Zurück zur Übersicht
15.10.2025 Fachbeitrag

EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?

Update Datenschutz Nr. 219

Die Vielzahl neuer europäischer Digitalverordnungen vom AI Act über den Data Act bis hin zum Cyber Resilience Act stellt Unternehmen vor erhebliche organisatorische und rechtliche Herausforderungen. Zahlreiche Pflichten greifen zeitlich gestaffelt, überschneiden sich inhaltlich und führen in der Praxis zu erheblichem Umsetzungsaufwand. Vor diesem Hintergrund prüft die Europäische Kommission aktuell, wie sich die bestehenden Regelwerke vereinfachen und besser aufeinander abstimmen lassen. Im Mittelpunkt steht dabei die Idee eines „Digital Omnibus“, der Fristen harmonisieren, Doppelanforderungen abbauen und die Anwendung des europäischen Digitalrechts für Wirtschaft und Verwaltung praktikabler gestalten soll. Die bis zum 14. Oktober eröffnete Konsultation bildet nun die Grundlage für die weiteren politischen Entscheidungen. Der folgende Beitrag gibt einen Überblick über den aktuellen Stand der Diskussion und die möglichen Auswirkungen auf Unternehmen.

I. Status Quo

Viele der wichtigsten Verordnungen sind bereits in Kraft und teilweise anwendbar, ihre Pflichten unterscheiden sich jedoch erheblich in Reichweite, Tiefe und zeitlicher Staffelung. Hier ein Auszug:

Die KI-Verordnung etwa ist seit August 2024 in Kraft und bildet den europaweit einheitlichen Rechtsrahmen für den sicheren und vertrauenswürdigen Einsatz von Künstlicher Intelligenz. Die Pflichten folgen einem risikobasierten Ansatz und greifen gestaffelt: Während Pflichten zur allgemeinen Sicherstellung einer KI-Kompetenz gem. Art. 4 schon umzusetzen sind (wir berichteten), greifen die Transparenzanforderungen gem. Art. 50 (wir berichteten) sowie die umfassenden Pflichten für Hochrisiko-KI-Systeme erst ab August 2026.

Der Data Act ist seit dem 12. September 2025 anwendbar (wir berichteten in Datenschutzupdates Nr. 214, Nr. 200, Nr. 148). Die Verordnung regelt den Zugang zu und die Nutzung von Daten, die bei vernetzten Produkten und verbundenen Diensten entstehen, und verpflichtet u.a. Hersteller und Dateninhaber zur Bereitstellung von Produkt- und Dienstedaten nach fairen, angemessenen und nichtdiskriminierenden Bedingungen. Zentrale technische Vorgaben etwa zur automatisierten Datenbereitstellung über Schnittstellen (Art. 3 Data Act) werden erst ab September 2026 verpflichtend.

Der Cyber Resilience Act (CRA) legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen fest und verpflichtet Hersteller, Import- und Handelsunternehmen zur Gewährleistung der IT-Sicherheit über den gesamten Produktlebenszyklus (wir berichteten). Die Anwendung ist ab Ende 2027 vorgesehen, sodass derzeit insbesondere die technische und organisatorische Vorbereitung im Fokus steht. Kernpflichten umfassen „Security by Design“, regelmäßige Sicherheitsupdates, ein Schwachstellenmanagement sowie die Erstellung technischer Dokumentationen und EU-Konformitätserklärungen.

Die NIS-2-Richtlinie ist auf europäischer Ebene bereits in Kraft, die nationale Umsetzung in Deutschland erfolgt durch das novellierte BSI-Gesetz (BSIG-E, wir berichteten), das sich derzeit im Gesetzgebungsverfahren befindet (wir berichteten). Die Richtlinie erweitert den Kreis der betroffenen Einrichtungen im Hinblick auf die NIS-1-Richtlinie erheblich und führt umfassende Pflichten zum Risikomanagement, zur Meldung von Sicherheitsvorfällen und zur Sicherheit in der Lieferkette ein. Geschäftsleitungen werden künftig ausdrücklich in die Verantwortung genommen und müssen die Cybersicherheitsmaßnahmen genehmigen, überwachen und regelmäßig schulen.

Die DORA-Verordnung ist seit Januar 2025 anwendbar und verpflichtet Finanzunternehmen sowie ihre kritischen IT-Dienstleister zu einem einheitlichen Management von IKT-Risiken (wir berichteten). Der Rechtsrahmen gilt unmittelbar und umfasst unter anderem Pflichten zur Einrichtung eines robusten IKT-Risikomanagements, zur Meldung schwerwiegender Vorfälle und zur Durchführung regelmäßiger Resilienztests. Besonders weitreichend ist die direkte Aufsicht der europäischen Finanzaufsichtsbehörden über kritische IKT-Dienstleister wie Cloud-Dienste.

Das Barrierefreiheitsstärkungsgesetz, das den europäischen Accessibility Act umsetzt, ist seit dem 28. Juni 2025 verbindlich anzuwenden (wir berichteten). Es verpflichtet Hersteller, Importeure, Händler und Dienstleister, ihre digitalen Produkte und Dienstleistungen barrierefrei zu gestalten und nach harmonisierten europäischen Normen zu kennzeichnen. Für Kleinstunternehmen im Dienstleistungsbereich gilt eine Ausnahme, während Hersteller von Produkten unabhängig von ihrer Größe vollständig in der Pflicht stehen.

II. Anstehende Umsetzungsphasen

Auch wenn ein Großteil der europäischen Digitalakte bereits beschlossen und teilweise anwendbar ist, entfalten viele ihrer Kernpflichten ihre Wirkung erst in den kommenden Jahren. Zahlreiche Bestimmungen sehen gestaffelte Übergangsfristen vor, um technischen Standardisierungen, der Einrichtung von Aufsichtsstrukturen und der Entwicklung praktischer Leitlinien Rechnung zu tragen. Besonders deutlich zeigt sich dies bei der KI-Verordnung, deren weitreichende Anforderungen für Hochrisiko-Systeme sowie die Transparenzanforderungen nach Art. 50 erst ab August 2026 verbindlich werden. Auch beim Data Act, der bereits seit September 2025 gilt, werden weitere zentrale Zugangs- und Schnittstellenpflichten nach Art. 3 erst ein Jahr später scharfgeschaltet. 

Auch andere Rechtsakte befinden sich noch in der Übergangsphase. Das novellierte BSI-Gesetz zur Umsetzung der NIS-2-Richtlinie wird voraussichtlich 2026 Anwendung finden. Ergänzend kommt mit der eIDAS-2.0-Verordnung und der European Digital Identity Wallet bis 2026 eine weitere zentrale Komponente des EU-Digitalrechts hinzu (wir berichteten). Die Verordnung verpflichtet Mitgliedstaaten, eine europaweit einheitliche digitale Identitätsinfrastruktur bereitzustellen, und verpflichtet Unternehmen in regulierten Sektoren, die Wallet als Identifikationsmittel zu akzeptieren.

Damit zeichnet sich für in kommenden ein bis zwei Jahren eine Phase intensiver Umsetzung ab, in der die bislang getrennt konzipierten Regelwerke in der Praxis zusammenwachsen und einen weitgehend harmonisierten europäischen Digitalrechtsrahmen bilden werden.

III. Omnibusverfahren der Kommission

Vor dem Hintergrund einer schwachen Konjunktur, hoher Finanzierungskosten und eines anhaltenden Fachkräftemangels prüft die Europäische Kommission derzeit, die noch nicht anwendbaren Teile der zentralen Digitalverordnungen im Wege eines sogenannten „Digital Omnibus“ zeitlich zu strecken und zugleich Überschneidungen zwischen einzelnen Regelungsbereichen zu bereinigen. Ziel ist es, die Vielzahl komplexer Pflichten, die in den kommenden Jahren parallel wirksam werden, zu entlasten und die rechtliche Kohärenz zwischen bestehenden Akten wie dem AI Act, dem Cyber Resilience Act, dem Data Act, der NIS-2-Richtlinie, der eIDAS-2.0-Verordnung und flankierenden Datenschutzvorschriften herzustellen. Im Raum steht dabei keine Absenkung materieller Schutzziele, sondern eine „Stop-the-Clock“-Regelung für einzelne Pflichten, die Angleichung divergierender Übergangsfristen sowie präzisierende Klarstellungen dort, wo sich Überschneidungen und Doppelbelastungen aufgebaut haben. Diskutiert werden insbesondere verlängerte Übergangszeiträume für die Hochrisiko-Pflichten in der KI-Verordnung mit dem Argument, dass essenzielle Normen und Prüfgrundlagen erst verspätet vorliegen. Auch zusätzliche Puffer für die produktrechtliche Umsetzung des CRA stehen im Raum, um parallele regulatorische Einführungswellen zu vermeiden und die Lieferketten-Compliance geordnet zu verzahnen.

Die Initiative basiert auf einer von der Kommission eröffneten Konsultation, die bis zum 14. Oktober 2025 lief und zur Sammlung von Forschungsergebnissen und Best Practices zur Vereinfachung der europäischen Digitalgesetzgebung diente. Insgesamt gingen 419 Stellungnahmen ein, von denen 37 Prozent von Wirtschaftsverbänden und 25 Prozent von Unternehmen stammten. Die Rückmeldungen zeigen ein deutliches Stimmungsbild: Industrie, Technologie- und Finanzunternehmen fordern mit Nachdruck „Standards vor Pflichten“, also eine Kopplung der Anwendungsfristen an die tatsächliche Verfügbarkeit harmonisierter Normen, um Planbarkeit und Investitionssicherheit zu gewährleisten. Mehrere Stellungnahmen, darunter von BDI, ZVEI, Siemens, IBM, DATEV und der American Chamber of Commerce to the EU, sprechen sich für eine Verlängerung der Umsetzungsfristen im AI Act um mindestens 24 Monate, also bis August 2028 bzw. 2029, aus. Parallel wird auch für den CRA eine Verschiebung um zwei bis drei Jahre gefordert, da nachgelagerte technische Normen und Leitlinien noch fehlen und eine gleichzeitige Umsetzung verschiedener Digitalakte die Kapazitäten vieler Unternehmen überfordern würde.

Neben der Forderung nach zeitlicher Entzerrung werden in der Konsultation vor allem administrative und prozedurale Vereinfachungen angemahnt. Dazu gehören die Konsolidierung von Melde- und Berichtspflichten über Rechtsakte hinweg, die Vereinheitlichung von Schwellenwerten und Meldeverfahren sowie die Möglichkeit, Vorfälle künftig über einen zentralen europäischen Meldekanal zu erfassen. Auch eine gegenseitige Anerkennung von Meldungen zwischen nationalen Behörden und Regimen wie NIS-2, DORA oder der DSGVO wird angeregt, um Doppelmeldungen zu vermeiden. Für das Datenschutz- und Kommunikationsrecht steht die Reduktion überbordender Einwilligungsdialoge („Consent-Müdigkeit“) auf der Agenda, mit dem Ziel, klare, technologieneutrale Vorgaben zu schaffen, die sich an der Systematik der DSGVO orientieren.

Der geplante Digital Omnibus soll darüber hinaus eine einheitlichere Umsetzung der EUDI-Wallet-Verordnung fördern. Diese soll künftig stärker mit bestehenden Daten- und Sicherheitsvorschriften verzahnt werden, um Mehrfachzertifizierungen und redundante Sicherheitsprüfungen zu vermeiden. Auch hier zielt die Kommission auf Entlastung und Harmonisierung, nicht auf eine inhaltliche Lockerung.

Ungeachtet dieser Debatte bleibt festzuhalten, dass das Omnibusverfahren, sollte es wie vorgesehen Ende 2025 beschlossen werden, Pflichten verschieben, aber nicht abschaffen wird. Auch innerhalb eines gestreckten Zeitplans bleibt jeder Rechtsakt für sich verbindlich, eine gruppenweite Generalbefreiung ist nicht vorgesehen. Der Maßstab bleibt ein konsistenter, unionsweit kohärenter Vollzug, der den Ausgleich zwischen Grundrechtsschutz, Cybersicherheit, Innovation und Wettbewerbsfähigkeit wahrt. Unternehmen gewinnen dadurch zwar Zeit für die technische und organisatorische Umsetzung, die materiellen Anforderungen werden jedoch unverändert einzuhalten sein, sobald die jeweiligen Anwendungsfristen erreicht sind.

IV. Handlungsspielräume und empfohlene Umsetzungsschritte

Auch wenn das geplante Omnibusverfahren kurzfristig für eine gewisse Entlastung sorgen könnte, bleibt die Richtung der europäischen Digitalpolitik unverändert. Die Anforderungen werden nicht aufgehoben, sondern nur zeitlich gestreckt. Für Unternehmen stellt sich daher weniger die Frage, ob, sondern wann und in welchem Umfang die jeweiligen Pflichten greifen. In einer Phase, in der zahlreiche Fristen und Durchführungsakte noch in Bewegung sind, empfiehlt es sich, auf ein stufenweises, ressourcenschonendes Vorgehen zu setzen mit klarer Priorisierung der Vorgaben, die bereits heute gelten oder mit hoher Wahrscheinlichkeit in naher Zukunft anwendbar werden.

Sinnvoll ist derzeit ein inhaltlich beschränkter Compliance-Ansatz, der die wesentlichen Elemente einer rechtssicheren Grundstruktur abbildet, ohne unnötige Ressourcen zu binden. Ziel ist es, jene Verfahren und Dokumentationen zu etablieren, die bereits Gegenstand bestehender Prüfpflichten sind und zugleich als Fundament für kommende Anforderungen dienen. Dazu gehören insbesondere aktuelle Pflichten aus der DSGVO, den Transparenz- und Governance-Vorgaben der KI-Verordnung sowie Nachweise zur IT- und Produktsicherheit, die später unter dem CRA verpflichtend werden. Diese Bausteine können so gestaltet werden, dass sie sowohl einer behördlichen Prüfung standhalten als auch künftig ohne strukturellen Bruch erweitert werden können.

Die Kunst liegt darin, so wenig wie möglich, aber so viel wie nötig zu tun. Wer heute zentrale Prozesse etwa Risikomanagement, Dokumentation, Schulungen und Verantwortlichkeitszuordnung konsistent und prüffähig aufsetzt, erfüllt bereits einen wesentlichen Teil der Anforderungen, die sich in den kommenden Jahren aus den Digitalakten ergeben werden. Eine solche Basis erlaubt es, neue Vorgaben modular anzufügen, sobald diese verbindlich werden und vermeidet damit teure Umstellungen oder Doppelarbeiten.

Unsere Beratungspraxis ist aktuell darauf ausgerichtet, diese inhaltlich beschränkte Compliance-Struktur rechtssicher und zukunftsfest bei der Mandantschaft umzusetzen. Die von uns entwickelten Beratungspakete bündeln die aktuell relevanten Anforderungen aus Datenschutz, KI, IT-Sicherheit sowie Datenrecht und berücksichtigt zugleich die Inhalte der noch ausstehenden Durchführungsakte.

In Zeiten unklarer Fristen und noch offener Leitlinien ist dies ein beliebter, jedoch auch pragmatischer Weg, um mit dem notwendigen Mindestmaß an Aufwand, den größtmöglichen Grad an Rechtssicherheit zu erreichen. Trotzdem sollte dies stets nur ein erster Schritt sein, um ausreichend Luft für die vollständige Umsetzung der neuen rechtlichen Vorgaben zu schaffen.

V. Konsequenzen von Non-Compliance

Die europäischen Digitalverordnungen sehen ähnlich wie die DSGVO Bußgelder in teils erheblicher Höhe vor. Je nach Rechtsakt können Verstöße mit bis zu mehreren Millionen Euro oder mit einem erheblichen, prozentualen Anteil des weltweiten Jahresumsatzes geahndet werden. Für den Einsatz verbotener KI-Systeme ist etwa ein Bußgeld von bis zu EUR 35 Mio. möglich.

Gleichwohl ist in der Praxis derzeit wohl noch nicht mit einer flächendeckenden Sanktionierung zu rechnen. Viele Aufsichtsbehörden befinden sich noch im Aufbau der betreffenden Abteilungen oder müssen ihre Zuständigkeiten erst präzise voneinander abgrenzen. Solange zentrale Durchführungsakte, technische Standards und Meldeplattformen noch in Arbeit sind, dürfte der Fokus zunächst auf Beratung und Aufsicht durch Leitlinien liegen. In einem zweiten Schritt ist jedoch mit einer deutlich konsequenteren Durchsetzung zu rechnen, sobald Personal, Verfahren und IT-Systeme bei den Behörden etabliert sind.

Praktisch am gravierendsten sind aktuell vielmehr die marktseitigen Folgen. Große Auftraggeber, insbesondere (börsennotierte) Konzerne und die öffentliche Hand verlangen bereits heute belastbare Compliance-Nachweise (z. B. zum InfoSec- Risikomanagement, KI-Governance, DSGVO-Umsetzung oder barrierefreien digitalen Angeboten). Wer diese Nachweise nicht erbringen kann, wird (so ist aktuell unsere Erfahrung) bei Ausschreibungsverfahren und Pitches zunehmend keinen Erfolg mehr haben können.

Ebenso deutlich zeigen sich Konsequenzen im Transaktionsumfeld. Finanzinvestoren und strategische Käufer prüfen Digital-Compliance im Rahmen der Due Diligence inzwischen standardmäßig und sichern sich über umfassende Garantien ab. Bei identifizierten Lücken werden Kaufpreise angepasst oder Earn-outs verschärft. Kommt es trotz offener Punkte zum Verkauf, verlangen Käufer im Kaufvertrag häufig Freistellungen für vorvertragliche Compliance-Verstöße und damit für nachträglich festgesetzte Bußgelder mit der Folge, dass ein erheblicher Teil des Kaufpreises im Nachgang wieder abfließen kann. In Grenzfällen springt der Käufer ab oder verschiebt den Prozess bis zur Herstellung einer tragfähigen Digital-Compliance.

VI. Fazit

Erst heute Vormittag wurde berichtet, dass der Digitalminister Karsten Wildberger (CDU) heute in Brüssel sein wird, um mit der EU-Kommission über den obigen Digital-Omnibus zu sprechen. Im Fokus dürften zunächst AI Act, Data Act und Cyber Resilience Act stehen. Die gute Nachricht ist daher, dass aktuell gute Aussichten bestehen, dass die Umsetzungsfristen verlängert werden (voraussichtlich um ein oder zwei Jahre). Allerdings wird nicht über eine Rücknahme der neuen EU-Digitalvorgaben diskutiert. Unternehmen sollten sich daher nicht zurücklehnen und abwarten, sondern die ggf. anstehende Fristverlängerung nutzen, um einen zunächst inhaltlich beschränkten Compliance-Ansatz zu fahren. Wir als HEUKING haben uns hierauf eingestellt und zeigen Ihnen gern auf, wie Sie mit reduziertem Aufwand bereits ein hohes Compliance-Level erreichen können.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.