(1)

Die Digitalisierung der Wirtschaft beschleunigt sich. Die Informations- und Kommunikationstechnologie ist nicht länger ein besonderer Wirtschaftszweig, sondern bildet die Grundlage aller modernen innovativen Wirtschaftssysteme und Gesellschaften. Elektronische Daten nehmen in diesen Systemen eine zentrale Stellung ein und können eine große Wertschöpfung schaffen, wenn sie analysiert oder mit Dienstleistungen und Produkten kombiniert werden. Gleichzeitig kommen mit der raschen Entwicklung der Datenwirtschaft und neuer Technologien wie der künstlichen Intelligenz, Produkten und Diensten im Zusammenhang mit dem Internet der Dinge, autonomer Systeme und 5G neue rechtliche Fragen bezüglich des Zugangs zu und der Weiterverwendung von Daten, der Haftung, der Ethik und der Solidarität auf. Es sollte erwogen werden, in Haftungsfragen insbesondere durch die Einführung von Regeln für die Selbstregulierung und anderen bewährten Verfahren unter Berücksichtigung von Empfehlungen, Beschlüssen und Maßnahmen, die entlang der gesamten Wertschöpfungskette der Datenverarbeitung ohne menschliches Eingreifen getroffen werden, tätig zu werden. Dies könnte auch geeignete Mechanismen für die Klärung von Haftungsfragen, die Übertragung von Verantwortlichkeiten zwischen kooperierenden Diensten, für Versicherungen und für Audits umfassen.

(2)

Daten-Wertschöpfungsketten bestehen aus unterschiedlichen Datenaktivitäten: Datenerzeugung und -erhebung, Datenaggregation und -organisation, Datenverarbeitung, Datenanalyse, -vermarktung und -verbreitung, Datennutzung und -weiterverwendung. Das wirksame und effiziente Funktionieren der Datenverarbeitung ist das tragende Glied jeder Daten-Wertschöpfungskette. Das wirksame und effiziente Funktionieren der Datenverarbeitung und die Entwicklung der Datenwirtschaft in der Union werden jedoch beeinträchtigt, insbesondere durch zwei Arten von Hindernissen für die Datenmobilität und für den Binnenmarkt: die von den Behörden der Mitgliedstaaten eingeführten Datenlokalisierungsauflagen und das Modell der Anbieterabhängigkeit (vendor-lock-in) im privaten Bereich.

(3)

Die Niederlassungsfreiheit und die Dienstleistungsfreiheit nach dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) gelten auch für Datenverarbeitungsdienste. Die Erbringung solcher Dienste wird jedoch durch bestimmte nationale, regionale oder lokale Anforderungen, wonach die Daten in einem bestimmten Gebiet zu speichern sind, behindert und bisweilen sogar verhindert.

(4)

Solche Hindernisse, die den freien Verkehr von Datenverarbeitungsdiensten wie auch das Niederlassungsrecht der Diensteanbieter beeinträchtigen, gehen auf Anforderungen im Recht der Mitgliedstaaten zurück, wonach sich die Daten zwecks Datenverarbeitung in einem bestimmten geografischen Gebiet oder Hoheitsgebiet befinden müssen. Daneben gibt es andere Vorschriften und Verwaltungspraktiken, die eine gleichartige Wirkung haben, weil sie ganz bestimmte Anforderungen enthalten, die es erschweren, die Daten außerhalb eines bestimmten geografischen Gebiets oder Hoheitsgebiets innerhalb der Union zu verarbeiten, beispielsweise eine vorgeschriebene Nutzung von technischen Anlagen, die in einem bestimmten Mitgliedstaat zertifiziert oder genehmigt worden sind. Die Wahlmöglichkeiten der Marktteilnehmer und des öffentlichen Sektors bezüglich des Standorts der Datenverarbeitung werden durch rechtliche Unsicherheiten bezüglich der Reichweite rechtmäßiger oder unrechtmäßiger Datenlokalisierungsauflagen weiter eingeschränkt. Diese Verordnung schränkt die Freiheit von Unternehmen, Verträge abzuschließen, in denen festgelegt wird, an welchem Ort Daten sich befinden sollen, in keiner Weise ein. Durch diese Verordnung soll lediglich diese Freiheit gewährleistet werden, indem sichergestellt wird, dass ein beliebiger Ort innerhalb der Union vereinbart werden kann.

(5)

Gleichzeitig wird die Mobilität der Daten in der Union auch durch private Beschränkungen behindert, nämlich durch rechtliche, vertragliche und technische Probleme, die es den Nutzern von Datenverarbeitungsdiensten erschweren oder unmöglich machen, ihre Daten von einem Diensteanbieter zu einem anderen oder zurück in ihre eigene Informationstechnologie (IT)-Systeme zu übertragen, wenn beispielsweise ihr Vertrag mit einem Diensteanbieter endet.

(6)

Das Zusammenspiel dieser Hindernisse hat zu einer Mangel an Wettbewerb zwischen Anbietern von Cloud-Diensten in der Union, zu verschiedenen Problemen im Zusammenhang mit der Anbieterabhängigkeit und zu einer äußerst eingeschränkten Datenmobilität geführt. Außerdem haben Vorgaben zur Datenlokalisierung dazu geführt, dass die Möglichkeiten von Unternehmen aus dem Forschungs- und Entwicklungsbereich eingeschränkt sind, mit Hochschulen und anderen Forschungseinrichtungen zusammenzuarbeiten, um die Innovationskraft zu stärken.

(7)

Aus Gründen der Rechtssicherheit und der Notwendigkeit gleicher Wettbewerbsbedingungen innerhalb der Union ist ein einheitliches Regelwerk für alle Marktteilnehmer ein zentrales Element für das Funktionieren des Binnenmarktes. Um Handelshemmnisse und Wettbewerbsverzerrungen aufgrund divergierender nationaler Rechtsvorschriften zu beseitigen und das Entstehen neuer möglicher Handelshemmnisse und beträchtlicher Wettbewerbsverzerrungen zu vermeiden, ist es notwendig, einheitliche und in allen Mitgliedstaaten geltende Vorschriften zu erlassen.

(8)

Die vorliegende Verordnung lässt den Rechtsrahmen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, für die Achtung der Privatsphäre und für den Schutz personenbezogener Daten in der elektronischen Kommunikation und insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (3) und die Richtlinien (EU) 2016/680 (4) und 2002/58/EG (5) des Europäischen Parlaments und des Rates unberührt.

(9)

Das wachsende Internet der Dinge, künstliche Intelligenz und maschinelles Lernen stellen bedeutende Quellen für nicht-personenbezogene Daten dar, zum Beispiel durch ihren Einsatz in automatisierten industriellen Produktionsprozessen. Konkrete Beispiele für nicht-personenbezogene Daten umfassen aggregierte und anonymisierte Datensätze für Big-Data-Analysen, Daten im Zusammenhang mit der Präzisionslandwirtschaft, die dabei helfen können, den Einsatz von Pestiziden und Wasser zu überwachen und zu optimieren, oder Daten zum Wartungsbedarf von Industriemaschinen. Ist es durch technologische Neuentwicklungen möglich, anonymisierten Daten wieder in personenbezogene Daten umzuwandeln, müssen diese Daten als personenbezogene Daten behandelt werden, und die Verordnung (EU) 2016/679 muss entsprechend gelten.

(10)

Nach der Verordnung (EU) 2016/679 dürfen die Mitgliedstaaten den freien Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder einschränken noch verbieten. Die vorliegende Verordnung legt denselben Grundsatz des freien Verkehrs innerhalb der Union für nicht-personenbezogene Daten fest, außer wenn eine Einschränkung oder ein Verbot aus Gründen der öffentlichen Sicherheit gerechtfertigt ist. Die Verordnung (EU) 2016/679 und die vorliegende Verordnung bilden ein kohärentes Regelwerk, das auf den freien Verkehr verschiedener Arten von Daten ausgerichtet ist. Zudem wird mit dieser Verordnung nicht vorgeschrieben, dass verschiedene Arten von Daten getrennt zu speichern sind.

(11)

Zur Schaffung eines Rahmens für den freien Verkehr nicht-personenbezogener Daten in der Union sowie zur Schaffung der Grundlage für die Entwicklung der Datenwirtschaft und die Verbesserung der Wettbewerbsfähigkeit der Industrie in der Union ist es notwendig, einen klaren, umfassenden und vorhersehbaren Rechtsrahmen für die Verarbeitung von Daten, die keine personenbezogenen Daten sind, im Binnenmarkt festzulegen. Mit einem grundsatzorientierten, die Zusammenarbeit zwischen den Mitgliedstaaten sowie die Selbstregulierung umfassenden Ansatz sollte dafür gesorgt werden, dass dieser Rahmen hinreichend flexibel ist, um mit den sich weiterentwickelnden Bedürfnissen der Nutzer, Diensteanbieter und nationalen Behörden in der Union Schritt zu halten. Um Überschneidungen mit bestehenden Mechanismen und somit höhere Belastungen sowohl für Mitgliedstaaten als auch Unternehmen zu vermeiden, sollten keine ausführlichen technischen Vorschriften erlassen werden.

(12)

Diese Verordnung sollte keine Datenverarbeitungsprozesse im Rahmen von Tätigkeiten betreffen, die nicht in den Geltungsbereich des Unionsrechts fallen. Insbesondere ist darauf hinzuweisen, dass die nationale Sicherheit nach Artikel 4 des Vertrags über die Europäische Union (EUV) in die ausschließliche Zuständigkeit der einzelnen Mitgliedstaaten fällt.

(13)

Dem freien Datenverkehr innerhalb der Union wird eine entscheidende Bedeutung dabei zukommen, datengetriebenes Wachstum und Innovationen zu generieren. Behörden und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten ziehen ebenso wie Unternehmen und Verbraucher Nutzen aus einer größeren Auswahl an Anbietern datenbezogener Dienste, wettbewerbsfähigeren Preisen und der effizienteren Erbringung von Diensten für die Bürger. Angesichts der großen Datenmengen, die die Behörden und Einrichtungen des öffentlichen Rechts verarbeiten, ist es von größter Bedeutung, dass sie mit gutem Beispiel vorangehen, indem sie Datenverarbeitungsdienste einführen, und auf Datenlokalisierungsauflagen verzichten, wenn sie Datenverarbeitungsdienste nutzen. Deshalb sollte die vorliegende Verordnung auch für Behörden und Einrichtungen des öffentlichen Rechts gelten. In diesem Zusammenhang sollte der in dieser Verordnung geregelte Grundsatz des freien Verkehrs nicht-personenbezogener Daten auch für allgemeine und einheitliche Verwaltungspraktiken und andere Datenlokalisierungsauflagen bei der Vergabe öffentlicher Aufträge gelten, unbeschadet der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (6).

(14)

Wie im Fall der Richtlinie 2014/24/EU lässt die vorliegende Verordnung Rechts- und Verwaltungsvorschriften, die sich auf die interne Organisation der Mitgliedstaaten beziehen und die Übertragung von Befugnissen und Zuständigkeiten für die Datenverarbeitung zwischen Behörden und Einrichtungen des öffentlichen Rechts ohne eine vertragliche Vergütung unter Privatrechtssubjekten zu regeln, sowie Rechts- und Verwaltungsvorschriften der Mitgliedstaaten, die die Wahrnehmung dieser Befugnisse und Zuständigkeiten regeln, unberührt. Zwar sind die Behörden und Einrichtungen des öffentlichen Recht angehalten, den wirtschaftlichen und sonstigen Nutzen einer Auslagerung an externe Diensteanbieter zu erwägen, es kann für sie jedoch auch berechtigte Gründe dafür geben, bestimmte Dienste selbst zu erbringen oder Leistungen zu internalisieren. Deshalb werden die Mitgliedstaaten mit dieser Verordnung nicht verpflichtet, Leistungen in Auftrag zu geben oder zu externalisieren, die sie selbst erbringen oder auf anderem Wege als durch die Vergabe öffentlicher Aufträge organisieren möchten.

(15)

Diese Verordnung sollte auf natürliche und juristische Personen Anwendung finden, die Datenverarbeitungsdienste für Nutzer erbringen, die in der Union wohnhaft oder niedergelassen sind, einschließlich Anbieter, die Datenverarbeitungsdienste in der Union bereitstellen, ohne eine Niederlassung in der Union zu haben. Diese Verordnung sollte deshalb nicht für die Datenverarbeitungsdienste außerhalb der Union und die auf die betreffenden Daten bezogenen Datenlokalisierungsauflagen gelten.

(16)

In dieser Verordnung werden keine Vorschriften für die Bestimmung des anwendbaren Rechts in Handelssachen aufgestellt; somit lässt sie die Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates (7) unberührt. Insbesondere unterliegt ein Dienstleistungsvertrag grundsätzlich dem Recht des Landes, in dem der Diensteanbieter seinen gewöhnlichen Aufenthalt hat, soweit das auf einen Vertrag anwendbare Recht nicht nach der genannten Verordnung festgelegt wurde.

(17)

Diese Verordnung sollte für die Datenverarbeitung im weitesten Sinne gelten und die Verwendung aller Arten von IT-Systemen erfassen, unabhängig davon, ob diese sich in den Räumlichkeiten des Nutzers befinden oder an einen Diensteanbieter ausgelagert werden. Sie sollte die Datenverarbeitung in unterschiedlichen Intensitätsstufen erfassen, von der Datenspeicherung (Infrastructure-as-a-Service — IaaS) bis zur Verarbeitung von Daten auf Plattformen (Platform-as-a-Service — PaaS) oder in Anwendungen (Software-as-a-Service — SaaS).

(18)

Datenlokalisierungsauflagen sind ein eindeutiges Hindernis, das der Dienstleistungsfreiheit in Bezug auf Datenverarbeitungsdienste in der Union sowie auch dem Binnenmarkt entgegensteht. Sie sollten daher an sich verboten werden, soweit sie nicht aus Gründen der öffentlichen Sicherheit im Sinne des Unionsrechts, insbesondere Artikel 52 AEUV, gerechtfertigt sind und dem in Artikel 5 des EUV verankerten Grundsatz der Verhältnismäßigkeit entsprechen. Um dem Grundsatz des freien grenzüberschreitenden Verkehrs nicht-personenbezogener Daten Geltung zu verschaffen, eine rasche Beseitigung bestehender Datenlokalisierungsauflagen zu bewirken und aus betrieblichen Gründen die Verarbeitung von Daten an mehreren Standorten in der Union zu ermöglichen, und da diese Verordnung Maßnahmen vorsieht, die die Verfügbarkeit von Daten für ordnungspolitische Kontrollzwecke gewährleisten, sollten sich die Mitgliedstaaten für die Begründung von Datenlokalisierungsauflagen nur auf die öffentliche Sicherheit berufen können.

(19)

Der Begriff der öffentlichen Sicherheit im Sinne von Artikel 52 AEUV und gemäß der Auslegung durch den Gerichtshof bezieht sich sowohl auf die innere als auch die äußere Sicherheit eines Mitgliedstaats sowie auf Fragen der Sicherheit der Bevölkerung, um insbesondere die Untersuchung, Aufdeckung und Verfolgung von Straftaten zu erleichtern. Er setzt die Existenz einer tatsächlichen erheblichen Gefahr voraus, die ein Grundinteresse der Gesellschaft berührt, wie eine Bedrohung für das Funktionieren der Institutionen, der grundlegenden öffentlichen Dienstleistungen und das Überleben der Bevölkerung sowie die Gefahr einer erheblichen Störung der Außenbeziehungen, der friedlichen Koexistenz der Nationen oder eine Bedrohung der militärischen Interessen. Gemäß dem Grundsatz der Verhältnismäßigkeit sollten Datenlokalisierungsauflagen, die aus Gründen der öffentlichen Sicherheit gerechtfertigt sind, zur Erreichung der damit verfolgten Ziele geeignet sein und nicht über das dafür Notwendige hinausgehen.

(20)

Um die wirksame Anwendung des Grundsatzes des freien grenzüberschreitenden Verkehrs nicht-personenbezogener Daten sicherzustellen und das Entstehen neuer Hindernisse für ein reibungsloses Funktionieren des Binnenmarktes zu verhindern, sollten die Mitgliedstaaten der Kommission alle Entwürfe von Vorschriften umgehend mitteilen, die neue Datenlokalisierungsauflagen einführen oder bestehende Datenlokalisierungsauflagen ändern. Diese Entwürfe von Vorschriften sollten gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (8) übermittelt und geprüft werden.

(21)

Darüber hinaus sollten die Mitgliedstaaten zur Beseitigung möglicher bereits bestehender Hindernisse während eines Übergangszeitraums von 24 Monaten ab dem Zeitpunkt der Anwendung dieser Verordnung eine Überprüfung bestehender allgemeiner Rechts- und Verwaltungsvorschriften, in denen Datenlokalisierungsauflagen geregelt sind, durchführen und der Kommission sämtliche dieser Datenlokalisierungsauflagen, die sie für mit dieser Verordnung vereinbar halten, samt einer Begründung mitteilen. Damit sollte die Kommission in der Lage sein, die Rechtmäßigkeit etwaiger verbleibender Datenlokalsierungsauflagen zu prüfen. Die Kommission sollte gegebenenfalls in der Lage sein, dem betreffenden Mitgliedstaat Anmerkungen zu übermitteln. Solche Anmerkungen könnten eine Empfehlung enthalten, die Datenlokalisierungsauflage zu ändern oder aufzuheben.

(22)

Die in dieser Verordnung geregelte Pflicht, der Kommission bestehende Datenlokalisierungsauflagen und Entwürfe von Vorschriften mitzuteilen, sollte für regulatorische Datenlokalisierungsauflagen und Entwürfe von Vorschriften allgemeiner Art gelten, nicht aber für Entscheidungen, die sich an bestimmte natürliche oder juristische Personen richten.

(23)

Um sicherzustellen, dass durch Rechts- und Verwaltungsvorschriften geregelte Datenlokalisierungsauflagen in den Mitgliedstaaten für natürliche und juristische Personen, wie z. B. für Diensteanbieter und Nutzer von Datenverarbeitungsdiensten, transparent sind, sollten die Mitgliedstaaten die Informationen über solche Auflagen bei einer nationalen einheitlichen Online-Informationsstelle veröffentlichen und regelmäßig auf den neuesten Stand bringen. Alternativ sollten die Mitgliedstaaten einer zentralen Informationsstelle, die gemäß einem anderen Rechtsakt der Union eingerichtet wurde, aktuelle Informationen über solche Auflagen liefern. Um natürliche und juristische Personen angemessen über die in der Union bestehenden Datenlokalisierungsauflagen zu informieren, sollten die Mitgliedstaaten der Kommission die Adressen dieser einheitlichen Informationsstellen mitteilen. Die Kommission sollte diese Angaben zusammen mit einer regelmäßig aktualisierten konsolidierten Liste aller in den Mitgliedstaaten geltenden Datenlokalisierungsauflagen, einschließlich zusammenfassender Informationen über diese Auflagen, auf ihrer eigenen Website veröffentlichen.

(24)

Datenlokalisierungsauflagen sind häufig auf ein mangelndes Vertrauen in eine grenzüberschreitende Datenverarbeitung zurückzuführen, weil angenommen wird, dass Daten den zuständigen Behörden der Mitgliedstaaten für deren Zwecke wie Überprüfungen und Audits zu Regulierungs- und Aufsichtszwecken nicht zur Verfügung stünden. Dieses mangelnde Vertrauen lässt sich nicht allein dadurch überwinden, dass Vertragsbestimmungen, mit denen der rechtmäßige Datenzugang der zuständigen Behörden in Ausübung ihrer amtlichen Pflichten unterbunden wird, für nichtig erklärt werden. Deshalb sollte diese Verordnung eindeutig festlegen, dass die Befugnisse der zuständigen Behörden, gemäß dem Unionsrecht oder nationalem Recht Zugang zu Daten zu verlangen oder zu erhalten, unberührt bleiben und dass den zuständigen Behörden der Zugang zu den Daten nicht mit der Begründung verweigert werden darf, dass die Daten in einem anderen Mitgliedstaat verarbeitet werden. Die zuständigen Behörden könnten funktionale Anforderungen festlegen, um den Datenzugang zu unterstützen, wie beispielsweise die Anforderung, dass Systembeschreibungen in dem betreffenden Mitgliedstaat aufbewahrt werden müssen.

(25)

Natürliche oder juristische Personen, die verpflichtet sind, zuständigen Behörden Daten zur Verfügung zu stellen, können solchen Verpflichtungen dadurch nachkommen, dass sie den zuständigen Behörden einen wirksamen und zeitnahen elektronischen Zugang zu den Daten gewähren und garantieren, und zwar unabhängig von dem Mitgliedstaat, in dessen Gebiet die Daten verarbeitet werden. Ein solcher Zugang kann durch konkrete Geschäftsbestimmungen in Verträgen zwischen der natürlichen oder juristischen Person, die zur Zugangsgewährung verpflichtet ist, und dem Diensteanbieter gewährleistet werden.

(26)

Kommt eine natürliche oder juristische Person, die zur Datenübermittlung verpflichtet ist, dieser Verpflichtung nicht nach, so sollte die zuständige Behörde die zuständigen Behörden in anderen Mitgliedstaaten um Amtshilfe ersuchen können. In solchen Fällen sollten die zuständigen Behörden die besonderen Instrumente der Zusammenarbeit nutzen, die je nach Sachlage im Unionsrecht oder in internationalen Abkommen etwa für den Bereich der polizeilichen Zusammenarbeit, der justiziellen Zusammenarbeit in Zivil- und Strafsachen oder der Zusammenarbeit in Verwaltungsangelegenheiten vorgesehen sind, z. B. im Rahmenbeschluss 2006/960/JI des Rates (9), der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates (10), dem Übereinkommen des Europarats über Computerkriminalität (11), der Verordnung (EG) Nr. 1206/2001 des Rates (12), der Richtlinie 2006/112/EG des Rates (13) und der Verordnung (EU) Nr. 904/2010 des Rates (14). In Ermangelung solcher besonderen Kooperationsmechanismen sollten die zuständigen Behörden untereinander zusammenarbeiten, um den Zugang zu den gewünschten Daten über benannte einheitliche Anlaufstellen zu gewähren.

(27)

Beinhaltet ein Amtshilfeersuchen die Erlangung des Zugangs zu Räumlichkeiten einer natürlichen oder juristischen Person, einschließlich Datenverarbeitungsanlagen und -mittel, durch die ersuchte Behörde, so muss ein solcher Zugang im Einklang mit dem Unionsrecht oder dem nationalen Verfahrensrecht stehen und unter anderem dem Erfordernis einer vorherigen richterlichen Genehmigung genügen.

(28)

Diese Verordnung sollte Nutzern nicht den Versuch ermöglichen, geltendes nationales Recht zu umgehen. Deshalb sollte sie regeln, dass die Mitgliedstaaten wirksame, verhältnismäßige und abschreckende Sanktionen gegen Nutzer verhängen, die die zuständigen Behörden daran hindern, in Ausübung ihrer amtlichen Pflichten nach Unionsrecht und nach nationalem Recht auf ihre Daten zuzugreifen. In dringenden Fällen, in denen ein Nutzer sein Recht missbraucht, sollten die Mitgliedstaaten die Möglichkeit haben, strikt verhältnismäßige einstweilige Maßnahmen zu verhängen. Erfordern einstweilige Maßnahmen eine Relokalisierung von Daten über einen Zeitraum von mehr als 180 Tagen nach der Relokalisierung, so würde das bedeuten, dass über einen wesentlichen Zeitraum gegen den Grundsatz des freien Datenverkehrs verstoßen wird; deshalb sollten solche Maßnahmen der Kommission mitgeteilt werden, damit geprüft werden kann, ob sie mit dem Unionsrecht vereinbar sind.

(29)

Die Möglichkeit der unbehinderten Übertragung von Daten ist ein Schlüsselfaktor, um die Auswahlmöglichkeiten der Nutzer und einen wirksamen Wettbewerb auf den Märkten der Datenverarbeitungsdienste zu fördern. Die tatsächlichen oder vermeintlichen Schwierigkeiten bei der grenzüberschreitenden Übertragung von Daten untergraben auch das Vertrauen beruflicher Nutzer in grenzüberschreitende Angebote und dadurch ihr Vertrauen in den Binnenmarkt. Während das geltende Unionsrecht einzelnen Verbraucher zugute kommt, wird es Nutzern, die im Rahmen ihres Gewerbes oder Berufes tätig werden, nicht erleichtert, die Möglichkeit des Wechsels zwischen Diensteanbietern in Anspruch zu nehmen. Einheitliche technische Anforderungen in der gesamten Union, sei es in Bezug auf technische Vereinheitlichung, gegenseitige Anerkennung oder freiwillige Vereinheitlichung, tragen ebenfalls zur Entwicklung eines wettbewerbsfähigen Binnenmarktes für Datenverarbeitungsdienste bei.

(30)

Damit sie alle Vorteile des wettbewerbsorientierten Umfelds für sich nutzen können, sollten berufliche Nutzer in die Lage versetzt werden, sich sachkundig zu entscheiden und die einzelnen Bestandteile verschiedener Datenverarbeitungsdienste, die im Binnenmarkt angeboten werden, leicht zu vergleichen, auch bezüglich der Geschäftsbedingungen für die Übertragung von Daten bei Beendigung eines Vertrags. Um mit dem Innovationspotenzial des Marktes Schritt zu halten und die Erfahrungen und die Sachkenntnis der Diensteanbieter und beruflichen Nutzer von Datenverarbeitungsdiensten zu berücksichtigen, sollten die Einzelheiten und betrieblichen Anforderungen für die Übertragung von Daten von den Marktteilnehmern mittels Selbstregulierung festgelegt werden; die Kommission sollte die Selbstregulierung mit Verhaltensregeln der Union, die auch Mustergeschäftsbedingungen enthalten können, fördern, erleichtern und überwachen.

(31)

Um wirksam zu sein und den Anbieterwechsel und die Datenübertragung einfacher zu machen, sollten solche Verhaltensregeln umfassend sein und mindestens die zentralen Aspekte, die beim Prozess der Datenübertragung wichtig sind, abdecken, wie die Prozesse, die für die Datensicherungen benutzt werden und den Ort der Datensicherung, die verfügbaren Datenformate und Datenträger, die erforderliche IT-Konfiguration und die Mindestnetzbandbreite, die Vorlaufzeit vor Beginn des Übertragungsprozesses und die Zeitspanne, in der die Daten für eine Übertragung verfügbar bleiben, sowie die Garantien für den Zugang zu den Daten im Falle der Insolvenz des Diensteanbieters. Aus den Verhaltensregeln sollte eindeutig hervorgehen, dass eine Anbieterabhängigkeit kein akzeptables Geschäftsgebaren ist; sie sollten vertrauensfördernde Technologien vorsehen und regelmäßig aktualisiert werden, um mit den technischen Entwicklungen Schritt zu halten. Die Kommission sollte dafür sorgen, dass alle relevanten Interessenträger, darunter Verbände von kleinen und mittelständischen Unternehmen (im Folgenden „KMU“) und Startups, Nutzer und Anbieter von Cloud-Diensten, in den Konsultationsprozess einbezogen werden. Die Kommission sollte die Entwicklung und die Wirksamkeit der Umsetzung solcher Verhaltensregeln evaluieren.

(32)

Wenn eine zuständige Behörde eines Mitgliedstaats einen anderen Mitgliedstaat um Amtshilfe ersucht, um gemäß dieser Verordnung Zugang zu Daten zu erlangen, so sollte sie über eine benannte einheitliche Anlaufstelle einen ordnungsgemäß begründeten Antrag an die einheitliche Anlaufstelle des betreffenden Mitgliedstaats richten, der eine schriftliche Darlegung der Gründe und der Rechtsgrundlagen für das Zugangsbegehren enthalten sollte. Die einheitliche Anlaufstelle, die vom Mitgliedstaat, um dessen Amtshilfe ersucht wird, benannt wurde, sollte die Übermittlung des Antrags an die jeweils zuständige Behörde in dem ersuchten Mitgliedstaat ermöglichen. Im Interesse einer wirksamen Zusammenarbeit sollte die Behörde, der ein Antrag zugeleitet wird, unverzüglich die beantrage Amtshilfe leisten oder mitteilen, welche Schwierigkeiten sie hatte, dem Antrag nachzukommen bzw. die Gründe nennen, warum sie den Antrag ablehnt.

(33)

Durch die Stärkung des Vertrauens in eine grenzüberschreitende Datenverarbeitung sollte die Neigung von Marktteilnehmern und öffentlichen Stellen verringert werden, Datenlokalisierung stellvertretend für Datensicherheit zu verwenden. Außerdem sollten dadurch die Unternehmen mehr Rechtssicherheit in Bezug auf die Einhaltung anwendbarer Sicherheitsanforderungen erhalten, wenn sie ihre Datenverarbeitungstätigkeiten an Diensteanbieter, auch solche in anderen Mitgliedstaaten, auslagern.

(34)

Bestehende Sicherheitsanforderungen an die Datenverarbeitung, die auf der Grundlage des Unionsrechts oder nationalen Rechts in begründeter und verhältnismäßiger Weise sowie im Einklang mit dem Unionsrecht in dem Mitgliedstaat gelten, in dem die natürlichen oder juristischen Personen, deren Daten betroffen sind, ihren Wohnsitz oder ihre Niederlassung haben, sollten auch auf die Verarbeitung dieser Daten in einem anderen Mitgliedstaat weiterhin Anwendung finden. Diese natürlichen oder juristischen Personen sollten derartige Anforderungen entweder selbst oder aber durch Vertragsklauseln in ihren Verträgen mit den Diensteanbietern erfüllen können.

(35)

Auf nationaler Ebene festgelegte Sicherheitsanforderungen sollten notwendig sein und in einem angemessenen Verhältnis zu den Risiken für die Sicherheit der Datenverarbeitung stehen, für die das nationale Recht gilt, in dem diese Anforderungen festgelegt sind.

(36)

Die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (15) enthält rechtliche Bestimmungen zur Anhebung des allgemeinen Niveaus der Cybersicherheit in der Union. Datenverarbeitungsdienste gehören zu den von dieser Richtlinie erfassten digitalen Diensten. Nach jener Richtlinie müssen die Mitgliedstaaten sicherstellen, dass die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ermitteln und ergreifen, um die Risiken für die Sicherheit der von ihnen genutzten Netz- und Informationssysteme zu beherrschen. Diese Maßnahmen sollten ein dem Risiko angemessenes Schutzniveau gewährleisten und der Sicherheit der Systeme und Anlagen, der Bewältigung von Sicherheitsvorfällen, dem Betriebskontinuitätsmanagement, der Überwachung, Audits und Erprobung sowie der Einhaltung der internationalen Normen Rechnung tragen. Diese Elemente sollten von der Kommission in gemäß jener Richtlinie zu erlassenen Durchführungsrechtsakten weiter präzisiert werden.

(37)

Die Kommission sollte einen Bericht über die Umsetzung dieser Verordnung vorlegen, um insbesondere festzustellen, ob angesichts der Entwicklung der Technologie und der Märkte Änderungsbedarf besteht. In diesem Bericht sollte insbesondere diese Verordnung, vor allem ihre Anwendung auf Datensätze, die aus personenbezogenen und nicht-personenbezogenen Daten bestehen, und die Anwendung der Ausnahme zugunsten der öffentlichen Sicherheit evaluiert werden. Bevor diese Verordnung Anwendung findet, sollte die Kommission zudem informierende Leitlinien darüber veröffentlichen, wie Datensätze, die sowohl aus personenbezogenen als auch aus nicht-personenbezogenen Daten bestehen, zu behandeln sind, damit Unternehmen einschließlich KMU das Verhältnis zwischen dieser Verordnung und der Verordnung (EU) 2016/679 besser verstehen und um sicherzustellen, dass beide Verordnungen eingehalten werden.

(38)

Diese Verordnung steht insbesondere mit den in der Charta der Grundrechte der Europäischen Union anerkannten Grundrechten und Grundsätzen im Einklang und sollte in Übereinstimmung mit diesen Grundrechten und Grundsätzen ausgelegt und angewandt werden; dazu zählen die Rechte auf Schutz personenbezogener Daten, auf Freiheit der Meinungsäußerung und Informationsfreiheit und auf unternehmerische Freiheit.

(39)

Da das Ziel dieser Verordnung, nämlich den freien Verkehr von Daten, die keine personenbezogenen Daten sind, in der Union zu gewährleisten, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen seines Umfangs und seiner Wirkungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des EUV verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das zur Verwirklichung dieses Ziels erforderliche Maß hinaus —