Digital Omnibus
Der Digital Omnibus ist ein von der EU-Kommission im November 2025 vorgeschlagenes Gesetzespaket, das Anpassungen an bestehenden EU-Digitalgesetzen (DSGVO, KI-Verordnung, Data Act, NIS2, ePrivacy) bündelt, um Compliance-Pflichten zu vereinheitlichen, administrative Lasten zu reduzieren und Innovation zu fördern.
Ausführliche Erklärung
Der Begriff "Omnibus" stammt aus dem Lateinischen und bedeutet "für alle" – ein Hinweis darauf, dass nicht einzelne Gesetze separat geändert werden, sondern ein ganzes Bündel an Regelwerken gleichzeitig überarbeitet wird. Die EU-Kommission hat das Paket am 19. November 2025 als Reaktion auf Beschwerden von Unternehmen über regulatorische Überschneidungen, doppelte Meldepflichten und unklare Abgrenzungen zwischen den verschiedenen Digitalgesetzen vorgelegt. Das Paket besteht aus zwei Hauptverordnungsvorschlägen: einem "Digital Omnibus on AI" zur Anpassung der KI-Verordnung und einem allgemeinen "Digital Omnibus" mit Änderungen an DSGVO, Data Act, NIS2-Richtlinie, ePrivacy-Richtlinie und weiteren Rechtsakten.
Für Unternehmen sind insbesondere folgende Änderungen relevant: Die DSGVO-Meldepflicht bei Datenpannen soll künftig nur noch bei "hohem Risiko" gelten (bisher bereits ab "Risiko"), die Meldefrist wird von 72 auf 96 Stunden verlängert. Ein zentraler "Single Entry Point" bei ENISA soll mehrfache Meldungen unter verschiedenen Gesetzen (DSGVO, NIS2, DORA, CER) bündeln. Die Definition von "personenbezogenen Daten" wird präzisiert: Pseudonymisierte Daten gelten nicht automatisch als personenbezogen für Empfänger, die keine realistischen Mittel zur Re-Identifizierung besitzen. Zudem wird klargestellt, dass das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für KI-Training und -Betrieb genutzt werden kann. Kleinstunternehmen mit unter 10 Mitarbeitern werden unter bestimmten Voraussetzungen vom Verarbeitungsverzeichnis befreit.
Im Bereich der KI-Verordnung wird die Anwendung von Hochrisiko-Pflichten an die Verfügbarkeit technischer Standards gekoppelt, mit Fristen bis spätestens Dezember 2027 bzw. August 2028. Vereinfachungen für KMU werden auf "Small Mid-Caps" ausgeweitet, und die Kompetenzpflicht für KI-Personal wird von einer verbindlichen Verpflichtung zu einer "Ermutigung" abgeschwächt. Die Cookie-Regeln (ePrivacy) werden modernisiert, um die Zahl der Cookie-Banner zu reduzieren.
Der Digital Omnibus ist derzeit ein Vorschlag und durchläuft das ordentliche Gesetzgebungsverfahren mit Verhandlungen zwischen EU-Kommission, Europäischem Parlament und Rat. Mit Änderungen am Text ist zu rechnen, insbesondere bei den DSGVO-Anpassungen. Parallel läuft ein "Digital Fitness Check" bis März 2026, der in einen zweiten Digital Omnibus münden soll. Inkrafttreten wird für Mitte 2026 oder später erwartet.
Praxisbeispiel
Ein österreichisches IT-Beratungsunternehmen mit 25 Mitarbeitern, das KI-gestützte Analysetools für Kunden entwickelt, könnte vom Digital Omnibus mehrfach profitieren: Künftig könnte es sich beim KI-Training auf das berechtigte Interesse stützen, statt für jeden Datensatz Einwilligungen einzuholen. Bei einem Sicherheitsvorfall müsste es nur noch eine zentrale Meldung über den Single Entry Point absetzen, statt mehrere Behörden parallel zu informieren. Die Meldefrist von 96 Stunden (statt 72) verschafft dem kleinen Compliance-Team mehr Zeit für eine sorgfältige Risikoeinschätzung.
Quellen
- Digital Omnibus Regulation Proposal – EU-Kommission (November 2025)
- Vereinfachung der Digitalgesetzgebung: Kommission legt Paket vor – EU-Kommission Deutschland (November 2025)
- Digitalpaket (Digitaler Omnibus) der Europäischen Kommission – WPK äußert sich zur Anpassung der DSGVO (Januar 2026)
- 2025 EU Digital Omnibus Package: Practical Guide & Explainer – Kennedy's Law (Januar 2026)
- EU Digital Omnibus update: simplifying Europe's digital rulebook – data.europa.eu (März 2026)