Digital-Omnibus: EU plant massive GDPR-Reform

Die Europäische Kommission stellt heute ihr „Digital-Omnibus”-Paket vor – offiziell ein Bürokratie-Abbau, tatsächlich aber möglicherweise die größte Schwächung der Datenschutzgrundverordnung seit ihrer Einführung. Durchgesickerte Entwürfe lassen Datenschützer Alarm schlagen: Werden hier im Namen der Innovation fundamentale Bürgerrechte geopfert?

Das Reformpaket soll mehrere digitale Rechtsakte zusammenführen, darunter die GDPR, den Data Act und den AI Act. Ziel ist ein schlankerer Rechtsrahmen für Unternehmen – besonders für kleine und mittlere Betriebe. Doch was nach technischer Vereinfachung klingt, könnte laut Kritikern vor allem einem nutzen: den Tech-Giganten und der KI-Lobby. Die zentrale Frage lautet: Opfert Europa seinen Ruf als Datenschutz-Vorreiter für wirtschaftliche Wettbewerbsfähigkeit?

Das Kernversprechen klingt verlockend: Die Kommission will das Dickicht aus Data Governance Act, Open-Data-Richtlinie und anderen Vorschriften im Data Act bündeln. Unternehmen sollen dadurch bis zu 25 Prozent Verwaltungskosten sparen, kleine Betriebe sogar 35 Prozent. Nach einer Konsultation im Sommer 2025, bei der Deutschland vehement für innovationsfreundlichere Regeln warb, präsentiert Brüssel das Paket nun als überfällige Entlastung.

Passend zum Thema EU-KI-Regulierung: Viele Unternehmen unterschätzen aktuell die Pflichten durch den AI Act und riskieren empfindliche Bußgelder. Der kostenlose Umsetzungsleitfaden erklärt Risikoklassen, Kennzeichnungspflichten, Dokumentationsanforderungen und wichtige Übergangsfristen kompakt und praxisnah. Enthalten sind Checklisten, Muster-Vorlagen und verständliche Praxisbeispiele – auch ohne juristischen Hintergrund sofort anwendbar. So rüsten Sie Ihr Unternehmen jetzt rechtssicher für die KI-Zukunft. Jetzt kostenlosen KI-Verordnungs-Leitfaden herunterladen

Doch bei genauerer Betrachtung zeigt sich: Die „Vereinfachung” geht weit über technische Anpassungen hinaus. Die schnelle Abfolge neuer Digital-Gesetze – vom AI Act bis zum Cyber Resilience Act – hatte tatsächlich ein komplexes Regelwerk geschaffen. Aber rechtfertigt das die nun geplanten Eingriffe in bewährte Schutzstandards?

Die brisanten GDPR-Änderungen im Detail

Die durchgesickerten Dokumente offenbaren mehrere fundamentale Eingriffe in die Datenschutzgrundverordnung. Besonders brisant: Die Definition personenbezogener Daten soll enger gefasst werden. Betroffenenrechte wie Auskunft oder Löschung könnten künftig bei „missbräuchlicher” Nutzung eingeschränkt werden – ein schwammiger Begriff, der erheblichen Interpretationsspielraum lässt.

Noch heikler wird es bei sensiblen Daten. Die strengen Schutzvorschriften des Artikels 9 GDPR für Gesundheitsdaten oder politische Überzeugungen sollen aufgeweicht werden. Unternehmen könnten solche Informationen künftig leichter ableiten, ohne die bisherigen hohen rechtlichen Hürden überwinden zu müssen. Was bedeutet das konkret? Facebook, Google und Co. hätten freiere Hand beim Erstellen detaillierter Persönlichkeitsprofile.

Die wohl spürbarste Änderung für Nutzer: Cookie-Regeln sollen vereinfacht werden. Statt expliziter Zustimmung könnten Tracking-Cookies künftig über „berechtigtes Interesse” gerechtfertigt werden – die lästigen Cookie-Banner würden verschwinden, aber zu welchem Preis?

„Abrissbirne für den Datenschutz”

Die Wiener Datenschutzorganisation NOYB von Max Schrems findet drastische Worte: ein „extremer Angriff auf die Privatsphäre der Europäer” und eine potenzielle „Abrissbirne” für die GDPR. Die Kritik wiegt schwer – ausgerechnet jene Organisation, die mit ihren Klagen gegen Facebook und Google die GDPR-Durchsetzung vorantrieb, sieht nun die Grundfesten bedroht.

Die Stiftung Datenschutz warnt vor einem faulen Kompromiss: Klarheit für KI-Training dürfe nicht mit spürbarem Schutzabbau erkauft werden. Tatsächlich profitieren von den Änderungen wohl kaum die angeblich entlasteten Handwerksbetriebe. Vielmehr könnten Google, Meta und OpenAI leichteren Zugang zu massiven Datensätzen für ihre KI-Modelle erhalten – ohne die bisherigen strengen Auflagen.

Ist das die eigentliche Agenda hinter der Reform? Die These gewinnt an Gewicht, wenn man die zeitliche Koinzidenz betrachtet: Europa ringt um Anschluss im globalen KI-Rennen, während US-Konzerne mit Milliarden-Investitionen voranpreschen.

Zwischen Innovation und Grundrechten

Der Reformdruck speist sich aus Europas strategischem Ziel, zur KI-Großmacht aufzusteigen. Die deutsche Bundesregierung argumentiert, manche GDPR-Vorschriften hätten unnötige Bürokratie geschaffen – etwa für den örtlichen Handwerker mit seiner Kundenliste. Ein valides Argument, das aber eine heikle Frage aufwirft: Rechtfertigt die Entlastung kleiner Betriebe die gleichzeitige Schwächung von Grundrechten, die letztlich vor allem Tech-Giganten nutzt?

Parallel plant die Kommission, die KI-Aufsicht im neuen „AI Office” zu zentralisieren. Die Behörde soll Hochrisiko-KI-Systeme direkt zertifizieren können – grenzüberschreitend und ohne nationale Umwege. Effizienter für Unternehmen, zweifellos. Aber schwächt diese Zentralisierung nicht die Kontrolle durch nationale Datenschutzbehörden, die bisher Bürgerinteressen durchsetzten?

Das Spannungsfeld könnte kaum deutlicher sein: Innovation braucht Daten, Grundrechte setzen deren Nutzung Grenzen. Die Frage lautet nicht, ob vereinfacht werden soll, sondern wo die rote Linie verläuft.

Was kommt auf Unternehmen zu?

Die heutige Präsentation markiert erst den Auftakt eines langen Gesetzgebungsprozesses. Das Europaparlament und der Rat der EU müssen zustimmen – und angesichts des massiven Widerstands aus der Zivilgesellschaft dürften erhebliche Änderungen folgen. Datenschutzbehörden europaweit haben bereits Bedenken signalisiert.

Für Compliance-Verantwortliche bedeutet das: wachsam bleiben. Der finale Text könnte noch deutlich vom jetzigen Entwurf abweichen. Sollte das Paket 2025 verabschiedet werden, ist mit einer schrittweisen Umsetzung ab 2026 zu rechnen. Unternehmen täten gut daran, sich auf unterschiedliche Szenarien vorzubereiten – von kosmetischen Anpassungen bis zu grundlegenden Änderungen ihrer Datenschutzpraxis.

Besonders deutsche Firmen, die oft über GDPR-Mindeststandards hinausgehen, stehen vor strategischen Entscheidungen: Sollen sie ihre strengeren internen Standards beibehalten oder sich an potenziell gelockerte Vorgaben anpassen?

Das Ergebnis dieser Reform wird weitreichende Folgen haben – für digitale Rechte, geschäftliche Compliance und das Machtgefüge zwischen Innovation und Privatsphäre in Europa. Steht die EU vor einem Paradigmenwechsel, der ihr mühsam erarbeitetes Datenschutz-Image aufs Spiel setzt? Die kommenden Monate werden zeigen, ob Brüssel den Balanceakt zwischen Wettbewerbsfähigkeit und Bürgerrechten meistert – oder ob der Digital-Omnibus zum Trojanischen Pferd für den Datenschutz wird.

PS: Die EU‑KI‑Verordnung betrifft nicht nur Tech‑Konzerne, sondern auch Mittelstand, Dienstleister und Behörden. Unser kostenloses E‑Book liefert eine kompakte Umsetzungs-Checkliste: Wie Sie KI‑Systeme korrekt klassifizieren, notwendige Dokumentation anlegen, Übergangsfristen einhalten und interne Prozesse rechtskonform gestalten. Mit Praxisbeispielen, Vorlagen für die Dokumentation und einem klaren Fahrplan für die nächsten Schritte sind IT- und Compliance‑Teams jetzt sofort handlungsfähig. Kostenloses KI-Umsetzungs-E-Book herunterladen