EU-Kommission stellt digitales Omnibuspaket vor

Die EU-Kommission hat am 19. November 2025 ein digitales Omnibuspaket vorgestellt, um das digitale Regelwerk der EU so zu vereinfachen und zu harmonisieren, dass Unternehmen – insbesondere im Bereich Daten, KI und digitale Dienste – effizienter agieren können. Das Paket enthält v. a. Änderungen am AI Act und am Data Act. Die umfangreichsten und zugleich umstrittensten Anpassungsvorschläge betreffen jedoch die Datenschutzgrundverordnung (DSGVO).

AI Omnibus

Das erste Omnibuspaket adressiert den AI Act. Die meisten Änderungen betreffen den Hochrisiko-Bereich. Die folgenden vorgeschlagenen Änderungen sind berichtenswert:

• Die Schulungspflicht aus Artikel 4 wird grundsätzlich geändert. Es gibt nun keine Schulungspflicht für Unternehmen mehr.
• Für die Verpflichtung gemäß Artikel 50 Absatz 2 AI Act ist eine „Grace Period“ vorgesehen, sodass die Marktüberwachungsbehörden erst ab dem 2. Februar 2027 Sanktionen verhängen können. Dies betrifft Anbieter von KI-Systemen, einschließlich KI-Systemen für allgemeine Zwecke, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen und sicherstellen müssen, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet sind und als künstlich erzeugt oder manipuliert erkannt werden können.
• Der Gesetzentwurf erlaubt es Anbietern und Betreibern von KI-Systemen ausnahmsweise, besonders sensible personenbezogene Daten zu verarbeiten, wenn dies zur Erkennung und Korrektur von Bias erforderlich ist und bestimmte Bedingungen eingehalten werden.
• Die Ausnahmen für KMU z. B. zu Technical Documentation und Quality Management System) werden teilweise auf Small Mid-Caps erweitert .
• Der Start der Pflichten für Hochrisiko-KI-Systeme wird an die Verfügbarkeit unterstützender Maßnahmen wie Standards oder Leitlinien gekoppelt. Sobald die Kommission deren Bereitstellung bestätigt, gelten die Regeln nach einer Übergangsfrist. Diese Flexibilität ist zeitlich begrenzt, weshalb ein fixes Enddatum (02.12.2027 bzw. 02.08.2028) vorgesehen wird.

Digitaler Omnibus

Der digitale Omnibus besteht aus drei Bereichen: Der Neustrukturierung des Data Act, Anpassungen an der DSGVO und die Einführung eines Single-Entry Point für Meldepflichten.

Data Act

Die EU-Kommission schlägt vor, die Open-Data-Richtlinie (2019), den Data Governance Act (2022) und die Verordnung über den freien Verkehr nicht-personenbezogener Daten (2018) in den Data Act zu formal sowie inhaltlich zu integrieren (Harmonisierung & Klarstellungen). Darüber hinaus sieht der Vorschlag punktuelle Änderungen am Data Act selbst vor. Im Detail werden folgende Änderungen vorgeschlagen:

• Für Cloud-Dienste, die ohne Anpassung durch den Anbieter nicht nutzbar wären und auf einem Vertrag beruhen, der vor oder am 12. September 2025 geschlossen wurde, gelten die Data-Act-Pflichten zum Anbieterwechsel und zur Interoperabilität (außer der Abschaffung der Switching Charges) nicht.
• Künftig soll ein B2G-Datenzugriff nur noch in Fällen öffentlicher Notlagen zulässig sein. Damit wird das Kapitel V des Data Act, das öffentlichen Stellen bislang einen sehr weitreichenden Zugriff auf Daten des Privatsektors ermöglicht, deutlich abgeschwächt.
• Das bislang in der Verordnung über den freien Verkehr nicht-personenbezogener Daten geregelte Verbot von Lokalisierungsanforderungen für nicht-personenbezogene Daten innerhalb der Europäischen Union werden in den Data Act übernommen.
• Die Regelungen zu Datenvermittlungsdiensten, die ursprünglich aus dem Data Governance Act stammen, sollen flexibler ausgestaltet werden, um das Wachstum dieses Marktes zu fördern. Zum einen soll das Regime für Anbieter von Datenvermittlungsdiensten künftig auf freiwilliger Basis gelten. Zum anderen soll die bislang zentrale Verpflichtung, Datenvermittlungsdienste rechtlich von anderen angebotenen Dienstleistungen eines Unternehmens zu trennen, durch die weniger strikte Pflicht einer funktionalen Trennung ersetzt werden.

DSGVO

Mit Änderungen an der DSGVO war ursprünglich erst im nächsten Jahr zu rechnen. Vor allem auf Druck der Bundesregierung ist die EU-Kommission kurzfristig umgeschwenkt. Die Änderungsvorschläge an der DSGVO sind im gesamten Omnibus-Pakte die weitreichendsten und umstrittensten. Die EU-Kommission schlägt folgende Anpassungen vor:

Verarbeitung personenbezogener Daten und KI-Systeme

• Die EU-Kommission schlägt vor, dass die Verarbeitung personenbezogener Daten für die Entwicklung und den Betrieb von KI-Systemen oder Modellen unter Umständen auf 6 Abs. 1 lit. f DSGVO („berechtigtes Interesse“) gestützt werden kann, außer wenn andere EU- oder nationale Gesetze ausdrücklich eine Einwilligung verlangen. Das bedeutet: Unternehmen könnten personenbezogene Daten verwenden, um KI-Systeme oder Modelle zu trainieren oder zu betreiben, wenn dies in ihrem berechtigten Interesse liegt – sofern die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen. Es bräuchte also keine gesonderte Einwilligung mehr.
• Darüber hinaus soll die Verarbeitung sensibler Daten (z. B. zu Gesundheit, Ethnie, politischer Meinung, …) im Rahmen der Entwicklung und des Betriebs von KI-Systemen ausdrücklich zugelassen werden, sofern strenge technische und organisatorische Schutzmaßnahmen bestehen (Art. 9 Abs. 2 (k) neu). Dies ist als Verschiebung der DSGVO hin zu mehr Innovationsfreundlichkeit zu verstehen.

Schärfung der Definition von personenbezogenen Daten

• Informationen gelten nicht automatisch personenbezogene Daten für jeden Datenverarbeiter, nur weil theoretisch eine Identifizierung möglich wäre. Entscheidend ist, ob der jeweilige Verantwortliche anhand der Mittel, die ihm vernünftigerweise zur Verfügung stehen, tatsächlich die Person identifizieren kann.
• Die Kommission kann mittels Durchführungsrechtsakt festlegen, nach welchen Kriterien pseudonymisierte Daten für bestimmte Stellen nicht mehr als personenbezogene Daten gelten.

Änderungen bei Auskunfts- und Informationspflichten (Art. 12, 13)

• Der Entwurf sieht vor, dass Verantwortliche bei offensichtlich unbegründeten oder exzessiven Anfragen (z. B. wiederholte oder missbräuchliche Auskunftsersuchen) eine Gebühr verlangen oder die Ausführung verweigern können. Die Beweislast dafür, dass die Anfrage unbegründet oder exzessiv ist, liegt beim Verantwortlichen. Damit wird auf die zunehmende Praxis teils automatisierter Auskunftsanfragen ohne echten Informationsbedarf (z. B. als Druckmittel in Streitfällen) reagiert.
• Eine Ausnahme von den Informationspflicht soll für Daten gelten, die in einem klar umrissenen Verhältnis zwischen Betroffenem und Verantwortlichem im Rahmen einer nicht datenintensiven Tätigkeit gesammelt wurden und bei denen davon auszugehen ist, dass der Betroffene bereits die wesentlichen Informationen besitzt

Risikobasierte Meldepflichten (Artikel 33)

• Bisher musste jede Datenschutzverletzung mit Risiko binnen 72 Stunden gemeldet werden. Künftig muss nur noch eine Verletzung mit hohem Risiko binnen 96 Stunden gemeldet werden, und zwar über einen zentralen Meldekanal.

Automatisierte Entscheidungen (Artikel 22)

• Die EU-Kommission stellt klar, dass rein automatisierte Entscheidungen mit erheblichen Folgen für Personen nur noch bei Vertragserfüllung, gesetzlicher Erlaubnis oder ausdrücklicher Einwilligung zulässig sind.

ePrivacy

Teile der ePrivacy-Richtlinie werden in die DSGVO überführt. Die ePrivacy Richtline wird dementsprechend angepasst.

• Die Regeln zur Datennutzung auf Geräten wie Smartphones oder Computern sollen vereinfacht und modernisiert werden. Künftig soll die Verarbeitung ohne Einwilligung möglich sein, wenn sie technisch notwendig ist; für alle anderen Zwecke gelten die allgemeinen DSGVO-Grundlagen.
• Einwilligungen sollen mit einem Klick möglich und über Browser- oder Systemeinstellungen zentral steuerbar sein.

Single-Entry Point für Meldepflichten

• Es ist vorgesehen, dass ENISA einen zentralen Single-Entry Point entwickelt, über den Unternehmen ihre Meldepflichten aus mehreren Rechtsakten (NIS2 Richtlinie, die DSGVO, die DORA, die eIDAS und die CER-Richtlinie) gleichzeitig erfüllen können – nach dem Prinzip „report once, share many“.
• Genutzt werden soll die die Single Reporting Platform, die ENISA im Rahmen des Cyber Resilience Act (CRA) entwickelt.

Überwiegende Aufhebung der Plattform-to-Business (P2B)-Verordnung

Die P2B-Verordnung wird überwiegend aufgehoben, insbesondere die Pflichten im Zusammenhang mit Allgemeinen Geschäftsbedingungen (AGB), Informationen zum Ranking und zur Mediation.

Die vorläufige Überprüfung in 2023 war zu dem Schluss gekommen, dass das volle Potenzial der Verordnung (EU) 2019/1150 (P2B-Verordnung) gegenwärtig nicht ausgeschöpft wurde, zudem traten zwischenzeitlich Digital Markets Act (DMA) und Digital Services Act (DSA) vollständig in Kraft, welche die Regelungen der P2B-Verordnung weitgehend überholt haben. Bis 31.12.2032 bestehen bleiben die Verpflichtung für ein internes Beschwerdemanagementsystem sowie die Verpflichtungen im Zusammenhang mit einer möglichen Aussetzung oder Beendigung der Bereitstellung der Online-Vermittlungsdienste für einen bestimmten gewerblichen Nutzer.

Ausblick

Wichtig ist, dass es sich bei dem Paket nur um Gesetzentwürfe handelt. Spannend wird nun der beginnende Gesetzgebungsprozess in EU-Parlament und Rat. Es ist mit größeren Änderungen am Text zu rechnen. Vor allem im Hinblick auf die DSGVO wird mit einer großen Lobbyschlacht gerechnet. Bei Omnibus-Gesetzen ist es unüblich, dass weitere Artikel im Gesetzgebungsprozess hinzugefügt werden.

Parallel zum präsentierten Gesetzgebungspaket hat die EU-Kommission zudem einen sog. Fitness Check gestartet, der den digitalen Rechtsrahmen der EU überprüfen soll. Dieser Fitness Check soll in einen zweiten Digitalen Omnibus münden, der auch u. a. grundsätzlichere Anpassungen der DSGVO beinhalten wird.

Quelle: DATEV eG Informationsbüro Brüssel