Der Data Act ist seit dem 11. Januar 2024 in der gesamten Europäischen Union gültig. Die neue Verordnung tritt am 12.09.2025 in Kraft. Der Ablauf der Einführung ähnelt dem der Datenschutz-Grundverordnung (DSGVO), die am 04.05.2016 in Kraft trat und ab dem 25.05.2018 Geltung erlangte, wodurch sie für Unternehmen und öffentliche Stellen verpflichtend wurde. Um sich auf die neuen Anforderungen im Jahr 2025 vorzubereiten und nicht überrascht zu werden, ist es ratsam, sich jetzt mit dem Data Act auseinanderzusetzen.
Der Data Act betrifft hauptsächlich Unternehmen, die vernetzte Produkte und Dienstleistungen herstellen oder bereitstellen. Dies beinhaltet eine Vielzahl von Firmen, die im Bereich des Internet of Things (IoT) tätig sind, wie zum Beispiel Anbieter von vernetzten Fahrzeugen, Smart-Home-Geräten und vergleichbaren Technologien. Diese Unternehmen sind verpflichtet, dafür zu sorgen, dass ihre Produkte und Dienste den Nutzern Zugriff auf die erzeugten Daten gewähren und dass diese Daten in einem formatiert werden, das für die Nutzer leicht zu handhaben ist.
Ein wesentlicher Aspekt des Data Acts betrifft die Frage seiner Rolle als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Der Data Act dient als Ergänzung zur bestehenden Datenschutz-Grundverordnung (DSGVO) und konzentriert sich primär auf nicht-personenbezogene Daten. Die DSGVO bleibt weiterhin die maßgebliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Der Data Act macht jedoch deutlich, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Vorgaben der DSGVO stattfinden muss, bietet selbst jedoch keine rechtliche Grundlage für die Datenverarbeitung.
Es verbleiben nun etwa anderthalb Jahre, um sich mit den neuen Anforderungen vertraut zu machen. Die Erfahrungen mit der DSGVO haben gelehrt, dass eine frühzeitige Beschäftigung mit solchen Regelungen dazu beitragen kann, hektische Betriebsamkeit bei deren Inkrafttreten zu minimieren.