Ebenfalls noch kurz vor Jahresende erfolgte am 8. Dezember 2023 eine politische Einigung im Rahmen der Trilogverhandlungen zur Schaffung einer KI-Verordnung. Damit werden die europäischen Institutionen dieses legislative Vorhaben noch vor den kommenden Wahlen zum europäischen Parlament abschließen können. Zwei Jahre danach wird die KI-Verordnung wirksam. Eine unterdessen geleakte Fassung des Textes ist unter anderem hier (iapp.org/news/a/eu-ai-act-draft-consolidated-text-leaked-online/) abrufbar.
Dagegen ist am 22. Dezember 2023 ist die Verordnung zur „Schaffung einheitlicher Vorschriften für den fairen Zugang zu Daten und deren faire Nutzung“ – kurz Data Act – im Amtsblatt der Europäischen Union veröffentlicht worden (bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/eu-data-act-deutsche-fassung-22-12-23.html) und tritt am 11.1.2024 in Kraft. Anwendung finden wird der Data Act in großen Teilen ab dem 12.9.2025. Regelungsschwerpunkt ist nach den der Zugang zu Daten, die bei der Nutzung von vernetzten Produkten (physische Gegenstände) und verbundenen Dienste (digitale Dienste, inkl. Software), entstehen, zugunsten von Nutzer und Dritte, Art. 3 bis 5 DA. Der Data Act ergänzt die DSGVO, beispielsweise im Bereich von Art. 15 und 20 DSGVO. Der Nutzer ist nach Art. 3 Abs. 2 und DA über seine Rechte aus dem Data Act zu informieren, sodass in dessen Anwendungsbereich über die DSGVO hinausgehende Informationspflichten bestehen. Im Übrigen soll die DSGVO durch den Data Act „unberührt“ bleiben; die DSGVO soll Vorrang vor dem Data Act haben (Art. 1 Abs. 5, Erwägungsgrund 7 S. 5 Data Act). Wenn bei einem Herausgabeverlangen des Nutzers personenbezogene Daten Dritter betroffen sind, so bedarf diese Herausgabe beispielsweise einer Rechtsgrundlage.