Seit dem 11.01.2024 gilt der Data Act innerhalb der Europäischen Union. Wir haben bereits hier und hier über den Data Act und seine Stärken und Schwächen berichtet. Die Verordnung gilt ab dem 12.09.2025. Das Vorgehen ist ähnlich wie bei der DSGVO, die am 04.05.2016 in Kraft trat und ab dem 25.05.2018 Gültigkeit erlangte und damit verpflichtend wurde, u. a. für die Unternehmen und öffentlichen Stellen. Um sich nicht von den neuen Verpflichtungen im Jahre 2025 überraschen zu lassen, ist es sinnvoll, sich nun mit dem Data Act auseinanderzusetzen.

Betroffen vom Data Act sind vor allem Unternehmen, die vernetzte Produkte und Dienste herstellen oder anbieten. Dies umfasst eine breite Palette von Unternehmen, die Produkte und Dienstleistungen im Bereich des Internet of Things (IoT) anbieten, wie etwa vernetzte Fahrzeuge, Smart-Home-Geräte und ähnliche Technologien. Diese müssen sicherstellen, dass ihre Produkte und Dienstleistungen den Nutzern einen Zugang zu den generierten Daten ermöglichen und dass diese Daten in einem nutzerfreundlichen Format bereitgestellt werden.

Ein wichtiger Aspekt des Data Acts ist die Frage, ob und inwieweit er eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten bietet. Der Data Act ergänzt die bestehende Datenschutz-Grundverordnung (DSGVO) und fokussiert sich auf nicht-personenbezogene Daten. Für die Verarbeitung personenbezogener Daten bleibt die DSGVO die primäre Rechtsgrundlage. Der Data Act stellt jedoch klar, dass die Verarbeitung personenbezogener Daten im Einklang mit den Bestimmungen der DSGVO erfolgen muss, er aber keine Rechtsgrundlage für die Datenverarbeitung darstellt. Über die problematischen Folgen, wie die Weitergabe von nicht anonymisierten Daten, hatten wir bereits berichtet.

Die Durchsetzung des Data Acts und die Überwachung seiner Einhaltung werden durch nationale Behörden gewährleistet, die in den jeweiligen Mitgliedstaaten für die Überwachung der Einhaltung von Datenregulierungen zuständig sind. Diese Rolle werden in Deutschland die Landesdatenschutzbeauftragten übernehmen. Der Data Act legt fest, dass diese Behörden die Befugnis haben, die Einhaltung der Vorschriften zu überprüfen und bei Verstößen entsprechend zu handeln. Die Bußgeldvorschriften werden durch die Mitgliedstaaten festgelegt. Dies muss bis September 2025 geschehen.

Es sind nun gut eineinhalb Jahre Zeit, sich mit den neuen Verpflichtungen vertraut zu machen. Die DSGVO hat gezeigt, dass eine frühzeitige Auseinandersetzung mit dem Gesetz hektische Betriebsamkeit bei Gültigkeit in Grenzen halten kann.

Wir halten Sie über den Data Act und die Europäische Datenstrategie auch weiterhin in unserem Blog auf dem Laufenden!