EU: Digital Omnibus – Revision der GDPR, weniger AI-Regulierung

Die EU-Kommission hat zum 19. November 2025 ihre Revisionspläne in Sachen General Data Protection Rules (GDPR, oder DSGVO) sowie zur AI-Regulierung als "Digital Omnibus" offiziell vorgestellt. Alles soll einfacher und verschlankt werden, was DSGVO und KI-Regulierung betrifft. Datenschutzorganisationen kritisieren einzelne Maßnahmen (wie die Cookie-Regeln) als Rückschritt.

Die EU setzt auf Bürokratieabbau und will auch die Digitalgesetze "verschlanken". Die Pläne für den sogenannten "Digital Omnibus", die erhebliche Änderungen an der DSGVO und den ePrivacy-Vorschriften vorsehen, waren bereits vor einer Woche durchgesickert. Ich hatte im Blog-Beitrag Durchgesickerter Entwurf zeigt, die EU will den Datenschutz schleifen und der KI Vorfahrt geben berichtet.

Nun ist das Vorhaben zum 19. November 2025 offiziell angekündigt worden. Die EU-Kommission hat die Pläne in einer Pressemitteilung Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation erläutert.

Das Paket: Digitaler Omnibus

Im Kern umfasst das Paket einen digitalen Omnibus, mit dem die Vorschriften für künstliche Intelligenz (KI), Cybersicherheit und Daten gestrafft werden, schreib die EU-Kommission.

Innovationsfreundliche KI-Regeln

Dazu gehören "Innovationsfreundliche KI-Regeln": Die Kommission schlägt vor, den Beginn der Anwendung der Vorschriften für Hochrisiko-KI-Systeme mit der Verfügbarkeit von Unterstützungsinstrumenten, einschließlich der erforderlichen Standards, zu verknüpfen.

Der Zeitplan für die Anwendung von Vorschriften mit hohem Risiko wird auf höchstens 16 Monate angepasst, sodass die Vorschriften gelten, sobald die Kommission bestätigt hat, dass die erforderlichen Standards und Unterstützungsinstrumente zur Verfügung stehen, die den Unternehmen Unterstützungsinstrumente zur Verfügung stellen, die sie benötigen. Die Kommission schlägt außerdem gezielte Änderungen des KI-Gesetzes vor.

Vereinfachung der Cybersicherheitsberichterstattung

Der Omnibus führt auch einen Single-Entry-Point ein, an dem Unternehmen alle Verpflichtungen zur Meldung von Vorfällen erfüllen können. Derzeit müssen Unternehmen Cybersicherheitsvorfälle nach mehreren Gesetzen melden, darunter unter anderem die NIS2-Richtlinie, die Datenschutz-Grundverordnung (DSGVO) und das Gesetz über digitale Betriebsstabilität (DORA). Die Schnittstelle wird mit robusten Sicherheitsvorkehrungen entwickelt und umfassenden Tests unterzogen, um ihre Zuverlässigkeit und Wirksamkeit zu gewährleisten.

Ein innovationsfreundlicher Datenschutzrahmen

Es sind gezielte Änderungen der DSGVO geplant, indem bestimmte Vorschriften harmonisiert, präzisiert und vereinfacht werden. Ziel sei es, Innovationen zu fördern und die Einhaltung durch Organisationen zu unterstützen, wobei der Kern der DSGVO erhalten bleibt und das höchste Niveau des Schutzes personenbezogener Daten gewahrt bleibt.

Die EU will dazu auch die Cookie-Regeln zur Verbesserung der Online-Erfahrung der Nutzer modernisieren. Die Änderungen sollen die Anzahl der Cookie-Banner, die Internet-Surfer zu sehen bekommen, reduzieren. Benutzern will man ermöglichen, ihre  Cookie-Zustimmung mit einem Klick anzugeben und ihre Cookie-Präferenzen durch zentrale Einstellungen der Präferenzen in Browsern und Betriebssystemen zu speichern.

Verbesserung des Zugangs zu Daten

Das digitale Paket zielt auch darauf ab, den Zugang zu Daten als Schlüsselfaktor für Innovationen zu verbessern, schreibt die EU-Kommission. Sie vereinfache die Datenvorschriften und mache sie für Verbraucher und Unternehmen praktikabel, indem sie EU-Datenvorschriften durch das Datengesetz harmonisiert, und vier Rechtsvorschriften zu einem Rechtsakt zusammengefasst.

Zudem strebt man gezielter Ausnahmen von einigen der Cloud-Switching-Vorschriften des Datengesetzes für KMUs an. Es wird zudem eine Bereitstellung neuer Leitlinien zur Einhaltung des Datengesetzes durch Mustervertragsbedingungen für den Datenzugriff und die Datennutzung sowie Standardvertragsklauseln für Cloud-Computing-Verträge geben. Weiterhin ist eine Förderung europäischer KI-Unternehmen durch Erschließung des Zugangs zu hochwertigen und neuen Datensätzen für KI und Stärkung des gesamten Innovationspotenzials von Unternehmen in der gesamten EU geplant.

Strategie für die Datenunion

Das Ganze werde ergänzt durch eine Strategie für die Datenunion zur Erschließung hochwertiger Daten für KI und europäische Business Wallets, die Unternehmen eine einheitliche digitale Identität bieten, um den Papierkram zu vereinfachen und die Geschäftstätigkeit in den EU-Mitgliedstaaten erheblich zu erleichtern.

Weiterhin soll es eine EU Digital Wallet (digitale Brieftasche) für Behörden und Unternehmen geben. Dieser Vorschlag soll europäischen Unternehmen und öffentlichen Stellen ein einheitliches digitales Instrument an die Hand geben, mit dem sie Vorgänge und Interaktionen digitalisieren können, die derzeit in vielen Fällen noch persönlich durchgeführt werden müssen.

• Unternehmen können Dokumente digital signieren, mit Zeitstempel versehen und versiegeln;
• Unterstützt wird ein sicheres Erstellen, Speichern und Austauschen verifizierter Dokumente;
• und Stellen sollen sicher mit anderen Unternehmen oder öffentlichen Verwaltungen in ihren eigenen und den anderen 26 Mitgliedstaaten kommunizieren.

Die Ausweitung eines Unternehmens in anderen Mitgliedstaaten, die Zahlung von Steuern und die Kommunikation mit Behörden werden in der EU einfacher als je zuvor sein, schreibt die EU-Kommission.

Ziel: Einsparungen und Vereinfachungen

Unter der Annahme einer breiten Akzeptanz werden die europäischen Business Wallets es europäischen Unternehmen ermöglichen, Verwaltungsprozesse und -kosten zu reduzieren und so jährlich Einsparungen von bis zu 150 Mrd. EUR für Unternehmen zu erzielen.

Das Paket zielt laut EU-Kommission darauf ab, die Einhaltung der Vereinfachungsbemühungen zu erleichtern, mit denen bis 2029 Verwaltungskosten in Höhe von bis zu 5 Mrd. EUR eingespart werden sollen. Darüber hinaus könnten die europäischen Business Wallets jedes Jahr weitere Einsparungen in Höhe von 150 Mrd. EUR für Unternehmen ermöglichen.

Weiteres Vorgehen

Die Legislativvorschläge für den digitalen Omnibus werden nun dem Europäischen Parlament und dem Rat zur Annahme vorgelegt. Die Vorschläge vom 19. November 2025 sind ein erster Schritt in der Strategie der Kommission, das digitale Regelwerk der EU zu vereinfachen und wirksamer zu gestalten.

Kritik von EDRi und noyb

Die EDRi, das größte europäische Netzwerk zur Verteidigung von Rechten und Freiheiten im Internet, reklamiert in dieser Erklärung eine Schwächung des ePrivacy-Rahmens, indem er die zentrale Bestimmung zum Gerätezugriff in die DSGVO verlagert. Für die meisten Tracking-Maßnahmen werde weiterhin eine Einwilligung erforderlich sein. Aber mehrere weit gefasste Ausnahmen werden es Unternehmen weiterhin ermöglichen, Daten auf Geräten ohne Nachfrage auszulesen.

Die in Österreich beheimatete Organisation noyb sieht laut dieser Erklärung die Kernprinzipien der DSGVO durch den "Digitalen Omnibus" der EU-Kommission zerstört. Entgegen der offiziellen Pressemitteilung der Kommission könne bei diesen Änderungen nicht von der "Beibehaltung des höchsten Schutzniveaus für personenbezogene Daten" gesprochen werden.

Während die vorgeschlagenen Änderungen für durchschnittliche europäische Klein- und Mittelbetriebe im Grunde keinen wirklichen Nutzen hätten, seien sie ein Geschenk an Big Tech. Denn die Änderungen eröffneten viele neue Schlupflöcher, die Big-Tech-Unternehmen ausnutzen können. Schrems: "Dies ist der größte Angriff auf die digitalen Rechte der Europäer seit Jahren. Wenn die Kommission erklärt, dass sie 'die höchsten Standards aufrechterhält', ist das schichtweg falsch. Die Vorschläge der Kommission würden diese Standards untergraben."