Digital Governance Act 2022/0868 DE

(1) Jede für die Registrierung von datenaltruistischen Organisationen zuständige Behörde führt ein öffentliches nationales Register der anerkannten datenaltruistischen Organisationen und aktualisiert dieses regelmäßig.

(2) Die Kommission pflegt zu Informationszwecken ein öffentliches Unionsregister der anerkannten datenaltruistischen Organisationen. Sofern eine gemäß Artikel 18 im öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen eingetragene Einrichtung registriert ist, darf sie in ihrer schriftlichen und mündlichen Kommunikation die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ und ein gemeinsames Logo verwenden.

Damit anerkannte datenaltruistische Organisationen in der gesamten Union leicht zu erkennen sind, legt die Kommission im Wege von Durchführungsrechtsakten die Ausgestaltung des gemeinsamen Logos fest. Anerkannte datenaltruistische Organisationen verwenden das gemeinsame Logo gut sichtbar auf jeder Online- und Offline-Veröffentlichung, die mit ihren datenaltruistischen Tätigkeiten in Zusammenhang steht. Das gemeinsame Logo erscheint gemeinsam mit einem QR-Code mit Link zum öffentlichen Unionsregister der anerkannten datenaltruistischen Organisationen.

Die Durchführungsrechtsakte werden nach dem in Artikel 33 Absatz 2 genannten Beratungsverfahren erlassen.

Artikel 19

Eintragung anerkannter datenaltruistischer Organisationen

(1) Eine Einrichtung, die die Anforderungen des Artikels 18 erfüllt, kann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen in dem Mitgliedstaat stellen, in dem sie niedergelassen ist.

(2) Eine Einrichtung, die die Anforderungen des Artikels 18 erfüllt und in mehreren Mitgliedstaaten niedergelassen ist, kann einen Antrag zur Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen in dem Mitgliedstaat beantragen, in dem sie ihre Hauptniederlassung hat.

(3) Eine Einrichtung, die die Anforderungen des Artikels 18 erfüllt, aber nicht in der Union niedergelassen ist, benennt einen gesetzlichen Vertreter in einem der Mitgliedstaaten, in dem diese datenaltruistischen Dienste angeboten werden.

Um die Einhaltung dieser Verordnung sicherzustellen, beauftragt die Einrichtung den gesetzlichen Vertreter, neben ihr oder an ihrer Stelle für die Registrierung datenaltruistischer Organisationen den zuständigen Behörden oder betroffenen Personen und Dateninhabern bei Fragen im Zusammenhang mit diesen Einrichtungen als Anlaufstelle zu dienen. Der gesetzliche Vertreter arbeitet mit den für die Registrierung datenaltruistischer Organisationen zuständigen Behörden zusammen und legt ihnen auf Verlangen umfassend dar, welche Maßnahmen und Vorkehrungen die Einrichtung getroffen hat, um die Einhaltung dieser Verordnung sicherzustellen.

Die Einrichtung gilt als in der Zuständigkeit des Mitgliedstaats liegend, in dem der gesetzliche Vertreter niedergelassen ist. Die Einrichtung kann einen Antrag zur Registrierung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen in diesem Mitgliedstaat beantragen. Die Benennung eines gesetzlichen Vertreters durch die Einrichtung erfolgt unbeschadet etwaiger rechtlicher Schritte gegen die Einrichtung.

(4) Der Eintragungsantrag gemäß den Absätzen 1, 2 und 3 muss folgende Angaben enthalten:

a)	den Namen der Einrichtung,

b)	Rechtsstatus, Rechtsform und, sofern die Einrichtung in einem öffentlichen nationalen Register eingetragen ist, Registernummer der Einrichtung,

c)	die Satzung der Einrichtung, falls zutreffend,

d)	die Einnahmequellen der Einrichtung,

e)	die Anschrift der Hauptniederlassung der Einrichtung in der Union, falls vorhanden, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,

f)	eine öffentliche Website mit vollständigen und aktuellen Informationen über die Einrichtung und ihre Tätigkeiten, einschließlich mindestens der Informationen gemäß den Buchstaben a, b, d, e und h,

g)	die Kontaktpersonen und Kontaktangaben der Einrichtung,

h)	die Ziele von allgemeinem Interesse, die sie mit der Erhebung der Daten fördern will,

i)	die Art der Daten, die die Einrichtung überprüfen oder verarbeiten will, sowie, im Fall von personenbezogenen Daten, die Kategorien von personenbezogenen Daten,

j)	alle sonstigen Nachweise, die belegen, dass die Anforderungen des Artikels 18 erfüllt werden.

(5) Nachdem die Einrichtung alle erforderlichen Informationen gemäß Absatz 4 übermittelt hat und die für die Registrierung datenaltruistischer Organisationen zuständige Behörde den Eintragungsantrag bewertet hat und zu dem Schluss gekommen ist, dass die Einrichtung die Anforderungen des Artikels 18 erfüllt, nimmt die Behörde innerhalb von 12 Wochen nach Eingang des Antrags auf Registrierung die Eintragung der Einrichtung in das öffentliche nationale Register der anerkannten datenaltruistischen Organisationen vor. Die Eintragung gilt in allen Mitgliedstaaten.

Die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde teilt der Kommission jede Registrierung mit. Die Kommission nimmt diese Registrierung in das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen auf.

(6) Die in Absatz 4 Buchstaben a, b, f, g und h genannten Angaben werden im einschlägigen öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen veröffentlicht.

(7) Eine anerkannte datenaltruistische Organisation teilt der entsprechenden für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde jede Änderung der gemäß Absatz 4 übermittelten Angaben innerhalb von 14 Tagen ab dem Tag der Änderung mit.

Die für die Registrierung datenaltruistischer Organisationen zuständigen Behörde teilt der Kommission unverzüglich jede solche Mitteilung auf elektronischem Wege mit. Auf der Grundlage einer solchen Meldung aktualisiert die Kommission unverzüglich das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen.

Artikel 20

Transparenzanforderungen

(1) Eine anerkannte datenaltruistische Organisation führt vollständige und genaue Aufzeichnungen über Folgendes:

a)	alle natürlichen oder juristischen Personen, denen die Möglichkeit zur Verarbeitung der im Besitz dieser anerkannten datenaltruistischen Organisation befindlichen Daten gegeben wurde, sowie deren Kontaktdaten,

b)	den Zeitpunkt oder die Dauer der Verarbeitung personenbezogener Daten oder der Nutzung nicht personenbezogener Daten,

c)	den Zweck der Verarbeitung entsprechend der Erklärung der natürlichen oder juristischen Person, der die Möglichkeit zur Verarbeitung gegeben wurde,

d)	etwaige Gebühren, die von den die Daten verarbeitenden natürlichen oder juristischen Personen gezahlt wurden.

(2) Eine anerkannte datenaltruistische Organisation erstellt einen jährlichen Tätigkeitsbericht und übermittelt ihn der entsprechenden für die Eintragung von datenaltruistischen Organisationen zuständigen Behörde; dieser Bericht enthält mindestens Folgendes:

a)	Informationen über die Tätigkeiten der anerkannten datenaltruistischen Organisation,

b)	eine Beschreibung, in welcher Weise die Zwecke von allgemeinem Interesse, zu denen die Daten gesammelt wurden, in dem betreffenden Geschäftsjahr gefördert wurden,

eine Liste aller natürlichen und juristischen Personen, denen erlaubt wurde, die in ihrem Besitz befindlichen Daten zu verarbeiten, einschließlich einer zusammenfassenden Beschreibung der Zwecke von allgemeinem Interesse, die mit dieser Datenverarbeitung verfolgt wurden, und einer Beschreibung der hierzu herangezogenen technischen Mittel, die auch eine Beschreibung der zur Wahrung der Privatsphäre und des Datenschutzes eingesetzten Techniken umfasst,

d)	gegebenenfalls eine Zusammenfassung der Ergebnisse der von der anerkannten datenaltruistischen Organisationerlaubten Datenverarbeitung,

e)	Informationen über die Einnahmequellen der anerkannten datenaltruistischen Organisation, insbesondere alle Einnahmen aus der Zugänglichmachung der Daten, sowie über die Ausgaben.

Artikel 21

Besondere Anforderungen zum Schutz der Rechte und Interessen betroffener Personen und Dateninhaber im Hinblick auf ihre Daten

(1) Eine anerkannte datenaltruistische Organisation informiert betroffene_Personen oder Dateninhaber vor der Verarbeitung ihrer Daten auf klare und leicht verständliche Weise über Folgendes:

a)	die Ziele von allgemeinem Interesse und gegebenenfalls den angegebenen, ausdrücklichen und rechtmäßigen Zweck der Verarbeitung personenbezogener Daten, für die sie die Verarbeitung ihrer Daten durch einen Datennutzer erlaubt;

b)	den Standort und die Ziele von allgemeinem Interesse, für die sie eine etwaige Verarbeitung in einem Drittland erlaubt, sofern die Verarbeitung von der anerkannten datenaltruistischen Organisation vorgenommen wird.

(2) Die anerkannte datenaltruistische Organisation verwendet die Daten nicht für andere als die Ziele von allgemeinem Interesse, für die die betroffene_Person oder der Dateninhaber die Verarbeitung erlaubt hat. Die anerkannte datenaltruistische Organisation darf keine irreführenden Vermarktungspraktiken verwenden, um Daten zu erhalten.

(3) Die anerkannte datenaltruistische Organisation stellt Werkzeuge zur Einholung der Einwilligung betroffener Personen oder der Erlaubnis zur Verarbeitung der von Dateninhabern zur Verfügung gestellten Daten bereit. Die anerkannte datenaltruistische Organisation stellt ferner Werkzeuge zum einfachen Widerruf einer solchen Einwilligung oder Erlaubnis zur Verfügung.

(4) Die anerkannte datenaltruistische Organisation ergreift Maßnahmen, um ein angemessenes Sicherheitsniveau für die Speicherung und Verarbeitung der nicht personenbezogenen Daten sicherzustellen, die sie auf der Grundlage von Datenaltruismus erhoben hat.

(5) Die Dateninhaber werden von der anerkannten datenaltruistischen Organisation im Falle einer unbefugten Übertragung, des unbefugten Zugriffs oder der unbefugten Nutzung der von ihm geteilten nicht personenbezogenen Daten unverzüglich unterrichtet.

(6) Ermöglicht die anerkannte datenaltruistische Organisation die Datenverarbeitung durch Dritte, einschließlich durch die Bereitstellung von Werkzeugen zur Einholung der Einwilligung betroffener Personen oder der Erlaubnis zur Verarbeitung der von Dateninhabern zur Verfügung gestellten Daten bereit, so gibt sie gegebenenfalls das Hoheitsgebiet des Drittlandes an, in denen die Datennutzung stattfinden soll.

Artikel 22

Regelwerk

(1) Die Kommission erlässt gemäß Artikel 32 delegierte Rechtsakte zur Ergänzung der vorliegenden Verordnung durch die Ausarbeitung eines Regelwerks, das Folgendes enthält:

angemessene Informationsanforderungen, um sicherzustellen, dass betroffene_Personen und Dateninhaber vor Erteilung einer Einwilligung oder Erlaubnis für Datenaltruismus ausreichend detaillierte, klare und transparente Informationen über die Datennutzung, die Werkzeuge zur Erteilung und zum Widerruf der Einwilligung oder Erlaubnis und über die Maßnahmen erhalten, die ergriffen werden, um einen Missbrauch der mit der datenaltruistischen Organisation ausgetauschten Daten zu verhindern,

b)	geeignete technische Anforderungen und Sicherheitsanforderungen, um ein angemessenes Sicherheitsniveau für die Speicherung und Verarbeitung von Daten sowie für die Werkzeuge zur Erteilung und zum Widerruf der Einwilligung oder der Erlaubnis,

Kommunikationsfahrpläne, bei denen ein multidisziplinärer Ansatz verfolgt wird, um das Bewusstsein für Datenaltruismus, die Bezeichnung als „in der Union anerkannte datenaltruistische Organisation“ und das Regelwerk unter den einschlägigen Interessenträgern, insbesondere Dateninhabern und betroffenen Personen, die möglicherweise ihre Daten austauschen würden, zu schärfen,

d)	Empfehlungen zu einschlägigen Interoperabilitätsnormen.

(2) Das in Absatz 1 genannte Regelwerk wird in enger Zusammenarbeit mit datenaltruistischen Organisationen und einschlägigen Interessenträgern erstellt.

Artikel 23

Für die Registrierung von datenaltruistischen Organisationen zuständige Behörden

(1) Jeder Mitgliedstaat benennt eine oder mehrere zuständige Behörden, die für das öffentliche nationale Register der anerkannten datenaltruistischen Organisationen zuständig sind.

Die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden müssen den Anforderungen gemäß Artikel 26 entsprechen.

(2) Jeder Mitgliedstaat teilt der Kommission den Namen seiner für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden bis zum 24. September 2023 mit. Jeder Mitgliedstaat teilt der Kommission auch alle späteren Änderungen der Namen dieser zuständigen Behörden mit.

(3) Die für die Eintragung von datenaltruistischen Organisationen zuständige Behörde nimmt ihre Aufgaben in Bezug auf die Verarbeitung personenbezogener Daten in Zusammenarbeit mit der einschlägigen Datenschutzbehörde sowie mit den einschlägigen sektoralen Behörden desselben Mitgliedstaats wahr.

Artikel 24

Überwachung der Einhaltung

(1) Die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden überwachen und beaufsichtigen die Einhaltung der in diesem Kapitel festgelegten Anforderungen durch die anerkannten datenaltruistischen Organisationen. Die für die Eintragung von datenaltruistischen Organisationen zuständige Behörde kann die Einhaltung der Rechtsvorschriften durch diese datenaltruistischen Organisationen auch auf Antrag einer natürlichen oder juristischen Person überwachen und beaufsichtigen.

(2) Die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden sind befugt, von den anerkannten datenaltruistischen Organisationen alle Informationen zu verlangen, die nötig sind, um die Einhaltung der Anforderungen dieses Kapitels zu überprüfen. Jede Anforderung von Informationen muss in angemessenem Verhältnis zur Wahrnehmung dieser Aufgabe stehen und begründet sein.

(3) Stellt die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde fest, dass eine anerkannte datenaltruistische Organisation gegen eine oder mehrere Anforderungen dieses Kapitels verstößt, teilt sie dies der anerkannten datenaltruistischen Organisation mit und gibt ihr Gelegenheit, innerhalb von 30 Tagen nach Erhalt der Meldung dazu Stellung zu nehmen.

(4) Die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde ist befugt, die Beendigung des in Absatz 3 genannten Verstoßes entweder unverzüglich oder innerhalb einer angemessenen Frist zu verlangen, und ergreift angemessene und verhältnismäßige Maßnahmen, um die Einhaltung sicherzustellen.

(5) Erfüllt eine anerkannte datenaltruistische Organisation eine oder mehrere der Anforderungen dieses Kapitels auch dann nicht, nachdem sie von der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde gemäß Absatz 3 davon unterrichtet wurde, so

a)	verliert sie ihr Recht, in ihrer schriftlichen und mündlichen Kommunikation die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ zu führen,

b)	wird sie aus dem einschlägigen öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen und dem öffentlichen Unionsregister der anerkannten datenaltruistischen Organisationen gestrichen.

Jede Entscheidung gemäß Unterabsatz 1 Buchstabe a, die das Recht widerruft, die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ zu führen, wird durch die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde öffentlich zugänglich gemacht.

(6) Hat eine anerkannte datenaltruistische Organisation ihre Hauptniederlassung oder ihren gesetzlichen Vertreter in einem Mitgliedstaat, betätigt sich aber in anderen Mitgliedstaaten, so arbeiten die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde des Mitgliedstaats, in dem sich die Hauptniederlassung oder der gesetzliche Vertreter befindet, und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden der betreffenden anderen Mitgliedstaaten zusammen und unterstützen einander. Diese Unterstützung und Zusammenarbeit kann den Informationsaustausch zwischen den betreffenden für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden für die Zwecke ihrer Tätigkeiten im Rahmen dieser Verordnung und begründete Ersuchen umfassen, die in diesem Artikel genannten Maßnahmen zu ergreifen.

Ersucht eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde in einem Mitgliedstaat um Unterstützung durch eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde in einem anderen Mitgliedstaat, so stellt sie ein begründetes Ersuchen. Nach einem solchen Ersuchen antwortet die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde unverzüglich und innerhalb eines Zeitrahmens, der der Dringlichkeit des Ersuchens angemessen ist.

Alle Informationen, die im Zusammenhang mit einem Amtshilfeersuchen und geleisteter Amtshilfe nach diesem Artikel ausgetauscht werden, dürfen nur zu den Zwecken des Ersuchens verwendet werden.

Artikel 26

Anforderungen an zuständige Behörden

(1) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden müssen von allen Anbietern von Datenvermittlungsdiensten und allen anerkannten datenaltruistischen Organisationen rechtlich getrennt und funktional unabhängig sein. Die Aufgaben der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden können von derselben Behörde wahrgenommen werden. Die Mitgliedstaaten können entweder eine oder mehrere neue Behörden für diese Zwecke errichten oder bereits vorhandene Behörden nutzen.

(2) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden nehmen ihre Aufgaben unparteiisch, transparent, kohärent und rechtzeitig wahr. Bei der Wahrnehmung ihrer Aufgaben sorgen sie für einen fairen Wettbewerb und Diskriminierungsfreiheit.

(3) Die oberste Leitungsebene und die Mitarbeiter, die für die Durchführung der in dieser Verordnung vorgesehenen einschlägigen Aufgaben der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden verantwortlich sind, dürfen weder Konstrukteur, Hersteller, Lieferant, Installateur, Käufer, Eigentümer, Verwender oder Wartungsbetrieb der von ihnen bewerteten Dienste noch bevollmächtigter Vertreter einer dieser Parteien sein. Dies schließt die Verwendung von bewerteten Diensten, die für die Tätigkeit der für Datenvermittlungsdienste zuständigen Behörde und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde nötig sind, oder die Verwendung solcher Dienste zum persönlichen Gebrauch nicht aus.

(4) Die oberste Leitungsebene und die Mitarbeiter der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden dürfen sich nicht mit Tätigkeiten befassen, die ihre Unabhängigkeit bei der Beurteilung oder ihre Integrität im Zusammenhang mit den ihnen übertragenen Bewertungstätigkeiten beeinträchtigen könnten.

(5) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden müssen über angemessene finanzielle und personelle Mittel verfügen, um die ihnen übertragenen Aufgaben erfüllen zu können, einschließlich der erforderlichen Fachkenntnisse und Ressourcen.

(6) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden eines Mitgliedstaats stellen der Kommission und den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden anderer Mitgliedstaaten auf begründeten Antrag und unverzüglich die Informationen zur Verfügung, die sie zur Wahrnehmung ihrer Aufgaben gemäß dieser Verordnung benötigen. Sieht eine für Datenvermittlungsdienste zuständige Behörden oder eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde die verlangten Informationen nach den Bestimmungen des Unionsrechts und des nationalen Rechts über das Berufs- und Geschäftsgeheimnis als vertraulich an, so gewährleisten die Kommission und alle anderen für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden eine entsprechende vertrauliche Behandlung.

Artikel 27

Beschwerderecht

(1) Natürliche und juristische Personen haben das Recht, wegen aller in den Anwendungsbereich dieser Verordnung fallenden Angelegenheiten bei der jeweiligen, für die Datenvermittlungsdienste zuständigen Behörde, allein oder gegebenenfalls gemeinsam, Beschwerde gegen einen Anbieter von Datenvermittlungsdiensten oder bei der jeweiligen, für die Registrierung von datenaltruistischen Organisationen gegen eine anerkannte datenaltruistische Organisation einzulegen.

(2) Die für Datenvermittlungsdienste zuständige Behörde und die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde, bei der die Beschwerde eingelegt wurde, unterrichtet den Beschwerdeführer

a)	über den Stand des Verfahrens und die getroffene Entscheidung und

b)	über die Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 28.

Artikel 28

Recht auf einen wirksamen gerichtlichen Rechtsbehelf

(1) Jede betroffene natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen rechtsverbindliche Entscheidungen gemäß Artikel 14 durch die für Datenvermittlungsdienste zuständigen Behörden in Bezug auf die Verwaltung, Kontrolle und Durchsetzung der Anmeldevorschriften für Anbieter von Datenvermittlungsdiensten und rechtsverbindliche Entscheidungen gemäß Artikel 19 und 24 durch die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden in Bezug auf die Überwachung von anerkannten datenaltruistischen Organisationen.

(2) Verfahren nach diesem Artikel werden bei den Gerichten des Mitgliedstaats der für Datenvermittlungsdienste zuständigen Behörde und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde, gegen die der allein oder gegebenenfalls gemeinsam von den Vertretern einer oder mehrerer natürlicher oder juristischer Personen eingelegte Rechtsbehelf gerichtet ist, eingeleitet.

(3) Bleibt eine für Datenvermittlungsdienste zuständige Behörde oder eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde auf eine Beschwerde untätig, haben betroffene natürliche und juristische Personen gemäß dem nationalen Recht entweder Anspruch auf einen wirksamen gerichtlichen Rechtsbehelf oder Zugang zur Nachprüfung durch eine unparteiische Stelle mit entsprechender Sachkenntnis.

KAPITEL VI

Europäischer Dateninnovationsrat

Artikel 29

Europäischer Dateninnovationsrat

(1) Die Kommission setzt einen Europäischen Dateninnovationsrat ein, der die Form einer Expertengruppe hat und sich aus Vertretern der für Datenvermittlungsdienste zuständige Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden aller Mitgliedstaaten, des Europäischen Datenschutzausschusses, des Europäischen Datenschutzbeauftragten, der ENISA, der Kommission, dem KMU-Beauftragten der EU oder einem vom Netz der KMU-Beauftragten benannten Vertreter und anderen Vertretern von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen zusammensetzt. Bei der Ernennung einzelner Sachverständiger strebt die Kommission im Hinblick auf die Zusammensetzung der Expertengruppe ein ausgewogenes Geschlechterverhältnis und geografische Ausgewogenheit unter den Mitgliedern der Expertengruppe an.

(2) Der Europäische Dateninnovationsrat besteht aus mindestens den drei folgenden Untergruppen:

a)	einer aus den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden zusammengesetzten Untergruppe für die Aufgaben gemäß Artikel 30 Buchstaben a, c, j und k,

b)	einer Untergruppe für technische Beratungen zu Normung, Übertragbarkeit und Interoperabilität gemäß Artikel 30 Buchstaben f und g,

einer Untergruppe für die Einbeziehung von Interessenträgern, der einschlägige Vertreter der Wirtschaft, der Forschung, der Wissenschaft, der Zivilgesellschaft, von Normungsgremien, einschlägigen gemeinsamen europäischen Datenräumen und andere einschlägige Interessenträger und Dritte angehören, die den Europäischen Dateninnovationsrat zu Aufgaben gemäß Artikel 30 Buchstaben d, e, f, g und h beraten.

(3) Die Kommission führt den Vorsitz in den Sitzungen des Europäischen Dateninnovationsrats.

(4) Der Europäische Dateninnovationsrat wird von einem Sekretariat unterstützt, das von der Kommission gestellt wird.

Artikel 30

Aufgaben des Europäischen Dateninnovationsrats

Der Europäische Dateninnovationsrat hat folgende Aufgaben:

a)	Beratung und Unterstützung der Kommission bei der Entwicklung einer einheitlichen Praxis der öffentlichen Stellen und der in Artikel 7 Absatz 1 genannten zuständigen Stellen für die Bearbeitung von Anträgen auf Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien;

b)	Beratung und Unterstützung der Kommission bei der Entwicklung einer einheitlichen Praxis für den unionsweiten Datenaltruismus;

Beratung und Unterstützung der Kommission bei der Entwicklung einer einheitlichen Praxis der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden bei der Anwendung der Anforderungen, die jeweils für Anbieter von Datenvermittlungsdiensten und anerkannte datenaltruistische Organisationen gelten;

Beratung und Unterstützung der Kommission bei der Entwicklung einheitlicher Leitlinien dazu, wie nicht personenbezogene sensible Geschäftsdaten, vor allem Geschäftsgeheimnisse, aber auch nicht personenbezogene Daten von Inhalten, die durch Rechte des geistigen Eigentums geschützt sind, vor unrechtmäßigem Zugriff, der möglicherweise den Diebstahl geistigen Eigentums oder Industriespionage zur Folge hat, optimal geschützt werden können;

e)	Beratung und Unterstützung der Kommission bei der Entwicklung einheitlicher Leitlinien zu Cybersicherheitsanforderungen beim Austausch und der Speicherung von Daten;

Beratung der Kommission unter besonderer Berücksichtigung der Beiträge von Normungsgremien bei der Festlegung von Prioritäten für die Verwendung bzw. Entwicklung sektorübergreifender Normen für die Datennutzung und sektorübergreifende gemeinsame Datennutzung durch neue gemeinsame europäische Datenräume sowie für den sektorübergreifenden Vergleich und Austausch bewährter Verfahren in Bezug auf Sicherheitsanforderungen und Zugangsverfahren in bestimmten Sektoren, wobei sektorspezifische Normungstätigkeiten insbesondere bei der Klärung, welche Normen und Praktiken sektorspezifisch und welche sektorübergreifend sind, und bei der diesbezüglichen Differenzierung zu berücksichtigen sind;

Unterstützung der Kommission unter besonderer Berücksichtigung der Beiträge von Normungsgremien bei ihren Bemühungen, einer Fragmentierung des Binnenmarkts und der Datenwirtschaft im Binnenmarkt entgegenzuwirken, indem die grenzüberschreitende und die sektorübergreifende Interoperabilität von Daten sowie von Diensten für die gemeinsame Datennutzung zwischen verschiedenen Sektoren und Bereichen auf der Grundlage bestehender europäischer, internationaler oder nationaler Normen verbessert wird, um unter anderem die Schaffung gemeinsamer europäischer Datenräume zu fördern;

Unterbreitung von Leitlinien zu „gemeinsamen europäischen Datenräumen“, also zu zweck- oder sektorspezifischen oder auch sektorübergreifenden interoperablen Rahmen mit gemeinsamen Normen und Praktiken für die gemeinsame Nutzung oder Verarbeitung von Daten – unter anderem zur Entwicklung neuer Produkte und Dienste, für die wissenschaftliche Forschung oder für Initiativen der Zivilgesellschaft; solche gemeinsame Normen und Praktiken tragen geltenden Normen Rechnung, entsprechen den Wettbewerbsregeln und gewährleisten den nichtdiskriminierenden Zugang für alle Beteiligten, um die gemeinsame Datennutzung in der Union zu erleichtern und das Potenzial bereits vorhandener und künftiger Datenräume auszuschöpfen; dabei werden folgende Bereiche behandelt:

Verwendung und Entwicklung sektorübergreifender Normen für die Datennutzung und die sektorübergreifende gemeinsame Datennutzung, sektorübergreifender Vergleich und Austausch bewährter Verfahren in Bezug auf sektorale Sicherheitsanforderungen und Zugangsverfahren, wobei sektorspezifische Normungstätigkeiten insbesondere Klärung der Frage, welche Normen und Praktiken sektorspezifisch und welche sektorübergreifend sind, und bei der diesbezüglichen Differenzierung zu berücksichtigen sind,

ii)	Anforderungen bezüglich der Beseitigung von Marktzutrittsbeschränkungen und der Vermeidung von Lock-in-Effekten im Interesse eines fairen Wettbewerbs und der Interoperabilität,

iii)	angemessener Schutz für rechtmäßige Datenübertragungen in Drittländer, einschließlich Schutzvorkehrungen gegen nach Unionsrecht verbotene Datenübertragungen,

iv)	angemessene und nichtdiskriminierende Vertretung der einschlägigen Interessenträger bei der Verwaltung gemeinsamer europäischer Datenräume,

v)	Einhaltung der gemäß dem Unionsrecht geltenden Cybersicherheitsanforderungen.

i)	Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten bezüglich der Festlegung harmonisierter Bedingungen für die Erlaubnis, binnenmarktweit im Besitz öffentlicher Stellen befindliche Kategorien von Daten gemäß Artikel 3 Absatz 1 wiederzuverwenden;

Erleichterung der Zusammenarbeit zwischen den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden mittels Kapazitätsaufbau und Informationsaustausch, insbesondere durch die Festlegung von Methoden für einen effizienten Informationsaustausch über das Anmeldeverfahren für Anbieter von Datenvermittlungsdiensten und die Eintragung und Überwachung anerkannter datenaltruistischer Organisationen, einschließlich der Abstimmung über Gebühren und Sanktionen sowie der Erleichterung der Zusammenarbeit zwischen den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden beim internationalen Zugang zu Daten und internationale Datenübertragungen;

k)	Beratung und Unterstützung der Kommission bei der Prüfung der Frage, ob die Durchführungsrechtsakte gemäß Artikel 5 Absätze 11 und 12 erlassen werden sollen;

l)	Beratung und Unterstützung der Kommission bei der Entwicklung des europäischen Einwilligungsformulars für Datenaltruismus gemäß Artikel 25 Absatz 1;

m)	Beratung der Kommission bei der Verbesserung des internationalen Regelungsumfelds für nicht personenbezogene Daten einschließlich der Normung.

KAPITEL VII

Internationaler Zugang und internationale Übertragung

Artikel 31

Internationaler Zugang und internationale Übertragung

(1) Die öffentliche_Stelle, die natürliche oder juristische Person, der das Recht auf Weiterverwendung von Daten nach Kapitel II gewährt wurde, der Anbieter von Datenvermittlungsdiensten oder die anerkannte datenaltruistische Organisation ergreifen alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen, einschließlich vertraglicher Vereinbarungen, um die internationale Übertragung in der Union gespeicherter nicht personenbezogener Daten oder den Zugang von Regierungsorganisationen zu diesen Daten zu verhindern, wenn eine solche Übertragung oder ein solcher Zugang im Widerspruch zum Unionsrecht oder dem nationalen Recht des betreffenden Mitgliedstaats stünde; Absatz 2 oder Absatz 3 bleiben davon unberührt.

(2) Entscheidungen und Urteile eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einer öffentlichen Stelle, einer natürlichen oder juristischen Person, der das Recht auf Weiterverwendung von Daten nach Kapitel II gewährt wurde, einem Anbieter von Datenvermittlungsdiensten oder einer anerkannten datenaltruistischen Organisationen die Übertragung von in der Union gespeicherten nicht personenbezogenen Daten im Anwendungsbereich dieser Verordnung oder der Zugang zu diesen Daten in der Union verlangt wird, werden nur dann anerkannt oder vollstreckbar, wenn sie auf eine in Kraft befindliche völkerrechtliche Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder auf eine solche Vereinbarung zwischen dem ersuchenden Drittland und einem Mitgliedstaat gestützt sind.

(3) Wenn keine völkerrechtliche Übereinkunft gemäß Absatz 2 des vorliegenden Artikels besteht und eine Entscheidung oder ein Urteil eines Gerichts eines Drittlandes oder eine Entscheidung einer Verwaltungsbehörde eines Drittlands, mit der die Übertragung nicht personenbezogener Daten im Anwendungsbereich dieser Verordnung aus der Union oder der Zugang zu diesen Daten in der Union verlangt wird, an eine öffentliche_Stelle, eine natürliche oder juristische Person, der das Recht auf Weiterverwendung von Daten nach Kapitel II gewährt wurde, einen Anbieter von Datenvermittlungsdiensten oder eine anerkannte datenaltruistische Organisation gerichtet ist und die Befolgung einer solchen Entscheidung den Adressaten in Widerspruch zum Unionsrecht oder zum nationalen Recht des betreffenden Mitgliedstaats bringen würde, erfolgt die Übertragung dieser Daten an die Behörde des Drittlands oder die entsprechende Zugangsgewährung nur dann, wenn

das Rechtssystem des Drittlands vorschreibt, dass die Entscheidung oder das Urteil zu begründen ist und verhältnismäßig sein muss, und weiter vorsieht, dass die die Entscheidung oder das Urteil eine hinreichende Bestimmtheit aufweisen muss, indem z. B. darin eine hinreichende Bezugnahme auf bestimmte verdächtige Personen oder Rechtsverletzungen erfolgt,

b)	der begründete Einwand des Adressaten von einem zuständigen Gericht des Drittlands überprüft wird und

das zuständige Gericht des Drittlands, das die Entscheidung oder das Urteil erlässt oder die Entscheidung einer Verwaltungsbehörde überprüft, nach dem Recht dieses Drittlands befugt ist, die einschlägigen rechtlichen Interessen des Bereitstellers der durch das Unionsrecht oder das nationale Recht des betreffenden Mitgliedstaats geschützten Daten gebührend zu berücksichtigen.

(4) Sind die in Absatz 2 oder 3 festgelegten Bedingungen nicht erfüllt, so überträgt die öffentliche_Stelle, die natürliche oder juristische Person, der das Recht auf Weiterverwendung von Daten nach Kapitel II gewährt wurde, der Anbieter von Datenvermittlungsdiensten oder die anerkannte datenaltruistische Organisation aufgrund einer vertretbaren Auslegung des Ersuchens nur die auf das Ersuchen hin zulässige Mindestmenge an Daten.

(5) Bevor die öffentliche_Stelle, die natürliche oder juristische Person, der das Recht auf Weiterverwendung von Daten nach Kapitel II gewährt wurde, der Anbieter von Datenvermittlungsdiensten oder die anerkannte datenaltruistische Organisation dem Ersuchen einer Verwaltungsbehörde eines Drittlands auf Zugang zu den Daten eines Dateninhabers nachkommt, unterrichtet sie bzw. er den Dateninhaber über das Vorliegen dieses Ersuchens, es sei denn, das Ersuchen dient Strafverfolgungszwecken, und solange dies zur Wahrung der Wirksamkeit der Strafverfolgungsmaßnahme erforderlich ist.

KAPITEL VIII

Delegierung und Ausschussverfahren

Artikel 34

Sanktionen

(1) Die Mitgliedstaaten erlassen Vorschriften über Sanktionen, die bei Verstößen gegen die für die Übertragung nicht personenbezogener Daten in Drittländer gemäß Artikel 5 Absatz 14 und Artikel 31 geltenden Verpflichtungen, die nach Artikel 11 für Anbieter von Datenvermittlungsdiensten geltende Mitteilungspflicht, die gemäß Artikel 12 für die Erbringung von Datenvermittlungsdiensten geltenden Bedingungen und die gemäß den Artikeln 18, 20, 21 und 22 für die Eintragung als anerkannte datenaltruistische Organisation geltenden Bedingungen zu verhängen sind, und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. In ihren Sanktionsvorschriften tragen die Mitgliedstaaten den Empfehlungen des Europäischen Dateninnovationsrats Rechnung. Die Mitgliedstaaten teilen der Kommission diese Vorschriften und Maßnahmen bis zum 24. September 2023 mit und melden ihr unverzüglich alle späteren diesbezüglichen Änderungen.

(2) Bei der Verhängung von Sanktionen aufgrund von Verstößen gegen diese Verordnung gegen Anbieter von Datenvermittlungsdiensten und anerkannte datenaltruistische Organisationen berücksichtigen die Mitgliedstaaten, gegebenenfalls die folgenden nicht erschöpfenden und indikativen Kriterien:

a)	Art, Schwere, Umfang und Dauer des Verstoßes;

b)	Maßnahmen, die der Anbieter von Datenvermittlungsdiensten oder die anerkannte datenaltruistische Organisation zur Minderung oder Behebung des durch den Verstoß bedingten Schadens ergreifen;

c)	frühere Verstöße des Anbieters von Datenvermittlungsdiensten oder der anerkannten datenaltruistischen Organisation;

d)	die durch den Verstoß bedingten finanziellen Gewinne oder Verluste des Anbieters von Datenvermittlungsdiensten oder der anerkannten datenaltruistischen Organisation, sofern diese Gewinne oder Verluste zuverlässig festgestellt werden können;

e)	sonstige erschwerende oder mildernde Umstände im jeweiligen Fall.

Artikel 35

Bewertung und Überprüfung

Bis zum 24. September 2025 führt die Kommission eine Bewertung dieser Verordnung durch und übermittelt dem Europäischen Parlament und dem Rat sowie dem Europäischen Wirtschafts- und Sozialausschuss einen Bericht über ihre wichtigsten Ergebnisse. Dem Bericht werden, soweit erforderlich, Gesetzgebungsvorschläge beigefügt.

Dabei wird in dem Bericht insbesondere Folgendes bewertet:

a)	Anwendung und Funktionsweise der von den Mitgliedstaaten gemäß Artikel 34 festgelegten Sanktionsvorschriften;

Grad der Einhaltung dieser Verordnung durch die gesetzlichen Vertreter von Anbietern von Datenvermittlungsdiensten und anerkannten datenaltruistischen Organisationen, die nicht in der Union niedergelassen sind, und Grad der Durchsetzbarkeit von verhängten Sanktionen gegen diese Anbieter und Organisationen;

c)	Art der gemäß Kapitel IV eingetragenen datenaltruistischen Organisationen und ein Überblick über die mit der gemeinsamen Datennutzung verfolgten Zwecke von allgemeinem Interesse, um diesbezüglich klare Kriterien festzulegen.

Die Mitgliedstaaten übermitteln der Kommission alle zur Ausarbeitung dieses Berichts erforderlichen Informationen.

whereas

keyboard_tab Digital Governance Act 2022/0868 DE

Digital Governance Act 2022/0868 DE