Digital Omnibus – Chancen und Grenzen des Digitalpakets

Veröffentlicht am von

Digital Omnibus – Chancen und Grenzen des Digitalpakets

Abbildung 1

Abbildung 2

Im Bereich Datenschutz ist eher von einem Update als von einer tiefgreifenden Reform zu sprechen.

Die Europäische Kommission hat am 19.11.2025 einen umfassenden Vorschlag zur Anpassung der europäischen Digitalgesetzgebung vorgelegt – den sogenannten “Digital Omnibus”. Ziel ist es, die in den vergangenen Jahren entstandenen Digitalrechtsakte zu konsolidieren und zu vereinfachen. In diesem Zusammenhang hat die EU-Kommission auch eine Strategie für eine Datenunion vorgestellt. Dadurch soll die Verfügbarkeit von Daten für die KI-Entwicklung erhöht und die globale Position der EU in Bezug auf internationale Datenströme gestärkt werden.

Zentrale Elemente des Digitalpakets sind Änderungen der bestehenden Vorschriften für KI, Datennutzung und Datenschutz. Geplant ist eine Zusammenführung des Data Governance Act, der Free-Flow-of-Data-Verordnung sowie der Open-Data-Richtlinie, die künftig im Data Act geregelt werden sollen. Im Zuge dessen sollen auch bestehende Vorschriften des Data Act angepasst werden – dies bereits wenige Wochen nach dessen Geltungsbeginn. Beispielsweise soll der Dateninhaber bei einem Drittlandsbezug unter bestimmten Voraussetzungen die Herausgabe von Geschäftsgeheimnissen verweigern dürfen. Vorgesehen ist auch eine Beschränkung der Herausgabepflicht von Daten an öffentliche Stellen.

Auch die KI-Verordnung soll – bevor diese vollständig gilt – bereits geändert werden. Nach dem Vorschlag der EU-Kommission sollen die Vorschriften zu Hochrisiko-KI-Systemen aufgrund der verzögerten Verfügbarkeit von einheitlichen Standards und Leitlinien erst zu einem späteren Zeitpunkt anwendbar werden. Konkret sollen die Vorschriften – für Systeme gemäß Art. 6 Abs. 2 KI-VO – sechs Monate bzw. – für Hochrisiko-Systeme gemäß Art. 6 Abs. 1 KI-VO – zwölf Monate nach einem Kommissionsbeschluss, der das Vorliegen angemessener Maßnahmen zur Unterstützung der Einhaltung der Vorgaben bestätigt, anwendbar sein. Entfallen soll zudem die Registrierungspflicht für Anbieter von KI-Systemen, die zwar als Hochrisiko-KI-Systeme unter Anhang III der KI-VO fallen, jedoch kein erhebliches Beeinträchtigungsrisiko mit sich bringen.

Darüber hinaus sollen nach dem Entwurf unter anderem bestehende Erleichterungen für kleinere Unternehmen – etwa bei der Dokumentation – ausgeweitet werden. Die aktuell unbestimmte Pflicht zur Förderung der KI-Kompetenz für Unternehmen soll abgeschafft und stattdessen die Kommission und die Mitgliedstaaten in die Pflicht genommen werden.

Ein wesentlicher Aspekt des Digital Omnibus betrifft die Anpassung der DSGVO, die in der Öffentlichkeit teils kontrovers diskutiert wird. Der Vorschlag sieht unter anderem eine Konkretisierung der Definition von personenbezogenen Daten und Ergänzungen zur Datenverarbeitung im Zusammenhang mit KI vor. Konkret soll das KI-Training ausdrücklich als mögliches berechtigtes Interesse anerkannt werden. Zudem sollen die Cookie-Regelungen aus der ePrivacy-Richtlinie angepasst und in die DSGVO integriert werden. Dieser neue Vorschlag soll insbesondere der sogenannten Cookie-Fatigue entgegenwirken.

Daneben sollen die Möglichkeiten des Verantwortlichen, ein Auskunftsersuchen aufgrund datenschutzfremder Zwecke zurückzuweisen, ausgeweitet werden. Eine Konkretisierung soll auch im Zusammenhang mit der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) erfolgen: Der Europäische Datenschutzausschuss soll eine Black- und White-Liste zur Pflichtigkeit einer DSFA herausgeben und eine Methodik zur Durchführung einer DSFA entwickeln. Für die Praxis der Datenvorfälle sind zwei Erleichterungen angedacht: Die Risikoschwelle der Meldepflicht soll auf das Niveau von Art. 34 Abs. 1 DSGVO angehoben (“hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen”) und die Meldefrist auf 96 Stunden erweitert werden.

Insgesamt ist jedoch festzustellen, dass die geplanten Anpassungen der DSGVO keine strukturellen Änderungen mit sich bringen. Kurz nach dem Digital Omnibus wurden die Reformvorschläge der Arbeitsgruppe DSGVO des TUM Think Tanks veröffentlicht. Dazu gehört eine ausdrückliche Stärkung des risikobasierten Ansatzes der DSGVO, indem die Datenschutzgrundsätze unter Berücksichtigung des Risikos der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen ausgelegt werden sollen. Die Vorschläge sehen auch eine umfassende Änderung der Verbots- und Erlaubnistatbestände vor. Darüber hinaus schlägt die Arbeitsgruppe auch weitreichende Vereinfachungen im Bereich der B2B-Compliance vor. Statt der Pflicht des Verantwortlichen zur Vorprüfung und zum Vertragsschluss sollen Auftragsverarbeiter rechtsverbindliche Selbstverpflichtungen vor einer zentralen europäischen Stelle abgeben. Ob derartige Vorschläge im Rahmen des Digital Omnibus aufgenommen werden, bleibt ungewiss. Aus Sicht der Praxis sollten diese jedoch jedenfalls diskutiert werden.

Parallel zur Veröffentlichung des Digital Omnibus hat die EU-Kommission mit einer Konsultation zum “Fitness-Check” der Digitalvorschriften begonnen, die bis zum 11.3.2026 läuft. Dabei soll das Zusammenspiel der Digitalrechtsakte sowie ihre Auswirkungen auf Unternehmen, ihre Wirksamkeit für die Wettbewerbsfähigkeit und ihre Wirkung auf die Werte und die Grundrechte der EU analysiert werden. Mit dem Digital Omnibus hat die EU-Kommission den ersten Schritt gemacht. Jetzt sind das Europäische Parlament und der Rat am Zug. Eines ist sicher: Zur Reformierung der EU-Digitalrechtsakte sind noch viele Diskussionen zu führen.

Dr. Johannes
Zhou
, RA, ist bei der Kanzlei FPS in Frankfurt a. M. tätig und berät Unternehmen im IT- und Datenschutzrecht sowie im Zusammenhang mit Cyberangriffen.

Dr. Patrick
Grosmann
, M.A., RA, ist bei der Kanzlei FPS in Frankfurt a. M. tätig sowie Lehrbeauftragter und Dozent. Er berät Unternehmen im IT- und Datenschutzrecht sowie im Zusammenhang mit Cyberangriffen.

Zhou/Grosmann, BB 2026, Heft 01-02, Umschlagteil, I