Die Europäische Datenstrategie der EU ist ein Projekt zur Regulierung der digitalen Wirtschaft. Angestrebt wird die Schaffung eines sicheren, auf den Menschen ausgerichteten digitalen Ökosystems, in dem die Bürgerinnen und Bürger gestärkt werden und die Unternehmen vom digitalen Potenzial profitieren.
Zentrales Element des Data Act (DA) ist die Pflicht, Daten, die bei der Nutzung von vernetzten Produkten, z.B. Haushaltsgeräten oder Autos, oder sog. verbundenen Diensten entstehen, für den Nutzer zugänglich zu machen, idealerweise durch direkten Zugriff. So soll der DA etwa Nutzern ermöglichen, problemlos zwischen Cloud-Anbietern zu wechseln. Der DA betrifft Daten, die bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugt werden, unabhängig von einem Personenbezug. Der Anwendungsbereich des DA ist insofern weiter als derjenige der DS-GVO.
Der DA hat für Unternehmen nicht nur Relevanz, weil sie als potenzielle Adressaten ggf. die aus diesem resultierenden Pflichten einhalten müssen, sondern auch als potenziell anspruchsberechtigte Nutzer, sofern vernetzte Produkte oder verbundene Dienste verwendet werden.
Der DA ist am 11. Januar 2024 in Kraft getreten und gilt ab dem 12. September 2025 als EU-weit direkt anwendbares Recht. Für Unternehmen ist es daher wichtig, sich – sofern noch nicht geschehen – mit den neuen Verpflichtungen zu befassen.
Hilfestellung kann in diesem Zusammenhang u.a. die „GDD-Praxishilfe: Europäische Datenstrategie: KI-VO, Data Act etc.“ liefern. In der GDD-Praxishilfe werden die wichtigsten Rechtsakte, die im Rahmen der Europäischen Datenstrategie geplant oder bereits verabschiedet worden sind, überblickartig dargestellt und in ihren datenschutzrechtlichen Auswirkungen eingeordnet. Besonderes Augenmerk gilt hierbei auch Stellung und Aufgaben des Datenschutzbeauftragten, der sich in Bezug auf die in Rede stehenden Rechtsakte mit neuen Aufgaben konfrontiert sieht.
Die Zuständigkeiten zur Aufsicht über den Data Act in Deutschland bedürfen aktuell noch der verbindlichen Ausgestaltung. Der Referentenentwurf für ein nationales Data Act-Durchführungsgesetz vom 5. Februar 2025 sieht vor, dass zuständige Behörde für die Anwendung und Durchsetzung des DA grundsätzlich die Bundesnetzagentur (BNetzA) ist. Für die Überwachung der DS-GVO „im Rahmen“ des DA ist im Gesetzentwurf eine Sonderzuständigkeit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vorgesehen. Die BfDI soll die BNetzA in datenschutzrechtlichen Fragen unterstützen sowie kooperativ und vertrauensvoll mit ihr zusammenarbeiten. Insbes. die Sonderzuständigkeit der BfDI ist allerdings umstritten und es ist auch eine Zuständigkeitszuweisung an die für die Überwachung des Datenschutzes in der Privatwirtschaft ansonsten zuständigen Landesbehörden denkbar.
Jedenfalls so lange keine Sonderzuständigkeit gesetzlich geregelt ist, ist aufgrund der Regelung in Art. 37 Abs. 3 DA davon auszugehen, dass die Landesdatenschutzbehörden auch für die Überwachung des Datenschutzes im Zusammenhang mit dem DA zuständig sind.
Die Europäische Datenakte ist auch Thema
der Datenschutzfachtagung (DAFTA) der GDD.