer necessary for the purposes stated in the request, unless agreed otherwise, and the data holder should be informed thereof. This Regulation builds on the existing access regimes in the Union and the Member States and does not change the national law on public access to documents in the context of transparency obligations. Data should be erased once it is no longer needed to comply with such transparency obligations.

73. Daten, die öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union wegen einer außergewöhnlichen Notwendigkeit bereitgestellt werden, sollten nur für die Zwecke des Datenverlangens genutzt werden, es sei denn, der Dateninhaber, der die Daten bereitgestellt hat, hat ausdrücklich zugestimmt, dass die Daten für andere Zwecke genutzt werden. Sofern nichts anderes vereinbart wurde, sollten die Daten gelöscht werden, sobald sie für den im Verlangen genannten Zweck nicht mehr erforderlich sind, und der Dateninhaber sollte davon in Kenntnis gesetzt werden. Diese Verordnung baut auf den bestehenden Zugangsregelungen der Union und der Mitgliedstaaten auf und bewirkt keine Änderung des nationalen Rechts für den Zugang der Öffentlichkeit zu Dokumenten im Zusammenhang mit Transparenzpflichten. Daten sollten gelöscht werden, sobald sie nicht mehr benötigt werden, um diesen Transparenzpflichten nachzukommen.

74. When reusing data provided by data holders, public sector bodies, the Commission, the European Central Bank or Union bodies should respect both existing applicable Union or national law and contractual obligations to which the data holder is subject. They should refrain from developing or enhancing a connected product or related service that compete with the connected product or related service of the data holder as well as from sharing the data with a third party for those purposes. They should likewise provide public acknowledgement to the data holders upon their request and should be responsible for maintaining the security of the data received. Where the disclosure of trade secrets of the data holder to public sector bodies, the Commission, the European Central Bank or Union bodies is strictly necessary to fulfil the purpose for which the data has been requested, confidentiality of such disclosure should be guaranteed prior to the disclosure of data.

74. Bei der Weiterverwendung von Daten, die von Dateninhabern bereitgestellt werden, sollten öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Einrichtungen der Union sowohl geltendes Unionsrecht oder nationales Recht als auch die vertraglichen Pflichten des Dateninhabers einhalten. Sie sollten sowohl davon absehen, ein vernetztes Produkt oder einen verbundenen Dienst zu entwickeln oder zu verbessern, das/die mit dem vernetzten Produkt oder des verbundenen Dienstes des Dateninhabers im Wettbewerb steht, als auch davon, die Daten zu diesen Zwecken an Dritte weiterzugeben. Außerdem sollten sie einen Dateninhaber auf dessen Ersuchen hin öffentlich anerkennen und für die Gewährleistung der Sicherheit der erhaltenen Daten verantwortlich sein. Ist die Offenlegung von Geschäftsgeheimnissen des Dateninhabers gegenüber öffentlichen Stellen, der Kommission, der Europäischen Zentralbank oder Einrichtungen der Union unbedingt erforderlich, um den Zweck zu erfüllen, für den die Daten verlangt wurden, so sollte dem Dateninhaber die Vertraulichkeit dieser Daten vor deren Offenlegung zugesichert werden.

75. When the safeguarding of a significant public good is at stake, such as responding to public emergencies, the public sector body, the Commission, the European Central Bank or the Union body concerned should not be expected to compensate enterprises for the data obtained. Public emergencies are rare events and not all such emergencies require the use of data held by enterprises. At the same time, the obligation to provide data might constitute a considerable burden on microenterprises and small enterprises. They should therefore be allowed to claim compensation even in the context of a public emergency response. The business activities of the data holders are therefore not likely to be negatively affected as a consequence of the public sector bodies, the Commission, the European Central Bank or Union bodies having recourse to this Regulation. However, as cases of an exceptional need, other than cases of responding to public emergencies, might be more frequent, data holders should in such cases be entitled to a reasonable compensation which should not exceed the technical and organisational costs incurred in complying with the request and the reasonable margin required for making the data available to the public sector body, the Commission, the European Central Bank or the Union body. The compensation should not be understood as constituting payment for the data itself or as being compulsory. Data holders should not be able to claim compensation where national law prevents national statistical institutes or other national authorities responsible for the production of statistics from compensating data holders for making data available. The public sector body, the Commission, the European Central Bank or the Union body concerned should be able to challenge the level of compensation requested by the data holder by bringing the matter to the competent authority of the Member State where the data holder is established.

75. Wenn es um den Schutz eines bedeutenden öffentlichen Gutes geht, wie etwa die Bewältigung öffentlicher Notstände, sollte von der öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder der betreffenden Einrichtung der Union nicht erwartet werden, dass sie den Unternehmen für die erlangten Daten eine Gegenleistung gewähren. Öffentliche Notstände sind seltene Ereignisse, und nicht alle derartigen Notstände erfordern die Nutzung von Daten, die von Unternehmen gehalten werden. Gleichzeitig könnte die Verpflichtung zur Bereitstellung von Daten für Kleinstunternehmen und Kleinunternehmen eine erhebliche Belastung darstellen. Diese Unternehmen sollten daher selbst im Kontext öffentlicher Notstandsmaßnahmen eine Gegenleistung verlangen können. Es ist nicht wahrscheinlich, dass die Geschäftstätigkeit der Dateninhaber durch die Inanspruchnahme dieser Verordnung durch öffentliche Stellen, die Kommission, die Europäische Zentralbank oder Einrichtungen der Union beeinträchtigt wird. Da Fälle einer außergewöhnlichen Notwendigkeit, bei denen es sich nicht um die Bewältigung eines öffentlichen Notstands handelt, jedoch unter Umständen häufiger sind, sollten Dateninhaber in diesen Fällen Anspruch auf eine angemessene Gegenleistung haben, die die mit der Erfüllung des Verlangens verbundenen technischen und organisatorischen Kosten nicht übersteigen sollte, sowie auf die angemessene Marge, die zur Bereitstellung der Daten für die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder die Einrichtung der Union erforderlich ist. Die Gegenleistung sollte nicht als Bezahlung für die Daten selbst und nicht als obligatorisch verstanden werden. Dateninhaber sollten keine Gegenleistung verlangen können, wenn die nationalen statistischen Ämter oder andere für die Erstellung von Statistiken zuständige nationale Behörden Dateninhabern aufgrund des nationalen Rechts keine Gegenleistung für die Bereitstellung von Daten gewähren dürfen. Die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder die betreffende Einrichtung der Union sollte in der Lage sein, die Höhe der vom Dateninhaber geforderten Gegenleistung anzufechten, indem sie die zuständige Behörde des Mitgliedstaats, in dem der Dateninhaber niedergelassen ist, mit der Angelegenheit befassen.

76. A public sector body, the Commission, the European Central Bank or a Union body should be entitled to share the data it has obtained pursuant to the request with other entities or persons when this is necessary to carry out scientific research activities or analytical activities it cannot perform itself, provided that those activities are compatible with the purpose for which the data was requested. It should inform the data holder of such sharing in a timely manner. Such data may also be shared under the same circumstances with the national statistical institutes and Eurostat for the development, production and dissemination of official statistics. Such research activities should, however, be compatible with the purpose for which the data was requested and the data holder should be informed about the further sharing of the data it has provided. Individuals conducting research or research organisations with whom those data may be shared should act either on a not-for-profit basis or in the context of a public-interest mission recognised by the State. Organisations upon which commercial undertakings have a significant influence, allowing such undertakings to exercise control due to structural situations which could result in preferential access to the results of the research, should not be considered to be research organisations for the purposes of this Regulation.

76. Die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union sollte befugt sein, die Daten, die sie aufgrund des Verlangens erlangt hat, an andere Stellen oder Personen weiterzugeben, wenn dies zur Durchführung wissenschaftlicher oder analytischer Tätigkeiten erforderlich ist, die sie nicht selbst durchführen kann, sofern diese Tätigkeiten mit dem Zweck des Datenverlangens vereinbar sind. Sie sollte den Dateninhaber rechtzeitig über eine solche Weitergabe unterrichten. Die Daten können unter den gleichen Umständen auch zur Entwicklung, Erstellung und Verteilung amtlicher Statistiken an die nationalen statistischen Ämter und Eurostat weitergegeben werden. Die betreffenden Forschungstätigkeiten sollten jedoch mit dem Zweck des Datenverlangens vereinbar sein, und der Dateninhaber sollte über die Weitergabe der von ihm bereitgestellten Daten informiert werden. Einzelpersonen, die Forschung betreiben, oder Forschungsorganisationen, an die diese Daten weitergegeben werden können, sollten entweder gemeinnützig sein oder in staatlich anerkanntem Auftrag im öffentlichen Interesse handeln. Organisationen sollten für die Zwecke dieser Verordnung nicht als Forschungsorganisationen gelten, wenn sie in erheblichem Maße dem Einfluss gewerblicher Unternehmen unterliegen, die aufgrund der strukturellen Gegebenheiten Kontrolle ausüben können und dadurch einen bevorzugten Zugang zu den Forschungsergebnissen erhalten könnten.

77. In order to handle a cross-border public emergency or another exceptional need, data requests may be addressed to data holders in Member States other than that of the requesting public sector body. In such a case, the requesting public sector body should notify the competent authority of the Member State where the data holder is established in order to allow it to examine the request against the criteria established in this Regulation. The same should apply to requests made by the Commission, the European Central Bank or a Union body. Where personal data are requested, the public sector body should notify the supervisory authority responsible for monitoring the application of Regulation (EU) 2016/679 in the Member State where the public sector body is established. The competent authority concerned should be entitled to advise the public sector body, the Commission, the European Central Bank or the Union body to cooperate with the public sector bodies of the Member State in which the data holder is established on the need to ensure a minimised administrative burden on the data holder. When the competent authority has substantiated objections as regards the compliance of the request with this Regulation, it should reject the request of the public sector body, the Commission, the European Central Bank or the Union body, which should take those objections into account before taking any further action, including resubmitting the request.

77. Zur Bewältigung eines grenzüberschreitenden öffentlichen Notstands oder einer anderen außergewöhnlichen Notwendigkeit können Datenverlangen an Dateninhaber in anderen Mitgliedstaaten als dem der anfragenden öffentlichen Stelle gerichtet werden. In diesem Fall sollte die anfragende öffentliche Stelle die zuständige Behörde des Mitgliedstaats unterrichten, in dem der Dateninhaber niedergelassen ist, damit diese das Verlangen anhand der in der vorliegenden Verordnung festgelegten Kriterien prüfen kann. Dies sollte auch für Verlangen der Kommission, der Europäischen Zentralbank oder einer Einrichtung der Union gelten. Falls personenbezogene Daten verlangt werden, sollte die öffentliche Stelle die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständige Aufsichtsbehörde in dem Mitgliedstaat, in dem die öffentliche Stelle niedergelassen ist, informieren. Die betreffende zuständige Behörde sollte befugt sein, die öffentliche Stelle, die Kommission, die Europäische Zentralbank oder die Einrichtung der Union darauf hinzuweisen, dass sie mit den öffentlichen Stellen des Mitgliedstaats zusammenarbeiten muss, in dem der Dateninhaber niedergelassen ist, um den Verwaltungsaufwand für den Dateninhaber zu minimieren. Hat die zuständige Behörde hinsichtlich der Vereinbarkeit des Verlangens mit dieser Verordnung triftige Einwände, so sollte sie das Verlangen der öffentlichen Stelle, der Kommission, der Europäischen Zentralbank oder der Einrichtung der Union ablehnen, die diesen Einwänden ihrerseits Rechnung tragen sollte, bevor sie weitere Maßnahmen – einschließlich der erneuten Einreichung des Verlangens – ergreift.

78. The ability of customers of data processing services, including cloud and edge services, to switch from one data processing service to another while maintaining a minimum functionality of service and without downtime of services, or to use the services of several providers simultaneously without undue obstacles and data transfer costs, is a key condition for a more competitive market with lower entry barriers for new providers of data processing services, and for ensuring further resilience for the users of those services. Customers benefiting from free-tier offerings should also benefit from the provisions for switching that are laid down in this Regulation, so that those offerings do not result in a lock-in situation for customers.

78. Die Fähigkeit der Kunden von Datenverarbeitungsdiensten, einschließlich Cloud- und Edge-Diensten, von einem Datenverarbeitungsdienst unter Wahrung eines Mindestumfangs von Dienstfunktionen – und ohne dass es zu Ausfallzeiten kommt – zu einem anderen zu wechseln oder ohne unangemessene Erschwernisse und Datenübertragungskosten Dienste mehrerer Anbieter zu nutzen, ist eine wesentliche Voraussetzung für einen stärker wettbewerbsorientierten Markt mit geringeren Marktzutrittsschranken für neue Anbieter von Datenverarbeitungsdiensten sowie für die Sicherstellung einer besseren Resilienz der Nutzer dieser Dienste. Kunden, die von unentgeltlichen Angeboten profitieren, sollten auch von den in dieser Verordnung festgelegten Bestimmungen für den Wechsel profitieren, damit diese Angebote nicht zu einer Abhängigkeitssituation für die Kunden führen.

79. Regulation (EU) 2018/1807 of the European Parliament and of the Council (30) encourages providers of data processing services to develop and effectively implement self-regulatory codes of conduct covering best practices for, inter alia, facilitating the switching of providers of data processing services and the porting of data. Given the limited uptake of the self-regulatory frameworks developed in response, and the general unavailability of open standards and interfaces, it is necessary to adopt a set of minimum regulatory obligations for providers of data processing services to eliminate pre-commercial, commercial, technical, contractual and organisational obstacles, which are not limited to reduced speed of data transfer at the customer’s exit, which hamper effective switching between data processing services.

79. Mit der Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates (30) werden Anbieter von Datenverarbeitungsdiensten angehalten, Verhaltensregeln für die Selbstregulierung zu entwickeln und wirksam umzusetzen, die bewährte Verfahren umfassen, unter anderem zur Erleichterung des Wechsels des Anbieters von Datenverarbeitungsdiensten und der Übertragung von Daten. Da die Verbreitung daraufhin entwickelter Selbstregulierungsrahmen zurückhaltend ausfiel und es generell an offenen Standards und Schnittstellen mangelt, muss für Anbieter von Datenverarbeitungsdiensten eine Reihe regulatorischer Mindestverpflichtungen festgelegt werden, um jene vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse auszuräumen, die im Fall eines Anbieterwechsels des Kunden nicht nur zu einer geminderten Datenübertragungsgeschwindigkeit führen, sondern den effektiven Vollzug des Wechsels zwischen Datenverarbeitungsdiensten verhindern.

80. data processing services should cover services that allow ubiquitous and on-demand network access to a configurable, scalable and elastic shared pool of distributed computing resources. Those computing resources include resources such as networks, servers or other virtual or physical infrastructure, software, including software development tools, storage, applications and services. The capability of the customer of the data processing service to unilaterally self-provision computing capabilities, such as server time or network storage, without any human interaction by the provider of data processing services could be described as requiring minimal management effort and as entailing minimal interaction between provider and customer. The term ‘ubiquitous’ is used to describe the computing capabilities provided over the network and accessed through mechanisms promoting the use of heterogeneous thin or thick client platforms (from web browsers to mobile devices and workstations). The term ‘scalable’ refers to computing resources that are flexibly allocated by the provider of data processing services, irrespective of the geographical location of the resources, in order to handle fluctuations in demand. The term ‘elastic’ is used to describe those computing resources that are provisioned and released according to demand in order to rapidly increase or decrease resources available depending on workload. The term ‘shared pool’ is used to describe those computing resources that are provided to multiple users who share a common access to the service, but where the processing is carried out separately for each user, although the service is provided from the same electronic equipment. The term ‘distributed’ is used to describe those computing resources that are located on different networked computers or devices and which communicate and coordinate among themselves by message passing. The term ‘highly distributed’ is used to describe data processing services that involve data processing closer to where data are being generated or collected, for instance in a connected data processing device. Edge computing, which is a form of such highly distributed data processing, is expected to generate new business models and cloud service delivery models, which should be open and interoperable from the outset.

80. Datenverarbeitungsdienste sollten Dienste umfassen, die den ortsunabhängigen und bedarfsgesteuerten Netzzugang zu einem konfigurierbaren, skalierbaren und elastischen gemeinsam genutzten Pool verteilter Ressourcen ermöglichen. Zu diesen Rechenressourcen zählen Ressourcen wie etwa Netze, Server oder sonstige virtuelle oder physische Infrastrukturen, Software – einschließlich Tools zur Entwicklung von Software –, Speicher, Anwendungen und Dienste. Dass sich Kunden von Datenverarbeitungsdiensten selbst, ohne Interaktion mit dem Anbieter von Datenverarbeitungsdiensten Rechenkapazitäten wie Serverzeit oder Netzwerkspeicherplatz zuweisen können, könnte als minimaler Verwaltungsaufwand und minimale Interaktion zwischen Anbieter und Kunde beschrieben werden. Der Begriff „ortsunabhängig“ wird verwendet, um zu beschreiben, dass die Bereitstellung der Rechenkapazitäten über das Netz und der Zugang zu ihnen über Mechanismen erfolgt, die den Einsatz heterogener Thin- oder Thick-Client-Plattformen (von Webbrowsern bis hin zu mobilen Geräten und Arbeitsplatzrechnern) fördern. Der Begriff „skalierbar“ bezeichnet Rechenressourcen, die unabhängig von ihrem geografischen Standort vom Anbieter von Datenverarbeitungsdiensten flexibel zugewiesen werden, um Nachfrageschwankungen auszugleichen. Der Begriff „elastisch “ dient zur Beschreibung der Rechenressourcen, die entsprechend der Nachfrage bereitgestellt und freigegeben werden, um je nach Arbeitsaufkommen zügig verfügbare Ressourcen auf- bzw. abbauen zu können. Der Begriff „gemeinsam genutzter Pool“ dient zur Beschreibung der Rechenressourcen, die mehreren Nutzern bereitgestellt werden, die über einen gemeinsamen Zugang auf den Dienst zugreifen, wobei die Verarbeitung jedoch für jeden Nutzer getrennt erfolgt, obwohl der Dienst über dieselbe elektronische Ausrüstung erbracht wird. Der Begriff „verteilt“ dient zur Beschreibung der Rechenressourcen, die sich auf verschiedenen vernetzten Computern oder Geräten befinden und die untereinander durch Nachrichtenaustausch kommunizieren und sich koordinieren. Der Begriff „hochgradig verteilt“ dient zur Beschreibung der Datenverarbeitungsdienste, bei denen Daten näher an dem Ort verarbeitet werden, an dem sie generiert oder erhoben werden, z. B. in einem vernetzten Datenverarbeitungsgerät. Edge-Computing, eine Form dieser hochgradig verteilten Datenverarbeitung, dürfte neue Geschäftsmodelle und Cloud-Dienste hervorbringen, die von Anfang an offen und interoperabel sein sollten.

81. The generic concept ‘data processing services’ covers a substantial number of services with a very broad range of different purposes, functionalities and technical set-ups. As commonly understood by providers and users and in line with broadly used standards, data processing services fall into one or more of the following three data processing service delivery models, namely Infrastructure as a Service (IaaS), Platform as a service (PaaS) and Software as a Service (SaaS). Those service delivery models represent a specific, pre-packaged combination of ICT resources offered by a provider of data processing service. Those three fundamental data processing delivery models are further complemented by emerging variations, each comprised of a distinct combination of ICT resources, such as Storage as a Service and Database as a Service. Data processing services can be categorised in a more granular way and divided into a non-exhaustive list of sets of data processing services that share the same primary objective and main functionalities as well as the same type of data processing models, that are not related to the service’s operational characteristics (same service type). Services falling under the same service type may share the same data processing service model, however, two databases might appear to share the same primary objective, but after considering their data processing model, distribution model and the use cases that they are targeted at, such databases could fall into a more granular subcategory of similar services. Services of the same service type may have different and competing characteristics such as performance, security, resilience, and quality of service.

81. Der generische Begriff „Datenverarbeitungsdienste“ umfasst eine beträchtliche Zahl von Diensten mit einer sehr großen Bandbreite an unterschiedlichen Anwendungszwecken, Funktionen und technischen Strukturen. Nach allgemeinem Verständnis von Anbietern und Nutzern und im Einklang mit weit verbreiteten Standards fallen Datenverarbeitungsdienste unter eines oder mehrere der folgenden drei Modelle für die Bereitstellung von Datenverarbeitungsdiensten, nämlich „Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service“ (PaaS) und „Software-as-a-Service“ (SaaS). Bei diesen Modellen für die Bereitstellung von Diensten handelt es sich um eine spezifische, vorgefertigte Kombination von IKT-Ressourcen, die von einem Anbieter von Datenverarbeitungsdiensten angeboten wird. Diese drei grundlegenden Bereitstellungsmodelle für Datenverarbeitungsdienste werden weiter durch neue Variationen ergänzt, die jeweils eine ganz bestimmte Kombination von IKT-Ressourcen aufweisen, wie z. B. „Storage-as-a-Service“ und „Database-as-a-Service“. Datenverarbeitungsdienste können detaillierter kategorisiert und in eine nicht erschöpfende Liste von Datenverarbeitungsdiensten unterteilt werden, die dasselbe Hauptziel und dieselben Hauptfunktionen sowie dieselbe Art von Datenverarbeitungsmodellen haben, die nicht mit den operativen Merkmalen des Dienstes (gleiche Dienstart) in Zusammenhang stehen. Dienste, die der gleichen Dienstart angehören, können zwar dasselbe Modell für die Bereitstellung von Datenverarbeitungsdiensten aufweisen, doch während zwei Datenbanken dem Anschein nach dasselbe Hauptziel haben können, könnten sie nach Berücksichtigung ihres Datenverarbeitungsmodells, ihres Vertriebsmodells und der Anwendungsfälle, auf die sie ausgerichtet sind, in eine detailliertere Unterkategorie vergleichbarer Dienste fallen. Dienste der gleichen Dienstart können unterschiedliche und konkurrierende Merkmale wie Leistung, Sicherheit, Robustheit und Qualität des Dienstes aufweisen.

82. Undermining the extraction of the exportable data that belongs to the customer from the source provider of data processing services can impede the restoration of the service functionalities in the infrastructure of the destination provider of data processing services. In order to facilitate the customer’s exit strategy, avoid unnecessary and burdensome tasks and to ensure that the customer does not lose any of their data as a consequence of the switching process, the source provider of data processing services should inform the customer in advance of the scope of the data that can be exported once that customer decides to switch to a different service provided by a different provider of data processing services or to move to an on-premises ICT infrastructure. The scope of exportable data should include, at a minimum, input and output data, including metadata, directly or indirectly generated, or cogenerated, by the customer’s use of the data processing service, excluding any assets or data of the provider of data processing services or a third party. The exportable data should exclude any assets or data of the provider of data processing services or of the third party that are protected by intellectual property rights or constituting trade secrets of that provider or of that third party, or data related to the integrity and security of the service, the export of which will expose the providers of data processing services to cybersecurity vulnerabilities. Those exemptions should not impede or delay the switching process.

82. Wenn der ursprüngliche Anbieter von Datenverarbeitungsdiensten die Extraktion der dem Kunden gehörenden exportierbaren Daten behindert, kann das die Wiederherstellung der Dienstfunktionen in der Infrastruktur des übernehmenden Anbieters von Datenverarbeitungsdiensten behindern. Um die Ausstiegsstrategie des Kunden zu erleichtern, unnötige und aufwändige Aufgaben zu vermeiden und sicherzustellen, dass der Kunde keine seiner Daten durch den Vollzug des Wechsels verliert, sollte der ursprüngliche Anbieter von Datenverarbeitungsdiensten den Kunden im Voraus über den Umfang der Daten unterrichten, die exportiert werden können, sobald dieser Kunde beschließt, zu einem anderen Dienst, der von einem anderen Anbieter von Datenverarbeitungsdiensten angeboten wird, oder zu einer IKT-Infrastruktur in eigenen Räumlichkeiten zu wechseln. Der Begriff „exportierbare Daten“ sollte zumindest die Eingabe- und Ausgabedaten – einschließlich Metadaten –, die durch die Nutzung des Datenverarbeitungsdienstes durch den Kunden unmittelbar oder mittelbar generiert oder gemeinsam generiert werden, umfassen, mit Ausnahme der Vermögenswerte oder Daten von dem Anbieter von Datenverarbeitungsdiensten oder von einem Dritten. Vermögenswerte oder Daten von dem Anbieter von Datenverarbeitungsdiensten oder von einem Dritten, die durch Rechte des geistigen Eigentums geschützt sind oder Geschäftsgeheimnisse dieses Anbieters oder Dritten darstellen, oder Daten im Zusammenhang mit der Integrität und Sicherheit des Dienstes, bei denen der Anbieter von Datenverarbeitungsdiensten im Falle eines Exports Cybersicherheitsrisiken ausgesetzt ist, sollten von den exportierbaren Daten ausgenommen sein. Diese Ausnahmen sollten den Vollzug des Wechsels weder behindern noch verzögern.

83. Digital assets refer to elements in digital form for which the customer has the right of use, including applications and metadata related to the configuration of settings, security, and access and control rights management, and other elements such as manifestations of virtualisation technologies, including virtual machines and containers. digital assets can be transferred where the customer has the right of use independent of the contractual relationship with the data processing service it intends to switch from. Those other elements are essential for the effective use of the customer’s data and applications in the environment of the destination provider of data processing services.

83. Digitale Vermögenswerte beziehen sich auf Elemente in digitaler Form, für die der Kunde das Nutzungsrecht hat, einschließlich Anwendungen und Metadaten im Zusammenhang mit der Konfiguration von Einstellungen, der Sicherheit und der Verwaltung von Zugangs- und Kontrollrechten, sowie andere Elemente wie Darstellungen von Virtualisierungstechnologien, einschließlich virtueller Maschinen und Container. Digitale Vermögenswerte können übertragen werden, sofern der Kunde ein Nutzungsrecht hat, das unabhängig von der vertraglichen Beziehung mit dem Datenverarbeitungsdienst, den er wechseln möchte, besteht. Die vorstehend genannten anderen Elemente sind die Voraussetzung dafür, dass der Kunde seine Daten und Anwendungen im Umfeld des übernehmenden Anbieters von Datenverarbeitungsdiensten effektiv nutzen kann.

84. This Regulation aims to facilitate switching between data processing services, which encompasses conditions and actions that are necessary for a customer to terminate a contract for a data processing service, to conclude one or more new contracts with different providers of data processing services, to port its exportable data and digital assets, and where applicable, benefit from functional equivalence.

84. Ziel dieser Verordnung ist es, den Wechsel zwischen Datenverarbeitungsdiensten zu erleichtern, wozu die Bedingungen und Maßnahmen gehören, die notwendig sind, damit ein Kunde in der Lage ist, einen Vertrag für einen Datenverarbeitungsdienst zu kündigen, einen oder mehrere neue Verträge mit verschiedenen Anbietern von Datenverarbeitungsdiensten zu schließen, seine exportierbaren Daten und digitalen Vermögenswerte zu übertragen und gegebenenfalls von Funktionsäquivalenz zu profitieren.

85. Switching is a customer-driven operation consisting of several steps, including data extraction, which refers to the downloading of data from the ecosystem of the source provider of data processing services; transformation, where the data is structured in a way that does not match the schema of the target location; and the uploading of the data in a new destination location. In a specific situation outlined in this Regulation, unbundling of a particular service from the contract and moving it to a different provider should also be considered to be switching. The switching process is sometimes managed on behalf of the customer by a third-party entity. Accordingly, all rights and obligations of the customer established by this Regulation, including the obligation to cooperate in good faith, should be understood to apply to such a third-party entity in those circumstances. Providers of data processing services and customers have different levels of responsibilities, depending on the steps of the process referred to. For instance, the source provider of data processing services is responsible for extracting the data to a machine-readable format, but it is the customer and the destination provider of data processing services who are to upload the data to the new environment, unless a specific professional transition service has been obtained. A customer who intends to exercise rights related to switching, which are provided for in this Regulation, should inform the source provider of data processing services of the decision to either switch to a different provider of data processing services, switch to an on-premises ICT infrastructure or to delete that customer’s assets and erase its exportable data.

85. Der Wechsel ist ein Vorgang, der vom Kunden ausgeht und aus mehreren Schritten – einschließlich Datenextraktion – besteht, was das Herunterladen der Daten aus dem Ökosystem des ursprünglichen Anbieters von Datenverarbeitungsdiensten bezeichnet, die Umwandlung der Daten, wenn diese so strukturiert sind, dass sie nicht in das Schema des Zielspeicherorts passen, sowie das Hochladen der Daten in einen neuen Zielspeicherort. In bestimmten, in dieser Verordnung beschriebenen Situationen sollte es auch als Wechsel gelten, wenn ein bestimmter Dienst aus dem Vertrag herausgelöst und zu einem anderen Anbieter verlegt wird. Der Wechsel wird manchmal von einem Dritten im Namen des Kunden vollzogen. Dementsprechend sollten alle in dieser Verordnung festgelegten Rechte und Pflichten des Kunden, einschließlich der Verpflichtung, nach Treu und Glauben zusammenzuarbeiten, so verstanden werden, dass sie unter diesen Umständen auch für den betreffenden Dritten gelten. Anbieter von Datenverarbeitungsdiensten und Kunden tragen in Abhängigkeit vom Verfahrensschritt ein unterschiedliches Maß an Verantwortung. So ist beispielsweise der ursprüngliche Anbieter von Datenverarbeitungsdiensten dafür verantwortlich, die Daten in ein maschinenlesbares Format zu extrahieren, während der Kunde und der übernehmende Anbieter von Datenverarbeitungsdiensten die Daten in die neue Umgebung hochladen müssen, sofern kein spezieller professioneller Übergangsdienst in Anspruch genommen wird. Ein Kunde, der beabsichtigt, die in dieser Verordnung vorgesehenen Rechte im Zusammenhang mit dem Wechsel auszuüben, sollte den ursprünglichen Anbieter von Datenverarbeitungsdiensten von der Entscheidung, entweder zu einem anderen Anbieter von Datenverarbeitungsdiensten oder zu einer IKT-Infrastruktur in eigenen Räumlichkeiten zu wechseln oder die Vermögenswerte und exportierbaren Daten des Kunden zu löschen, in Kenntnis setzen.

86. Functional equivalence means re-establishing, on the basis of the customer’s exportable data and digital assets, a minimum level of functionality in the environment of a new data processing service of the same service type after switching, where the destination data processing service delivers a materially comparable outcome in response to the same input for shared features supplied to the customer under the contract. Providers of data processing services can only be expected to facilitate functional equivalence for the features that both the source and destination data processing services offer independently. This Regulation does not constitute an obligation to facilitate functional equivalence for providers of data processing services other than those offering services of the IaaS delivery model.

86. Funktionsäquivalenz bedeutet, dass nach einem Wechsel ein Mindestfunktionsumfang auf der Grundlage der exportierbaren Daten und digitalen Vermögenswerte des Kunden in der Umgebung des neuen Datenverarbeitungsdienstes der gleichen Dienstart wiederhergestellt wird, wobei der übernehmende Datenverarbeitungsdienst bei gemeinsam genutzten Funktionen, die dem Kunden im Rahmen des Vertrags bereitgestellt werden, ein im Wesentlichen vergleichbares Ergebnis liefert. Von Anbietern von Datenverarbeitungsdiensten kann nur erwartet werden, dass sie die Funktionsäquivalenz in Bezug auf die Funktionen ermöglichen, die sowohl vom ursprünglichen als auch vom übernehmenden Datenverarbeitungsdienst unabhängig voneinander angeboten werden. Anbieter von Datenverarbeitungsdiensten sind nach der vorliegenden Verordnung nur zur Erleichterung der Funktionsäquivalenz verpflichtet, wenn sie Dienste des Bereitstellungsmodells IaaS anbieten.

87. Data processing services are used across sectors and vary in complexity and service type. This is an important consideration with regard to the porting process and timeframes. Nonetheless, an extension of the transitional period on the grounds of technical unfeasibility to allow the finalisation of the switching process in the given timeframe should be invoked only in duly justified cases. The burden of proof in that regard should fall fully on the provider of the data processing service concerned. This is without prejudice to the exclusive right of the customer to extend the transitional period once for a period that the customer considers to be more appropriate for its own purposes. The customer may evoke that right to an extension prior to or during the transitional period, taking into account that the contract remains applicable during the transitional period.

87. Datenverarbeitungsdienste werden in verschiedenen Bereichen verwendet und weisen hinsichtlich ihrer Komplexität und der Dienstart Unterschiede auf. Dies ist insbesondere mit Blick auf den Übertragungsvorgang und den entsprechenden Zeitrahmen zu berücksichtigen. Eine Verlängerung des Übergangszeitraums geltend zu machen, wenn der Wechsel aus technischen Gründen nicht in der vorgesehenen Zeit abgeschlossen werden kann, sollte aber dessen ungeachtet nur in hinreichend begründeten Fällen geltend gemacht werden können. Die Beweislast sollte in dieser Hinsicht vollständig beim Anbieter des betreffenden Datenverarbeitungsdienstes liegen. Dies gilt unbeschadet des ausschließlichen Rechts des Kunden, den Übergangszeitraum einmal um einen Zeitraum zu verlängern, der seines Erachtens seinen eigenen Zwecken besser entspricht. Der Kunde kann sich vor oder während des Übergangszeitraums auf dieses Recht auf Verlängerung berufen, wobei zu berücksichtigen ist, dass der Vertrag während des Übergangszeitraums weiterhin gilt.

88. Switching charges are charges imposed by providers of data processing services on the customers for the switching process. Typically, those charges are intended to pass on costs which the source provider of data processing services may incur because of the switching process to the customer who wishes to switch. Common examples of switching charges are costs related to the transit of data from one provider of data processing services to another or to an on-premises ICT infrastructure (data egress charges) or the costs incurred for specific support actions during the switching process. Unnecessarily high data egress charges and other unjustified charges unrelated to actual switching costs inhibit customers from switching, restrict the free flow of data, have the potential to limit competition and cause lock-in effects for the customers by reducing incentives to choose a different or additional service provider. switching charges should therefore be abolished after three years from the date of entry into force of this Regulation. Providers of data processing services should be able to impose reduced switching charges up to that date.

88. Wechselentgelte sind Entgelte, die Anbieter von Datenverarbeitungsdiensten bei ihren Kunden für den Vollzug des Wechsels erheben. Üblicherweise sollen mit diesen Entgelten die Kosten, die dem ursprünglichen Anbieter von Datenverarbeitungsdiensten durch den Wechsel entstehen können, an den Kunden, der den Wechsel wünscht, weitergegeben werden. Gängige Beispiele für Wechselentgelte sind mit der Datenübertragung von einem Anbieter von Datenverarbeitungsdiensten zu einem anderen oder von einem Anbieter zu einer IKT-Infrastruktur in den eigenen Räumlichkeiten verbundene Kosten („Datenextraktionsentgelte“) oder durch spezifische Unterstützungstätigkeiten während des Vollzugs des Wechsels anfallende Kosten. Unangemessen hohe Datenextraktionsentgelte und andere ungerechtfertigte Entgelte, die in keinem Zusammenhang mit den tatsächlichen Kosten des Wechsels stehen, behindern Anbieterwechsel seitens des Kunden, schränken den freien Datenfluss ein, können den Wettbewerb einschränken und zu Abhängigkeitsverhältnissen des Kunden in Bezug auf einen bestimmten Dienst führen, da Anreize, sich für einen anderen oder weiteren Diensteanbieter zu entscheiden, verringert werden. Daher sollten Wechselentgelte nach drei Jahren nach dem Tag des Inkrafttretens dieser Verordnung abgeschafft werden. Anbieter von Datenverarbeitungsdiensten sollten bis zu diesem Zeitpunkt ermäßigte Wechselentgelte erheben können.

89. A source provider of data processing services should be able to outsource certain tasks and compensate third-party entities in order to comply with the obligations provided for in this Regulation. A customer should not bear the costs arising from the outsourcing of services concluded by the source provider of data processing services during the switching process and such costs should be considered to be unjustified unless they cover work undertaken by the provider of data processing services at the customer’s request for additional support in the switching process which goes beyond the switching obligations of the provider as expressly provided for in this Regulation. Nothing in this Regulation prevents a customer from compensating third-party entities for support in the migration process or parties from agreeing on contracts for data processing services of a fixed duration, including proportionate early termination penalties to cover the early termination of such contracts, in accordance with Union or national law. In order to foster competition, the gradual withdrawal of the charges associated with switching between different providers of data processing services should specifically include data egress charges imposed by a provider of data processing services on a customer. Standard service fees for the provision of the data processing services themselves are not switching charges. Those standard service fees are not subject to withdrawal and remain applicable until the contract for the provision of the relevant services ceases to apply. This Regulation allows the customer to request the provision of additional services that go beyond the provider’s switching obligations under this Regulation. Those additional services, can be performed and charged for by the provider when they are performed at the customer’s request and the customer agrees to the price of those services in advance.

89. Der ursprüngliche Anbieter von Datenverarbeitungsdiensten sollte bestimmte Aufgaben auslagern und Dritten für die Erfüllung der in dieser Verordnung festgelegten Verpflichtungen eine Gegenleistung erbringen können. Die Kosten für die vom ursprünglichen Anbieter von Datenverarbeitungsdiensten beschlossene Auslagerung von Diensten während des Vollzugs des Wechsels sollte nicht der Kunde tragen, und diese Kosten sollten als ungerechtfertigt gelten, es sei denn, sie decken Leistungen, die der Anbieter von Datenverarbeitungsdiensten auf Bitte des Kunden um zusätzliche Unterstützung beim Wechsel hin erbringt, die über die in dieser Verordnung ausdrücklich festgelegten Pflichten des Anbieters beim Wechsel hinausgehen. Diese Verordnung hindert Kunden nicht daran, Dritten für die Unterstützung im Migrationsprozess eine Gegenleistung zu erbringen, bzw. sie hindert Parteien nicht daran, im Einklang mit dem Unionsrecht oder dem nationalen Recht Verträge über Datenverarbeitungsdienste mit fester Laufzeit zu vereinbaren, einschließlich verhältnismäßiger Sanktionen für die vorzeitige Kündigung dieser Verträge. Zur Förderung des Wettbewerbs sollte die schrittweise Abschaffung der mit dem Wechsel von Datenverarbeitungsdiensten verbundenen Entgelte insbesondere die Abschaffung der Datenextraktionsentgelte umfassen, die von einem Anbieter von Datenverarbeitungsdiensten beim Kunden erhoben werden. Standarddienstentgelte für die Erbringung der Datenverarbeitungsdienste selbst sind keine Wechselentgelte. Diese Standarddienstentgelte sind nicht widerrufsfähig und gelten, bis der Vertrag über die Erbringung des betreffenden Dienstes nicht mehr gilt. Kunden können nach dieser Verordnung die Erbringung zusätzlicher Dienste verlangen, die über die nach dieser Verordnung bestehenden Pflichten des Anbieters beim Wechsel hinausgehen. Diese zusätzlichen Dienste können vom Anbieter erbracht und in Rechnung gestellt werden, wenn sie auf Verlangen des Kunden erbracht werden und der Kunde dem Preis dieser Dienste im Voraus zustimmt.

90. An ambitious and innovation-inspiring regulatory approach to interoperability is needed to overcome vendor lock-in, which undermines competition and the development of new services. Interoperability between data processing services involves multiple interfaces and layers of infrastructure and software and is rarely confined to a binary test of being achievable or not. Instead, the building of such interoperability is subject to a cost-benefit analysis which is necessary to establish whether it is worthwhile to pursue reasonably predictable results. The ISO/IEC 19941:2017 is an important international standard constituting a reference for the achievement of the objectives of this Regulation, as it contains technical considerations clarifying the complexity of such a process.

90. Um einer Bindung an bestimmte Anbieter zu Lasten des Wettbewerbs und der Entwicklung neuer Dienste entgegenzuwirken, bedarf es eines ambitionierten und innovationsfördernden regulatorischen Konzepts für Interoperabilität. Die Interoperabilität zwischen Datenverarbeitungsdiensten erfordert mehrere Schnittstellen und Infrastrukturebenen sowie Software und beschränkt sich selten auf die einfache Frage, ob sie erreicht werden kann oder nicht. Der Aufbau der nötigen Interoperabilität ist vielmehr von einer Kosten-Nutzen-Analyse abhängig, mit der ermittelt wird, ob es sinnvoll ist, die vernunftgemäß vorhersehbaren Ergebnisse anzustreben. Die Norm ISO/IEC 19941:2017 ist eine wichtige internationale Norm, die einen wichtigen Bezugspunkt hinsichtlich der Verwirklichung der Ziele dieser Verordnung bildet, da sie technische Erwägungen zur Klärung der Komplexität eines solchen Verfahrens umfasst.

91. Where providers of data processing services are in turn customers of data processing services provided by a third-party provider, they will benefit from more effective switching themselves while simultaneously remaining bound by this Regulation’s obligations regarding their own service offerings.

91. Wenn Anbieter von Datenverarbeitungsdiensten ihrerseits Kunden von Datenverarbeitungsdiensten sind, die von einem Dritten erbracht werden, können sie selbst vom wirksameren Vollzug des Wechsels profitieren, während sie in Bezug auf eigene Dienstangebote weiter an die Pflichten nach dieser Verordnung gebunden bleiben.

92. Providers of data processing services should be required to offer all the assistance and support within their capacity, proportionate to their respective obligations, that is required to make the switching process to a service of a different provider of data processing services successful, effective and secure. This Regulation does not require providers of data processing services to develop new categories of data processing services, including within, or on the basis of, the ICT infrastructure of different providers of data processing services in order to guarantee functional equivalence in an environment other than their own systems. A source provider of data processing services does not have access to or insights into the environment of the destination provider of data processing services. Functional equivalence should not be understood to oblige the source provider of data processing services to rebuild the service in question within the infrastructure of the destination provider of data processing services. Instead, the source provider of data processing services should take all reasonable measures within its power to facilitate the process of achieving functional equivalence through the provision of capabilities, adequate information, documentation, technical support and, where appropriate, the necessary tools.

92. Anbieter von Datenverarbeitungsdiensten sollten verpflichtet sein, im Rahmen ihrer Fähigkeiten und in einem angemessenen Verhältnis zu ihren jeweiligen Verpflichtungen jede Hilfe und Unterstützung zu leisten, die erforderlich ist, um den Wechsel zum Dienst eines anderen Anbieters von Datenverarbeitungsdiensten erfolgreich, effektiv und sicher zu vollziehen. Diese Verordnung verpflichtet Anbieter von Datenverarbeitungsdiensten nicht dazu, neue Kategorien von Datenverarbeitungsdiensten, auch nicht innerhalb der IKT-Infrastruktur verschiedener Anbieter von Datenverarbeitungsdiensten oder auf deren Grundlage zu entwickeln, um die Funktionsäquivalenz in einer anderen als der eigenen Umgebung zu gewährleisten. Der ursprüngliche Anbieter von Datenverarbeitungsdiensten hat weder Zugang zur noch Einblick in die Umgebung des übernehmenden Anbieters von Datenverarbeitungsdiensten. Funktionsäquivalenz sollte also nicht dahingehend verstanden werden, dass sie den ursprünglichen Anbieter von Datenverarbeitungsdiensten zur Wiederherstellung des betreffenden Dienstes innerhalb der Infrastruktur des übernehmenden Anbieters von Datenverarbeitungsdiensten verpflichtet. Der ursprüngliche Anbieter von Datenverarbeitungsdiensten sollte vielmehr im Rahmen seiner Befugnisse alle ihm vernünftigerweise zur Verfügung stehenden Maßnahmen ergreifen, um die Verwirklichung der Funktionsäquivalenz zu ermöglichen, indem er Kapazitäten, angemessene Informationen, Dokumentation, technische Unterstützung und gegebenenfalls die erforderlichen Instrumente bereitstellt.

93. Providers of data processing services should also be required to remove existing obstacles and not impose new ones, including for customers wishing to switch to an on-premises ICT infrastructure. Obstacles can, inter alia, be of a pre-commercial, commercial, technical, contractual or organisational nature. Providers of data processing services should also be required to remove obstacles to unbundling a specific individual service from other data processing services provided under a contract and make the relevant service available for switching, in the absence of major and demonstrated technical obstacles that prevent such unbundling.

93. Anbieter von Datenverarbeitungsdiensten sollten zudem dazu verpflichtet werden, bestehende Hindernisse auszuräumen und keine neuen Hindernisse zu schaffen; dies gilt auch in Bezug auf Kunden, die zu einer IKT-Infrastruktur in eigenen Räumlichkeiten wechseln möchten. Hindernisse können unter anderem vorkommerzieller, gewerblicher, technischer, vertraglicher oder organisatorischer Art sein. Anbieter von Datenverarbeitungsdiensten sollten ferner dazu verpflichtet werden, Hindernisse für die Herauslösung eines bestimmten einzelnen Dienstes aus anderen, im Rahmen eines Vertrags erbrachten Datenverarbeitungsdiensten zu beseitigen und einen Wechsel für den betreffenden Dienst zu ermöglichen, wenn einer solchen Herauslösung keine größeren, nachweislichen technischen Hindernisse entgegenstehen.

94. Throughout the switching process, a high level of security should be maintained. This means that the source provider of data processing services should extend the level of security to which it committed for the service to all technical arrangements for which such provider is responsible during the switching process, such as network connections or physical devices. Existing rights relating to the termination of contracts, including those introduced by Regulation (EU) 2016/679 and Directive (EU) 2019/770 of the European Parliament and of the Council (31) should not be affected. This Regulation should not be understood to prevent a provider of data processing services from providing to customers new and improved services, features and functionalities or from competing with other providers of data processing services on that basis.

94. Während des gesamten Vollzugs des Wechsels sollte ein hohes Maß an Sicherheit gewahrt werden. Das bedeutet, dass der ursprüngliche Anbieter von Datenverarbeitungsdiensten das Sicherheitsniveau, zu dem er sich in Bezug auf den Dienst verpflichtet hat, auf alle technischen Modalitäten – wie Netzverbindungen oder physische Geräte – ausdehnen sollte, für die er während des Vollzugs des Wechsels verantwortlich ist. Bestehende Rechte im Zusammenhang mit der Kündigung von Verträgen, einschließlich derjenigen, die mit der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates (31) eingeführt wurden, sollten davon unberührt bleiben. Die vorliegende Verordnung darf nicht so verstanden werden, dass ein Anbieter von Datenverarbeitungsdiensten daran gehindert wird, Kunden neue und verbesserte Dienste, Merkmale und Funktionen anzubieten oder auf dieser Grundlage mit anderen Anbietern von Datenverarbeitungsdiensten in Wettbewerb zu treten.

95. The information to be provided by providers of data processing services to the customer could support the customer’s exit strategy. That information should include procedures for initiating switching from the data processing service; the machine-readable data formats to which the user’s data can be exported; the tools intended to export data, including open interfaces as well as information on compatibility with harmonised standards or common specifications based on open interoperability specifications; information on known technical restrictions and limitations that could have an impact on the switching process; and the estimated time necessary to complete the switching process.

95. Die Informationen, die Anbieter von Datenverarbeitungsdiensten Kunden bereitstellen müssen, könnten die Ausstiegsstrategie der Kunden unterstützen. Die Informationen sollten Folgendes umfassen: Verfahren für die Einleitung des Wechsels vom Datenverarbeitungsdienst, die maschinenlesbaren Datenformate, in die die Nutzerdaten exportiert werden können, die Instrumente für den Datenexport – einschließlich offener Schnittstellen – und Informationen zur Kompatibilität mit harmonisierten Normen oder gemeinsamen Spezifikationen auf der Grundlage offener Interoperabilitätsspezifikationen, Informationen über bekannte technische Beschränkungen und Einschränkungen, die sich auf den Vollzug des Wechsels auswirken könnten, und die geschätzte Zeit, die erforderlich ist, um den Wechsel zu vollziehen.

96. To facilitate interoperability and switching between data processing services, users and providers of data processing services should consider the use of implementation and compliance tools, in particular those published by the Commission in the form of an EU Cloud Rulebook and a Guidance on public procurement of data processing services. In particular, standard contractual clauses are beneficial because they increase confidence in data processing services, create a more balanced relationship between users and providers of data processing services and improve legal certainty with regard to the conditions that apply for switching to other data processing services. In that context, users and providers of data processing services should consider the use of standard contractual clauses or other self-regulatory compliance tools provided that they fully comply with this Regulation, developed by relevant bodies or expert groups established under Union law.

96. Um die Interoperabilität und den Wechsel zwischen Datenverarbeitungsdiensten zu erleichtern, sollten Nutzer und Anbieter von Datenverarbeitungsdiensten die Verwendung von Instrumenten für die Umsetzung und die Einhaltung der Vorschriften in Erwägung ziehen, vor allem derjenigen, die von der Kommission in Form eines EU-Regelwerks für die Cloud sowie eines Leitfadens für die Vergabe öffentlicher Aufträge für Datenverarbeitungsdiensten veröffentlicht wurden. Insbesondere Standardvertragsklauseln sind geeignet, da sie das Vertrauen in Datenverarbeitungsdienste stärken, ein ausgewogeneres Verhältnis zwischen Nutzern und Anbietern von Datenverarbeitungsdiensten schaffen und die Rechtssicherheit in Bezug auf die Bedingungen für den Wechsel zu anderen Datenverarbeitungsdiensten erhöhen. In diesem Zusammenhang sollten Nutzer und Anbieter von Datenverarbeitungsdiensten die Verwendung der Standardvertragsklauseln oder anderer Instrumente für die Einhaltung von Vorschriften durch Selbstregulierung – sofern diese den Anforderungen dieser Verordnung entsprechen –, in Erwägung ziehen, die von einschlägigen Gremien oder Sachverständigengruppen, die nach Unionsrecht eingerichtet wurden, ausgearbeitet wurden.

97. In order to facilitate switching between data processing services, all parties involved, including both source and destination providers of data processing services, should cooperate in good faith to make the switching process effective, enable the secure and timely transfer of necessary data in a commonly used, machine-readable format, and by means of open interfaces, while avoiding service disruptions and maintaining continuity of the service.

97. Um den Wechsel zwischen Datenverarbeitungsdiensten zu erleichtern, sollten alle beteiligten Parteien, einschließlich des ursprünglichen und des übernehmenden Anbieters von Datenverarbeitungsdiensten, nach Treu und Glauben zusammenarbeiten, um den Vollzug des Wechsels wirksam zu gestalten, und die sichere und fristgemäße Übertragung der erforderlichen Daten in einem gängigen, maschinenlesbaren Format über eine offene Schnittstelle zu ermöglichen und dabei die Dienstkontinuität zu wahren.

98. Data processing services which concern services of which the majority of main features has been custom-built to respond to the specific demands of an individual customer or where all components have been developed for the purposes of an individual customer should be exempted from some of the obligations applicable to data processing service switching. This should not include services which the provider of data processing services offers at a broad commercial scale via its service catalogue. It is among the obligations of the provider of data processing services to duly inform prospective customers of such services, prior to the conclusion of a contract, of the obligations laid down in this Regulation that do not apply to the relevant services. Nothing prevents the provider of data processing services from eventually deploying such services at scale, in which case that provider would have to comply with all obligations for switching laid down in this Regulation.

98. Datenverarbeitungsdienste für Dienste, bei denen die meisten Hauptmerkmale speziell auf konkrete Vorgaben eines einzelnen Kunden zugeschnitten sind oder bei denen alle Komponenten für die Zwecke eines einzelnen Kunden entwickelt wurden, sollten von einigen der für den Wechsel zwischen Datenverarbeitungsdiensten geltenden Verpflichtungen ausgenommen werden. Dienste, die der Anbieter von Datenverarbeitungsdiensten über seinen Dienstleistungskatalog im großen kommerziellen Maßstab anbietet, sollten nicht dazu gehören. Es gehört zu den Verpflichtungen des Anbieters von Datenverarbeitungsdiensten, potenzielle Kunden solcher Dienste vor Abschluss eines Vertrags ordnungsgemäß über diejenigen in dieser Verordnung festgelegten Verpflichtungen zu informieren, die nicht für die betreffenden Dienste gelten. Der Anbieter von Datenverarbeitungsdiensten ist nicht daran gehindert, solche Dienste letztlich in großem Maßstab einzuführen; in diesem Fall müsste er jedoch alle in dieser Verordnung festgelegten Verpflichtungen für den Wechsel erfüllen.

99. In line with the minimum requirement allowing switching between providers of data processing services, this Regulation also aims to improve interoperability for in-parallel use of multiple data processing services with complementary functionalities. This relates to situations in which customers do not terminate a contract to switch to a different provider of data processing services, but where multiple services of different providers are used in parallel, in an interoperable manner, to benefit from the complementary functionalities of the different services in the set-up of the customer’s system. However, it is recognised that the egress of data from one provider of data processing services to another in order to facilitate the in-parallel use of services can be an ongoing activity, in contrast with the one-off egress required as part of the switching process. Providers of data processing services should therefore continue to be able to impose data egress charges, not exceeding the costs incurred, for the purposes of in-parallel use after three years from the date of entry into force of this Regulation. This is important, inter alia, for the successful deployment of multi-cloud strategies, which allow customers to implement future-proof ICT strategies and which decrease dependence on individual providers of data processing services. Facilitating a multi-cloud approach for customers of data processing services can also contribute to increasing their digital operational resilience, as recognised for financial service institutions in Regulation (EU) 2022/2554 of the European Parliament and of the Council (32).

99. Im Einklang mit der Mindestanforderung, den Wechsel von Anbietern von Datenverarbeitungsdiensten zu ermöglichen, zielt diese Verordnung auch darauf ab, die Interoperabilität für die parallele Nutzung mehrerer Datenverarbeitungsdienste durch ergänzende Funktionen zu verbessern. Dies betrifft Situationen, in denen Kunden einen Vertrag im Hinblick auf den Wechsel zu einem anderen Anbieter von Datenverarbeitungsdiensten nicht kündigen, sondern mehrere Dienste verschiedener Anbieter parallel und interoperabel genutzt werden, um die ergänzenden Funktionen der verschiedenen Dienste in der Systemkonfiguration des Kunden nutzen zu können. Im Gegensatz zu der einmaligen Extraktion, die beim Vollzug eines Wechsels erforderlich ist, kann die Datenextraktion von einem zu einem anderen Anbieter von Datenverarbeitungsdiensten mit dem Ziel, die parallele Nutzung von Diensten zu erleichtern, jedoch bekanntlich ein fortlaufender Vorgang sein. Anbieter von Datenverarbeitungsdiensten sollten daher für die Datenextraktion zu Zwecken der parallelen Nutzung nach drei Jahren nach dem Tag des Inkrafttretens der vorliegenden Verordnung weiterhin Datenextraktionsentgelte erheben können, die die anfallenden Kosten nicht übersteigen. Dies ist unter anderem für die erfolgreiche Einführung von Multi-Cloud-Strategien wichtig, die es Kunden ermöglichen, zukunftssichere IT-Strategien umzusetzen, und die Abhängigkeit von einzelnen Anbietern von Datenverarbeitungsdiensten verringern. Durch die Erleichterung eines Multi-Cloud-Ansatzes für Kunden von Datenverarbeitungsdiensten kann außerdem – wie in der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates (32) in Bezug auf Anbieter von Finanzdienstleistungen festgestellt – dazu beigetragen werden, die Betriebsstabilität der digitalen Systeme der Kunden zu stärken.

100. Open interoperability specifications and standards developed in accordance with Annex II to Regulation (EU) No 1025/2012 of the European Parliament and of the Council (33) in the field of interoperability and portability are expected to enable a multi-vendor cloud environment, which is a key requirement for open innovation in the European data economy. As the market adoption of identified standards under the cloud standardisation coordination (CSC) initiative concluded in 2016 has been limited, it is also necessary that the Commission relies on parties in the market to develop relevant open interoperability specifications to keep up with the fast pace of technological development in this industry. Such open interoperability specifications can then be adopted by the Commission in the form of common specifications. In addition, where market-driven processes have not demonstrated a capacity to establish common specifications or standards that facilitate effective cloud interoperability at the PaaS and SaaS levels, the Commission should be able, on the basis of this Regulation and in accordance with Regulation (EU) No 1025/2012, to request European standardisation bodies to develop such standards for specific service types where such standards do not yet exist. In addition to this, the Commission will encourage parties in the market to develop relevant open interoperability specifications. After consulting stakeholders, the Commission, by means of implementing acts, should be able to mandate the use of harmonised standards for interoperability or common specifications for specific service types through a reference in a central Union standards repository for the interoperability of data processing services. Providers of data processing services should ensure compatibility with those harmonised standards and common specifications based on open interoperability specifications, which should not have an adverse impact on the security or integrity of data. harmonised standards for the interoperability of data processing services and common specifications based on open interoperability specifications will be referenced only if they comply with the criteria specified in this Regulation, which have the same meaning as the requirements in Annex II to Regulation (EU) No 1025/2012 and the interoperability facets defined under the international standard ISO/IEC 19941:2017. In addition, standardisation should take into account the needs of SMEs.

100. Offene Interoperabilitätsspezifikationen und -normen, die gemäß Anhang II der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates (33) im Bereich der Interoperabilität und Übertragbarkeit entwickelt wurden, werden voraussichtlich eine Cloud-Umgebung mit mehreren Anbietern ermöglichen, was eine wesentliche Voraussetzung für offene Innovation in der europäischen Datenwirtschaft ist. Da die Akzeptanz festgelegter Normen auf dem Markt im Rahmen der 2016 abgeschlossenen Initiative zur Koordinierung der Cloud-Normung (CSC) zurückhaltend ausfiel, muss sich die Kommission auch darauf verlassen, dass die Marktteilnehmer einschlägige offene Interoperabilitätsspezifikationen entwickeln, um mit dem raschen technologischen Fortschritt in dieser Branche Schritt zu halten. Solche offenen Interoperabilitätsspezifikationen können dann von der Kommission in Form gemeinsamer Spezifikationen erlassen werden. Wenn ferner nicht nachgewiesen wurde, dass gemeinsame Spezifikationen oder Normen, die eine wirksame Cloud-Interoperabilität der Verarbeitung von Daten auf PaaS- und SaaS-Ebene erleichtern, durch marktgesteuerte Verfahren festgelegt werden können, sollte die Kommission auf der Grundlage der vorliegenden Verordnung und im Einklang mit der Verordnung (EU) Nr. 1025/2012 in der Lage sein, europäische Normungsgremien mit der Entwicklung solcher Normen für bestimmte Dienstarten zu beauftragen, für die solche Normen noch nicht existieren. Darüber hinaus wird die Kommission die Marktteilnehmer anhalten, einschlägige offene Interoperabilitätsspezifikationen zu entwickeln. Im Anschluss an eine Konsultation der Interessenträger sollte die Kommission im Wege von Durchführungsrechtsakten durch einen Verweis in einer zentralen Datenbank der Union für Normen für die Interoperabilität von Datenverarbeitungsdiensten vorschreiben können, dass für bestimmte Dienstarten harmonisierte Normen für die Interoperabilität oder gemeinsame Interoperabilitätsspezifikationen verwendet werden. Anbieter von Datenverarbeitungsdiensten sollten die Kompatibilität mit diesen harmonisierten Normen und gemeinsamen Spezifikationen auf der Grundlage offener Interoperabilitätsspezifikationen sicherstellen, die die Sicherheit oder die Integrität der Daten nicht beeinträchtigen sollten. Auf harmonisierte Normen für die Interoperabilität von Datenverarbeitungsdiensten und gemeinsame Spezifikationen auf der Grundlage offener Interoperabilitätsspezifikationen wird nur verwiesen, wenn sie den in dieser Verordnung festgelegten Kriterien entsprechen, die denselben Stellenwert haben wie die Anforderungen in Anhang II der Verordnung (EU) Nr. 1025/2012 und die in der internationalen Norm ISO/IEC 19941:2017 definierten Interoperabilitätsaspekte. Darüber hinaus sollte bei der Normung den Bedürfnissen von KMU Rechnung getragen werden.

101. Third countries may adopt laws, regulations and other legal acts that aim to directly transfer or provide governmental access to non-personal data located outside their borders, including in the Union. Judgments of courts or tribunals or decisions of other judicial or administrative authorities, including law enforcement authorities in third countries requiring such transfer or access to non-personal data should be enforceable when based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. In other cases, situations may arise where a request to transfer or provide access to non-personal data arising from a third country law conflicts with an obligation to protect such data under Union law or under the national law of the relevant Member State, in particular regarding the protection of fundamental rights of the individual, such as the right to security and the right to an effective remedy, or the fundamental interests of a Member State related to national security or defence, as well as the protection of commercially sensitive data, including the protection of trade secrets, and the protection of intellectual property rights, including its contractual undertakings regarding confidentiality in accordance with such law. In the absence of international agreements regulating such matters, transfer of or access to non-personal data should be allowed only if it has been verified that the third country’s legal system requires the reasons and proportionality of the decision to be set out, that the court order or the decision is specific in character, and that the reasoned objection of the addressee is subject to a review by a competent third-country court or tribunal which is empowered to take duly into account the relevant legal interests of the provider of such data. Wherever possible under the terms of the data access request of the third country’s authority, the provider of data processing services should be able to inform the customer whose data are being requested before granting access to those data in order to verify the presence of a potential conflict of such access with Union or national law, such as that on the protection of commercially sensitive data, including the protection of trade secrets and intellectual property rights and the contractual undertakings regarding confidentiality.

101. Drittländer können Gesetze, Verordnungen und sonstige Rechtsakte erlassen, die darauf ausgerichtet sind, dass nicht-personenbezogene Daten, die – auch in der Union – außerhalb der Landesgrenzen gespeichert sind, übertragen werden können bzw. staatliche Stellen direkten Zugang zu solchen Daten haben. In Drittländern ergangene Gerichtsurteile oder Entscheidungen anderer Justiz- oder Verwaltungsbehörden, einschließlich Strafverfolgungsbehörden, mit denen eine solche Übertragung von oder ein solcher Zugang zu nicht-personenbezogenen Daten gefordert wird, sollten vollstreckbar sein, wenn sie sich auf eine internationale Vereinbarung, etwa ein Rechtshilfeabkommen, stützen, das zwischen dem anfragenden Drittland und der Union oder einem Mitgliedstaat besteht. Mitunter kann es auch dazu kommen, dass die sich aus dem Recht eines Drittlands ergebende Verpflichtung zur Übertragung von oder Gewährung des Zugangs zu nicht-personenbezogenen Daten einer nach Unionsrecht oder nach dem nationalen Recht des betreffenden Mitgliedstaats bestehenden Verpflichtung zum Schutz dieser Daten entgegensteht, insbesondere, was den Schutz der Grundrechte des Einzelnen, wie das Recht auf Sicherheit und das Recht auf einen wirksamen Rechtsbehelf, oder die grundlegenden Interessen eines Mitgliedstaats im Zusammenhang mit der nationalen Sicherheit oder Verteidigung sowie den Schutz sensibler Geschäftsdaten, einschließlich des Schutzes des Geschäftsgeheimnisses, und den Schutz von Rechten des geistigen Eigentums, darunter auch vertragliche Vertraulichkeitspflichten nach einem solchen Gesetz, betrifft. Besteht keine internationale Vereinbarung zur Regelung dieser Fragen, so sollte die Übertragung von oder der Zugang zu nicht-personenbezogenen Daten nur gestattet sein, wenn überprüft wurde, dass das Rechtssystem des betreffenden Drittlands die Begründung und die Verhältnismäßigkeit sowie die hinreichende Bestimmtheit der gerichtlichen Anordnung oder Entscheidung vorschreibt und dem Adressaten die Möglichkeit einräumt, dem zuständigen Gericht des Drittlands, das zur gebührenden Berücksichtigung der einschlägigen rechtlichen Interessen des Bereitstellers der Daten befugt ist, seinen begründeten Einwand zur Überprüfung vorzulegen. Nach Möglichkeit sollte der Anbieter von Datenverarbeitungsdiensten den Kunden, dessen Daten verlangt werden, im Rahmen des Datenzugangsverlangens der Behörde des Drittlands vor der Gewährung des Zugangs zu diesen Daten unterrichten können, um zu überprüfen, ob ein solcher Zugang möglicherweise gegen Unionsrecht oder nationales Recht verstößt, wie etwa ein solches über den Schutz sensibler Geschäftsdaten, einschließlich des Schutzes des Geschäftsgeheimnisses und der Rechte des geistigen Eigentums sowie vertraglicher Vertraulichkeitspflichten.

102. To foster further trust in data, it is important that safeguards to ensure control of their data by Union citizens, the public sector bodies and businesses are implemented to the extent possible. In addition, Union law, values and standards regarding, inter alia, security, data protection and privacy, and consumer protection should be upheld. In order to prevent unlawful governmental access to non-personal data by third-country authorities, providers of data processing services subject to this Regulation, such as cloud and edge services, should take all reasonable measures to prevent access to systems on which non-personal data are stored, including, where relevant, through the encryption of data, frequent submission to audits, verified adherence to relevant security reassurance certification schemes, and by the modification of corporate policies.

102. Um das Vertrauen in Daten weiter zu stärken, ist es wichtig, dass Schutzvorkehrungen, die Unionsbürgern, der öffentlichen Hand und Unternehmen die Kontrolle über ihre Daten gewährleisten sollen, so weit wie möglich umgesetzt werden. Darüber hinaus sollten das Recht, die Werte und die Standards der Union unter anderem in Bezug auf Sicherheit, Datenschutz und Privatsphäre sowie Verbraucherschutz gewahrt werden. Um einen unrechtmäßigen staatlichen Zugang der Behörden von Drittländern zu nicht-personenbezogenen Daten zu verhindern, sollten dieser Verordnung unterliegende Anbieter von Datenverarbeitungsdiensten wie Cloud- und Edge-Diensten alle zumutbaren Maßnahmen ergreifen, um den Zugang zu Systemen zu verhindern, in denen nicht-personenbezogenen Daten gespeichert werden, gegebenenfalls auch durch die Verschlüsselung von Daten, häufige Audits, die Überprüfung der Einhaltung der einschlägigen Systeme für die Sicherheitszertifizierung und die Änderung der Unternehmenspolitik.

103. Standardisation and semantic interoperability should play a key role to provide technical solutions to ensure interoperability within and among common European data spaces which are purpose or sector specific or cross-sectoral interoperable frameworks for common standards and practices to share or jointly process data for, inter alia, the development of new products and services, scientific research or civil society initiatives. This Regulation lays down certain essential requirements for interoperability. Participants in data spaces that offer data or data services to other participants, which are entities facilitating or engaging in data sharing within common European data spaces, including data holders, should comply with those requirements insofar as elements under their control are concerned. Compliance with those rules can be ensured by adhering to the essential requirements laid down in this Regulation, or presumed by complying with harmonised standards or common specifications via a presumption of conformity. In order to facilitate conformity with the requirements for interoperability, it is necessary to provide for a presumption of conformity of interoperability solutions that meet harmonised standards or parts thereof in accordance with Regulation (EU) No 1025/2012, which represents the framework by default to elaborate standards that provide for such presumptions. The Commission should assess barriers to interoperability and prioritise standardisation needs, on the basis of which it may request one or more European standardisation organisations, pursuant to Regulation (EU) No 1025/2012, to draft harmonised standards which satisfy the essential requirements laid down in this Regulation. Where such requests do not result in harmonised standards or such harmonised standards are insufficient to ensure conformity with the essential requirements of this Regulation, the Commission should be able to adopt common specifications in those areas provided that in so doing it duly respects the role and functions of standardisation organisations. Common specifications should be adopted only as an exceptional fall-back solution to facilitate compliance with the essential requirements of this Regulation, or when the standardisation process is blocked, or when there are delays in the establishment of appropriate harmonised standards. Where a delay is due to the technical complexity of the standard in question, this should be considered by the Commission before contemplating the establishment of common specifications. common specifications should be developed in an open and inclusive manner and take into account, where relevant, the advice of the European data Innovation Board (EDIB) established by Regulation (EU) 2022/868. Additionally, common specifications in different sectors could be adopted, in accordance with Union or national law, on the basis of specific needs of those sectors. Furthermore, the Commission should be enabled to mandate the development of harmonised standards for the interoperability of data processing services.

103. Normung und semantische Interoperabilität sollten eine wichtige Rolle bei der Bereitstellung technischer Lösungen zur Gewährleistung der Interoperabilität innerhalb von und zwischen gemeinsamen europäischen Datenräumen spielen, bei denen es sich um zweck- oder sektorspezifische oder sektorübergreifende interoperable Rahmen für gemeinsame Normen und Verfahren für die Weitergabe oder die gemeinsame Verarbeitung von Daten, unter anderem für die Entwicklung neuer Produkte und Dienste, wissenschaftliche Forschung oder zivilgesellschaftliche Initiativen, handelt. In dieser Verordnung sollten bestimmte wesentliche Interoperabilitätsanforderungen festgelegt werden. Teilnehmer an Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten und bei denen es sich um Stellen handelt, die die Weitergabe von Daten innerhalb gemeinsamer europäischer Datenräume erleichtern oder daran beteiligt sind, einschließlich Dateninhaber, sollten diese Anforderungen erfüllen, soweit sie Elemente betreffen, die ihrer Kontrolle unterliegen. Die Einhaltung dieser Vorschriften kann durch die Einhaltung der in dieser Verordnung festgelegten wesentlichen Anforderungen gewährleistet oder aufgrund der Einhaltung von harmonisierten Normen oder gemeinsamen Spezifikationen im Rahmen einer Konformitätsvermutung vermutet werden. Um die Konformität mit den Interoperabilitätsanforderungen zu erleichtern, muss eine Konformitätsvermutung für die Interoperabilitätslösungen vorgesehen werden, die ganz oder teilweise den harmonisierten Normen gemäß der Verordnung (EU) Nr. 1025/2012 entsprechen, welche den Standardrahmen für die Erarbeitung der Normen, nach denen solche Konformitätsvermutungen vorgesehen werden, bildet. Die Kommission sollte die Hindernisse für die Interoperabilität bewerten und den Normungsbedarf priorisieren, sodass sie auf dieser Grundlage gemäß der Verordnung (EU) Nr. 1025/2012 eine oder mehrere europäische Normungsorganisationen damit beauftragen kann, Entwürfe für harmonisierte Normen zu erarbeiten, die die in der vorliegenden Verordnung festgelegten wesentlichen Anforderungen erfüllen. Führen solche Aufträge nicht zu harmonisierten Normen oder reichen solche harmonisierten Normen nicht aus, um die Konformität mit den wesentlichen Anforderungen der vorliegenden Verordnung zu gewährleisten, so sollte die Kommission, sofern sie dabei die Rolle und die Funktionen der Normungsorganisationen gebührend achtet, in der Lage sein, gemeinsame Spezifikationen in den genannten Bereichen zu erlassen. Gemeinsame Spezifikationen sollten nur als außergewöhnliche Ausweichlösung erlassen werden, um die Einhaltung der wesentlichen Anforderungen dieser Verordnung zu erleichtern, oder wenn der Normungsprozess blockiert ist, oder bei Verzögerungen bei der Festlegung geeigneter harmonisierter Normen. Ist eine Verzögerung auf die technische Komplexität der betreffenden Norm zurückzuführen, so sollte die Kommission dies berücksichtigen, bevor sie die Festlegung gemeinsamer Spezifikationen in Erwägung zieht. Gemeinsame Spezifikationen sollten offen und inklusiv erarbeitet werden und gegebenenfalls dem Rat des gemäß der Verordnung (EU) 2022/868 eingerichteten Europäischen Dateninnovationsrates (EDIB) Rechnung tragen. Darüber hinaus könnten in den verschiedenen Sektoren – auf der Grundlage ihrer jeweiligen besonderen Bedürfnisse – auch gemeinsame Spezifikationen im Einklang mit Unionsrecht oder nationalem Recht erlassen werden. Darüber hinaus sollte die Kommission in die Lage versetzt werden, die Erarbeitung harmonisierter Normen für die Interoperabilität von Datenverarbeitungsdiensten in Auftrag zu geben.

104. To promote the interoperability of tools for the automated execution of data sharing agreements, it is necessary to lay down essential requirements for smart contracts which professionals create for others or integrate in applications that support the implementation of agreements for data sharing. In order to facilitate the conformity of such smart contracts with those essential requirements, it is necessary to provide for a presumption of conformity of smart contracts that meet harmonised standards or parts thereof in accordance with Regulation (EU) No 1025/2012. The notion of ‘smart contract’ in this Regulation is technologically neutral. Smart contracts can, for example, be connected to an electronic ledger. The essential requirements should apply only to the vendors of smart contracts, although not where they develop smart contracts in-house exclusively for internal use. The essential requirement to ensure that smart contracts can be interrupted and terminated implies mutual consent by the parties to the data sharing agreement. The applicability of the relevant rules of civil, contractual and consumer protection law to data sharing agreements remains or should remain unaffected by the use of smart contracts for the automated execution of such agreements.

104. Um die Interoperabilität von Instrumenten für die automatisierte Durchführung von Vereinbarungen über die Datenweitergabe zu fördern, müssen wesentliche Anforderungen an intelligente Verträge festgelegt werden, die Fachkräfte für andere erstellen oder in Anwendungen integrieren, die die Umsetzung von Vereinbarungen über die Datenweitergabe unterstützen. Um die Konformität solcher intelligenten Verträge mit diesen wesentlichen Anforderungen zu erleichtern, muss eine Konformitätsvermutung für die intelligenten Verträge vorgesehen werden, die ganz oder teilweise den harmonisierten Normen gemäß der Verordnung (EU) Nr. 1025/2012 entsprechen. Der Begriff „intelligenter Vertrag“ in der vorliegenden Verordnung ist technologieneutral. Intelligente Verträge können beispielsweise mit einem elektronischen Vorgangsregister verbunden werden. Die wesentlichen Anforderungen sollten nur für Anbieter intelligenter Verträge gelten, nicht aber dann, wenn sie intern intelligente Verträge, die ausschließlich für den internen Gebrauch bestimmt sind, ausarbeiten. Die wesentliche Anforderung, sicherzustellen, dass intelligente Verträge ausgesetzt und beendet werden können, setzt die gegenseitige Zustimmung der Parteien zu der Vereinbarung über die Datenweitergabe voraus. Die Anwendbarkeit der einschlägigen Vorschriften des Zivil-, Vertrags- und Verbraucherschutzrechts auf Vereinbarungen über die Datenweitergabe bleibt von der Nutzung intelligenter Verträge für die automatisierte Ausführung solcher Vereinbarungen unberührt oder sollte davon unberührt bleiben.

105. To demonstrate fulfilment of the essential requirements of this Regulation, the vendor of a smart contract, or in the absence thereof, the person whose trade, business or profession involves the deployment of smart contracts for others in the context of executing an agreement or part of it, to make data available in the context of this Regulation, should perform a conformity assessment and issue an EU declaration of conformity. Such a conformity assessment should be subject to the general principles set out in Regulation (EC) No 765/2008 of the European Parliament and of the Council (34) and Decision No 768/2008/EC of the European Parliament and of the Council (35).

105. Zum Nachweis, dass die wesentlichen Anforderungen dieser Verordnung erfüllt sind, sollte der Anbieter eines intelligenten Vertrags – oder in dessen Ermangelung die Person, deren gewerbliche, geschäftliche oder berufliche Tätigkeit die Einführung intelligenter Verträge für Andere im Zusammenhang mit der Durchführung einer Vereinbarung oder Teilen davon über die Bereitstellung von Daten im Kontext der vorliegenden Verordnung beinhaltet, – eine Konformitätsbewertung durchführen und eine EU-Konformitätserklärung ausstellen. Diese Konformitätsbewertung sollte den allgemeinen Grundsätzen nach der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (34) und dem Beschluss (EG) Nr. 768/2008 des Europäischen Parlaments und des Rates (35) unterliegen.

106. Besides the obligation on professional developers of smart contracts to comply with essential requirements, it is also important to encourage those participants within data spaces that offer data or data-based services to other participants within and across common European data spaces to support interoperability of tools for data sharing including smart contracts.

106. Abgesehen davon, dass professionelle Entwickler intelligenter Verträge zur Erfüllung wesentlicher Anforderungen verpflichtet werden müssen, ist es auch wichtig, diejenigen Teilnehmer in Datenräumen, die anderen Teilnehmern innerhalb von gemeinsamen europäischen Datenräumen und über diese Datenräume Daten oder datenbasierte Dienste anbieten, dazu anzuhalten, die Interoperabilität von Instrumenten für die Datenweitergabe – einschließlich intelligenter Verträge – zu unterstützen.

107. In order to ensure the application and enforcement of this Regulation, Member States should designate one or more competent authorities. If a Member State designates more than one competent authority, it should also designate from among them a data coordinator. Competent authorities should cooperate with each other. Through the exercise of their powers of investigation in accordance with applicable national procedures, competent authorities should be able to search for and obtain information, in particular in relation to the activities of entities within their competence and, including in the context of joint investigations, with due regard to the fact that oversight and enforcement measures concerning an entity under the competence of another Member State should be adopted by the competent authority of that other Member State, where relevant, in accordance with the procedures relating to cross-border cooperation. Competent authorities should assist each other in a timely manner, in particular when a competent authority in a Member State holds relevant information for an investigation carried out by the competent authorities in other Member States, or is able to gather such information to which the competent authorities in the Member State where the entity is established do not have access. Competent authorities and data coordinators should be identified in a public register maintained by the Commission. The data coordinator could be an additional means for facilitating cooperation in cross-border situations, such as when a competent authority from a given Member State does not know which authority it should approach in the data coordinator’s Member State, for example where the case is related to more than one competent authority or sector. The data coordinator should act, inter alia, as a single point of contact for all issues related to the application of this Regulation. Where no data coordinator has been designated, the competent authority should assume the tasks assigned to the data coordinator under this Regulation. The authorities responsible for the supervision of compliance with data protection law and competent authorities designated under Union or national law should be responsible for the application of this Regulation in their areas of competence. In order to avoid conflicts of interest, the competent authorities responsible for the application and enforcement of this Regulation in the area of making data available following a request on the basis of an exceptional need should not benefit from the right to submit such a request.

107. Um die Anwendung und Durchsetzung dieser Verordnung zu gewährleisten, sollten die Mitgliedstaaten eine oder mehrere zuständige Behörden benennen. Benennt ein Mitgliedstaat mehr als eine zuständige Behörde, so sollte er unter ihnen auch einen Datenkoordinator benennen. Die zuständigen Behörden sollten miteinander zusammenarbeiten. Durch die Ausübung ihrer Ermittlungsbefugnisse im Einklang mit den geltenden nationalen Verfahren sollten die zuständigen Behörden in der Lage sein, Informationen zu suchen und zu erhalten, insbesondere in Bezug auf die Tätigkeiten von Stellen in ihrem Zuständigkeitsbereich und – auch im Rahmen gemeinsamer Untersuchungen – unter gebührender Berücksichtigung des Umstands, dass Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf in die Zuständigkeit eines anderen Mitgliedstaats fallende Rechtsträger von der zuständigen Behörde dieses anderen Mitgliedstaats, gegebenenfalls im Einklang mit den Verfahren für die grenzüberschreitende Zusammenarbeit, erlassen werden sollten. Die zuständigen Behörden sollten einander rechtzeitig unterstützen, insbesondere wenn eine zuständige Behörde in einem Mitgliedstaat über relevante Informationen für eine von den zuständigen Behörden in anderen Mitgliedstaaten durchgeführte Untersuchung verfügt oder solche Informationen sammeln kann, zu denen die zuständigen Behörden in dem Mitgliedstaat, in dem die Einrichtung niedergelassen ist, keinen Zugang haben. Die zuständigen Behörden und die Datenkoordinatoren sollten in einem von der Kommission geführten öffentlichen Register aufgeführt werden. Der Datenkoordinator könnte im Hinblick auf die Erleichterung der Zusammenarbeit in grenzüberschreitenden Situationen zusätzliche Hilfe bieten, wenn etwa einer zuständigen Behörde eines bestimmten Mitgliedstaats nicht bekannt ist, an welche Behörde sie sich im Mitgliedstaat des Datenkoordinators wenden sollte, wenn beispielsweise der Fall mehr als eine zuständige Behörde oder mehr als einen Sektor betrifft. Der Datenkoordinator sollte als zentrale Anlaufstelle für alle Fragen im Zusammenhang mit der Anwendung dieser Verordnung handeln. Wurde kein Datenkoordinator benannt, so sollte die zuständige Behörde die dem Datenkoordinator gemäß dieser Verordnung übertragenen Aufgaben übernehmen. Die für die Überwachung der Einhaltung des Datenschutzrechts zuständigen Behörden und die nach Unionsrecht oder nationalem Recht benannten zuständigen Behörden sollten in ihren Zuständigkeitsbereichen für die Anwendung dieser Verordnung verantwortlich sein. Um Interessenkonflikte zu vermeiden, sollten die Behörden, die im Bereich der Bereitstellung von Daten im Anschluss an ein Verlangen aufgrund einer außergewöhnlichen Notwendigkeit für die Anwendung und Durchsetzung dieser Verordnung zuständig sind, nicht das Recht haben, ein solches Verlangen zu stellen.

108. In order to enforce their rights under this Regulation, natural and legal persons should be entitled to seek redress for infringements of their rights under this Regulation by lodging complaints. The data coordinator should, upon request, provide all the necessary information to natural and legal persons for the lodging of their complaints with the appropriate competent authority. Those authorities should be obliged to cooperate to ensure a complaint is appropriately handled and resolved effectively and in a timely manner. In order to make use of the consumer protection cooperation network mechanism and to enable representative actions, this Regulation amends the Annexes to Regulation (EU) 2017/2394 of the European Parliament and of the Council (36) and Directive (EU) 2020/1828 of the European Parliament and of the Council (37).

108. Zur Durchsetzung ihrer Rechte gemäß dieser Verordnung sollten natürliche und juristische Personen das Recht haben, bei Verletzung ihrer Rechte aus dieser Verordnung durch Beschwerdeeinlegung Rechtsmittel einzulegen. Der Datenkoordinator sollte natürlichen und juristischen Personen auf Anfrage alle erforderlichen Informationen bereitstellen, damit sie bei der betreffenden zuständigen Behörde Beschwerde einlegen können. Diese Behörden sollten zur Zusammenarbeit verpflichtet sein, damit die Beschwerde angemessen bearbeitet und wirksam und zügig beschieden werden kann. Um den Mechanismus des Netzwerks für die Zusammenarbeit im Verbraucherschutz zu nutzen und Verbandsklagen zu ermöglichen, werden mit dieser Verordnung die Anhänge der Verordnung (EU) 2017/2394 des Europäischen Parlaments und des Rates (36) und der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates (37) geändert.

109. Competent authorities should ensure that infringements of the obligations laid down in this Regulation are subject to penalties. Such penalties could include financial penalties, warnings, reprimands or orders to bring business practices into compliance with the obligations imposed by this Regulation. Penalties established by the Member States should be effective, proportionate and dissuasive, and should take into account the recommendations of the EDIB, thus contributing to achieving the greatest possible level of consistency in the establishment and application of penalties. Where appropriate, competent authorities should make use of interim measures to limit the effects of an alleged infringement while the investigation of that infringement is ongoing. In so doing, they should take into account, inter alia the nature, gravity, scale and duration of the infringement in view of the public interest at stake, the scope and kind of activities carried out, and the economic capacity of the infringing party. They should also take into account whether the infringing party systematically or recurrently fails to comply with its obligations under this Regulation. In order to ensure that the principle of ne bis in idem is respected, and in particular to avoid that the same infringement of the obligations laid down in this Regulation is penalised more than once, a Member State that intends to exercise its competence in relation to an infringing party that is not established and has not designated a legal representative in the Union should, without undue delay, inform all data coordinators as well as the Commission.

109. Die zuständigen Behörden sollten sicherstellen, dass für Verstöße gegen die in dieser Verordnung festgelegten Pflichten Sanktionen gelten. Solche Sanktionen könnten finanzielle Sanktionen, Verwarnungen, Verweise oder Anordnungen, die Geschäftspraxis mit den in dieser Verordnung festgelegten Verpflichtungen in Einklang zu bringen, einschließen. Die von den Mitgliedstaaten festgelegten Sanktionen sollten wirksam, verhältnismäßig und abschreckend sein und den Empfehlungen des EDIB Rechnung tragen und somit dazu beitragen, dass bei der Festlegung und Anwendung von Sanktionen ein Höchstmaß an Kohärenz erreicht wird. Die zuständigen Behörden sollten gegebenenfalls einstweilige Maßnahmen ergreifen, um die Auswirkungen eines mutmaßlichen Verstoßes zu begrenzen, solange die Untersuchung dieses Verstoßes noch nicht abgeschlossen ist. Dabei sollten sie unter anderem Art, Schwere, Ausmaß und Dauer der Pflichtverletzung im Hinblick auf das betreffende öffentliche Interesse, den Umfang und die Art der ausgeübten Tätigkeiten und die wirtschaftliche Leistungsfähigkeit de verstoßenden Partei berücksichtigen. Sie sollten auch berücksichtigen, ob der Rechtsverletzer seinen Pflichten aus dieser Verordnung systematisch oder wiederholt nicht nachkommt. Um die Einhaltung des Grundsatzes ne bis in idem zu gewährleisten und insbesondere zu vermeiden, dass ein und derselbe Verstoß gegen die Pflichten aus dieser Verordnung mehr als einmal geahndet wird, sollte ein Mitgliedstaat, der beabsichtigt, seine Zuständigkeit in Bezug auf eine verstoßende Partei auszuüben, die nicht in der Union niedergelassen ist und keinen Vertreter in der Union benannt hat, unverzüglich alle Datenkoordinatoren und die Kommission unterrichten.

110. The EDIB should advise and assist the Commission in coordinating national practices and policies on the topics covered by this Regulation as well as in delivering on its objectives in relation to technical standardisation to enhance interoperability. It should also play a key role in facilitating comprehensive discussions between competent authorities concerning the application and enforcement of this Regulation. That exchange of information is designed to increase effective access to justice as well as enforcement and judicial cooperation across the Union. Among other functions, the competent authorities should make use of the EDIB as a platform to evaluate, coordinate and adopt recommendations on the setting of penalties for infringements of this Regulation. It should allow for competent authorities, with the assistance of the Commission, to coordinate the optimal approach to determining and imposing such penalties. That approach prevents fragmentation while allowing for Member State’s flexibility and should lead to effective recommendations that support the consistent application of this Regulation. The EDIB should also have an advisory role in the standardisation processes and the adoption of common specifications by means of implementing acts, in the adoption of delegated acts to establish a monitoring mechanism for switching charges, imposed by providers of data processing services and to further specify the essential requirements for the interoperability of data, of data sharing mechanisms and services, as well as of the common European data spaces. It should also advise and assist the Commission in the adoption of the guidelines laying down interoperability specifications for the functioning of the common European data spaces.

110. Der EDIB sollte die Kommission bei der Koordinierung der nationalen Verfahren und Strategien zu den unter diese Verordnung fallenden Themen sowie bei der Verwirklichung ihrer Ziele in Bezug auf die technische Normung zur Verbesserung der Interoperabilität beraten und unterstützen. Er sollte auch eine Schlüsselrolle übernehmen, wenn es darum geht, zwischen den zuständigen Behörden umfassende Gespräche über die Anwendung und Durchsetzung der vorliegenden Verordnung auf den Weg zu bringen. Der betreffende Informationsaustausch soll den wirksamen Zugang zur Justiz sowie die Durchsetzung und justizielle Zusammenarbeit in der gesamten Union verbessern. Neben anderen Aufgaben sollten die zuständigen Behörden den EDIB als Plattform für die Bewertung, Koordinierung und Annahme von Empfehlungen zur Festlegung von Sanktionen für Verstöße gegen diese Verordnung nutzen. Er sollte es den zuständigen Behörden ermöglichen, mit Unterstützung der Kommission einen optimalen Ansatz für die Festlegung und Verhängung solcher Sanktionen abzustimmen. Dieser Ansatz verhindert eine Fragmentierung und räumt den Mitgliedstaaten gleichzeitig Flexibilität ein, und er sollte zu wirksamen Empfehlungen führen, die die einheitliche Anwendung dieser Verordnung unterstützen. Außerdem sollte dem EDIB bei den Normungsverfahren und der Annahme gemeinsamer Spezifikationen im Wege von Durchführungsrechtsakten und bei der Annahme delegierter Rechtsakte zur Einführung eines Überwachungsmechanismus für die von den Anbietern von Datenverarbeitungsdiensten erhobenen Wechselentgelte und zur weiteren Präzisierung der wesentlichen Anforderungen an die Interoperabilität von Daten, von Mechanismen und Diensten für die Datenweitergabe sowie an die gemeinsamen europäischen Datenräume eine beratende Rolle zukommen. Ferner sollte er die Kommission bei der Annahme der Leitlinien zur Festlegung von Interoperabilitätsspezifikationen für das Funktionieren der gemeinsamen europäischen Datenräume beraten und unterstützen.

111. In order to help enterprises to draft and negotiate contracts, the Commission should develop and recommend non-binding model contractual terms for business-to-business data sharing contracts, where necessary taking into account the conditions in specific sectors and the existing practices with voluntary data sharing mechanisms. Those model contractual terms should be primarily a practical tool to help in particular SMEs to conclude a contract. When used widely and integrally, those model contractual terms should also have the beneficial effect of influencing the design of contracts regarding access to and the use of data and therefore lead more broadly towards fairer contractual relations when accessing and sharing data.

111. Um Unternehmen bei der Ausarbeitung und Aushandlung von Verträgen zu unterstützen, sollte die Kommission unverbindliche Mustervertragsklauseln für Verträge über die Datenweitergabe zwischen Unternehmen erstellen und empfehlen, erforderlichenfalls unter Berücksichtigung der Bedingungen in bestimmten Sektoren und bestehender Verfahren mit freiwilligen Datenweitergabemechanismen. Diese Mustervertragsklauseln sollten in erster Linie eine praktische Handhabe bieten, um insbesondere KMU den Abschluss eines Vertrags zu erleichtern. Werden die Mustervertragsbestimmungen umfassend und durchgehend verwendet, so dürften sie sich auch positiv auf die Gestaltung von Verträgen über den Datenzugang und die Datennutzung auswirken und somit insgesamt zu faireren Vertragsbeziehungen beim Datenzugang und bei der Datenweitergabe führen.

112. In order to eliminate the risk that holders of data in databases obtained or generated by means of physical components, such as sensors, of a connected product and a related service or other machine-generated data, claim the sui generis right under Article 7 of Directive 96/9/EC, and in so doing hinder, in particular, the effective exercise of the right of users to access and use data and the right to share data with third parties under this Regulation, it should be clarified that the sui generis right does not apply to such databases. That does not affect the possible application of the sui generis right under Article 7 of Directive 96/9/EC to databases containing data falling outside the scope of this Regulation, provided that the requirements for protection pursuant to paragraph 1 of that Article are fulfilled.

112. Damit nicht das Risiko besteht, dass die Inhaber von Daten, die durch physische Komponenten wie Sensoren eines vernetzten Produkts und eines verbundenen Dienstes erlangt oder generiert wurden, oder anderen maschinengenerierten Daten in Datenbanken das Schutzrecht sui generis gemäß Artikel 7 der Richtlinie 96/9/EG geltend machen und dadurch insbesondere die wirksame Ausübung des Rechts der Nutzer auf Datenzugang und Datennutzung sowie des Rechts auf die Weitergabe von Daten an Dritte gemäß dieser Verordnung behindern, sollte klargestellt werden, dass das Schutzrecht sui generis für solche Datenbanken nicht gilt. Dies berührt nicht die mögliche Anwendung des Schutzrechts sui generis gemäß Artikel 7 der Richtlinie 96/9/EG auf Datenbanken, die Daten enthalten, die nicht in den Anwendungsbereich dieser Verordnung fallen, sofern die Schutzanforderungen gemäß Absatz 1 jenes Artikels erfüllt sind.

113. In order to take account of technical aspects of data processing services, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission in respect of supplementing this Regulation in order to establish a monitoring mechanism on switching charges imposed by providers of data processing services on the market, and to further specify the essential requirements in respect of interoperability for participants in data spaces that offer data or data services to other participants. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, and that those consultations be conducted in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (38). In particular, to ensure equal participation in the preparation of delegated acts, the European Parliament and the Council receive all documents at the same time as Member States’ experts, and their experts systematically have access to meetings of Commission expert groups dealing with the preparation of delegated acts.

113. Damit den technischen Aspekten von Datenverarbeitungsdiensten Rechnung getragen wird, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zur Ergänzung dieser Verordnung zu erlassen, um einen Überwachungsmechanismus der von den Anbietern von Datenverarbeitungsdiensten auf dem Markt verlangten Wechselentgelte einzuführen, und um die wesentlichen Anforderungen im Hinblick auf die Interoperabilität für Teilnehmer von Datenräumen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten, weiter zu präzisieren. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt, die mit den Grundsätzen in Einklang stehen, die in der Interinstitutionellen Vereinbarung vom 13. April 2016 über bessere Rechtsetzung (38) niedergelegt wurden. Um insbesondere für eine gleichberechtigte Beteiligung an der Vorbereitung delegierter Rechtsakte zu sorgen, erhalten das Europäische Parlament und der Rat alle Dokumente zur gleichen Zeit wie die Sachverständigen der Mitgliedstaaten, und ihre Sachverständigen haben systematisch Zugang zu den Sitzungen der Sachverständigengruppen der Kommission, die mit der Vorbereitung der delegierten Rechtsakte befasst sind.

114. In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission in respect of the adoption of common specifications to ensure the interoperability of data, of data sharing mechanisms and services, as well as of common European data spaces, common specifications on the interoperability of data processing services, and common specifications on the interoperability of smart contracts. Implementing powers should also be conferred on the Commission for the purpose of publishing the references of harmonised standards and common specifications for the interoperability of data processing services in a central Union standards repository for the interoperability of data processing services. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (39).

114. Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse eingeräumt werden bezüglich der Annahme gemeinsamer Spezifikationen zur Sicherstellung der Interoperabilität der Daten, der Mechanismen und Diensten für die Datenweitergabe und der gemeinsamen europäischen Datenräume, bezüglich gemeinsamer Spezifikationen für die Interoperabilität von Datenverarbeitungsdiensten und bezüglich gemeinsamer Spezifikationen für die Interoperabilität intelligenter Verträge. Auch sollten der Kommission Durchführungsbefugnisse eingeräumt werden bezüglich der Veröffentlichung der Bezugnahmen auf harmonisierten Normen und gemeinsamen Spezifikationen für die Interoperabilität von in der zentralen Datenbank der Union für Normen für die Interoperabilität von Datenverarbeitungsdiensten. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (39) ausgeübt werden.

115. This Regulation should be without prejudice to rules addressing needs specific to individual sectors or areas of public interest. Such rules may include additional requirements on the technical aspects of data access, such as interfaces for data access, or how data access could be provided, for example directly from the product or via data intermediation services. Such rules may also include limits on the rights of data holders to access or use user data, or other aspects beyond data access and use, such as governance aspects or security requirements, including cybersecurity requirements. This Regulation should also be without prejudice to more specific rules in the context of the development of common European data spaces or, subject to the exceptions provided for in this Regulation, to Union and national law providing for access to and authorising the use of data for scientific research purposes.

115. Diese Verordnung sollte Vorschriften unberührt lassen, die besonderen Bedürfnissen einzelner Sektoren oder Bereichen von öffentlichem Interesse Rechnung tragen. Solche Vorschriften können zusätzliche Anforderungen an die technischen Aspekte des Datenzugangs, wie Schnittstellen für den Datenzugang, oder an die Art und Weise umfassen, wie der Datenzugang gewährt werden könnte, z. B. direkt über das Produkt oder über Datenvermittlungsdienste. Ebenso können solche Vorschriften Beschränkungen der Rechte der Dateninhaber auf Zugang zu oder Nutzung von Nutzerdaten oder andere Aspekte betreffen, die über den Datenzugang und die Datennutzung hinausgehen, wie z. B. Governance-Aspekte oder Sicherheitsanforderungen, einschließlich Anforderungen an die Cybersicherheit. Diese Verordnung sollte auch spezifischere Vorschriften im Zusammenhang mit der Entwicklung gemeinsamer europäischer Datenräume oder – vorbehaltlich der in dieser Verordnung festgelegten Ausnahmen – Unionsrecht oder nationales Recht zur Zugänglichmachung von Daten und zur Genehmigung ihrer Nutzung für die Zwecke der wissenschaftlichen Forschung unberührt lassen.

116. This Regulation should not affect the application of the rules of competition, in particular Articles 101 and 102 TFEU. The measures provided for in this Regulation should not be used to restrict competition in a manner contrary to the TFEU.

116. Diese Verordnung sollte die Anwendung der Wettbewerbsvorschriften, insbesondere der Artikel 101 und 102 AEUV unberührt lassen. Die in dieser Verordnung vorgesehenen Vorschriften dürfen nicht dazu verwendet werden, den Wettbewerb entgegen den Vorschriften des AEUV einzuschränken.

117. In order to allow actors within the scope of this Regulation to adapt to the new rules provided for herein, and to make the necessary technical arrangements, those rules should apply from 12 September 2025.

117. Damit sich die Teilnehmer, die in den Anwendungsbereich dieser Verordnung fallen, an die neuen Vorschriften dieser Verordnung anpassen und die notwendigen technischen Vorkehrungen treffen können, sollten diese Vorschriften erst ab dem 12. September 2025 anwendbar werden.

118. The European Data Protection Supervisor and the European Data Protection Board were consulted in accordance with Article 42(1) and (2) of Regulation (EU) 2018/1725 and delivered their opinion on 4 May 2022.

118. Der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss wurden gemäß Artikel 42 Absätze 1 und 2 der Verordnung (EU) 2018/1725 angehört und haben am 4. Mai 2022 ihre Stellungnahmen abgegeben.

119. Since the objectives of this Regulation, namely ensuring fairness in the allocation of value from data among actors in the data economy and fostering fair access to and use of data in order to contribute to establishing a genuine internal market for data, cannot be sufficiently achieved by the Member States but can rather, by reason of the scale or effects of the action and cross-border use of data, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve those objectives,

119. Da die Ziele dieser Verordnung, nämlich die Gewährleistung einer fairen Aufteilung des Wertes von Daten auf die Akteure der Datenwirtschaft und Förderung eines fairen Zugangs zu Daten und ihrer Nutzung, um zur Schaffung eines echten Binnenmarktes für Daten beizutragen, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs und der Wirkungen der Maßnahme und der grenzüberschreitenden Nutzung der Daten auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus —

← Previous

Table of Contents

Next →

Article 1