Datengesetz erklärt

Kapitel II: Gemeinsame Nutzung von Business-to-Business- und Business-to-Consumer-Daten im Rahmen des IoT-Marktes

Warum?

Ein zentrales Ziel des Datengesetzes ist es, Fairness in der Datenwirtschaft zu schaffen und die Nutzer in die Lage zu versetzen, Nutzen aus den Daten zu ziehen, die sie mit den verbundenen Produkten generieren, die sie besitzen, mieten oder vermieten.

Das Datengesetz ermöglicht Nutzern vernetzter Produkte (z. B. vernetzte Autos, Medizin- und Fitnessgeräte, Industrie- oder Landmaschinen) und damit zusammenhängende Dienstleistungen (d. h. alles, was ein vernetztes Produkt auf eine bestimmte Weise verhält, wie z. B. eine App, um die Helligkeit von Lichtern anzupassen oder die Temperatur eines Kühlschranks zu regulieren) den Zugriff auf die Daten, die sie gemeinsam erstellen, indem sie die verbundenen Produkte/bezogenen Dienste nutzen.

Die Verfügbarkeit solcher Daten wird sich erheblich auf die Wirtschaft auswirken. Beispielsweise können Daten, die durch vernetzte Produkte und damit verbundene Dienstleistungen generiert werden, verwendet werden, um Aftermarket- und Nebendienstleistungen zu fördern und völlig neue Dienste zu schaffen, von denen sowohl Unternehmen als auch Verbraucher profitieren. 

Arten von Daten im Anwendungsbereich

Kapitel II des Datengesetzes über die gemeinsame Nutzung von Daten zwischen Unternehmen und Verbrauchern gilt für alle rohen und vorverarbeiteten Daten, die aus der Nutzung eines verbundenen Produkts oder einer damit verbundenen Dienstleistung generiert werden, die dem Dateninhaber leicht zugänglich ist ( z. B. Hersteller eines verbundenen Produkts/Anbieters eines verbundenen Dienstes), d. h. Daten, auf die ohne unverhältnismäßigen Aufwand leicht zugegriffen werden kann und über einen einfachen Betrieb hinausgeht. Dies gilt sowohl für personenbezogene als auch für nicht-personenbezogene Daten, einschließlich relevanter Metadaten.

Diese Daten umfassen Daten, die von einem einzelnen Sensor oder einer verbundenen Gruppe von Sensoren gesammelt werden, wie Temperatur, Druck, Durchflussrate, Audio, pH-Wert, Flüssigkeitspegel, Position, Beschleunigung oder Geschwindigkeit.

Abgeleitete oder abgeleitete Daten und Inhalte (z. B. hochangereicherte Daten, audiovisuelles Material) sind außer Reichweite. Darüber hinaus berührt das Datengesetz nicht die Gesetze zum Schutz von Rechten des geistigen Eigentums.

In der Praxis

Kapitel II des Datengesetzes ermöglicht es Nutzern (d. h. jeder juristischen oder natürlichen Person, die ein verbundenes Produkt besitzt, vermietet oder vermietet) auf die Daten zuzugreifen, die sie durch ihre Nutzung des verbundenen Produkts oder der damit verbundenen Dienstleistung generieren. Wenn der Nutzer diese Daten mit einem anderen Unternehmen oder einer anderen Person teilen möchte („Dritte“), kann er dies entweder direkt tun, oder er kann den Dateninhaber auffordern, sie mit einem Dritten seiner Wahl zu teilen (ausgenommen Gatekeeper gemäß dem Gesetz über digitale Märkte). Der Dateninhaber ist in der Regel das Unternehmen, das das verbundene Produkt herstellt oder einen verwandten Dienst anbietet. Ein Dateninhaber muss einen Vertrag mit dem Nutzer haben (z. B. Kaufvertrag, Mietvertrag, zugehöriger Dienstleistungsvertrag usw.), der die Rechte bezüglich des Zugriffs, der Nutzung und der Weitergabe der Daten festlegt, die durch das verbundene Produkt oder die damit verbundene Dienstleistung generiert werden. Es ist wichtig zu beachten, dass der Dateninhaber keine nicht personenbezogenen Daten verwenden kann, die durch das Produkt ohne die Zustimmung des Benutzers erzeugt werden.

Zum Beispiel und unter Berücksichtigung der Tatsache, dass der betreffende Vertrag die genauen Rollen bestimmt:

• Ein Unternehmen betreibt einen Bulldozer: der Dateninhaber wäre in der Regel der Bulldozer-Hersteller, und der Benutzer wäre das Unternehmen, das den Bulldozer betreibt.  

• Wenn jemand einen angeschlossenen Kühlschrank kauft und eine App herunterlädt, die ihm hilft, die optimale Temperatur für den Inhalt des Kühlschranks zu regulieren, gäbe es möglicherweise zwei Dateninhaber, nämlich das Unternehmen, das den Kühlschrank auf den Markt gebracht hat, und das Unternehmen, das den entsprechenden Dienst anbietet (die App), und nur einen Benutzer (der Eigentümer des Kühlschranks).

Das Datengesetz enthält mehrere Mechanismen, um den Nutzern die Nutzung dieser Bestimmungen zu erleichtern: die Dateninhaber müssen dem Nutzer Informationen über die Art der Daten zur Verfügung stellen, die er bei der Nutzung des verbundenen Produkts oder der zugehörigen Dienstleistung generieren wird (einschließlich des Volumens, der Erfassungshäufigkeit usw.); die Nutzer sollten in der Lage sein, den Zugriff auf die Daten in einem einfachen Verfahren anzufordern, und Dateninhaber müssen die Daten den Nutzern kostenlos zur Verfügung stellen.

Einschränkungen bei der Nutzung der Daten

Um Unternehmen nicht davon abzuhalten, in datengenerierende Produkte zu investieren, können die gewonnenen Daten nicht für die Entwicklung eines konkurrierenden vernetzten Produkts verwendet werden. Das Datengesetz verbietet den Wettbewerb bei verwandten Dienstleistungen oder Aftermarket-Diensten nicht. Darüber hinaus besteht nach dem Datengesetz keine Verpflichtung für einen Dateninhaber, Daten an Dritte mit Sitz außerhalb der EU weiterzugeben.

Das Datengesetz steht voll und ganz im Einklang mit den Datenschutzbestimmungen, insbesondere der DSGVO. Wenn der Nutzer nicht die betroffene Person ist, deren Daten angefordert werden, können personenbezogene Daten nur zur Verfügung gestellt werden, wenn eine gültige Rechtsgrundlage vorliegt (z. B. Einwilligung). Dies ist eine wichtige Überlegung, da die kogenerierten Daten oft sowohl personenbezogene als auch nicht personenbezogene Daten enthalten, die schwierig zu trennen sind.  

Sie bietet Anreize für die Entwicklung vernetzter Produkte und Dienstleistungen auf der Grundlage neuer Datenströme, die für kleinere Unternehmen von besonderem Wert sind. Darüber hinaus unterliegen Kleinst- und Kleinunternehmen als Hersteller oder Anbieter verwandter Dienstleistungen nicht den gleichen Verpflichtungen wie größere Unternehmen.

Um Geschäftsgeheimnisse zu schützen, ohne das Ziel des Datengesetzes zu untergraben, mehr Daten zur Verfügung zu stellen, können der Dateninhaber und der Benutzer/Dritte bestimmte Maßnahmen zur Wahrung der Vertraulichkeit der Geschäftsgeheimnisse vereinbaren. Werden diese Maßnahmen nicht eingehalten, kann der Dateninhaber den Datenaustausch zurückhalten oder aussetzen. Der Dateninhaber darf die Weitergabe von Daten nur verweigern, wenn er nachweisen kann, dass er durch die Offenlegung von Geschäftsgeheimnissen mit hoher Wahrscheinlichkeit ernsthaften wirtschaftlichen Schaden erleidet.

Der Dateninhaber und der Nutzer können sich damit einverstanden erklären, den Datenaustausch zu beschränken, wenn die Gefahr besteht, dass die Sicherheitsanforderungen des verbundenen Produkts untergraben werden könnten, was zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit, Sicherheit oder Sicherheit von Menschen führt. Diese Anforderungen müssen im EU- oder nationalen Recht festgelegt werden.

Wenn der Dateninhaber Daten aus Gründen des Schutzes von Geschäftsgeheimnissen oder Sicherheitsanforderungen aussetzt, zurückhält oder verweigert, muss er dies der zuständigen nationalen Behörde mitteilen. Die Nutzer können eine solche Entscheidung entweder vor dem zuständigen Gericht eines Mitgliedstaats über eine Beschwerde bei der zuständigen Behörde oder auf Zustimmung des Dateninhabers vor einer Streitbeilegungsstelle anfechten.

Kapitel III: Vorschriften für die obligatorische gemeinsame Nutzung von Business-to-Business-Daten

Warum?

Mit dem Datengesetz werden Vorschriften für Situationen eingeführt, in denen ein Unternehmen (im Folgenden „Dateninhaber“) nach EU-Recht oder nationalem Recht gesetzlich verpflichtet ist, Daten einem anderen Unternehmen (im Folgenden „Datenempfänger“) zur Verfügung zu stellen, auch im Zusammenhang mit IoT-Daten. Insbesondere müssen die Bedingungen für den Datenaustausch fair, angemessen und diskriminierungsfrei sein.

Als Anreiz für die gemeinsame Nutzung von Daten können Dateninhaber, die verpflichtet sind, Daten auszutauschen, vom Datenempfänger eine „angemessene Entschädigung“ verlangen.

Arten von Daten im Anwendungsbereich

Kapitel III des Datengesetzes gilt für alle Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden, einschließlich der in Kapitel II des Datengesetzes erfassten Situationen.

In der Praxis

Die Dateninhaber können eine angemessene Entschädigung für die Bereitstellung der Daten für einen Datenempfänger verlangen. Dies könnte Kosten für die Bereitstellung der Daten sowie technische Kosten im Zusammenhang mit der Verbreitung und Speicherung umfassen. Kleinstunternehmen, KMU und gemeinnützige Forschungseinrichtungen dürfen jedoch nicht mehr als die Kosten für die Bereitstellung der Daten in Rechnung gestellt werden.

Zum Schutz der Dateninhaber enthält das Datengesetz eine nicht erschöpfende Liste von Maßnahmen zur Behebung von Situationen, in denen ein Dritter oder Nutzer unrechtmäßig auf Daten zugegriffen oder sie verwendet hat. Zum Beispiel könnte ein Dateninhaber verlangen, dass eine rechtsverletzende Partei die Produktion des betreffenden Produkts eingestellt oder die Daten, die sie unrechtmäßig erhalten hat, vernichtet oder eine Entschädigung verlangen könnte.

Alle Datenweitergabeverpflichtungen, die dem Datengesetz vorausgehen, bleiben unberührt. Die Verpflichtungen in künftigen (sektoralen) Rechtsvorschriften sollten an die Bestimmungen des Kapitels III des Datengesetzes angeglichen werden.

Kapitel IV: Missbräuchliche Vertragsbedingungen

Warum?

Die Vertragsfreiheit ist von zentraler Bedeutung für Business-to-Business-Beziehungen. Das Datengesetz zielt jedoch darauf ab, alle europäischen Unternehmen, die Daten erwerben wollen, insbesondere KMU, gegen missbräuchliche Vertragsklauseln durch ihre Maßnahmen zu schützen, um in Situationen einzugreifen, in denen sich beispielsweise eines der Unternehmen in einer stärkeren Verhandlungsposition befindet (z. B. aufgrund seiner Marktgröße) und eine nicht verhandelbare Klausel („take-it-or-leave-it“) in Bezug auf den Datenzugriff und die Nutzung auf der anderen Seite vorschreibt.

Arten von Daten im Anwendungsbereich

Diese Regeln umfassen alle Daten, sowohl persönliche als auch nicht personenbezogene Daten, die von einer privaten Einrichtung gehalten werden, auf die auf der Grundlage eines Vertrags zwischen Unternehmen zugegriffen und verwendet wird.

In der Praxis

Einseitig auferlegte Take-it-or-leaave-Bedingungen können, wenn sie sich auf die Bereitstellung von Daten beziehen, einer Missbräuchlichkeitsprüfung unterzogen werden.

Das Datengesetz legt eine nicht erschöpfende Liste von Klauseln fest, die immer als missbräuchlich angesehen werden (z. B., die die Haftung der Partei, die einseitig die Klausel für vorsätzliche Handlungen oder grobe Fahrlässigkeit verhängt hat, ausschließen oder einschränken würden) und von Klauseln, die als missbräuchlich angesehen werden (z. B. dies würde die Rechtsbehelfe bei Nichterfüllung vertraglicher Verpflichtungen oder der Haftung im Falle einer Verletzung dieser Verpflichtungen unangemessen einschränken oder die Haftung des Unternehmens, dem die Klausel einseitig auferlegt wurde, erweitern). Wenn eine Klausel als missbräuchlich angesehen wird, ist sie nicht mehr gültig – wenn möglich, wird sie einfach vom Kontakt abgetrennt. Wenn davon ausgegangen wird, dass es unfair ist, kann das Unternehmen, das die Klausel verhängt hat, versuchen, nachzuweisen, dass die Klausel nicht missbräuchlich ist.

Kapitel V: Gemeinsame Nutzung von Business-to-Government-Daten

Warum?

Daten, die sich im Besitz privater Einrichtungen befinden, können für die Erfüllung einer Aufgabe von öffentlichem Interesse von wesentlicher Bedeutung sein. Kapitel V des Datengesetzes ermöglicht es öffentlichen Stellen, zu bestimmten Bedingungen auf diese Daten zuzugreifen, wenn ein außergewöhnlicher Bedarf besteht. Letzteres bezieht sich auf eine Situation, die unvorhersehbar und zeitlich begrenzt ist, in der die Daten einer privaten Einrichtung für die Erfüllung der Aufgabe des öffentlichen Interesses erforderlich sind, insbesondere zur Verbesserung der faktengestützten Entscheidungsfindung. Zu den Situationen mit außergewöhnlichem Bedarf gehören sowohl öffentliche Notfälle (wie Naturkatastrophen oder durch Menschen verursachte Katastrophen, Pandemien und Cybersicherheitsvorfälle) als auch Notfälle ( beispielsweise könnten aggregierte und anonymisierte Daten aus GPS-Systemen der Fahrer zur Optimierung des Verkehrsflusses verwendet werden).

Durch das Datengesetz wird sichergestellt, dass die Behörden rechtzeitig und zuverlässig Zugang zu diesen Daten haben, ohne den Unternehmen einen übermäßigen Verwaltungsaufwand aufzuerlegen.

Arten von Daten innerhalb des Anwendungsbereichs

Gemäß Kapitel V sind alle Daten im Anwendungsbereich, wobei der Schwerpunkt auf nicht personenbezogenen Daten liegt.

Kapitel V des Datengesetzes über die gemeinsame Nutzung von Daten zwischen Unternehmen und Behörden unterscheidet zwischen zwei Szenarien:

• Um auf einen öffentlichen Notfall zu reagieren, sollte eine öffentliche Stelle nicht personenbezogene Daten anfordern. Wenn dies jedoch nicht ausreicht, um auf die Situation zu reagieren, können personenbezogene Daten angefordert werden. Soweit möglich, sollten diese Daten vom Dateninhaber anonymisiert werden.    

• In Notfällen können öffentliche Stellen nur nicht personenbezogene Daten anfordern.

Wichtige Interessenträger

Zu den Einrichtungen, die berechtigt sind, Daten anzufordern, gehören öffentliche Stellen der Mitgliedstaaten sowie bestimmte EU-Organe, Einrichtungen und Agenturen. Diese Einrichtungen können die Daten auch unter bestimmten Bedingungen mit forschungsführenden und finanzierenden Organisationen teilen.

Im Zusammenhang mit Anfragen zwischen Unternehmen und Behörden sind Dateninhaber in der Regel private Einrichtungen, können aber auch öffentliche Unternehmen umfassen.

In der Praxis

Eine öffentliche Stelle kann unter bestimmten Voraussetzungen einen Dateninhaber verpflichten, bestimmte Daten unverzüglich zur Reaktion auf einen öffentlichen Notfall zur Verfügung zu stellen. Das Datengesetz definiert einen öffentlichen Notfall; ihre Existenz wird jedoch nach nationalen oder EU-Verfahren oder Gesetzen bestimmt.

Für außergewöhnliche Bedürfnisse, die nicht im Zusammenhang mit einer öffentlichen Notlage stehen, kann eine öffentliche Stelle nicht personenbezogene Daten zur Erfüllung einer bestimmten Aufgabe anfordern, die im öffentlichen Interesse liegt und die gesetzlich vorgesehen ist, wenn die öffentliche Stelle nachweisen kann, dass sie nicht in der Lage war, auf die Daten auf andere Weise zuzugreifen.

In beiden Fällen (Notfall und Nicht-Notfall) müssen die Anträge eine Reihe strenger Grundsätze und Bedingungen einhalten. Beispielsweise müssen Anfragen spezifisch, transparent und verhältnismäßig sein, Geschäftsgeheimnisse müssen geschützt und die Daten müssen gelöscht werden, sobald sie nicht mehr benötigt werden.

In der nachstehenden Tabelle wird zusammengefasst, was Unternehmen in diesem Zusammenhang für die Bereitstellung von Daten an eine öffentliche Stelle verlangen können.

Ausgleich für die Bereitstellung von Daten gemäß Kapitel V des Datengesetzes

Um den Aufwand für Unternehmen so gering wie möglich zu halten, können dieselben Daten nicht mehr als einmal von mehr als einer öffentlichen Stelle angefordert werden („Einmalprinzip“). Aus diesem Grund müssen alle Anträge vom Datenkoordinator öffentlich zugänglich gemacht werden (es sei denn, es besteht ein Sicherheitsbedenken).

Kapitel VI: Wechsel zwischen Datenverarbeitungsdiensten

Warum?

Um einen wettbewerbsfähigen Markt in der EU zu gewährleisten, sollten Kunden von Datenverarbeitungsdiensten (einschließlich Cloud- und Edge-Services) nahtlos von einem Anbieter zum anderen wechseln können. Kunden stehen jedoch derzeit vor einer Reihe von Hindernissen, darunter hohe Gebühren, die beispielsweise mit Datenaustritt, langwierigen Verfahren und mangelnder Interoperabilität zwischen Anbietern verbunden sind, die zu einem Verlust von Daten und Anwendungen führen können.

Das Datengesetz macht den Wechsel frei, schnell und flüssig. Dies wird Kunden zugute kommen, die frei wählen können, die Dienstleistungen, die ihre Bedürfnisse am besten erfüllen, sowie Anbieter, die von einem größeren Kundenpool profitieren.

Anwendungsbereich

Kapitel VI des Datengesetzes gilt für Anbieter von Datenverarbeitungsdiensten (d. h. digitale Dienste, die einen allgegenwärtigen und abrufbaren Netzzugang ermöglichen, wie Netzwerke, Server oder andere virtuelle oder physische Infrastrukturen und Software). Die für die Umschaltung entscheidenden Daten umfassen Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden erzeugt werden, mit Ausnahme von Daten, die durch Rechte des geistigen Eigentums geschützt sind oder ein Geschäftsgeheimnis des Dienstleisters darstellen.  

In der Praxis

Um das Machtungleichgewicht zwischen Anbietern und Kunden im Cloud-Markt zu überwinden, legt das Datengesetz Mindestanforderungen an den Inhalt von Cloud-Verträgen fest. Insbesondere Kunden aus dem privaten und öffentlichen Sektor werden von einer viel größeren Vertragstransparenz profitieren.

Das Datengesetz enthält Maßnahmen, um sicherzustellen, dass Kunden von einem Anbieter von Datenverarbeitungsdiensten („Quellenanbieter“) zu einem anderen („Ziel“) Anbieter schnell und reibungslos wechseln können, ohne Daten oder die Funktionalität von Anwendungen zu verlieren. Zum Beispiel müssen Anbieter von Platform und Software as a Service offene Schnittstellen zur Verfügung stellen und zumindest Daten in einem gängigen und maschinenlesbaren Format exportieren. Anbieter von Infrastructure as a Service müssen Maßnahmen ergreifen, um zu ermöglichen, dass der Kunde, wenn ein Kunde zu einem Dienst der gleichen Art wechselt, als Reaktion auf denselben Input für Funktionen, die beide Dienste teilen, wesentlich vergleichbare Ergebnisse erhält (im Folgenden „funktionale Äquivalenz“). Als Beispiel für eine solche Maßnahme muss der Quellanbieter möglicherweise Tools verwenden, um Rechenlasten von einer Virtualisierungstechnologie auf eine andere zu verlagern. 

Alle Anbieter müssen Hindernisse beseitigen, mit denen ihre Kunden konfrontiert sind, wenn sie zu einem anderen Anbieter wechseln oder gleichzeitig mehrere Dienste nutzen möchten.

Das Datengesetz wird außerdem ab dem 12. Januar 2027 die Wechselentgelte, einschließlich Gebühren für den Datenaustritt (d. h. Gebühren für Datenübermittlung), vollständig beseitigen. Dies bedeutet, dass Anbieter nicht in der Lage sind, ihre Kunden für die Operationen zu belasten, die für die Erleichterung des Wechsels oder für den Datenausfall erforderlich sind. Als Übergangsmaßnahme in den ersten drei Jahren nach Inkrafttreten des Datengesetzes (vom 11. Januar 2024 bis 12. Januar 2027) können Anbieter ihren Kunden jedoch weiterhin die Kosten für den Wechsel und den Datenaustritt in Rechnung stellen.

Kapitel VII: Rechtswidriger Zugang der Regierung von Drittländern

Warum?

Manchmal zielt eine Entscheidung oder ein Urteil eines Landes außerhalb der EU („Drittstaat“) darauf ab, der Regierung Zugang zu und die Übermittlung nicht personenbezogener Daten zu ermöglichen, die innerhalb der EU verarbeitet und gespeichert werden. In bestimmten Fällen kann die Gewährung des Zugangs zu solchen Daten oder deren Übermittlung jedoch tatsächlich rechtswidrig sein, insbesondere wenn das Ersuchen im Widerspruch zu den EU-Rechtsvorschriften und Garantien zum Schutz der Grundrechte natürlicher Personen, nationaler Sicherheitsinteressen oder wirtschaftlich sensibler Daten steht.

Das Datengesetz folgt dem Data Governance Act in Bezug auf die Bestimmungen, die darauf abzielen, den unrechtmäßigen Zugang und die Übermittlung nicht personenbezogener Daten, die sich in der EU befinden, zu verhindern. Solche Bestimmungen haben keine Auswirkungen auf die regelmäßige gemeinsame Nutzung von Business-to-Business-Daten. Sie erhöhen die Transparenz und Rechtssicherheit in Bezug auf das Verfahren und die Bedingungen, unter denen nicht personenbezogene Daten von Behörden außerhalb der EU abgerufen oder an diese übermittelt werden können.

Arten von Daten im Anwendungsbereich

Nicht personenbezogene Daten, die in der EU von einem Anbieter eines Datenverarbeitungsdienstes gespeichert werden.

In der Praxis

Das Datengesetz verbietet nicht den grenzüberschreitenden Datenverkehr, sondern gewährleistet, dass der Schutz der Daten in der EU mit allen außerhalb der EU übermittelten Daten reist.

In diesem Zusammenhang legt das Datengesetz Regeln und Garantien für den Zugang einer ausländischen öffentlichen Stelle zu nicht personenbezogenen Daten in der Union fest. Die legitime internationale Zusammenarbeit im Bereich der Strafverfolgung wird von diesen Bestimmungen nicht berührt.

Wenn es kein internationales Abkommen über den Zugang einer Regierung eines Drittlands zu nicht personenbezogenen Daten in der EU gibt, können die Daten nur unter bestimmten Bedingungen übertragen oder abgerufen werden. Diese Bedingungen beziehen sich auf bestimmte Garantien zur Wahrung der europäischen Rechte, die von der Rechtsordnung des Drittlands erfüllt werden müssen, einschließlich der Anforderung, die Gründe anzugeben und die Verhältnismäßigkeit in der Entscheidung zu bewerten. Der Anbieter von Datenverarbeitungsdiensten, die durch eine solche Entscheidung angesprochen werden, kann sich an die zuständige nationale Stelle wenden, um festzustellen, ob die im Datengesetz festgelegten Bedingungen erfüllt sind. Um festzustellen, ob diese Bedingungen erfüllt sind, wird die Europäische Kommission gemeinsam mit dem Europäischen Datenschutzausschuss Leitlinien ausarbeiten (eine Expertengruppe, die im Rahmen des Data Governance Act eingesetzt wurde, um den Austausch bewährter Verfahren zu erleichtern und sektorübergreifende Interoperabilitätsstandards zu priorisieren).

Anbieter von Datenverarbeitungsdiensten sollten alle angemessenen Maßnahmen ergreifen (z. B. Verschlüsselung, Audits, Einhaltung von Zertifizierungssystemen), um den Zugang zu den Systemen zu verhindern, in denen sie nicht personenbezogene Daten speichern. Diese Maßnahmen sollten auf ihren Websites veröffentlicht werden. Darüber hinaus sollten sie, wo immer möglich, ihre Kunden informieren, bevor sie Zugang zu ihren Daten gewähren.

Kapitel VIII: Interoperabilität

Warum?

Normen und Interoperabilität sind von entscheidender Bedeutung, um sicherzustellen, dass Daten aus verschiedenen Quellen innerhalb und zwischen den Gemeinsamen europäischen Datenräumen verwendet werden können, um die Forschung zu fördern und neue Produkte oder Dienstleistungen zu entwickeln. Zu diesem Zweck legt das Datengesetz einige grundlegende Anforderungen fest, denen die Teilnehmer an Datenräumen genügen müssen und die von der Europäischen Kommission im Wege von delegierten Rechtsakten weiter präzisiert werden können.

Sie zielt auch darauf ab, die Interoperabilität zwischen Datenverarbeitungsdiensten sicherzustellen; dies ist wichtig, wenn Kunden von einem einfacheren Wechsel profitieren sollen.

Wichtige Interessenträger

Dieses Kapitel richtet sich an Teilnehmer von Datenräumen, die anderen Teilnehmern Daten oder datenbasierte Dienste anbieten und den Datenaustausch innerhalb der Datenräume erleichtern oder betreiben.

Es richtet sich auch an Anbieter von Smart Contracts sowie an Anbieter von Datenverarbeitungsdiensten.

In der Praxis

Die Teilnehmer des Datenraums sollten mehrere grundlegende Anforderungen erfüllen, damit Daten innerhalb und zwischen den Datenräumen fließen können. So sollte beispielsweise eine Beschreibung der Datenstrukturen, Datenformate und Vokabulare, soweit verfügbar, öffentlich zugänglich sein. Darüber hinaus sollten Mittel zur Gewährleistung der Interoperabilität von Vereinbarungen über den Datenaustausch, wie z. B. intelligente Verträge, sichergestellt werden.

Das Datengesetz bereitet auch den Grundstein für die Verbesserung der Interoperabilität von Datenverarbeitungsdiensten durch harmonisierte Normen und offene Interoperabilitätsspezifikationen.

Darüber hinaus werden Anforderungen an Anbieter von Smart Contracts zur automatisierten Durchführung von Datenaustauschverträgen festgelegt, beispielsweise um sicherzustellen, dass sie die Bestimmungen des Datenaustauschvertrags ordnungsgemäß erfüllen und Manipulationen durch Dritte standhalten.

Die Kommission wird Hindernisse für die Interoperabilität bewerten und Normungsanforderungen priorisieren, auf deren Grundlage sie die europäische Normungsorganisation(en) auffordern kann, harmonisierte Normen auszuarbeiten, die den oben genannten Anforderungen entsprechen.

Führt der Antrag nicht zu einer harmonisierten Norm oder reicht die Norm nicht aus, um die Konformität mit dem Datengesetz zu gewährleisten, kann die Kommission gemeinsame Spezifikationen als Rückfalllösung annehmen. Diese sollten unter Berücksichtigung des Feedbacks des Europäischen Datenschutzausschusses offen und inklusiv entwickelt werden.

Kapitel IX: Durchsetzung und übergeordnete Bestimmungen

Die Mitgliedstaaten benennen eine oder mehrere (neue oder bestehende) zuständige Behörden, um die effiziente Umsetzung des Datengesetzes sicherzustellen. Überall dort, wo es mehrere zuständige Behörden gibt, müssen die Mitgliedstaaten eine von ihnen als „Datenkoordinator“ benennen. Der Datenkoordinator fungiert als zentrale Anlaufstelle für alle Fragen im Zusammenhang mit der Umsetzung des Datengesetzes auf nationaler Ebene und erleichtert die Anwendung sowohl für Unternehmen als auch für Behörden. Wenn ein Unternehmen beispielsweise einen Rechtsbehelf wegen der Verletzung seiner Rechte nach dem Datengesetz einfordert, sollte der Datenkoordinator (auf Anfrage) alle notwendigen Informationen zur Verfügung stellen, um seine Beschwerde bei der zuständigen Behörde einreichen zu können. Der Datenkoordinator wird auch die Zusammenarbeit in grenzüberschreitenden Situationen erleichtern, beispielsweise wenn eine zuständige Behörde eines bestimmten Mitgliedstaats nicht weiß, an welche Behörde er sich im Mitgliedstaat des Datenkoordinators wenden sollte.

Die Kommission wird ein öffentliches Register der zuständigen Behörden und Datenkoordinatoren führen.

Der Europäische Datenschutzausschuss wird Gespräche zwischen den zuständigen Behörden erleichtern, beispielsweise zur Koordinierung und Annahme von Empfehlungen zur Festlegung von Sanktionen für Verstöße gegen das Datengesetz. Sanktionen werden von den zuständigen Behörden festgelegt, und gemäß dem Datengesetz sollten wirksame, verhältnismäßige und abschreckende Sanktionen verhängt werden.

Die Mitgliedstaaten können auf Wunsch zertifizierte Streitbeilegungsstellen einrichten, die Parteien unterstützen, die sich nicht auf faire, angemessene und nichtdiskriminierende Bedingungen für die Bereitstellung von Daten einigen können. Den Parteien steht es frei, sich an jede Streitbeilegungsstelle zu wenden – entweder in dem Mitgliedstaat, in dem sie niedergelassen sind, oder in einem anderen Mitgliedstaat.

Zertifizierte Streitbeilegungsmechanismen und spezialisierte zuständige Behörden werden es Unternehmen, insbesondere kleinen Unternehmen, erleichtern, ihre Rechte nach dem Datengesetz durchzusetzen, da sie den Beteiligten eine einfache, schnelle und kostengünstige Lösung bieten.