Der Digitale Omnibus
Der „Digitale Omnibus“ ist ein umfassender Gesetzesvorschlag der Europäischen Kommission zur Konsolidierung und Modernisierung verschiedener digitalrechtlicher Vorschriften in der EU. Vorgestellt wurde dieser am Mittwoch, den 19.11.2025 durch die EU-Kommission.
Der Ausdruck „Omnibus“ bezeichnet in der Gesetzgebung ein Verfahren, bei dem mehrere bestehende Rechtsvorschriften in einem gemeinsamen Gesetzespaket gleichzeitig angepasst werden.
Im Zentrum des Pakets steht eine umfassende Omnibus-Verordnung für den Digitalbereich, die die Regeln zu künstlicher Intelligenz (KI), Cybersicherheit und Daten vereinheitlichen und vereinfachen soll. Ergänzend zu dem Digitalen Omnibus Vorschlag plant die EU eine Datenunion, die den Zugang zu hochwertigen Daten verbessert und damit KI-Entwicklung unterstützt und die Einführung eines European Business Wallets als digitale Identität für Unternehmen.
Während der Entwurf eine Entlastung durch weniger Bürokratie und klare Strukturen verspricht, wird zugleich befürchtet, dass dabei etablierte Schutzstandards, insbesondere im Datenschutz, geschwächt werden könnten.
Der Anstoß für das Omnibusverfahren liegt in der zunehmenden Unübersichtlichkeit des europäischen Digitalrechts. Mit einer Vielzahl neuer Regelwerke wie dem Artificial Intelligence Act (AI Act), dem Data Act, dem Cyber Resilience Act (CRA), dem Digital Operational Resilience Act (DORA) oder der Network and Information Security Direktive (NIS-2) stehen Unternehmen inzwischen vor einem komplexen Geflecht aus unterschiedlichen Pflichten, die sich inhaltlich überschneiden und häufig parallel erfüllt werden müssen. Um diesen Zustand zu entschärfen, startete die Europäische Kommission im Sommer 2025 eine Konsultation mit dem Ziel, Wege zur besseren Abstimmung und möglichen Entlastung zu identifizieren.
Bis zum 14. Oktober 2025 hatten Mitgliedstaaten, Unternehmen und Interessensverbände Gelegenheit, ihre Einschätzungen einzubringen. Vor allem Deutschland sprach sich für ein einheitlicheres und innovationsfreundlicheres Regulierungsumfeld aus. Schon jetzt formiert sich deutlicher Widerstand: Zahlreiche Organisationen warnen vor einer Aushöhlung digitaler Grundrechte, und mehrere Fraktionen im EU-Parlament haben angekündigt, die Pläne kritisch zu begleiten oder abzulehnen.
Wesentliche Änderungen
Das Digitale Omnibus Packet enthält vor allem Änderungen am AI Act und am Data Act sowie Anpassungsvorschläge an der Datenschutz-Grundverordnung (DS-GVO).
AI Act
Das erste Omnibuspaket zum AI Act bringt mehrere wichtige Anpassungen mit Schwerpunkt auf Hochrisiko-KI mit sich. Die zentralen Punkte sind:
- Keine allgemeine Schulungspflicht mehr: Die frühere Pflicht für Unternehmen, Mitarbeitende gemäß Artikel 4 zu schulen, entfällt vollständig.
- Aufschub von Sanktionen für Kennzeichnungspflichten: Für Anbieter von KI-Systemen, die synthetische Inhalte erzeugen (Audio, Bild, Video, Text), gilt für die Kennzeichnungspflichten aus Art. 50 Abs. 2 eine Schonfrist. Marktüberwachungsbehörden dürfen erst 2027 sanktionieren.
- Erweiterte Erleichterungen für kleinere Unternehmen: Die bisherigen Ausnahmen für KMU (z. B. bei technischer Dokumentation oder QM-Systemen) werden zum Teil auch auf sogenannte Small Mid-Caps Companies (SMCs) ausgeweitet. Darunter fallen Unternehmen mit bis zu 794 Beschäftigten und einem Jahresumsatz von bis zu 150 Mio. Euro oder einer Bilanzsumme von bis zu 129 Mio. Euro. SMCs und auch KMU sollen als Anbieter von Hochrisiko-KI-Systemen weniger strengen Vorschriften unterliegen (bzgl. Qualitätsmanagementsysteme etc.) zudem werden mildere Bußgelder für diese vorgesehen.
- Verarbeitung sensibler Daten zur Bias-Reduzierung möglich: Anbieter und Betreiber dürfen ausnahmsweise besonders sensible personenbezogene Daten nutzen, wenn dies notwendig ist, um Verzerrungen (Bias) zu erkennen oder zu korrigieren – unter strengen Bedingungen.
- Flexible, aber begrenzte Übergangsfristen für Hochrisiko-KI: Die Verpflichtungen für Hochrisiko-Systeme starten erst, wenn die EU-Kommission die Bereitstellung unterstützender Elemente wie Standards oder Leitlinien bestätigt. Danach beginnt eine Übergangszeit. Es gibt jedoch feste späteste Starttermine: 02.12.2027 bzw. 02.08.2028.
Data Act
Die EU-Kommission will die Open-Data-Richtlinie (2019), den Data Governance Act (2022) und die Verordnung über den freien Verkehr Nicht-personenbezogener Daten (2019) vollständig in den Data Act vereinen. Zusätzlich sind gezielte Anpassungen im Data Act vorgesehen:
- Cloud-Dienste: Für ältere Verträge (bis 12.09.2025) gelten die Regeln zu Anbieterwechsel und Interoperabilität nur eingeschränkt.
- Datenvermittlungsdienste: Das Regime für Anbieter von Datenvermittlungsdiensten soll freiwillig sein und die Pflicht einer funktionalen Trennung soll die Verpflichtung, dass Datenvermittlungsdienste von anderen angebotenen Dienstleistungen des Unternehmens zu trennen sind, ersetzen.
- Keine Datenlokalisierung: Das Verbot von Lokalisierungsanforderungen für nicht-personenbezogene Daten in der EU, wird in den Data Act übernommen.
- B2G-Datenzugang: Öffentliche Stellen sollen künftig nur noch bei echten Notlagen auf Daten aus dem Privatsektor zugreifen dürfen.
DS-GVO
Die Änderungsvorschläge an der DS-GVO treffen auf die meiste Kritik. Diese sind die gravierendsten im Digitalen Omnibus Vorschlag:
Definition personenbezogener Daten (Art. 4 und Art. 9 DS-GVO):
- Informationen sollen künftig nicht mehr personenbezogene Daten für jeden Datenverarbeiter sein, nur weil eine Identifizierung der natürlichen Person theoretisch möglich wäre: Es soll darauf ankommen, ob der Verarbeiter die natürliche Person anhand der Mittel, die ihm realistisch zur Verfügung stehen identifizieren kann.
- Ein Beispiel wären IP-Adressen: Für einen kleinen Diensteanbieter, der keine zusätzlichen Zuordnungsdaten hat und auch rechtlich/technisch nicht an solche Daten kommt, könnte eine IP-Adresse eher „nicht zuordenbar“ sein, während sie für einen Akteur, der über zusätzliche Informationen oder rechtlich zugängliche Verknüpfungsmöglichkeiten verfügt, als personenbezogen gilt. So können dieselben Daten für Unternehmen A nicht personenbezogen sein, da es an technischen und organisatorischen Identifizierungswegen fehlt, während sie für ein anders Unternehmen B personenbezogene Daten sind. Vor allem für Cloud-Dienstleister und große Werbetreibende die sowie so über sehr viele Daten verfügen, bedeutet das eine große Ausdehnung datenschutzfreier Verarbeitungsvorgänge.
- Zudem soll die EU-Kommission künftig festlegen können, wann pseudonymisierte Daten für bestimmte Akteure nicht mehr als personenbezogen gelten, indem sie klare Kriterien per Durchführungsrechtsakt definiert.
- Durch die geplante Änderung der Definition personenbezogener Daten werden auch die Auskunfts- und Informationsrechte beeinflusst. Da so betroffene Personen, die keine Informationen über die Verarbeitung haben, teilweise gar nicht mehr nachweisen könnten, dass es sich bei ihren Daten um personenbezogene Daten handelt und daher ihre Rechte überhaupt betroffen sind.
- Abgeleitete Merkmale sollen nicht automatisch besonders geschützt sein (Art. 9 DS-GVO). So würde eine Ableitung aus besonderen Datenkategorien wie beispielsweise die sexuelle Orientierung aufgrund von nicht damit zusammenhängenden ,,Like” Daten nicht mehr unter die besondere Kategorie personenbezogener Daten Art. 9 DS-GVO fallen, sondern nur noch unter Art 6 DS-GVO. Ein weiteres Beispiel wäre die Ableitung, dass eine Person Diabetes (Gesundheitsdaten) hat aufgrund von regelmäßigen zuckerfreien Einkäufen, auch hierbei würde es sich nicht mehr um sensible Daten handeln.
Verarbeitung personenbezogener Daten (Art. 6 und Art. 9 DS-GVO):
- Die EU-Kommission möchte klarstellen, dass Unternehmen personenbezogene Daten künftig häufiger zur Entwicklung und zum Betrieb von KI-Systemen nutzen dürfen - ohne Einwilligung. Stattdessen soll das berechtigte Interesse als Rechtsgrundlage ausreichen, solange keine speziellen EU-/Nationalgesetze etwas anderes vorschreiben und die Rechte der Betroffenen nicht überwiegen.
- Außerdem soll die Nutzung sensibler Daten (z. B. Gesundheitsdaten, ethnische Herkunft, politische Meinung) für die Entwicklung und den Betrieb von KI ausdrücklich erlaubt werden – aber nur, wenn strenge technische und organisatorische Sicherheitsmaßnahmen eingehalten werden (neuer Art. 9 Abs. 2 lit. k DS-GVO).
Auskunfts- und Informationspflichten (Art. 12 und 13 DS-GVO):
- Verantwortliche sollen künftig Gebühren verlangen oder Anfragen ablehnen dürfen, wenn diese offensichtlich unbegründet oder überzogen sind – etwa bei wiederholtem oder missbräuchlichem Auskunftsersuchen. Die Beweislast liegt hier bei dem Verantwortlichen.
- Für die Praxis könnte dies bedeuten, dass wenn Auskunftsersuchen erkennbar aus anderen Motiven als dem Datenschutz gestellt werden (z. B. zur Vorbereitung arbeitsrechtlicher oder zivilrechtlicher Ansprüche) das solche Anfragen dann leichter als „missbräuchlich“ eingeordnet und nicht mehr erfüllt würden. Eine mögliche Folge wäre etwa, dass Beschäftigte in einem Kündigungsrechtsstreit außergerichtlich kaum noch eine realistische Möglichkeit hätten, über Art. 15 DS-GVO Einsicht in die beim Arbeitgeber über sie gespeicherten Informationen zu erhalten. Insgesamt könnte dies die Rechtsdurchsetzung spürbar erschweren und zugleich die Kontrolle über die eigenen Daten für Betroffene deutlich einschränken.
- Außerdem soll es eine Ausnahme von den Informationspflichten geben, wenn Daten in einem einfachen, klaren Verhältnis zwischen Betroffenem und Verantwortlichem erhoben wurden, die Tätigkeit nicht datenintensiv ist und man davon ausgehen kann, dass die betroffene Person die wichtigsten Informationen ohnehin schon kennt.
Automatisierte Entscheidungen (Art. 22 DS-GVO):
- Ausschließlich bei Vertragserfüllung, ausdrücklicher Einwilligung oder gesetzlicher Erlaubnis sollen rein automatisierte Entscheidungen, die erhebliche Folgen für die Person hätten, erlaubt sein. Dies verdeutlichte die EU-Kommission; eine Klarstellung, dass automatisierte Entscheidungen auch bei menschlicher theoretischer Alternative möglich sind.
Risikobasierte Meldepflicht (Art. 33 DS-GVO):
- Künftig sollen nur noch Datenschutzverletzungen mit hohem Risiko innerhalb 96 Stunden über einen zentralen Meldekanal gemeldet werden. Bisher bestand die Regelung, dass alle Verletzungen binnen 72 Sunden gemeldet werden mussten.
Datenschutz-Folgenabschätzung (Art. 35 DS-GVO):
- Es soll eine Harmonisierung der Datenschutz-Folgenabschätzung-Listen in der EU geben. So sollen unternehmen besser planen können.
ePrivacy:
Teile der ePrivacy-Richtlinie sollen in die DS-GVO überführt werden, wodurch die ePrivacy-Regeln modernisiert und vereinfacht werden sollen. In der ePrivacy-Richtlinie sind die Mindestvorgaben für den Datenschutz bei der Telekommunikation in der EU regelt. Sie enthält beispielsweise Vorgaben zu Cookies/Tracking und zu elektronischer Direktwerbung.
- Die Datennutzung auf Geräten wie Smartphones oder Computern soll künftig ohne Einwilligung möglich sein, wenn sie technisch unbedingt erforderlich ist. Für alle anderen Zwecke gelten die allgemeinen DS-GVO-Rechtsgrundlagen wie Einwilligung oder berechtigtes Interesse.
- Zudem sollen Einwilligungen deutlich nutzerfreundlicher werden: Sie sollen mit einem Klick erfolgen können und sich zentral über Browser- oder Systemeinstellungen verwalten lassen.
Plattform-to-Business (P2B)-Verordnung:
Die P2B-Verordnung regelt Fairness- und Transparenzpflichten sowie Rechtsschutzmöglichkeiten zugunsten gewerblicher Nutzer von beispielsweise Online-Vermittlungsdiensten. Dazu gehören insbesondere nachvollziehbare AGB (Allgemeine Geschäftsbedingungen) und Informationspflichten, die Offenlegung von Ranking-Parametern, Transparenz zum Datenzugang sowie Streitbeilegungsmechanismen wie internes Beschwerdemanagement und Mediation.
- Die P2B-Verordnung soll größtenteils abgeschafft werden, weil viele ihrer Regeln inzwischen überholt sind. Damit entfallen vor allem die Vorgaben zu AGB-Transparenz, Ranking-Informationen und Mediationspflichten.
- Nur wenige Elemente bleiben bis Ende 2032 bestehen – vor allem die Anforderungen an ein internes Beschwerdemanagement sowie die Regeln zur Aussetzung oder Beendigung von Online-Vermittlungsdiensten für einzelne gewerbliche Nutzer.
Kritik
Teile des Vorschlags der EU-Kommission wurden bereits vor der offiziellen Mitteilung veröffentlicht. Bereits dazu gab es Kritik von verschiedenen Seiten:
- Kritik der zivilgesellschaftlichen Organisationen: Die mehr als 120 beteiligten NGOs sehen, im Digitalen Omnibus einen massiven Angriff auf Europas digitale Grundrechte. Ihrer Ansicht nach tarnt die Kommission gravierende Rückschritte bei Datenschutz, KI-Aufsicht und Schutz sensibler Daten als „technische Vereinfachungen“. Sie warnen, dass Regeln für hochriskante KI-Systeme, zentrale Datenschutzprinzipien und Schutzmechanismen gegen Überwachung aufgeweicht werden könnten – mit tiefgreifenden Folgen für alle Menschen in Europa.
- Kritik des Vereins Digitale Gesellschaft: Der Verein wirft der Bundesregierung vor, selbst erheblichen Druck in Richtung Deregulierung aufgebaut zu haben und damit die Schwächung europäischer Schutzstandards mitzuverantworten. Aus ihrer Sicht schiebt die deutsche Regierung strukturelle Digitalisierungsprobleme fälschlicherweise dem Datenschutz in die Schuhe und arbeitet - entgegen ihrer öffentlichen Rhetorik zur digitalen Souveränität - hinter den Kulissen an der Abschwächung des Rechtsrahmens, der Big Tech einhegen soll.
- Kritik der Sozialdemokraten (S&D-Fraktion):Die sozialdemokratischen Abgeordneten lehnen die Pläne weitgehend ab und kritisieren, dass Kernprinzipien der DS-GVO verwässert würden. Sie warnen vor geschwächten Betroffenenrechten, reduziertem Schutz vor Tracking und einer vorschnellen Aufweichung der KI-Verordnung. Zudem fürchten sie, dass die EU damit ihre Rolle als globaler Regulierungsmaßstab verspielt.
Der österreichische Datenschützer Maximilian Schrems warnte bereits davor, dass die Pläne der EU-Kommission einen drastischen Abbau grundlegender Rechte in Europa bedeuten könnten. Er verglich das Vorgehen der Kommission sogar mit den undurchsichtigen und aggressiven Gesetzgebungsverfahren der Trump-Ära. Bereits am 13.11.2025 hat seine Organisation noyb sowie eine Koalition aus 127 zivilgesellschaftlichen Organisationen, Gewerkschaften und Vertretern des öffentlichen Interesses einen zweiten offenen Brief verschickt, in welchem sie die EU-Kommission auffordern, ihre Pläne zum Digital Omnibus-Vorschlag zu überdenken.
Handlungsempfehlungen
Das vorgeschlagene Omnibuspacket bringt weitreichende Veränderung mit sich, daher sollten Unternehmen:
- Die weitere Entwicklung des Vorschlags verfolgen: Da es sich bisher nur um einen Vorschlag handelt, ist es wichtig den weiteren Prozess des Entwurfs zu verfolgen.
Sollten der Rat und das Parlament den Gesetzgebungsvorschlag annehmen sollten Unternehmen sich schrittweise auf die neuen Regelungen in den verschiedenen Bereichen vorbereiten. Wichtig ist dabei ein praktikabler Mittelweg zwischen rechtlicher Absicherung und effizientem Ressourceneinsatz.
Fazit
Das Omnibuspaket setzt auf mehr Flexibilität, Effizienz und Innovationsorientierung im digitalen Binnenmarkt. Gleichzeitig stellt es die Weichen für einen regelbasierten Schutz der Nutzerrechte - künftig allerdings in einem Rahmen, der stärker auf Risiko- und Kontextbewertung statt auf starre Vorgaben setzt. Trotz der weitreichenden Vorschläge handelt es sich bislang um Entwürfe - der Gesetzgebungsprozess im EU-Parlament und im Rat, insbesondere angesichts der erwarteten Diskussionen um Änderungen und Interessenlagen bleibt abzuwarten.
