Digital Omnibus: EU-Kommission will Bürokratie für Tech-Firmen abbauen

Die EU-Kommission will mit einem umfassenden Gesetzespaket den digitalen Regeldschungel lichten. Der sogenannte Digital Omnibus soll Unternehmen Milliarden an Bürokratiekosten ersparen – und entfacht bereits einen heftigen Streit zwischen Industrie und Datenschützern.

Der Vorstoß markiert eine strategische Kehrtwende in der Digitalpolitik der zweiten von der Leyen-Kommission. Angetrieben durch den Draghi-Bericht zur Wettbewerbsfähigkeit Europas, identifizierte die Kommission regulatorische Zersplitterung als Innovationsbremse. Das Paket, offiziell im November 2025 vorgelegt, zielt darauf ab, bis 2029 administrative Kosten von schätzungsweise fünf Milliarden Euro einzusparen.

„Europa muss für Unternehmen schneller und einfacher werden“, erklärt Exekutiv-Vizepräsidentin Henna Virkkunen, zuständig für Tech-Souveränität. Der Vorschlag ersetzt bestehende Gesetze wie die KI-Verordnung (AI Act) oder die Datenschutz-Grundverordnung (DSGVO) nicht, sondern ändert sie gezielt ab, um Pflichten zu harmonisieren.

Passend zum Thema KI‑Verordnung verlangt die EU neue Fristen, Klassifizierungen und strengere Dokumentationspflichten – für viele Unternehmen entstehen dadurch direkte Compliance-Aufgaben. Der kostenlose Umsetzungsleitfaden zur KI‑Verordnung erklärt praxisnah, welche Pflichten Entwickler und Anwender jetzt erfüllen müssen, wie Sie Hochrisiko‑Systeme korrekt klassifizieren und welche Fristen Sie im Blick behalten sollten. Enthalten: Checklisten, Zuständigkeits‑Hinweise und praxistaugliche Vorlagen zur schnellen Umsetzung. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

KI-Verordnung: Mehr Zeit, weniger Bürokratie

Für die Tech-Branche ist die geplante Überarbeitung der KI-Verordnung der wichtigste Punkt. Die Kommission will vor allem mehr Zeit geben: Die Frist für die Umsetzung der Regeln für Hochrisiko-KI-Systeme soll um etwa 16 Monate auf den 2. Dezember 2027 verschoben werden. Grund sind Verzögerungen bei der Erarbeitung einheitlicher technischer Standards.

Zudem will Brüssel die Bürokratie reduzieren. So könnte die Pflicht zur Registrierung bestimmter Hochrisiko-Systeme in einer EU-Datenbank entfallen. Auch die Verantwortung für KI-Kompetenz (AI Literacy) soll sich verlagern: Nicht mehr die Unternehmen allein, sondern vor allem die Mitgliedstaaten und die Kommission sollen für branchengerechte Schulungen sorgen.

DSGVO: Neuer Spielraum für KI-Training

Die wohl kontroverseste Änderung betrifft die DSGVO. Der Digital Omnibus will klären, dass die Verarbeitung personenbezogener Daten zum Training von KI-Modellen auf „berechtigtem Interesse“ basieren kann – und nicht zwingend auf expliziter Einwilligung.

Rechtsexperten bewerten dies als Wechsel vom Opt-in- zum Opt-out-Prinzip für Trainingsdaten. Die Tech-Industrie hatte lange moniert, dass die Einholung von Einwilligungen für riesige Datensätze praktisch unmöglich sei. Die Nutzer behalten jedoch ein Widerspruchsrecht. Zudem soll die Definition von „personenbezogenen Daten“ angepasst werden: Daten gelten demnach nur als persönlich, wenn der sie verarbeitende Akteur die Person auch tatsächlich identifizieren kann.

Einheitliche Meldepflicht bei Cyberangriffen

Ein weiterer Bürokratie-Knoten soll gelöst werden: die Meldepflicht bei Cybersicherheitsvorfällen. Bisher kann ein einziger Vorfall separate Meldungen nach DSGVO, NIS2-Richtlinie, DORA und dem Cyber Resilience Act auslösen – jeweils mit eigenen Fristen und Formaten.

Künftig soll es einen Single Entry Point (SEP), einen einheitlichen Meldekanal, geben. Unternehmen würden einen standardisierten Bericht an ein zentrales EU-Portal der Cybersicherheitsagentur ENISA senden, das die Informationen automatisch an die zuständigen nationalen Behörden weiterleitet. Die Meldefrist für Datenschutzverletzungen nach DSGVO würde zudem von 72 auf 96 Stunden verlängert, um sie anderen Vorschriften anzugleichen.

Geteilte Reaktionen: Erleichterung vs. Warnungen

Die Reaktionen auf den Vorstoß fallen gespalten aus. Wirtschaftsverbände und Anwälte begrüßen die Pläne weitgehend. Analysen, etwa von PwC, sehen darin eine Abwendung von der „Erstickung der Innovation“, die viele unter den ursprünglichen Zeitplänen befürchteten. Die Finanzbranche lobt besonders die vereinheitlichten Meldepflichten.

Datenschutzorganisationen wie Access Now laufen dagegen Sturm. Sie kritisieren das Paket als Deregulierungs-Agenda im Deckmantel der Vereinfachung. Die Änderung beim „berechtigten Interesse“ für KI-Training untergrabe fundamentale Datenschutzrechte. Die Verzögerung der KI-Regeln für Hochrisiko-Systeme lasse vulnerable Gruppen weitere anderthalb Jahre ungeschützt.

Was kommt jetzt? Der steinige Weg durchs Parlament

Der Digital Omnibus ist bis Mitte Januar 2026 nur ein Kommissionsvorschlag. Er benötigt noch die Zustimmung des Europäischen Parlaments und des Rates. Angesichts der kontroversen DSGVO-Änderungen dürften die Verhandlungen langwierig werden.

Die Kommission hat sich einen ambitionierten Zeitplan gesetzt: Sie will die Verordnung finalisieren, bevor die ursprüngliche Frist für Hochrisiko-KI im August 2026 in Kraft tritt. Ob das gelingt, ist offen. Unternehmen wird geraten, ihre Compliance-Vorbereitungen fortzusetzen – aber flexibel zu bleiben. Die regulatorische Landschaft in Europa bleibt auch 2026 in Bewegung.

PS: Die vorgeschlagenen DSGVO‑Anpassungen für das KI‑Training könnten Ihre Datenstrategie und Dokumentationspflichten grundlegend verändern – die parlamentarischen Verhandlungen laufen bereits. Sichern Sie sich das Gratis‑E‑Book zur KI‑Verordnung: Konkrete Handlungsschritte zur rechtssicheren Nutzung von Trainingsdaten, Anforderungen an DSFA sowie Muster für Verarbeitungsverzeichnisse und Reporting. Ideal für Compliance‑Teams, Entwickler und Entscheider, die Fristen einhalten und Haftungsrisiken minimieren wollen. Kostenlosen KI-Umsetzungsleitfaden anfordern