Mit dem Vorschlag für ein Digital Omnibus-Paket justiert die EU-Kommission ihren bisherigen Kurs. Das Ziel ist es, die durch zunehmende EU-Regulierung entstandenen bürokratischen Hürden für die Wirtschaft zu reduzieren und entsprechende digitale Regelwerke zu harmonisieren.
Das Digital-Omnibus-Paket besteht aus zwei Verordnungen, die die bestehenden digitalen Regelwerke vereinfachen und abändern sollen:
- Digital Omnibus on AI: Gegenstand der geplanten Anpassungen ist ausschließlich die KI-Verordnung.
- Digital Omnibus: Die Verordnung sieht inhaltliche Änderungen von folgenden Regelwerken vor:
- Data Act: Es wird ein zentrales Regelwerk für die europäische Datenwirtschaft geschaffen. Die Vorschriften des Data Governance Act (Regulation (EU) 2022/868) werden mit den Vorschriften der Open Data-Richtlinie (Directive (EU) 2019/1024) sowie der Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union (Regulation (EU) 2018/1807) zusammengeführt. Die vorgenannten Regelwerke werden in den Data Act aufgenommen.
- DSGVO: Die im Vorschlag enthaltenen Änderungen zielen darauf, bestimmte Schlüsselbegriffe zu präzisieren sowie die Einhaltung der Vorschriften (z.B. Informationspflichten, Meldepflichten) zu erleichtern.
- Cybersicherheitsgesetze (z.B. NIS2, DORA): Es soll zukünftig eine einheitliche Meldestelle für Cybervorfälle geben.
Welche inhaltlichen (praxisrelevanten) Änderungen sind zu erwarten?
- Datenwirtschaftsrecht: Wichtige inhaltliche Änderungen sind eine Stärkung des Schutzes von Geschäftsgeheimnissen bei Ansprüchen auf Datenzugang sowie die Ausweitung von Privilegierungen für KMUs auf kleine mittelständische Unternehmen („SMCs“).
- Datenschutzrecht: Die Definition der personenbezogenen Daten wird unter Berücksichtigung der bislang hierzu ergangenen EuGH-Rechtsprechung (insb. hinsichtlich des relativen Personenbezugs, EuGH-Entscheidung C-413/23P) nachgeschärft. Darüber hinaus wird eine neue Rechtsgrundlage für die Verarbeitung von besonderen Kategorien personenbezogener Daten für die Entwicklung von KI-Systemen geschaffen (Erweiterung des Katalogs in Art. 9 Abs. 2 DSGVO).
- Cybersicherheit: Es soll eine zentrale Meldestelle bei der EU-Agentur ENISA eingerichtet werden. Statt fragmentierter Meldungen (an z.B. BSI, BaFin, Datenschutzbehörden) sollen Unternehmen einen Cybervorfall künftig nur noch einmal zentral an ein Portal melden müssen. Dies ist auch mit Blick auf die Meldepflichten nach dem Cyber Resilience Act, der ohnehin bereits eine Meldepflicht für Cybervorfälle bei der ENISA vorsieht, begrüßenswert.
- KI-Verordnung: Der Vorschlag sieht unter anderem die Schaffung einer (datenschutzrechtlichen) Rechtsgrundlage für Anbieter und Betreiber von KI-Systemen für die Verarbeitung von besonderen Kategorien personenbezogener Daten zum Zweck der Erkennung und Verhinderungen von Verzerrungen vor. Zudem sollen bestehende Privilegierungen für KMUs (z.B. in Bezug auf die technische Dokumentation und das Qualitätsmanagement) auf SMCs ausgeweitet werden.
Was sind die nächsten Schritte?
Der Vorschlag für ein Digital Omnibus-Paket wurde am 19. November 2025 von der EU-Kommission vorgestellt und durchläuft nun das europäische Gesetzgebungsverfahren. Inhaltliche Änderungen an den beiden Verordnungsvorschlägen sind damit noch weiterhin möglich.
