Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Die Europäische Kommission bereitet einen der umfassendsten Reformschritte im europäischen Digitalrecht vor. Mit dem sogenannten digitalen Omnibus will sie zahlreiche bestehende Gesetze zusammenführen und vereinfachen. Das Ziel ist es, den Umgang mit Daten und Künstlicher Intelligenz zukunftsfähig zu gestalten und gleichzeitig die europäische Wirtschaft zu entlasten. Doch der Entwurf könnte die Spielregeln im Datenschutz und bei der Nutzung von KI grundlegend verändern. Welche Neuerungen die Kommission plant und welche Chancen und Herausforderungen sich daraus ergeben, erfahren Sie hier.
Die Europäische Kommission will mit dem sogenannten digitalen Omnibus Ordnung in das dichte Netz europäischer Digitalgesetze bringen. Der Begriff stammt aus der Gesetzgebung und bedeutet „für alle“. Gemeint ist ein umfassendes Reformpaket, das mehrere bestehende Regelwerke gleichzeitig anpasst oder zusammenführt. Das Ziel ist weniger Bürokratie und mehr Pragmatismus im europäischen Daten- und Technologierecht.
Wie bei den aktuellen Vorhaben der Bundesregierung zum Bürokratieabbau steht auch hier die Entlastung im Mittelpunkt. Komplexe Einzelvorschriften sollen verschlankt, Überschneidungen beseitigt und Prozesse digital vereinfacht werden. Der digitale Omnibus greift dabei tief in bestehende Datenschutz- und KI-Regelungen ein, um sie besser aufeinander abzustimmen. Das Vorhaben ist Teil einer größeren Strategie zur Modernisierung und Effizienzsteigerung des europäischen Binnenmarkts – vergleichbar mit Initiativen in Deutschland, die Verwaltung, Wirtschaft und Bürger gleichermaßen entlasten sollen.
Ein konkretes Beispiel zeigt, wie solche Vereinfachungen in der Praxis aussehen können: Im Visumverfahren soll künftig Künstliche Intelligenz eingesetzt werden, um Anträge schneller zu bearbeiten und Wartezeiten zu verkürzen. Das Kabinett hat dazu ein Eckpunktepapier vorgestellt, das den Einsatz von KI in der Migrationsverwaltung vorsieht. So sollen Prozesse effizienter und sicherer werden. Ein Ansatz, der verdeutlicht, wie Technologie und Regulierung zusammenspielen können, um den Staat und die Wirtschaft zu entlasten.
Mit dem ersten Teil des digitalen Omnibus-Pakets will die Europäische Kommission zentrale Bereiche der Datenschutz-Grundverordnung (DSGVO) überarbeiten. Ziel ist eine einfachere, einheitlichere und wirtschaftsfreundlichere Anwendung des europäischen Datenschutzrechts. Dabei geht es weniger um neue Pflichten, sondern um eine Neuausrichtung bestehender Regeln, insbesondere dort, wo Datenschutz, Datenwirtschaft und Künstliche Intelligenz ineinandergreifen.
Eine der größten Neuerungen betrifft die Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Künftig soll die Nutzung solcher Daten, etwa für das Training von KI-Systemen oder für Analysezwecke, auch ohne Einwilligung möglich sein – sofern ein „berechtigtes Interesse“ des Unternehmens besteht. Damit würde der bisher enge Rahmen der DSGVO deutlich erweitert. Die Kommission argumentiert, dies ermögliche Innovation und senke den bürokratischen Aufwand, insbesondere für technologiegetriebene Unternehmen.
Die Kommission plant zudem, die Definition sensibler Daten enger zu fassen. Besonders geschützt wären künftig nur noch solche Informationen, die sensible Merkmale explizit offenbaren, etwa die Angabe einer Religion oder sexuellen Orientierung in einem Formular. Daten, aus denen sich solche Merkmale lediglich indirekt ableiten lassen, würden dagegen nicht mehr automatisch in die besonders geschützte Kategorie fallen. Dies würde die Nutzung von Verhaltens- und Profildaten erheblich erleichtern, gleichzeitig aber den Schutzrahmen für Betroffene verringern.
Auch beim Thema Online-Tracking kündigt die Kommission einen Paradigmenwechsel an. Künftig soll das Speichern und Auslesen nicht-notwendiger Cookies nicht mehr ausschließlich auf Einwilligung beruhen. Stattdessen könnten Websitebetreiber sich auch auf andere Rechtsgrundlagen wie das berechtigte Interesse berufen. Nutzerinnen und Nutzer hätten dann die Möglichkeit, nachträglich zu widersprechen. Ein Opt-out-System würde das bisherige Opt-in-Prinzip ersetzen. Damit soll die sogenannte „Cookie-Banner-Müdigkeit“ reduziert werden, was den Umgang mit Online-Diensten vereinfachen, aber den Datenschutz faktisch schwächen könnte.
Um den Nutzenden mehr Kontrolle zu geben, sieht der Entwurf vor, dass Browser und Betriebssysteme künftig automatisierte Datenschutzeinstellungen unterstützen sollen. Die Systeme könnten maschinenlesbare Signale an Webseiten senden, um individuelle Cookie-Präferenzen automatisch umzusetzen. Das würde Einwilligungsprozesse vereinheitlichen und erleichtern. Allerdings sollen Medienanbieter von dieser Regelung ausgenommen bleiben, um die wirtschaftliche Basis journalistischer Angebote zu sichern.
Ein weiterer geplanter Schritt ist die Einführung eines zentralen Meldesystems für Datenschutzverletzungen und Cybervorfälle. Statt mehrere Stellen parallel informieren zu müssen, sollen Unternehmen künftig über eine „Single Entry Point“-Plattform melden können, die Informationen automatisch an die zuständigen Behörden verteilt. Dadurch will die Kommission den Aufwand für Unternehmen verringern und eine bessere Koordination zwischen den europäischen Aufsichtsbehörden erreichen.
Der zweite Teil des digitalen Omnibus-Pakets widmet sich der Überarbeitung der europäischen KI-Verordnung. Damit reagiert die EU-Kommission auf die Herausforderungen bei der praktischen Umsetzung des AI-Acts, der bereits beschlossen, aber noch nicht vollständig in Kraft ist. Ziel ist es, die Anwendung zu erleichtern, technische Hürden zu senken und Unternehmen – insbesondere kleinere Anbieter zu entlasten, ohne den Schutzstandard offiziell zu senken.
Viele Unternehmen und Behörden hatten auf Schwierigkeiten hingewiesen, die Anforderungen des AI-Acts rechtzeitig umzusetzen. Die Kommission will daher Übergangsfristen verlängern und technische Pflichten vereinfachen, um eine reibungslose Einführung zu ermöglichen. Dazu gehört etwa die Verschiebung bestimmter Nachweis- und Kennzeichnungspflichten, wie der Watermarking-Regelung für KI-generierte Inhalte. Die Anpassung soll der Wirtschaft mehr Zeit geben, um Standards zu entwickeln und technische Systeme anzupassen.
Ein Schwerpunkt liegt auf der wirtschaftlichen Entlastung kleiner und mittlerer Unternehmen (KMU). Sie sollen von vereinfachten Dokumentationspflichten, reduzierten Strafen und flexibleren Qualitätsmanagementanforderungen profitieren. Neu ist, dass diese Erleichterungen künftig auch für sogenannte Small Mid-Caps gelten, also für Unternehmen, die zwischen KMU und Großunternehmen liegen.
Die Kommission plant, die Aufsicht über KI-Systeme zu bündeln. Dafür soll das bereits geschaffene AI-Office bei der EU-Kommission eine stärkere Rolle übernehmen. Es wäre künftig direkt für besonders große Online-Plattformen und Suchmaschinen (VLOPs) zuständig. In dem Fall für Anbieter mit über 45 Millionen Nutzerinnen und Nutzern in der EU.
Ein weiterer zentraler Punkt betrifft den Umgang mit sensiblen personenbezogenen Daten in der KI-Entwicklung. Der Entwurf erlaubt künftig ausdrücklich, solche Daten in bestimmten Fällen zu verarbeiten, wie zur Erkennung und Korrektur von Diskriminierungen (Bias) in KI-Systemen. Die Öffnung soll dazu beitragen, dass Algorithmen fairer werden, setzt aber hohe Anforderungen an technische und organisatorische Schutzmaßnahmen.
Die Kommission will den Einsatz von regulatorischen Sandboxes ausbauen – geschützte Testumgebungen, in denen Unternehmen KI-Systeme unter Aufsicht entwickeln und erproben können. Zudem sollen EU-weite Real-World-Tests möglich werden, um KI-Anwendungen praxisnah zu validieren. Die Maßnahmen haben das Ziel Innovation zu beschleunigen und gleichzeitig sicherzustellen, dass neue Systeme unter realen Bedingungen überprüft werden.
Nach der Inbetriebnahme von KI-Systemen sollen Unternehmen künftig vereinfachte Berichtspflichten haben. Die Kommission will den Aufwand für Post-Market-Monitoring verringern und so den Verwaltungsaufwand senken. Gleichzeitig sollen Aufsichtsbehörden durch gemeinsame Schnittstellen besseren Zugriff auf Sicherheits- und Leistungsdaten erhalten.
Die Verantwortung für die Förderung von KI-Kompetenz (AI Literacy) soll künftig nicht mehr allein bei den Unternehmen liegen. Stattdessen sollen Kommission und Mitgliedstaaten gemeinsam Programme aufbauen, die Bevölkerung und Verwaltung besser auf den Umgang mit KI vorbereiten. Ziel ist es, Vertrauen in KI-Systeme zu stärken und die gesellschaftliche Akzeptanz zu erhöhen.
Für Unternehmen bedeuten die geplanten Anpassungen zunächst Entlastung und mehr Handlungsspielraum. Weniger Bürokratie, vereinfachte Meldepflichten und flexiblere Datenschutzregeln sollen Innovation fördern und Kosten senken. Besonders technologiegetriebene Branchen, darunter KI-Start-ups, Plattformanbieter oder datenbasierte Geschäftsmodelle, könnten davon profitieren. Zugleich entsteht jedoch ein erheblicher Anpassungsbedarf, da bisherige Datenschutz- und Compliance-Strukturen überarbeitet werden müssen, sobald die neuen Regelungen greifen.
Für Nutzerinnen und Nutzer zeichnen sich dagegen ambivalente Folgen ab. Auf der einen Seite könnten automatisierte Datenschutzeinstellungen, einheitliche Meldewege und klarere Prozesse zu mehr Transparenz und Effizienz führen. Auf der anderen Seite droht durch die Lockerung der DSGVO ein Rückgang des individuellen Schutzes, insbesondere wenn personenbezogene Daten künftig häufiger ohne Einwilligung verarbeitet werden dürfen. Auch die engere Definition sensibler Daten könnte dazu führen, dass weniger Informationen besonders geschützt sind, was langfristig Fragen nach Vertrauen und digitaler Selbstbestimmung aufwirft.
Für die Europäische Union ist das Omnibus-Paket ein Spagat zwischen Innovationsförderung und Grundrechtsschutz. Während die Kommission betont, dass der Datenschutzstandard erhalten bleibt, sehen Datenschützer eine deutliche Verschiebung zugunsten wirtschaftlicher Interessen. Kritiker sprechen von einem „strukturierten Deregulierungsprogramm“, das den Datenschutz flexibilisiert, um KI und Datenwirtschaft zu beschleunigen.
Eine Entscheidung über die endgültige Fassung der Reformen wird für Mitte bis Ende 2026 erwartet. Zunächst muss der Entwurf am 19. November 2025 vorgestellt und anschließend im EU-Parlament und Rat beraten werden. Erfahrungsgemäß wird die politische Abstimmung mehrere Monate dauern, bevor das Omnibus-Paket verabschiedet und mit Übergangsfristen von etwa 12 bis 18 Monaten in Kraft tritt.
Gerade in dieser Übergangsphase ist anwaltliche Unterstützung sinnvoll. Unternehmen sollten frühzeitig prüfen, wie sich die neuen Datenschutz- und KI-Regeln auf ihre Prozesse, Verträge und Datenschutzerklärungen auswirken. Auch bei Unsicherheiten zur künftigen Datenverarbeitung – etwa im Bereich KI-Training oder Cookie-Tracking – kann eine spezialisierte rechtliche Beratung helfen, Risiken zu minimieren und neue Spielräume rechtssicher zu nutzen.
Sind Sie unsicher, welche Auswirkungen die geplanten EU-Reformen auf Ihr Unternehmen haben könnten? Fragen Sie sich, ob Ihre bestehenden Datenschutzstrukturen, Verträge oder Online-Auftritte künftig angepasst werden müssen?
Unsere Kanzlei unterstützt Sie umfassend bei allen Fragen rund um Datenschutz, IT-Recht und digitale Compliance. Wir erstellen maßgeschneiderte Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte, prüfen und gestalten Verträge zur Auftragsverarbeitung sowie Joint Controller Agreements und beraten bei internationalem Datentransfer. Darüber hinaus übernehmen wir die Abwehr von Abmahnungen und Bußgeldverfahren, begleiten unternehmerische Maßnahmen in PR und Öffentlichkeitsarbeit und beraten zu datenschutzrechtlichen Anforderungen im Onlinehandel.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?