keyboard_tab Digital Governance Act 2022/0868 DE
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 7 Art. 2 Begriffsbestimmungen
- 1 Art. 3 Datenkategorien
- 1 Art. 5 Bedingungen für die Weiterverwendung
- 1 Art. 6 Gebühren
- 1 Art. 7 Zuständige Stellen
- 2 Art. 13 Zuständige Behörden für Datenvermittlungsdienste
- 1 Art. 14 Überwachung der Einhaltung
- 1 Art. 16 Nationale Regelungen für Datenaltruismus
- 1 Art. 17 Öffentliche Register der anerkannten datenaltruistischen Organisationen
- 1 Art. 19 Eintragung anerkannter datenaltruistischer Organisationen
- 2 Art. 21 Besondere Anforderungen zum Schutz der Rechte und Interessen betroffener Personen und Dateninhaber im Hinblick auf ihre Daten
- 2 Art. 24 Überwachung der Einhaltung
- 2 Art. 26 Anforderungen an zuständige Behörden
KAPITEL I
Allgemeine Bestimmungen
KAPITEL II
Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen
KAPITEL III
Anforderungen an Datenvermittlungsdienste
KAPITEL IV
Datenaltruismus
KAPITEL V
Zuständige Behörden und Verfahrensvorschriften
KAPITEL VI
Europäischer Dateninnovationsrat
KAPITEL VII
Internationaler Zugang und internationale Übertragung
KAPITEL VIII
Delegierung und Ausschussverfahren
KAPITEL IX
Schluss- und Übergangsbestimmungen
- Daten
- Weiterverwendung
- personenbezogene Daten
- nicht personenbezogene Daten
- Einwilligung
- Erlaubnis
- betroffene Person
- Dateninhaber
- Datennutzer
- gemeinsame Datennutzung
- Datenvermittlungsdienst
- Verarbeitung
- Zugang
- Hauptniederlassung
- Dienste von Datengenossenschaften
- Datenaltruismus
- öffentliche Stelle
- Einrichtungen des öffentlichen Rechts
- öffentliches Unternehmen
- sichere Verarbeitungsumgebung
- gesetzlicher Vertreter
- für 132
- oder 131
- daten 117
- zuständigen 54
- organisationen 54
- datenaltruistischen 50
- stellen 49
- behörden 46
- weiterverwendung 44
- eine 42
- werden 40
- nicht 40
- europäischen 40
- über 39
- datenvermittlungsdienste 38
- artikel 38
- einer 37
- rates 37
- registrierung 35
- absatz 35
- parlaments 34
- öffentlichen 33
- verordnung 32
- behörde 31
- gemäß 30
- dieser 30
- zuständige 29
- durch 28
- einrichtung 28
- diese 28
- sind 28
- die 28
- nach 28
- union 24
- ihrer 24
- kommission 23
- informationen 23
- personen 22
- eu / 22
- können 22
- genannten 21
- anerkannten 20
- nationalen 19
- anforderungen 19
- unterstützung 18
- datenvermittlungsdiensten 18
- sich 18
- personenbezogener 18
- verarbeitung 18
- mitgliedstaat 18
Artikel 2
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
| 1. | „ Daten“ jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material; |
| 2. | „ Weiterverwendung“ die Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen für kommerzielle oder nichtkommerzielle Zwecke, die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags; |
| 3. | „personenbezogene Daten“ personenbezogene Daten im Sinne des Artikels 4 Nummer 1 der Verordnung (EU) 2016/679; |
| 4. | „nicht personenbezogene Daten“ Daten, die keine personenbezogenen Daten sind; |
| 5. | „ Einwilligung“ eine Einwilligung im Sinne des Artikels 4 Nummer 11 der Verordnung (EU) 2016/679; |
| 6. | „ Erlaubnis“, dass Datennutzern das Recht auf Verarbeitung nicht personenbezogener Daten eingeräumt wird; |
| 7. | „ betroffene_Person“ eine betroffene_Person im Sinne von Artikel 4 Nummer 1 der Verordnung (EU) 2016/679; |
| 8. | „ Dateninhaber“ eine juristische Person, einschließlich öffentlichen Stellen und internationalen Organisationen oder natürlichen Person, die in Bezug auf die betreffenden Daten keine betroffene_Person ist, welche nach geltendem Unionsrecht oder geltendem nationalen Recht berechtigt ist, Zugang zu bestimmten personenbezogenen Daten oder nicht personenbezogenen Daten zu gewähren oder diese Daten weiterzugeben; |
| 9. | „ Datennutzer“ eine natürliche oder juristische Person, die rechtmäßig Zugang zu bestimmten personenbezogenen oder nicht personenbezogenen Daten hat und im Fall personenbezogener Daten, unter anderem nach der Verordnung (EU) 2016/679, berechtigt ist, diese Daten für kommerzielle oder nichtkommerzielle Zwecke zu nutzen; |
| 10. | „gemeinsame Datennutzung“ die entgeltliche oder unentgeltliche Bereitstellung von Daten durch eine betroffene_Person oder einen Dateninhaber an einen Datennutzer für die gemeinschaftliche oder individuelle Nutzung dieser Daten auf der Grundlage freiwilliger Vereinbarungen, des Unionsrechts oder des nationalen Rechts, sowohl direkt als auch über einen Mittler, etwa im Rahmen von gebührenpflichtigen oder gebührenfreien offenen oder kommerziellen Lizenzen; |
| 11. | „ Datenvermittlungsdienst“ einen Dienst, mit dem durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung, auch für die Zwecke der Ausübung der Rechte betroffener Personen in Bezug auf personenbezogene Daten, zu ermöglichen, und die zumindest folgendes nicht umfassen:
|
| 12. | „ Verarbeitung“ die Verarbeitung im Sinne von Artikel 4 Nummer 2 der Verordnung (EU) 2016/679 im Hinblick auf personenbezogene Daten oder Artikel 3 Nummer 2 der Verordnung (EU) 2018/1807 im Hinblick auf nicht personenbezogene Daten; |
| 13. | „ Zugang“ die Datennutzung im Einklang mit bestimmten technischen, rechtlichen oder organisatorischen Anforderungen, ohne dass Daten hierzu zwingend übertragen oder heruntergeladen werden müssen; |
| 14. | „ Hauptniederlassung“ einer juristischen Person den Ort, an dem sich ihre Hauptverwaltung in der Union befindet; |
| 15. | „Dienste von Datengenossenschaften“ Datenvermittlungsdienste, die von einer Organisationsstruktur angeboten werden, welche sich aus betroffenen Personen, Ein-Personen-Unternehmen oder KMU, die in dieser Struktur Mitglied sind, zusammensetzt, und deren Hauptzwecke in der Unterstützung ihrer Mitglieder bei der Ausübung ihrer Rechte in Bezug auf bestimmte Daten bestehen, unter anderem beim Treffen einer sachkundigen Entscheidung vor der Einwilligung zur Datenverarbeitung, beim Meinungsaustausch über die den Interessen ihrer Mitglieder im Zusammenhang mit ihren Daten am besten entsprechenden Zwecke und Bedingungen der Datenverarbeitung und beim Aushandeln der Bedingungen der Datenverarbeitung im Namen der Mitglieder, bevor die Erlaubnis zur Verarbeitung nicht personenbezogener Daten erteilt oder in die Verarbeitung personenbezogener Daten eingewilligt wird; |
| 16. | „ Datenaltruismus“ die freiwillige gemeinsame Nutzung von Daten auf der Grundlage der Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder einer Erlaubnis anderer Dateninhaber zur Nutzung ihrer nicht personenbezogenen Daten, ohne hierfür ein Entgelt zu fordern oder zu erhalten, das über eine Entschädigung für die ihnen durch die Bereitstellung ihrer Daten entstandenen Kosten hinausgeht, für Ziele von allgemeinem Interesse gemäß dem nationalen Recht, wie die Gesundheitsversorgung, die Bekämpfung des Klimawandels, die Verbesserung der Mobilität, die einfachere Entwicklung, Erstellung und Verbreitung amtlicher Statistiken, die Verbesserung der Erbringung öffentlicher Dienstleistungen, die staatliche Entscheidungsfindung oder die wissenschaftliche Forschung im allgemeinen Interesse; |
| 17. | „ öffentliche_Stelle“ den Staat, Gebietskörperschaften, Einrichtungen_des_öffentlichen_Rechts oder Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen_des_öffentlichen_Rechts bestehen; |
| 18. | „ Einrichtungen_des_öffentlichen_Rechts“ Einrichtungen, die die folgenden Eigenschaften aufweisen:
|
| 19. | „ öffentliches_Unternehmen“ ein Unternehmen, auf das öffentliche_Stellen aufgrund ihres Eigentums, ihrer finanziellen Beteiligung oder der für das Unternehmen geltenden Bestimmungen unmittelbar oder mittelbar einen beherrschenden Einfluss ausüben können; von einem beherrschenden Einfluss der öffentlichen Stellen ist im Sinne dieser Begriffsbestimmung in jedem der folgenden Fälle auszugehen, in denen diese Stellen unmittelbar oder mittelbar
|
| 20. | „sichere Verarbeitungsumgebung“ die physische oder virtuelle Umgebung und die organisatorischen Mittel, mit denen die Einhaltung der Anforderungen des Unionsrechts, wie der Verordnung (EU) 2016/679, insbesondere im Hinblick auf die Rechte der betroffenen Personen, der Rechte des geistigen Eigentums und der geschäftlichen und statistischen Vertraulichkeit, der Integrität und der Verfügbarkeit, sowie des geltenden Unionsrechts und des nationalen Rechts gewährleistet wird und die es der Einrichtung, die die sichere Verarbeitungsumgebung bereitstellt, ermöglichen, alle Datenverarbeitungsvorgänge zu bestimmen und zu beaufsichtigen, darunter auch das Anzeigen, Speichern, Herunterladen und Exportieren von Daten und das Berechnen abgeleiteter Daten mithilfe von Rechenalgorithmen; |
| 21. | „ gesetzlicher_Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die ausdrücklich benannt wurde, um im Auftrag eines nicht in der Union niedergelassenen Anbieters von Datenvermittlungsdiensten oder einer Einrichtung, die von natürlichen oder juristischen Personen auf der Grundlage des Datenaltruismus für Ziele von allgemeinem Interesse zur Verfügung gestellte Daten erhebt, zu handeln, und an die sich die für die Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung datenaltruistischer Organisationen zuständigen Behörden hinsichtlich der Verpflichtungen nach dieser Verordnung ausschließlich oder zusätzlich zu den betreffenden Anbietern von Datenvermittlungsdiensten bzw. den betreffenden Einrichtungen, wenden auch um gegen einen nicht in der Union niedergelassenen Anbieter von Datenvermittlungsdiensten oder eine nicht in der Union niedergelassene Einrichtung, der bzw. die die Vorschriften nicht einhält, Durchsetzungsverfahren einzuleiten. |
KAPITEL II
Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen
Artikel 3
Datenkategorien
(1) Dieses Kapitel gilt für Daten, die sich im Besitz öffentlicher Stellen befinden und aus folgenden Gründen geschützt sind:
| a) | geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnissen, Berufsgeheimnissen, Unternehmensgeheimnissen; |
| b) | statistische Geheimhaltung, |
| c) | der Schutz geistigen Eigentums Dritter oder |
| d) | der Schutz personenbezogener Daten, soweit diese Daten nicht in den Anwendungsbereich der Richtlinie (EU) 2019/1024 fallen. |
(2) Dieses Kapitel gilt nicht für
| a) | Daten, die im Besitz öffentlicher Unternehmen sind, |
| b) | Daten, die im Besitz öffentlich-rechtlicher Rundfunkanstalten und ihrer Zweigstellen oder anderer Stellen und deren Zweigstellen sind und der Wahrnehmung eines öffentlichen Sendeauftrags dienen, |
| c) | Daten, die im Besitz von Kultureinrichtungen und Bildungseinrichtungen sind, |
| d) | Daten, die im Besitz öffentlicher Stellen sind und aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder |
| e) | Daten, deren Bereitstellung nicht unter den im betreffenden Mitgliedstaat gesetzlich oder anderweitig verbindlich festgelegten öffentlichen Auftrag der betreffenden öffentlichen Stellen fällt oder, in Ermangelung solcher Rechtsvorschriften, nicht unter den durch allgemeine Verwaltungspraxis in dem Mitgliedstaat festgelegten öffentlichen Auftrag fällt, vorausgesetzt, dass der Umfang der öffentlichen Aufträge transparent ist und regelmäßig überprüft wird. |
(3) Dieses Kapitel berührt nicht:
| a) | Das Unionsrecht und das nationale Recht oder völkerrechtliche Übereinkünfte, denen die Union oder die Mitgliedstaaten beigetreten sind, in Bezug auf den Schutz der in Absatz 1 genannten Datenkategorien und |
| b) | das Unionsrecht und das nationale Recht über den Zugang zu Dokumenten. |
Artikel 5
Bedingungen für die Weiterverwendung
(1) Öffentliche Stellen, die nach nationalem Recht dafür zuständig sind, den Zugang zur Weiterverwendung von Daten einer oder mehrerer der in Artikel 3 Absatz 1 genannten Datenkategorien zu gewähren oder zu verweigern, machen die Bedingungen für das Erlauben einer solchen Weiterverwendung und das Verfahren für die Beantragung einer solchen Weiterverwendung über die zentrale Informationsstelle nach Artikel 8 öffentlich zugänglich. Bei der Gewährung oder Verweigerung des Zugangs zur Weiterverwendung können sie von den in Artikel 7 Absatz 1 genannten zuständigen Stellen unterstützt werden.
Die Mitgliedstaaten stellen sicher, dass die öffentlichen Stellen über die notwendigen Ressourcen verfügen und den vorliegenden Artikel einhalten.
(2) Die Bedingungen für die Weiterverwendung müssen in Bezug auf die Datenkategorien, die Zwecke der Weiterverwendung und die Art der Daten, deren Weiterverwendung erlaubt wird, nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt sein. Diese Bedingungen dürfen nicht der Behinderung des Wettbewerbs dienen.
(3) Öffentliche Stellen sorgen gemäß dem Unionsrecht und dem nationalen Recht dafür, dass die Daten geschützt bleiben. Sie können folgende Anforderungen vorschreiben:
| a) | Den Zugang zur Weiterverwendung von Daten nur zu gewähren, wenn die öffentliche_Stelle oder die zuständige Stelle nach Eingang des Antrags auf Weiterverwendung sichergestellt hat, dass die Daten
|
| b) | der Zugang zu den Daten und deren Weiterverwendung erfolgt durch Fernzugriff in einer von der öffentlichen Stelle bereitgestellten oder kontrollierten sicheren Verarbeitungsumgebung, |
| c) | der Zugang zu den Daten und deren Weiterverwendung erfolgt unter Einhaltung hoher Sicherheitsstandards innerhalb der physischen Räumlichkeiten, in denen sich die sichere Verarbeitungsumgebung befindet, sofern ein Fernzugriff nicht erlaubt werden kann, ohne die Rechte und Interessen Dritter zu gefährden. |
(4) Die öffentlichen Stellen erlegen im Falle einer erlaubten Weiterverwendung gemäß Absatz 3 Buchstaben b und c Bedingungen auf, mit denen die Integrität des Betriebs der technischen Systeme der verwendeten sicheren Verarbeitungsumgebung gewahrt wird. Die öffentliche_Stelle behält sich das Recht vor, das Verfahren, die Mittel und die Ergebnisse der vom Weiterverwender durchgeführten Datenverarbeitung zu überprüfen, um die Integrität des Datenschutzes zu wahren, und sie behält sich das Recht vor, die Verwendung der Ergebnisse zu verbieten, wenn darin Informationen enthalten sind, die die Rechte und Interessen Dritter gefährden. Die Entscheidung, die Verwendung der Ergebnisse zu verbieten, muss für den Weiterverwender verständlich und transparent sein.
(5) Sofern im nationalen Recht für die Weiterverwendung von Daten gemäß Artikel 3 Absatz 1 keine besonderen Schutzvorkehrungen bezüglich geltender Geheimhaltungspflichten vorgesehen sind, macht die öffentliche_Stelle die Nutzung der gemäß Absatz 3 des vorliegenden Artikels bereitgestellten Daten davon abhängig, ob der Weiterverwender einer Geheimhaltungspflicht nachkommt, wonach ihm die Offenlegung von Informationen, die er möglicherweise trotz der getroffenen Schutzvorkehrungen erlangt hat, untersagt ist, wenn dadurch die Rechte und Interessen Dritter verletzt würden. Weiterverwendern ist es untersagt, betroffene_Personen, auf die sich die Daten beziehen, erneut zu identifizieren, und sie ergreifen technische und operative Maßnahmen, um eine erneute Identifizierung zu verhindern und der öffentlichen Stelle etwaige Datenschutzverletzungen, die zu einer erneuten Identifizierung der betroffenen Personen führen könnten, mitzuteilen. Im Falle der unbefugten Weiterverwendung nicht personenbezogener Daten unterrichtet der Weiterverwender unverzüglich, gegebenenfalls mit Unterstützung der öffentlichen Stelle, die juristischen Personen, deren Rechte und Interessen beeinträchtigt werden könnten.
(6) Kann die Weiterverwendung von Daten gemäß den in den Absätzen 3 und 4 des vorliegenden Artikels festgelegten Verpflichtungen nicht erlaubt werden und es keine andere Rechtsgrundlage für die Übermittlung der Daten gemäß der Verordnung (EU) 2016/679 gibt, bemüht sich die öffentliche_Stelle, gemäß dem Unionsrecht und dem nationalen Recht, nach besten Kräften, mögliche Weiterverwender dabei zu unterstützen, die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber einzuholen, deren Rechte und Interessen durch eine solche Weiterverwendung beeinträchtigt werden könnten, sofern dies ohne einen unverhältnismäßig hohen Aufwand für die öffentliche_Stelle machbar ist. In den Fällen, in denen die öffentliche_Stelle eine solche Unterstützung leistet, kann sie von den in Artikel 7 Absatz 1 genannten zuständigen Stellen unterstützt werden.
(7) Die Weiterverwendung von Daten ist nur unter Wahrung der Rechte des geistigen Eigentums zulässig. Öffentliche Stellen nehmen das in Artikel 7 Absatz 1 der Richtlinie 96/9/EG vorgesehene Recht der Hersteller von Datenbanken nicht in Anspruch, um dadurch die Weiterverwendung von Daten zu verhindern oder diese Weiterverwendung über die in dieser Verordnung festgelegten Beschränkungen hinaus einzuschränken.
(8) Werden angeforderte Daten nach den Bestimmungen des Unionsrechts oder des nationalen Rechts über die geschäftliche oder die statistische Geheimhaltung als vertraulich angesehen, so stellen die öffentlichen Stellen sicher, dass die vertraulichen Daten infolge der Erlaubnis einer solchen Weiterverwendung nicht offengelegt werden, es sei denn, die Weiterverwendung ist gemäß Absatz 6 zulässig.
(9) Beabsichtigt ein Weiterverwender nach Artikel 3 Absatz 1 geschützte nicht personenbezogene Daten in ein Drittland zu übertragen, so hat er die öffentliche_Stelle zum Zeitpunkt der Beantragung der Weiterverwendung solcher Daten von seiner Absicht, solche Daten zu übertragen, und dem Zweck dieser Übertragung zu unterrichten. Im Falle einer Weiterverwendung gemäß Absatz 6 des vorliegenden Artikels unterrichtet der Weiterverwender, gegebenenfalls mit Unterstützung der öffentlichen Stelle, die juristische Person, deren Rechte und Interessen beeinträchtigt werden können, über diese Absicht, den Zweck und die angemessenen Schutzvorkehrungen. Die öffentliche_Stelle gestattet die Weiterverwendung nur, wenn die juristische Person die Erlaubnis für die Übertragung erteilt.
(10) Öffentliche Stellen übermitteln nicht personenbezogene vertrauliche Daten oder durch Rechte des geistigen Eigentums geschützte Daten nur dann an einen Weiterverwender, der beabsichtigt, diese Daten in ein nicht gemäß Absatz 12 benanntes Drittland zu übertragen, wenn der Weiterverwender sich vertraglich dazu verpflichtet,
| a) | die gemäß den Absätzen 7 und 8 auferlegten Verpflichtungen auch nach der Übertragung der Daten in das Drittland weiterhin zu erfüllen und |
| b) | die Zuständigkeit der Gerichte des Mitgliedstaats der übermittelnden öffentlichen Stelle für alle Streitigkeiten im Zusammenhang mit der Einhaltung der Absätze 7 und 8 anzuerkennen. |
(11) Öffentliche Stellen bieten den Weiterverwendern gegebenenfalls und im Rahmen ihrer Möglichkeiten Beratung und Unterstützung, indem sie den in Absatz 10 des vorliegenden Artikels genannten Verpflichtungen nachkommen.
Zur Unterstützung der öffentlichen Stellen und der Weiterverwender kann die Kommission Durchführungsrechtsakte mit Mustervertragsklauseln für die Erfüllung der in Absatz 10 des vorliegenden Artikels genannten Verpflichtungen erlassen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 33 Absatz 3 genannten Prüfverfahren erlassen.
(12) Wenn dies aufgrund der Vielzahl unionsweit gestellter Anträge auf Weiterverwendung nicht personenbezogener Daten in bestimmten Drittländern gerechtfertigt ist, kann die Kommission Durchführungsrechtsakte erlassen, in denen sie erklärt, dass die Rechts-, Aufsichts- und Durchsetzungsmechanismen eines Drittlands
| a) | den Schutz geistigen Eigentums und von Geschäftsgeheimnissen in einer Weise gewährleisten, die im Wesentlichen dem durch das Unionsrecht gewährleisteten Schutz gleichwertig ist, |
| b) | wirksam angewendet und durchgesetzt werden und |
| c) | wirksame gerichtliche Rechtsbehelfe vorsehen. |
Diese Durchführungsrechtsakte werden gemäß dem in Artikel 33 Absatz 3 genannten Prüfverfahren erlassen.
(13) Nach besonderen Gesetzgebungsakten der Union können bestimmte Kategorien nicht personenbezogener Daten, die im Besitz öffentlicher Stellen sind, für die Zwecke dieses Artikels als hochsensibel gelten, wenn die Übertragung dieser Daten in Drittländer Ziele des Gemeinwohls der Union, beispielsweise in den Bereichen Sicherheit und öffentliche Gesundheit, gefährden könnte oder die Gefahr einer erneuten Identifizierung anhand nicht personenbezogener, anonymisierter Daten birgt. Wird ein solcher Rechtsakt erlassen, so erlässt die Kommission gemäß Artikel 32 delegierte Rechtsakte zur Ergänzung dieser Verordnung durch Festlegung besonderer Bedingungen für die Übertragung dieser Daten in Drittländer.
Diese besonderen Bedingungen richten sich nach der Art der Kategorien der nicht personenbezogenen Daten, die in dem besonderen Gesetzgebungsakt der Union aufgeführt werden, und den Gründen, aus denen diese Kategorien als hochsensibel gelten, wobei sie die Risiken einer erneuten Identifizierung anhand anonymisierter Daten berücksichtigen. Sie sind nichtdiskriminierend und auf das erforderliche Maß zur Erreichung der in diesem Gesetzgebungsakt der Union festgelegten Ziele des Gemeinwohls der Union beschränkt; sie stehen im Einklang mit den internationalen Verpflichtungen der Union.
Wenn dies nach besonderen Gesetzgebungsakt der Union gemäß Unterabsatz 1 erforderlich ist, können diese besonderen Bedingungen Vorgaben für die Übertragung oder diesbezügliche technische Vorkehrungen, Beschränkungen bezüglich der Weiterverwendung von Daten in Drittländern oder Kategorien von Personen, die berechtigt sind, solche Daten in Drittländer zu übertragen, oder – in Ausnahmefällen – Beschränkungen für Übertragungen in Drittländer umfassen.
(14) Die natürliche oder juristische Person, der das Recht auf Weiterverwendung nicht personenbezogener Daten gewährt wurde, darf die Daten nur in solche Drittländer übertragen, die die Anforderungen der Absätze 10, 12 und 13 erfüllen.
Artikel 6
Gebühren
(1) Öffentliche Stellen, die eine Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien erlauben, können Gebühren für die Erlaubnis der Weiterverwendung dieser Daten erheben.
(2) Gemäß Absatz 1 erhobene Gebühren müssen transparent, nichtdiskriminierend, verhältnismäßig und objektiv gerechtfertigt sein und dürfen den Wettbewerb nicht einschränken.
(3) Öffentliche Stellen müssen gewährleisten, dass alle Gebühren auch online über weithin verfügbare grenzüberschreitende Zahlungsdienste ohne Diskriminierung aufgrund des Niederlassungsorts des Zahlungsdienstleisters, des Ausstellungsorts des Zahlungsinstruments oder des Standorts des Zahlungskontos in der Union bezahlt werden können.
(4) Erheben die öffentlichen Stellen Gebühren, so ergreifen sie Maßnahmen, um – gemäß den Vorschriften über staatliche Beihilfen – Anreize für die Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien zu nichtkommerziellen Zwecken wie der wissenschaftlichen Forschung und durch KMU und Start-up-Unternehmen zu schaffen. In diesem Zusammenhang können öffentliche_Stellen die Daten insbesondere KMU, Start-up-Unternehmen, der Zivilgesellschaft und Bildungseinrichtungen auch gegen eine ermäßigte Gebühr oder unentgeltlich zur Verfügung stellen. Öffentliche Stellen können zu diesem Zweck eine Liste der Kategorien von Weiterverwendern aufstellen, denen Daten für die Weiterverwendung gegen eine ermäßigte Gebühr oder unentgeltlich zur Verfügung gestellt werden. Diese Liste wird zusammen mit den Kriterien, die bei ihrer Aufstellung verwendet wurden, veröffentlicht.
(5) Gebühren werden aus den Kosten abgeleitet, die mit der Durchführung des Antragsverfahrens auf Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien verbunden sind, und auf die für das Folgende erforderlichen Kosten beschränkt:
| a) | die Vervielfältigung, Bereitstellung und Verbreitung der Daten, |
| b) | die Freigabe der Urheberrechte, |
| c) | die Anonymisierung oder sonstigen Aufbereitung personenbezogener oder vertraulicher Geschäftsinformationen gemäß Artikel 5 Absatz 3, |
| d) | die Instandhaltung einer sicheren Verarbeitungsumgebung, |
| e) | der Erwerb des Rechts auf Erlaubnis der Weiterverwendung gemäß diesem Kapitel von Dritten außerhalb des öffentlichen Sektors und |
| f) | der Unterstützung von Weiterverwendern bei der Einholung der Einwilligung der betroffenen Personen und der Erlaubnis der Dateninhaber, deren Rechte und Interessen durch eine solche Weiterverwendung beeinträchtigt werden könnten. |
(6) Die Kriterien und die Methode für die Gebührenberechnung werden von den Mitgliedstaaten festgelegt und veröffentlicht. Die öffentliche_Stelle veröffentlicht eine Beschreibung der wichtigsten Kostenarten und die Regeln der Kostenzuweisung.
Artikel 7
Zuständige Stellen
(1) Für die Durchführung der in diesem Artikel genannten Aufgaben benennt jeder Mitgliedstaat eine oder mehrere zuständige Stellen, die für bestimmte Sektoren zuständig sein können, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien gewähren oder verweigern, unterstützen. Die Mitgliedstaaten können entweder eine oder mehrere neue zuständige Stellen einrichten oder sich auf bestehende öffentliche_Stellen oder interne Dienste öffentlicher Stellen stützen, die die in dieser Verordnung festgelegten Bedingungen erfüllen.
(2) Die zuständigen Stellen können nach dem Unionsrecht oder dem nationalen Recht, wenn darin eine solche Zugangsgewährung vorgesehen ist, befugt werden, den Zugang zur Weiterverwendung von Daten der in Artikel 3 Absatz 1 genannten Datenkategorien zu gewähren. In den Fällen, in denen sie den Zugang zur Weiterverwendung gewähren oder verweigern, finden die Artikel 4, 5, 6 und 9 auf diese zuständigen Stellen Anwendung.
(3) Die zuständigen Stellen müssen zur Erfüllung der ihnen übertragenen Aufgaben über angemessene rechtliche, finanzielle, technische und personelle Mittel, einschließlich der erforderlichen technischen Sachkenntnis, verfügen, damit sie in der Lage sind, das einschlägige Unionsrecht bzw. nationale Recht in Bezug auf die Regelungen für den Zugang zu Daten der in Artikel 3 Absatz 1 genannten Datenkategorien einzuhalten.
(4) Soweit erforderlich, beinhaltet die Unterstützung nach Absatz 1 Folgendes:
| a) | Leistung technischer Unterstützung durch Bereitstellung einer sicheren Verarbeitungsumgebung für die Gewährung des Zugangs zur Weiterverwendung von Daten; |
| b) | Beratung und technische Unterstützung bei der bestmöglichen Strukturierung und Speicherung von Daten, um diese Daten leicht zugänglich zu machen; |
| c) | Leistung technischer Unterstützung bei der Pseudonymisierung und Sicherstellung, dass die Datenverarbeitung in einer Weise erfolgt, bei der die Privatsphäre, die Vertraulichkeit, die Integrität und die Zugänglichkeit in Bezug auf die Informationen in den Daten, deren Weiterverwendung erlaubt wird, effektiv gewahrt bleiben; dazu gehören auch Techniken zur Anonymisierung, Generalisierung, Unterdrückung und Randomisierung personenbezogener Daten oder andere dem Stand der Technik entsprechende Methoden zur Wahrung der Privatsphäre sowie die Löschung vertraulicher Geschäftsinformationen, wie Handelsgeheimnisse oder durch Rechte des geistigen Eigentums geschützte Inhalte; |
| d) | gegebenenfalls Unterstützung der öffentlichen Stellen, um Weiterverwender bei der Einholung der Einwilligung der betroffenen Personen zur Weiterverwendung oder der Erlaubnis der Dateninhaber entsprechend ihrer besonderen Festlegungen zu unterstützen, auch im Hinblick auf das Hoheitsgebiet, in dem die Datenverarbeitung stattfinden soll, und Unterstützung der öffentlichen Stellen bei der Einrichtung technischer Mechanismen, mit denen Einwilligungsanfragen oder die Erlaubnis der Weiterverwender übermittelt werden können, soweit dies praktikabel ist; |
| e) | Unterstützung öffentlicher Stellen bei der Beurteilung, ob die von einem Weiterverwender nach Artikel 5 Absatz 10 eingegangenen vertragliche Zusagen angemessen sind. |
(5) Jeder Mitgliedstaat teilt der Kommission bis zum 24. September 2023 die Namen der nach Absatz 1 benannten zuständigen Stellen mit. Jeder Mitgliedstaatteilt der Kommission auch alle späteren Änderungen des Namens dieser benannten zuständigen Stellen mit.
Artikel 13
Zuständige Behörden für Datenvermittlungsdienste
(1) Jeder Mitgliedstaat benennt eine oder mehrere zuständige Behörden für die Wahrnehmung der Aufgaben im Zusammenhang mit dem Anmeldeverfahren für Datenvermittlungsdienste, und teilt der Kommission bis zum 24. September 2023 die Namen dieser zuständigen Behörden mit. Jeder Mitgliedstaat teilt der Kommission auch alle späteren Änderungen der Namen dieser zuständigen Behörden mit.
(2) Die für Datenvermittlungsdienste zuständigen Behörden müssen den Anforderungen des Artikels 26 genügen.
(3) Die Befugnisse der für Datenvermittlungsdienste zuständigen Behörden lassen die Befugnisse der Datenschutzbehörden, der nationalen Wettbewerbsbehörden, der für Cybersicherheit zuständigen Behörden und anderer einschlägiger Fachbehörden unberührt. Nach Maßgabe ihrer jeweiligen Befugnisse im Rahmen des Unionsrechts und des nationalen Rechts begründen diese Behörden eine enge Zusammenarbeit, tauschen Informationen aus, die für die Wahrnehmung ihrer Aufgaben in Bezug auf Anbieter von Datenvermittlungsdiensten erforderlich sind, und bemühen sich darum, dass die Entscheidungen, die bei der Anwendung der Verordnung getroffen werden, konsistent sind.
Artikel 14
Überwachung der Einhaltung
(1) Die für Datenvermittlungsdienste zuständigen Behörden überwachen und beaufsichtigen die Einhaltung der Anforderungen dieses Kapitels durch die Anbieter von Datenvermittlungsdiensten. Auf Antrag einer natürlichen oder juristischen Person kann die für Datenvermittlungsdienste zuständige Behörde auch die Einhaltung der Rechtsvorschriften durch Anbieter von Datenvermittlungsdiensten überwachen und beaufsichtigen.
(2) Die für Datenvermittlungsdienste zuständigen Behörden sind befugt, von den Anbietern von Datenvermittlungsdiensten oder ihren gesetzlichen Vertretern alle Informationen anzufordern, die nötig sind, um die Einhaltung der Anforderungen dieses Kapitels zu überprüfen. Jede Anforderung von Informationen muss in angemessenem Verhältnis zur Wahrnehmung dieser Aufgabe stehen und mit Gründen versehen sein.
(3) Stellt die für Datenvermittlungsdienste zuständige Behörde fest, dass ein Anbieter von Datenvermittlungsdiensten gegen eine oder mehrere Anforderungen dieses Kapitels verstößt, teilt sie dies dem betreffenden Anbieter von Datenvermittlungsdiensten mit und gibt ihm Gelegenheit, innerhalb von 30 Tagen nach Erhalt der Mitteilung dazu Stellung zu nehmen.
(4) Die für Datenvermittlungsdienste zuständige Behörde ist befugt, die Beendigung des in Absatz 3 genannten Verstoßes innerhalb einer angemessenen Frist oder im Fall eines schwerwiegenden Verstoßes unverzüglich zu verlangen, und ergreift angemessene und verhältnismäßige Maßnahmen, um die Einhaltung sicherzustellen. In dieser Hinsicht müssen die für Datenvermittlungsdienste zuständigen Behörden gegebenenfalls dazu befugt sein,
| a) | im Rahmen von Verwaltungsverfahren abschreckende Geldstrafen, die Zwangsgelder und Zwangsgelder mit Rückwirkung umfassen können, zu verhängen gerichtliche Verfahren zur Verhängung von Geldbußen einzuleiten, oder beides zu tun; |
| b) | eine Verschiebung des Beginns oder eine Aussetzung der Erbringung des Datenvermittlungsdienstes bis zu den von der für Datenvermittlungsdienste zuständigen Behörde geforderten Änderungen seiner Bedingungen anzuordnen oder |
| c) | die Einstellung der Bereitstellung des Datenvermittlungsdienstes anzuordnen, falls schwere oder wiederholte Verstöße trotz der vorherigen Mitteilung gemäß Absatz 3 nicht behoben wurden. |
Die für Datenvermittlungsdienste zuständige Behörde fordert die Kommission auf, den Anbieter des Datenvermittlungsdienstes aus dem Register der Anbieter von Datenvermittlungsdiensten zu streichen, sobald sie die Einstellung der Bereitstellung von Datenvermittlungsdiensten gemäß Unterabsatz 1 Buchstabe c angeordnet hat.
Wenn ein Anbieter von Datenvermittlungsdiensten die Verstöße beseitigt, teilt dieser Anbieter von Datenvermittlungsdiensten dies erneut der für Datenvermittlungsdienste zuständigen Behörde mit. Die für Datenvermittlungsdienste zuständige Behörde teilt der Kommission jede erneute Mitteilung mit.
(5) Wenn ein Anbieter von Datenvermittlungsdiensten, der nicht in der Union niedergelassen ist, keinen gesetzlichen Vertreter benennt oder der gesetzliche Vertreter es versäumt, auf Verlangen der für Datenvermittlungsdienste zuständigen Behörde die erforderlichen Informationen vorzulegen, durch die die Einhaltung dieser Verordnung umfassend belegt wird, ist die für Datenvermittlungsdienste zuständige Behörde befugt, den Beginn der Erbringung des Datenvermittlungsdienstes zu verschieben oder diese auszusetzen, bis der gesetzliche Vertreter benannt wurde oder die erforderlichen Informationen vorgelegt wurden.
(6) Die für Datenvermittlungsdienste zuständigen Behörden teilen dem betreffenden Anbieter der Datenvermittlungsdienste unverzüglich die gemäß den Absätzen 4 und 5 auferlegten Maßnahmen, die Gründe dafür sowie die notwendigen Schritte zur Behebung der entsprechenden Mängel mit und setzen dem Anbieter von Datenvermittlungsdiensten eine angemessene Frist von höchstens 30 Tagen damit der Anbieter von Datenvermittlungsdiensten diesen Maßnahmen nachkommen kann.
(7) Hat ein Anbieter von Datenvermittlungsdiensten für die gemeinsame Datennutzung seine Hauptniederlassung oder seinen gesetzlichen Vertreter in einem Mitgliedstaat, erbringt aber Dienste in anderen Mitgliedstaaten, so arbeiten die für Datenvermittlungsdienste zuständige Behörde des Mitgliedstaats, in dem sich die Hauptniederlassung oder der gesetzliche Vertreter befindet, und die für Datenvermittlungsdienste zuständigen Behörden der betreffenden anderen Mitgliedstaaten zusammen und unterstützen einander. Diese Unterstützung und Zusammenarbeit kann den Informationsaustausch zwischen den betreffenden für Datenvermittlungsdienste zuständigen Behörden für die Zwecke ihrer Tätigkeiten im Rahmen dieser Verordnung und das begründete Ersuchen umfassen, die in diesem Artikel genannten Maßnahmen zu ergreifen.
Ersucht eine für Datenvermittlungsdienste zuständige Behörde in einem Mitgliedstaat um Unterstützung einer für Datenvermittlungsdienste zuständigen Behörden aus einem anderen Mitgliedstaat, so stellt sie ein begründetes Ersuchen. Die für Datenvermittlungsdienste zuständige Behörde antwortet dieses Ersuchen unverzüglich und innerhalb einer Frist, die der Dringlichkeit des Ersuchens angemessen ist.
Alle Informationen, die im Zusammenhang mit einem Amtshilfeersuchen und geleisteter Amtshilfe nach diesem Artikel ausgetauscht werden, dürfen nur zu den Zwecken verwendet werden, für die um sie ersucht wurde.
Artikel 16
Nationale Regelungen für Datenaltruismus
Die Mitgliedstaaten können organisatorische oder technische Regelungen oder beides festlegen, um Datenaltruismus zu erleichtern. Hierzu können die Mitgliedstaaten nationale Strategien für Datenaltruismus festlegen. Diese nationalen Strategien können insbesondere dazu dienen, betroffene_Personen dabei zu unterstützen, sie betreffende personenbezogene Daten im Besitz öffentlicher Stellen freiwillig für den Datenaltruismus zur Verfügung zu stellen, und die erforderlichen Informationen festzulegen, die betroffenen Personen in Bezug auf die Weiterverwendung ihrer Daten im allgemeinen Interesse zur Verfügung gestellt werden müssen.
Entwickelt ein Mitgliedstaat solche nationalen Strategien, so teilt er dies der Kommission mit.
Artikel 17
Öffentliche Register der anerkannten datenaltruistischen Organisationen
(1) Jede für die Registrierung von datenaltruistischen Organisationen zuständige Behörde führt ein öffentliches nationales Register der anerkannten datenaltruistischen Organisationen und aktualisiert dieses regelmäßig.
(2) Die Kommission pflegt zu Informationszwecken ein öffentliches Unionsregister der anerkannten datenaltruistischen Organisationen. Sofern eine gemäß Artikel 18 im öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen eingetragene Einrichtung registriert ist, darf sie in ihrer schriftlichen und mündlichen Kommunikation die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ und ein gemeinsames Logo verwenden.
Damit anerkannte datenaltruistische Organisationen in der gesamten Union leicht zu erkennen sind, legt die Kommission im Wege von Durchführungsrechtsakten die Ausgestaltung des gemeinsamen Logos fest. Anerkannte datenaltruistische Organisationen verwenden das gemeinsame Logo gut sichtbar auf jeder Online- und Offline-Veröffentlichung, die mit ihren datenaltruistischen Tätigkeiten in Zusammenhang steht. Das gemeinsame Logo erscheint gemeinsam mit einem QR-Code mit Link zum öffentlichen Unionsregister der anerkannten datenaltruistischen Organisationen.
Die Durchführungsrechtsakte werden nach dem in Artikel 33 Absatz 2 genannten Beratungsverfahren erlassen.
Artikel 19
Eintragung anerkannter datenaltruistischer Organisationen
(1) Eine Einrichtung, die die Anforderungen des Artikels 18 erfüllt, kann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen in dem Mitgliedstaat stellen, in dem sie niedergelassen ist.
(2) Eine Einrichtung, die die Anforderungen des Artikels 18 erfüllt und in mehreren Mitgliedstaaten niedergelassen ist, kann einen Antrag zur Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen in dem Mitgliedstaat beantragen, in dem sie ihre Hauptniederlassung hat.
(3) Eine Einrichtung, die die Anforderungen des Artikels 18 erfüllt, aber nicht in der Union niedergelassen ist, benennt einen gesetzlichen Vertreter in einem der Mitgliedstaaten, in dem diese datenaltruistischen Dienste angeboten werden.
Um die Einhaltung dieser Verordnung sicherzustellen, beauftragt die Einrichtung den gesetzlichen Vertreter, neben ihr oder an ihrer Stelle für die Registrierung datenaltruistischer Organisationen den zuständigen Behörden oder betroffenen Personen und Dateninhabern bei Fragen im Zusammenhang mit diesen Einrichtungen als Anlaufstelle zu dienen. Der gesetzliche Vertreter arbeitet mit den für die Registrierung datenaltruistischer Organisationen zuständigen Behörden zusammen und legt ihnen auf Verlangen umfassend dar, welche Maßnahmen und Vorkehrungen die Einrichtung getroffen hat, um die Einhaltung dieser Verordnung sicherzustellen.
Die Einrichtung gilt als in der Zuständigkeit des Mitgliedstaats liegend, in dem der gesetzliche Vertreter niedergelassen ist. Die Einrichtung kann einen Antrag zur Registrierung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen in diesem Mitgliedstaat beantragen. Die Benennung eines gesetzlichen Vertreters durch die Einrichtung erfolgt unbeschadet etwaiger rechtlicher Schritte gegen die Einrichtung.
(4) Der Eintragungsantrag gemäß den Absätzen 1, 2 und 3 muss folgende Angaben enthalten:
| a) | den Namen der Einrichtung, |
| b) | Rechtsstatus, Rechtsform und, sofern die Einrichtung in einem öffentlichen nationalen Register eingetragen ist, Registernummer der Einrichtung, |
| c) | die Satzung der Einrichtung, falls zutreffend, |
| d) | die Einnahmequellen der Einrichtung, |
| e) | die Anschrift der Hauptniederlassung der Einrichtung in der Union, falls vorhanden, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters, |
| f) | eine öffentliche Website mit vollständigen und aktuellen Informationen über die Einrichtung und ihre Tätigkeiten, einschließlich mindestens der Informationen gemäß den Buchstaben a, b, d, e und h, |
| g) | die Kontaktpersonen und Kontaktangaben der Einrichtung, |
| h) | die Ziele von allgemeinem Interesse, die sie mit der Erhebung der Daten fördern will, |
| i) | die Art der Daten, die die Einrichtung überprüfen oder verarbeiten will, sowie, im Fall von personenbezogenen Daten, die Kategorien von personenbezogenen Daten, |
| j) | alle sonstigen Nachweise, die belegen, dass die Anforderungen des Artikels 18 erfüllt werden. |
(5) Nachdem die Einrichtung alle erforderlichen Informationen gemäß Absatz 4 übermittelt hat und die für die Registrierung datenaltruistischer Organisationen zuständige Behörde den Eintragungsantrag bewertet hat und zu dem Schluss gekommen ist, dass die Einrichtung die Anforderungen des Artikels 18 erfüllt, nimmt die Behörde innerhalb von 12 Wochen nach Eingang des Antrags auf Registrierung die Eintragung der Einrichtung in das öffentliche nationale Register der anerkannten datenaltruistischen Organisationen vor. Die Eintragung gilt in allen Mitgliedstaaten.
Die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde teilt der Kommission jede Registrierung mit. Die Kommission nimmt diese Registrierung in das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen auf.
(6) Die in Absatz 4 Buchstaben a, b, f, g und h genannten Angaben werden im einschlägigen öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen veröffentlicht.
(7) Eine anerkannte datenaltruistische Organisation teilt der entsprechenden für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde jede Änderung der gemäß Absatz 4 übermittelten Angaben innerhalb von 14 Tagen ab dem Tag der Änderung mit.
Die für die Registrierung datenaltruistischer Organisationen zuständigen Behörde teilt der Kommission unverzüglich jede solche Mitteilung auf elektronischem Wege mit. Auf der Grundlage einer solchen Meldung aktualisiert die Kommission unverzüglich das öffentliche Unionsregister der anerkannten datenaltruistischen Organisationen.
Artikel 21
Besondere Anforderungen zum Schutz der Rechte und Interessen betroffener Personen und Dateninhaber im Hinblick auf ihre Daten
(1) Eine anerkannte datenaltruistische Organisation informiert betroffene_Personen oder Dateninhaber vor der Verarbeitung ihrer Daten auf klare und leicht verständliche Weise über Folgendes:
| a) | die Ziele von allgemeinem Interesse und gegebenenfalls den angegebenen, ausdrücklichen und rechtmäßigen Zweck der Verarbeitung personenbezogener Daten, für die sie die Verarbeitung ihrer Daten durch einen Datennutzer erlaubt; |
| b) | den Standort und die Ziele von allgemeinem Interesse, für die sie eine etwaige Verarbeitung in einem Drittland erlaubt, sofern die Verarbeitung von der anerkannten datenaltruistischen Organisation vorgenommen wird. |
(2) Die anerkannte datenaltruistische Organisation verwendet die Daten nicht für andere als die Ziele von allgemeinem Interesse, für die die betroffene_Person oder der Dateninhaber die Verarbeitung erlaubt hat. Die anerkannte datenaltruistische Organisation darf keine irreführenden Vermarktungspraktiken verwenden, um Daten zu erhalten.
(3) Die anerkannte datenaltruistische Organisation stellt Werkzeuge zur Einholung der Einwilligung betroffener Personen oder der Erlaubnis zur Verarbeitung der von Dateninhabern zur Verfügung gestellten Daten bereit. Die anerkannte datenaltruistische Organisation stellt ferner Werkzeuge zum einfachen Widerruf einer solchen Einwilligung oder Erlaubnis zur Verfügung.
(4) Die anerkannte datenaltruistische Organisation ergreift Maßnahmen, um ein angemessenes Sicherheitsniveau für die Speicherung und Verarbeitung der nicht personenbezogenen Daten sicherzustellen, die sie auf der Grundlage von Datenaltruismus erhoben hat.
(5) Die Dateninhaber werden von der anerkannten datenaltruistischen Organisation im Falle einer unbefugten Übertragung, des unbefugten Zugriffs oder der unbefugten Nutzung der von ihm geteilten nicht personenbezogenen Daten unverzüglich unterrichtet.
(6) Ermöglicht die anerkannte datenaltruistische Organisation die Datenverarbeitung durch Dritte, einschließlich durch die Bereitstellung von Werkzeugen zur Einholung der Einwilligung betroffener Personen oder der Erlaubnis zur Verarbeitung der von Dateninhabern zur Verfügung gestellten Daten bereit, so gibt sie gegebenenfalls das Hoheitsgebiet des Drittlandes an, in denen die Datennutzung stattfinden soll.
Artikel 24
Überwachung der Einhaltung
(1) Die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden überwachen und beaufsichtigen die Einhaltung der in diesem Kapitel festgelegten Anforderungen durch die anerkannten datenaltruistischen Organisationen. Die für die Eintragung von datenaltruistischen Organisationen zuständige Behörde kann die Einhaltung der Rechtsvorschriften durch diese datenaltruistischen Organisationen auch auf Antrag einer natürlichen oder juristischen Person überwachen und beaufsichtigen.
(2) Die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden sind befugt, von den anerkannten datenaltruistischen Organisationen alle Informationen zu verlangen, die nötig sind, um die Einhaltung der Anforderungen dieses Kapitels zu überprüfen. Jede Anforderung von Informationen muss in angemessenem Verhältnis zur Wahrnehmung dieser Aufgabe stehen und begründet sein.
(3) Stellt die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde fest, dass eine anerkannte datenaltruistische Organisation gegen eine oder mehrere Anforderungen dieses Kapitels verstößt, teilt sie dies der anerkannten datenaltruistischen Organisation mit und gibt ihr Gelegenheit, innerhalb von 30 Tagen nach Erhalt der Meldung dazu Stellung zu nehmen.
(4) Die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde ist befugt, die Beendigung des in Absatz 3 genannten Verstoßes entweder unverzüglich oder innerhalb einer angemessenen Frist zu verlangen, und ergreift angemessene und verhältnismäßige Maßnahmen, um die Einhaltung sicherzustellen.
(5) Erfüllt eine anerkannte datenaltruistische Organisation eine oder mehrere der Anforderungen dieses Kapitels auch dann nicht, nachdem sie von der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde gemäß Absatz 3 davon unterrichtet wurde, so
| a) | verliert sie ihr Recht, in ihrer schriftlichen und mündlichen Kommunikation die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ zu führen, |
| b) | wird sie aus dem einschlägigen öffentlichen nationalen Register der anerkannten datenaltruistischen Organisationen und dem öffentlichen Unionsregister der anerkannten datenaltruistischen Organisationen gestrichen. |
Jede Entscheidung gemäß Unterabsatz 1 Buchstabe a, die das Recht widerruft, die Bezeichnung „in der Union anerkannte datenaltruistische Organisation“ zu führen, wird durch die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde öffentlich zugänglich gemacht.
(6) Hat eine anerkannte datenaltruistische Organisation ihre Hauptniederlassung oder ihren gesetzlichen Vertreter in einem Mitgliedstaat, betätigt sich aber in anderen Mitgliedstaaten, so arbeiten die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde des Mitgliedstaats, in dem sich die Hauptniederlassung oder der gesetzliche Vertreter befindet, und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden der betreffenden anderen Mitgliedstaaten zusammen und unterstützen einander. Diese Unterstützung und Zusammenarbeit kann den Informationsaustausch zwischen den betreffenden für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden für die Zwecke ihrer Tätigkeiten im Rahmen dieser Verordnung und begründete Ersuchen umfassen, die in diesem Artikel genannten Maßnahmen zu ergreifen.
Ersucht eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde in einem Mitgliedstaat um Unterstützung durch eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde in einem anderen Mitgliedstaat, so stellt sie ein begründetes Ersuchen. Nach einem solchen Ersuchen antwortet die für die Registrierung von datenaltruistischen Organisationen zuständige Behörde unverzüglich und innerhalb eines Zeitrahmens, der der Dringlichkeit des Ersuchens angemessen ist.
Alle Informationen, die im Zusammenhang mit einem Amtshilfeersuchen und geleisteter Amtshilfe nach diesem Artikel ausgetauscht werden, dürfen nur zu den Zwecken des Ersuchens verwendet werden.
Artikel 26
Anforderungen an zuständige Behörden
(1) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden müssen von allen Anbietern von Datenvermittlungsdiensten und allen anerkannten datenaltruistischen Organisationen rechtlich getrennt und funktional unabhängig sein. Die Aufgaben der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden können von derselben Behörde wahrgenommen werden. Die Mitgliedstaaten können entweder eine oder mehrere neue Behörden für diese Zwecke errichten oder bereits vorhandene Behörden nutzen.
(2) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden nehmen ihre Aufgaben unparteiisch, transparent, kohärent und rechtzeitig wahr. Bei der Wahrnehmung ihrer Aufgaben sorgen sie für einen fairen Wettbewerb und Diskriminierungsfreiheit.
(3) Die oberste Leitungsebene und die Mitarbeiter, die für die Durchführung der in dieser Verordnung vorgesehenen einschlägigen Aufgaben der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden verantwortlich sind, dürfen weder Konstrukteur, Hersteller, Lieferant, Installateur, Käufer, Eigentümer, Verwender oder Wartungsbetrieb der von ihnen bewerteten Dienste noch bevollmächtigter Vertreter einer dieser Parteien sein. Dies schließt die Verwendung von bewerteten Diensten, die für die Tätigkeit der für Datenvermittlungsdienste zuständigen Behörde und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörde nötig sind, oder die Verwendung solcher Dienste zum persönlichen Gebrauch nicht aus.
(4) Die oberste Leitungsebene und die Mitarbeiter der für Datenvermittlungsdienste zuständigen Behörden und der für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden dürfen sich nicht mit Tätigkeiten befassen, die ihre Unabhängigkeit bei der Beurteilung oder ihre Integrität im Zusammenhang mit den ihnen übertragenen Bewertungstätigkeiten beeinträchtigen könnten.
(5) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden müssen über angemessene finanzielle und personelle Mittel verfügen, um die ihnen übertragenen Aufgaben erfüllen zu können, einschließlich der erforderlichen Fachkenntnisse und Ressourcen.
(6) Die für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden eines Mitgliedstaats stellen der Kommission und den für Datenvermittlungsdienste zuständigen Behörden und den für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden anderer Mitgliedstaaten auf begründeten Antrag und unverzüglich die Informationen zur Verfügung, die sie zur Wahrnehmung ihrer Aufgaben gemäß dieser Verordnung benötigen. Sieht eine für Datenvermittlungsdienste zuständige Behörden oder eine für die Registrierung von datenaltruistischen Organisationen zuständige Behörde die verlangten Informationen nach den Bestimmungen des Unionsrechts und des nationalen Rechts über das Berufs- und Geschäftsgeheimnis als vertraulich an, so gewährleisten die Kommission und alle anderen für Datenvermittlungsdienste zuständigen Behörden und die für die Registrierung von datenaltruistischen Organisationen zuständigen Behörden eine entsprechende vertrauliche Behandlung.
Artikel 38
Inkrafttreten und Geltung
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Sie gilt ab dem 24. September 2023.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu Brüssel am 30. Mai 2022.
Im Namen des Europäischen Parlaments
Die Präsidentin
R. METSOLA
Im Namen des Rates
Der Präsident
B. LE MAIRE
(1) ABl. C 286 vom 16.7.2021, S. 38.
(2) Standpunkt des Europäischen Parlaments vom 6. April 2022 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 16. Mai 2022.
(3) Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36).
(4) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).
(5) Verordnung (EU) 2019/1239 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Einrichtung eines europäischen Umfelds zentraler Meldeportale für den Seeverkehr und zur Aufhebung der Richtlinie 2010/65/EU (ABl. L 198 vom 25.7.2019, S. 64).
(6) Verordnung (EU) 2020/1056 des Europäischen Parlaments und des Rates vom 15. Juli 2020 über elektronische Frachtbeförderungsinformationen (ABl. L 249 vom 31.7.2020, S. 33).
(7) Richtlinie 2010/40/EU des Europäischen Parlaments und des Rates vom 7. Juli 2010 zum Rahmen für die Einführung intelligenter Verkehrssysteme im Straßenverkehr und für deren Schnittstellen zu anderen Verkehrsträgern (ABl. L 207 vom 6.8.2010, S. 1).
(8) Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).
(9) Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30. Mai 2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) Nr. 715/2007 und (EG) Nr. 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG (ABl. L 151 vom 14.6.2018, S. 1).
(10) Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union (ABl. L 303 vom 28.11.2018, S. 59).
(11) Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. L 178 vom 17.7.2000, S. 1).
(12) Richtlinie 2001/29/EG des Europäischen Parlaments und des Rates vom 22. Mai 2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (ABl. L 167 vom 22.6.2001, S. 10).
(13) Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums (ABl. L 157 vom 30.4.2004, S. 45).
(14) Richtlinie 2007/2/EG des Europäischen Parlaments und des Rates vom 14. März 2007 zur Schaffung einer Geodateninfrastruktur in der Europäischen Gemeinschaft (INSPIRE) (ABl. L 108 vom 25.4.2007, S. 1).
(15) Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission (ABl. L 141 vom 5.6.2015, S. 73).
(16) Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (ABl. L 157 vom 15.6.2016, S. 1).
(17) Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts (ABl. L 169 vom 30.6.2017, S. 46).
(18) Richtlinie (EU) 2019/790 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinien 96/9/EG und 2001/29/EG (ABl. L 130 vom 17.5.2019, S. 92).
(19) Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. L 172 vom 26.6.2019, S. 56).
(20) Richtlinie 2009/81/EG des Europäischen Parlaments und des Rates vom 13. Juli 2009 über die Koordinierung der Verfahren zur Vergabe bestimmter Bau-, Liefer- und Dienstleistungsaufträge in den Bereichen Verteidigung und Sicherheit und zur Änderung der Richtlinien 2004/17/EG und 2004/18/EG (ABl. L 216 vom 20.8.2009, S. 76).
(21) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ( Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(22) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).
(23) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ( Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).
(24) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).
(25) Verordnung (EU) Nr. 557/2013 der Kommission vom 17. Juni 2013 zur Durchführung der Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates über europäische Statistiken in Bezug auf den Zugang zu vertraulichen Daten für wissenschaftliche Zwecke und zur Aufhebung der Verordnung (EG) Nr. 831/2002 der Kommission (ABl. L 164 vom 18.6.2013, S. 16).
(26) Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken (ABl. L 77 vom 27.3.1996, S. 20).
(27) Verordnung (EU) Nr. 600/2014 des Europäischen Parlaments und des Rates vom 15. Mai 2014 über Märkte für Finanzinstrumente und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 173 vom 12.6.2014, S. 84).
(28) Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (ABl. L 337 vom 23.12.2015, S. 35).
(29) Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates vom 2. Oktober 2018 über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012 (ABl. L 295 vom 21.11.2018, S. 1).
(30) ABl. L 123 vom 12.5.2016, S. 1.
(31) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
(32) Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates vom 26. Oktober 2016 über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen (ABl. L 327 vom 2.12.2016, S. 1).
(33) Richtlinie (EU) 2019/882 des Europäischen Parlaments und des Rates vom 17. April 2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen (ABl. L 151 vom 7.6.2019, S. 70).