Der Digitale Omnibus der EU: Mehr Ordnung im europäischen Digitalrecht?

Ausgangslage: Zu viel Regulierung, zu wenig Abstimmung

In den vergangenen Jahren hat die Europäische Union ein umfangreiches digitales Regulierungsgefüge geschaffen. Mit DSGVO, AI Act, Data Act, Data Governance Act, NIS2, DORA, ePrivacy und weiteren Rechtsakten verfolgt der Gesetzgeber ambitionierte Ziele: Schutz von Grundrechten, sichere Digitalisierung, vertrauenswürdige KI und eine funktionierende Datenökonomie.

In der Praxis zeigt sich jedoch ein strukturelles Problem: Viele dieser Regelwerke sind inhaltlich eng miteinander verzahnt, verwenden aber unterschiedliche Begriffe, Schwellenwerte, Fristen und Verfahrenslogiken.

Für Unternehmen führt das zu parallelen Pflichten, mehrfachen Risikoanalysen, doppelten Meldewegen und erheblicher Rechtsunsicherheit an den Schnittstellen – insbesondere dort, wo Datenschutz, KI, Datennutzung und IT-Sicherheit zusammentreffen.

Der Digitale Omnibus und der Digitale Omnibus AI, die die EU-Kommission im November 2025 vorgelegt hat, setzen genau hier an.

Anders als frühere Digitalgesetze zielen sie nicht primär auf neue Pflichten, sondern auf Koordinierung, Vereinheitlichung und Entlastung.

Anpassungen am AI Act: Mehr Zeit, mehr Proportionalität, mehr Klarheit

Ein Schwerpunkt des Digitalen Omnibus liegt auf Änderungen am AI Act, der in vielen Unternehmen derzeit erhebliche Umsetzungsressourcen bindet.

Verschiebung des Zeitplans für Hochrisiko-KI

Die Pflichten für Anbieter und Verwender von Hochrisiko-KI-Systemen sollten ursprünglich ab dem 2. August 2026 gelten. Der Digitale Omnibus sieht nun vor, diesen Zeitpunkt zu verschieben.

Diskutiert werden zwei Alternativen:

• ein Inkrafttreten erst 6 bis 12 Monate nach Billigung der einschlägigen harmonisierten technischen Normen, oder
• feste spätere Stichtage: Dezember 2027 bzw. August 2028 – abhängig davon, ob das Hochrisiko-System unter Anhang III oder unter die in Anhang I genannten Rechtsakte fällt.

Für Unternehmen bedeutet das vor allem: mehr Planungssicherheit, realistischere Implementierungszeiträume und eine stärkere Orientierung an tatsächlich verfügbaren Standards.

Absenkung der Pflichten zur KI-Kompetenz (AI Literacy)

Auch bei der sogenannten AI Literacy ist eine deutliche Entschärfung vorgesehen. Statt einer rechtlich verbindlichen Pflicht für Anbieter und Verwender sollen künftig die EU-Kommission und die Mitgliedstaaten verpflichtet werden, KI-Kompetenz zu fördern.

Unternehmen sollen „ermutigt“ werden, Maßnahmen zur Sicherstellung eines angemessenen KI-Kompetenzniveaus zu ergreifen. Gerade für KMU und mittelständische Unternehmen reduziert dies den unmittelbaren Umsetzungsdruck, ohne das Thema aus dem Fokus zu nehmen.

Stärkung und Neujustierung des EU AI Office

Der Aufgabenbereich des EU AI Office soll erweitert werden. Künftig soll es selbst als zuständige Aufsichts- und Durchsetzungsbehörde fungieren, wenn General-Purpose-AI-Modelle und darauf basierende KI-Systeme vom selben Anbieter entwickelt werden.

Damit reagiert der Gesetzgeber auf die zunehmende Marktbedeutung integrierter KI-Ökosysteme und schafft klarere Zuständigkeiten auf europäischer Ebene.

Weniger Registrierungspflichten bei nicht tatsächlich hochriskanten Systemen

Anbieter sollen künftig kein KI-System mehr in der öffentlichen EU-Datenbank registrieren müssen, wenn sie ein System zwar formell in einem Hochrisikobereich einsetzen, dieses aber aufgrund der konkreten Nutzung nachvollziehbar als nicht hochriskant eingestuft haben.

Die Pflicht zur Dokumentation bleibt bestehen – der Nachweis muss auf Anfrage vorgelegt werden können. Der bürokratische Aufwand wird jedoch deutlich reduziert.

Verhältnismäßigere Sanktionen für Small Mid-Caps

Mit dem Digitalen Omnibus wird das bestehende Konzept der verhältnismäßigen Sanktionierung erweitert. Neu eingeführt wird die Kategorie der Small Mid-Caps (SMCs): Unternehmen mit bis zu 750 Beschäftigten und weniger als 150 Mio. EUR Jahresumsatz.

Für diese Unternehmen sollen geringere und stärker abgestufte Sanktionen gelten – ein wichtiges Signal für wachstumsstarke Mittelständler.

Neue Rechtsgrundlage für Bias-Erkennung und -Korrektur

Besonders praxisrelevant ist die Einführung eines neuen Artikels 4a im AI Act. Er erlaubt die Verarbeitung personenbezogener Daten – einschließlich besonderer Kategorien nach Art. 9 DSGVO – ausschließlich zum Zweck der Bias-Erkennung und Bias-Korrektur in KI-Systemen.

Die Zulässigkeit ist an strenge Bedingungen geknüpft:

• keine gleich wirksame Alternative ohne sensible Daten,
• Pseudonymisierung oder technisch stark eingeschränkte Verarbeitung,
• strikte Zugriffskontrollen,
• Löschung der Daten nach Zweckerreichung,
• detaillierte Dokumentation im Verzeichnis der Verarbeitungstätigkeiten,
• keine Zugriffe durch Dritte.

Damit schafft der Gesetzgeber erstmals eine klare Brücke zwischen KI-Regulierung und Datenschutzrecht.

Änderungen am Data Act: Fokus auf Notlagen und Schutzinteressen

Auch der Data Act wird im Rahmen des Digitalen Omnibus grundlegend nachgeschärft.

Neufassung des B2G-Datenzugriffs

Der Zugriff öffentlicher Stellen auf Unternehmensdaten (B2G) soll künftig ausschließlich auf öffentliche Notlagen beschränkt werden. Der bislang weit gefasste Begriff des „exceptional need“ entfällt.

Gleichzeitig wird der Schutz von Geschäftsgeheimnissen gestärkt: Unternehmen dürfen die Herausgabe verweigern, wenn ein hohes Risiko missbräuchlicher Nutzung besteht.

Vergütungspflicht und Entlastung kleiner Unternehmen

Für Mikro- und Kleinunternehmen wird klargestellt, dass sie bei Datenbereitstellungen in Notlagen eine Vergütung verlangen dürfen. Damit trägt der Gesetzgeber der wirtschaftlichen Belastung kleiner Marktteilnehmer Rechnung.

Wegfall der Smart-Contract-Regelungen

Die geplanten Smart-Contract-Vorgaben im Data Act (Art. 36) werden vollständig gestrichen. Hintergrund ist die Sorge vor unverhältnismäßigen technischen und rechtlichen Belastungen für Unternehmen.

Cloud-Wechsel und Bestandsschutz

Bei Cloud- und Datenverarbeitungsdiensten wird ein umfassender Bestandsschutz für Altverträge eingeführt.

Verträge, die vor oder am 12. September 2025 geschlossen wurden – insbesondere bei individuell angepassten Diensten sowie bei Angeboten von KMU und SMCs – müssen nicht neu verhandelt werden.

Klauseln, die den Vorgaben zu Switching- und Egress-Charges widersprechen, sind jedoch nichtig.

Konsolidierung bestehender Datenregime

Regelungen aus dem Data Governance Act und der Open-Data-Richtlinie werden in den Data Act integriert; beide Instrumente sollen im Gegenzug aufgehoben werden.

Ziel ist eine einheitliche und übersichtlichere Datenrechtsarchitektur.

DSGVO, ePrivacy und Incident Reporting: Harmonisierung statt Parallelstrukturen

Präzisierungen in der DSGVO

Künftig soll stärker darauf abgestellt werden, welche Identifikationsmittel ein konkreter Verantwortlicher realistischerweise einsetzen kann.

Zudem werden neue und klarere Rechtsgrundlagen für Datenverarbeitungen im Zusammenhang mit KI-Systemen und biometrischer Authentifizierung geschaffen.

Die Datenschutz-Folgenabschätzung (DPIA) soll europaweit vereinheitlicht werden: Der EDSA soll zentrale Methoden und Listen vorgeben, die über Durchführungsakte umgesetzt werden.

Einwilligungen und Endgerätezugriff

Die Regeln zum Zugriff auf Endgeräte natürlicher Personen werden vollständig in die DSGVO verlagert. ePrivacy bleibt nur noch für nicht-personenbezogene Daten oder nicht-menschliche Nutzer relevant.

Neu sind unter anderem:

• einfache Ablehnung von Einwilligungen („Ein-Klick“),
• keine erneuten Anfragen während der Geltung einer Einwilligung,
• Sperrfristen von mindestens sechs Monaten nach Ablehnung,
• Einführung maschinenlesbarer Einwilligungs- und Widerspruchssignale.

Verantwortliche müssen diese Signale 24 Monate nach Inkrafttreten unterstützen; Browseranbieter (außer KMU) nach 48 Monaten.

Zentrales Incident-Reporting

Schließlich ist ein zentraler Single-Entry-Point bei der ENISA für Vorfallmeldungen vorgesehen.

Meldungen nach NIS2, DORA, DSGVO, eIDAS, CER und CRA sollen gebündelt werden – zunächst in einer Pilotphase.

Fazit: Vereinfachung mit strategischer Tiefe

Der Digitale Omnibus ist kein Abbau von Regulierung, sondern ein Versuch, bestehende Pflichten praktikabler und konsistenter zu gestalten.

Für Unternehmen eröffnen sich neue Spielräume – zugleich steigt der Bedarf an einer integrierten Betrachtung von Datenschutz, KI, IT-Sicherheit und Datenstrategie.

Wer frühzeitig prüft, welche Projekte und Strukturen betroffen sind, kann nicht nur Risiken reduzieren, sondern regulatorische Klarheit gezielt als Wettbewerbsvorteil nutzen.

Kostenfreies Erstgespräch

Sie möchten wissen, welche Auswirkungen der Digitale Omnibus konkret auf Ihr Unternehmen hat oder wie Sie Ihre Compliance-Strukturen jetzt sinnvoll ausrichten?

Vereinbaren Sie gerne ein kostenfreies Erstgespräch mit uns.