Alle News & Events anzeigen
01.12.2025

Digital Omnibus – Teil des neuen Digitalpakets der Europäischen Kommission

Die EU Kommission hat kürzlich ein neues Digitalpaket verabschiedet. Das Digitalpaket soll Unternehmen in der EU – von Start-ups bis zu Industriebetrieben – helfen, Compliance- und Verwaltungsaufwand zu reduzieren, um sich stärker auf Innovation und Wachstum zu konzentrieren. Im Zentrum des Pakets steht die Omnibus-Verordnung („Digital Omnibus“), die vor allem Regeln für Künstliche Intelligenz, Cybersicherheit und Daten vereinfachen soll. Wir geben nachfolgend einen Überblick über die relevantesten Regeln und Änderungen.

Nachdem zahlreiche Digitalverordnungen der EU im Rahmen der Digital Decade in den vergangenen Jahren schrittweise in Kraft getreten sind und teilweise schon Anwendung finden (eine Übersicht über den Status der Gesetze finden Sie auf unserer Digital Decade Landingpage), möchte die EU in eine Konsolidierungs- und Vereinfachungsphase übertreten – vor allem wohl auch auf Druck der Industrie hin, die sich dem zunehmend erheblichen Compliance-Aufwand und teilweise sich überschneidenden Pflichten gegenübersieht. Das Paket soll nun genau hier ansetzen und bestehende Vorschriften besser aufeinander abstimmen, Doppelanforderungen reduzieren und die Anwendung und Umsetzung für Unternehmen praxistauglicher gestalten.

Ergänzt wird der Digital Omnibus, der vor allem eine Konsolidierung der Vorschriften zu Künstlicher Intelligenz, Cybersicherheit und Daten vorsieht, durch die Data Union Strategy, die den Zugang zu hochwertigen Daten für KI erleichtern soll, sowie durch die European Business Wallets, die Unternehmen eine einzige digitale Identität zur Verfügung stellen. 

Nachfolgend möchten wir einen ersten Überblick über die Änderungen des Digital Omnibus aufzeigen:

 

Was sind die wesentlichen Änderungen beim EU-Datenrecht?

Mit dem Digital Omnibus verfolgt die EU eine konsolidierte Weiterentwicklung des Datenrechts. Ziel sind eine Vereinfachung der Regelungen, die Reduzierung administrativer Lasten und ein klarerer Rahmen für datengestützte Innovation. Im Mittelpunkt stehen Anpassungen am Data Act und punktuelle Änderungen an der DSGVO – alle Datenregeln sollen in diesen beiden Hauptgesetzen konsolidiert werden.

Für den Data Act sind die folgenden Anpassungen vorgesehen:

  • Konsolidierung früherer Rechtsakte: Mehrere bisher nebeneinander bestehende Rechtsakte, darunter die Open Data Directive, die Free Flow of Non-Personal Data Regulation und der Data Governance Act, sollen in den Data Act integriert werden, um ein einheitliches Regelwerk für nicht-personenbezogene Daten zu schaffen.
     
  • Datenintermediationsdienste: Die verpflichtende Registrierung sowie das EU-Label für Datenintermediäre sollen entfallen, sodass der regulatorische Rahmen insgesamt deutlich verschlankt wird. Neue Vermittlungsmodelle sollen schneller und mit weniger Formalitäten angeboten werden können, da die Markteintrittshürden sinken.
     
  • Datenaltruismus: Der rechtliche Rahmen für gemeinwohlorientiertes Datenteilen wird vereinfacht, damit bisherige komplexe Strukturen und Anforderungen reduziert werden. Organisationen sollen Daten leichter für Forschungs-, Gesundheits- oder Nachhaltigkeitszwecke bereitstellen können, ohne umfangreiche administrative Prozesse erfüllen zu müssen.
     
  • Datenbestände des öffentlichen Sektors: Die bestehenden Vorgaben zu öffentlichen Datenbeständen sollen zusammengeführt und vereinheitlicht werden, um bestehende Fragmentierungen zu beseitigen. Unternehmen sollen einfacher nachvollziehen können, welche öffentlichen Daten unter welchen Bedingungen genutzt werden können, um Innovation im Binnenmarkt zu stärken.
     
  • Business-to-Government-Zugänge (B2G): Der Zugriff staatlicher Stellen auf Unternehmensdaten soll klar auf echte Not- und Krisenlagen wie Naturkatastrophen oder Pandemien begrenzt werden. Unternehmen sollen außerhalb solcher Situationen keinen zusätzlichen oder unklaren Offenlegungspflichten unterliegen.
     
  • Entlastung durch Bürokratieabbau und Harmonisierung: Der regulatorische Rahmen in den Bereichen Daten, Datenschutz, Cybersicherheit und KI soll bereinigt und harmonisiert werden, indem Meldesysteme zentralisiert und Informationspflichten reduziert werden.

 

Folgende Änderungen sind beim Anwendungsbereich der Cloud-Switching-Pflichten vorgesehen:

Der Omnibus-Vorschlag nimmt eine gezielte Neuausrichtung des Anwendungsbereichs der Cloud-Switching-Regeln des Data Act vor. Das Grundprinzip der leichteren Wechselbarkeit zwischen Cloud-, Edge- und Datenverarbeitungsdiensten bleibt bestehen, wird aber präziser gefasst und auf eine stärker verhältnismäßige und risikobasierte Grundlage gestellt. Nachfolgend die wichtigsten Anpassungen im Überblick:

  • Einschränkung des Anwendungsbereichs für KMU und Kleinstunternehmen: Die Wechselpflichten sollen nur noch gelten, sofern sie für diese Anbieter technisch realisierbar und wirtschaftlich zumutbar sind. Damit sollen kleinere Marktteilnehmer von unverhältnismäßigen regulatorischen Anforderungen entlastet werden.
     
  • Ausnahme kundenspezifischer Datenverarbeitungsdienste: Individuell entwickelte Datenverarbeitungslösungen, die ausschließlich für einen einzelnen Kunden bereitgestellt werden, sollen nicht mehr den vollen Cloud-Switching-Pflichten unterliegen. Hintergrund ist, dass Interoperabilität und standardisierte Datenportabilität bei solchen maßgeschneiderten Architekturen häufig weder technisch sinnvoll noch praktikabel umsetzbar sind.
     
  • Betonung technischer und wirtschaftlicher Machbarkeit des Switchings: Der Omnibus präzisiert, dass die Anforderungen nur dann gelten sollen, wenn sie mit vertretbarem Aufwand erfüllt werden können. Diese Klarstellung reduziert bestehende Rechtsunsicherheiten und verhindert, dass Anbieter in Situationen geraten, in denen die Einhaltung faktisch unmöglich oder unverhältnismäßig teuer wäre.
     
  • Stärkung bestehender Industriestandards: Die Reform stellt klar, dass Dienstanbieter keine neuen proprietären Schnittstellen entwickeln müssen. Die Verwendung branchenüblicher Datenformate und Protokolle soll genügen, um die Anforderungen zu erfüllen. Dies verringert insbesondere für kleinere Anbieter Entwicklungsaufwand und Integrationskosten.
     
  • Weiterhin nutzerfreundlicher Wechselrahmen: Die EU hält am Ziel fest, Wechselkosten zu reduzieren und Nutzerinnen und Nutzern echte Anbieterwechselmöglichkeiten einzuräumen. Gleichzeitig soll die Reform sicherstellen, dass spezialisierte oder kleinere Anbieter nicht durch übermäßige Compliance-Lasten verdrängt werden.

 

Insgesamt soll ein stärker differenzierter, verhältnismäßiger und risikobasierter Wechselrahmen entstehen. Das Cloud-Switching-Regime des Data Act bleibt funktional erhalten, konzentriert sich künftig aber klarer auf standardisierbare Services und auf Anbieter, für die die Umsetzung der Pflichten realistisch und wirtschaftlich vertretbar ist.

 

Für die DSGVO und die Regeln für Cookies sind folgende Anpassungen vorgesehen:

  • Neuer Ansatz für Cookie-Banner und Consent-Management: Bisher basierte die Regulierung auf einem zweigeteilten Modell: Der Zugriff auf Endgeräte fiel unter die ePrivacy-Richtlinie, während die anschließende Verarbeitung personenbezogener Daten der DSGVO unterlag. Der neue Vorschlag der Kommission beendet dieses Dualsystem. Künftig werden Cookies und vergleichbare Tracking-Technologien vollständig in die DSGVO integriert, sodass ein harmonisierter Rechtsrahmen mit gemeinsamen Grundsätzen, Durchsetzungsmechanismen und Sanktionen gilt.
    Die Kommission erkennt dabei ein bestehendes Problem: Consent-Management funktioniert in der Praxis häufig schlecht. Nutzer werden mit komplexen Pop-ups konfrontiert, viele klicken reflexartig auf „Zustimmen“, ohne sich zu informieren – das entspricht kaum einer informierten Einwilligung wie ursprünglich vom Gesetzgeber vorgesehen. Ziel der Reform ist es daher, die Einwilligung wieder zu einer funktionalen und glaubwürdigen Rechtsgrundlage zu machen. Der Vorschlag schreibt unter anderem vor, dass Cookie-Banner eine echte „Ein-Klick-Option“ zur Ablehnung aller nicht essenziellen Cookies bieten müssen – sichtbar, gleichwertig und ebenso leicht erreichbar wie die Option „Alle akzeptieren“. Eine Ablehnung muss mindestens sechs Monate lang gelten.
     
  • Zentrales System für Datenschutzpräferenzen: Noch weitreichender sind die geplanten Regeln zu technischen Präferenzsignalen: Nutzer sollen Datenschutzentscheidungen einmalig (z. B. im Browser oder Betriebssystem) festlegen können. Websites und Apps müssen diese maschinenlesbaren Signale künftig automatisch respektieren. Unternehmen müssen ihre Consent-Mechanismen deshalb technisch so gestalten, dass diese Standards verarbeitet werden können.
     
  • Differenzierung zwischen risikoreichem Tracking und risikoarmen Nutzungen: Der Vorschlag führt eine „Whitelist“ bestimmter, datenschutzfreundlicher Nutzungsarten ein, beispielsweise für statistische Auswertungen oder aggregierte Reichweitenmessungen. Wenn die festgelegten Bedingungen erfüllt sind, dürfen Unternehmen Gerätedaten für eng definierte Zwecke ohne Einwilligung und ohne Cookie-Banner verarbeiten. Für Unternehmen, die primär Performance-Analysen oder Serviceoptimierungen durchführen, bedeutet dies weniger Banner, geringeren Compliance-Aufwand und ein nutzerfreundlicheres Erlebnis.
     
  • Strengere Durchsetzung, aber mehr Rechtssicherheit: Durch die Integration in die DSGVO unterliegen Verstöße gegen Regeln zum Endgerätezugriff künftig unmittelbar dem bestehenden Sanktionsrahmen. Gleichzeitig soll die Reform die Rechtssicherheit erhöhen, indem sie Fragmentierung reduziert und Schutzstandards präzisiert.
     
  • Präzisierungen zur Definition personenbezogener Daten: Der Vorschlag setzt aktuelle EuGH-Rechtsprechung um. Daten gelten für einen Empfänger nicht als personenbezogen, wenn dieser realistischerweise keine Möglichkeit zur Re-Identifizierung hat. Der ursprüngliche Verantwortliche, der pseudonymisiert hat, behält jedoch vollständig die Pflichten aus der DSGVO.
     
  • Technische Leitlinien per Durchführungsrechtsakten: Die Kommission erhält die Befugnis, technische Kriterien und Methoden für Pseudonymisierung und die Bewertung von Re-Identifizierungsrisiken festzulegen. Damit sollen Unternehmen künftig über klarere Bewertungsmaßstäbe und praktische Orientierung verfügen.
     
  • Änderungen in der DSGVO: Der „Digitale Omnibus“ verändert die Grundstruktur der DSGVO nicht, sondern adressiert konkret identifizierte Problemfelder:
     
    • Innovation und KI: Der Vorschlag stellt klar, dass die Entwicklung und der Betrieb von KI-Systemen und Modellen auf die Rechtsgrundlage des „berechtigten Interesses“ gestützt werden können, solange die Verarbeitung alle Anforderungen der DSGVO erfüllt und nicht durch andere EU- oder nationale Vorschriften untersagt oder an eine Einwilligung geknüpft ist. o Wenn besondere Kategorien personenbezogener Daten lediglich vereinzelt in Trainings- oder Testdatensätzen auftreten und nicht Gegenstand der Sammlung sind, wird eine enge Ausnahme vom üblichen Verarbeitungsverbot eingeführt. Verantwortliche müssen angemessene Schutzmaßnahmen über den gesamten KI-Lebenszyklus hinweg umsetzen, solche Daten entfernen, sobald sie identifiziert werden, und sicherstellen, dass sie weder zur Ableitung von Ergebnissen genutzt noch Dritten zugänglich gemacht werden. Betroffene behalten ein uneingeschränktes Widerspruchsrecht gegen die Verarbeitung ihrer personenbezogenen Daten für diese KI-Zwecke.
       
    • Vereinfachung alltäglicher Compliance-Pflichten: Informationspflichten entfallen, wenn berechtigte Gründe dafür sprechen, dass betroffene Personen die Informationen bereits besitzen und die Verarbeitung kein hohes Risiko darstellt. Davon profitieren vor allem kleinere Unternehmen mit begrenzter Datennutzung.
      Zudem wird das Auskunftsrecht vor missbräuchlicher Nutzung geschützt: Verantwortliche können auf offensichtlich unberechtigte Anfragen mit Ablehnung oder einer angemessenen Gebühr reagieren; die Anforderungen an den Missbrauchsnachweis werden gesenkt.
       
    • Datenschutz-Folgenabschätzungen werden durch EU-weit einheitliche Listen harmonisiert – sowohl für Verarbeitungstypen, die stets eine DSFA erfordern, als auch für solche, die keine benötigen. Dies wird ergänzt durch eine einheitliche Methodologie und Vorlage. 

    • Meldungen von Datenschutzverletzungen an Aufsichtsbehörden werden künftig an die Schwelle des „hohen Risikos“ angeglichen – dieselbe Schwelle, ab der bereits eine Benachrichtigung der betroffenen Personen erforderlich ist. Die Meldung erfolgt zentral über eine gemeinsame Anlaufstelle, die mit anderen digitalen und cybersicherheitsbezogenen Regelwerken verknüpft ist. Für Unternehmen bedeutet dies weniger Meldungen mit geringem Nutzen, eine besser kalkulierbare Risikobewertung sowie einen effizienteren Austausch mit den Aufsichtsbehörden. 

       

Was bedeutet das für Unternehmen? - Für viele Unternehmen wird auf den ersten Blick vor allem die Aussicht auf weniger und vereinfachte Cookie-Banner im Vordergrund stehen. Tatsächlich geht die Reform jedoch deutlich weiter: Jeder gerätebasierte Datenzugriff wird in das einheitliche DSGVO-Regelwerk integriert – ergänzt durch zentrale Präferenzsignale, eine Whitelist für risikoarme Verarbeitungen und höhere Anforderungen an die Gestaltung von Einwilligungen. Gleichzeitig beseitigt der Gesetzgeber langjährige Unklarheiten, etwa zu pseudonymisierten Daten, KI-Training, Auskunftsersuchen, Informationspflichten, DSFAs sowie Meldepflichten bei Datenschutzverletzungen und schafft Strukturen für künftige technische Leitlinien. In der Praxis werden insbesondere diejenigen Unternehmen profitieren, die frühzeitig ihre Cookie- und Tracking-Praktiken an der neuen Whitelist ausrichten, Consent-Flows entlang von „Ein-Klick“-Entscheidungen und zentralen Signalen neu gestalten und KI- sowie Analyseprojekte auf Basis des präzisierten Rahmens zu berechtigtem Interesse und Pseudonymisierung entwickeln. Sie können die angekündigten Vereinfachungen am effektivsten nutzen und gleichzeitig vermeiden, zum Testobjekt für das verschärfte Durchsetzungsmodell zu werden.

 

Welche Änderungen bringt der Digital Omnibus im Bereich Cybersicherheitsrecht mit sich?

Vereinfachte Meldung von Cybersicherheitsvorfällen: Nach derzeitiger Rechtslage haben Unternehmen im Zuge eines Cybersicherheitsvorfalls verschiedene gesetzliche Meldepflichten nach unterschiedlichen Rechtsakten nebeneinander zu erfüllen (beispielsweise Art. 32 DSGVO, Art. 23 NIS-2-Richtlinie, Art. 14 CRA sowie viele weitere sektorspezifische Meldepflichten wie Art. 73 KI-VO für Hochrisiko-KI-Systeme, Art. 19 DORA im Finanzbereich usw.). Jede dieser Meldeverpflichtungen unterliegt abweichenden inhaltlichen Anforderungen, unterschiedlichen Meldefristen und richtet sich an jeweils unterschiedliche Stellen. Der Vorschlag der EU-Kommission soll die Meldungserstellung im Cybersicherheitsrecht vereinfachen und in einer einheitlichen Anlaufstelle bei der Europäischen Agentur für Cybersicherheit (ENISA) zusammenführen. Bei der ENISA soll dafür ein zentrales Meldeportal eingerichtet werden, in dem betroffene Unternehmen die verpflichtenden Meldungen bei Cybersicherheitsvorfällen gesammelt vornehmen können. Diese werden dann von der ENISA zentral verarbeitet und an die jeweils zuständigen Behörden weitergeleitet. Ermöglicht werden soll auch ein Austausch der jeweils gemeldeten Informationen zwischen den Behörden. Zur Umsetzung der Änderungen soll dabei die nach Art. 16 CRA angelegte Meldeplattform für Schwachstellen genutzt werden. Die EU-Kommission rechnet damit, dass die jährlichen Kosten im Zusammenhang mit der Meldung von Cybersicherheitsvorfällen dadurch um bis zu 50 % gesenkt werden können.
 

Ausdrücklich adressiert werden in dem Entwurf der Kommission bisher insbesondere die bestehenden Meldepflichten nach NIS-2, DSGVO, eIDAS-VO, DORA sowie die RCE-CER-Richtlinie. Die inhaltlichen Anforderungen an die einzelnen Meldepflichten und die hierfür jeweils zuständige Aufsichtsbehörde bleiben hingegen von den Änderungsvorschlägen weitestgehend unberührt. In einzelnen Punkten enthält der Vorschlag jedoch auch inhaltliche Stellschrauben. So soll etwa die Frist für Meldungen von Datenschutzvorfällen in Art. 33 DSGVO auf 96 Stunden erhöht werden und zukünftig nur noch bei Verletzungen mit hohem Betroffenenrisiko in Betracht kommen.

 

Was sind die wesentlichen Änderungen im Bereich Künstliche Intelligenz und dem AI Act?

Der AI Act trat im August 2024 in Kraft und findet stufenweise Anwendung: Einige Vorschriften, wie bestimmte Verbote, Anforderungen zur KI-Kompetenz und Regeln für General-Purpose-KI-Modelle, gelten bereits. Die restlichen Bestimmungen sollen ab dem 2. August 2026 verbindlich werden.Die Europäische Kommission hat im Rahmen der Stakeholder-Konsultationen 2025 mehrere Herausforderungen identifiziert und schlägt nun folgende Anpassungen vor:

  • Neuer Zeitplan für Hochrisiko-KI-Systeme: Die Anwendung der Regeln wird an die Verfügbarkeit von Standards und Unterstützungsinstrumenten gekoppelt. Nach Bestätigung der Kommission, dass diese ausreichend verfügbar sind, treten die Regeln nach einer Übergangsfrist in Kraft.
    • Annex III KI-Systeme: 6 Monate nach der Entscheidung der Kommission oder spätestens bis 2. Dezember 2027.
    • Annex I Systeme: 12 Monate nach der Entscheidung oder spätestens bis 2. August 2028.
       
  • KI-Kompetenz: Die Verpflichtung der Unternehmen, ein angemessenes Niveau an KI-Kompetenz sicherzustellen, entfällt. Stattdessen sollen Kommission und Mitgliedstaaten Anbieter und Anwender ermutigen, ausreichende KI-Kompetenz bereitzustellen.
     
  • Verarbeitung besonderer Kategorien personenbezogener Daten: Anbieter und Anwender von KI-Systemen dürfen besondere Kategorien personenbezogener Daten für Bias-Erkennung und -Korrektur verarbeiten, sofern geeignete Schutzmaßnahmen eingehalten werden.
     
  • Registrierung von Hochrisiko-KI-Systemen: Systeme, die in Hochrisikobereichen für Aufgaben genutzt werden, die selbst nicht als Hochrisiko gelten, müssen nicht mehr registriert werden.
     
  • Erweiterung der Nutzung von KI-Regulierungs-Sandboxes und Real-World-Tests: Ab 2028 soll unter anderem eine EU-weite Regulierungs-Sandbox eingerichtet werden.
     
  • Abschaffung der Vorschrift eines harmonisierten Post-Market-Monitoring-Plans.
     
  • Ausweitung vereinfachter Compliance-Regelungen auf kleine Mid-Cap-Unternehmen (KMUs): Für SMCs sollen bspw. vereinfachte Regeln für die erforderliche technische Dokumentation für KI-Systeme gelten.
     
  • Zentralisierung der Aufsicht über KI-Systeme auf Basis von General-Purpose-Modellen: Die Aufsicht wird beim AI Office gebündelt, um Governance-Fragmente zu reduzieren. Auch KI in sehr großen Online-Plattformen und Suchmaschinen wird auf EU-Ebene überwacht.
     
  • Klarstellung des Zusammenspiels mit anderen EU-Rechtsvorschriften: Verfahren werden vereinfacht, um die rechtzeitige Verfügbarkeit von Konformitätsbewertungsstellen zu gewährleisten.

    Teilen

  • LinkedIn
  • XING

Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.

Newsletter abonnieren