Zurück zur Übersicht
27.03.2026 Fachbeitrag

Neue Entwicklungen im Digital Omnibus

Update Datenschutz Nr. 242

Bei den europäischen Omnibus-Initiativen im Digitalrecht kommt derzeit spürbar Bewegung in die Diskussion. Sowohl beim sogenannten Daten- bzw. Digital-Omnibus als auch beim KI-Omnibus liegen inzwischen konkrete Vorschläge und erste politische Positionierungen vor. Während die Kommission mit den Vorhaben vor allem eine Vereinfachung und bessere Abstimmung der bestehenden Regelwerke erreichen will, zeichnen sich bereits deutliche Konfliktlinien hinsichtlich Reichweite und inhaltlicher Ausgestaltung der geplanten Änderungen ab.

Für Unternehmen stellt sich damit zunehmend die Frage, in welche Richtung sich das europäische Digitalrecht weiterentwickelt und ob die angekündigte Entlastung tatsächlich eintritt oder neue Unsicherheiten entstehen. Der folgende Überblick beleuchtet die aktuellen Entwicklungen beim Daten- und KI-Omnibus und ordnet deren praktische Relevanz ein.

I. Hintergrund und Zielrichtung

Die Omnibus-Initiativen der Europäischen Kommission stehen im Kontext einer zunehmend komplexen und fragmentierten Digitalregulierung. In den vergangenen Jahren wurden mit der DSGVO, dem Data Governance Act, dem Data Act sowie der KI-Verordnung zentrale Rechtsakte teils parallel entwickelt und verabschiedet, ohne dass deren Zusammenspiel durchgängig kohärent ausgestaltet ist. In der Folge sehen sich Unternehmen häufig mit überlappenden Pflichten, unklaren Abgrenzungsfragen und erhöhtem Compliance-Aufwand konfrontiert.

Vor diesem Hintergrund verfolgt die Kommission mit den Omnibus-Vorhaben das Ziel, bestehende Regelwerke punktuell anzupassen, besser aufeinander abzustimmen und die praktische Anwendbarkeit zu verbessern. Im Fokus stehen dabei insbesondere die Reduzierung bürokratischer Belastungen sowie die Förderung von Innovation insbesondere im Bereich datengetriebener Geschäftsmodelle und künstlicher Intelligenz. Zugleich wird deutlich, dass die geplanten Anpassungen nicht lediglich technischer Natur sind, sondern zentrale Weichenstellungen im europäischen Digitalrecht betreffen.

II. Daten-Omnibus

Der Vorschlag für einen „Digital Omnibus“ stellt einen ersten konkreten Eingriff in den Normbestand der DSGVO seit ihrem Inkrafttreten dar. Ziel ist es, die Verordnung punktuell zu modernisieren, sie stärker mit angrenzenden Regelwerken insbesondere Data Act und KI-Verordnung zu verzahnen und zugleich praktische Umsetzungsprobleme zu reduzieren.

1. Geplante Änderungen

Inhaltlich konzentrieren sich die geplanten Änderungen vor allem auf drei Bereiche: Erstens wird der zentrale Begriff der „personenbezogenen Daten“ präzisiert, wobei künftig stärker auf die konkrete Identifizierbarkeit durch den jeweiligen Datenempfänger abgestellt werden soll. Zweitens wird klargestellt, dass die Verarbeitung personenbezogener Daten für das Training, Testen und die Validierung von KI-Systemen grundsätzlich auf ein berechtigtes Interesse gestützt werden kann. Drittens wird eine begrenzte Öffnung für die Verarbeitung besonderer Kategorien personenbezogener Daten im KI-Kontext eingeführt, soweit diese nur unvermeidbar und nicht zielgerichtet erfolgt.

Flankierend sind weitere Anpassungen vorgesehen, etwa eine Konkretisierung einzelner Begriffsdefinitionen (z.B. Gesundheitsdaten), Erleichterungen bei Transparenz- und Meldepflichten sowie eine stärkere Harmonisierung von Verfahrensanforderungen im Zusammenspiel mit anderen Digitalrechtsakten.

2. Aktueller Stand

Der Digital-Omnibus befindet sich derzeit noch im Gesetzgebungsverfahren auf EU-Ebene. Der Vorschlag der Kommission aus November 2025 wird aktuell im Europäischen Parlament und im Rat beraten. Parallel dazu haben der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) im Februar 2026 eine gemeinsame Stellungnahme vorgelegt, die den weiteren Gesetzgebungsprozess maßgeblich prägt.

Zwar unterstützen die Aufsichtsbehörden ausdrücklich das Ziel der Vereinfachung und Harmonisierung des digitalen Rechtsrahmens. Zugleich äußern sie jedoch erhebliche Kritik an zentralen Elementen des Vorschlags. Im Mittelpunkt steht dabei insbesondere die geplante Änderung des Begriffs der „personenbezogenen Daten“.

Die Kommission stützt diese Anpassung maßgeblich auf ein aktuelles Urteil des EuGH (Rs. C-413/23 P – EDPS gegen SRB). In dieser Entscheidung hat der Gerichtshof klargestellt, dass Daten für einen bestimmten Empfänger dann keine personenbezogenen Daten sind, wenn dieser die betroffene Person mit den ihm „vernünftigerweise zur Verfügung stehenden Mitteln“ nicht identifizieren kann. Gleichzeitig betont der EuGH aber, dass Daten ihren Personenbezug wieder erlangen können, sobald sie an einen Empfänger gelangen, der über entsprechende Identifizierungsmöglichkeiten verfügt.

Genau an diesem Punkt setzt die Kritik an: Der Omnibus-Vorschlag greift diese Rechtsprechung nur selektiv auf und geht nach Ansicht von EDPB und EDPS deutlich darüber hinaus. Insbesondere die vorgesehene Klarstellung, dass Daten nicht allein deshalb personenbezogen werden sollen, weil ein anderer Empfänger sie identifizieren könnte, widerspricht der EuGH-Rechtsprechung.

Die Aufsichtsbehörden sehen darin eine erhebliche Gefahr für das Schutzniveau des Datenschutzrechts. Die vorgeschlagene Neudefinition würde den Anwendungsbereich der DSGVO spürbar verengen und könnte Unternehmen Anreize bieten, Datenverarbeitungen gezielt so zu strukturieren, dass sie formal aus dem Anwendungsbereich herausfallen. Zudem drohten neue Abgrenzungsschwierigkeiten und damit gerade keine, sondern weniger Rechtssicherheit.

Weitere Kritikpunkte betreffen insbesondere:
  • Pseudonymisierung: Die geplante Möglichkeit, durch Durchführungsrechtsakte festzulegen, wann pseudonymisierte Daten nicht mehr als personenbezogen gelten, wird als systemwidrig angesehen, da dies den Kernbereich des Datenschutzrechts betrifft.
  • KI-spezifische Erleichterungen: Zwar wird anerkannt, dass etwa beim Training von KI-Systemen praktische Herausforderungen bestehen. Die vorgesehenen pauschalen Erleichterungen (z. B. beim berechtigten Interesse oder bei sensiblen Daten) werden jedoch als zu unbestimmt und potenziell grundrechtsgefährdend bewertet.
  • Grundrechtsschutz: Insgesamt wird bemängelt, dass der Vorschlag teilweise über eine „technische Vereinfachung“ hinausgeht und substanzielle Änderungen am Schutzniveau der DSGVO bewirken könnte.

Im Ergebnis fällt die Zwischenbilanz daher ambivalent aus: Während einzelne Vereinfachungen – etwa bei Meldepflichten oder im Forschungsbereich – überwiegend positiv bewertet werden, stoßen insbesondere die Eingriffe in zentrale Grundbegriffe des Datenschutzrechts auf erhebliche Bedenken. Vor diesem Hintergrund ist im weiteren Gesetzgebungsverfahren noch mit intensiven Anpassungen zu rechnen.

III. KI-Omnibus

1. Geplante Änderungen

Inhaltlich konzentrieren sich die geplanten Änderungen beim KI-Omnibus vor allem auf drei Bereiche. Erstens sollen Überschneidungen zwischen der KI-VO und anderen Regelwerken insbesondere der DSGVO reduziert und Abgrenzungsfragen klarer gefasst werden. Zweitens sind Erleichterungen für die Entwicklung und den Einsatz von KI-Systemen vorgesehen, etwa im Hinblick auf den Umgang mit Trainingsdaten und risikobasierte Anforderungen. Drittens zielen die Vorschläge auf Vereinfachungen bei Compliance- und Konformitätsverfahren, insbesondere durch Standardisierung und reduzierte Dokumentationspflichten. Flankierend ist eine stärkere Verzahnung mit bestehenden sektorspezifischen Regelungen und Aufsichtsstrukturen vorgesehen.

2. Aktueller Stand

Auch der KI-Omnibus befindet sich derzeit im laufenden Gesetzgebungsverfahren. Nach Veröffentlichung der Kommissionsvorschläge im November 2025 haben sich die Mitgliedstaaten bereits auf eine gemeinsame Ratsposition verständigt; im Europäischen Parlament haben die federführenden Ausschüsse (IMCO und LIBE) einen Kompromisstext angenommen. Die Plenarabstimmung steht bevor, anschließend sollen die Trilogverhandlungen beginnen.

Inhaltlich zeigt sich dabei ein deutlich kontroverser Diskussionsstand. Im Zentrum der Debatte steht insbesondere die Frage, ob und in welchem Umfang bestimmte Sektoren von zentralen Anforderungen der KI-Verordnung ausgenommen werden sollen. Der Parlamentsvorschlag zielt darauf ab, Teile des Anwendungsbereichs – insbesondere im Bereich bereits regulierter Produktsektoren – aus der unmittelbaren Anwendung des AI Acts herauszunehmen oder in andere Regelungsmechanismen zu verschieben.

Genau diese Ansätze stoßen jedoch auf erhebliche Kritik. Zum einen warnen Vertreter der Zertifizierungs- und Standardisierungsbranche vor einer strukturellen Schwächung des risikobasierten Ansatzes der KI-Verordnung. Insbesondere eine Verschiebung oder Streichung zentraler Regelungen in Anhang I könne dazu führen, dass große Teile industrieller KI-Systeme nicht mehr unmittelbar den Anforderungen des AI Acts unterfallen. Dies würde die bislang angestrebte einheitliche Regulierung unterlaufen und zu einer Fragmentierung des Rechtsrahmens führen.

Zum anderen wird befürchtet, dass die vorgeschlagenen Änderungen nicht zu weniger, sondern zu mehr Bürokratie und Rechtsunsicherheit führen. Würden Anforderungen künftig verstärkt in sektorale Regelwerke verlagert, müssten diese erst durch zusätzliche Rechtsakte konkretisiert werden. Dies würde den Umsetzungsprozess verzögern und die regulatorische Landschaft weiter verkomplizieren.

Auch im Hinblick auf die Standardisierung werden erhebliche Risiken gesehen: Bereits laufende Arbeiten an harmonisierten KI-Standards könnten teilweise entwertet oder müssten angepasst werden, was zu weiteren Verzögerungen führen würde. Zudem droht ein Verlust von Expertise, wenn zentrale Anwendungsbereiche aus dem Anwendungsbereich der Verordnung herausfallen.

Schließlich zeigt sich auch politisch kein einheitliches Bild. Während Teile des Parlaments und der Industrie die vorgeschlagenen Erleichterungen als notwendigen Schritt zur Vermeidung von Doppelregulierung begrüßen, warnen andere Stimmen einschließlich nationaler Regierungen vor einer Absenkung des Schutzniveaus und einer Aufweichung der horizontalen Struktur der KI-Verordnung.

IV. Auswirkungen auf die Praxis

Die aktuellen Entwürfe zum Daten- und KI-Omnibus sind weniger als Deregulierung, sondern vielmehr als Neujustierung und teilweise Verschiebung bestehender Regulierungsschwerpunkte zu verstehen. Die praktischen Effekte zeigen sich insbesondere in folgenden Bereichen:

1. Zunehmende Relevanz von Abgrenzungsentscheidungen im Datenschutz

Die vorgeschlagene Neuausrichtung des Begriffs der personenbezogenen Daten verlagert einen wesentlichen Teil der Compliance in die vorgelagerte Qualifikationsentscheidung. Für Unternehmen bedeutet dies, dass künftig noch stärker geprüft und dokumentiert werden muss, ob und für wen ein Personenbezug tatsächlich besteht.

In der Praxis führt dies nicht zu einer pauschalen Entlastung, sondern zu höheren Anforderungen an Datenklassifizierung, technische Zugriffskontrollen und Dokumentation. Insbesondere bei arbeitsteiligen Datenverarbeitungen (z. B. Cloud, Plattformen, KI-Training) wird entscheidend sein, welche Akteure über Re-Identifizierungsmöglichkeiten verfügen. Unternehmen sollten daher ihre Datenflüsse granular erfassen und die jeweilige Perspektive einzelner Verarbeitungseinheiten klar trennen.

2. Mehr Spielräume beim KI-Training

Die ausdrückliche Öffnung des berechtigten Interesses für KI-Training deutet auf eine künftig größere Flexibilität hin. Gleichzeitig verschiebt sich der Schwerpunkt auf die qualitative Ausgestaltung der Interessenabwägung.

Für die Praxis bedeutet dies, dass Unternehmen sich nicht auf eine „pauschale“ Rechtsgrundlage verlassen können, sondern ihre Trainingsprozesse umfassend rechtfertigen und absichern müssen. Dies umfasst insbesondere nachvollziehbare Zweckdefinitionen, technische Schutzmaßnahmen (z. B. gegen Datenlecks oder Regurgitation), sowie belastbare Argumentationen zu Nutzen und Erwartbarkeit der Verarbeitung. Die Anforderungen an interne Dokumentation und Governance steigen damit eher, auch wenn Einwilligungsprozesse perspektivisch reduziert werden könnten.

3. Risiko einer fragmentierten KI-Regulierung durch sektorale Ausnahmen

Die im KI-Omnibus diskutierten sektoralen Ausnahmen haben potenziell erhebliche praktische Auswirkungen. Sollte es zu einer Herausnahme ganzer Branchen aus dem unmittelbaren Anwendungsbereich der KI-Verordnung kommen, würde dies den bislang einheitlichen Rechtsrahmen aufbrechen.

Für Unternehmen bestünde dann die Herausforderung, parallel unterschiedliche regulatorische Logiken zu berücksichtigen je nachdem, ob ein KI-System unter den AI Act oder unter sektorales Produktrecht fällt. Statt einer Vereinfachung könnte dies zu zusätzlichem Abstimmungsbedarf zwischen Compliance-, Produkt- und Regulierungsteams führen.

V. Fazit und Ausblick

Die Omnibus-Initiativen zeigen deutlich, dass sich das europäische Digitalrecht in einer Phase der Neujustierung befindet. Der Anspruch, bestehende Regelwerke zu vereinfachen und besser aufeinander abzustimmen, trifft dabei auf grundlegende Zielkonflikte – insbesondere zwischen Innovationsförderung und dem Erhalt eines hohen Schutzstandards.

Sowohl beim Daten- als auch beim KI-Omnibus wird bereits im aktuellen Verfahrensstand deutlich, dass zentrale Vorschläge politisch umstritten sind und im weiteren Gesetzgebungsprozess noch erheblich verändert werden können. Insbesondere die Diskussion um den Personenbezug im Datenschutz sowie um sektorale Ausnahmen im Anwendungsbereich der KI-Verordnung dürfte die weiteren Verhandlungen prägen.

Für die Praxis bedeutet dies, dass kurzfristig keine grundlegende Entlastung zu erwarten ist. Vielmehr ist von einer Übergangsphase auszugehen, in der sich regulatorische Leitlinien erst herausbilden. Langfristig könnten die Omnibus-Initiativen jedoch zu einer klareren Struktur und besseren Verzahnung des europäischen Digitalrechts beitragen.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

24.03.2026
BGH bestätigt weite Auslegung des Erfordernisses einer Lernkontrolle für die Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
23.03.2026
Digital Compliance – Der neue Rechtsrahmen für KI, Daten und digitale Resilienz
19.03.2026
EuGH: Missbräuchliche Auskunftsersuchen können zurückgewiesen werden: „Brillen Rottler“ konkretisiert die Grenzen von Art. 15 und Art. 82 DSGVO
16.03.2026
CNIL sanktioniert unzulässige Weitergabe von Loyalty-Daten an Social Media für Werbezwecke
11.03.2026
Einsatz künstlicher Intelligenz – Was ist aktuell rechtlich zu beachten?
03.03.2026
Digitale Souveränität in Unternehmen: Cloud- und KI-Nutzung rechtssicher gestalten
03.03.2026
BGH konkretisiert räumliche Trennung beim Online-Coaching – Vertragsinhalt ist entscheidend für Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
25.02.2026
DIGITAL OMNIBUS: Welche Erleichterungen ergeben sich für Unternehmen?
23.02.2026
AI Act: Der deutsche Entwurf zum Durchführungsgesetz im Überblick
19.02.2026
NIS-2: Registrierungspflicht bis zum 6. März 2026 – Jetzt handeln!
13.02.2026
Neuer Widerrufsbutton: Was Unternehmen bis zum 19. Juni 2026 umsetzen müssen
12.02.2026
„Mogelpackungen“ – Alles nur heiße Luft oder handfestes Risiko?

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.