Die Europäische Kommission arbeitet derzeit an einem umfassenden Paket zur Reform und Konsolidierung des europäischen Digitalrechts mit dem Titel “Digitaler Omnibus”. Die Kommission will damit Überschneidungen zwischen Datenschutz‑, Daten- und KI-Recht beseitigen, Regelungen vereinfachen und den Verwaltungsaufwand für Unternehmen und Behörden senken, aber natürlich ohne den Schutz von Grundrechten zu schwächen.
Entwürfe, deren offizielle Veröffentlichung für den 19. November 2025 angekündigt ist, liegen vor. Danach folgen das ordentliche Gesetzgebungsverfahren in Rat und Parlament. Die Entwürfe zeigen überraschend tiefgreifende Änderungen des Data Act, der DSGVO und des AI Act.
Konkret plant die Kommission zwei Omnibus-Verordnungen (Dokumente via netzpolitik.org):
- Omnibus I (“Digital Omnibus for the digital acquis”): Konsolidierung von Data Act, Open-Data-Richtlinie und Data Governance Act und Anpassungen der DSGVO.
- Omnibus II (“Digital Omnibus on AI”): Anpassungen des AI Act.
noyb warnt, der Entwurf könne Grundprinzipien der DSGVO beschädigen, bspw. durch die Einschränkung des Begriffs der Personendaten. Der Entwurf verfolge eine “death by a thousand cuts”-Strategie verfolge, die bestehende Schutzstandards systematisch schwäche.
Omnibus I
Data Act
Der bestehende Data Act soll gemeinsam mit der Open-Data-Richtlinie und dem Data Governance Act zu einem konsolidierten Rechtsakt zusammengeführt werden. Damit sollen u.a. folgende Neuerungen verbunden sein:
- Beibehaltung des Verbots von Datenlokalisierungsanforderungen innerhalb der EU;
- verstärkte Schutzmechanismen gegen eine unbefugte Bekanntgabe von Geschäftsgeheimnissen an Drittländer;
- Ausweitung bestehender Erleichterungen für KMU auf “small mid-caps” (SMCs);
- höhere Gebühren und strengere Voraussetzungen für eine Wiederverwendung öffentlicher Daten durch sehr grosse Unternehmen und Gatekeeper im Sinne des Digital Markets Act (DMA);
- Vereinheitlichung der Regeln zu offenen Verwaltungsdaten, geschützten Daten und Datenaltruismus;
- zudem soll auch die Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der EU in den Data Act integriert werden;
- Datenzugriffe durch Behörden sollen nur noch bei “öffentlichen Notlagen” zulässig sein;
- das Kapitel zu Smart Contracts wird gestrichen.
DSGVO
Die DSGVO soll ebenfalls angepasst werden, mit dem Ziel einer Klarstellung zentraler Begriffe und einer Verringerung von Pflichten bei harmlosen Bearbeitunge. Wesentliche Anpassungen sind:
- Präzisierung der Definition personenbezogener Daten, Klarstellung, dass der Personenbezug eine realistische Identifikationsmöglichkeit voraussetzt;
- Klarstellung des Begriffs der Gesundheitsdaten (nur noch Daten “directly revealing information about health status” – eine Abkehr von der Rechtsprechung des EuGH);
- Freistellung einer Nutzung biometrischer Daten “zur Identitätsbestätigung unter alleiniger Kontrolle des Betroffenen”;
- Zulässigkeit einer Bearbeitung besonderer Kategorien für Entwicklung und Betrieb von KI;
- Meldung von Sicherheitsverletzungen:
- Verlängerung der Meldepflichtfrist auf 96 Stunden;
- Meldung von Sicherheitsverletzungen über ein Single Entry Point-System (“Single Entry Point for Incident Reporting”). Dadurch sollen Meldepflichten gleichzeitig nach der NIS2-Richtlinie, nach der DSGVO, nach DORA; nach der Digital Identity Regulation und ggf. nach der CER-Richtlinie erfüllt werden können;
- EU-weit einheitliche Negativlisten für Bearbeitungen, die keine Datenschutz-Folgenabschätzung erfordern;
- Verweigerungsrecht bei offensichtlich zweckwidrigen oder missbräuchlichen Auskunftsbegehren.
Die Kommission schlägt weiter vor, das Training von KI-Modellen mit Personendaten künftig auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO zu stützen (was das bisherige schlechte Gefühl bei diesem Thema zeigt).
Cookies und Online-Tracking
Die Bearbeitung von Personendaten auf oder aus Endeinrichtungen – also das Tracking – soll sich nur noch nach der DSGVO richten. Das grundsätzliche Einwilligungserfordernis nach der ePrivacy-Richtlinie (Art. 5 Abs. 3) würde entfallen. Vorgesehen ist stattdessen ein maschinenlesbares Präferenzsystem für Cookies und Tracking über Browser- oder App-Einstellungen, das Webseitenbetreiber respektieren müssen (ausser Medienanbieter…).
Omnibus II: AI Act
Der Digital Omnibus on AI soll den AI Act vereinfachen. Rückmeldungen aus der bisherigen Umsetzung haben Verzögerungen und Unklarheiten gezeigt. Die Kommission schlägt folgende Massnahmen:
- eine mögliche Anpassung der Umsetzungsfristen, um Verzögerungen bei Normung und Behördenbenennung Rechnung zu tragen;
- Übergangsfrist für die Kennzeichnungspflicht (“Watermarking”) für KI-Systeme, die vor Geltung dieser Pflicht auf den Markt gebracht worden sind;
- Ausweitung der Erleichterungen für KMU auf small mid-caps (zvereinfachte Dokumentationspflichten, Berücksichtigung bei etwaigen Sanktionen);
- Verpflichtung der Kommission und der Mitgliedstaaten, AI Literacy selbst zu fördern, statt nur die Deployer in die Pflicht zu nehmen;
- Reduzierung der Registrierungspflichten für KI-Systeme, die zwar in Hochrisikobereichen eingesetzt werden, die aber nur prozedurale oder eng begrenzte Aufgaben erfüllen;
- Zulässigkeit der Verwendung besonderer Kategorien von Personendaten durch Provider oder Deployer zum Zweck der Erkennung und Korrektur von Bias;
- Ausweitung der Nutzung von Testumgebungen („AI Sandboxes“) und Real-World-Tests;
- Klarstellung des Zusammenspiels zwischen AI Act, Cyber Resilience Act und DSA;
- Zentralisierung der Aufsicht über AI-Systeme in sehr grossen Online-Plattformen und Suchmaschinen beim AI Office.