23. Dezember 2025
IT-Recht. Die Europäische Kommission hat am 19. November Vorschläge für einen Gesetzespaket, dem sog. Digitalen Omnibus, vorgelegt. Diese Verordnungen sollen dazu dienen, die gesetzlichen Vorgaben der Digitalregulierung in der Europäischen Union anzupassen und zu optimieren. Ziel ist dabei, insbesondere die Förderung der Wettbewerbsfähigkeit von Unternehmen in der EU. Umfasst sind neben der Datenschutz-Grundverordnung (DSGVO) insbesondere auch die KI-Verordnung (KI-VO), der Data-Act und der Data-Governance-Act.
Aktuelle Probleme in der Digitalen Regulierungslandschaft
Die Gesetzgebung der Europäischen Union ist in den letzten Jahren von einer Vielzahl „digitaler“ Regelungswerke geprägt. Diese Vielzahl von unterschiedlichen Gesetzestexten hat nach Auffassung einiger zu einer weit zersplitterten Regelungslandschaf geführt. Diese Zersplitterung mache es insbesondere für Unternehmen schwer, allen für sie geltenden Regeln konform zu bleiben. Dies sei auch auf die fehlende Abstimmung der unterschiedlichen Digitalrechtsakte zurückzuführen. Die Vielzahl von überlappenden Melde-, Dokumentations- und Transparenzpflichten führe zu einem erhöhten Aufwand für betroffene Unternehmen. Die Omnibusvorschläge sollen hier Abhilfe schaffen und insbesondere Entlastung für diese Unternehmen schaffen.
Zwei neue Gesetzespakets
Vorgeschlagen wurden durch die Kommission zwei eigenständige Gesetzespakete:
Ein Vorschlag für eine Digital-Omnibus-Verordnung, die eine Reihe von Änderungen an der großen Masse digitaler Rechtsvorschriften vorsieht. Daneben hat die Kommission einen Vorschlag für eine digitale Omnibus-Verordnung über KI vorgeschlagen, die gezielte Vereinfachungsmaßnahmen zur rechtzeitigen und reibungslosen Umsetzung der Bestimmungen in KI-VO.
Im Folgenden sollen einige der sich aus den Entwürfen abzeichnenden relevanten Regelungen beleuchtet werden.
Digital Omnibus-Verordnung
Der Fokus der Verordnung liegt auf der Präzisierung, Klarstellung und besseren Abstimmung der unterschiedlichen Gesetze. Umfasst sind dabei vor allem zwei Kernbereiche: Die Neustrukturierung des Data Act und Überarbeitungen an der DSGVO, insbesondere die Entschärfung bestimmter Problemschwerpunkte und die Anpassung von Transparenzpflichten bei der Datenverarbeitung und des Rechtsrahmens für die Verwendung personenbezogener Daten für das Training von KI-Modellen.
Vorschläge zur DSGVO
Die geplanten Anpassungen der DSGVO im Rahmen des Digital-Omnibus-Pakets greifen besonders tief und werden voraussichtlich den größten Diskussionsbedarf auslösen.
Im Zentrum steht eine Entlastung kleiner und mittlerer Unternehmen: Informationspflichten sollen vereinfacht, zentrale Begriffe klarer definiert und geringfügige Verarbeitungen differenzierter behandelt werden können. Zugleich soll die bisherige Trennung von DSGVO und ePrivacy-Richtlinie entfallen, um ein einheitliches Regime für den Einsatz von Cookies, SDKs und anderen Tracking-Technologien zu schaffen.
Eine der einschneidendsten Änderungen betrifft Art. 4 Abs. 1 DSGVO, der künftig präziser festlegt, wann Informationen als personenbezogene Daten gelten. Entscheidend ist dabei, ob eine Stelle „mit hinreichender Wahrscheinlichkeit“ über Mittel verfügt, eine Person zu identifizieren. Dieser Ansatz greift die EuGH-Rechtsprechung (C-413/23 P) zum akteursspezifischen Verständnis personenbezogener Daten auf. Gleichzeitig wird die Grenze zwischen Anonymisierung und Pseudonymisierung deutlicher gezogen, gestützt auf die Frage, ob Daten einer Person noch „vernünftigerweise“ zugeordnet werden können. Die Kommission soll zudem ermächtigt werden, mittels Durchführungsakten Kriterien festzulegen, wann pseudonymisierte Daten für bestimmte Empfänger nicht mehr als personenbezogen gelten, orientiert am Stand der Technik und typischen Re-Identifizierungsrisiken.
Auch das Cookie-Regime soll neu strukturiert werden. Sämtliche Verarbeitungsvorgänge durch Cookies, SDKs und vergleichbare Technologien sollen vollständig unter die DSGVO und ihre Einwilligungsmechanismen fallen, ergänzt um neue Ausnahmen zur zustimmungslosen Verarbeitung für aggregierte Nutzungsinformationen. Ein besonderer Fokus liegt auf der Ablehnung von Datenverarbeitungen. Wo eine Einwilligung erforderlich ist, soll künftig ein Widerruf per „Single-Click“ möglich sein und nach einer verweigerten Einwilligung für mindestens sechs Monate keine erneute Anfrage zum gleichen Zweck erfolgen.
Schließlich versucht der Digital Omnibus, den bestehenden Rechtsrahmen der DSGVO auf die Nutzung personenbezogener Daten für das Training von KI-Modellen zu übertragen. Die Verarbeitung zu diesem Zweck kann als berechtigtes Interesse anerkannt werden, ohne die bestehenden Anforderungen abzusenken. Unternehmen müssen jedoch eine dokumentierte Interessenabwägung vornehmen und klare Opt-out-Mechanismen bereitstellen. Zugleich enthält Art. 9 Abs. 5 strikte Vorgaben, um die Einbeziehung besonders geschützter Daten in Trainings- und Betriebsprozesse zu verhindern bzw. deren Entfernung sicherstellen. Für die wissenschaftliche Forschung sind hingegen Erleichterungen vorgesehen.
Datennutzung unter dem Data Act
In der Neugestaltung des Data Act sollen die Open-Data-Richtlinie (2019), der Data-Governance Act (2022), und die Verordnung über den freien Verkehr nicht-personenbezogener Daten (2018) zu einem konsistenteren Rahmen im Data Act zusammengefasst werden. Die Rechtsakte werden hier ineinander integriert und dadurch zu einem Instrument der europäischen Datenwirtschaft harmonisiert. Diese Harmonierung soll die Wiederverwendung öffentlicher Daten und den Austausch von Unternehmensdaten erleichtern und zugleich Schutzmechanismen für die Wahrung von Geschäftsgeheimnissen stärken.
Daneben sollen durch den Entwurf die Wettbewerbsbedingungen für alle Marktteilnehmer angeglichen werden, beispielsweise durch Auferlegung von Verpflichtungen für große Marktteilnehmer, verstärkten Schutz von Geschäftsgeheimnissen, Beschränkung von B2G Datenzugriffe auf echte öffentliche Notlagen oder der Vereinfachung von Vorschriften für die Datennutzung zu Forschungszwecken.
Betroffen sind hierbei aber auch Cybersicherheitsnormen wie die gerade erst durch das NIS2UmsucG umgesetzte NIS-2-Richtlinie. So sollen unter anderem die bestehenden Meldepflichten in einem zentralen digitalen Meldeportal bei der EU-Cybersicherheitsagentur ENISA gebündelt werden, um mehrfache Meldungen zu vermeiden.
Omnibus-Verordnung für KI
Die Vorschläge aus der Omnibus-Verordnung für KI sollen die Umsetzung der KI-VO vereinfachen. Die Überarbeitungen sind dabei zwar nicht so umfangreich wie im anderen Omnibus-Gesetz, aber dennoch beachtenswert.
Zunächst werden die Anforderungen an die Umsetzung überarbeitet. So wird zum einen vorgeschlagen, die Fristen für die Umsetzung der Anforderungen für Hochrisikosysteme an die Verfügbarkeit von unterstützenden Standards und Richtlinien zu binden. Die erste Implementierungsfrist soll zudem bis mindestens Ende 2027 verlängert werden.
Daneben wird aber auch die Aufsicht über die Umsetzung der Pflichten soll nun auf das bei der Kommission angesiedelte AI-Office zentralisiert werden. Dies sollen eine einheitliche Rechtsanwendung und eine effiziente Kontrolle, insbesondere grenzüberschreitender KI-Systeme großer Plattformen ermöglichen.
Zudem enthält der Vorschlag auch einige inhaltliche Überarbeitungen der Anforderungen aus der KI-VO. So soll beispielsweise das Problem der Doppelregulierung stärker vermieden werden, indem es erleichterte Umsetzungsanforderungen für Produkte in bereits stark regulierten Branchen geben. Außerdem sollen vereinfachte Compliance-Regelungen, insbesondere Dokumentations- und Überwachungspflichten auf kleine Mid-Cap-Unternehmen ausgeweitet werden.
Ziel ist auch die Anforderung an die KI-Kompetenz von Unternehmen zu vereinfachen, indem die Anforderungen gemäß Artikel 4 KI-VO auf die Ebene der EU-Mitgliedstaaten verlagert werden. Die Mitgliedsstaaten und die Kommission werden in der Neufassung des Artikels verpflichtet, Anbieter und Betreiber von KI-Systemen zu ermutigen, Maßnahmen zur Gewährleistung der KI-Kompetenz zu ergreifen.
Schließlich soll auch der Registrierungsaufwand für Anbieter mit Hochrisikosystemen verringert werden, soweit die Systeme nachweislich nicht für Hochrisikoaufgaben verwendet werden.
Ungewisse Zukunft
Wichtig ist, dass es sich bei dem Paket zunächst nur um einen Entwurf der Kommission handelt und für eine finale Einschätzung noch der Gesetzgebungsprozess in Parlament und Rat abzuwarten ist.
Es ist wahrscheinlich, dass sich der Text im Laufe des Gesetzgebungsverfahrens noch entwickelt. Schon jetzt zeichnet sich auch schon polarisierte Kritik an den Vorschlägen der Kommission ab. Die nächsten Wochen werden zeigen, inwieweit diese in den Gesetzgebungsprozess Eingang finden wird.
Dennoch bietet der Entwurf die Möglichkeit, schon einmal abzusehen in welche Richtung die Kommission die Digitalregulierung in der Union weiterentwickeln möchte.
"Digitaler Omnibus: Entwurf der Europäischen Kommission"
von Max Baumann, LL.M., wissenschaftlicher Mitarbeiter