Zurück zur Übersicht
13.11.2025 Fachbeitrag

Digital Omnibus: EU-Kommission legt Entwurf vor

Update Datenschutz Nr. 221

Mit der Vorlage der ersten Entwürfe für den sogenannten „Digital Omnibus“ erreicht die Diskussion um die Vereinfachung des europäischen Digitalrechts eine neue Phase. Nachdem zahlreiche Digitalverordnungen vom AI Act über den Data Act bis hin zum Cyber Resilience Act in den vergangenen Jahren nacheinander in Kraft getreten sind, steht die Praxis zunehmend vor der Herausforderung, parallele Pflichten und Fristen miteinander in Einklang zu bringen. Die Europäische Kommission reagiert darauf nun mit einem umfassenden Paket gezielter Änderungsverordnungen, das bestehende Vorschriften besser verzahnen, Doppelanforderungen reduzieren und die Umsetzung für Unternehmen und Verwaltung praktikabler gestalten soll.

Die nun vorliegenden Entwürfe (abrufbar hier und hier) zeigen, dass die Kommission keine inhaltliche Neuausrichtung, sondern eine technische und organisatorische Vereinfachung anstrebt. Vorgesehen sind unter anderem Anpassungen im Datenrecht, präzisierte Melde- und Informationspflichten im Datenschutz, ein klareres Zusammenspiel mit dem Cyber Resilience Act sowie Erleichterungen bei der Anwendung des AI Act. Zugleich soll die Aufsicht über KI-Systeme stärker zentralisiert und der Übergang zu einem einheitlicheren europäischen Digitalrechtsrahmen vorbereitet werden.

Der folgende Beitrag fasst die zentralen deutschen Positionen, die wesentlichen Inhalte der Kommissionsentwürfe und die sich daraus ergebenden praktischen Konsequenzen für Unternehmen zusammen.

I. Ausgangspunkt und politischer Hintergrund

Ausgangspunkt des Omnibusverfahrens ist die wachsende Komplexität des europäischen Digitalrechts. Mit dem Inkrafttreten zahlreicher Regelwerke wie dem AI Act, Data Act, Cyber Resilience Act, DORA oder NIS-2 sehen sich Unternehmen mit einem dicht überlagerten Netz aus Pflichten konfrontiert, die inhaltlich und zeitlich oft ineinandergreifen. Vor diesem Hintergrund hatte die Europäische Kommission im Sommer 2025 eine Konsultation gestartet, um Möglichkeiten zur Harmonisierung und Entlastung zu prüfen (wir berichteten). Bis zum 14. Oktober konnten Mitgliedstaaten, Unternehmen und Verbände Stellung nehmen. Insbesondere Deutschland drängte dabei auf einen kohärenteren, innovationsfreundlicheren Ordnungsrahmen. Auf Basis dieser Rückmeldungen legte die Kommission nun die Entwürfe für einen „Digital Omnibus“ vor, die die bisher fragmentierte Regulierung vereinheitlichen und zugleich Bürokratie abbauen sollen.

II. Zentrale Vorschläge aus Deutschland

Das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) hat im Rahmen der Konsultation eigene Schwerpunkte für das Omnibusverfahren gesetzt und diese in einem Positionspapier an die Europäische Kommission übermittelt. Ausgangspunkt ist die Forderung nach einem kohärenteren und innovationsfreundlicheren Ordnungsrahmen, der Doppelregulierungen vermeidet und den Aufwand für Unternehmen reduziert.

Im Mittelpunkt steht zunächst der Gedanke einer „Reduzierung der Governance-Komplexität“. Das Ministerium fordert, neue Digitalregulierungen künftig nur nach einer verpflichtenden Kosten-Nutzen-Analyse einzuführen und bestehende Zuständigkeiten von Aufsichtsbehörden besser zu koordinieren. Zudem spricht sich das BMDS für eine Streitbeilegung durch private Instanzen aus, um langwierige und teure behördliche Verfahren zu vermeiden.

Ein zweiter Schwerpunkt betrifft die Vereinfachung der Datenregulierung. Das Ministerium regt an, den Anwendungsbereich des Data Act präziser zu fassen, um Rechtsunsicherheiten zu beseitigen und insbesondere kleine und mittlere Unternehmen stärker zu entlasten. Der Fokus solle auf einer erleichterten Datennutzung und -weitergabe liegen, nicht auf zusätzlichen bürokratischen Anforderungen.

Auch im Bereich Datenschutz fordert Deutschland spürbare Anpassungen bestehender Regelungen. So soll die Kommission prüfen, nicht-kommerzielle Tätigkeiten sowie KMU teilweise von der DSGVO auszunehmen, um unverhältnismäßige Belastungen zu vermeiden. Zudem wird eine Vereinfachung der Cookie-Regelungen vorgeschlagen – gegebenenfalls in Form eines eigenständigen Rechtsakts –, um die Vielzahl an Einwilligungsdialogen zu verringern.

Für den AI Act fordert das BMDS eine innovationsfreundliche und praxistaugliche Auslegung. Ziel müsse sein, Wettbewerb und Forschung zu fördern, statt den Markteintritt durch übermäßige Regulierung zu erschweren. Insbesondere KI-Systeme für Forschungszwecke sollten von zentralen Pflichten ausgenommen werden.

Schließlich fordert das Ministerium Rechtsrahmen wie EUDI-Wallet, digitaler Führerschein und Single Digital Gateway sollen besser aufeinander abzustimmen, um den grenzüberschreitenden Austausch digitaler Verwaltungsleistungen zu erleichtern.

III. Entwurf der EU-Kommission: Kernelemente des Digital-Omnibus

Mit den nun vorliegenden Entwürfen für den „Digital Omnibus“ will die Europäische Kommission die bislang fragmentierte Digitalgesetzgebung konsolidieren und zugleich technische Unklarheiten, Doppelpflichten und bürokratische Belastungen abbauen. Im Mittelpunkt stehen vier zentrale Bereiche: Datennutzung und Datenzugang, Datenschutz und Einwilligung, Cybersicherheitsmeldungen sowie die Aufsichtsstrukturen im Bereich der Künstlichen Intelligenz.

1. Konsolidierung der Datengesetze

Den größten Eingriff erfährt das europäische Datenrecht. Der Data Act soll künftig das Kernstück der europäischen Datengesetzgebung bilden und den Data Governance Act, die Verordnung über den freien Fluss nicht-personenbezogener Daten (FFDR) sowie die Open-Data-Richtlinie in sich aufnehmen. Damit würde erstmals ein einheitlicher Ordnungsrahmen für Datennutzung und -zugang in der EU entstehen.

Der Entwurf enthält zahlreiche Präzisierungen. So sollen die Definitionen zentraler Begriffe („Data User“, „Data Holder“, „Public Emergency“) vereinheitlicht und eine Verpflichtung der Kommission eingeführt werden, binnen zwölf Monaten technische Standards für Datenschnittstellen zu veröffentlichen.

Auch der Schutz von Geschäftsgeheimnissen wird gestärkt, indem Dateninhaber die Weitergabe verweigern dürfen, wenn dadurch sensible Informationen in Drittstaaten mit unzureichendem Schutzniveau gelangen oder wesentliche Sicherheitsinteressen der EU beeinträchtigt werden könnten. Auch der Behördenzugriff auf Daten wird eingeschränkt. Künftig ist er nur noch bei einer „öffentlichen Notsituation“ (public emergency) zulässig, nicht schon bei jeder außergewöhnlichen Notwendigkeit.

Für Cloud-Anbieter werden die Wechselpflichten nach Art. 26 ff. Data Act präzisiert. Individuell angepasste, nicht standardisierte Dienste bleiben bei bestehenden Verträgen von den Interoperabilitätsvorgaben ausgenommen. Gleichzeitig werden Small- und Mid-Caps (bis 750 Beschäftigte) dauerhaft von zusätzlichen Pflichten befreit. Zudem können Mitgliedstaaten künftig „Data Sandboxes“ einrichten, um Datenaustausch und Schnittstellenlösungen in kontrollierten Testumgebungen zu erproben.

Schließlich verknüpft der Entwurf den (künftig integrierten) Data Governance Act mit dem Digital Markets Act, um eine marktmächtigkeitsneutrale Datennutzung sicherzustellen: Öffentliche Stellen dürfen bei Datenzugängen von Gatekeepern wie Google künftig höhere Entgelte und strengere Bedingungen festlegen.

2. Änderungen der Datenschutz-Grundverordnung (DSGVO)

Auch die DSGVO wird durch den Omnibus in mehreren Punkten angepasst – vielfach in Übereinstimmung mit deutschen Vorschlägen. Ziel ist es, Verfahren zu vereinfachen und zugleich technologische Entwicklungen wie KI-Training oder automatisierte Einwilligung besser abzubilden.

Der Entwurf präzisiert den Anwendungsbereich des Artikels 9 DSGVO, sodass Daten, aus denen sensible Merkmale nur mittelbar („durch intellektuelle Operationen“) abgeleitet werden können, künftig nicht automatisch als besonders schützenswert gelten. Zudem wird eine neue Regelung zur biometrischen Verifikation eingeführt: Eine Eins-zu-eins-Abfrage mit lokal gespeicherten oder verschlüsselten Daten der betroffenen Person wird zulässig, sofern die betroffene Person die volle Kontrolle über ihre Daten behält.

Besonders praxisrelevant ist die Zulassung des KI-Trainings auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), wenn geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO umgesetzt werden. Die Kommission soll hierzu bis 2027 Leitlinien zu datenschutzfreundlichen Trainingsmethoden (etwa synthetische Daten oder Differential Privacy) vorlegen.

Diese geplante Öffnung für KI-Trainingsdaten stößt jedoch auf deutliche Kritik. Die Datenschutzorganisation noyb um Max Schrems warnt, die vorgeschlagenen Änderungen gefährdeten zentrale Grundprinzipien der DSGVO. Durch die vorgesehene Möglichkeit, personenbezogene Daten einschließlich sensibler Kategorien für das Training großer KI-Modelle zu nutzen, könnten Schutzstandards erheblich verwässert werden. Nach Einschätzung von noyb handelt es sich hierbei um den politisch wesentlichsten Teil der Reform, während andere Vereinfachungen, etwa für KMU, von geringerer praktischer Bedeutung seien. Kritisiert wird zudem, dass sich die Vorschläge an mehreren Stellen eng an Forderungen der deutschen Bundesregierung anlehnen, die seit längerem auf eine Öffnung der DSGVO dränge.

Zudem werden Informations- und Meldepflichten vereinfacht. Unternehmen mit weniger als 250 Beschäftigten können die Informationspflichten nach Art. 13 und 14 DSGVO vereinfachen, sofern kein hohes Risiko besteht. Datenschutzverletzungen ohne erhebliches Risiko müssen künftig nicht mehr an die Aufsichtsbehörde gemeldet, aber intern dokumentiert werden. Ein einheitliches EU-Meldeformular soll die Prozesse weiter vereinheitlichen und zugleich mit dem neuen zentralen Cyber-Meldeportal kompatibel sein.

3. Integration der ePrivacy-Regeln („Cookie-Reform“)

Ein zentraler Bestandteil des Entwurfs ist die vollständige Integration der ePrivacy-Regeln in die DSGVO. Ziel ist es, die sogenannte „Consent-Müdigkeit“ zu beenden und Einwilligungen künftig technisch standardisiert abzubilden. Nutzer sollen ihre Zustimmung oder Ablehnung künftig im Browser oder Betriebssystem erteilen können, die Webseiten automatisch erkennen und umsetzen müssen.

Für Mediendiensteanbieter bleibt eine eingeschränkte Ausnahme zur Refinanzierung über Werbung bestehen, die jedoch regelmäßig überprüft werden soll.

4. Cybersicherheit: Einheitliches Meldeportal

Im Bereich Cybersicherheit bestätigt der Entwurf die Schaffung eines zentralen europäischen Meldeportals („Single Entry Point“), über das Unternehmen künftig sämtliche sicherheitsrelevanten Vorfälle etwa nach DSGVO, NIS-2, DORA oder CRA gebündelt melden können. Das System wird von der EU-Cybersicherheitsagentur ENISA betrieben und leitet Meldungen automatisiert an die zuständigen nationalen Behörden weiter.

Neu ist, dass das Portal künftig auch Zertifizierungsinformationen aus dem Cybersecurity Act integrieren soll, um die Schnittstellen zwischen Melde- und Prüfpflichten zu vereinheitlichen. Für kleine Unternehmen (bis 250 Beschäftigte) wird die Meldefrist auf 120 Stunden verlängert. Ziel ist ein einheitliches, digitalisiertes Meldewesen, das Mehrfachmeldungen und redundante Prüfschritte vermeidet.

5. Zentralisierung und Vereinfachung der KI-Aufsicht

Ein weiterer Schwerpunkt der Kommission betrifft den AI Act, der durch den Omnibus gezielt vereinfacht und an bestehende Praxisprobleme angepasst werden soll. Vorgesehen sind technische und organisatorische Anpassungen, die vor allem den Übergang in die Anwendung erleichtern.

Der Entwurf enthält u. a.:

  • eine Verlängerung einzelner Übergangsfristen, insbesondere für Transparenz- und Kennzeichnungspflichten nach Art. 50 AI Act, deren Bußgeldfähigkeit erst ab 2. August 2027 greift;
  • eine neue Rechtsgrundlage zur Verarbeitung sensibler Daten zur Bias-Erkennung und -Korrektur (neuer Art. 4a AI Act) unter strengen Datenschutzauflagen;
  • vereinfachte Dokumentations- und Qualitätsmanagementpflichten für KMU und Small-Mid-Caps, einschließlich milderer Sanktionsrahmen;
  • die Möglichkeit, Hochrisiko-KI-Systeme in realen Bedingungen außerhalb nationaler Sandboxes zu testen;
  • die Einrichtung eines EU-weiten AI-Regulatory Sandbox-Programms unter Leitung des AI Office mit priorisiertem Zugang für Start-ups;
  • die ausdrückliche Verzahnung mit dem Cyber Resilience Act, wonach KI-Systeme, die dessen Sicherheitsanforderungen erfüllen, automatisch auch als IT-sicher gelten;
  • sowie die Stärkung des AI Office als zentraler Aufsichts- und Durchsetzungsbehörde mit Befugnissen zur Marktüberwachung, Durchführung von Vorab-Tests und Verhängung von Sanktionen gegenüber Anbietern von Basismodellen oder integrierten KI-Systemen auf sehr großen Online-Plattformen.

Diese Anpassungen sollen sicherstellen, dass die Anwendung des AI Act praxisgerecht, innovationsfreundlich und rechtssicher erfolgt. Die Kommission strebt damit eine Entlastung der Mitgliedstaaten bei gleichzeitig stärkerer Kohärenz der europäischen Aufsicht an.

IV. Handlungsempfehlungen für Unternehmen

Auch wenn der Entwurf des Digital-Omnibus mittelfristig für mehr Übersicht und eine gewisse Entlastung sorgen dürfte, bleibt die Richtung der europäischen Digitalpolitik unverändert. Die bestehenden Pflichten werden weder aufgehoben noch inhaltlich abgeschwächt, sondern lediglich besser strukturiert und teilweise zeitlich entzerrt. Für Unternehmen stellt sich daher weiterhin weniger die Frage, ob, sondern wann und in welchem Umfang die jeweiligen Vorgaben greifen. In einer Phase, in der Fristen, Zuständigkeiten und technische Standards noch in Bewegung sind, empfiehlt sich ein stufenweises, ressourcenschonendes Vorgehen mit klarer Priorisierung der Vorgaben, die bereits heute gelten oder mit hoher Wahrscheinlichkeit kurzfristig anwendbar werden.

Entscheidend ist ein pragmatisches Gleichgewicht zwischen Rechtssicherheit und Aufwand. Unternehmen sollten ihre internen Prozesse so gestalten, dass sie nachvollziehbar, prüffähig und bei Bedarf erweiterbar sind. Einheitliche Dokumentations- und Meldeverfahren, klare Zuständigkeiten und abgestimmte Risikoanalysen schaffen hierbei Stabilität, ohne übermäßige Ressourcen zu binden.

Ein solcher Basisansatz ermöglicht es, neue Vorgaben schrittweise zu integrieren, sobald diese verbindlich werden, und verhindert kostspielige Umstellungen. So lässt sich mit begrenztem Aufwand ein tragfähiges Maß an Compliance erreichen, welcher genügend Zeit und Raum für die weiteren Umsetzung schafft.

V. Fazit und Ausblick

Mit dem vorgelegten Entwurf konkretisiert die Europäische Kommission ihre Pläne, das europäische Digitalrecht kohärenter und handhabbarer zu gestalten. Der Digital-Omnibus markiert dabei keinen Kurswechsel, sondern eine strukturelle Weiterentwicklung. Ziel ist nicht weniger Regulierung, sondern eine effizientere und konsistentere Umsetzung bestehender Pflichten.

Für Unternehmen bedeutet dies mehr Orientierung, aber keine Entwarnung. Auch nach Inkrafttreten des Digital-Omnibus bleibt der Rechtsrahmen anspruchsvoll und setzt ein Mindestmaß an organisatorischer Vorbereitung voraus. Entscheidend ist, die sich abzeichnenden Vereinheitlichungen frühzeitig mitzudenken und bestehende Datenschutz-, IT-Sicherheits- und KI-Prozesse so auszurichten, dass sie mit dem neuen System kompatibel sind.

Sollte der Entwurf planmäßig noch 2025 beschlossen werden, ist mit einem schrittweisen Inkrafttreten ab 2026 zu rechnen. Die kommenden Monate werden zeigen, in welchem Umfang Rat und Parlament den Vorschlägen der Kommission folgen. Schon jetzt ist absehbar, dass der Digital-Omnibus den Übergang von einem unübersichtlichen Flickenteppich hin zu einem integrierten europäischen Digitalrechtsrahmen einleitet und damit den Umsetzungsaufwand zwar nicht verringert, aber planbarer macht.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung
22.09.2025
Richtungsweisendes EuGH-Urteil zur Pseudonymisierung personenbezogener Daten
17.09.2025
Rechtliche Rahmenbedingungen beim Einsatz von KI-AGENTEN
11.09.2025
Data Act: Ab dem 12. September gelten neue Pflichten für die Datenherausgabe
03.09.2025
EuG bestätigt Wirksamkeit des EU-US Data Privacy Framework
21.07.2025
Das neue Digitale Wallet der EU (EUDI)

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.