[pinguin]

Vorabinfo:
Diese neue Datenverordnung ergänzt die DSGVO, betrifft aber alle Daten wie Produktdaten, nicht-personenbezogene Daten und auch personen-bezogene Daten, ist in Bezug auf personen-bezogene Daten den Bestimmungen der DSGVO allerdings nachrangig und enthält klare Vorgaben dafür, wann Daten überhaupt, bspw., weitergegeben werden dürfen.

Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202302854

Artikel 1
Gegenstand und Anwendungsbereich

(5)   Diese Verordnung gilt unbeschadet des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, die im Zusammenhang mit den in der vorliegenden Verordnung festgelegten Rechten und Pflichten verarbeitet werden, insbesondere der Verordnungen (EU) 2016/679 und (EU) 2018/1725 und der Richtlinie 2002/58/EG, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen. Soweit Nutzer betroffene Personen sind, ergänzen die in Kapitel II dieser Verordnung festgelegten Rechte das Auskunftsrecht von betroffenen Personen und das Recht auf Datenübertragbarkeit gemäß Artikel 15 bzw. Artikel 20 der Verordnung (EU) 2016/679. Im Falle eines Widerspruchs zwischen der vorliegenden Verordnung und dem Unionsrecht in Bezug auf den Schutz personenbezogener Daten bzw. der Privatsphäre oder den im Einklang mit dem Unionsrecht erlassenen nationalen Rechtsvorschriften haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw. der Privatsphäre Vorrang.

Artikel 2
Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1.
„Daten“ jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material;

[...]

7.
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Daten oder Datensätzen, wie etwa das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, der Abruf, das Abfragen, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

[...]

11.
„betroffene Person“ eine betroffene Person gemäß Artikel 4 Nummer 1 der Verordnung (EU) 2016/679;

12.
„Nutzer“ eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt;

13.
„Dateninhaber“ eine natürliche oder juristische Person, die nach dieser Verordnung, nach geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat;

14.
„Datenempfänger“ eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und dem vom Dateninhaber Daten bereitgestellt werden, einschließlich eines Dritten, dem der Dateninhaber auf Verlangen des Nutzers oder im Einklang mit einer rechtlichen Verpflichtung aus anderem Unionsrecht oder aus nationalen Rechtsvorschriften, die im Einklang mit Unionsrecht erlassen wurden, Daten bereitstellt;

[...]

30.
„Kunde“ eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere Datenverarbeitungsdienste in Anspruch zu nehmen;

[...]

Artikel 4
Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf den Zugang zu sowie die Nutzung und die Bereitstellung von Produktdaten und verbundenen Dienstdaten

[...]

(11)   Der Nutzer darf keine Zwangsmittel einsetzen oder Lücken in der zum Schutz der Daten bestehenden technischen Infrastruktur eines Dateninhabers ausnutzen, um Zugang zu Daten zu erlangen.

(12)   Handelt es sich bei dem Nutzer nicht um die betroffene Person, deren personenbezogene Daten verlangt werden, so darf der Dateninhaber personenbezogene Daten, die bei der Nutzung eines vernetzten Produktes oder verbundenen Dienstes generiert werden, dem Nutzer nur dann bereitstellen, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gemäß Artikel 6 der Verordnung (EU) 2016/679 gibt und gegebenenfalls die Bedingungen des Artikels 9 jener Verordnung sowie des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG erfüllt sind.

(13)   Der Dateninhaber darf ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen. Der Dateninhaber darf solche Daten nicht verwenden, um daraus Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Nutzers oder in die Nutzung durch den Nutzer auf jegliche andere Art, die die gewerbliche Position dieses Nutzers auf Märkten, auf denen dieser tätig ist, untergraben könnte, zu erlangen.

Artikel 5
Recht des Nutzers auf Weitergabe von Daten an Dritte

[...]

(5)   Der Dritte darf keine Zwangsmittel verwenden oder Lücken in der zum Schutz der Daten bestehenden technischen Infrastruktur des Dateninhabers ausnutzen, um Zugang zu Daten zu erlangen.

(6)   Der Dateninhaber darf ohne Weiteres verfügbare Daten nicht verwenden, um daraus Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Dritten oder in die Nutzung durch den Dritten auf jegliche andere Art, die die gewerbliche Position des Dritten auf den Märkten, auf denen dieser tätig ist, untergraben könnte, zu erlangen, es sei denn, der Dritte hat eine solche Nutzung genehmigt und hat die technische Möglichkeit, diese Genehmigung jederzeit einfach zu widerrufen.

(7)   Handelt es sich bei dem Nutzer nicht um die betroffene Person, deren personenbezogene Daten verlangt werden, so dürfen personenbezogene Daten, die bei der Nutzung eines vernetzten Produktes oder verbundenen Dienstes generiert werden, nur dann vom Dateninhaber dem Dritten bereitgestellt werden, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gemäß Artikel 6 der Verordnung (EU) 2016/679 gibt und gegebenenfalls die Bedingungen des Artikels 9 jener Verordnung sowie des Artikels 5 Absatz 3 der Richtlinie 2002/58/EG erfüllt sind.

( 8 )   Die Ausübung der Rechte der betroffenen Person gemäß der Verordnung (EU) 2016/679 und insbesondere des Rechts auf Datenübertragbarkeit gemäß Artikel 20 jener Verordnung darf durch Versäumnisse seitens des Dateninhabers oder des Dritten, Vorkehrungen für die Übermittlung der Daten zu treffen, nicht behindert, verhindert oder beeinträchtigt werden.

[...]

Artikel 6
Pflichten Dritter, die Daten auf Verlangen des Nutzers erhalten

(1)   Ein Dritter verarbeitet die ihm nach Artikel 5 bereitgestellten Daten nur zu den Zwecken und unter den Bedingungen, die er mit dem Nutzer vereinbart hat und gemäß dem geltenden Unionsrecht und nationalen Recht über den Schutz personenbezogener Daten, einschließlich der Rechte der betroffenen Person, soweit personenbezogene Daten betroffen sind. Der Dritte löscht die Daten, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, sofern mit dem Nutzer in Bezug auf nicht-personenbezogene Daten nichts anderes vereinbart wurde.

(2)   Dem Dritten ist untersagt,

[...]

c)
die erhaltenen Daten einem anderen Dritten bereitzustellen, es sei denn, die Daten werden auf der Grundlage eines Vertrags mit dem Nutzer bereitgestellt, und vorausgesetzt, der andere Dritte trifft alle zwischen dem Dateninhaber und dem Dritten vereinbarten Maßnahmen, die erforderlich sind, um die Vertraulichkeit von Geschäftsgeheimnissen zu wahren;

[...]

h)
den Nutzer, bei dem es sich um einen Verbraucher handelt, daran zu hindern – einschließlich auf der Grundlage eines Vertrags –, die erhaltenen Daten anderen Parteien bereitzustellen.

Artikel 8
Bedingungen, unter denen Dateninhaber Datenempfängern Daten bereitstellen

[...]

(4)   Daten dürfen einem Datenempfänger vom Dateninhaber – auch exklusiv – nur dann bereitgestellt werden, wenn der Nutzer dies gemäß Kapitel II verlangt hat.

[...]

Artikel 50
Inkrafttreten und Geltungsbeginn

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Sie gilt ab dem 12. September 2025.

Die Verpflichtung gemäß Artikel 3 Absatz 1 gilt für vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht wurden.

Kapitel III gilt nur in Bezug auf Datenbereitstellungspflichten nach dem Unionsrecht oder nach im Einklang mit Unionsrecht erlassenen nationalen Rechtsvorschriften, die nach dem 12. September 2025 in Kraft treten.

Kapitel IV gilt für Verträge, die nach dem 12. September 2025 geschlossen wurden.

Kapitel IV gilt ab dem 12. September 2027 für Verträge, die am oder vor dem 12. September 2025 geschlossen wurden, sofern

a)
sie unbefristet sind oder

b)
ihre Geltungsdauer frühestens 10 Jahre nach dem 11. Januar 2024 endet.

Diese Auswahl an zitierten Artikel, bzw., deren Bestandteilen sollte genügen?