Digital Omnibus: EU plant radikale Reform der Digitalgesetze

Die Europäische Kommission hat heute ihr „Digital Omnibus”-Paket vorgestellt – einen weitreichenden Umbau der EU-Digitalregeln. Im Visier: DSGVO, KI-Verordnung und ePrivacy. Während Brüssel von Bürokratieabbau und Wettbewerbsstärkung spricht, warnen 127 Bürgerrechtsorganisationen vor dem „größten Rückschritt digitaler Rechte in der EU-Geschichte”.

Vizepräsidentin Henna Virkkunen präsentierte das Paket als notwendige Antwort auf den fragmentierten Digital-Flickenteppich Europas. Ziel: Unternehmen entlasten, Innovation ankurbeln, mit USA und China mithalten. Doch bereits durchgesickerte Entwürfe lösten heftige Kontroversen aus. Steht Europa vor einem historischen Kurswechsel bei Datenschutz und KI-Regulierung?

Die wohl brisanteste Änderung betrifft die Datenschutz-Grundverordnung. Künftig soll die Entwicklung von KI-Systemen als „berechtigtes Interesse” gelten – eine der sechs Rechtsgrundlagen für Datenverarbeitung. Konkret: Unternehmen könnten personenbezogene Daten zum KI-Training nutzen, ohne explizite Einwilligung einholen zu müssen.

Brüssel verspricht dadurch mehr Rechtssicherheit für europäische KI-Entwickler. Die Begründung: Ohne klarere Regeln drohe Europa im globalen KI-Wettlauf abgehängt zu werden. Kritiker kontern jedoch scharf. Sie befürchten, dass die Reform faktisch einen Freifahrtschein für datenintensive Geschäftsmodelle bedeutet – genau jene Praktiken, die die DSGVO ursprünglich eindämmen sollte.

Noch heikler wird es bei der Definition sensibler Daten. Die Kommission will Artikel 9 DSGVO offenbar so anpassen, dass besonders schützenswerte Informationen wie Gesundheitsdaten oder politische Ansichten nur noch geschützt sind, wenn Nutzer sie explizit angeben. Von Algorithmen erschlossene oder abgeleitete sensible Daten würden herausfallen – ein fundamentaler Bruch mit bisheriger Rechtsprechung europäischer Gerichte.

Schluss mit Cookie-Bannern? Der Opt-out kommt

Jeder kennt sie, kaum einer mag sie: Cookie-Banner. Das Omnibus-Paket verspricht hier Abhilfe – allerdings auf umstrittene Weise. Statt der bisherigen Opt-in-Pflicht sollen Websites künftig „maschinenlesbare Präferenzsignale” von Browsern akzeptieren müssen.

Was technisch klingt, bedeutet praktisch: Nutzer könnten zentral in ihrem Browser einstellen, welche Cookies sie generell ablehnen. Websites müssten diese Einstellung respektieren. Klingt komfortabel – doch der Haken folgt sogleich. Die Reform würde auch alle sechs DSGVO-Rechtsgrundlagen für Cookies zulassen, nicht mehr nur die Einwilligung.

Datenschützer sehen darin eine massive Aufweichung. Bislang setzen Cookie-Banner vor allem auf freiwillige Zustimmung. Künftig könnten Unternehmen häufiger argumentieren, das Tracking diene „berechtigten Interessen” – und würde damit deutlich schwerer anfechtbar.

Eine Meldung für alles: Bürokratie oder Blackbox?

Wer heute in der EU einen Cyberangriff oder Datenpanne meldet, steht vor einem Regelungsdschungel. DSGVO, NIS2-Richtlinie, DORA-Verordnung – jedes Gesetz verlangt eigene Meldungen an verschiedene Behörden. Das Omnibus-Paket will hier radikal vereinfachen: Ein Portal, eine Meldung, automatische Weiterleitung an alle zuständigen Stellen.

Das „report once, share many”-Prinzip dürfte tatsächlich Erleichterung bringen, gerade für mittelständische Unternehmen. Gleichzeitig plant Brüssel, die Meldeschwelle anzuheben. Nur noch Vorfälle mit „hohem Risiko” für Betroffene müssten gemeldet werden – eine niedrigere als die bisherige Schwelle bei der DSGVO.

Kritiker befürchten, dass damit kleinere Datenpannen künftig unter dem Radar bleiben. Gerade die Verpflichtung zur Meldung auch scheinbar unbedeutender Vorfälle habe in der Vergangenheit oft erst größere Skandale ans Licht gebracht. Droht nun eine neue Intransparenz?

KI-Verordnung: Mehr Macht für das EU-Büro

Kaum in Kraft, schon wieder auf dem Prüfstand: Die EU-KI-Verordnung wird ebenfalls überarbeitet. Im Zentrum steht die Stärkung des EU AI Office, das künftig mehr Kompetenzen bei der Überwachung großer Online-Plattformen erhalten soll. Gerade KI-Systeme, die in „sehr große Online-Plattformen” (VLOPs) wie Facebook oder Google eingebettet sind, sollen stärker zentral kontrolliert werden.

Passend zum Thema KI-Verordnung – viele Unternehmen unterschätzen jetzt anstehende Pflichten. Kennzeichnung, Risikoklassifizierung und umfassende Dokumentation sind kein theoretisches Thema: Fehler können zu Bußgeldern und teuren Nachbesserungen führen. Der kostenlose Umsetzungsleitfaden fasst die EU-Regeln kompakt zusammen, erklärt Übergangsfristen und zeigt praxisnahe Schritte zur sofortigen Umsetzung für Entwickler, Anbieter und Compliance-Teams. KI-Umsetzungsleitfaden jetzt kostenlos herunterladen

Für kleinere und mittlere Unternehmen verspricht Brüssel Entlastung. Die Compliance-Anforderungen sollen vereinfacht, die Überschneidungen mit anderen Gesetzen wie dem Cyber Resilience Act geklärt werden. Die Tech-Industrie hatte massiv Lobbyarbeit betrieben und die ursprünglichen Regeln als innovationsfeindlich kritisiert.

Doch auch hier regt sich Widerstand. Bürgerrechtsorganisationen monieren, die Reformen kämen vor allem großen Konzernen zugute, die seit Jahren gegen strenge KI-Regeln kämpfen. Kleinere Anbieter, die bereits in robuste Compliance investiert hätten, würden faktisch bestraft.

Wettbewerb oder Werterückschritt? Die Grundsatzfrage

Das Omnibus-Paket offenbart einen fundamentalen Zielkonflikt europäischer Politik. Einerseits der Anspruch, im globalen Tech-Rennen mit den USA und China mitzuhalten. Andererseits der Stolz auf europäische Werte wie Datenschutz und digitale Grundrechte, die weltweit als Goldstandard galten.

Die Kommission argumentiert wirtschaftlich: Ohne Vereinfachung würden innovative Unternehmen Europa den Rücken kehren. Der Regulierungsdschungel bremse gerade junge Firmen aus. Die DSGVO sei zu einer Wettbewerbshürde geworden – Zeit für eine Korrektur.

Die Gegenseite sieht das diametral anders. 127 Organisationen – von Verbraucherschützern bis zu Gewerkschaften – sprechen von einem historischen Rollback. Unter dem Deckmantel der Vereinfachung würden fundamentale Schutzrechte geschleift. Die Frage lautet: Vereinfachung für wen? Für den Mittelstand – oder für Tech-Giganten, die seit Jahren gegen europäische Regeln prozessieren?

Der lange Weg durch die Instanzen

Mit der heutigen Präsentation beginnt erst der politische Marathon. Das Omnibus-Paket muss nun durch das ordentliche Gesetzgebungsverfahren: Debatten im Europaparlament, Verhandlungen im Rat der EU mit den Mitgliedstaaten, Trilog-Gespräche zwischen allen Institutionen.

Angesichts der kontroversen Inhalte ist mit zähen Verhandlungen zu rechnen. Abgeordnete müssen abwägen zwischen wirtschaftlichen Argumenten und grundrechtlichen Bedenken. Jede Änderung an DSGVO oder KI-Verordnung wird intensiv geprüft werden. Deutsche Datenschützer dürften besonders kritisch hinschauen – gilt die DSGVO hierzulande doch als wichtige Errungenschaft.

Unternehmen beobachten den Prozess mit Spannung. Je nach Ausgang könnten sich Compliance-Anforderungen für Datenverarbeitung, KI-Entwicklung und Cybersicherheit massiv verschieben. Auch global dürfte Europa beobachtet werden: Bleibt der Kontinent seiner Vorreiterrolle beim Datenschutz treu – oder läutet das Omnibus-Paket eine neue Ära der Deregulierung ein?

PS: Drohen durch das Omnibus-Paket neue Anforderungen an Ihr KI-System? Wer die Einordnung in Risikoklassen, Kennzeichnungspflichten und Dokumentationspflichten nicht rechtzeitig prüft, steht vor teuren Nachbesserungen. Der Gratis-Leitfaden zur KI-Verordnung erklärt, welche Pflichten aktuell gelten, welche Übergangsfristen wichtig sind und wie Sie Ihre Prozesse prüfungssicher aufsetzen – ideal für Entwickler, Datenschutzbeauftragte und Compliance-Manager. Gratis-Leitfaden zur KI-Verordnung sichern