Der „Digital-Omnibus“ rollt: Diese Änderungen sind geplant

Die Europäische Kommission hat im November mit ihrem Vorschlag für eine „Digital-Omnibus-Verordnung“ ein umfassendes Änderungspaket vorgestellt. Dieses enthält unter anderem Anpassungen der Datenschutz-Grundverordnung (DSGVO), der Verordnung über Künstliche Intelligenz (KI-VO, auch “AI Act”) sowie der Cookie-Vorschriften. 

Ziel des Digital-Omnibus ist es laut EU-Kommission, „sicherzustellen, dass die Einhaltung der Vorschriften zu geringeren Kosten erfolgt, die gleichen Ziele erreicht und verantwortungsvollen Unternehmen einen Wettbewerbsvorteil verschafft.“ 

Konkret enthält das Änderungspaket folgende Anpassungsvorschläge: 

Datenschutz-Grundverordnung (DSGVO) 

• „Relative personenbezogene Daten“, also pseudonymisierte Daten, können für den Verantwortlichen personenbezogen sein, für den Empfänger aber ggf. anonym bleiben. Damit können erhebliche Erleichterungen einhergehen, aber auch Risiken rund um die Frage der Re-Identifizierbarkeit. 
• Die Meldefrist bei Hochrisiko-Verstößen soll von 72 auf 96 Stunden verlängert werden. 
• Für Vorfälle nach der Network and Information Systems Directive (NIS2), der DSGVO und dem Digital Operational Resilience Act (DORA) soll es künftig einen einheitlichen Meldungsempfänger geben. Dadurch soll die Handhabung von Meldungen für Unternehmen vereinfacht werden. 
• Automatisierte Entscheidungen sollen künftig zulässig sein, wenn sie auf einer Einwilligung, einem geschlossenen Vertrag oder einem Gesetz beruhen – auch dann, wenn an derselben Stelle eine menschliche Entscheidung möglich wäre. Dadurch würde der Einsatz automatisierter Entscheidungen für Unternehmen wesentlich erleichtert. Es ist jedoch zu erwarten, dass dieser Vorschlag kontrovers diskutiert wird; die Rechtsgrundlage muss sorgfältig gestaltet werden. 
• Wenn Betroffene ihre Rechte zweckwidrig einsetzen, sollen Unternehmen künftig mehr Ablehnungsgründe gegen Auskunftsbegehren geltend machen können. Der Aufwand für die Erteilung von Auskünften soll dadurch reduziert werden. 
• Es sollen verbindliche Vorlagen und Methodiken für Unternehmen für Data Protection Impact Assessments (DPIA) geschaffen werden. Das schafft Klarheit und steigert die Effizienz bei der Erstellung solcher Datenschutzfolgeabschätzungen (DSFA). 
• Erleichterungen für die Forschung: Folge-Verarbeitungen für wissenschaftliche Zwecke sollen künftig als zweckkompatibel gelten. Informationspflichten würden dadurch entfallen. 

KI-Verordnung (KI-VO / AI Act) 

• Die Umsetzungsfristen für Hochrisiko-Systeme sollen verlängert werden, bis einheitliche Standards vorliegen – maximal um 16 Monate. Dadurch sollen KI-Anbieter und Betreiber mehr Zeit bekommen, um die komplexen Anforderungen der KI-VO umzusetzen. 
• Es sollen neue Rechtsgrundlagen für besondere Kategorien personenbezogener Daten in der KI-Entwicklung und -Testung geschaffen werden. So kann beispielsweise das sogenannte berechtigte Interesse („legitimes Interesse“) als Rechtsgrundlage für KI-Entwicklung herangezogen werden. 
• Künftig soll die biometrische Verifizierung zulässig sein, sofern die Daten vollständig unter Nutzerkontrolle stehen. 
• Zudem sind weitere Entlastungen für kleine und mittelständische Unternehmen (KMU) geplant (z. B. Vereinfachungen bei der Dokumentation, erleichterter Zugang zu Sandboxen und längere Umsetzungsfristen). 

Update Cyber Security | Veranstaltung am 09.12.2025 | Hamburg

Ausblick auf regulatorische Neuerungen und aktuelle Cyberbedrohungen

Jetzt Anmelden!