Digital Omnibus: Brüssel spaltet sich über DSGVO-Reform

Die EU-Kommission will Datenschutz neu regeln – und erntet heftige Kritik. Während die Wirtschaft auf Entlastung hofft, warnen Bürgerrechtler vor dem Ende der DSGVO, wie wir sie kennen.

Der seit einer Woche in Brüssel tobende Streit könnte kaum brisanter sein: Am 19. November 2025 präsentierte die Europäische Kommission ihren “Digital Omnibus” – ein Reformpaket, das die Datenschutz-Grundverordnung, den AI Act und die ePrivacy-Richtlinie vereinheitlichen soll. Das erklärte Ziel: Europäische Unternehmen entlasten, Bürokratie abbauen, Wettbewerbsfähigkeit stärken. Doch während Industrieverbände aufatmen, schlagen Datenschützer Alarm.

Max Schrems, prominenter Datenschutzaktivist und Ehrenvorsitzender der Organisation noyb, bringt es auf den Punkt: “Das wäre eine massive Herabstufung der Privatsphäre der Europäer – zehn Jahre nachdem die DSGVO verabschiedet wurde.” Was steckt hinter diesem Vorwurf? Und warum eskaliert der Konflikt ausgerechnet jetzt?

Seit August 2024 gelten neue Regeln für KI‑Systeme – und die Umsetzungs‑ und Dokumentationspflichten treffen Anbieter und Nutzer hart. Dieser kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt verständlich, welche Risikoklassen, Kennzeichnungspflichten und Nachweisdokumentationen jetzt zu beachten sind. Mit praxisnahen Checklisten für Entwickler, Produktverantwortliche und Datenschutzbeauftragte, damit Sie Bußgelder und Rechtsunsicherheit vermeiden. Perfekt für Unternehmen, die ihre KI‑Projekte rechtssicher aufstellen wollen. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

Die Kommission reagiert mit dem Reformvorschlag direkt auf den “Draghi-Bericht” zur europäischen Wettbewerbsfähigkeit aus dem Jahr 2024. Kernbotschaft: Zu viele Regeln bremsen Innovation. Der Digital Omnibus soll Abhilfe schaffen – und das hat Substanz.

Nach aktuellen Analysen führender Anwaltskanzleien wie White & Case und Taylor Wessing enthält das Paket erhebliche Erleichterungen:

Kleinere Unternehmen profitieren doppelt: Die Dokumentationspflichten nach Artikel 30 DSGVO entfallen künftig für Firmen mit bis zu 750 Mitarbeitern – sofern die Datenverarbeitung nicht “hochriskant” ist. Betroffen sind laut Kommission rund 38.000 zusätzliche Unternehmen europaweit. Zum Vergleich: Bisher lag die Grenze bei 250 Beschäftigten.

KI-Entwickler bekommen mehr Zeit: Die Fristen für die Umsetzung des AI Act bei Hochrisiko-Systemen verschieben sich auf Dezember 2027 und August 2028. Gerade für den deutschen Mittelstand, der beim Thema KI häufig hinterherhinkt, könnte das eine Atempause bedeuten.

Schluss mit doppelten Meldungen: Eine zentrale Anlaufstelle für Datenpannen und Cybersicherheitsvorfälle soll künftig Mehrfachmeldungen überflüssig machen. “Das ist längst überfällig”, heißt es aus Unternehmenskreisen.

Cookie-Banner neu gedacht: Die umstrittenen Einwilligungsboxen wandern von der ePrivacy-Richtlinie in die DSGVO. Geplant sind “Ein-Klick-Lösungen” und eine Speicherpflicht für Ablehnungen von mindestens sechs Monaten. Ziel: Das Ende der “Zustimmungsmüdigkeit”.

“Wir schaffen Raum für Innovation, die in Europa vermarktet werden kann”, erklärte Henna Virkkunen, Exekutiv-Vizepräsidentin für Tech-Souveränität, bei der Vorstellung. Doch genau in dieser Formulierung liegt das Problem.

Datenschützer schlagen Alarm: “Blankoscheck für Big Tech”

Was in Brüssel als Modernisierung verkauft wird, lesen Bürgerrechtler als Aushöhlung fundamentaler Rechte. Das Bürgerrechtsnetzwerk EDRi (European Digital Rights) sprach am 1. Dezember in einem Briefing von einem “großen Rückschritt”, der wirtschaftliche Effizienz über Grundrechte stelle.

Der Kern der Kritik: Die Kommission will “berechtigtes Interesse” als Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum Training von KI-Modellen einführen. Klingt technisch, hat aber explosive Konsequenzen.

Bisher erfordert die DSGVO für solche Zwecke in der Regel eine explizite Einwilligung der Nutzer. Mit der Neuregelung könnten Tech-Konzerne Daten verwerten, ohne vorher zu fragen – Nutzer müssten aktiv widersprechen. Noyb warnt in einer Ende November veröffentlichten Analyse vor einem “Blankoscheck für Big Tech zur Datenernte für KI-Training”.

Besonders brisant: Die vorgeschlagene Neudefinition von “personenbezogenen Daten” könnte Unternehmen erlauben, mehr Informationen als anonym zu klassifizieren – sofern sie argumentieren können, die betroffene Person nicht “vernünftigerweise” identifizieren zu können. Was “vernünftig” bedeutet? Unklar. Wer darüber entscheidet? Vermutlich Gerichte – nach jahrelangen Prozessen.

Rechtsexperten warnen vor Jahren der Unsicherheit

Selbst die Wirtschaft, die eigentlich profitieren soll, blickt mit gemischten Gefühlen auf den Vorschlag. Ja, weniger Bürokratie ist willkommen. Aber die DSGVO neu aufzuschnüren, könnte auch nach hinten losgehen.

Analysten von Taylor Wessing mahnten am 2. Dezember in einer Mandanteninformation: Während das Paket auf Klarheit abziele, könnten neue Definitionen und das Zusammenspiel mit dem AI Act zu “divergierenden Interpretationen” und einer Phase der Instabilität führen, bis Gerichte die neuen Regeln geklärt hätten.

“Der Digital Omnibus ist keine Feinabstimmung, sondern ein regulatorischer Remix”, fassen Datenschutzexperten die Lage zusammen. Die zentrale Meldestelle für Vorfälle gilt als logistischer Gewinn – doch wie effektiv nationale Datenschutzbehörden mit dem neuen Zentralsystem zusammenarbeiten werden, ist offen.

Für deutsche Unternehmen besonders relevant: Die Rolle der Landesdatenschutzbeauftragten und des Bundesbeauftragten für Datenschutz könnte sich erheblich verändern. Werden Entscheidungen künftig stärker zentralisiert? Das würde den föderalen Ansatz unterlaufen, auf den sich viele Firmen eingestellt haben.

Die Schlacht beginnt erst

Der Digital Omnibus muss nun durch Europaparlament und Rat – ein Prozess, der mindestens 18 Monate dauern dürfte. Die politischen Fronten sind verhärtet.

Berichte von Euractiv vom 2. Dezember zeigen: Unternehmenslobbyisten fahren schweres Geschütz auf, um die wirtschaftsfreundlichen Aspekte zu sichern. Gleichzeitig formiert sich im Parlament der “Privacy-First”-Block, um die Ausweitung des “berechtigten Interesses” zu verhindern.

Parallel hat der Rat der Europäischen Union bereits am 17. November 2025 neue Verfahrensregeln beschlossen, um grenzüberschreitende DSGVO-Durchsetzung gegen Big Tech zu beschleunigen. Diese zweite Baustelle macht die Gesamtlage noch komplexer.

Was bedeutet das konkret? Europäische Unternehmen sollten sich auf eine Zeit der Unsicherheit einstellen. Wer jetzt in neue Compliance-Systeme investiert, könnte in zwei Jahren alles umstellen müssen. Wer abwartet, riskiert, den Anschluss zu verlieren.

Der Digital Omnibus ist der ambitionierteste Versuch, die DSGVO seit ihrer Einführung umzuschreiben. Ob daraus echte Vereinfachung wird oder die Erosion digitaler Rechte, entscheidet sich in den kommenden Wintermonaten in Brüssel. Der Ausgang ist völlig offen – und wird die digitale Zukunft Europas für Jahre prägen.

PS: Der geplante Digital Omnibus verändert Fristen und Rechtsgrundlagen rund um KI und Datenschutz – sind Ihre Prozesse vorbereitet? Holen Sie sich das gratis E‑Book zur EU‑KI‑Verordnung: Übergangsfristen, Kennzeichnungspflichten und konkrete To‑Dos in einem kompakten Leitfaden. Schnell lesen, sofort umsetzen – so reduzieren Sie Compliance‑Risiken in Ihrem Unternehmen. KI‑Verordnung: Gratis‑Umsetzungsleitfaden sichern