Nachdem auf europäischer Ebene in den vergangenen Jahren zahlreiche Digital-Rechtsakte verabschiedet wurden, hat sich ein unübersichtlicher Flickenteppich aus sich teils widersprechenden sowie überschneidenden Regelwerken gebildet. Nun rückt die Reduzierung der selbst geschaffenen bürokratischen Hürden für die Wirtschaft und die Konsolidierung der EU-Bestimmungen wieder in den Fokus. Zu diesem Zweck plant die Europäische Kommission, mehrere Rechtsakte gebündelt mittels zweier sogenannter Digital-Omnibus-Verordnungen anzupassen (omnibus:lateinisch „für alle“; mehrere Vorhaben werden in einem Vorhaben zusammengefasst) und damit die Anwendung für Wirtschaftsakteure in der Praxis zu vereinfachen.

Konkret hat die Europäische Kommission am 19. November 2025 einen Vorschlag für eine Digital-Omnibus-Verordnung sowie einen Vorschlag für eine digitale Omnibus-Verordnung über KI veröffentlicht. Mit diesem Digitalpaket verfolgt die Kommission das Ziel, die fragmentierte digitale Regulierung zu harmonisieren und Unternehmen im Bereich der Digitalisierung zu entlasten.

Im Vordergrund steht, die Einhaltung der Vorschriften kostengünstiger zu gestalten, die bisherigen Regelungsziele zu erreichen und verantwortungsvol lhandelnden Unternehmen einen Wettbewerbsvorteil zu verschaffen.

Nachfolgend möchten wir einen ersten Überblick über die wesentlichen Änderungen geben:

Abgeschwächte Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten und Single-Entry-Point

Nach Art. 33 (1) Datenschutz-Grundverordnung (DSGVO) hat bei einer Verletzung des Schutzes personenbezogener Daten eine Meldung an die zuständige Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden zu erfolgen,soweit diese Verletzung nicht zu einem Risiko für die Betroffenen führt. Der Vorschlag der Europäischen Kommission sieht nun vor, dass die Meldung innerhalbvon 96 Stunden zu erfolgen hat und die Meldepflicht – im Gleichlauf mit Art. 34 (1) DSGVO – nur besteht, wenn voraussichtlich ein hohes Risiko für die Betroffenen besteht.

Von hoher Relevanz dürfte sein, dass die ENISA (European Union Agency for Cybersecurity) künftig die zentrale Anlaufstelle für Meldungen von Datenschutzvorfällen werden soll (sogenannter Single-Entry-Point). Die ENISA fungiert dabei als Betreiberin eines zentralen Portals; die materiellen Zuständigkeiten der Aufsichtsbehörden bleiben jedoch unberührt. Insbesondere in grenzüberschreitenden Fällen (etwa einer grenzüberschreitenden Datenpanne), in denen möglicherweise eine Vielzahl von Datenschutzbehörden benachrichtigt werden müssten, dürfte die Schaffung einer zentralen Anlaufstelle für Entlastung sorgen. Der Single-Entry-Point soll dabei nicht nur für Meldungen nach der DSGVO gelten, sondern unter anderem auch für die Meldungen nach der zweiten Netzwerk- und Informationssicherheitsrichtlinie (NIS-2-Richtlinie) oder auch dem Digital Operational Resilience Act (DORA).

Eingeschränkte Definition von „personenbezogenen Daten“

Derzeit ist die in Art. 4 Nr. 1 DSGVO enthaltene Definition des Begriffs der personenbezogenen Daten sehr weit gefasst. Personenbezogene Daten sind danach

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Der Anwendungsbereich soll durch den Vorschlag für eine Digital-Omnibus-Verordnung eingeschränkt werden, sodass gewisse Daten künftig nicht mehr in den Schutzbereich der DSGVO fallen. Regelungstechnisch soll der Art. 4 Nr. 1 DSGVO um folgenden einschränkenden Zusatz ergänzt werden:

„Informationen über eine natürliche Person sind nicht unbedingt personenbezogene Daten für jede andere Person oder Einrichtung, nur weil eine andere Einrichtung diese natürliche Person identifizieren kann. Informationen sind für eine bestimmte Einrichtung nicht personenbezogen, wenn diese Einrichtung die natürliche Person, auf die sich die Informationen beziehen, unter Berücksichtigung der von dieser Einrichtung vernünftigerweise zu erwartenden Mittel nicht identifizieren kann. Solche Informationen werden für diese Einrichtung nicht personenbezogen, nur weil ein potenzieller späterer Empfänger über Mittel verfügt, die vernünftigerweise zur Identifizierung der natürlichen Person, auf die sich die Informationen beziehen, eingesetzt werden können.“

Damit greift die Europäische Kommission einen „relativen Ansatz“ bei der Frage auf, ob personenbezogene Daten vorliegen. Nach diesem ist die Identifizierbarkeit einer natürlichen Person auch nach dem zumutbaren Aufwand, beispielsweise im Hinblick auf Kosten und Zeit, zu beurteilen. Soweit aus den Daten die Identifikation einer natürlichen Person durch vernünftigerweise zu erwartende Mittel für die Einrichtung nicht möglich ist, würden die Daten nicht (mehr) in den Anwendungsbereich der DSGVO nach Art. 2 (1) DSGVO fallen.

Right to refuse

Zumindest nach Ansicht des Europäischen Gerichtshofs (EuGH) stellte die Ausübung des Auskunftsrechts nach Art. 15 DSGVO für datenschutzfremde Zwecke bislang grundsätzlich keinen Missbrauch des Auskunftsrechts dar. Derzeit müssen daher auch solche Auskunftsanfragen vom Verantwortlichen unentgeltlich beantwortet werden. Der Vorschlag für eine Digital-Omnibus-Verordnung sieht nun vor, dass der Verantwortliche eine angemessene Gebühr erheben oder die Bearbeitung verweigern darf, wenn die betroffene Person ihr Auskunftsrecht für andere Zwecke als den Schutz ihrer Daten missbraucht.

Regeln zu Cookie-Bannern nun in der DSGVO

Mit dem Vorschlag für eine Digital-Omnibus-Verordnung sollen Teile der ePrivacy-Richtlinie in die DSGVO überführt werden. Dies betrifft insbesondere Regelungen zur Verwendung von Cookies und ähnlichen Technologien, die künftig in den neuen Art. 88a und 88b DSGVO verankert werden sollen.

Auch inhaltlich ergeben sich hierdurch Neuerungen: Nach derzeitiger Rechtslage ist vor dem Setzen der meisten Cookies eine Einwilligung auf Basis von klaren und umfassenden Informationen einzuholen (siehe Umsetzung der ePrivacy-Richtlinie in § 25 TDDDG). Ausnahmen von diesem Einwilligungserfordernis bestehen bislang nur in sehr engen Grenzen. Nach dem Vorschlag für eine Digital-Omnibus-Verordnung soll künftig jedoch zusätzlich keine Einwilligung mehr erforderlich sein, wenn das Cookie zur Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur Messung seiner Reichweite ausschließlich für eigene Zwecke gesetzt wird.

Anpassung des Data Acts

Im Bereich des Datennutzungsrechts beabsichtigt die Europäische Kommission unter anderem, die Bestimmungen des Data Acts, des Data Governance Acts sowie der Open-Data-Richtlinie zu harmonisieren und die Regelungen zu nicht-personenbezogenen Daten im Data Act zu bündeln. Dabei sollen insbesondere derzeit bestehende Unstimmigkeiten und Rechtsunsicherheiten beseitigt werden. In diesem Rahmen soll unter anderem klargestellt werden, dass staatliche Stellen nur im Falle eines öffentlichen Notstands auf Unternehmensdaten zugreifen dürfen.

KI

Gleichzeitig zum Vorschlag für eine Digital-Omnibus-Verordnung wurde ein Vorschlag für eine digitale Omnibus-Verordnung über KI vorgestellt. Insbesondere ist geplant, dass die Anwendbarkeit bestimmter Regelungen hinsichtlich Hochrisiko-KI-Systemen in zeitlicher Hinsicht nach hinten verlagert wird. Der Zeitpunkt ist dabei abhängig von der Veröffentlichung bestimmter Guidelines und Standards.

Überdies sollen die Regelungen zur KI-Kompetenz etwas gelockert werden. Derzeit sieht Art. 4 der Verordnung über künstliche Intelligenz (KI-VO) vor, dass Anbieter und Betreiber von KI‑Systemen Maßnahmen ergreifen müssen, um nach besten Kräften sicherzustellen, dass insbesondere ihr Personal über ein ausreichendes Maß an KI‑Kompetenz verfügt. Zukünftig sollen die Kommission und die Mitgliedstaaten Anbieter und Betreiber von KI-Systemen (lediglich) ermutigen, Maßnahmen zu ergreifen, um ein ausreichendes Maß an KI-Kompetenz ihres Personals sicherzustellen.

Ausblick

Die Vorschläge der Europäischen Kommission werden nun dem Europäischen Parlament und dem Rat der Europäischen Union vorgelegt. Es bleibt abzuwarten, inwieweit die Vorschläge tatsächlich die europäische Digitalgesetzgebung ändern werden und falls dies der Fall ist, ob diese Änderungen auch praxisgerecht sind. Mit einem Inkrafttreten der neuen Regelungen ist voraussichtlich nicht vor Mitte 2026 zu rechnen.