Digital Omnibus: EU-Datenschützer stellen sich gegen Brüssel

Wird die Regulierung vereinfacht – oder die Privatsphäre geopfert? Während die EU-Kommission mit ihrem „Digital Omnibus”-Paket die komplexe digitale Gesetzgebung verschlanken will, schlagen Datenschutzwächter Alarm: Die geplanten Änderungen könnten fundamentale Grundrechte gefährden. Zeitgleich bereitet sich Brüssel auf ein entscheidendes Test-Event für die EU-Digitalidentität vor – der Countdown für 2026 läuft.

Der Konflikt zwischen regulatorischer Effizienz und Datenschutz-Goldstandard ist auf dem europäischen Kontinent in vollem Gang. Ausgerechnet in der Woche, in der Brüssel die Weichen für die digitale Identitätszukunft stellen will, droht ein fundamentaler Richtungsstreit.

Ende vergangener Woche meldeten sich der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) mit scharfer Kritik zum Digital Omnibus zu Wort. Das am 19. November 2025 vorgestellte Paket soll die verzweigten EU-Digitalgesetze – von der DSGVO über den Data Act bis zum AI Act – entrümpeln und Unternehmen entlasten.

Passend zum Thema regulatorische Unsicherheit: Die EU-KI-Verordnung bringt neue Pflichten zur Kennzeichnung, Risikoklassifizierung und Dokumentation von KI-Systemen, die viele Unternehmen bislang unterschätzen. Unser kostenloser Umsetzungsleitfaden erklärt praxisnah, welche Anforderungen gelten, welche Übergangsfristen laufen und welche Schritte Sie jetzt einleiten müssen – inklusive Checklisten und Beispielprozessen für Entwickler und Compliance-Teams. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Doch die Datenschützer warnen: Die vorgeschlagene Neudefinition personenbezogener Daten geht zu weit. Nach einer ersten Bewertung am Donnerstag, 4. Dezember, erklärte der EDSA, die Kommission überziehe mit ihrer Interpretation der jüngsten EuGH-Rechtsprechung deutlich. Was als „gezielte Anpassung” der DSGVO verkauft werde, könne die Schutzrechte europäischer Bürger untergraben.

Besonders brisant: Die Kommission will auch die Cookie-Regelungen vereinfachen und eine zentrale Meldestelle für Datenpannen schaffen – ein „Single-Entry-Point”, der Doppelmeldungen nach NIS2, DSGVO und Data Act vermeiden soll. Klingt praktisch? Datenschützer fürchten neue Sicherheitslücken und eine Schwächung nationaler Aufsichtsbehörden.

Rechtsexperten der Kanzlei White & Case bestätigten am 5. Dezember: Die Industrie fordert diese Vereinfachungen seit Jahren. Doch die zentrale Bündelung sensibler Informationen birgt erhebliche Risiken.

Deutschland und Frankreich preschen vor

Während in Brüssel debattiert wird, handeln Berlin und Paris bereits. Am Freitag, 5. Dezember, veröffentlichte die Bundesregierung den Entwurf eines Gesetzes zur Umsetzung des Data Act. Die Bundesnetzagentur wird zur zentralen Anlaufstelle für Streitigkeiten über Datenzugangsrechte, während der Bundesbeauftragte für Datenschutz (BfDI) bei personenbezogenen Daten zuständig bleibt.

Der deutsche Entwurf sieht gestaffelte Bußgelder vor – bis zu fünf Millionen Euro oder zwei Prozent des weltweiten Umsatzes bei bestimmten Verstößen, etwa unrechtmäßigen Anreizen zur Datenfreigabe. Juristen kommentierten bereits am Freitag: „Unternehmen, die vernetzte Produkte oder digitale Dienste anbieten, müssen ihre technischen Schnittstellen jetzt DSGVO-konform für den Datenaustausch vorbereiten.”

Frankreich hat derweil bei der digitalen Identität einen Meilenstein erreicht. Seit dem 5. Dezember wurden über die nationale App „France Identité” mehr als 3,2 Millionen digitale Ausweise erstellt. Etwa 525.000 davon sind durch persönliche Verifizierung in Rathäusern vollständig zertifiziert – und damit technisch bereit für die kommende EUDI-Wallet-Infrastruktur.

„France Identité wechselt vom Pilotprojekt in die Skalierung”, erklärte Joerg Lenz, Digital-Identitäts-Experte, nach der TRUSTECH-Veranstaltung in Paris. Die französische Regierung plant, die App bis Ende 2026 allen Einwohnern zugänglich zu machen.

Brüssel testet die digitale Zukunft

Diese Woche wird es konkret: Ab Mittwoch, 10. Dezember, startet die EU-Kommission in Brüssel den „EUDI Wallets Launchpad 2025″. Das dreitägige Invitation-Event versammelt technische Teams, Wallet-Anbieter und Vertreter der Mitgliedstaaten, um die Interoperabilität nationaler Prototypen zu testen.

Kann ein Bürger mit seiner digitalen Brieftasche problemlos ein Auto in Spanien mieten, ein Bankkonto in Deutschland eröffnen oder sein Alter in Frankreich nachweisen? Die Antwort auf diese Frage entscheidet über den Erfolg der für 2026 verpflichtenden Einführung.

Das Launchpad-Event folgt auf das „POTENTIAL”-Großpilotprojekt, das grenzüberschreitende Anwendungsfälle wie E-Government-Services, SIM-Karten-Registrierung und mobile Führerscheine in 19 Mitgliedstaaten erfolgreich testete. Nun soll eine „Community of Implementers” entstehen, die gemeinsam die letzten technischen Hürden meistert.

Interoperabilität bleibt die größte Herausforderung – und dieser Test wird zeigen, ob Europa rechtzeitig liefern kann.

Effizienz gegen Privatsphäre: Ein Grundsatzkonflikt

Die Entwicklungen der letzten 72 Stunden offenbaren eine wachsende Spannung in Europas digitaler Strategie. Einerseits ist der Digital Omnibus eine notwendige Antwort auf regulatorische Erschöpfung. Unternehmen kämpfen mit überlappenden Anforderungen aus Data Act, AI Act und DSGVO – die Forderung nach einem „einheitlichen Regelwerk” ist berechtigt.

Andererseits sehen Datenschützer in der „Vereinfachung” einen trojanischen Esel für Deregulierung. Indem die Kommission den Begriff personenbezogener Daten eingrenzen will, sollen Daten für KI-Training und Innovation freigegeben werden – ein ausdrücklich genanntes Ziel des Omnibus. Doch genau das tastet den Kern der DSGVO an.

„Die Kommission versucht, die Balance zwischen Datennutzung und Datenschutz neu zu kalibrieren”, beobachtet ein Regulierungsanalyst. „Aber die Datenschutzwächter ziehen eine rote Linie: ‚Klarstellung’ darf nicht ‚Absenkung’ bedeuten.”

Was Unternehmen jetzt tun müssen

Marktbeobachter sollten die vollständige gemeinsame Stellungnahme von EDSA und EDSB im Auge behalten, die später im Dezember erwartet wird. Halten die Datenschützer an ihrer harten Linie fest, droht dem Digital Omnibus ein konfliktreicher Änderungsprozess im Europäischen Parlament – und eine Verzögerung der Verabschiedung.

Kurzfristig entscheidend: Die Ergebnisse des EUDI Wallet Launchpad (10.-12. Dezember) werden zeigen, ob die EU den 2026-Termin halten kann. Scheitert der Nachweis reibungsloser grenzüberschreitender Funktionsfähigkeit, könnte der Zeitplan kippen.

Für Unternehmen ist die Botschaft aus Deutschland klar: Die Durchsetzungsmechanismen entstehen jetzt. Firmen, die in der EU tätig sind, sollten ihre Daten-Governance-Strategien unverzüglich mit den Zugangsanforderungen des Data Act und den Datenschutzvorgaben der DSGVO abstimmen – unabhängig davon, wie die politischen Debatten in Brüssel ausgehen.

PS: Die Debatten um Digital Omnibus und AI-Act machen klar: Compliance ist jetzt Wettbewerbsfaktor. Sichern Sie sich das kompakte Gratis-E-Book zur EU-KI-Verordnung – verständlich erklärt, mit Fristen, Pflichten und praktischen Umsetzungs-Tipps für Produkt- und Compliance-Teams, damit Sie teure Klassifizierungs- oder Dokumentationsfehler vermeiden. Kostenloses AI-Act-E-Book anfordern