Mit dem sogenannten Digital Omnibus beabsichtigt die Europäische Kommission ein Legislativpaket aufzusetzen, das den europäischen Digitalrechtsrahmen grundlegend vereinfachen soll. Nach Jahren stetig wachsender Regulierung – von DSGVO über Data Act bis hin zur KI-Verordnung – soll nun die Entlastung in den Vordergrund. Ziel ist es, bestehende Doppelstrukturen zu beseitigen, Schnittstellen zu harmonisieren und Unternehmen durch klarere Prozesse sowie abgestimmte Aufsichtsmechanismen zu entlasten. Parallel dazu soll der AI Act gezielt angepasst werden, um seine Anwendung praxistauglicher zu gestalten.
Was steht an?
Auf Basis der ersten (aktuell noch inoffiziellen) Entwürfe kristallisiert sich folgende Richtung:
Die Kommission konzentriert sich auf vier zentrale Regulierungsbereiche: Datenschutz, Datennutzung, Cybersicherheitsvorfälle und die KI-Verordnung. Geplant sind zwei parallel laufende Gesetzesinitiativen – der Digital Omnibus und ein ergänzender Vorschlag zur Modifikation des AI Act.
Im Datenschutzrecht sollen ausgewählte Bestimmungen der DSGVO überarbeitet werden, um die Einhaltung insbesondere für kleine und mittlere Unternehmen zu erleichtern. Vorgesehen sind vereinfachte Informationspflichten, präzisere Definitionen zentraler Begriffe und die Möglichkeit, geringfügige Verarbeitungen künftig differenzierter zu behandeln. Zudem soll die Trennung zwischen DSGVO und ePrivacy-Richtlinie aufgehoben werden, sodass künftig ein einheitliches Regime für Cookie- und Tracking-Technologien gilt – begleitet von einem technischen Standard für maschinenlesbare Einwilligungssignale.
Im Datennutzungsrecht plant die Kommission, den Data Act, den Data Governance Act und die Open-Data-Richtlinie zu einem konsistenten Rahmen zusammenzuführen. Diese Konsolidierung soll die Wiederverwendung öffentlicher Daten und den Austausch von Unternehmensdaten erleichtern, zugleich aber Schutzmechanismen für Geschäftsgeheimnisse stärken. Für besonders große Anbieter – sogenannte Gatekeeper – können künftig differenzierte Zugangs- und Entgeltregeln gelten, während für Small-Mid-Caps Entlastungen ausgeweitet werden sollen.
Im Cybersicherheitsbereich sollen bestehende Meldepflichten aus NIS2, DORA, DSGVO und verwandten Regelungen gebündelt werden. Ein zentrales digitales Meldeportal bei der EU-Cybersicherheitsagentur ENISA soll das Prinzip „report once, share many“ umsetzen und mehrfach redundante Meldungen ersetzen.
Der AI Act: Zentralisierung der Aufsicht und gezielte Vereinfachungen
Die deutlichsten Änderungen betreffen die KI-Verordnung selbst. Die Kommission begründet ihren Anpassungsbedarf mit „praktischen Herausforderungen bei der Umsetzung“, die den pünktlichen Wirksamkeitsbeginn gefährden könnten. Geplant sind daher „gezielte Vereinfachungsmaßnahmen“, die eine verhältnismäßige und reibungslose Einführung gewährleisten sollen.
Kern der Reform ist die Zentralisierung der Aufsicht: Das bei der Kommission angesiedelte AI Office soll künftig eine koordinierende und – für bestimmte Fälle – entscheidende Rolle übernehmen. Ziel ist eine einheitliche Rechtsanwendung und effizientere Kontrolle, insbesondere für grenzüberschreitende KI-Systeme großer Plattformen. Betroffen wären unter anderem Very Large Online Platforms (VLOPs) wie Facebook, Amazon oder TikTok, deren KI-basierte Dienste künftig direkt unter die Aufsicht des AI Office fallen könnten.
Daneben sollen Erleichterungen bei der Umsetzung eingeführt werden. So wird etwa geprüft, ob Produkte, die bereits in stark regulierten Branchen – etwa im Medizin- oder Maschinenbausektor – tätig sind, von bestimmten Hochrisiko-Pflichten ausgenommen oder anders eingestuft werden können. Damit sollen Doppelregulierungen vermieden werden. Zudem sollen Anbieter und Betreiber von KI-Systemen künftig einfacher nachweisen können, dass sie Datenschutzvorgaben erfüllen, wenn sie personenbezogene Daten verarbeiten. Für kleine und mittlere Unternehmen sind Ausnahmen bei Dokumentations- und Monitoringpflichten vorgesehen, um die wirtschaftliche Belastung zu reduzieren.
Offen bleibt, ob auch ein zeitlicher Aufschub („Grace Period“) einzelner Verpflichtungen vorgesehen wird – ein Schritt, den insbesondere Deutschland seit längerem fordert, da technische Standards und Prüfmechanismen bislang unvollständig sind.
Die Kommission sieht sich damit auch wachsender Kritik ausgesetzt: Viele Unternehmen beklagen den hohen Aufwand, der aus einer Vielzahl überlappender Melde-, Dokumentations- und Transparenzpflichten resultiert. Der Digital Omnibus soll hier Abhilfe schaffen – etwa durch eine bessere Verzahnung mit Datenschutzrecht und Cybersicherheitsvorgaben.
Ausblick
Das "Digital Omnibus"-Paket wird am 19. November 2025 erwartet.
Mit diesem und der begleitenden KI-Reform versucht die Kommission, einen Spagat zwischen Vereinfachung und Regulierungskontinuität zu schaffen. Sollte das Vorhaben gelingen, könnten Unternehmen künftig mit einem kohärenteren und praxistauglicheren Digitalrechtsrahmen arbeiten. Aktuell befindet sich der Ansatz noch im Entwurfsstadium: Für Unternehmen bedeutet das: Der mögliche zukünftige Anpassungsbedarf ist klar ersichtlich – auch wenn viele Detailregelungen noch in Diskussion sind. Unternehmen sollten in den kommenden Monaten die Entwicklungen des Omnibus genau verfolgen. Die kommenden Monate werden entscheidend.
