Lesezeit: 6 Minuten
Am 19. November 2025 hat die EU-Kommission ihr neues Gesetzespaket „Digital Omnibus“ vorgestellt. Es soll zahlreiche bestehende Digitalgesetze – unter anderem DSGVO, Data Act, ePrivacy-Regeln, AI Act und Cybersecurity-Vorgaben – vereinfachen, bündeln und anpassen. Die Kommission spricht von einer der größten Digitalreformen seit Einführung der DSGVO.
Zentrale Ziele sind Bürokratieabbau, einheitlichere Regeln in der EU und besserer Zugang zu Daten für Innovation und KI. Kritiker:innen warnen dagegen vor einer Absenkung des Datenschutzniveaus.
In diesem Beitrag erfahren Sie die wesentlichen & geplanten Änderungen, welche im Jahr 2026 bereits umgesetzt werden könnten.
Was ist der Digital Omnibus?
Der Digital Omnibus ist ein Gesetzespaket, das mehrere bestehende Rechtsakte gleichzeitig ändert, statt zahlreiche Einzelreformen durchzuführen. Damit sollen Inkonsistenzen beseitigt und digitale Regeln vereinheitlicht werden.
Betroffen sind vor allem:
-
Datenschutz (DSGVO und flankierende Regeln)
-
Datenrecht (Data Act, Data Governance Act)
-
ePrivacy-Regeln, insbesondere Cookie- und Tracking-Vorgaben
-
KI-Verordnung (AI Act)
-
Cybersecurity-Recht (NIS2, Cybersecurity Act)
Der Digital Omnibus ist daher keine rein technische Korrektur, sondern ein struktureller Eingriff in die europäische Digitalgesetzgebung.
Ziele des Digital Omnibus 2025
Die Kommission nennt drei Hauptziele:
1. Vereinfachung und Entlastung
-
Weniger Mehrfachmeldungen
-
Einheitlichere Meldefristen
-
Klarere Definitionen
-
Reduzierung komplexer Informationspflichten
2. Förderung von Innovation und Wettbewerbsfähigkeit
-
Einfachere Nutzung von Daten für Forschung und KI
-
Erleichterungen für KMU und kleine/mittlere Wachstumsunternehmen
-
Harmonisierung von Test- und Übergangsfristen
3. Stärkung der Kohärenz
-
Besseres Zusammenspiel von DSGVO, AI Act, ePrivacy und Cybersecurity
-
Weniger widersprüchliche Anforderungen
Was ändert sich in der DSGVO?
Die DSGVO ist eine der am stärksten betroffenen Rechtsakte. Die Änderungen sollen mehr Klarheit bringen und gleichzeitig die Nutzung personenbezogener Daten für KI und Forschung erleichtern. Nachfolgend eine Übersicht der wichtigsten Anpassungen:
| Thema | Bisherige Regelung | Geplante Änderung | Bedeutung |
|---|---|---|---|
| Definition „personenbezogene Daten“ | Sehr weit, mit vielen Graubereichen bei Anonymisierung | Klarere Kriterien für „anonym“ vs. „personenbezogen“ | Weniger Unsicherheit bei Datenprojekten |
| Besondere Kategorien personenbezogener Daten | Auch abgeleitete/profilierte Daten oft als „sensitiv“ behandelt | Abgeleitete Merkmale sollen nicht automatisch besonders geschützt sein | Mehr Datenverarbeitungsfreiraum, besonders bei Profiling |
| Rechtsgrundlage für KI-Entwicklung („berechtigtes Interesse“) | KI-Training musste auf Einwilligung, Vertrag oder Interesse gestützt werden | KI-Entwicklung und -Betrieb werden ausdrücklich als „berechtigtes Interesse“ anerkannt | Erleichtert KI-basierte Datenverarbeitung deutlich |
| Betroffenenrechte & Missbrauchsschutz | Rechte sehr weit ausgestaltet | Präzisierung, wann Anfragen missbräuchlich sind | Weniger Aufwand bei massenhaften oder zweckfremden Anfragen |
| Informationspflichten | Sehr umfassend, auch bei einfachen Vorgängen | Weniger Pflichten bei Standard-Verarbeitungen | Geringerer Dokumentationsaufwand |
| Automatisierte Entscheidungen (Art. 22) | Enge Voraussetzungen für vollautomatische Entscheidungen | Klarstellung, dass automatisierte Entscheidungen auch bei „theoretischer“ menschlicher Alternative möglich sind | Erleichterung für Scoring, automatisierte Prozesse |
| Datenschutz-Folgenabschätzungen (DPIA) | Unterschiedliche nationale Listen | EU-weite Harmonisierung der DPIA-Listen | Bessere Planbarkeit für Unternehmen |
| Meldepflichten bei Datenpannen | 72-Stunden-Regel, wenig abgestimmt mit NIS2 | Harmonisierung im europäischen Incident-Reporting + Verlängerung der Fristen | Weniger Doppel- und Dreifachmeldungen |
Der Digital Omnibus macht die DSGVO flexibler. Die Datenverarbeitung für KI und Forschung wird explizit erleichtert. Gleichzeitig sollen Betroffene weiterhin geschützt bleiben, aber mit klareren und praktikableren Regeln.
Was ändert sich in der KI-Verordnung?
Die 2024 beschlossene KI-Verordnung wird bereits 2025 gezielt überarbeitet. Der Digital Omnibus enthält zahlreiche Anpassungen, die Unternehmen entlasten sollen. Wesentliche Änderungen:
| Thema | Bisherige Regelung | Geplante Änderung | Bedeutung |
|---|---|---|---|
| Umsetzung Hochrisiko-KI | Voll Anwendung ab 2026 | Frist verschoben auf Ende 2027 | Mehr Zeit für Implementierung |
| Registrierungspflichten | Auch Systeme, die letztlich nicht Hochrisiko sind, mussten registriert werden | Keine Registrierung mehr bei eindeutig dokumentiertem „Nicht-Hochrisiko“ | Weniger bürokratischer Aufwand |
| Pflichten für KMU / kleine mittelständische Unternehmen | Teilweise Erleichterungen | Weitergehende Erleichterungen bei Dokumentation und QM | Bessere Wettbewerbsfähigkeit |
| AI-Literacy-Pflichten | Unternehmen mussten breite Schulungen nachweisen | Pflicht verlagert auf EU- und Mitgliedstaatenebene | Weniger Dokumentationsaufwand |
| Sekundärrechts-Ermächtigungen | Viele offene Delegationsbefugnisse | Reduktion bestimmter Ermächtigungen | Weniger „moving target“-Risiko |
| Content-Labelling (Wasserzeichen) | Pflicht zur Kennzeichnung generativer KI-Inhalte | Verlängerte Übergangsfrist | Unternehmen gewinnen Zeit für technische Umsetzung |
| Aufsicht über VLOPs/VLOSEs | Verteilung zwischen nationalen Behörden | Stärkere Zentralisierung beim AI Office | Effizientere Aufsicht großer Gatekeeper-Plattformen |
Digital Omnibus ePrivacy & Cookies
Der Digital Omnibus enthält eine der umfassendsten Modernisierungen des europäischen ePrivacy-Rahmens der letzten 15 Jahre. Die EU-Kommission reagiert damit auf ein zentrales Problem im digitalen Alltag: Consent-Fatigue, überladene Cookie-Banner und ein fragmentiertes Zusammenspiel zwischen ePrivacy-Regeln und der DSGVO.
Reduzierung Cookie-Banner
Laut Working Paper möchte die Kommission die Zahl der Consent-Banner spürbar reduzieren, indem klar definiert wird, wann eine Einwilligung wirklich nötig ist und wann nicht. Der Vorschlag:
-
Die ePrivacy-Regelungen zum Zugriff auf Endgeräte („cookie Article“) werden modernisiert.
-
Die Zuständigkeitsstruktur wird stärker unter die DSGVO verschoben – die DSGVO soll künftig das Hauptschutzregime für personenbezogene Daten darstellen.
-
Einwilligungen bleiben erforderlich, wenn auf Endgeräte zugegriffen oder personenbezogene Daten verarbeitet werden, aber die Anzahl der Fälle wird reduziert.
-
Kein Consent mehr nötig soll insbesondere sein für sogenannte „low-risk purposes“, z. B.:
-
technische Übertragung von Kommunikationsdaten
-
Bereitstellung eines ausdrücklich gewünschten Onlinedienstes
-
Erstellung von Nutzungs- und Statistikdaten (z. B. für Webseitenanalyse), wenn unter DSGVO-Schutzmaßnahmen durchgeführt
-
Reichweitenmessung durch Medienanbieter
-
sicherheitsrelevante Zwecke (z. B. zur Abwehr technischer Angriffe)
-
Neue Regeln gegen Dark Patterns & „One-Click-Entscheidungen“
Um Nutzer:innen zu entlasten und ein manipulationsfreies Einwilligungsdesign sicherzustellen, führt der Digital Omnibus klare UX-Vorgaben ein:
-
Ablehnen oder Zustimmen muss immer in einem Klick möglich sein („express choices with one click“)
-
Einwilligungsbanner dürfen nicht durch Designtricks („Dark Patterns“) zu höheren Zustimmungsraten führen
-
Wenn ein Nutzer seine Einwilligung verweigert, darf für mindestens 6 Monate nicht erneut gefragt werden
Automatisierte Privacy-Signale
Ein weiterer Meilenstein ist die geplante Verpflichtung für Webseitenbetreiber:
-
Browser- oder System-basierte Consent-Signale müssen akzeptiert werden
-
Standards für diese Signale (z. B. Purpose-Vokabular, technische Umsetzung) werden EU-weit harmonisiert
-
Website-Betreiber müssen diese Signale verbindlich umsetzen
Fazit
Das Working Paper des Digital Omnibus zeigt deutlich: Die Reform ist kein „Light-Touch-Ansatz“, sondern eine umfassende Neuausrichtung, die die europäische Digitalwirtschaft langfristig prägen wird. Unternehmen, die frühzeitig planen, Consent- und Meldeprozesse modernisieren und ihre KI-Strategie mit den neuen Regeln verzahnen, werden von der Harmonisierung profitieren. Wer dagegen wartet, riskiert spätere technische und organisatorische Kraftakte.
Der Digital Omnibus bietet damit vor allem eines: die Chance, Datenschutz, KI und Cybersecurity endlich in einer gemeinsamen, zukunftsfähigen Struktur zu denken – und diese Chance sollten Unternehmen frühzeitig nutzen.
