Die Europäische Kommission hat am 19.11.2025 mit dem Digital Simplification Package (“Digital Omnibus”) einen weitreichenden Reformentwurf vorgelegt, der den digitalen acquis der EU grundlegend neu ordnen würde. Aufbauend auf den Empfehlungen des Draghi Report on EU Competitiveness verfolgt der Entwurf das Ziel, den zunehmend fragmentierten und teils überlappenden Rechtsrahmen zu vereinheitlichen, übersichtlicher zu gestalten und dadurch insbesondere Unternehmen stärker zu entlasten. Im Fokus stehen vor allem Small Mid-Caps (SMC), die künftig von Erleichterungen profitieren sollen, die bislang vor allem KMU vorbehalten waren, sowie Unternehmen aus dem KI-Sektor.
Das Paket greift dabei in mehrere zentrale Rechtsakte gleichzeitig ein – darunter die DSGVO, den AI Act, den Data Act, die ePrivacy-Richtlinie sowie einschlägige Cybersicherheitsvorschriften wie DORA und NIS2. Während die Kommission damit Bürokratie abbauen und Innovation fördern möchte, stößt der Entwurf (ebenso wie bereits die zuvor geleakte Fassung) auf deutliche Kritik aus Wissenschaft, Zivilgesellschaft und Politik. Befürchtet werden unter anderem ein überproportionaler Einfluss gezielter Lobbying-Bestrebungen, eine Schwächung bewährter Schutzstandards sowie potenziell weitreichende Folgen für Grundrechte und Rechtsklarheit.
Änderungen in der DSGVO
Der Digital Omnibus sieht gezielte Änderungen an zentralen Begriffen und Grundprinzipien der DSGVO vor. Besonders ins Auge stechen die geplante Relativierung des Begriffs personenbezogener Daten, die Einschränkung der Informationspflichten des Verantwortlichen sowie der Abbau von Hürden für die Nutzung personenbezogener Daten bei der Entwicklung und dem Betrieb von KI-Systemen. Nach dem Entwurf sollen Daten künftig nur noch dann als personenbezogen gelten, wenn die konkret verarbeitende Stelle über Mittel verfügt, die sie vernünftigerweise zur Identifizierung einer Person einsetzen wird. Damit wird der relative Ansatz zum Personenbezug (wie er in rezenter EuGH-Entscheidungspraxis verwendet wird) auch gesetzlich festgehalten, womit ein und dieselben Daten nicht mehr für jede Stelle automatisch personenbezogen sind. Die Kommission soll nach dem Entwurf Maßnahmen und Kriterien veröffentlichen, nach denen eine Pseudonymisierung zum Wegfall des Personenbezugs führt.
Auch die Informationspflichten sollen gelockert werden. Die geplante Neufassung von Art 13 Abs 4 DSGVO sieht vor, dass die Pflichten nicht nur dann entfallen, wenn die betroffene Person bereits über die Informationen verfügt, sondern auch dann, wenn es sich um eine nicht “datenintensive” Verarbeitung handelt. Als Beispiel nennt die Kommission Vertragsbeziehungen zwischen einem Handwerker und seinen Kunden, in denen nur minimale Datenmengen für die Auftragserfüllung erforderlich sind. Zudem sollen nach dem neugefassten Art 12 Abs 5 DSGVO Auskunftsanfragen abgelehnt werden dürfen, wenn das Auskunftsrecht für andere Zwecke als den Datenschutz missbraucht wird.
Erheblich vereinfacht werden soll zudem der Einsatz personenbezogener Daten für KI-Systeme. Der neue Art 9 Abs 2 lit k DSGVO würde bestimmte Verarbeitungen besonderer Kategorien personenbezogener Daten vom grundsätzlichen Verarbeitungsverbot ausnehmen. In Art 9 Abs 5 DSGVO findet sich im aktuellen Entwurf ein offensichtlicher Tippfehler: Anstelle des vorgesehenen Wortlauts steht dort lediglich ein “v”, wo im geleakten Entwurf noch die Einschränkung “to the greatest possible extent” vorgesehen war. Daher bleibt unklar, was die Kommission an dieser Stelle konkret im Vergleich zum geleakten Entwurf abändern wollte.
Ergänzend soll ein neuer Art 88c DSGVO ausdrücklich klarstellen, dass sich KI-Unternehmen für Entwicklung und Betrieb ihrer Systeme auf das berechtigte Interesse gemäß Art 6 Abs 1 lit f DSGVO stützen können – allerdings weiterhin nur unter Beachtung der grundlegenden Schutzvorschriften der DSGVO. Gleichzeitig bleibt es unions- oder nationalstaatlichen Vorschriften vorbehalten, für bestimmte Verarbeitungen eine ausdrückliche Einwilligung vorzuschreiben.
Auch das Online-Tracking und der Einsatz von Cookies sollen neu geregelt werden. Die geplanten Art 88a und 88b DSGVO würden das Cookie-Regime direkt in die DSGVO überführen und damit die bisherige Doppelaufsicht durch Datenschutz- und Telekommunikationsbehörden beseitigen. Künftig sollen nicht essenzielle Cookies bei Vorliegen eines berechtigten Interesses auch ohne aktive Einwilligung gesetzt werden dürfen, sofern ein Opt-out möglich bleibt. Zudem soll eine browserbasierte Präferenzverwaltung eingeführt werden, die wiederholte Bannerinteraktionen überflüssig macht: Wird eine Zustimmung abgelehnt, darf für denselben Zweck sechs Monate lang keine neue Anfrage gestellt werden. Darüber hinaus sollen sogenannte “One-Click”-Banner sicherstellen, dass sämtliche Cookie-Entscheidungen mit nur einem Klick getroffen werden können. Für rein statistische, anonymisierte Nutzungsdaten soll die Einwilligungspflicht vollständig entfallen – ein Schritt, den die Kommission als Beitrag zur Entlastung der Unternehmen und zur Verringerung der “Consent Fatigue” versteht.
Für Verantwortliche bringt der Entwurf außerdem eine Erleichterung bei der Meldefrist von Datenschutzverletzungen: Die Frist soll von 72 auf 96 Stunden verlängert werden.
Änderungen im AI Act
Kernstück der geplanten Reform ist eine deutliche Verschiebung der Anwendbarkeit zentraler Vorschriften der KI-Verordnung. Die besonders umstrittenen Regeln für Hochrisiko-KI sollen nicht wie bisher vorgesehen im August 2026, sondern frühestens im Dezember 2027 wirksam werden; in einzelnen sensiblen Bereichen – etwa Strafverfolgung oder Bildung – könnten sie sogar erst im August 2028 greifen. Die Kommission begründet diese Verlängerung mit fehlenden harmonisierten Standards, mangelnder Umsetzungsbereitschaft der Mitgliedstaaten und Verzögerungen bei der Benennung zuständiger Konformitätsstellen. Gleichzeitig sind branchenspezifische Erleichterungen für industrielle KI-Technologien vorgesehen, flankiert von einer EU-weiten Sandbox sowie der Verlagerung der Bildungs- und Nachweispflichten zur KI-Kompetenz (AI Literacy) von Unternehmen auf die Kommission und die Mitgliedstaaten.
Für die Praxis bedeutet dies faktisch eine weitere Schonfrist für die Wirtschaft – insbesondere für Entwickler von KI-Systemen. Hochrisikosysteme können weiterhin mit personenbezogenen oder sensiblen Daten trainiert werden, während der Entwurf stärker auf Opt-out-Mechanismen setzt. Dieser Ansatz stößt auf deutliche Kritik, weil er als faktische Schwächung des Grundrechtsschutzes wahrgenommen wird: Betroffene haben in der Regel nur sehr begrenzte Möglichkeiten, die Nutzung ihrer Daten realistisch zu beeinflussen.
Änderungen im Data Act
Im Bereich der Datenwirtschaft verfolgt die Kommission mit dem Entwurf das Ziel, den unionsrechtlichen Datenrahmen zu vereinfachen und zu konsolidieren. Drei bislang eigenständige Rechtsakte – die Verordnung über den freien Fluss nicht-personenbezogener Daten (FFDR, VO (EU) 2018/1807), der Data Governance Act (DGA, VO (EU) 2022/868) und die Open Data Directive (ODD, RL (EU) 2019/1024) – sollen aufgehoben und ihre Regelungsinhalte in den Data Act (VO (EU) 2023/2854) überführt werden. Die Integration erfolgt durch die Einführung neuer Kapitel VIIa, VIIb und VIIc in den Data Act.
Mit der Konsolidierung sind auch materielle Änderungen verbunden. Vorgesehen sind unter anderem Erleichterungen für data altruism organisations sowie die verpflichtende und kostenfreie Bereitstellung bestimmter high-value datasets durch öffentliche Stellen in maschinenlesbarer Form. Auch die Bestimmungen über die Wiederverwendung öffentlicher Daten sollen neu geordnet und erweitert werden. Künftig sollen öffentliche Einrichtungen die Möglichkeit erhalten, für sehr große Unternehmen oder Gatekeeper höhere Gebühren oder besondere Lizenzbedingungen festzulegen, um Wettbewerbsverzerrungen entgegenzuwirken.
Substanziell neu gefasst werden auch die Pflichten der Dateninhaber unter dem Data Act. Der Schutz von Geschäftsgeheimnissen soll gestärkt werden, indem Dateninhaber die Herausgabe von Daten gegenüber Nutzern oder Dritten verweigern können, wenn ein hohes Risiko einer unrechtmäßigen Aneignung, Nutzung oder Offenlegung an Entitäten in Drittländern besteht, deren Rechtsordnungen ein schwächeres Schutzniveau aufweisen. Zudem wird der Anwendungsbereich der Business-to-Government-Datenbereitstellung (B2G) eingeschränkt: Anstelle der bisherigen “außergewöhnlichen Notwendigkeit” sollen künftig nur noch “öffentliche Notstände” (public emergencies) eine Herausgabepflicht auslösen.
Der Entwurf sieht darüber hinaus die Streichung der bislang vorgesehenen Anforderungen an Smart Contracts zur Durchführung von Datenaustauschvereinbarungen vor, um Rechtsunsicherheiten und unverhältnismäßige Belastungen für Innovatoren zu beseitigen. Schließlich sollen auch die Vorschriften zum Anbieterwechsel (Cloud Switching) angepasst werden: Für Verträge, die vor dem 12. September 2025 abgeschlossen wurden und entweder (i) an den Kunden maßgeschneidert sind oder (ii) von KMU bzw. Small Mid-Caps (SMCs) angeboten werden, sollen die meisten Switching-Verpflichtungen (mit Ausnahme der Regelungen zur Reduktion der “switching charges“) nicht gelten.
Änderungen bei der Cyber-Meldesystematik
Der Entwurf sieht die Vereinfachung der Melde- und Informationspflichten für Sicherheitsvorfälle (NIS2, DORA, GDPR, CER Directive etc.) über einen single-entry point bei der ENISA vor. Mit dieser konsolidierten Plattform sollen der Meldeaufwand für Unternehmen halbiert, die Meldefristen vereinheitlicht und Prozesse beschleunigt werden – gemäß dem Prinzip “report once, share many“.
European Business Wallet
Das Digital Simplification Package sieht zudem die Einführung eines European Business Wallet (EBW) vor. Dieses soll Unternehmen und Behörden eine sichere, grenzüberschreitende Identifizierung sowie einen effizienten Austausch geschäftsrelevanter Daten ermöglichen. Ziel ist es, Verwaltungsaufwand und Kosten im Binnenmarkt spürbar zu reduzieren. Zu den zentralen Funktionen des EBW zählen die sichere Speicherung von Unternehmensdaten, die Nutzung qualifizierter elektronischer Signaturen sowie der geschützte Versand von Dokumenten. Um eine breite Anwendung sicherzustellen, sollen alle öffentlichen Stellen der Union verpflichtet werden, das EBW für wesentliche Verwaltungsverfahren zu akzeptieren.
Fazit und Ausblick
Obwohl die Kommission betont, das Digital Simplification Package solle keine Absenkung bestehender Datenschutzstandards bewirken, sondern ein neues Gleichgewicht zwischen wirtschaftlichen Anforderungen europäischer Unternehmen und dem Grundrechtsschutz der Bürger schaffen, wird der Entwurf aus vielen Richtungen scharf kritisiert.
Im Mittelpunkt steht zunächst der Vorwurf eines beschleunigten und wenig transparenten Gesetzgebungsverfahrens: Es hat weder eine umfassende Konsultation noch ein vollständiges Impact Assessment gegeben. Kritiker verweisen zudem auf mehrere offensichtliche Tippfehler im Entwurf, die als weiteres Indiz für ein überhastetes Vorgehen gewertet werden. Inhaltlich wird kritisiert, dass zentrale Definitionen unscharf bleiben, Betroffenenrechte geschwächt und gleichzeitig erhebliche Erleichterungen für große Digitalkonzerne geschaffen würden – während kleine und mittlere Unternehmen nur in geringem Ausmaß profitieren.
Vor diesem Hintergrund fällt auch der Ausblick ambivalent aus: Während technische und administrative Vereinfachungen sowie die Bündelung von Meldepflichten grundsätzlich zu begrüßen sind, steht die politische und rechtswissenschaftliche Debatte weiterhin im Zeichen möglicher Risiken für Europas digitale Souveränität, den Grundrechtsschutz und die Rechtsklarheit. Wie stark sich die Kritik aus Parlament, Zivilgesellschaft und Datenschutzpraxis im weiteren Trilogverfahren niederschlagen wird, bleibt offen – dürfte aber entscheidend für die endgültige Gestalt des Digital Omnibus sein. Eines scheint sich jetzt schon abzuzeichnen: dieses Gesetzgebungsverfahren wird kein Sprint, sondern ein Langstreckenlauf.
