Datenschutz

Der digitale Omnibus – U-Turn oder weiter auf der gleichen Spur?

28. November 2025
Anna von Dietze LL.M. (Sydney)
Kümmerlein –

Mitte November hat die EU Kommission ihr „Digital Omnibus“ Reformpaket veröffentlicht. Nach knapp einem Jahrzehnt stetig wachsender und zunehmend unübersichtlicher EU Digitalregulierung – von DSGVO über Data Act bis KI-Verordnung – soll diese nun verschlankt und harmonisiert werden. Ziel ist eine Entlastung der Unternehmen durch weniger Bürokratie und Compliance-Aufwand, die zu einer gesteigerten Wettbewerbsfähigkeit, Raum für Innovation und einer Stärkung des europäischen Wirtschaftsstandorts führen soll. Insbesondere der deutsche Digitalminister hat sich in den vergangenen Monaten für „intelligentere Regulierung“ zugunsten von Innovation und digitaler Souveränität ausgesprochen und entsprechende Signale nach Brüssel gesendet.

In diesem Beitrag greifen wir einige der wichtigsten geplanten Änderungen des Reformpaketes heraus.

Änderungen der Heiligen Kuh „DSGVO“

Zum ersten Mal seit ihrem Inkrafttreten liegen Änderungen der DSGVO auf dem Tisch:


Relativer Personenbezug: Der inzwischen durch die Rechtsprechung anerkannte und zu begrüßende relative Personenbezug personenbezogener Daten soll in die DSGVO aufgenommen werden. Danach sind pseudonymisierte Daten für einen Empfänger nur dann personenbezogene Daten, wenn der Empfänger über Mittel verfügt, die vernünftigerweise dazu verwendet werden könnten, die betroffene natürliche Person zu identifizieren. Verfügt der Empfänger nicht über diese Mittel, sind diese Daten für ihn anonyme Daten mit der Folge, dass die DSGVO nicht anwendbar ist.


Erleichterte Meldepflichten: Datenschutzverletzungen sollen in Zukunft nur noch dann an die Behörden zu melden sein, wenn ein erhebliches Risiko für die Betroffenen besteht. Zudem soll die Meldefrist von 72 auf 96 Stunden ausgedehnt werden, und es soll eine zentrale Meldestelle für Meldepflichten unter DSGVO, NIS2, DORA, eIDAS und CER eingeführt werden.

KI Training: Folgende Änderungen signalisieren eine Öffnung der Datenschutzregeln zugunsten von KI-Training:

  • KI-Training mit sensiblen Daten: Eine Ausnahme von dem grundsätzlichen Verbot der Verarbeitung sensibler Daten soll für die Entwicklung und den Betrieb von KI-Systemen in die DSGVO aufgenommen werden (Art. 9 Abs. 2 (k) DSGVO).
  • KI Training auf Grundlage berechtigter Interessen: Berechtigte Interessen sollen ausdrücklich als Rechtsgrundlage für die Verarbeitung personenbezogener Daten für die Entwicklung und den Betrieb von KI-Systemen in der DSGVO anerkannt werden (Art. 88c DSGVO). Voraussetzung ist die Implementierung bestimmter technischer und organisatorischer Maßnahmen zur Wahrung der Datenminimierungs- und Transparenzgrundsätze sowie ein bedingungsloses Widerspruchsrecht der Betroffenen.
    Diese Änderungen werden bereits sehr kontrovers diskutiert. Sie gehen zurück auf eine im Dezember 2024 zu dem Thema veröffentlichte EDSA Stellungnahme sowie das Urteil des OLG Köln im Mai 2025 im Eilverfahren gegen Meta (15 UKl 2/ 25; dazu mehr hier).

Cookies & Tracking

Vereinheitlichung in der DSGVO: Geplant ist die längst überfällige Teilüberführung der ePrivacy Richtlinie in die DSGVO, sodass künftig sowohl die mit dem Setzen und Auslesen des Cookies einhergehende initiale Datenverarbeitung im Endgerät des Nutzers als auch die sich anschließende Weiterverarbeitung der Daten unter die DSGVO fallen.


Tracking ohne Einwilligung: Auch soll es künftig eine (kurze) erschöpfende Liste von Zwecken geben, für deren Erreichung sowohl die initiale als auch die nachfolgenden Datenverarbeitungen ohne Einwilligung erlaubt sind, weil von ihnen nur ein geringes Risiko für die Rechte und Freiheiten betroffener Personen ausgeht. Zu diesen ausnahmsweise ohne Einwilligung zulässigen Datenverarbeitungen gehören die bisher in Deutschland in § 25 Abs. 2 TDDDG enthaltenen Ausnahmen. Neu in der Liste sind Datenverarbeitungen, die erforderlich sind zur (i) Aufrechterhaltung oder Wiederherstellung der Sicherheit eines bereitgestellten Dienstes oder (ii) für das Erstellen aggregierter Daten zur Reichweitenmessung für den eigenen Gebrauch.


Respektieren der Nutzer-Entscheidungen: Des Weiteren sollen Verantwortliche verpflichtet werden, Entscheidungen von betroffenen Personen, Tracking abzulehnen, zumindest für einen Zeitraum von sechs Monaten zu respektieren, sodass Websitebesucher nicht bei jedem Besuch erneut ein Tracking ablehnen müssen. Und Nutzer sollen ihre Tracking-Präferenzen in automatisierter Form ausdrücken können.

Kümmerlein –

„Einige der Änderungen sind ein Schritt in die richtige Richtung – aber der große Wurf, den sich die Wirtschaft wünscht, ist das Reformpaket nicht.“

KI-Verordnung 2.0

Obwohl die KI-Verordnung in weiten Teilen noch gar nicht gilt, sind bereits u.a. folgende Anpassungen vorgesehen:

  • eine Umwandlung der momentan allen Anbietern und Betreibern von KI-Systemen obliegenden Pflicht, Personal in KI zu schulen, in eine Pflicht für Mitgliedsstaaten und die EU Kommission, Anbieter und Betreiber zu ermutigen, ihr Personal entsprechend zu schulen
  • eine Verlängerung der Umsetzungsfristen für Hochrisiko-Systeme, bis entsprechende harmonisierte Normen, gemeinsame Spezifikationen oder Leitlinien der Kommission vorliegen
  • eine Ausdehnung der Erleichterungen für kleinere und mittlere Unternehmen auf Small Mid-Caps Unternehmen (Unternehmen mit weniger als 750 Mitarbeitenden und einem Jahresumsatz bis €150 Mio), etwa vereinfachte technische Dokumentations- und Qualitätsmanagement-Pflichten und besondere Berücksichtigung bei der Verhängung von Strafen
  • die Einführung einer neuen Rechtsgrundlage (Art. 4a) für die Verarbeitung sensibler Daten zur Bias-Erkennung und Korrektur im Zusammenhang mit KI-Systemen und Modellen – mit strengen Datenschutzauflagen.

Einheitlicher Rechtsrahmen für Datenzugang und -nutzung

Der Data Act soll künftig die Regelungen des Data Governance Act, der Verordnung über den freien Verkehr nicht-personenbezogener Daten in der EU und die Open-Data-Richtlinie aufnehmen – und damit den zentralen Rechtsrahmen für Datenzugang und -nutzung bilden. Allerdings ist hier nicht vorgesehen, die Rechtsakte durch Anpassungen und Umstrukturierungen ganzheitlich aufeinander abzustimmen.


Daneben sollen auch Regelungen des ganz neuen Data Acts angepasst werden, u.a. sollen in der Ursprungsversion misslungene zentrale Begriffe wie Dateninhaber präzisiert werden (wobei wir bisher leider keine merkliche Verbesserung feststellen konnten). Der Geschäftsgeheimnisschutz soll dahingehend gestärkt werden, dass Geschäftsgeheimnisse ausnahmsweise dann nicht offenzulegen sind, wenn ein hohes Risiko der unrechtmäßigen Erlangung, Verwendung oder Weitergabe an Drittländer mit unzureichendem Schutzniveau besteht. Dies wird nur ein kleiner Trost für Unternehmen sein.

Fazit

Es wird noch dauern, bis das Paket final steht. Einige der Änderungen sind als Schritt in die richtige Richtung zu weniger Compliance-Aufwand zu begrüßen; aber der große Wurf, den sich die Wirtschaft wünscht, ist das Reformpaket nicht. Auch sind weitere Verwässerungen der geplanten Änderungen aufgrund politischer Kompromisse im sich nun anschließenden Gesetzgebungsverfahren zu erwarten.

 

Die Autorin

Anna von Dietze
LL.M. (Sydney)
Counsel
Anna von Dietze

Mehr Artikel zu

Zurück zur Übersicht
DatenschutzIT-RechtDaten, Digitalisierung & KI

Das könnte sie auch interessieren

Kümmerlein –
26. November 2025
Dr. Noëlly Jaspers
Compliance

KI-Grundsatzurteil Gema vs. Open AI: Urheberrechtliche Hürden beim KI-Training

12. November 2025
Dr. Katharina Dorth
Erbrecht

Belegvorlage im Rahmen des Auskunftsanspruchs nach § 2314 BGB – ein „Dauerbrenner“

12. August 2025
Anna von Dietze LL.M. (Sydney)
IT-Recht

Fit für die KI Regulierung?