Die EU-Kommission möchte die Digitalgesetze entschlacken. Am 19. November 2025 hat sie ihre Vorschläge zum „Digital-Omnibus“ (inklusive separatem AI-Omnibus) vorgelegt. Der Kern des Reformpakets: Die verschiedenen Digitalrechtsakte sollen vereinfacht und stärker miteinander verzahnt werden. Daneben umfasst das Paket auch flankierende Initiativen, unter anderem zur Datenstrategie sowie neue Instrumente für Unternehmen, die die praktische Umsetzung erleichtern sollen.
In Reaktion auf die fortschreitende Digitalisierung waren innerhalb kurzer Zeit viele neue gesetzliche Regelungen entstanden, unter anderem der AI Act, der Data Act, die DSGVO, die ePrivacy-Richtlinie und der Cyber Resilience Act. Die vielen verschiedenen Rechtsakte greifen jedoch bislang nur wenig ineinander. Dies ist nicht nur unübersichtlich für Unternehmen, es kommt auch zu Doppelpflichten. Ein hoher administrativer Aufwand ist die Folge.
Datenschutzniveau soll erhalten bleiben
Der EU-Kommission geht es bei den Reformvorschlägen vor allem um Effizienz und Praktikabilität. Inhaltlich sollen die Vorgaben grundsätzlich nicht abgeschwächt werden. Lediglich redundante Vorschriften sollen gestrichen und sich überlappende Vorgaben konsolidiert werden. Das hohe Datenschutzniveau in der EU möchte die EU-Kommission erhalten. Zugleich ist absehbar, dass einzelne Vorschläge – insbesondere zu Cookies und Endgerätezugriff sowie zu KI-Trainingskonstellationen – politisch und rechtlich kontrovers diskutiert werden.
Geplante Änderungen in der DSGVO und der ePrivacy-Richtlinie
Die DSGVO soll teilweise inhaltlich angepasst werden. Zugleich sollen bestimmte Regeln zum Zugriff auf Endgeräte (Cookies und ähnliche Identifier) modernisiert und – soweit dabei personenbezogene Daten verarbeitet werden – stärker in den DSGVO-Durchsetzungsrahmen überführt werden.
Unter anderem möchte die EU-Kommission, dass in bestimmten Fällen Informations- und Dokumentationspflichten für Unternehmen vereinfacht werden. Außerdem sind Erleichterungen bei der Meldung von Datenschutzverletzungen geplant, unter anderem durch stärker harmonisierte und vereinheitlichte Meldeprozesse sowie Schwellen und Fristen, um Mehrfachmeldungen und „Over-Reporting“ zu reduzieren.
Einige ePrivacy-Regeln sollen in die DSGVO integriert werden, insbesondere Vorgaben zum Speichern von bzw. Zugriff auf Informationen auf Endgeräten. Soweit dabei personenbezogene Daten verarbeitet werden, sollen diese Endgeräte-Zugriffsregeln aus der ePrivacy-Richtlinie in die DSGVO verlagert werden. Um der „Consent Fatigue“ entgegenzuwirken, sollen Consent-Pop-ups deutlich reduziert werden: Für niedrigriskante und harmlosere Zwecke (zum Beispiel reine Reichweitenmessung) sollen keine Banner mehr erforderlich sein. Zudem sollen einheitliche Präferenzen über Browser- und Systemeinstellungen bzw. One-Click-Entscheidungen möglich sein, die Websites mindestens sechs Monate respektieren müssen. Eine Einwilligung bleibt aber grundsätzlich für den Zugriff auf Daten auf Endgeräten erforderlich.
Pseudonymisierte Daten sollen leichter für KI-Training genutzt werden können
Eine geplante Änderung der DSGVO wird bereits kontrovers diskutiert: Die EU-Kommission möchte die Regeln zur Pseudonymisierung so klarstellen, dass Datensätze nach geeigneten Schutzmaßnahmen unter bestimmten Voraussetzungen leichter geteilt und genutzt werden können (unter anderem im Kontext von KI-Training), ohne dass sie für jeden Empfänger automatisch als personenbezogene Daten gelten. Nach Darstellung der Kommission handelt es sich dabei um die Kodifizierung eines jüngeren EuGH-Ansatzes. Entscheidend sei, ob der konkrete Dritte bzw. Empfänger über Mittel verfügt, die vernünftigerweise zur Re-Identifizierung eingesetzt werden können. Der Verantwortliche, der den Datensatz pseudonymisiert, soll hingegen weiterhin voll an die DSGVO gebunden bleiben.
Ergänzend sollen Klarstellungen zur Datenverarbeitung für KI-Zwecke (zum Beispiel durch Training und Entwicklung) stärker operationalisiert werden, insbesondere zur Abstützung auf „berechtigte Interessen“ unter bestimmten Schutzvorkehrungen sowie zu wirksamen Widerspruchsmöglichkeiten.
Der Schutz personenbezogener Daten ist unionsrechtlich grundrechtlich verankert, insbesondere in Art. 8 GRCh und daneben Art. 16 AEUV. Sekundärrechtliche Klarstellungen müssen sich daran messen lassen. Wie weit die vorgeschlagene Begriffspräzisierung trägt, wird daher wesentlich davon abhängen, wie sie im Gesetzgebungsverfahren konkret ausgestaltet wird und wie der EuGH und die aufsichtliche Praxis die Abgrenzung „vernünftigerweise zu erwartende Mittel“ anwenden.
Geplante Änderungen beim Data Act und Data Governance Act
Die Datennutzung soll künftig in einem gebündelten Daten-Rechtsrahmen zusammengeführt werden. Der Ansatz ist, mehrere Bausteine des „data acquis “ im Data Act zu konsolidieren. Insbesondere sollen Inhalte des Data Governance Act (DGA), der Open-Data-Regeln und der Free-Flow-of-Non-Personal-Data-Regeln in einen restrukturierten Data Act integriert werden.
Die EU möchte außerdem einige Anliegen der Wirtschaft aufgreifen. Zum Beispiel sollen die strengen Anforderungen an Datenvermittlungsdienste nach dem DGA deutlich gelockert werden. Statt stark formalisierter Pflichten sollen, je nach Ausgestaltung, stärker risikobasierte Anforderungen und freiwillige Nachweise und Trust-Ansätze in den Vordergrund rücken.
Vielfach kritisiert haben Unternehmen auch die Pflicht zur Herausgabe von Daten nach dem Data Act und eine dadurch bedingte Aufweichung des Geschäftsgeheimnisschutzes. Die EU-Kommission will den Schutz von Geschäftsgeheimnissen nun stärken. Unternehmen sollen die Weitergabe von Daten verweigern können, wenn sie nachweisen können, dass ein hohes Risiko besteht, dass die Daten ansonsten unrechtmäßig verwendet werden könnten.
Auch an anderer Stelle soll noch nachgebessert werden: Die EU-Kommission möchte erreichen, dass öffentliche Daten leichter wiederverwendet werden können, um datengetriebene Geschäftsmodelle zu stärken. Für Cloud-Anbieter sollen die Wechselpflichten präzisiert werden. Zudem soll der Zugang des Staates zu Unternehmensdaten (B2G) stärker auf echte Notlagen fokussiert werden, um Rechtsunsicherheit und Belastungen zu reduzieren.
KMUs und die neue Kategorie der Small Mid-Caps sollen von vielen Pflichten ausgenommen werden.
Einfachere Meldungen bei Cybervorfällen
Meldungen von sicherheitsrelevanten Vorfällen möchte die EU-Kommission den Unternehmen deutlich erleichtern , indem sie über ein zentrales europäisches Meldeportal erfolgen. Dort sollen alle Meldungen nach DSGVO, EU-Digital-Identity-Verordnung, CER, NIS-2 und DORA gebündelt und dann automatisiert an nationale Behörden weitergeleitet werden. Wichtig ist: Die materiellen Meldepflichten sollen dadurch grundsätzlich nicht entfallen, aber die Einreichung soll zentraler und konsistenter werden. Parallele Meldungen an verschiedene Stellen sollen reduziert werden. Bislang mussten Unternehmen einen einzigen Vorfall unter Umständen an mehrere Behörden melden.
Künstliche Intelligenz
Auch für den AI Act sind Anpassungen vorgesehen. Insbesondere soll der Anwendungszeitpunkt der Pflichten für Hochrisiko-KI-Systeme stärker an die Verfügbarkeit von Standards und Support-Tools gekoppelt werden. Vorgesehen ist eine begrenzte Verschiebung bis maximal 16 Monate für bestimmte Hochrisiko-Bereiche. Unternehmen soll dies mehr Zeit für die Umsetzung geben.
Für KMUs und Small Mid-Caps sollen die Pflichten vereinfacht werden. Damit möchte die EU-Kommission Innovation fördern. Ergänzend setzt die EU auf Innovationsförderung durch regulatorische Sandboxes und Real-Life-Tests.
Das AI Office soll eine stärkere, zentralere Rolle in der Aufsicht erhalten und die Aufsicht stärker zentralisieren, insbesondere bei Systemen auf Basis von General-Purpose-AI-Modellen. Vorgesehen sind unter anderem klarere Zuständigkeiten und Verfahren auf EU-Ebene, insbesondere bei bestimmten GPAI-Konstellationen und bei KI, die in sehr großen Online-Plattformen und Suchmaschinen eingebettet ist. Auch eine gestärkte zentrale Durchsetzung im Rahmen der Kommissionsverfahren ist geplant.
Das würde der Digital Omnibus für Unternehmen bedeuten
Für Unternehmen würden die Vorschläge der EU-Kommission mehr Klarheit und Planbarkeit bringen. Die strengen Pflichten und das hohe Schutzniveau würden im Wesentlichen bestehen bleiben. Aber die bessere Struktur und die Verzahnung der einzelnen Rechtsakte sowie die vereinfachten Dokumentationspflichten würden Unternehmen die praktische Handhabung erleichtern.
Als Nächstes befassen sich der EU-Rat und das EU-Parlament mit den Vorschlägen. Der weitere Zeitplan hängt vom Gesetzgebungsverfahren ab. Eine Einigung könnte frühestens 2026 erfolgen, ist aber nicht gesichert.
Die Kommission hat außerdem die Konsultation zum sogenannten Digital Fitness Check gestartet. Auch dieser soll die Digitalregulierung der EU vereinfachen und dafür sorgen, dass Überschneidungen und Inkonsistenzen in der bestehenden Digitalgesetzgebung reduziert werden. Flankierend werden zudem neue Initiativen im Paket genannt, zum Beispiel zur „Data Union Strategy“, sowie ein Instrument wie die „European Business Wallets“, die administrative Prozesse im Binnenmarkt erleichtern sollen.
