EU-Kommission: Digital-Omnibus vorgestellt

Die Europäische Kommission hat im November 2025 ihre Vorschläge zur Vereinfachung der EU-Digitalregeln vorgestellt. Mit dem „Digital-Omnibus“ will die Kommission Anpassungen an den EU-Datenregeln (Data Act; Datenschutz, Cybersicherheit) vornehmen und Berichtspflichten und Bürokratie reduzieren. Mit dem „Digital Omnibus on AI“ soll die KI-Verordnung verbessert werden. Bis zum 4. März 2026 können sich Unternehmen und Organisationen an einer öffentlichen Konsultation beteiligen. Aus Wirtschaftssicht sind die meisten Vorschläge zur Vereinfachung der EU-Digitalregeln eher positiv zu bewerten.

Bereich Daten

  • Zusammenführung von Data Act, Data Governance Act, Open Data Directive und Free Flow of Non-Personal Data Regulation in ein einziges Instrument (Data Act)
  • Abschaffung veralteter Vorschriften und Harmonisierung von Definitionen und Verfahren, um Rechtsklarheit zu schaffen und Verwaltungsaufwand zu senken.
  • Einführung flexiblerer Regeln für Datenintermediäre (freiwillige statt verpflichtender Registrierung)
  • Ausweitung von KMU-Sonderregelungen auf Small Mid-Caps
  • Vereinfachungen bei Cloud-Switching: weniger Pflichten für maßgeschneiderte Dienste und Anbieter aus dem KMU-Segment
  • Klarere Regeln zum Schutz von Geschäftsgeheimnissen bei Datenweitergabe, insbesondere gegenüber Drittstaaten
  • DSGVO-Anpassungen
    • Präzisierungen zur Definition personenbezogener Daten und Pseudonymisierung
    • Erleichterungen bei Informationspflichten für nicht datenintensive Verarbeitung
    • Harmonisierung der Listen für Datenschutz-Folgenabschätzungen auf EU-Ebene
  • Integration der Regeln zur Verarbeitung von Daten aus Endgeräten (Cookies) in die DSGVO, um die Doppelregulierung mit der ePrivacy-Richtlinie zu beenden
  • Einführung maschinenlesbarer, automatisierter Einwilligungsmechanismen zur Bekämpfung von „Cookie Fatigue“
  • Klärung der Bedingungen für die Verarbeitung personenbezogener Daten zu KI-Training und wissenschaftlicher Forschung (legitimes Interesse, zusätzliche Ausnahmen für spezielle Datenkategorien)

Bereich Datenschutz

Die Kommission schlägt einige Änderungen in der Datenschutz-Grundverordnung (DSGVO) vor, die zur Klarstellung und Vereinfachung, jedoch nicht zur Absenkung des Datenschutzniveaus führen soll:
Präzisierung des Begriffs „personenbezogene Daten“: Art. 4 DSGVO soll präzisiert werden, indem festgelegt wird, dass Informationen nicht als personenbezogene Daten für eine bestimmte Einrichtung gelten, wenn diese nicht über Mittel verfügt, mit denen die natürliche Person, auf die sich die Information beziehen, mit hinreichender Wahrscheinlichkeit identifiziert werden kann. Diese Änderung steht im Einklang mit der SRB-Entscheidung des EuGH von September 2025.
KI-Training und KI-Entwicklung:
  • Rechtsgrundlage: Der Vorschlag beinhaltet die Klarstellung, dass das Verarbeiten von personenbezogenen Daten für KI-Training auf Art. 6 Abs. 1 lit f DSGVO – berechtigtes Interesse – gestützt werden kann. Im Übrigen müssen alle Anforderungen der DSGVO einschließlich Transparenz, Datenminimierung und Schutzmaßnahmen eingehalten werden.
  • Art 9 DSGVO: Soweit besondere Kategorien personenbezogener Daten im KI-System- oder KI-Modell gespeichert werden, obwohl die besonderen Kategorien personenbezogener Daten für den Zweck der Verarbeitung nicht erforderlich sind, soll eine Abweichung vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 2 DSGVO unter bestimmten Voraussetzungen zulässig sein. Diese Ausnahme gilt nur unter strengen Bedingungen:
    • Der Verantwortliche muss geeignete technische und organisatorische Maßnahmen implementieren, um die Verarbeitung solcher Daten zu vermeiden.
    • Werden solche Daten dennoch identifiziert, müssen sie wirksam entfernt werden.
    • Wenn die Entfernung unverhältnismäßigen Aufwand erfordert (z. B. weil eine komplette Neuentwicklung des KI-Systems nötig wäre), müssen die Daten zumindest so geschützt werden, dass sie nicht für Ausgaben genutzt, nicht offengelegt und nicht Dritten zugänglich gemacht werde.
Biometrische Daten: Es soll eine Ausnahme vom Verbot der Verarbeitung biometrischer Daten gemäß Art. 9 Abs. 1 DSGVO möglich sein, wenn die Überprüfung der angegebenen Identität der betroffenen Person notwendig ist und geeignete Schutzmaßnahmen bestehen, wie z.B. die Speicherung der biometrischen Daten ausschließlich beim Betroffenen oder Verschlüsselung, wobei der Schlüssel ausschließblich beim Betroffenen liegt.
Art. 15 DSGVO Auskunftsanspruch: Der Auskunftsanspruch soll Betroffenen ermögliche, die Rechtsmäßigkeit der Verarbeitung zu überprüfen und ihre Rechte auszuüben. Es soll klargestellt werden, dass dieses Recht nicht missbraucht werden darf. Unternehmen sollen dann Anfragen ablehnen dürfen oder eine angemessene Gebühr verlangen, wenn sie nachweisen können, dass die Anfrage exzessiv oder missbräuchlich ist.
Informationspflichten: Insbesondere für kleine Betriebe sollen Informationspflichten nach Art. 13 DSGVO bei Erfüllung bestimmter Voraussetzungen entfallen, nämlich wenn,
  • Die Beziehung zwischen Betroffenem und Verantwortlichem klar und überschaubar ist;
  • Die Verarbeitung nicht datenintensiv und nicht komplex ist;
  • Es vernünftige Gründe gibt anzunehmen, dass die betroffene Person die Information bereits kennt.
Hiervon gibt es eine Rückausnahme. Die Informationspflichten bleiben bestehen, wenn
  • Datenübermittlungen an Dritte erfolgen;
  • Daten ins Drittland übermittelt werden;
  • Die Verarbeitung zu einem hohen Risiko führt.
Art. 22 DSGVO Automatisierte Entscheidungen: Eine Klarstellung in Art. 22 DSGVO soll dazu führen, dass Unternehmen automatisierte Prozesse rechtsicher einsetzen können.
Art. 33 DSGVO Meldungen von Datenpannen: Die Schwelle für die Meldung an die Aufsichtsbehörde wird angehoben. Eine Meldung soll nur noch erforderlich sein, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Auch die Frist für eine erforderliche Meldung soll auf 96 Stunden erhöht werden. Zudem soll es ein einheitliches Meldeportal (Single-Entry-Point) geben für Meldungen, unter anderem nach der DSGVO, NIS2-Richtlinie, DORA-Verordnung, Cyber Resilience Act.
Art. 35 DSGGVO Datenschutzfolgenabschätzung: Es sollen EU-weit einheitliche Listen erstellt werden mit verbindlichen Vorgaben, wann die Durchführung einer DSFA erforderlich ist und wann nicht. Diese soll vom Europäischen Datenschutzausschuss erstellt werden und regelmäßig überprüft.
Cookies: Die bisherige Regelung in der ePrivacy-Richtline zu den Cookies wird in die DSGVO integriert.

Bereich Cybersicherheit

Single-Entry-Point für Sicherheitsvorfallmeldungen („report once, share many“) unter NIS2, DSGVO, DORA, eIDAS und CER-Richtlinie, betrieben von ENISA.

Bereich Künstliche Intelligenz (KI)

  • Verschiebung der Umsetzungsfristen: Fristverlängerung für die Anwendung der Pflichten für Hochrisiko-KI (Systeme) wird an die Verfügbarkeit von Standards und Leitlinien gekoppelt; spätestens Inkrafttreten der Pflichten für Annex III-Systeme (z. B. biometrische KI) jedoch bis zum 02.12.2027) und für Annex-I-Systeme (z. B. KI in Produkten) bis zum 02.08.2028.
  • Ausweitung der vereinfachten technischen Dokumentation und Qualitätsmanagement von KMUs auf Small Mid-Caps.
  • KI- Kompetenzpflicht für Unternehmen entfällt; stattdessen nur “Ermutigung” durch Kommission und Mitgliedstaaten ausreichende KI-Kompetenz bereitzustellen.
  • Datenverarbeitung für Bias-Korrektur: Schaffung einer Rechtsgrundlage für die Verarbeitung sensibler Daten unter strengen Bedingungen.
  • Erweiterung der EU-weite KI-Sandbox ab 2028 für GPAI-basierte Systeme und KI in sehr großen Plattformen.
  • Zentralisierung der Aufsicht: Das AI Office überwacht GPAI-Systeme (Systeme mit allgemeinem Verwendungszweck) und solche KI-Systeme, die in sehr große Plattformen oder Suchmaschinen integriert sind.
  • Wegfall der Registrierungspflicht in Artikel 6 Abs. 4 für bestimmte KI-Systeme: Systeme, die nach Art. 6 Abs. 3 als nicht Hochrisiko gelten, müssen nicht mehr in der EU-Datenbank registriert werden – die Einstufung bleibt jedoch dokumentationspflichtig und muss auf Anforderung der zuständigen Behörden vorgelegt werden. Pre‑Market‑Konformitätsbewertungen werden möglich, wobei die sektorale Konformität weiterhin zu berücksichtigen ist.
  • Regelungen zum Zusammenspiel mit anderen Rechtsakten darunter Datenschutz, Cyber Resilience Act, Maschinenverordnung

European Business Wallet

Brieftaschen als harmonisierte digitale Lösung, um:
  • Verwaltungsaufwand zu verringern
  • Unternehmen und öffentlichen Stellen zu ermöglichen, Daten auf sichere und benutzerfreundliche Weise mit voller Rechtswirkung in der gesamten EU zu identifizieren, zu authentifizieren und auszutauschen

Datenunion

  • Ausweitung des Datenzugangs für KI, um sicherzustellen, dass unsere Unternehmen Zugang zu hochwertigen Daten haben, die für Innovationen benötigt werden
  • Straffung der Datenvorschriften, um den Unternehmen Rechtssicherheit zu bieten und die Befolgungskosten zu senken
  • Sicherung der Datensouveränität der EU zur Stärkung unserer globalen Position in Bezug auf internationale Datenströme
(Quelle DIHK)