Hamida Jafar

Die EU-Kommission hat am 19. November 2025 ihr Reformpaket „Digital Omnibus“ vorgelegt. Es ist ein ambitionierter Gesetzgebungsvorschlag, mit dem der digitale Rechtsrahmen Europas vereinheitlicht und entbürokratisiert werden soll. Das EU-Parlament hat heute die entsprechende Vorlage mit großer Mehrheit angenommen, die endgültige Rechtslage wird sich jedoch erst nach Abschluss der Trilog‑Verhandlungen zwischen Parlament, Rat und Kommission ergeben 

Der Hintergrund war die Zersplitterte Digitalgesetze als Compliance-Risiko. In den letzten Jahren sind zahlreiche Akte des Digitalsrechts der Europäischen Union in Kraft getreten (DSGVO, Data Governance Act, Data Act, AI Act, ePrivacy-Richtlinie und Cyber Resilience Act). Sie regeln jeweils Teilaspekte, greifen jedoch nur begrenzt ineinander. Das führt zu Doppelpflichten, parallelen Meldeverfahren und einem erheblichen administrativen Aufwand für Unternehmen.   

Hier setzt der Digital Omnibus an, welcher die Koordination zwischen Datenschutz-, Daten- und KI-Recht verbessern und gemeinsame Standards für Informationspflichten, Meldungen und Aufsicht schaffen soll.  

Die wichtigsten geplanten Änderungen DSGVO & ePrivacy  

Der Kommissionsvorschlag sieht eine spürbare Entlastung bei Informations- und Dokumentationspflichten vor. Datenpannenmeldungen sollen harmonisiert werden, sodass Unternehmen nicht länger dieselbe Meldung parallel an mehrere Behörden übermitteln müssen. Darüber hinaus sollen Einwilligungsmechanismen praxisnäher gestaltet werden. Nutzerinnen und Nutzer könnten Einwilligungen künftig einheitlich über Browser- oder Systemeinstellungen verwalten. Für datenschutzrechtlich risikoarme Verarbeitungszwecke, soll die Pflicht zum Einwilligungsbanner entfallen.   

Zu den umstrittensten Elementen zählt die geplante Öffnungsklausel für pseudonymisierte Daten. Unter engen technischen und organisatorischen Schutzvoraussetzungen sollen solche Datensätze künftig für das Training von KI-Modellen verwendbar sein, ohne dass sie gegenüber jedem Empfänger zwingend als personenbezogene Daten einzustufen wären. Entscheidend ist dabei, dass der ursprünglich verantwortliche Akteur vollumfänglich an die Pflichten der DSGVO gebunden bleibt.  

Data Act & Data Governance Act  

Der Data Act und der Data Governance Act bilden gemeinsam das regulatorische Fundament der europäischen Datenstrategie. Während der Data Act den Zugang, die Nutzung und Weitergabe von Daten regelt, schafft der Data Governance Act den übergeordneten Rahmen für vertrauenswürdige Datenweitergabe und die Einrichtung von Datenvermittlungsdiensten in der EU. 

Das Ziel des EU-Omnibusverfahrens betreffend Data Act und Data Governance Act besteht darin, eine engere Verzahnung der beiden Datenrechtsakte zu erreichen und bestehende Widersprüche zu beseitigen. Zugleich soll der Schutz betrieblicher Geheimnisse gestärkt werden. Unternehmen sollen die Herausgabe von Daten verweigern können, sofern sie ein nachweisbares Risiko des Missbrauchs oder der Offenlegung vertraulicher Informationen belegen können. Hierfür wird der Data Governance Act aufgehoben, seine Kernregelungen werden im Data Act integriert. 

AI Act – Fristverlängerungen und Kennzeichnungspflichten  

Der EU AI Act schafft erstmals einen einheitlichen Rechtsrahmen für den Einsatz von Künstlicher Intelligenz in der EU. Ziel ist es, technologische Innovation und wirtschaftliche Wettbewerbsfähigkeit zu fördern.  

Konkret schlägt das Parlament in seiner Beschlussfassung folgende Fristen vor:   

  • 2. Dezember 2027 für speziell aufgeführte Hochrisiko-KI-Systeme (u. a. Biometrie, kritische Infrastrukturen, Bildung, Beschäftigung, grundlegende Dienste, Strafverfolgung, Justiz, Grenzmanagement)   
  • 2. August 2028 für KI-Systeme unter sektoralen EU-Sicherheits- und Marktüberwachungsvorschriften   
  • 2. November 2026 für Anbieter zur Umsetzung maschinenlesbarer Kennzeichnungspflichten (Wasserzeichen) für KI-generierte Audio-, Bild-, Video- und Textinhalte   

Diese Fristen sollen sicherstellen, dass technische Leitlinien und Harmonisierungsnormen rechtzeitig verfügbar sind.   

Zentrale Vorfallsmeldungen 

 Sicherheitsvorfälle sollen künftig über ein einziges europäisches Portal gemeldet werden, gültig für DSGVO, EU-Digital-Identity-Verordnung, CER, NIS-2 und DORA. Die materiellen Meldepflichten bleiben dabei vollständig bestehen, lediglich die Einreichung wird zentralisiert und konsistenter gestaltet.   

Die nächsten Monate werden zeigen, welche Form die Ausgestaltung des Gesetzes am Ende annimmt Im Trilog verhandeln Parlament und Rat, unter Vermittlung der Kommission, einen gemeinsamen Kompromisstext aus. Erst nach dessen förmlicher Verabschiedung durch beide Institutionen und Veröffentlichung im Amtsblatt der EU tritt er als geltendes Recht in Kraft. Bis dahin bleibt der 2. August 2026 die verbindliche Frist des geltenden AI Act.