Omnibus

Digitaler Omnibus: Die EU räumt bei DSGVO & Co. auf

/in , , /von

Die EU-Kommission will am 19. November zwei „Omnibus“-Vorschläge vorlegen, die zentrale Digitalgesetze „vereinfachen“ – mit Folgen u. a. für DSGVO-Definitionen, Cookie-Regeln, Betroffenenrechte, den Data Act und die Umsetzung des AI Act. Entwürfe kursieren bereits und zeigen teils weitreichende Eingriffe. Die finale Fassung kann sich noch ändern.

Worum geht es?

Das Paket verfolgt die politische Linie „A simpler and faster Europe“ und bündelt eine „Vereinfachungsagenda“ speziell für Datenrecht, Cybersicherheit und KI. Es zielt auf weniger Bürokratie, mehr Kohärenz – und auf schnellere Umsetzung. Die Kommission hat dazu seit September/Oktober 2025 Stellungnahmen eingesammelt.

Was in den Entwürfen steht (Auswahl)

DSGVO-Definitionen und Rechtsgrundlagen

Nach den von netzpolitik.org veröffentlichtem Entwurf würde die enge Auslegung „besonderer Kategorien“ personenbezogener Daten (Art. 9 DSGVO) ausdrücklich darauf abstellen, dass Daten solche Merkmale „direkt offenbaren“. Abgeleitete Informationen – etwa Gesundheitszustand aus Fitnessdaten oder sexuelle Orientierung aus Standortdaten – fielen dann nicht mehr darunter.

Diese Einengung steht aktuell im Widerspruch zur aktuellen EuGH-Rechtsprechung, die wiederholt betont hat, dass auch abgeleitete sensible Informationen unter Art. 9 fallen können. Unternehmen bekämen zwar formal mehr Spielraum bei Scoring und Profiling – das Risiko von Beschwerden und gerichtlicher Korrektur bliebe aber. Eine defensive Umsetzung ist ratsam.

Zugleich entstünde eine Ausnahmeregel für „residuale“ (also zufällig vorkommende) sensible Daten beim Training oder Betrieb von KI-Systemen, wenn technische und organisatorische Schutzmaßnahmen greifen.

Zudem wird die Verarbeitung personenbezogener Daten für KI-Training als „berechtigtes Interesse“ adressiert. Wie genau diese Rechtsgrundlage ausgestaltet wird – ob als neue Vermutungsregel, als bloße Klarstellung oder als zusätzliche Option – lässt der Entwurf offen. Details werden mit der finalen Fassung erwartet. Klar ist: Wer auf berechtigtes Interesse setzt, braucht eine wasserdichte Interessenabwägung, saubere Datensatz-Hygiene und funktionierende Opt-out-Mechanismen.

Cookies und Tracking

Der Entwurf sieht laut Veröffentlichung vor, dass nicht notwendige Cookies nicht mehr ausschließlich auf Einwilligung beruhen müssen; stattdessen stünden sämtliche DSGVO-Rechtsgrundlagen – einschließlich dem berechtigtem Interesse – offen.

Diese Änderung hebelt faktisch Art. 5 Abs. 3 der ePrivacy-Richtlinie aus, die aktuell noch gilt. Bis zur ePrivacy-Verordnung würde die Rechtslage damit unsicher. Wer auf berechtigtes Interesse umstellt, braucht tragfähige Interessenabwägungen, Privacy-by-Design und belastbare Opt-out-Mechanismen – sonst drohen Aufsichtsverfahren und Reputationsschäden. Unsere Empfehlung: Handeln Sie defensiv und dokumentieren Sie sauber.

Parallel kündigt der Text maschinenlesbare Präferenzsignale an (z. B. aus Browsern/Betriebssystemen) sowie Sonderregeln für Medienanbieter.

Betroffenenrechte und Informationspflichten

Vorgesehen sind punktuelle Einschränkungen beim Auskunftsrecht (z. B. „offensichtlich exzessive“ Anfragen) und gelockerte Informationspflichten in bestimmten Konstellationen.

Data Act wird zum zentralen Datengesetz

Der Omnibus A räumt im EU-Datenrecht auf. Die Open-Data-Richtlinie, der Data-Governance-Act und die Verordnung zum freien Verkehr nicht-personenbezogener Daten sollen künftig im Data Act gebündelt werden. Statt mehrerer paralleler Regelwerke gäbe es dann einen einheitlichen Rechtsrahmen. Für Gatekeeper (im Sinne des Digital Markets Act) sind dabei besondere Bedingungen bei der Weiternutzung von Daten vorgesehen.

AI-Act-„Vereinfachungen“

Ein separater Entwurf (Omnibus B) adressiert Umsetzungshemmnisse: Übergangsfristen (u. a. für Kennzeichnung/„Watermarking“ bereits im Markt befindlicher Systeme), geringere Registrierungslasten für AI-Systeme, die in Hochrisikobereichen nur „eng/prozedural“ eingesetzt werden, Ausweitung von Sandboxes und zentrale Aufsicht über KI in VLOPs/Suchmaschinen beim AI Office.

Wie belastbar ist das?

Die Kommission bestätigt die Linie „Digitaler Omnibus“ und die laufende Konsultation. Mehrere renommierte Medien berichten über Leaks; zwei vollständige Entwurfs-PDFs sind öffentlich abrufbar. Die Präsentation ist für 19. November angekündigt. Inhaltliche Änderungen bis zur Vorlage sind möglich, anschließend folgt das reguläre Gesetzgebungsverfahren (EP/Rat).

Praktische Auswirkungen – worauf sich Unternehmen einstellen sollten

Datenschutzorganisation

Wer heute stark mit „abgeleiteten“ Sensibilitätsmerkmalen (Scoring, Profiling, Standort-/Bewegungsdaten) arbeitet, bekäme formal mehr Spielraum – zugleich erhöht sich das Risiko von Beschwerden und Re-Regulierung in Trilog/nationaler Umsetzung. Datenschutz-Folgenabschätzungen bleiben bei hohen Risiken angezeigt. Für DSBs heißt das: Rechtsgrundlagen-Matrix und DPIA-Kriterien aktualisieren, Widerspruchsprozesse schärfen.

Marketing/Adtech

Ein möglicher Wechsel von „Consent only“ hin zu „berechtigtem Interesse“ für nicht notwendige Cookies würde Consent-Flows verändern. Wer umstellt, braucht tragfähige Interessenabwägungen, Privacy-by-Design und belastbare Opt-out-Mechanismen, sonst drohen Aufsichtsverfahren und Reputationsschäden. Präferenzsignale (Browser/OS) sind technisch frühzeitig zu berücksichtigen.

Produkt- und KI-Teams

Wenn legitimes Interesse als Basis für KI-Training anerkannt wird, sind strenge Datensatz-Governance, Retention-Kontrollen und Halluzinations-/Inferenzschutz Pflicht. „Residual“ Special-Category-Daten müssen erkannt, entfernt oder wirksam abgeschirmt werden; das verlangt Daten-Screening und Model-Governance über den gesamten Lebenszyklus.

Datenstrategie/Public Sector Data

Die Zusammenführung von Open-Data-Regeln, DGA und FFDR in den Data Act ändert Begriffe, Zuständigkeiten und Gebührenlogiken (z. B. besondere Bedingungen für Gatekeeper). Wer Daten aus dem öffentlichen Sektor nutzt, sollte Vertrags-/Lizenzmuster, Gebührenkalkulation und Compliance-Checks anpassen.

Compliance im AI-Act-Umfeld

Erleichterungen bei Registrierung und verlängerte Übergänge entlasten, sind aber kein Freibrief: Dokumentation, Daten-Governance, Human Oversight, Post-Market-Monitoring bleiben Kernthemen. Zentralere Aufsicht durch das AI Office erhöht die Sichtbarkeit großer Anbieter.

Was sollten Unternehmen jetzt tun?

Noch nichts. Vertrags- und Policy-Updates, technische Anpassungen oder Änderungen am Consent-Management sind erst sinnvoll, wenn die Verordnungen verabschiedet sind und konkrete Umsetzungsfristen feststehen. Vorschnelle Anpassungen kosten Geld und müssen möglicherweise nach den Trilog-Verhandlungen erneut geändert werden.

Verfolgen Sie die Entwicklung – aber handeln Sie erst, wenn Klarheit herrscht.

 

Das könnte Dich auch interessieren
Futuristischer Roboter für künstliche Intelligenz vor Computer mit Dateiinformationen. Der EU AI Act ist da – Was sich für Unternehmen ändert