Mit dem Data Act, einem Verordnungsvorschlag der Europäischen Union, wird ein umfassender Rechtsrahmen für die gemeinsame Nutzung von – personenbezogenen und nicht-personenbezogenen – Daten geschaffen, die durch die Nutzung von Produkten und verbundenen Diensten generiert werden (z.B. Fahrzeuge, Haushaltsgeräte, Konsumgüter, Medizin- und Gesundheitsprodukte). Insbesondere regelt der Data Act das Verhältnis zwischen Dateninhaber (zumeist Produkthersteller), Nutzer der Produkte und Datenempfängern (Dritten). Weitere Ziele des Data Acts sind die Vereinfachung des Wechsels von Datenverarbeitungsdiensten sowie die bessere Interoperabilität von Daten.  

Zentrales Element des Data Act ist die Pflicht des Dateninhabers, generierte Daten dem Nutzer, einem von diesem benannten Dritten oder öffentlichen Stellen zur Verfügung zu stellen. Flankiert wird dies mit der Pflicht, Produkte bereits so zu konzipieren und herzustellen, dass die bei ihrer Nutzung erzeugten Daten standardmäßig für den Nutzer einfach, sicher und direkt zugänglich sind, und Nutzer vor Abschluss eines Vertrages über Art und Umfang der Daten, die mit dem Produkt voraussichtlich generiert werden, und den Zugriff auf die Daten zu informieren.  

Besonders praxisrelevant ist das Zusammenspiel zwischen der Pflicht zur Schaffung von Datenzugängen für Nutzer und Dritte und deren Begrenzung aufgrund des Datenschutzes sowie des Schutzes von Geschäftsgeheimnissen und geistiger Eigentumsrechte. 

Unternehmen stehen vor einer Reihe von Herausforderungen, die insbesondere für KMUs schwer zu bewältigen sein könnten: 

• Prüfung der Betroffenheit durch den Data Act: Unternehmen müssen prüfen, ob sie in den sachlichen und persönlichen Anwendungsbereich des Data Acts fallen oder ob mit Verweis auf Geschäftsgeheimnisse und/oder geistige Eigentumsrechte eine Ausnahme zur Pflicht zur Schaffung von Datenzugängen begründet werden kann. 
• Anforderungen an das Produktdesign/Informationspflichten: Betroffene Unternehmen müssen bereits bei der Konzeption und Erstellung ihrer Produkte die Anforderungen des Data Acts beachten. Im Rahmen des Vertriebs sind zukünftig zusätzliche Informationspflichten hinsichtlich der durch die Produkte generierbaren Daten und den Zugriff darauf zu erfüllen. 
• Erstellung zusätzlicher Vertragsbedingungen/Datenlizenzverträgen: Für die Regelung des Datenzugangs sind Vertragsbedingungen zu erstellen, die den Anforderungen von FRAND (Fair, Reasonable and Non-Discriminatory) entsprechen müssen. Zudem darf die Nutzung der generierten nicht-personenbezogenen Daten durch den Dateninhaber (Hersteller) selbst nur auf Grundlage eines abzuschließenden Datenlizenzvertrages erfolgen. 
• Prüfung und Geltendmachung von Datenzugangsansprüchen: Die Implementierung neuer Technologien und Tools zur Gewährleistung des Datenschutzes kann erforderlich sein. 
• Zusammenarbeit mit Aufsichtsbehörden: Ein engerer Dialog mit den Aufsichtsbehörden ist erforderlich, um sicherzustellen, dass alle Anforderungen des Data Acts (beispielsweise auch hinsichtlich der Umsetzung des Beschwerderechts der Verbraucher und Unternehmern) erfüllt sind.