Zurück zur Übersicht
25.02.2026 Fachbeitrag

DIGITAL OMNIBUS: Welche Erleichterungen ergeben sich für Unternehmen?

Update Datenschutz Nr. 236

Mit dem sogenannten „Digital Omnibus“ verfolgt die Europäische Kommission das Ziel, zentrale Digitalrechtsakte insbesondere die KI-Verordnung (KI-VO) und die Datenschutz-Grundverordnung (DSGVO) in ausgewählten Punkten anzupassen und zu vereinfachen. Hintergrund ist die wachsende Kritik aus der Wirtschaft an Umsetzungsaufwand, Fristenregime und teilweise unklaren Abgrenzungen im Zusammenspiel der Regelwerke. Der Omnibus soll regulatorische Doppelstrukturen reduzieren, Fristen flexibilisieren und einzelne Pflichten praxisnäher ausgestalten, ohne die grundlegenden Schutzmechanismen aufzugeben. Für Unternehmen stellt sich damit weniger die Frage nach der politischen Bewertung, sondern nach den konkreten Auswirkungen auf Compliance, Produktentwicklung und Datennutzung. Im Folgenden zeigen wir den aktuellen Stand der Beratungen auf und analysieren, welche praktischen Erleichterungen sich für Unternehmen tatsächlich abzeichnen.

I. Hintergrund: Neuregelung von KI-VO und DSGVO

Mit den Entwürfen für einen „Digital Omnibus“ vom 19. November 2025 verfolgt die Europäische Kommission das Ziel, die bislang fragmentierte Digitalregulierung strukturell zu konsolidieren und Vollzugsprobleme zu adressieren. Betroffen sind insbesondere der Data Act und angrenzende Datengesetze, die DSGVO einschließlich ePrivacy-Regeln, das europäische Cyber-Meldewesen sowie die KI-Verordnung.

Im Datenrecht soll der Data Act künftig als zentraler Rechtsrahmen fungieren und den Data Governance Act, die FFDR (Free Flow of Data Regulation Verordnung über den freien Verkehr nicht personenbezogener Daten) sowie die Open-Data-Regelungen integrieren (wir berichteten). Vorgesehen sind vereinheitlichte Begriffsdefinitionen, präzisierte Zugangs- und Wechselpflichten insbesondere für Cloud-Anbieter, stärkere Schutzmechanismen für Geschäftsgeheimnisse sowie eine Beschränkung behördlicher Datenzugriffe auf klar definierte Notlagen.

Die DSGVO soll punktuell angepasst werden. Dazu zählen eine Präzisierung des Begriffs besonderer Kategorien personenbezogener Daten, eine ausdrückliche Öffnung für KI-Training auf Grundlage berechtigter Interessen unter technischen Schutzvorkehrungen, vereinfachte Informations- und Meldepflichten für kleinere Unternehmen sowie die Integration der ePrivacy-Regeln mit technisch standardisierten Einwilligungsmechanismen (wir berichteten).

Flankierend wird ein zentrales europäisches Meldeportal für Cyber- und Datenschutzvorfälle geschaffen, um Mehrfachmeldungen nach DSGVO, NIS-2, DORA oder CRA zu bündeln. Im Bereich der KI-VO sind verlängerte Übergangsfristen, vereinfachte Dokumentationsanforderungen für KMU, erweiterte Testmöglichkeiten unter Realbedingungen sowie eine stärkere Zentralisierung der Aufsicht beim AI Office vorgesehen.

II. Aktueller Stand

1. KI-Omnibus

Das Gesetzgebungsverfahren zum KI-Omnibus steht unmittelbar vor dem Eintritt in die parlamentarische Beratungsphase. Am Mittwoch, 25. Februar, sollen die Verhandlungen im Europäischen Parlament beginnen. Auf Ebene der Mitgliedstaaten ist das Thema ebenfalls terminiert: Am Freitag, 27. Februar, befasst sich der EU-Ausschuss des Bundesrates mit dem Digital Omnibus im Kontext der europäischen Datenstrategie.

Sobald Parlament und Rat jeweils ihre Position festgelegt haben, könnte der Trilog nach derzeitiger Planung im April oder Mai aufgenommen werden. Ziel ist ein Abschluss des Verfahrens noch vor dem 1. August, um die Änderungen rechtzeitig vor dem maßgeblichen Anwendungsstichtag der KI-VO am 2. August in Kraft treten zu lassen. Der Zeitplan ist entsprechend eng und politisch ambitioniert.

2. Datenomnibus

Der Verfahrensstand beim Datenomnibus ist weniger klar strukturiert. Die Beratungen verlaufen bislang kontroverser, insbesondere im Hinblick auf datenschutzrechtliche Anpassungen.

Vor allem der Europäische Datenschutzausschuss (EDSA) hat erhebliche Vorbehalte gegen einzelne Vorschläge geäußert und eine mögliche Absenkung des Datenschutzniveaus kritisiert. Vor diesem Hintergrund ist derzeit offen, ob die datenschutzrechtlichen Reformbestandteile zeitlich mit dem KI-Omnibus synchronisiert werden oder ein eigenständiges, gegebenenfalls längeres Gesetzgebungsverfahren durchlaufen.

III. Konkrete Praxisvorteile für Unternehmen

Die Entwürfe des Digital Omnibus sind nicht als materielle Deregulierung konzipiert, sondern als strukturierende und vereinfachende Reform. Die praktischen Effekte für Unternehmen liegen daher weniger in einer Absenkung von Schutzstandards als in erhöhter Planbarkeit, reduzierter Mehrfachregulierung und klareren Zuständigkeitsstrukturen. Die wesentlichen betrieblichen Auswirkungen lassen sich in fünf zentralen Bereichen zusammenfassen.

1. Einheitlicher Ordnungsrahmen im Datenrecht

Die vorgesehene Integration von Data Governance Act, FFDR und Open-Data-Regelungen in den Data Act beseitigt die bislang bestehende Parallelstruktur unterschiedlicher Datenregime. Für Unternehmen bedeutet dies eine rechtssystematische Bündelung der Vorschriften zu Datenzugang, Datennutzung und Weitergabepflichten in einem einheitlichen Regelwerk.

In der Praxis reduziert dies die Notwendigkeit mehrfacher Rechtsprüfungen bei datengetriebenen Geschäftsmodellen, Plattformarchitekturen oder konzerninternen Datentransfers. Klare und unionsweit harmonisierte Begriffsdefinitionen verringern Auslegungsunsicherheiten, insbesondere bei der Qualifikation als Data Holder oder Data User. Für international tätige Unternehmen sinken damit Transaktionskosten bei der Vertragsgestaltung sowie das Risiko divergierender nationaler Vollzugspraxis.

2. Präzisierte Cloud- und Interoperabilitätsvorgaben

Die Konkretisierung der Wechsel- und Interoperabilitätsvorgaben im Data Act wirkt sich unmittelbar auf bestehende IT- und Cloud-Infrastrukturen aus. Die Möglichkeit, individuell angepasste und nicht standardisierte Dienste unter bestimmten Voraussetzungen von Interoperabilitätspflichten auszunehmen, erhöht die Vertrags- und Investitionssicherheit.

Für Unternehmen mit komplexen, maßgeschneiderten IT-Umgebungen reduziert sich das Risiko kurzfristiger technischer Umrüstungen oder kostenintensiver Migrationspflichten. Gleichzeitig schaffen Data Sandboxes einen regulatorisch kontrollierten Rahmen für die Erprobung neuer Datenprodukte und Schnittstellenlösungen, ohne dass sofort sämtliche Vollanforderungen greifen. Dies begünstigt Innovationsprojekte in frühen Entwicklungsphasen.

3. Datenschutzrechtliche Öffnungen für KI-Entwicklung

Besonders praxisrelevant ist die geplante ausdrückliche Anerkennung des berechtigten Interesses als Rechtsgrundlage für KI-Training, sofern geeignete technische und organisatorische Maßnahmen implementiert werden. Für Unternehmen eröffnet dies größere Spielräume bei der Nutzung bestehender Datensätze für Trainingszwecke, ohne in jedem Fall auf individualisierte Einwilligungen angewiesen zu sein.

Dies erleichtert die Skalierung datenintensiver Modelle und reduziert administrativen Aufwand im Consent-Management. Zugleich werden Informations- und Meldepflichten für kleinere Unternehmen risikobasiert differenziert. Datenschutzverletzungen ohne erhebliches Risiko sollen künftig lediglich dokumentationspflichtig sein, nicht jedoch meldepflichtig. In der betrieblichen Praxis bedeutet dies eine Entlastung interner Compliance-Ressourcen und eine Fokussierung auf tatsächlich risikorelevante Vorfälle.

4. Bündelung von Cyber- und Datenschutzmeldungen

Mit dem geplanten zentralen europäischen Meldeportal werden bislang nebeneinander bestehende Meldepflichten aus DSGVO, NIS-2, DORA oder CRA organisatorisch gebündelt. Für Unternehmen entfällt damit die parallele Ansprache unterschiedlicher nationaler Stellen über verschiedene Meldekanäle.

Die Harmonisierung der Formulare und die automatisierte Weiterleitung an zuständige Behörden reduzieren Koordinationsaufwand und Friktionen im Incident-Management. Besonders für Unternehmen mit mehreren regulatorischen Meldepflichten entsteht dadurch ein konsistenter und digitalisierter Prozess, der Mehrfachmeldungen und redundante Prüfungen vermeidet.

5. Anpassungen der KI-Verordnung: Zeitgewinn, Vereinfachung und Zentralisierung

Im Bereich der KI-VO ergeben sich mehrere kumulative Entlastungseffekte. Die Kopplung des Geltungsbeginns der Hochrisiko-Pflichten an die Verfügbarkeit harmonisierter Normen verhindert, dass Unternehmen Anforderungen umsetzen müssen, ohne auf konkrete technische Standards zurückgreifen zu können. Dies verbessert die Projektplanung und reduziert das Risiko fehlerhafter oder nachträglich anzupassender Implementierungen.

Die Ausweitung vereinfachter Dokumentations- und Qualitätsmanagementanforderungen auf KMU und Small-Mid-Caps senkt insbesondere für wachstumsstarke Unternehmen den administrativen Aufwand. Erweiterte Möglichkeiten für Tests unter Realbedingungen sowie ein EU-weites Sandbox-Programm fördern eine frühzeitige Markterprobung innovativer Systeme unter regulatorischer Begleitung.

Schließlich führt die Stärkung des AI Office als zentrale Aufsichtsbehörde für bestimmte KI-Systeme zu einer stärkeren Harmonisierung der Durchsetzungspraxis. Für europaweit tätige Anbieter kann dies die Zahl paralleler nationaler Verfahren reduzieren und zu einer konsistenteren Rechtsanwendung beitragen.

IV. Fazit und Ausblick

Der Digital Omnibus markiert keinen Paradigmenwechsel im europäischen Digitalrecht, wohl aber einen spürbaren Kurswechsel in Richtung Konsolidierung, Verfahrensvereinfachung und Umsetzungsrealismus. Die Entwürfe zielen nicht auf eine materielle Absenkung von Schutzstandards, sondern auf die Reduktion regulatorischer Reibungsverluste, die sich aus parallelen Rechtsakten, unklaren Abgrenzungen und eng getakteten Fristen ergeben haben. Für Unternehmen liegen die konkreten Erleichterungen vor allem in einer besseren Planbarkeit von KI- und Datenprojekten, einer Bündelung von Melde- und Dokumentationspflichten sowie in erweiterten Spielräumen bei der datenschutzrechtlichen Ausgestaltung von Trainings- und Entwicklungsprozessen.

Ob diese Effekte tatsächlich eintreten, hängt maßgeblich vom weiteren Gesetzgebungsverlauf ab. Während der KI-Omnibus einem ambitionierten Zeitplan folgt und noch vor dem 2. August in Kraft treten soll, ist der Datenomnibus politisch stärker umstritten. Insbesondere im Datenschutzbereich ist mit intensiven Verhandlungen und möglichen Nachjustierungen zu rechnen. Unternehmen sollten daher die Entwicklung eng begleiten und bereits jetzt prüfen, in welchen Bereichen sich strategische Anpassungen vorbereiten lassen – etwa bei KI-Governance-Strukturen, Datenarchitekturen oder Meldeprozessen.

Unabhängig vom finalen Wortlaut der Reform zeigt sich jedoch eine klare Tendenz: Die Kommission reagiert auf praktische Umsetzungsprobleme und signalisiert Bereitschaft, regulatorische Strukturen funktionsfähiger zu gestalten. Für Unternehmen eröffnet dies die Chance, Compliance nicht nur als Pflichterfüllung, sondern als integralen Bestandteil einer planbaren und innovationsorientierten Digitalstrategie auszurichten.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

03.03.2026
Digitale Souveränität in Unternehmen: Cloud- und KI-Nutzung rechtssicher gestalten
23.02.2026
AI Act: Der deutsche Entwurf zum Durchführungsgesetz im Überblick
19.02.2026
NIS-2: Registrierungspflicht bis zum 6. März 2026 – Jetzt handeln!
13.02.2026
Neuer Widerrufsbutton: Was Unternehmen bis zum 19. Juni 2026 umsetzen müssen
12.02.2026
„Mogelpackungen“ – Alles nur heiße Luft oder handfestes Risiko?
11.02.2026
28. Regime für innovative Unternehmen: Wie ein optionaler EU Rahmen Gründung und Skalierung erleichtern soll
26.01.2026
EU-Datenräume im Aufbruch: Was Unternehmen jetzt rechtlich wissen müssen
22.01.2026
EU-Digitalrecht 2026: Welche Änderungen sind auf nationaler Ebene zu erwarten?
20.01.2026
Digitalrecht im Wandel: Was das EU-Mercosur Abkommen jetzt für Unternehmen bedeutet
15.01.2026
Neue Entscheidung aus Luxemburg bricht bestehende Grundsätze in der Plattformhaftung auf
09.01.2026
Auswirkungen der Rechtswidrigkeit einer anfänglichen Verarbeitung personenbezogener Daten auf die Weiterverarbeitung durch einen anderen Verantwortlichen
09.01.2026
EuGH verneint Provider-Privileg bei DSGVO-Verstößen: „Russmedia“ erhöht Pflichten für Plattformbetreiber

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.