Diese Verordnung sollte Bedingungen für die Weiterverwendung geschützter Daten festlegen, die für öffentliche Stellen gelten, die nach nationalem Recht als dafür zuständig benannt werden, die Weiterverwendung zu erlauben oder zu verweigern, und die die Rechte und Pflichten in Bezug auf den Zugang zu solchen Daten unberührt lassen. Diese Bedingungen sollten nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt sein und den Wettbewerb nicht einschränken, wobei insbesondere der Zugang von KMU und Start-up-Unternehmen zu solchen Daten gefördert werden sollte. Die Bedingungen für die Weiterverwendung sollten so gestaltet werden, dass wissenschaftliche Forschung gefördert wird, so dass beispielsweise die bevorzugte Behandlung der wissenschaftlichen Forschung als nicht diskriminierend betrachtet werden sollte. Öffentliche Stellen, die die Weiterverwendung von Daten erlauben, sollten über die für den Schutz der Rechte und Interessen Dritter erforderlichen technischen Mittel verfügen und dazu befugt sein, die notwendigen Informationen vom Weiterverwender anzufordern. Die Bedingungen für die Weiterverwendung von Daten sollten sich auf das beschränken, was zur Wahrung der Rechte und Interessen Dritter an den Daten und der Integrität der Informatik- und Kommunikationssysteme der öffentlichen Stellen notwendig ist. Die von öffentlichen Stellen auferlegten Bedingungen sollten den Interessen der Weiterverwender bestmöglich dienen, ohne dass den öffentlichen Stellen hieraus ein unverhältnismäßig hoher Aufwand erwächst. Die Bedingungen mit der Wiederverwendung von Daten verbundenen Bedingungen sollten derart konzipiert sein, dass wirksame Vorkehrungen in Bezug auf den Schutz personenbezogener Daten sichergestellt sind. Vor der Übermittlung sollten personenbezogene Daten anonymisiert werden, sodass ausgeschlossen ist, dass die betroffenen Personen identifiziert werden können, und sollten Daten, die vertrauliche Geschäftsinformationen enthalten, so verändert werden, dass keine vertraulichen Informationen offengelegt werden. Wenn die Bereitstellung anonymisierter oder veränderter Daten nicht den Bedürfnissen des Weiterverwenders entspricht und wenn etwaige Anforderungen in Bezug auf die Durchführung einer Datenschutz-Folgenabschätzung und die Konsultation der Aufsichtsbehörde gemäß den Artikeln 35 und 36 der Verordnung (EU) 2016/679 erfüllt wurden und die Risiken für die Rechte und Interessen der betroffenen Personen minimal sind, könnte die Weiterverwendung der Daten in den Räumlichkeiten der öffentlichen Stelle oder der Fernzugriff zur Verarbeitung in einer sicheren Verarbeitungsumgebung erlaubt werden.
Dies könnte eine geeignete Regelung für die Weiterverwendung pseudonymisierter Daten sein. Die Datenanalysen in solchen sicheren Verarbeitungsumgebungen sollten von der öffentlichen Stelle beaufsichtigt werden, damit die Rechte und Interessen Dritter geschützt werden. Insbesondere sollten personenbezogene Daten nur dann zur Weiterverwendung an Dritte übermittelt werden, wenn es hierfür im Datenschutzrecht eine Rechtsgrundlage gibt. Nicht personenbezogene Daten sollten nur übermittelt werden, wenn kein Grund zu der Annahme besteht, dass betroffene Personen anhand der Kombination nicht personenbezogener Datensätze identifiziert werden können. Dies sollte auch für pseudonymisierte Daten gelten, die ihren Status als personenbezogene Daten behalten. Im Falle der erneuten Identifizierung betroffener Personen sollte zusätzlich zur einer Verpflichtung, eine solche Datenschutzverletzung gemäß Verordnung (EU) 2016/679 einer Aufsichtsbehörde und der betroffenen Person mitzuteilen, auch eine Verpflichtung bestehen, diese Datenschutzverletzung der öffentlichen Stelle mitzuteilen. Gegebenenfalls sollten die öffentlichen Stellen die Weiterverwendung von Daten auf der Grundlage der Einwilligung betroffener Personen bzw. Erlaubnis von Dateninhabern zur Weiterverwendung ihrer Daten mit geeigneten technischen Mitteln erleichtern. In diesem Zusammenhang sollte die öffentliche Stelle die potenziellen Weiterverwender der Daten nach besten Kräften bei der Einholung dieser Einwilligung oder Erlaubnis unterstützen, indem sie technische Mechanismen schafft, mit denen Einwilligungs- oder Erlaubnisanfragen der Weiterverwender weitergeleitet werden können, soweit dies praktisch durchführbar ist. Dabei sollten keine Kontaktangaben weitergegeben werden, die es Weiterverwendern ermöglichen würden, betroffene Personen oder Dateninhaber direkt zu kontaktieren. Bei der Übermittlung einer Einwilligungs- oder Erlaubnisanfrage sollte die öffentliche Stelle sicherstellen, dass die betroffene Person oder der Dateninhaber unmissverständlich darüber informiert wird, dass sie die Einwilligung oder Erlaubnis ablehnen kann.