Digital Omnibus: Umfangreiches EU-Reformpaket zu KI, Datenschutz, Cookies und Co.

Die Entwürfe enthalten eine Vielzahl von Einzelregelungen. Nachfolgend finden Sie einen ersten Überblick über wichtige Neuerungen: 

Änderungen in Bezug auf Künstliche Intelligenz

• Neue Rechtsgrundlagen: Verarbeitung personenbezogener Daten zum Zwecke der KI-Entwicklung und Testung soll auf Grundlage eines „berechtigten Interesses“ legitimiert werden können; zudem soll die Verarbeitung von besonderen Kategorien personenbezogener Daten unter gewissen Umständen ermöglicht werden, u.a. sofern sie für die Erkennung und Reduzierung der Voreingenommenheit („Bias“) des KI-Systems notwendig ist.
• Aufschub für Hochrisiko-Systeme: Umsetzungsfristen sollen verlängert werden bis einheitliche Standards vorliegen (maximal jedoch 16 Monate).
• Konzentration der Aufsicht: Das AI-Office soll für General Purpose AI (GPAI) Models und KI, die in sehr großen Onlineplattformen oder Suchmaschinen eingebunden ist, die zentrale Aufsicht übernehmen.
• Entlastungen für KMU: Diese beinhalten u.a. vereinfachte technische Dokumentation, leichteren Zugang zu Sandboxes und verlängerte Umsetzungsfristen.

Änderungen im Datenschutz

• One-Stop Incident-Reporting: Einrichtung einer gemeinsamen Meldestelle für (Sicherheits-)Vorfälle nach verschiedenen Rechtsakten (u.a. DSGVO, DORA und NIS2).
• Verschlankung der Meldepflichten: Meldung von Datenschutzvorfällen an Aufsichtsbehörden nur noch bei voraussichtlich hohem Risiko für die Betroffenen und Verlängerung der Meldefrist auf 96 Stunden.
• Ablehnungsgrund für Auskunftsansprüche: Auskunftsbegehren von Betroffenen sollen abgelehnt werden können, wenn das Recht rechtsmissbräuchlich für andere Zwecke als den Datenschutz eingesetzt wird.
• Vereinheitlichung der Dokumentation: Der Europäische Datenschutzausschuss soll zukünftig verbindliche Vorlagen und Methodiken für das Datenschutzmanagement, beispielsweise in Form von Vorlagen für die Datenschutz-Folgenabschätzung, herausgeben.
• Neue Definition „relative personenbezogene Daten“: Erweiterung der Argumentationsmöglichkeiten, dass eine Datenverarbeitung nicht in den Anwendungsbereich der DSGVO fällt.

Änderungen für Cookies/vergleichbare Technologien

• DSGVO-Regelungen und -Sanktionen: Die DSGVO soll für Cookies/vergleichbare Technologien gelten, wenn personenbezogene Daten betroffen sind; hier werden sich Abgrenzungsfragen zu den allgemeinen Cookie-Vorgaben stellen.
• Reduzierung der Banner: Nach Ablehnung der Einwilligung durch einen Nutzer darf erst nach 6 Monaten erneut nach der Einwilligung gefragt werden.
• One-Click-Einwilligung: Diese ist zukünftig bei jedem Cookie-Consent-Manager verpflichtend vorzusehen.
• Erweiterte Ausnahmetatbestände: Keine Einwilligung soll nötig sein u.a. für aggregierte Messdaten, Sicherheitszwecke und Kommunikationsübertragung.
• Zentrale Verwaltung: Zustimmungen sollen über Browser- oder Betriebssystemeinstellungen verwaltet werden können.

Änderungen im Data Act 

• Zusammenführung im Data Act: Andere Datenrechtsakte, wie der Data Governance Act, die Free Flow of Data-Verordnung (FFDR) und die Open-Data-Richtlinie werden im Data Act integriert.
• Stärkung des Schutzes von Geschäftsgeheimnissen: Dateninhaber sollen die Weitergabe verweigern dürfen, wenn dadurch Geschäftsgeheimnisse u.a. in Drittstaaten mit unzureichendem Schutzniveau gelangen würden. 

Auswahl strategischer Elemente

• „Digital Fitness Check“: EU-Kommission plant parallel zum Digital Omnibus eine umfassende Stakeholder-Konsultation und Evaluation aller Digitalrechtsakte.
• „Data Union Strategy“: Pläne zur Innovationsförderung durch Daten und KI sowie die Einführung von „Data Labs“, die insbesondere KMU und Forschern Zugang zu vertrauenswürdigen Datensets für das KI-Training ermöglichen sollen und zur Stärkung von „Common European Data Spaces“ beitragen.
• Einführung von „EU Business Wallets“: Eine digitale Lösung zur Reduzierung des bürokratischen Aufwands bei der Kommunikation zwischen Unternehmen und öffentlichen Stellen.

Die ersten Reaktionen auf die Entwürfe reichen von der Verkündung des „Endes des Datenschutzes“ bis zu der entgegengesetzten Kritik, dass die Vorschläge „lediglich kosmetische Änderungen“ beinhalten. Entsprechend ist mit größerem Abstimmungsbedarf im Gesetzgebungsprozess zu rechnen. 

Aus unserer Sicht enthalten die Vorschläge begrüßenswerte Verschlankungen und Vereinheitlichungen. Daneben werden bisher von Aufsichtsbehörden oder der Rechtsprechung vorgenommene Auslegungen der Vorschriften ausdrücklich in die Rechtsakte aufgenommen. Der „große Wurf“ im Sinne einer Neuausrichtung der Digitalrechtsakte bleibt jedoch aus. 

Aufgrund des Abstimmungsbedarfs ist mit dem Inkrafttreten des Reformpakets eher gegen Ende 2026 nach weiteren Anpassungen im EU-Gesetzgebungsverfahren zu rechnen. Dennoch sollten Unternehmen die Umsetzung der Reformen bereits im Budget für das kommende Jahr einplanen. Viele der Vorschläge der Kommission lassen aus unserer Sicht auf erfreuliche Erleichterungen im Bereich Compliance für Unternehmen in der EU hoffen, doch die Umsetzung und Integration der neuen Vorgaben in die eigenen Prozesse wird zunächst Aufwand bedeuten. So müssen bei allen Unternehmen voraussichtlich Datenschutzmanagementprozesse und Cookie-Manager angepasst werden. 

Trotz des geplanten Aufschubs für Hochrisiko-KI-Systeme sollte die Prüfung, ob eine KI in einen Hochrisiko-Bereich fallen könnte, nicht vernachlässigt werden. Die Vorschriften für Hochrisiko-KI-Systeme sollen aktuell im August 2026 in Kraft treten, sodass bereits fraglich ist, ob der Aufschub durch das Digital Omnibus-Paket rechtzeitig kommen wird.

Darüber hinaus wird das Reformpaket voraussichtlich in vielen, insbesondere digital getriebenen Branchen, für die strategische Ausrichtung relevant sein; sei es bei der unternehmerischen Datenstrategie, der Entwicklung von KI-Tools oder bei Plattformnutzeranalysen durch Cookies. Die Data Union-Strategie der EU verspricht Chancen für datengetriebene Innovationen insbesondere für kleine und mittlere Unternehmen und die Forschung.