Digital Omnibus: EU krempelt Datenschutz-Regeln um

BERLIN/BRÜSSEL – Europas Datenschutz steht vor der größten Umwälzung seit Einführung der DSGVO. Während die EU-Kommission mit ihrem „Digital Omnibus” die Meldepflichten lockern will, zieht Deutschland mit einem eigenen Gesetzentwurf nach. Doch Datenschützer schlagen Alarm: Droht das Ende strenger Privacy-Standards?

Die Brüsseler Pläne, veröffentlicht am 19. November, zielen auf ein Problem, das Unternehmen seit Jahren plagt: Wer heute einen Cyberangriff erleidet, muss drei verschiedene Behörden mit unterschiedlichen Formularen und Fristen informieren. Die Folge? Regulatorische Erschöpfung, wie es Juristen nennen.

Jetzt kommt Bewegung in die Sache. Analysen der Kanzlei Sidley Austin, die gestern vorgelegt wurden, zeigen: Die 72-Stunden-Meldepflicht der DSGVO könnte auf 96 Stunden verlängert werden – zumindest bei Vorfällen ohne hohes Risiko für Betroffene. Gleichzeitig soll eine zentrale Meldestelle alle Cybersecurity-Vorgaben bündeln, von DSGVO über NIS2 bis zum Data Act.

Viele Unternehmen unterschätzen die neuen Pflichten durch die EU-KI-Verordnung – und riskieren damit Bußgelder oder Markteinschränkungen. Unser kostenloser Umsetzungsleitfaden erklärt Schritt für Schritt, wie Sie KI-Systeme korrekt klassifizieren, welche Kennzeichnungspflichten und Dokumentationsanforderungen gelten und wie Sie Interessenabwägungen wasserdicht formulieren. Praktische Checklisten zeigen, wie Incident-Response und Reporting rechtskonform aufgesetzt werden. Kostenlosen KI-Umsetzungsleitfaden herunterladen

„Das Ziel: Bürokratische Überschneidungen eliminieren”, heißt es in den Marktanalysen. Ein einziger Vorfall löst heute oft dreifache Meldepflichten aus – das könnte bald Geschichte sein.

Während Brüssel noch debattiert, prescht Berlin vor. Am 5. Dezember veröffentlichte die Bundesregierung einen Gesetzentwurf zur Umsetzung des EU Data Act. Die Überraschung: Die Bundesnetzagentur wird zentrale Anlaufstelle und Vollzugsbehörde.

Was bedeutet das konkret? Die bisherige Zersplitterung zwischen 16 Landesdatenschutzbehörden endet – zumindest beim Data Act. Für personenbezogene Daten übernimmt der Bundesbeauftragte für Datenschutz (BfDI) die Aufsicht. Schluss mit dem Kompetenz-Wirrwarr, das DSGVO-Durchsetzung in Deutschland jahrelang lähmte.

„Bundesweit tätige Unternehmen sollen endlich einheitliche Entscheidungen bekommen”, analysiert die Kanzlei Latham & Watkins. Kein Wunder: Bislang konnte ein Datenportabilitäts-Antrag je nach Bundesland völlig unterschiedlich behandelt werden.

Privacy-Aktivisten: „Löcher in die DSGVO gebohrt”

Doch nicht alle jubeln. Die Datenschutz-Organisation NOYB um Max Schrems spricht von einer „Panikreaktion” statt durchdachter Reform. Der Vorwurf wiegt schwer: Unter dem Deckmantel der Vereinfachung würden Schutzstandards abgesenkt.

Besonders brisant: Der Digital Omnibus will „berechtigtes Interesse” als Rechtsgrundlage für KI-Training ausweiten. Das könnte Tech-Konzernen erlauben, Nutzerdaten ohne explizite Einwilligung zu verwerten – ein Dammbruch?

„Die Kommission höhlt die DSGVO aus”, warnt NOYB. Kritiker fürchten, dass die Harmonisierung von „Hochrisiko”-Schwellenwerten faktisch niedrigere Standards für alle bedeutet. Die großen Tech-Plattformen könnten die Hauptprofiteure sein.

Wirtschaft atmet auf – vorerst

Die Industrie sieht das erwartungsgemäß anders. Branchenverbände melden „vorsichtigen Optimismus”. Besonders kleine und mittlere Unternehmen ächzen unter Compliance-Kosten – die zentrale Meldestelle könnte tatsächlich Entlastung bringen.

Finanzberichte vom 8. Dezember zeigen: Die Aussicht auf weniger Verwaltungsaufwand kommt an. Doch bleibt die Frage: Zu welchem Preis für die Privatsphäre europäischer Bürger?

Was bereits beschlossen ist

Parallel zum Digital Omnibus trat am 17. November die „DSGVO-Verfahrensverordnung” in Kraft. Sie begrenzt grenzüberschreitende Ermittlungen auf maximal 15 Monate und vereinheitlicht die Zulässigkeit von Beschwerden EU-weit.

Damit sollen die berüchtigten Engpässe bei der Durchsetzung gegen Tech-Giganten mit Sitz in Irland oder Luxemburg endlich behoben werden. Anders als der Digital Omnibus ist diese Verordnung bereits geltendes Recht.

Was Unternehmen jetzt tun müssen

Für deutsche Firmen heißt es: aufpassen und vorbereiten. Der Entwurf vom 5. Dezember verlangt Anpassungen bei Datenportabilitäts-Prozessen. Compliance-Teams sollten Strukturen für effiziente Auskunftsanfragen schaffen.

Die Digital-Omnibus-Verhandlungen dürften Anfang 2026 richtig Fahrt aufnehmen. Falls die Vorschläge durchkommen, brauchen Incident-Response-Pläne ein Update – Stichwort: 96-Stunden-Fenster und einheitliche Meldekanäle.

Besonders brisant für KI-Projekte: Wer auf „berechtigtes Interesse” setzen will, sollte seine Interessenabwägungen wasserdicht dokumentieren. Datenschützer werden hier mit Argusaugen hinschauen.

Eines steht fest: Der doppelte Druck aus Brüssel und Berlin macht 2026 zum Mammutjahr für Datenschutzbeauftragte. Ob am Ende tatsächlich weniger Bürokratie steht – oder nur anders verteilte? Die Antwort wird über die Zukunft digitaler Souveränität in Europa mitentscheiden.

PS: Die Debatte um Digital Omnibus und Data Act zeigt, wie schnell Fristen, Meldewege und Compliance-Anforderungen für KI- und Datenschutzprojekte variieren können. Unser Gratis-Guide zur EU-KI-Verordnung fasst die wichtigsten Fristen, Risikoklassen und Dokumentationspflichten zusammen und hilft Ihnen, Prozesse wie Interessenabwägung, Risikobewertung und Reporting pragmatisch anzupassen. So minimieren Sie Haftungsrisiken und sichern Ihre KI-Projekte. Jetzt Gratis-KI-Leitfaden anfordern